Andres Freund kan egentlig ikke rigtig lide at være i spotlyset.
Han er rolig, stille og privat, og han kan allerbedst lide at bruge tiden foran computeren og sidde og kode.
Men siden foråret har Andres Freund ikke kunne gå helt under radaren.
Microsoft-udvikleren var nemlig manden, der i slutningen af marts opdagede en kritisk bagdør i XZ Utils-programmet, der bliver brugt i stort set alle Linux-systemer.
Da Andres Freund sad og arbejdede, opdagede han, at programmet kørte langsommere, end han normalt var vant til, og det fik ham til at stoppe op og undersøge, hvad der var i vejen.
Og heldigvis for det.
Dét, som Andres Freund havde opdaget, var nemlig en bagdør, der potentielt kunne have givet de forkerte hænder adgang til millioner af systemer verden over.
”Man må betragte det som en total tilfældighed, at det overhovedet blev spottet,” siger Jacob Herbst.
Han er teknisk chef og partner i it-sikkerhedsvirksomheden Dubex – og han lægger ikke fingre imellem, når han skal beskrive det cyber-angreb, Andres Freund opdagede.
”Personligt vil jeg betragte det som det mest alvorlige kendte forsøg på et supply chain attack, vi har set til dato,” siger Jacob Herbst.
Supply chain attacks
Og lad os lige få styr på, hvad et supply chain attack egentlig er.
I bund og grund kan det være mange forskellige ting, men det handler om, at din digitale forsyningskæde på en eller anden måde bliver kompromitteret.
Og i dag har vi virkelig, virkelig mange led i den kæde. Vi benytter os alle sammen af uendelig mange softwareprodukter og -services, og derfor opstår der hele tiden nye steder, hvor der kan blive smidt en sårbarhed ind.
Personligt vil jeg betragte det som det mest alvorlige kendte forsøg på et supply chain attack, vi har set til dato.
De seneste år har vi allerede set en række alvorlige supply chain attacks – de mest kendte er NotPetya-angrebet i 2017 og SolarWinds-angrebet i 2020.
I NotPetya-angrebet, der blandt andet ramte Maersk, gik hackerne ind via en opdatering til et ukrainsk skatteindberetningsprogram, og i SolarWinds-angrebet lavede hackerne en bagdør i en opdatering til Orion-softwaren, som virksomheden står bag.
En master-nøgle til alle Linux-systemer
Og hvis vi går tilbage til XZ Utils-programmet, var det faktisk også en inficeret opdatering, der var grundlag for hele miseren.
Programmet er et open source-bibliotek og et værktøj til at komprimere data og pakke filer i Linux-systemer. I den opdatering – der heldigvis aldrig blev sendt bredt ud – er der funktioner, der placerer en bagdør i SSH-softwaren. Det er den software, der skal skabe en sikret forbindelse mellem computeren eller serveren og internettet.
Normalt bruger man blandt andet certifikater, når folk logger på, så enkeltpersoner bliver valideret, inden de får adgang.
Men bagdøren giver angriberen en form for master-nøgle, som gør, at angriberen reelt kan komme ind i alle de systemer, han har lyst til.
Ergo: Bagmanden bag XZ Utils-programmet kunne få adgang til samtlige Linux-computere ude på nettet, der kører SSH.
Hvor mange kunne have været blevet ramt?
”Det er relativt mange Linux-distributioner, vi snakker om, så i princippet er det en voldsom stor del af alle verdens Linux-installationer, som på et eller andet tidspunkt formentlig ville være blevet opdateret med det her,” siger Jacob Herbst.
Jacob Herbst er teknisk chef i it-sikkerhedsvirksomheden Dubex, som han var med til at stifte i 1997. I dag er han en af landets førende eksperter, når det gælder it-sikkerhed og hackerangreb. Foto: Dubex
Var det den kinesiske efterretningstjeneste?
Det helt store spørgsmål, når det handler om hackerangreb, er naturligvis: Hvem står bag?
Det er ikke slået fast, hvem der faciliterede XZ Utils-angrebet, men man har en formodning om, at det er den kinesiske efterretningstjeneste, fortæller Jacob Herbst.
”Og hvis angrebet var lykkedes, ville det have givet dem adgang til millioner af systemer rundt i verden, og så kunne de have cherry picket de steder, hvor der var virksomheder og data, de gerne ville have adgang til,” siger han og fortsætter:
”Kineserne har i stor stil forsøgt i de seneste år at få bagdøre ind i blandt andet kritisk infrastruktur i USA. For hvis der så skulle komme en konflikt mellem Kina og USA, så ville de kunne lave voldsom sabotage.”
