Det är allmänt känt att dom som rör sig i Linux-världen ofta brukar luta sig mot “Linus lag”, som säger: “med tillräckligt många ögon är alla programbuggar enkla att hitta“. Något försvenskat då, förstås. Även om denna historia förklarar en situation som hade kunnat hända och var väldigt nära att hända, så var det ändå Linus lag som i slutet var räddningen.
Detta är historien om vad som händer när hela världens digitala infrastruktur vilar på ett litet verktyg som underhålls av en enda utbränd volontär på sin fritid… och hur det hade kunnat påverka din vardag på ett sätt du inte ens kan börja att tänka dig…
Jag såg nyligen en helt fantastisk (och ganska skrämmande) video från den brillianta YouTube-kanalen Veritasium, som på ett otroligt pedagogiskt sätt går igenom XZ-bakdörren. Det är en thriller i spion-anda. Det känns som en fiktiv film, men är från verkligheten. Den visar hur nära vi faktiskt var en global IT-katastrof.
Det konstiga med det hela är att nästan ingen pratar om det. Något man tar upp i videon också.
Den långa infiltrationen
Videon beskriver hur en extremt tålmodig aktör (troligen en främmande makt) under två och ett halvt år bedrev en sofistikerad påverkanskampanj. Genom påhittade användarkonton pressade de den ensamma finländska utvecklaren av komprimeringsverktyget XZ Utils, Lasse Collin, som brottades med psykisk ohälsa och utbrändhet.
När Lasse var som mest sårbar klev en “hjälpsam” programmerare vid namn “Jia Tan” in och erbjöd sig att ta över projektet. Men det ultimata målet var inte att hjälpa till, målet var att använda XZ som en trojansk häst för att bygga en bakdörr rakt in i OpenSSH, själva ryggraden för säkra fjärranslutningar till miljontals servrar världen över.
Slumpen som räddade oss
Det mest fascinerande är hur det hela upptäcktes. Det var ingen stor säkerhetsfirma eller underrättelsetjänst som slog larm. Istället var det en observant Microsoft-anställd, Andres Freund, som reagerade på att inloggningar via SSH tog en halv sekund längre tid än vanligt på en testversion av Debian Linux… Jag låter det sjunka in… En halv sekund!
Av någon anledning så kunde Andres inte släppa tanken på denna bugg och började leta djupare…
Jag ska inte avslöja för mycket rörande detta. Jag tycker att du ska se videon istället, eftersom den återger denna historia på ett betydligt mer gripande sätt än min text gör.
Det mänskliga problemet
Veritasium lyfter dock fram en viktig poäng: Sårbarheten låg inte i den öppna källkoden i sig, utan i hur vi som samhälle förlitar oss på att gratisarbete ska hålla igång vår kritiska infrastruktur. Det är historien om stackars Lasse, som år efter år arbetat med XZ utan någon som helst betalning. Det var ett hobbyprojekt för honom, men något som samtidigt krävde mer och mer av hans tid och inte brydde sig i hur han mådde.
Jag föreslår att du tittar på videon och själv får uppleva hur nära ögat det faktiskt var, och samtidigt få en riktigt bra genomgång av kryptering och hur delade bibliotek fungerar i Linux. Det kanske inte låter intressant för annat än “datornördar”, men detta var något som skulle ha påverkat oss fundamentalt. Videon är väldigt bra gjord och även om det är ett väldigt tekniskt ämne, så är det lätt att följa med på grund av dess pedagogiska presentation.
Se hela videon här: Veritasium – The Internet Was Weeks Away From Disaster and No One Knew
Ha en riktigt bra dag så hörs vi snart igen.
Lämna ett svar