Una serie di progetti di software open source hanno inserito al loro interno messaggi contro la guerra di aggressione russa e almeno uno possedeva codice dannoso che mirava a cancellare i computer situati in Russia e Bielorussia. Ma queste iniziative potrebbero creare situazioni difficilmente controllabili
di Patrick Howell O’Neill
La più grande banca russa ha avvertito i suoi clienti di interrompere l’aggiornamento del software a causa del cosiddetto protestware, vale a dire progetti di software open source i cui autori hanno alterato il loro codice per prendere posizione contro l’invasione dell’Ucraina da parte di Mosca.
Quasi sempre si tratta semplicemente di messaggi contro la guerra e pro-ucraini, ma almeno un progetto ha aggiunto codice dannoso che mirava a cancellare i computer situati in Russia e Bielorussia, provocando indignazione e accuse di danni collaterali non intenzionali.
In risposta alla minaccia, Sberbank, la più grande banca statale russa, ha consigliato in una dichiarazione riportata dai media russi e dalle aziende di sicurezza informatica di non aggiornare temporaneamente alcun software a causa dell’aumento del rischio e di controllare manualmente il codice sorgente del software necessario, un livello di vigilanza irrealistico per la maggior parte degli utenti.
Quando è iniziata l’invasione russa dell’Ucraina, alcuni hanno suggerito che per imporre costi a Mosca, le aziende tecnologiche avrebbero dovuto smettere di inviare aggiornamenti agli utenti russi. Secondo alcuni osservatori di questo movimento di protesta, anche se nessuna azienda tecnologica si è spinta così lontano, sono stati individuati circa due dozzine di progetti di software open source che avevano questo obiettivo.
Il caso più grave di protestware finora si è verificato all’interno di node.ipc, un popolare progetto open source che aiuta a costruire reti neurali e viene scaricato più di un milione di volte ogni settimana. Come si può vedere su GitHub, lo sviluppatore di node.ipc, RIAEvangelist, ha scritto un codice di protesta contro la guerra chiamato PeaceNotWar che ha aggiunto un “messaggio di pace” ai desktop degli utenti.
“Il codice funge da esempio non distruttivo del motivo per cui è importante controllare i moduli del nodo”, ha scritto l’autore, “e serve anche come protesta non violenta contro l’aggressione russa che minaccia oggi il mondo. Questo è il significato del protestware”. Ma a node.ipc è stato aggiunto anche il codice che individuava i suoi utenti e, se si trovavano in Russia o Bielorussia, cancellava i file.
Il codice dannoso risale al 15 marzo, secondo Liran Tal, ricercatore dell’azienda di sicurezza informatica Snyk. Il nuovo codice è stato nascosto all’interno di dati codificati in base64 che lo renderanno difficile da individuare.
Subito dopo il download del codice, un post su GitHub è diventato virale affermando che il codice ha colpito i server gestiti da un’organizzazione non governativa americana in Bielorussia e che il sabotaggio “ha portato all’esecuzione del codice e alla cancellazione di oltre 30.000 messaggi e file che dettagliano i crimini di guerra commessi in Ucraina da funzionari dell’esercito e del governo russi”.
Il codice è rimasto parte del pacchetto per meno di un giorno, secondo Snyk. Il messaggio della presunta ONG americana non è stato verificato e nessuna organizzazione ha rilasciato dichiarazioni pubbliche in merito a eventuali danni. “Sebbene si tratti di un attacco con motivazioni guidate dalla protesta, evidenzia un problema più ampio che deve affrontare la catena di approvvigionamento del software: le dipendenze transitive nel codice possono avere un enorme impatto sulla sicurezza”, ha scritto Tal.
Questa non è la prima volta che gli sviluppatori open source hanno danneggiato i loro progetti. A gennaio, l’autore di un altro popolare progetto chiamato Colors ha aggiunto un ciclo infinito al proprio codice che ha reso inutilizzabile qualsiasi server che lo eseguiva fino a quando il problema non è stato risolto.
Un nuovo movimento
Protestware è solo l’ultimo di molteplici tentativi da parte degli attivisti di utilizzare la tecnologia per perforare la censura russa e far circolare messaggi contro la guerra. Gli attivisti hanno utilizzato pubblicità mirate per trasmettere notizie sulla guerra in Ucraina alla popolazione russa, altrimenti in balia della censura accelerata e dell’onnipresente propaganda statale. I commenti in crowdsourcing e i messaggi pop-up contro la guerra sono tattiche che sono state impiegate da quando le truppe russe hanno iniziato la loro invasione.
Per la maggior parte, il protestware è un’ulteriore prova che molto di ciò che possiamo vedere pubblicamente della guerra informatica che si sta svolgendo in Ucraina si muove intorno all’informazione e alla propaganda. Tuttavia, all’interno della comunità open source ci sono preoccupazioni che il sabotaggio, soprattutto se va oltre la semplice messaggistica anti-invasione e inizia a distruggere i dati, possa minare l’ecosistema open source, che è essenziale per la gestione di di Internet.
“Come ha scritto NM17, un utente di GitHub: “Il fattore fiducia nell’open source, che era basato sulla buona volontà degli sviluppatori, ora è praticamente scomparso, e sempre più persone si stanno rendendo conto che un giorno la loro libreria/applicazione può essere sfruttata per dire qualunque cosa qualche sviluppatore casuale pensi sia giusto diffondere”.
(rp)