De spion die (bijna!) miljoenen computers kraakte
Is Jia Tan een spion of een cybercrimineel? Dat weet voorlopig niemand. Niemand heeft deze persoon (of personen?) trouwens ooit gezien, ook al werkte hij drie jaar lang openlijk mee aan software die geïnstalleerd is op vele miljoenen Linux-computers – de computers die zowat de ruggengraat van het internet uitmaken.
Jarenlang droeg hij stilletjes bij aan een totaal onbekend maar cruciaal stukje software – XZ Utils genaamd. Toen dropte hij er een stukje vergiftigde programmacode in. Dat werd vorige week nét op tijd, en toevallig, ontdekt door een ingenieur van Microsoft. Dat dit zomaar kon gebeuren, heeft heel wat mensen aan het denken gezet. Want als het zo makkelijk is, wie zegt dan dat het niet al talloze keren eerder is gebeurd, en nog aan het gebeuren is?
In 2021 duikt op de website Github een nieuwe gebruiker op: JiaT75. Hij begint als vrijwilliger mee te werken aan XZ Utils. Dat is heel gebruikelijk in de wereld van open sourcesoftware: je werkt gratis mee aan een stuk software in ruil voor ervaring en erkenning, die vaak ook kunnen leiden tot een job.
En dan de meest zorgwekkende vraag: hoeveel andere Jia Tans zijn er?
XZ Utils is een van die merkwaardige stukjes software waar niemand ooit van heeft gehoord, maar waarvan er ontstellend veel bestaan. Ze voeren een kleine taak uit (in dit geval: het comprimeren van bestanden, een beetje zoals Zip). Ze zijn gratis. Ze worden op talloze plekken gebruikt, ergens onder de motorkap. En – hier komt het – ze worden ontwikkeld door een handjevol onbetaalde vrijwilligers. In dit geval maar één man: Lasse Collin, die de software vijftien jaar geleden schreef en sindsdien in zijn vrije tijd onderhoudt. Het opmerkelijke aan XZ Utils is dat het als bouwsteentje ook wordt gebruikt in de uiterst belangrijke beveiligingssoftware SSH.
JiaT75 begon dus Lasse Collin te helpen, met goede suggesties en verbeteringen aan XZ Utils. Zo won hij diens vertrouwen. Toen begon Collin onvriendelijke mails te krijgen. ‘Gebruikers’ van XZ Utils joegen hem op om de software verder te verbeteren en uit te breiden. Het ging allemaal veel te traag, klaagden ze. Waarschijnlijk kwamen die mails van Jia Tan. Hoe dan ook: het werd Collin allemaal te veel. Dus hij besloot de verantwoordelijkheid voor XZ Utils voortaan te delen met die behulpzame, getalenteerde Jia Tan. Kort daarna smokkelde die een paard van Troje binnen in XZ Utils. Die nieuwe versie van XZ Utils stond op het punt om deel uit te maken van het Linux-besturingssysteem.
Dat Jia Tan technisch zo sterk is, zijn doelwit zo slim uitkoos en vervolgens drie jaar geduldig de tijd nam, doet sterk vermoeden dat hij betaald werd door een inlichtingendienst. Maar van welk land? China? Rusland? Noord-Korea? Die drie landen werden deze week haast automatisch genoemd. Het kunnen natuurlijk ook de Verenigde Staten zijn. Uit de documenten die tien jaar geleden werden gelekt door klokkenluider Edward Snowden, bleek dat de Amerikaanse NSA ooit een achterpoortje binnensmokkelde in de encryptiesoftware RSA.
Maar Jia Tan blijkt zijn sporen goed te hebben gewist. Extra zorgwekkend: Jia Tan heeft nog aan minstens zeven andere programma’s meegewerkt. Wat hij daar allemaal heeft uitgespookt, wordt nu uitgezocht. En dan de meest zorgwekkende vraag: hoeveel andere Jia Tans zijn er?