in

Dopo gli attacchi “Protestware”, una banca russa ha consigliato ai propri clienti di interrompere l’aggiornamento del software

Con l’avvicinarsi dell’invasione russa dell’Ucraina, le ricadute saranno avvertite da molte parti del settore tecnologico, compreso lo sviluppo di software open source.

In un recente annuncio, la banca russa Sber ha consigliato ai suoi clienti di interrompere temporaneamente l’installazione di aggiornamenti software per le applicazioni per timore che potessero contenere codice dannoso rivolto specificamente agli utenti russi, che alcuni hanno soprannominato “protestware”.

Come citato dai siti di notizie in lingua russa, l’annuncio di Sber recita:

Attualmente, è più comune che i contenuti multimediali provocatori siano integrati in software distribuiti gratuitamente. Inoltre, vari contenuti e codice dannoso possono essere incorporati in librerie distribuite gratuitamente utilizzate per lo sviluppo del software. L’utilizzo di tale software può portare all’infezione da malware dei computer personali e aziendali e dell’infrastruttura IT.

Laddove fosse urgente l’utilizzo del software, Sber ha consigliato ai clienti di scansionare i file con un antivirus o di ispezionare manualmente il codice sorgente, una proposta probabilmente poco pratica, se non impossibile, per la maggior parte degli utenti.

Sebbene formulato in termini generali, l’annuncio probabilmente si riferiva a un incidente all’inizio di marzo in cui lo sviluppatore di una libreria JavaScript ampiamente utilizzata ha aggiunto un aggiornamento che ha sovrascritto i file sui computer in Russia o in Bielorussia. Presumibilmente implementato come protesta contro la guerra, l’aggiornamento ha suscitato l’allarme da parte di molti nella comunità open source per i timori che avrebbe minato la fiducia nella sicurezza del software open source in generale.

L’aggiornamento è arrivato in un modulo JavaScript chiamato node-ipc, che secondo il gestore di pacchetti NPM viene scaricato circa 1 milione di volte a settimana e utilizzato come dipendenza dal popolare framework di sviluppo front-end Vue.js.

Di conseguenza Il registro, gli aggiornamenti node-ipc del 7 e 8 marzo hanno aggiunto un codice che controllava se l’indirizzo IP di una macchina host era geolocalizzato in Russia o Bielorussia e, in tal caso, sovrascriveva quanti più file possibile con il simbolo del cuore. Una versione successiva del modulo ha eliminato la funzione di override e ha invece lasciato un file di testo sui desktop degli utenti con il messaggio “La guerra non è una soluzione, non importa quanto sia grave” con un collegamento a una canzone di Matisyahu.

Sebbene le caratteristiche più distruttive del modulo “Protestware” non compaiano più nel codice, le conseguenze sono più difficili da annullare. Poiché le librerie open source sono fondamentali per lo sviluppo del software, una generale perdita di fiducia nella loro integrità potrebbe avere effetti a catena per gli utenti in Russia e altrove.

in uno twittare, l’analista di sicurezza informatica Selena Larson ha definito questa “insicurezza forzata”; In generale, la comunità open source ha condannato fermamente l’aggiornamento Node-IPC e respinto l’idea di protestare attraverso il sabotaggio dei moduli, anche per beneficenza.

Più in generale, il conflitto in Ucraina ha posto difficili questioni etiche alle società tecnologiche che operano in Russia. Mentre molti leader tecnologici globali come Apple, Amazon e Sony hanno sospeso o smesso di vendere nel mercato russo, altri rimangono al loro posto: in un post sul blog del 7 marzo, il CEO di Cloudflare Matthew Prince ha affermato che la società continuerà a fornire servizi in Russia nonostante le chiamate tira fuori e scrivi che “la Russia ha bisogno di più accesso a Internet, non di meno”.

Tom Parker dice che “non si tratta di morire, si tratta di vivere” mentre scrive un libro sulla lotta contro il cancro

LG rivela i prezzi della TV OLED per il 2022 e sono molto più bassi di una TV OLED QD