Saya mau cerita sedikit. Cukup menarik bagi saya. Beberapa hari yang lalu saya nonton Youtube sambil sarapan dan menemukan video ini. Berkaitan dengan Linux.
Linux memang pasarnya sedikit untuk pengguna desktop. Namun, lebih dari 90 persen (atau bahkan hampir 100%) server menggunakan Linux. Dimana server-server ini yang memungkinkan berbagai layanan online yang biasa kita gunakan ini dapat aktif.
By Benedikt.Seidl – Eigenes Werk (own work) / source top500.org, Public Domain, Link
Linux seringkali dikatakan sebagai sistem yang memiliki tingkat keamanan yang tinggi. Namun bukan berarti Linux kebal dari berbagai serangan seperti virus/malware.
Biasanya, pada sebuah project Open Source banyak pihak yang berkontribusi dalam pengembangannya. Namun untuk keputusan final direview oleh sekelompok orang (atau seseorang) yang disebut sebagai Maintainer.
By Jia Tan – CC BY-SA 4.0, Link
XZ (XZutils) merupakan format kompresi data yang biasa ada di Linux. Bisa diibaratkan seperti .zip di Windows. Seseorang bernama Lasse Collin bertindak sebagai maintainer pada project XZutils ini. Dia bertugas untuk review, menolak atau menerima kontribusi dari anggota lain.
Beberapa anggota yang berkontribusi dalam project ini, sebut saja Kumar dan ENS merasa kurang puas dengan kinerja dari Collin. Mereka merasa kalau Collin responnya lambat. Misalnya dalam hal approval dan update dari XZutils. Ada juga saran/dorongan untuk mengganti Maintainer.
Collin menjawab hal ini dengan mengatakan kalau dia sedang mengalami berbagai masalah. Dan juga sedang mengerjakan beberapa hal terkait XZutils bersama user dengan nama Jia Tan (dimana Collin berkata mungkin saja Jia Tan akan memiliki role yang lebih pada XZutils di masa yang akan datang).
Jia Tan, berdasarkan profil GitHubnya, mengerjakan/berkontribusi pada beberapa projects sejak 2021. Sejak 2022, Jia Tan mulai berkontribusi dalam pengembangan XZutils. Selain rutin berkontribusi, Jia Tan juga terkenal dengan responnya yang ramah di komunitas.
Collin juga berminat untuk mencari seorang co-maintainer untuk menangani project ini. Syaratnya antara lain harus memiliki skill, waktu, dan minat yang besar terhadap project ini. Jia Tan sepertinya memenuhi semua syarat tersebut. Pada Juni 2022, Jia Tan “naik pangkat” menjadi co-maintainer dari proyek XZutils ini. Makin banyak juga kontribusi yang diberikan oleh Jia Tan. Bahkan mengedit XZutilsnya sendiri. Pada Maret 2023, Jia Tan mengganti kontak pada OSS-Fuzz (untuk memantau bug pada proyek Open Source) ke kontak Jia Tan. Dimana hal ini menyebabkan notifikasi keamanan tidak lagi diterima ke akun Collin.
Kemudian, ada user dengan nama Jansen memberikan kontribusi pada XZutils dan di-approve oleh Jia Tan. Pada Maret 2024, Jansen merekomendasikan Debian untuk menyertakan versi baru dari XZutils untuk dapat disertakan pada versi Debian yang akan datang dengan alasan versi baru XZutils ini dapat mengatasi a particular bug.
Dimana teman-teman mungkin sudah tahu, Debian adalah salah satu distro Linux yang terkenal sangat stabil dan update besarnya gak datang dalam waktu singkat (bukan distro rolling release). Debian pun menyertakan versi baru dari XZutils ini pada Debian versi SID atau versi pengembangan.
Di tempat lain, ada seorang developer Microsoft yang hobi ngoprek/testing Linux dengan nama Andres. Andres ini menemukan hal yang janggal saat mencoba versi Debian SID ini.Ada service yang menggunakan resource dengan jumlah yang signifikan. Yaitu SSH. Andres juga melihat bahwa ada delay sekitar 500ms.
Andres mengecek lebih lanjut dan ternyata service SSH ini ada kaitannya (dependensi) dengan XZutils. Saat ditelusuri lebih lanjut oleh Andres, ternyata pada XZutils ini terdapat suatu kode malicious yang memungkinkan adanya backdoor pada komputer yang terinfeksi. Andres pun menghubungi pihak Debian terkait hal ini dan juga menginformasikan temuannya pada halaman media sosial miliknya.
Detail lain terkait insiden ini juga dapat ditemukan pada laman Wikipedia yang ada pada link ini. Itu dulu tulisan saya kali ini. Bye.