A Internet, como lhe dirá qualquer pessoa que trabalhe profundamente nas suas trincheiras, não é uma máquina suave e bem lubrificada.
É uma colcha de retalhos bagunçada que foi montada ao longo de décadas e mantida unida com o equivalente digital de fita adesiva e chiclete. Grande parte depende de software de código aberto que é ingratamente mantido por um pequeno exército de programadores voluntários que corrigem os bugs, remendam os buracos e garantem que toda a frágil engenhoca, responsável por biliões de dólares no PIB global, continue a funcionar.
Na semana passada, um desses programadores pode ter salvado a Internet de grandes problemas.
Seu nome é Andrés Freund. Ele é um engenheiro de software de 38 anos que mora em São Francisco e trabalha na Microsoft. Seu trabalho envolve o desenvolvimento de um software de banco de dados de código aberto conhecido como PostgreSQL, cujos detalhes provavelmente iriam te aborrecer se eu pudesse explicá-los corretamente, o que não posso.
Recentemente, ao fazer uma manutenção de rotina, Freund encontrou inadvertidamente um backdoor escondido em um software que faz parte do sistema operacional Linux. A porta dos fundos foi um possível prelúdio para um grande ataque cibernético que, segundo os especialistas, poderia ter causado enormes danos, se tivesse tido sucesso.
Agora, numa reviravolta digna de Hollywood, os líderes tecnológicos e os investigadores de segurança cibernética estão a saudar Freund como um herói. Satya Nadella, presidente-executivo da Microsoft, elogiado sua “curiosidade e habilidade”. Um admirador ligou para ele “o gorila prateado dos nerds.” Engenheiros têm circulado uma história em quadrinhos antiga e famosa entre os programadores sobre como toda a infraestrutura digital moderna depende de um projeto mantido por algum cara aleatório em Nebraska. (Segundo o relato, o Sr. Freund é um cara qualquer de Nebraska.)
Em uma entrevista esta semana, Freund – que na verdade é um programador alemão de fala mansa que se recusou a tirar uma foto para esta matéria – disse que se tornar um herói popular da Internet foi desorientador.
“Acho muito estranho”, disse ele. “Sou uma pessoa bastante reservada que apenas fica sentada na frente do computador e hackeando códigos.”
A saga começou no início deste ano, quando Freund voltava de uma visita aos pais na Alemanha. Ao revisar um registro de testes automatizados, ele percebeu algumas mensagens de erro que não reconheceu. Ele estava com o fuso horário e as mensagens não pareciam urgentes, então ele as arquivou na memória.
Mas algumas semanas depois, enquanto fazia mais alguns testes em casa, ele percebeu que um aplicativo chamado SSH, usado para fazer login em computadores remotamente, estava usando mais poder de processamento do que o normal. Ele rastreou o problema até um conjunto de ferramentas de compactação de dados chamado xz Utils e se perguntou se isso estava relacionado aos erros anteriores que ele havia visto.
(Não se preocupe se esses nomes são gregos para você. Tudo o que você realmente precisa saber é que todos esses nomes são pequenas peças do sistema operacional Linux, que é provavelmente a peça de software de código aberto mais importante do mundo. O grande maioria dos servidores do mundo — incluindo aqueles usados por bancos, hospitais, governos e empresas da Fortune 500 — rodam em Linux, o que torna a sua segurança uma questão de importância global.)
Como outros softwares de código aberto populares, o Linux é atualizado o tempo todo e a maioria dos bugs é resultado de erros inocentes. Mas quando Freund examinou atentamente o código-fonte do xz Utils, ele viu pistas de que ele havia sido adulterado intencionalmente.
Em particular, ele descobriu que alguém havia plantado código malicioso nas versões mais recentes do xz Utils. O código, conhecido como backdoor, permitiria que seu criador sequestrasse a conexão SSH de um usuário e executasse secretamente seu próprio código na máquina desse usuário.
No mundo da segurança cibernética, um engenheiro de banco de dados que encontra inadvertidamente um backdoor em um recurso central do Linux é um pouco como um funcionário de uma padaria que sente o cheiro de um pão recém-assado, sente que algo está errado e deduz corretamente que alguém violou todo o suprimento global de fermento. . É o tipo de intuição que requer anos de experiência e atenção obsessiva aos detalhes, além de uma boa dose de sorte.
A princípio, Freund duvidou de suas próprias descobertas. Ele realmente descobriu um backdoor em um dos programas de código aberto mais examinados do mundo?
“Pareceu surreal”, disse ele. “Houve momentos em que pensei, devo ter apenas tido uma noite mal dormida e tido alguns sonhos febris.”
Mas a sua investigação continuou a revelar novas provas e, na semana passada, o Sr. enviou suas descobertas para um grupo de desenvolvedores de software de código aberto. A notícia incendiou o mundo da tecnologia. Em poucas horas, alguns pesquisadores estavam creditando a ele a prevenção de um ataque cibernético potencialmente histórico.
“Este poderia ter sido o backdoor mais difundido e eficaz já implantado em qualquer produto de software”, disse Alex Stamos, diretor de confiança da SentinelOne, uma empresa de pesquisa de segurança cibernética.
Se não tivesse sido detectado, disse Stamos, o backdoor teria “dado aos seus criadores uma chave mestra para qualquer uma das centenas de milhões de computadores em todo o mundo que executam SSH”. Essa chave poderia ter permitido que eles roubassem informações privadas, plantassem malware incapacitante ou causassem grandes interrupções na infraestrutura – tudo isso sem serem pegos.
(O New York Times processou a Microsoft e seu parceiro OpenAI por alegações de violação de direitos autorais envolvendo sistemas de inteligência artificial que geram texto.)
Ninguém sabe quem plantou a porta dos fundos. Mas a trama parece ter sido tão elaborada que alguns pesquisadores acreditam que apenas uma nação com habilidades formidáveis de hacking, como a Rússia ou a China, poderia ter tentado fazê-lo.
De acordo com alguns pesquisadores que voltaram e analisaram as evidências, o invasor parece ter usado um pseudônimo, “Jia Tan”, para sugerir mudanças no xz Utils já em 2022. (Muitos projetos de software de código aberto são governados por hierarquia; os desenvolvedores sugerem alterações no código de um programa, então os desenvolvedores mais experientes, conhecidos como “mantenedores”, terão que revisar e aprovar as alterações.)
O invasor, usando o nome Jia Tan, parece ter passado vários anos ganhando lentamente a confiança de outros desenvolvedores do xz Utils e obtendo mais controle sobre o projeto, eventualmente se tornando um mantenedor e, finalmente, inserindo o código com o backdoor oculto no início deste ano. (A nova versão comprometida do código foi lançada, mas ainda não era amplamente utilizada.)
Freund se recusou a adivinhar quem poderia estar por trás do ataque. Mas ele disse que quem quer que fosse era sofisticado o suficiente para tentar encobrir seus rastros, inclusive adicionando código que tornava o backdoor mais difícil de detectar.
“Foi muito misterioso”, disse ele. “Eles claramente gastaram muito esforço tentando esconder o que estavam fazendo.”
Desde que suas descobertas se tornaram públicas, disse Freund, ele tem ajudado as equipes que estão tentando fazer a engenharia reversa do ataque e identificar o culpado. Mas ele tem estado ocupado demais para descansar sobre os louros. A próxima versão do PostgreSQL, o software de banco de dados em que ele trabalha, será lançada ainda este ano, e ele está tentando fazer algumas alterações de última hora antes do prazo.
“Eu realmente não tenho tempo para sair e tomar uma bebida comemorativa”, disse ele.
