Ponedeljek, 21. 3. 2022, 22.00
2 leti, 7 mesecev
Skrivno protirusko orožje, ki je sprožilo vsesplošno zgražanje
V krogih programerjev razmeroma znani računalničar je hotel odgovoriti na ruski napad na Ukrajino. Odločil se je za samostojno gverilsko akcijo in programsko opremo, ki jo vzdržuje in na katero se za pravilno delovanje svojih aplikacij in računalniških sistemov po vsem svetu zanaša ogromno programerjev, na skrivaj v orožje spremenil tako, da bi napadla uporabnike v Rusiji in Belorusiji. Poteza programerja je med njegovimi stanovskimi kolegi naletela na vsesplošno ogorčenje in opozarjanje, da lahko takšno "soliranje" podre zaupanje v odprtokodno programsko opremo, ki velja za enega od temeljev sodobnega tehnološkega in računalniškega napredka ter enega zadnjih branikov pred korporativnim monopolizmom.
Programska oprema, natančneje izredno priljubljeni paket node ipc, ki je del široko uporabljanih knjižic za programiranje, kot sta Vue.js in CLI, že nekaj časa vzdržuje in nadgrajuje programer Brandon Nozaki Miller, ki je v skupnosti bolj znan po vzdevku RIAEvangelist. Paket node ipc tedensko preseže tudi milijon prenosov, pri delu pa ga uporablja več kot 763 tisoč programerjev z vsega sveta.
Različice node ipc 10.1.1 in 10.1.2 sta od preteklega tedna označeni kot kritični varnostni grožnji (CVE) z resnostjo 9,8 točke na lestvici, ki šteje do deset. Strokovnjaki za informacijsko varnost so programsko opremo namreč prepoznali kot zlonamerno, razlog pa je namerna sabotaža njenega vzdrževalca.
Če bi "podtaknjenca" namestil ruski ali beloruski programer, bi bilo njegovo delo uničeno
RIAEvangelist je v sporni različici na skrivaj namreč vključil funkcionalnost, ki je prek naslova IP preverila lokacijo računalnika, na katerega sta bili nameščeni. Če je bil naslov IP na območju Rusije ali Belorusije, je Millerjev "dodatek" vse datoteke na disku računalnika prepisal s srčki, ki naj bi simbolno sporočali, da si želi mir in ne vojne. Vse datoteke na računalniku so bile s tem uničene.
Takšen napad bi prizadel tudi uporabnike, ki imajo svoje računalnike v Belorusiji ali Rusiji zgolj virtualno - če zaradi tega ali onega razloga uporabljajo VPN oziroma navidezno zasebno omrežje, na primer.
Namesto Rusov in Belorusov naj bi razsul organizacijo, ki zbira dokaze o ruskih vojnih zločinih
Za zdaj še ni podatka, da bi imelo dejanje "mirnega protivojnega protesta", kot je svojo potezo opisal Miller, kakršenkoli vpliv na računalnike v Rusiji in Belorusiji, mu je pa po za zdaj še neuradnih podatkih uspelo ohromiti ameriško nevladno organizacijo, ki od leta 2014 zbira podatke o kršitvah človekovih pravic v Rusiji, Belorusiji in drugih državah z avtoritarnimi režimi. Kot trdijo, je del njihovih operacij potekal prek strežnikov v Belorusiji, ki pa so zdaj postali neuporabni. Millerjeva zlonamerna koda naj bi namreč izbrisala več kot 30 tisoč sporočil in drugih datotek o ruskih vojnih zločinih v Ukrajini.
Obsodbe z vseh strani kar dežujejo: programerji opozarjajo, da takšne poteze krhajo zaupanje v skupnost
Kot je razvidno iz ogromnega števila komentarjev na uradni strani paketa node ipc na portalu GitHub, je skupnost programerjev nad "mirnim protivojnim protestom", kot je svoje dejanje opisal RIAEvangelist, več kot ogorčena.
Toda ob tem, da so mnogi doživljali paniko, ker so jim računalniki začeli javljati, da so namestili zlonamerno programsko kodo, je šlo za povsem apolitično ogorčenost. Po mnenju programerjev, ki so bili kritični, "soliranje", kot si ga je privoščil RIAEvangelist, ogroža integriteto odprtokodne skupnosti, s tem pa posredno tudi prihodnost tehnološkega napredka.
Skupnost programerjev opozarja, da podpirajo Ukrajino in obsojajo rusko agresijo, a dejanja, kot ga je storil Brandon Nozaki Miller, na eni strani ne bodo prispevala k umiritvi vojne, na drugi strani pa lahko povzročijo nepopravljivo škodo in celo ogrozijo prihodnost odprtokodnega programiranja, ki je danes pomembno gonilo tehnološkega napredka in hkrati varovalka pred korporativnim monopolizmom.
Programer Tyler Resch verjame, da imajo on in skoraj milijon njegovih stanovskih kolegov, ki se pri svojem delu zanašajo na paket node ipc, zdaj samo še tri možnosti: ali ustvarijo "zdrav" klon node ipc, kar je glede na to, da gre za odprtokodno programsko opremo, mogoče, a s tem dobijo tudi še eno zadevo, ki jo je treba sproti vzdrževati, ali povsem prenehajo uporabljati node ipc ali pa sprejmejo neodgovorno potezo vzdrževalca programske opreme. Zanj je zgodba končana, saj je bila veriga zaupanja pretrgana, je še zapisal Resch.
Drugi niso bili tako vljudni. Med komentarji na GitHubu tako najdemo tudi zmerjanja in napovedi, da si je RIAEvangelist s tem verjetno pokvaril kariero in morda tudi življenje. Drugi del te napovedi se dejansko že uresničuje, saj so Millerja začeli nadlegovati na družbenih omrežjih, nekdo pa je celo poklical policijo in prijavil grožnjo, zaradi česar so Millerja na domu obiskali pripadniki posebne policijske enote. Hekerji naj bi medtem napadli njegov uporabniški račun na Twitterju.
2