Andres Freud, een Duitse Microsoftprogrammeur, ontdekte in een onderdeel van het besturingssysteem Linux dat gebruikt wordt voor aanmelding, SSH, een achterdeurtje, dat de aanvaller toegang tot computers van derden zou kunnen geven. Linux is voor de gemiddelde computergebruiker misschien een onbekende, maar de meeste servers in de wereld draaien op Linux. De programmatuur is open en wordt bijgehouden en verbeterd door welwillende programmeurs. Kennelijk had de achterdeurmaker het vertrouwen van de Linux-gemeenschap gewonnen.
Freund ontdekte dat het achterdeurtje was verborgen in de code voor xz Utils, een verliesloos compressorprogje. Via dit achterdeurtje zou een aanvaller toegang krijgen tot computers die via SSH verbonden zijn om daar haarzijn code te laten draaien.
Freund was aanvankelijk niet helemaal overtuigd van zijn vinding, maar hij werd na een aantal tests er zeker van en publiceerde zijn bevindingen aan een groep open-bronprogrammeurs. Binnen het uur was het achterdeurtje gedemonteerd.
Het achterdeurtje zou door iemand die zich voordeed als Jia Tan al in 2022 zijn geplaatst. Hijzou zou zich al jaren hebben voorgedaan als ontwikkelaar van xz Utils en het vertrouwen van zijn collega’s hebben gekregen.
Die open programmatuur wordt via een hiërarchische structuur veranderd en verbeterd. Vrijwilligers stellen veranderingen voor en ervaren ontwikkelaars (‘onderhouders’) bekijken die en geven al of niet hun goedkeuring. Overigens was de aangepaste versie van xz Utils nog niet breed in gebruik. In de webbeveiligingswereld is de bescheiden Freund inmiddels, tegen zijn zin, een held.
Bron: New York Times