Efter ‘protestware’-angreb har en russisk bank rådet kunder til at stoppe med at opdatere software

0
117

Efterhånden som den russiske invasion af Ukraine trækker på, mærkes konsekvenserne af mange dele af teknologisektoren, herunder open source softwareudvikling.

I en nylig meddelelse, rådede den russiske bank Sber sine kunder til midlertidigt at stoppe med at installere softwareopdateringer til applikationer af bekymring for, at de kunne indeholde ondsindet kode specifikt rettet mod russiske brugere, af nogle mærket som “protestware.”

Som citeret på russisksprogede nyhedssider lyder Sbers meddelelse:

I øjeblikket er tilfælde af provokerende medieindhold, der introduceres i frit distribueret software, blevet hyppigere. Derudover kan forskelligt indhold og ondsindet kode indlejres i frit distribuerede biblioteker, der bruges til softwareudvikling. Brugen af ​​sådan software kan føre til malware-infektion af personlige og virksomhedscomputere samt IT-infrastruktur.

Hvor der var et presserende behov for at bruge softwaren, rådede Sber kunderne til at scanne filer med et antivirus eller udføre manuel gennemgang af kildekoden – et forslag, der sandsynligvis vil være upraktisk, hvis ikke umuligt, for de fleste brugere.

Selvom det er indrammet i generelle vendinger, blev meddelelsen sandsynligvis lavet med henvisning til en hændelse, der fandt sted tidligere i marts, hvor udvikleren af ​​et meget brugt JavaScript-bibliotek tilføjede en opdatering, der overskrev filer på maskiner placeret i Rusland eller Hviderusland. Opdateringen, som angiveligt blev implementeret som en protest mod krigen, vakte alarm hos mange i open source-samfundet, med frygt for, at den ville underminere tilliden til sikkerheden af ​​open source-software generelt.

Opdateringen blev lavet i et JavaScript-modul kaldet node-ipc, som ifølge NPM-pakkeadministratoren downloades omkring 1 million gange om ugen og bruges som en afhængighed af det populære front-end-udviklingsframework Vue.js.

Ifølge The Register tilføjede opdateringer til node-ipc foretaget den 7. marts og 8. marts kode, der kontrollerede, om IP-adressen på en værtsmaskine var geolokaliseret i Rusland eller Hviderusland, og i så fald overskrev så mange filer som muligt med et hjertesymbol . En senere version af modulet undlod overskrivningsfunktionen og droppede i stedet en tekstfil på brugernes skriveborde med en besked om, at “krig er ikke svaret, uanset hvor slemt det er,” med et link til en sang af Matisyahu.< /p>

Selvom de mest ødelæggende funktioner ved “protestware”-modulet ikke længere vises i koden, er konsekvenserne sværere at fortryde. Da open source-biblioteker er fundamentale for softwareudvikling, kan et generelt tab af tillid til deres integritet have afsmittende virkninger for brugere i Rusland og andre steder.

I et tweet skriver cybersikkerhedsanalytiker Selena Larson omtalte det som “tvungen usikkerhed”; generelt har open source-fællesskabet voldsomt fordømt node-ipc-opdateringen og skubbet ideen om protest gennem modulsabotage tilbage, selv af værdige årsager.

Mere generelt har Ukraine-konflikten stillet vanskelige etiske spørgsmål til teknologivirksomheder, der arbejder i Rusland. Mens mange globale tech-ledere som Apple, Amazon og Sony har stoppet eller stoppet salget på det russiske marked, er andre stadig: I et blogindlæg fra den 7. marts sagde Cloudflares CEO Matthew Prince, at virksomheden vil fortsætte med at levere service i Rusland på trods af opkald at trække sig ud og skrive, at “Rusland har brug for mere internetadgang, ikke mindre.”