Jia Tan snød alle
Selvom vi ikke med sikkerhed ved, om det rent faktisk var den kinesiske efterretningstjeneste, der stod bag, ved vi, hvordan hackerne – eller hackeren – kom ind.
I længere tid var Lasse Collin, der er manden, som stod for at vedligeholde XZ Utils-programmet, nemlig blevet bombarderet med henvendelser.
Flere ting skulle rettes, og som det sig hør og bør med et open source-program, hang opgaven på frivillige kræfter – og i det her tilfælde Lasse Collin.
Hvis angrebet var lykkedes, ville det have givet dem adgang til millioner af systemer rundt i verden.
Men han var presset, og der var en tilsyneladende venlig sjæl i miljøet, der gerne ville hjælpe med at håndtere alle justeringer.
Så Lasse Collin tog imod den udstrakte hånd og gav Jia Tan adgang til det inderste i XZ Utils-systemet.
Desværre viste det sig, at Jia Tan var et scam.
Jia Tan placerede den bagdør, som kunne have forvoldt uendelig meget skade, hvis Andres Freund – ham den kvikke Microsoft-udvikler, du hørte om i starten – ikke havde opdaget den.
Og er Jia Tan så rent faktisk et ægte menneske?
Det ved vi desværre ikke.
”Man kan tydeligt se, at der er gjort en kæmpestor indsats for at skjule ham. Han har skjult alle sine digitale spor, og han optræder ingen andre steder,” siger Jacob Herbst.
Ekstremt skrøbelige systemer
I princippet er historien om XZ Utils-angrebet en lykkelig fortælling, for det blev opdaget, og katastrofen blev afværget.
Men det ville næsten være dumt, hvis vi ikke tog nogen læringer med os.
Og den første ting, vi kan lære af XZ Utils-sagen er, at vi skal erkende, hvor skrøbelige rigtig mange af de ting, vi omgiver os med, i realiteten er, mener Jacob Herbst.
”Specielt når det gælder vores digitale supply chain, så er vi ekstremt sårbare og skrøbelige.”
Vi er derfor nødt til at have flere lag i vores sikkerhed, påpeger han, for ellers er det alt for svært at forhindre, at vi bliver angrebet og udnyttet.
Open source – sikker or not?
Og så kan angrebet også være en anledning til, at vi taler om sikkerheden i open source.
For selvom tilhængere af open source formentlig vil sige, at sikkerheden er særligt høj, da kildekoden er åben og derfor kan tjekkes igennem af alle, er det ikke hele sandheden, lyder det fra Dubex-chefen.
Specielt når det gælder vores digitale supply chain, så er vi ekstremt sårbare og skrøbelige.
”Problemet er, at bare fordi man har adgang til kildekoden, så er det stadig supersvært at gennemanalysere en relativt stor og kompleks kildetekst og gennemskue, om der måske skjuler sig en eller anden sårbarhed. Det kræver nogle kompetencer, som der er rigtig få af derude,” siger Jacob Herbst og tilføjer:
”Derfor kan man godt spekulere på, om det i praksis overhovedet sker.”
Tilliden har lidt et knæk
Spørgsmålet er også, om sagen har haft konsekvenser for tilliden i open source-miljøet.
For hvordan skal man nu kunne stole på, at ham eller hende, der tilbyder dig sin hjælp, rent faktisk har gode intentioner?
Hvis man spørger Jacob Herbst, har XZ Utils-angrebet rystet open source-netværket, der er bygget op på frivillighed, frihed og fællesskab på tværs af landegrænser.
”Sådan noget som det her er med til at underminere tilliden i miljøet, og derfor kan man også godt forestille sig, at det måske på sigt bliver sværere at finde de ressourcer, som der skal til, hvis man bliver ved med at holde fast i, det er 100 procent frivilligt, når man vedligeholder open source,” siger han og fortsætter:
”Der sidder helt sikkert rigtig mange derude, som nu vil være endnu mere tilbageholdne med at lukke andre personer ind i varmen og hjælpe til – på trods af at det formentlig i 99,99 pct af alle tilfælde vil være søde, flinke og hjælpsomme mennesker, som gør det, fordi de gerne vil bidrage til fællesskabet.”
De langvarige konsekvenser af XZ Utils-angrebet må vi vente på.
Nu og her kan vi bare glæde os over, at Microsoft-udvikleren Andres Freund var ekstra vågen, da han tog på arbejde den dag i foråret.
Vil du høre mere om XZ Utils-angrebet? Tag med til PROSA’s ”gå-hjem-møde” den 13. august kl. 17.30-19.30, hvor Jacob Herbst fortæller endnu mere om sagen. Tilmeld dig her.