أعلن كيفن لوس، الكاتب المعروف في عمود التكنولوجيا في صحيفة نيويورك تايمز، مؤخرًا عن جائزة التكنولوجيا المتميزة السنوية لهذا العمود. هناك العديد من الفائزين بجائزة التكنولوجيا هذه، بما في ذلك مهندس قاعدة بيانات Microsoft أندريس فرويند. فاز أندريه فرويند بالجائزة لأنه اكتشف ثغرة الباب الخلفي لـ XZUtils، وهي مكتبة مفتوحة المصدر تستخدم على نطاق واسع في صناعة التكنولوجيا بأكملها، وقد تتسبب هذه الثغرة الأمنية في تأثيرات أمنية خطيرة على نطاق عالمي.
نظرًا لأن هذه المكتبة مفتوحة المصدر مدمجة أيضًا على نطاق واسع في أنظمة Linux، يمكن للمهاجمين استخدام الثغرة الأمنية لشن هجمات على عدد لا يحصى من خوادم Linux حول العالم (يمكنهم تجاوز مصادقة SSH والتحكم مباشرة في الخادم)، كما أن عملية تسميم مشروع XZ بأكمله هي أيضًا مثيرة للتفكير.
تمت صيانة مشروع XZ بواسطة مشرف رئيسي واحد فقط. ثم شارك مطور يُدعى JIATAN بشكل متكرر في المشروع لمدة عامين وحصل على ثقة المشرف الرئيسي. كان هدف JIATAN النهائي هو أن يصبح المشرف على المشروع وأن يزرع بابًا خلفيًا.
في النهاية، اعتبر هدف جياتان ناجحًا. تم زرع نقاط الضعف في XZ5.6.0~5.6.1 وتم دمجها في توزيعات Linux المتعددة. وبفضل اكتشاف أندريه فرويند للمشكلة في الوقت المناسب، تم تجنب وقوع حادث أمني على المستوى العالمي.
لم تكتشف الصناعة بعد هوية جياتان الحقيقية، ولكن من المتوقع أنه يعيش في أوروبا الشرقية ويحاول انتحال شخصية صيني لتسميم سلسلة التوريد. أتساءل عما إذا كانت ستكون هناك فرصة للعثور على الهوية الحقيقية لهذا الشخص في المستقبل.
قال كيفن بلو خلال حفل توزيع الجوائز:
لقد واجه بعض الأخطاء الغريبة أثناء إجراء الصيانة الروتينية لحزمة برامج مفتوحة المصدر غير معروفة، XZUtils. أثناء التحقيق معه، اكتشف بالصدفة ثغرة أمنية ضخمة في نظام التشغيل Linux، والتي يمكن أن تسمح للمتسللين بالتحكم في مئات الملايين من أجهزة الكمبيوتر وإيقاف العالم.
لقد اتضح أن جزءًا كبيرًا من بنيتنا التحتية الرقمية يعتمد على أعمال بطولية مماثلة (ملاحظة النقطة الزرقاء: كذا). بعد الكتابة عن النتائج التي توصل إليها فرويند، تلقيت نصائح حول كوارث أخرى تنطوي على مشاريع برمجيات مفتوحة المصدر، وكان الكثير منها بسبب قيام متطوعين شديدي البصر بالعثور على الأخطاء وإصلاح التعليمات البرمجية المهمة في الوقت المناسب لإحباط الأشرار.
لا أستطيع أن أسميهم جميعًا، لكن هذه الجائزة تقول: أراك يا مشرفي المصادر المفتوحة، وأنا أقدر خدمتك.