Linux, sistem operasi open source yang paling banyak digunakan di dunia, dengan sempitnya terhindar dari serangan cyber massif selama akhir pekan Paskah, semua berkat seorang sukarelawan. Backdoor telah dimasukkan ke dalam rilis terbaru dari format kompresi Linux yang disebut XZ Utils, sebuah alat yang sedikit dikenal di luar dunia Linux namun digunakan di hampir setiap distribusi Linux untuk mengompresi file besar, membuat transfer lebih mudah. Jika menyebar lebih luas, sejumlah sistem bisa tercompromise selama bertahun-tahun. Dan seperti yang dicatat oleh Ars Technica dalam rangkumannya yang menyeluruh, pelaku telah bekerja pada proyek tersebut secara terbuka.
Kerentanan, yang dimasukkan ke dalam log-in remote Linux, hanya terungkap pada satu kunci, sehingga dapat disembunyikan dari pemindaian komputer publik. Seperti yang ditulis oleh Ben Thompson di Stratechery, “mayoritas komputer di dunia akan rentan dan tidak ada yang akan tahu.” Kisah penemuan backdoor XZ dimulai pada pagi hari 29 Maret, ketika pengembang Microsoft berbasis San Francisco, Andres Freund, memposting di Mastodon dan mengirim email ke milis keamanan OpenWall dengan judul: “backdoor di upstream xz/liblzma mengarah ke kompromi server ssh.” Freund, yang menjadi sukarelawan sebagai “maintainer” untuk PostgreSQL, sebuah database berbasis Linux, memperhatikan beberapa hal aneh selama beberapa minggu terakhir saat menjalankan pengujian. Log-in terenkripsi ke liblzma, bagian dari pustaka kompresi XZ, menggunakan banyak CPU. Tidak ada alat kinerja yang dia gunakan yang menunjukkan apapun, tulis Freund di Mastodon. Hal ini segera membuatnya curiga, dan dia mengingat “keluhan aneh” dari pengguna Postgres beberapa minggu sebelumnya tentang Valgrind, program Linux yang memeriksa kesalahan memori. Setelah penyelidikan, Freund akhirnya menemukan apa yang salah. “Repositori xz upstream dan tarball xz telah dibackdoor,” catat Freund dalam emailnya. Kode jahat tersebut ada dalam versi 5.6.0 dan 5.6.1 dari alat dan pustaka xz. Segera setelah itu, perusahaan perangkat lunak open source Red Hat mengirimkan peringatan keamanan darurat untuk pengguna Fedora Rawhide dan Fedora Linux 40. Pada akhirnya, perusahaan menyimpulkan bahwa versi beta Fedora Linux 40 mengandung dua versi yang terpengaruh dari pustaka xz. Versi Fedora Rawhide kemungkinan menerima versi 5.6.0 atau 5.6.1 juga. MOHON SEGERA BERHENTI MENGGUNAKAN SETIAP INSTANSI FEDORA RAWHIDE untuk pekerjaan atau aktivitas pribadi. Fedora Rawhide akan segera dikembalikan ke xz-5.4.x, dan setelah itu dilakukan, instansi Fedora Rawhide dapat didirikan kembali. Meskipun versi beta Debian, distribusi Linux gratis, mengandung paket yang terpengaruh, tim keamanannya segera bertindak untuk mengembalikannya. “Saat ini tidak ada versi Debian stabil yang diketahui terpengaruh,” tulis Salvatore Bonaccorso dari Debian dalam peringatan keamanan kepada pengguna pada Jumat malam. Freund kemudian mengidentifikasi orang yang mengirimkan kode jahat sebagai salah satu dari dua pengembang utama XZ Utils, yang dikenal sebagai JiaT75, atau Jia Tan. “Dengan aktivitas selama beberapa minggu, pemberi komit sepertinya terlibat langsung atau ada beberapa kompromi yang cukup parah terhadap sistem mereka. Sayangnya yang terakhir tampaknya adalah penjelasan yang lebih tidak mungkin, mengingat mereka berkomunikasi di berbagai daftar tentang “perbaikan” yang disebutkan