O Linux e os restantes sistemas operativos baseados em Unix ocupam um lugar central no funcionamento dos servidores de empresas públicas e privadas, representando triliões de euros no PIB global. Apesar desta colossal responsabilidade, a manutenção, a correção, a adaptação, a verificação e a criação de novas ferramentas para estes sistemas operativos continuam, na sua maioria, a cargo do trabalho voluntário de programadores independentes. Estes, não seguem um padrão pré-definido de segurança ou controlo, além do autocontrolo da própria comunidade que os mantém e utiliza.
Este desequilíbrio entre a rentabilidade da utilização e do desenvolvimento destas plataformas é, ao mesmo tempo, a sua principal força e o seu calcanhar de Aquiles. Desenvolver de raiz um sistema operativo para uma determinada função é, quase sempre, temporal e comercialmente inviável. Partir de uma base comum, bem documentada e cujo código fonte pode ser visto e editado, é normalmente bastante mais simples. No entanto, isso acarreta uma série de riscos, pois, na prática, não é viável verificar todo o código que será reaproveitado para um novo projecto, especialmente devido à crescente sofisticação dos sistemas operativos que asseguram uma compatibilidade cada vez mais complexa com diferentes plataformas de hardware e software. Isso faz com que qualquer sistema operativo actual seja uma amálgama de componentes, remendos e aplicações programadas por centenas de pessoas distintas, obrigando a entrar num círculo de confiança, sempre que se integra uma destas tecnologias num novo projecto.
Este problema é particularmente grave quando alguém, com engenho, malícia e paciência, desenha um ataque integrado como o que aconteceu recentemente com o XZ Utils, uma aplicação de compressão amplamente aceite e com mais de quinze anos de desenvolvimento. Neste caso, foram necessários mais de dois anos para assegurar a introdução do código malicioso, a sua aceitação no código final da aplicação e consequentemente, a integração da mesma nas novas distribuições de Linux e similares Unix.
Esta vulnerabilidade pretendia tirar partido de uma cadeia de distribuição quase universal e foi, seguramente, uma das maiores e com maior potencial destrutivo de que tivemos conhecimento. Felizmente, neste caso, a curiosidade e o olho atento de Andres Freund, programador da Microsoft, permitiu-lhe detectar o código malicioso antes da sua implantação nas distribuições finais dos sistemas operativos. Mas isto deixa-nos a pensar sobre quantas outras tentativas já estarão em planeamento ou implementação (dormente ou activa), sem o nosso conhecimento. É ainda um alerta para a necessidade de uma verificação cada vez mais atenta por todos os que fazem uso destas ferramentas, com uma especial responsabilização de investimento financeiro por parte das empresas que sustentam os seus negócios em plataformas de código aberto.