Lessen van: de nipt afgewende XZ-securityramp
Cybersecurity is een kwetsbaar ding en kwaadwillenden kunnen geniepig gericht te werk gaan. Zoals de aanvaller achter de ‘kaping’ van opensourcesoftware XZ, dat als component in heel veel andere software zit. Jaren van subtiel werk, technische bijdragen en pressie op de overbelaste ontwikkelaar heeft een backdoor voor exclusief gebruik opgeleverd. Die dankzij een performancegerichte techneut is ontdekt. Hier valt van te leren.
Stap één: je identificeert een tool die in heel veel systemen aanwezig is, om een gewenste subset van systemen op de korrel te kunnen nemen. Stap twee: je levert diverse bijdragen aan de code van die software. Stap drie: je zet de overbelaste oorspronkelijke maker onder druk, met social engineering. Stap vier: je werkt jezelf op naar co-maintainer van de tool. Stap vijf: je brengt je gerichte backdoor binnen. Maar de laatste stap van succes (‘profit’ in de bekende internetmeme) is verhinderd. Per toeval.