Se dovessi riassumere il concetto di ‘supply chain attack’ con una sola analogia, ti direi che è come comprare un kit per costruire una macchina a CNC da un venditore di mercatino, e scoprire che tra i bulloni e i cavi è stata nascosta una bomba a orologeria con un timer impostato per il tuo login.
Non è un caso che l’ecosistema WordPress sia un anfiteatro meraviglioso, ma anche un gigantesco mercato nero di componenti non certificati. E proprio qui è successo l’ultima settimana. La storia che ha fatto il giro di Hacker News è un classico, ma mai noioso: qualcuno ha comprato trenta plugin WordPress, e non li ha solo installati, li ha *infettati*. Ha piantato un backdoor in ognuno di loro.
Quando si parla di cybersecurity, l’hype ci fa credere che i sistemi complessi siano intrinsecamente più sicuri, ma la realtà è che la complessità è solo un altro vettore di attacco. Questi plugin, che sono il pane quotidiano per milioni di siti, sono la nostra dipendenza digitale. E quando la dipendenza si basa su pezzi di codice scritti da gente che probabilmente ha fatto da principiante il suo primo progetto Pi, il rischio è altissimo.
Il punto non è tanto il *cosa* è stato fatto (un backdoor, un pezzo di codice malevolo che aspetta il momento giusto per farsi notare), quanto il *come* è successo. Questo attacco sfrutta un punto debole che è strutturale: la fiducia. Ci aspettiamo che un plugin, sviluppato magari da un freelance che vive in una stanza affittata e che ha solo comprato un abbonamento Premium a un’app di grafica, sia sicuro quanto il codice che scriveremmo noi con cura e test su un ambiente isolato.
E qui arriva il mio punto da smanettone: non dobbiamo guardare solo l’attaccante, dobbiamo guardare il modello. Lo sviluppo di piattaforme massive come WordPress si è trasformato in un gigantesco ‘vendor lock-in’ di codice esterno. È comodo, è veloce, ma è come costruire un super-robot con mille pezzi di LEGO trovati in garage diversi, senza mai sapere quale pezzo non è originale.
Cosa significa per noi che amiamo mettere le mani in pasta? Significa che la paranoia non è un optional, è un requisito minimo. Non basta più ‘aggiornare’ il sistema operativo; dobbiamo iniziare ad auditare ogni singola dipendenza, ogni singolo plugin, ogni singolo script che chiamiamo ‘comodo da usare’. Dobbiamo trattare ogni repository di codice esterno come se fosse un componente che stiamo per saldare a un circuito critico: analizzarlo, testarlo e, se possibile, farlo girare in un sandbox isolato.
Se vogliamo costruire sistemi robusti, dobbiamo abbandonare l’illusione che la popolarità garantisca la sicurezza. Un sistema deve essere forte quanto il suo anello più debole, e spesso quell’anello è un plugin “gratis e comodissimo” che nessuno si è preso la briga di controllare. Meglio spendere tempo a scrivere il codice di sicurezza noi stessi, che fare affidamento sulla benevolenza di un fornitore anonimo.
Source: Someone Bought 30 WordPress Plugins and Planted a Backdoor in All of Them