Como um burnout pode ter levado a um backdoor no ecossistema Linux

5 comentários

1. Pelo que vi, as distros mais mainstream só foram afetadas nas versões de testagem (como Fedora 41, enquanto que a 40 ainda não foi ao público geral).

   Recomendo a leitura desse post pra ver a linha do tempo de como foi evoluindo:

   https://boehs.org/node/everything-i-know-about-the-xz-backdoor

2. Li em algum lugar do Mastodon algo nas seguintes linhas: “Comunidade tóxica é uma brecha de segurança.”

   O argumento é, que nesse caso, o assédio de um usuário (provavelemente um fantoche do atacante) a um mantenedor solo voluntário já exaurido, passou despercebido como uma dinâmica para introduzir um _bad actor_ ao projeto pq esse tipo de comportamento é comum na comunidade FOSS.

3. Eu tava acompanhando essa história. O fato do quão elaborado é o backdoor (dois anos conquistando a confiança do mantenedor e o código escondido em arquivos de teste/compilação) faz a coisa parecer orquestrada por alguma organização ao invés de um hacker solitário

4. Como uso Arch (uma das poucas distros afetadas), fiquei preocupado. Fui ver qual versão eu tinha, mas já tava corrigida.
   Acompanhando os desdobramentos, tenho a impressão que a conta de onde veio a sabotagem (se é que não foi invadida) poderia bem ser de um programador genuíno que, ao perceber o poder que acabou ganhando no projeto, resolveu sacanear.
   Essa possibilidade paira como uma sombra ameaçadora desde o backdoor mencionado por Ken Thompson, um dos criadores do Unix, ainda nos anos 80: https://www.schneier.com/blog/archives/2006/01/countering_trus.html
   Era uma questão de tempo para acontecer. Ouvi gente dizendo: “Tá vendo como open source é seguro?” Mas acho que essa crítica erra o ponto. O fato de ser open source é que permitiu a descoberta e a ação rápida.

5. Faltou o link do Miguel de Icaza, de onde tirei a história: https://elk.zone/mastodon.social/@Migueldeicaza/112185185331217769