Linuxeden开源社区俄罗斯最大的银行已经警告其用户,由于 “抗议软件 “的威胁而停止更新软件:这些开源软件项目的作者为了反对莫斯科对乌克兰的入侵而改变了其代码。
大多数抗议软件在运行时只是显示反战、支持乌克兰的信息,但至少有一个项目添加了恶意代码,旨在清除位于俄罗斯和白俄罗斯的计算机,这引起了人们的愤怒和对无意附带损害的指控。
为了应对这一威胁,俄罗斯国有银行、该国最大的银行Sberbank建议俄罗斯人由于风险增加而暂时不要更新任何软件,并手动检查有必要的软件源代码–这种警惕程度对大多数用户来说是不现实的。
“俄罗斯媒体和网络安全公司在一份声明中报道说:”我们敦促用户现在停止更新软件,并敦促开发商加强对外部源代码使用的控制。
当俄罗斯开始入侵乌克兰时,一些人建议,为了给莫斯科施加成本,科技公司应该停止向俄罗斯用户发送更新。据追踪抗议软件运动的观察家称,没有一家科技公司走到那一步,但大约有二十多个开源软件项目被发现添加了抗议战争的代码。开源软件是任何人都可以修改和检查的软件,使其更加透明,至少在这种情况下,更容易遭到破坏。
迄今为止,最严重的抗议软件案件发生在一个名为node.ipc的流行开源项目中,该项目有助于构建神经网络。它每周被下载超过一百万次。
node-ipc背后的开发者RIAEvangelist编写了抗议战争的代码,名为PeaceNotWar。他们在GitHub上解释说,这段代码在用户的桌面上添加了一个 “和平的信息”。
“这段代码作为一个非破坏性的例子,说明为什么控制你的节点模块很重要,”作者写道。”它也是对俄罗斯现在威胁世界的侵略的非暴力抗议……说白了,这是抗议软件。”
但node.ipc还添加了代码,可以定位其用户,如果发现他们在俄罗斯或白俄罗斯境内,就会擦除文件。
网络安全公司Snyk的研究员Liran Tal说,3月15日的恶意代码。新代码被隐藏在base64编码的数据中,这将使它难以被发现。
在代码被下载后不久,GitHub上的一个帖子传开了,声称该代码击中了一个美国非政府组织在白俄罗斯运营的服务器,破坏行为 “导致执行了你的代码,抹去了3万多条信息和文件,详细记录了俄罗斯军队和政府官员在乌克兰的战争罪行”。
据Snyk称,该代码在不到一天的时间内仍是软件包的一部分。据称来自美国非政府组织的信息没有得到核实,没有任何组织对任何损失作出公开声明。
“虽然这是一次以抗议为动机的攻击,但它突出了软件供应链面临的一个更大的问题:你的代码中的横向依赖关系会对你的安全产生巨大影响,”塔尔写道。
这并不是开源开发者第一次破坏自己的项目。今年1月,另一个名为colors的流行项目的作者在他们的代码中添加了一个无限循环,使得任何运行该代码的服务器都失去了作用,直到该问题被修复。
一场新的运动
抗议软件只是活动人士利用技术手段穿透俄罗斯审查制度并传递反战信息的多种尝试中的最新尝试。活动人士一直在使用有针对性的广告,向普通俄罗斯人推送有关乌克兰战争的消息,否则他们就会受到不断加速的审查制度和无处不在的国家宣传的摆布。众包评论和反战弹出信息是自俄罗斯军队开始入侵以来一直采用的策略。
在大多数情况下,抗议软件更证明了我们可以从围绕乌克兰展开的网络战争中公开看到的许多东西,首先与信息和宣传战争直接相关。
抗议软件可以传递类似的反战信息,但在开源社区内,人们担心破坏的可能性–特别是如果它比简单的反入侵信息更进一步并开始破坏数据–会破坏开源生态系统。尽管它不如商业软件那么出名,但开源软件对于运行互联网的每一个方面都非常重要。
GitHub用户NM17写道:”潘多拉的盒子现在被打开了,从这一刻起,使用开源的人将比以往任何时候都更多地经历排外,包括EVERYONE,”。”开源的信任因素,基于开发者的善意,现在几乎消失了,现在,越来越多的人意识到,有一天,他们的库/应用程序有可能被利用来做/说互联网上某个随机的开发者认为是’正确的事情’。这种’抗议’没有一点好处”。
http://t.cn/A66S9ppR