¿Un niño logró detener un gran ciberataque?

¿Un niño logró detener un gran ciberataque?

Internet, como puede comprobar cualquiera que trabaje en las trincheras, no es una máquina fluida y bien engrasada.

Es un mosaico desordenado que se ha ido reconstruyendo durante décadas y que se mantiene unido mediante el equivalente digital de cinta adhesiva y chicle. Gran parte de ello depende de software de código abierto mantenido ingratamente por un pequeño ejército de programadores voluntarios que corrigen errores, reparan agujeros y garantizan que todo el desvencijado artilugio, responsable de billones de dólares del PIB mundial, siga funcionando.

La semana pasada, uno de estos programadores pudo haber salvado a Internet de grandes problemas.

Su nombre es Andrés Freund. Es un ingeniero de software de 38 años que vive en San Francisco y trabaja en Microsoft. Su trabajo consiste en desarrollar un software de base de datos de código abierto conocido como PostgreSQL, cuyos detalles probablemente te aburrirían si pudiera explicarlos adecuadamente, lo cual no puedo.

Recientemente, durante una tarea de mantenimiento de rutina, el Sr. Freund encontró sin darse cuenta una puerta trasera oculta en un software que forma parte del sistema operativo Linux. La puerta trasera fue un posible preludio de un gran ciberataque que, según los expertos, podría haber causado un daño enorme si tuviera éxito.

Ahora, en un giro de Hollywood, los líderes tecnológicos y los investigadores de ciberseguridad elogian a Freund como a un héroe. Satya Nadella, director ejecutivo de Microsoft, alabado su “curiosidad y maestría”. un admirador yo lo llamé «El gorila de espalda plateada de los nerds». Los ingenieros hicieron circular un viejo cómic web, popular entre los programadores, sobre cómo toda la infraestructura digital moderna se basa en un proyecto dirigido por un tipo cualquiera en Nebraska. (Según ellos, el Sr. Freund es un tipo cualquiera de Nebraska).

En una entrevista esta semana, Freund (que en realidad es un programador alemán de voz suave que se negó a ser fotografiado para esta historia) dijo que convertirse en un héroe popular de Internet había sido desorientador.

«Me parece muy extraño», dijo. «Soy una persona bastante reservada que simplemente se sienta frente a la computadora y piratea códigos».

La saga comenzó a principios de este año, cuando Freund regresaba de una visita a sus padres en Alemania. Mientras examinaba un registro de prueba automatizado, notó algunos mensajes de error que no reconoció. Sufría de desfase horario y los mensajes no parecían urgentes, así que los archivó en su memoria.

Pero unas semanas más tarde, mientras realizaba más pruebas en casa, notó que una aplicación llamada SSH, utilizada para acceder a las computadoras de forma remota, estaba usando más potencia de procesamiento de lo normal. Rastreó el problema hasta un conjunto de herramientas de compresión de datos llamado xz Utils y se preguntó si estaba relacionado con errores anteriores que había encontrado.

(No se preocupe si estos nombres le suenan griegos. Todo lo que necesita saber es que todas estas son pequeñas piezas del sistema operativo Linux, que es probablemente la pieza de software de código abierto más importante del mundo. La gran mayoría de Los servidores del mundo, incluidos los utilizados por bancos, hospitales, gobiernos y empresas Fortune 500, funcionan con Linux, lo que hace que su seguridad sea un asunto de importancia global).

Al igual que otros programas populares de código abierto, Linux se actualiza continuamente y la mayoría de los errores son el resultado de errores inocentes. Pero cuando Freund miró de cerca el código fuente de xz Utils, vio pistas de que había sido manipulado intencionalmente.

En particular, descubrió que alguien había insertado código malicioso en las últimas versiones de xz Utils. El código, conocido como puerta trasera, permitiría a su creador secuestrar la conexión SSH de un usuario y ejecutar secretamente su código en la computadora de ese usuario.

En el mundo de la ciberseguridad, un ingeniero de bases de datos que sin darse cuenta encuentra una puerta trasera en una característica central de Linux es un poco como un panadero que huele una barra de pan recién horneada, siente que algo anda mal y deduce correctamente que alguien ha manipulado todo el sistema. suministro mundial de levadura. . Es el tipo de intuición que requiere años de experiencia y atención obsesiva a los detalles, así como una buena dosis de suerte.

Al principio, Freund dudó de sus hallazgos. ¿Había realmente descubierto una puerta trasera en uno de los programas de código abierto más examinados del mundo?

«Parecía surrealista», dijo. «Hubo momentos en los que pensé: Debí haber dormido mal por la noche y haber tenido algunos sueños febriles».

Pero su investigación continuó descubriendo nueva evidencia, y la semana pasada Freund envió sus hallazgos a un grupo de desarrolladores de software de código abierto. La noticia encendió el mundo de la tecnología. En cuestión de horas, se desarrolló una solución y algunos investigadores le atribuyeron el mérito de haber evitado un ciberataque potencialmente histórico.

«Esta puede haber sido la puerta trasera más extendida y efectiva jamás instalada en cualquier producto de software», dijo Alex Stamos, director de confianza de SentinelOne, una firma de investigación de ciberseguridad.

Si hubiera pasado desapercibido, dijo Stamos, la puerta trasera habría “proporcionado a sus creadores una clave maestra para cualquiera de los cientos de millones de computadoras en todo el mundo que ejecutan SSH”. Esa clave podría haberles permitido robar información privada, instalar malware paralizante o causar interrupciones importantes en la infraestructura, todo sin ser descubiertos.

(El New York Times está demandando a Microsoft y su socio OpenAI por acusaciones de infracción de derechos de autor que involucran sistemas de inteligencia artificial que generan texto).

Nadie sabe quién puso la puerta trasera. Pero la trama parece haber sido tan elaborada que algunos investigadores creen que sólo una nación con formidables habilidades de piratería, como Rusia o China, podría haberlo intentado.

Según los investigadores que retrocedieron y examinaron la evidencia, el atacante parece haber utilizado un seudónimo, «Jia Tan», para sugerir cambios en xz Utils ya en 2022. (Muchos proyectos de software de código abierto se rigen mediante jerarquía; los desarrolladores sugieren cambios al código de un programa, por lo que los desarrolladores más experimentados conocidos como «mantenedores» deben revisar y aprobar los cambios).

Parece que el atacante, usando el nombre Jia Tan, pasó varios años ganándose lentamente la confianza de otros desarrolladores de xz Utils y ganando más control sobre el proyecto, convirtiéndose finalmente en mantenedor y eventualmente insertando el código con la puerta trasera oculta a principios de este año. . (Se había publicado la nueva versión pirateada del código, pero aún no se había utilizado de forma generalizada).

Freund se negó a adivinar quién podría estar detrás del ataque. Pero dijo que quienquiera que fuera había sido lo suficientemente sofisticado como para intentar cubrir sus huellas, incluso añadiendo un código que hacía que la puerta trasera fuera más difícil de detectar.

«Era muy misterioso», dijo. «Claramente hicieron un gran esfuerzo tratando de ocultar lo que estaban haciendo».

Desde que sus hallazgos se hicieron públicos, dijo Freund, han ayudado a los equipos que intentan aplicar ingeniería inversa al ataque e identificar al culpable. Pero ha estado demasiado ocupado para dormirse en los laureles. La próxima versión de PostgreSQL, el software de base de datos en el que trabaja, saldrá a finales de este año y está buscando realizar algunos cambios de último momento antes de la fecha límite.

«Realmente no tengo tiempo para salir a tomar una copa para celebrar», dijo.