Cyber Security

Digital

10.04.2024

การตรวจพบความผิดปกติของ Open Source XZ Utils

เมื่อวันที่ 5 เมษายน ณ กรุงวอชิงตัน โลกของซอฟต์แวร์ต้องสั่นสะเทือนเมื่อ Andres Freund นักพัฒนาซอฟต์แวร์จากบริษัทไมโครซอฟท์ตรวจพบความผิดปกติของโปรแกรมระหว่างทดสอบประสิทธิภาพอย่างละเอียด ทำให้เจ้าหน้าที่และอุตสาหกรรมเทคโนโลยีในสหรัฐฯ หันมาให้ความสำคัญกับเรื่องนี้มากขึ้น

Freund กล่าวว่า เวอร์ชันล่าสุดของ Open Source XZ Utils ถูกทำลายโดยนักพัฒนาคนหนึ่ง ซึ่งอาจส่งผลต่อเซิร์ฟเวอร์หลายล้านเครื่องบนอินเตอร์เน็ต โดยเหตุการณ์ครั้งนี้ส่งผลให้ความปลอดภัยของ Open Source หรือโปรแกรมฟรีที่มักจะถูกดูแลโดยอาสาสมัคร นอกจากนี้ยังมีอีกหลากหลายโปรแกรมที่ผู้ดูแลเป็นอาสาสมัครที่ไม่ได้ค่าตอบแทน พวกเขาต้องรับมือกับปัญหาและการอัพเกรด XZ หรือ ชุดเครื่องมือบีบอัดไฟล์ที่รวมอยู่ในระบบปฏิบัติการ Linux ที่ถูกเขียนขึ้นโดย Lasse Collin

Collin ได้โพสต์ทางอีเมลสาธารณะในเดือนมิถุนายน 2022 ว่า เขากำลังเผชิญกับ “ปัญหาสุขภาพจิตในระยะยาว” และได้กล่าวถึง Jia Tan หรือนักพัฒนาคนใหม่ที่อาจเข้ามามีบทบาทมากขึ้นในอนาคต

จากข้อมูลบนเว็ปไซต์ Github กล่าวถึง Jia Tan ว่าเขามีบทบาทมากขึ้นอย่างรวดเร็วในปี 2023 เขาได้เขียนโค้ดของตนเองเข้าไปผสานใน XZ ซึ่งแสดงให้เห็นว่าเขาได้รับความไว้วางใจในโครงการนี้แล้ว

แต่เมื่อนักวิชาการด้านความปลอดภัยตรวจสอบข้อมูลดังกล่าว กลับพบว่า Tan แสวงหาผลประโยชน์ในฐานะอาสาสมัครและนำรหัสลึกลับเข้าไปแฝงอยู่ใน XZ เกือบทั้งหมด

สำนักข่าวรอยเตอร์ได้ส่งข้อความไปยังบัญชี Gmail ของ Tan แต่ไม่ได้รับการตอบกลับ จึงไม่สามารถรู้ได้ว่า Tan เป็นใคร อยู่ที่ไหน และทำงานให้ใคร แต่จากข้อมูลการตรวจสอบคาดว่าว่า Tan เป็นเพียงนามปากกาของกลุ่มแฮกเกอร์ที่ทำงานให้กับหน่วยข่าวกรองที่มีอิทธิพล
และหาก Freund ตรวจไม่พบความผิดปกติของโปรแกรมระหว่างทดสอบประสิทธิภาพเวอร์ชันล่าสุดของ XZ ในวันนั้น ตันอาจถูกปล่อยตัวไปได้อย่างง่ายดาย

จากเหตุการณ์ครั้งนี้ Satya Nadella ผู้บริหารสูงสุดของไมโครซอฟท์ ได้กล่าวขอบคุณ Freund บนสื่อโซเชียลมีเดีย
เจ้าหน้าของสหรัฐก็ได้ตระหนักถึงผลกระทบที่อาจเกิดขึ้นหาก Freund ไม่สามารถตรวจพบความผิดปกติและได้ให้ความสำคัญกับความปลอดภัยของ Open Source มากขึ้น

ที่มา: https://www.reuters.com/technology/cybersecurity/why-near-miss-cyberattack-put-us-officials-tech-industry-edge-2024-04-05/

RECOMMEND