در روز بیستونهم مارس یک محقق امنیتی اعلام کرد که بهطور تصادفی یک در پشتی مخفی را در xz Utils کشف کرده است که مجموعهای از نرمافزارهای رایگان فرمانپذیر بیضرر متراکمکننده داده برای سیستمعاملهای شبیه یونیکس (از نسخه ۵.۰ به بعد) و مایکروسافت ویندوز هستند. این بخش مبهم، اما حیاتی و مهم از نرمافزار متعلق به سیستمعاملهای لینوکس است که سرورهای اینترنتی جهان را کنترل میکنند. اگر این در پشتی به موقع کشف و پیدا نمیشد، همهچیز از زیرساختهای حیاتی ملی گرفته تا وبسایتی که تصاویر گربه شما را میزبانی میکند، آسیبپذیر میشدند.
این در پشتی توسط یک دستاندرکار ناشناس تعبیه شد که با مشارکتها و همکاریهای مفید در طول بیش از دو سال اعتماد سایر کدنویسها را جلب کرده بود. این صبر و پشتکار اثر انگشت یک سازمان اطلاعات دولتی را در خود دارد. چنین حملات بزرگی در زنجیره تامین به سرعت رو به افزایش هستند؛ حملاتی که نه دستگاهها یا شبکههای شخصی، بلکه نرمافزار و سختافزار زیربنایی را هدف قرار میدهند که آن دستگاهها و شبکههای شخصی به آنها وابسته هستند. در سالهای ۲۰۱۹ و ۲۰۲۰ آژانس اطلاعات خارجی روسیه (svr)، با ایجاد نقصی در یک پلتفرم مدیریت شبکه به نام SolarWinds Orion، توانست به شبکههای دولتی آمریکا نفوذ کند. اخیرا هکرهای دولتی چین برای دسترسی به اهداف اقتصادی، تجاری و نظامی در آمریکا و ژاپن، سیستمعامل و ریزبرنامههای روترهای شرکت سیسکو را تغییر دادند.
بهطور ذاتی اینترنت در برابر طرحهایی مانند در پشتی xz Utils آسیبپذیر است. این برنامه درست مانند خیلی موارد دیگری که به آن متکی است، ماهیت منبعباز دارد؛ به این معنی که کد آن به صورت عمومی در دسترس است. تقریبا شبیه به ویکیپدیا که هر کسی میتواند تغییراتی را در آن پیشنهاد کند. افرادی که کد منبعباز را نگه میدارند، اغلب در اوقات فراغت خود همین کار را انجام میدهند. در سال ۲۰۱۴ یک آسیبپذیری فاجعهبار در ابزار Openssl که بهطور گسترده برای ارتباطات امن استفاده میشود، کشف شد که بودجه آن تنها دو هزار دلار بود. در آن زمان تیتری مورد توجه قرار گرفت که پوچی این شرایط را به خوبی نشان میداد: «اینترنت توسط دو نفر به نام استیو محافظت میشود.»
بنیاد غیرانتفاعی Let’s Encrypt در طول یک دهه گذشته با استفاده از نرمافزارهای هوشمند برای سادهتر کردن فرآیند رمزگذاری اتصالات کاربران به وبسایتها، اینترنت را ایمنتر کرده است. هوش مصنوعی پیشرفتهتر هم در نهایت ممکن است تنها با ضربه یک کلید توانایی تشخیص ناهنجاریها را در میلیونها خط کد داشته باشد. با این حال اصلاحات دیگر مربوط به حوزه نظارت و قانونگذاری هستند. استراتژی سایبری آمریکا که در سال گذشته میلادی منتشر شد، این موضوع را روشن میکند که مسوولیت شکستها نباید بر عهده توسعهدهندگان متنباز باشد، بلکه «باید بر گردن ذینفعانی باشد که در عمل بیشترین توانایی برای جلوگیری از نتایج بد را دارند». این گزاره در عمل به معنای اشاره به دولتها و غولهای تکنولوژی به عنوان ذینفعان است که هر دو از کتابخانهها و آرشیوهای نرمافزاری رایگان نفع زیادی میبرند. هر دوی آنها باید بودجه و دامنه همکاری با موسسات غیرانتفاعی، مانند Open Source Initiative و بنیاد لینوکس را که از اکوسیستم منبعباز پشتیبانی میکنند، گسترش دهند. بنیاد مسوولیت جدید (New Responsibility Foundation) که یک اندیشکده آلمانی است، پیشنهاد میکند که به عنوان مثال دولتها ممکن است به کارمندان اجازه دهند تا در اوقات فراغت خود به بهبود نرمافزارهای منبعباز کمک کنند و قوانینی را که فعالیت هکرهای کلاه سفید یا هک اخلاقی را جرمانگاری میکنند، تسهیل کنند. آنها باید سرعت عمل بیشتری داشته باشند. تصور میشود که آن در پشتی xz Utils نخستین حمله زنجیره تامین کشف شده عمومی علیه یک بخش حیاتی از نرمافزار منبعباز باشد. اما این نه به معنای آن است که این حمله نخستین تلاش بوده باشد و نه به احتمال زیاد آخرین مورد آن خواهد بود.
منبع: اکونومیست