A internet, como qualquer pessoa que trabalhe em suas trincheiras lhe dirá, não é uma máquina suave e bem lubrificada. É uma colcha de retalhos bagunçada que foi montada ao longo de décadas e é mantida unida com o equivalente digital de fita adesiva e chiclete. Grande parte dela depende de software de código aberto que é mantido ingratamente por um pequeno exército de programadores voluntários que consertam os bugs (ou problemas), remendam os buracos e garantem que toda a engenhoca frágil, responsável por trilhões de dólares em PIB global, continue funcionando.
Na semana passada, um desses programadores pode ter salvado a internet de um grande problema.
Seu nome é Andres Freund. Ele é um engenheiro de software de 38 anos que mora em São Francisco, na Califórnia, e trabalha na Microsoft. Seu trabalho envolve o desenvolvimento de um software de banco de dados de código aberto conhecido como PostgreSQL, cujos detalhes provavelmente o deixariam entediado se eu pudesse explicá-los corretamente, o que não é o caso.
Recentemente, ao fazer uma manutenção de rotina, Freund encontrou sem querer uma falha (chamada de backdoor) escondida em um software que faz parte do sistema operacional Linux. O backdoor era um possível prelúdio de um grande ataque cibernético que, segundo os especialistas, poderia ter causado enormes danos, caso tivesse sido bem-sucedido.
Leia também
Agora, em uma saga digna de Hollywood, líderes de tecnologia e pesquisadores de segurança cibernética estão aclamando Freund como um herói. Satya Nadella, executivo-chefe da Microsoft, elogiou sua “curiosidade e habilidade”.
Em uma entrevista, Freund - que na verdade é um programador de fala mansa, nascido na Alemanha, que se recusou a tirar uma foto para esta história - disse que se tornar um herói popular da internet foi desorientador.
“Acho isso muito estranho”, disse ele. “Sou uma pessoa bastante reservada que só senta na frente do computador e invade códigos.”
A saga começou no início deste ano, quando Freund estava voltando de uma visita aos seus pais na Alemanha. Ao revisar um registro de testes automatizados, ele notou algumas mensagens de erro que não reconheceu. Como estava com jet lag e as mensagens não pareciam urgentes, ele as arquivou em sua memória.
Porém, algumas semanas depois, ao executar mais alguns testes em casa, ele notou que um aplicativo chamado SSH, que é usado para fazer login em computadores remotamente, estava usando mais poder de processamento do que o normal. Ele atribuiu o problema a um conjunto de ferramentas de compactação de dados chamado xz Utils e se perguntou se isso estava relacionado aos erros anteriores que ele havia visto.
Como outros softwares populares de código aberto, o Linux é atualizado o tempo todo, e a maioria dos bugs é resultado de erros inocentes. Mas quando Freund examinou atentamente o código-fonte em particular, ele descobriu que alguém havia plantado um código malicioso nas versões mais recentes do xz Utils. O código, conhecido como backdoor, permitiria que seu criador sequestrasse a conexão SSH de um usuário e executasse secretamente seu próprio código na máquina desse usuário.
No mundo da segurança cibernética, um engenheiro de banco de dados que sem querer encontra um backdoor em um recurso essencial do Linux é um pouco como um funcionário de uma padaria que sente o cheiro de um pão recém-assado, sente que algo está errado e deduz corretamente que alguém adulterou todo o suprimento global de fermento. É o tipo de intuição que requer anos de experiência e atenção obsessiva aos detalhes, além de uma boa dose de sorte.
No início, Freund duvidou de suas próprias descobertas. Será que ele realmente havia descoberto um backdoor em um dos programas de código aberto mais examinados do mundo?
“Foi uma sensação surreal”, disse ele. “Houve momentos em que pensei: devo ter tido uma noite de sono ruim e sonhado com febre.”
Mas suas investigações continuaram a revelar novas evidências e, na semana passada, Freund enviou suas descobertas a um grupo de desenvolvedores de software de código aberto. A notícia incendiou o mundo da tecnologia. Em poucas horas, uma correção foi desenvolvida e alguns pesquisadores creditaram a ele a prevenção de um ataque cibernético potencialmente histórico.
“Esse pode ter sido o backdoor mais difundido e eficaz já implantado em qualquer produto de software”, disse Alex Stamos, diretor de confiança da SentinelOne, uma empresa de pesquisa de segurança cibernética.
Se não tivesse sido detectado, disse Stamos, o backdoor teria “dado a seus criadores uma chave mestra para qualquer uma das centenas de milhões de computadores em todo o mundo que usam SSH”. Essa chave poderia ter permitido que eles roubassem informações privadas, implantassem malware incapacitante ou causassem grandes interrupções na infraestrutura - tudo sem serem pegos.
Ninguém sabe quem plantou o backdoor. Mas a trama parece ter sido tão elaborada que alguns pesquisadores acreditam que somente uma nação com habilidades formidáveis de hacking, como a Rússia ou a China, poderia tê-la tentado.
De acordo com alguns pesquisadores que voltaram e analisaram as evidências, o invasor parece ter usado um pseudônimo, “Jia Tan”, para sugerir alterações no xz Utils já em 2022.
O invasor, que usa o nome Jia Tan, parece ter passado vários anos conquistando lentamente a confiança de outros desenvolvedores do xz Utils e obtendo mais controle sobre o projeto, tornando-se um mantenedor e, finalmente, inserindo o código com o backdoor oculto no início deste ano.
Freund se recusou a adivinhar quem poderia estar por trás do ataque. Mas ele disse que quem quer que fosse era sofisticado o suficiente para tentar encobrir seus rastros, inclusive adicionando código que tornava o backdoor mais difícil de ser detectado.
“Foi muito misterioso”, disse ele. “Eles claramente se esforçaram muito para tentar esconder o que estavam fazendo.”
Desde que suas descobertas se tornaram públicas, diz Freund, ele tem ajudado as equipes que estão tentando fazer a engenharia reversa do ataque e identificar o culpado. Mas ele tem estado muito ocupado para descansar sobre os louros. A próxima versão do PostgreSQL, o software de banco de dados no qual ele trabalha, será lançada no final deste ano, e ele está tentando fazer algumas alterações de última hora antes do prazo final.
“Na verdade, não tenho tempo para sair e tomar um drinque para comemorar”, disse ele.
Este conteúdo foi traduzido com o auxílio de ferramentas de Inteligência Artificial e revisado por nossa equipe editorial. Saiba mais em nossa Política de IA.