di atas,” tulis Freund dalam analisisnya, setelah mengaitkan beberapa cara kerja yang dilakukan oleh JiaT75. JiaT75 adalah nama yang akrab: mereka telah bekerja bersama pengembang asli format file .xz, Lasse Collin, untuk sementara waktu. Seperti yang dicatat oleh programmer Russ Cox dalam kronologinya, JiaT75 mulai dengan mengirimkan patch yang tampaknya sah ke daftar milis XZ pada Oktober 2021. Bagian lain dari skema itu terungkap beberapa bulan kemudian, ketika dua identitas lain, Jigar Kumar dan Dennis Ens, mulai mengirimkan keluhan kepada Collin tentang bug dan pengembangan proyek yang lambat. Namun, seperti yang dicatat dalam laporan oleh Evan Boehs dan lainnya, “Kumar” dan “Ens” tidak pernah terlihat di luar komunitas XZ, membuat penyelidik percaya bahwa keduanya palsu yang hanya ada untuk membantu Jia Tan masuk ke posisi untuk memberikan kode berbackdoor. Email dari “Jigar Kumar” yang menekan pengembang XZ Utils untuk melepaskan kendali proyek. Gambar: Tangkapan layar dari The Mail Archive “Saya minta maaf tentang masalah kesehatan mental Anda, tetapi penting untuk menyadari batasan Anda sendiri. Saya mengerti bahwa ini adalah proyek hobi bagi semua kontributor, tetapi komunitas menginginkan yang lebih,” tulis Ens dalam salah satu pesan, sementara Kumar mengatakan dalam pesan lain bahwa “Kemajuan tidak akan terjadi sampai ada pengelola baru.” Di tengah-tengah pertukaran ini, Collins menulis bahwa “saya belum kehilangan minat tetapi kemampuan saya untuk peduli telah cukup terbatas, sebagian besar karena masalah kesehatan mental jangka panjang tetapi juga karena beberapa hal lain,” dan menyarankan agar Jia Tan mengambil peran yang lebih besar. “Juga penting untuk diingat bahwa ini adalah proyek hobi tanpa bayaran,” tulisnya. Email dari “Kumar” dan “Ens” terus berlanjut hingga Tan ditambahkan sebagai maintainer pada tahun itu, mampu melakukan perubahan, dan berusaha mendapatkan paket berbackdoor ke distribusi Linux dengan lebih banyak kewenangan. Insiden backdoor xz dan tindak lanjutnya adalah contoh dari keindahan open source dan kerentanan yang mencolok dalam infrastruktur internet. Seorang pengembang di balik FFmpeg, paket media open-source yang populer, menyoroti masalah ini dalam sebuah cuitan, mengatakan “Fiasco xz telah menunjukkan bagaimana ketergantungan pada sukarelawan yang tidak dibayar dapat menyebabkan masalah besar. Perusahaan triliun dolar mengharapkan dukungan gratis dan mendesak dari sukarelawan.” Dan mereka membawa bukti, menunjukkan bagaimana mereka menangani bug “prioritas tinggi” yang mempengaruhi Microsoft Teams. Meskipun Microsoft bergantung pada perangkat lunaknya, pengembang menulis, “Setelah meminta kontrak dukungan kepada Microsoft untuk pemeliharaan jangka panjang, mereka menawarkan pembayaran satu kali sejumlah ribuan dolar saja…investasi dalam pemeliharaan dan keberlanjutan tidak seksi dan mungkin tidak akan membuat manajer menengah mendapatkan promosi, tetapi akan membayar banyak kali lipat selama bertahun-tahun.” Rincian tentang siapa yang berada di balik “JiaT75,” bagaimana mereka menjalankan rencananya, dan sejauh mana kerusakan sedang diungkap oleh sekelompok pengembang dan profesional keamanan cyber, baik di media sosial maupun forum online. Namun, itu terjadi tanpa dukungan keuangan langsung dari banyak perusahaan dan organisasi yang mendapatkan manfaat dari penggunaan perangkat lunak yang aman.