Rusya’nın Ukrayna’yı işgali sürerken, açık kaynaklı yazılım geliştirme de dahil olmak üzere teknoloji sektörünün birçok bölümü tarafından sonuçlar hissediliyor.
Yakın tarihli bir duyuruda, Rus bankası Sber, müşterilerine, özellikle Rus kullanıcılarını hedef alan kötü amaçlı kod içerebilecekleri endişesiyle, herhangi bir uygulamaya yazılım güncellemelerini yüklemeyi geçici olarak durdurmalarını tavsiye etti. bazıları tarafından “protesto yazılımı” olarak etiketlendi.
alıntılandığı gibi Rusça haber siteleriSber’in duyurusu şöyle:
Şu anda, kışkırtıcı medya içeriğinin özgürce dağıtılan yazılımlara dahil edilmesi vakaları daha sık hale geldi. Ayrıca, çeşitli içerik ve kötü amaçlı kodlar, yazılım geliştirme için kullanılan ücretsiz olarak dağıtılan kitaplıklara gömülebilir. Bu tür yazılımların kullanılması, kişisel ve kurumsal bilgisayarların yanı sıra BT altyapısına kötü amaçlı yazılım bulaşmasına neden olabilir.
Yazılımı kullanmak için acil bir ihtiyaç olduğunda, Sber müşterilerine dosyaları bir virüsten koruma yazılımıyla taramalarını veya kaynak kodunu manuel olarak gözden geçirmelerini tavsiye etti – bu, çoğu kullanıcı için imkansız olmasa da pratik olma olasılığı yüksek bir öneri.
Genel terimlerle çerçevelenmiş olsa da, duyuru muhtemelen Mart ayının başlarında meydana gelen ve yaygın olarak kullanılan bir JavaScript kitaplığının geliştiricisinin bir güncelleme eklediği bir olaya atıfta bulunarak yapıldı. Rusya veya Beyaz Rusya’da bulunan makinelerdeki dosyaların üzerine yazılmış. Güya savaşa karşı bir protesto olarak uygulanan güncelleme, genel olarak açık kaynaklı yazılımların güvenliğine olan güveni sarsacağı korkusuyla açık kaynak topluluğundaki birçok kişiyi alarma geçirdi.
Güncelleme, adlı bir JavaScript modülünde yapıldı. düğüm-ipcNPM paket yöneticisine göre indirilen , haftada 1 milyon kez ve popüler ön uç geliştirme çerçevesi Vue.js tarafından bir bağımlılık olarak kullanılır.
Buna göre Kayıt7 Mart ve 8 Mart’ta node-ipc’de yapılan güncellemeler, bir ana makinenin IP adresinin Rusya’da mı yoksa Beyaz Rusya’da mı konumlandığını kontrol eden kodu ekledi ve eğer öyleyse, kalp simgesiyle mümkün olduğunca çok dosyanın üzerine yazdı. Modülün sonraki bir sürümü üzerine yazma işlevinden vazgeçti ve bunun yerine kullanıcıların masaüstlerine bir metin dosyası içeren bir metin dosyası bıraktı. İleti Matisyahu’nun bir şarkısına bağlantı ile “ne kadar kötü olursa olsun savaş cevap değildir”.
“Protesto yazılımı” modülünün en yıkıcı özellikleri artık kodda görünmese de, sonuçları geri almak daha zordur. Açık kaynak kitaplıkları yazılım geliştirmenin temeli olduğundan, bütünlüklerine yönelik genel bir güven kaybı, Rusya’daki ve başka yerlerdeki kullanıcılar için zincirleme etkilere neden olabilir.
İçinde cıvıldamak, siber güvenlik analisti Selena Larson buna “zorunlu güvensizlik” adını verdi; genel olarak, açık kaynak topluluğu node-ipc güncellemesini şiddetle kınadı ve modül sabotajı yoluyla protesto fikrini, değerli sebepler için bile geri itti.
Daha geniş anlamda, Ukrayna ihtilafı, Rusya’da çalışan teknoloji şirketlerine zor etik sorular yöneltti. Apple, Amazon ve Sony gibi birçok küresel teknoloji lideri Rusya pazarındaki satışları duraklatmış veya durdurmuş olsa da, diğerleri devam ediyor: Cloudflare CEO’su Matthew Prince, 7 Mart tarihli bir blog yazısında şirketin Rusya’da hizmet vermeye devam çekilme çağrılarına rağmen, “Rusya’nın daha az değil, daha fazla İnternet erişimine ihtiyacı var” diye yazdı.