Se pensavate che il vostro unico problema fosse far compilare correttamente un codice C++ pieno di puntatori selvaggi, preparatevi a rimettervi in discussione.
La notizia che arriva da Ars Technica è di quelle che ti fanno venire voglia di staccare tutto e tornare a programmare su un Commodore 64, dove l’unico rischio di hacking era il tuo vicino di casa che cercava di rubarti i record di Donkey Kong. Un attacco alla supply chain ha puntato il mirino proprio contro i ‘pesi massimi’ della sicurezza: Checkmarx e Bitwardwarden. Sì, avete letto bene. I giganti che dovrebbero essere il nostro bunker digitale sono diventati il cavallo di Troia per i malintenzionati.
Ma come cavolo è possibile? Il succo della questione è che l’attacco non ha cercato di scassinare la porta blindata, ma ha corrotto i pezzi di ricambio mentre venivano fabbricati. In pratica, gli hacker sono riusciti a infiltrarsi nel processo di distribuzione di software e strumenti che noi diamo per scontati. Quando un’azienda come Bitwarden, che gestisce le nostre password (le uniche cose che ci separano dal caos totale), viene coinvolta in un incidente del genere, il problema non è solo un ‘bug’ o una patch da applicare. Il problema è la fiducia.
Da smanettone, questa cosa mi fa bollire il sangue. Noi siamo abituati a smontare hardware, a scrivere script per automatizzare tutto e a usare tool open source perché ci fidiamo di ciò che possiamo leggere e controllare. Ma quando il livello dell’attacco sale così in alto, colpendo la catena di approvvigionamento del software stesso, il perimetro di sicurezza svanisce. È come se scoprissi che le viti che usi per il tuo nuovo CNC sono state pre-programmate per autodistruggersi dopo mille ore di lavoro.
Cosa significa per noi che amiamo sporcarci le mani con l’elettronica e il codice? Significa che la fiducia cieca è diventata un lusso che non possiamo più permetterci. Non dico di smettere di usare Bitwarden (perché, onestamente, gestire le password a memoria è una missione impossibile), ma è il momento di riconsiderare la nostra ‘igiene digitale’. Verificare le integrità, preferire il self-hosting quando possibile e, soprattutto, smettere di considerare i vendor come entità infallibili.
Non lasciatevi incantare dal marketing della ‘sicurezza totale’. La sicurezza assoluta è una favola per vendere abbonamenti SaaS costosi. La vera sicurezza è l’ossessione per il controllo. Quindi, mentre continuate a modellare i vostri pezzi in Blender o a scrivere shader in Godot, ricordatevi che ogni pacchetto che scaricate potrebbe contenere una sorpresa non proprio gradita. Restate critici, restate paranoid e, soprattutto, continuate a smontare tutto.
Source: Why a recent supply-chain attack singled out security firms Checkmarx and Bitwarden