Come nella celebre vignetta di xkcd che raffigura una complessa struttura tecnologica sorretta, nelle fondamenta, dal contributo volontario di un singolo sviluppatore anonimo, questo video del canale Veritasium racconta un caso reale che mette in luce la fragilità di alcune dipendenze software.

In questo caso l’anonimo volontario era un finlandese, Lasse Collin, che si occupava di XZ, una suite di strumenti software per la compressione dei dati su Linux. Col tempo Collin, che stava andando in burnout, delegò sempre più lavoro a un altro sviluppatore, nascosto dietro lo pseudonimo “Jia Tan”, che si era pian piano guadagnato la fiducia della comunità. Jia Tan ne approfittò per inserire una backdoor, che gli avrebbe permesso di rubare i dati personali che passano da XZ, e che riguardano non solo singoli utenti, ma anche aziende e governi: fu solo grazie a un altro sviluppatore, che per puro caso notò che la nuova suite sembrava operare più lentamente del solito, che Jia Tan fu scoperto e il suo piano fermato. Il video illustra le modalità con cui il codice malevolo è stato inserito e successivamente individuato, descrivendo le dinamiche tecniche e organizzative coinvolte nella gestione e nella sicurezza di progetti su cui si basa una parte rilevante dell’infrastruttura digitale. In conclusione, si discute su quanto i progetti open source siano vulnerabili ad attacchi di questo tipo (o se, al contrario, coinvolgendo più gente, permettano di essere meglio protetti), e di quale sia il rischio di altri attacchi del genere.