Az Open Source Initiative figyelmeztet: a protestware ártalmas a nyílt forráskódra nézve

Open Source

Egyes nyílt forráskódú programok, programkönyvtárak stb. dühös karbantartói elkezdtek olyan kódrészleteket hozzáadni a nyílt forráskódú programok tárolóihoz, amelyek az orosz-ukrán háború ellen tiltakoznak. Ezek az ún. protestware-ek a karbantartó ellenkezését fejezik ki az oroszok Ukrajna ellen elkövetett támadásai miatt. A legtöbb ilyen protestware egyszerűen csak háború ellenes szlogeneket vagy ukránokat támogató üzeneteket jelenít meg az adott programban, ha az fut. Az OSI szerint ez egy nem erőszakos, kreatív formája a tiltakozásnak, ami hatékony lehet.

Azonban előfordult olyan eset, hogy a karbantartó olyan kódrészletet csempészett nyílt forráskódú projekt kódbázisába, ami nem csak erőszakmentes tiltakozást végzett ...

Az egyik ilyen "weaponization" esetében azt történt, hogy a program kárt is okoz(hat)ott:

But, in at least one case—the peacenotwar module in the node-ipc package—an update sabotages npm developers with code intended to wipe data stored in Russia and Belarus. In a March 16 blog post on the malicious code, Liran Tal at Snyk said, “This security incident involves destructive acts of corrupting files on disk by one maintainer and their attempts to hide and restate that deliberate sabotage in different forms.”

The “weaponization of open source” as Gerald Benischke calls it in his March 16 blog post is indiscriminate, and the collateral damage it causes damages the work of developers and operators solely because they have a Russia-assigned IP address. It harms peacemakers as much as the warmongers—even ethical hackers using a VPN to work against the invasion might become collateral damage.

A protestware ebben az esetben azzal a céllal készült, hogy törlést végezzen Oroszországban vagy Fehéroroszországban tárolt adatokon. Az eljárást kritizálók szerint a válogatás nélküli, pusztán IP cím ellenőrzésre alapuló károkozás elfogadhatatlan. Nem csak azért, mert ártatlan járulékos "áldozatai" is lehetnek az ilyen cselekményeknek, hanem azért is mert a tiltakozás e fajtája árt a nyílt forráskódú mozgalomnak.

Részletek az OSI közleményében.

( Adamyno | 2022. 03. 25., p – 09:58 )

Ez már nem normális.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

nem tudom... de szerintem amint elfogadtad a licenc feltételeket, onnantól csak a te problémád.

A készítőket meg szinte biztos, hogy nem érdekli egy random ország 'törvénye'.

Mindettől függetlenül szerintem sem szerencsés ilyenekkel elbacni egy project hitelességét és megbízhatóságát.

Ahol pl ez rajtam múlna, ott azonnal bizalmatlanság vesztés miatt befejezném az adott kód alkalmazását/használatát.

zrubi.hu

Természetesen nem, nem írhatja bele a license-be, hogy ha ezt felrakja, akkor a program azt csinál a géppel, amit akar és figyelmeztetés nélkül baszhat szét akármit. Szóval, igen, törvénybe ütközik. Idehaza az ilyesmit tudtommal terrorcselekményként kezelik.

Oldschool Computer - http://oscomp.hu

szerencsére nem vagyok jogász, de

elég sok licencben benne van ez a sor:

"You may use it on your own risk"

Ezek után szerintem bármilyen bíróság emlegetése is minimum kérdéses.

meg biztos ismered a régi rmplayer 'vicceket' is...

de félreértés ne essék, semmiképp sem védem azokat akik szándékosan kárt okoznak... akármilyen indokkal is teszik azt.

csak a ló tóloldalára átesés tüneteit vélem felfedezni.

zrubi.hu

Szerintem mindegy, mi van a licencbe írva, mert az EULA polgárjogi kérdés, a szándékos károkozás pedig büntetőjogi. (Nyilván most a magyar jogszabályi környezetben tudom ezt értelmezni, mert az oroszt nem ismerem.)

Obligatory sántító hasonlat: van mondjuk egy éttermed, ami megfelel mindenféle élelmiszeripari előírásnak. Valaki nem szól, hogy allergiás a mogyoróra, ezért rosszul lesz a mogyoróvajas szendvicstől, és meghal, az nem a te felelősséged. Ha viszont bejön egy orosz turista, akinek patkánymérget teszel a gulyáslevesébe, és úgy hal meg, akkor azért már bőven elővehetnek.

Ez nagyon nem így működik. Ha a programban fel van tüntetve, hogy ez a program legyalulja az egész merevlemezedet, úgyhogy ha felteszed, az a te bajod, az azért nem ütközik törvénybe, mert kerek-perec megmondták, hogy mi fog történni, ha használod. Ha azt lefuttatod, akkor te kérted, hogy töröljön. Az nem károkozás, maximum magadnak okozol kárt, ha annyi eszed van. Itt viszont arról beszélünk, hogy egy adott program a saját feladatán kívül, kéretlenül törölget, figyelmeztetés nélkül. Ez szándékos károkozás. A terrorcselekményen lehet vitatkozni, de a hazai jogszabály tudtommal így kezeli a cyber-bűncselekményeket.
Ha egy gázpalackra rá van írva, hogy ne dobd tűzbe, mert robban és te ennek ellenére tűzbe dobod, az nem a gyártó felelőssége. Ha viszont a mobilod robban fel a zsebedben, az nagyon is a gyártóé. Ha ez pedig még szándékos is volt, akkor az már nyugodtan minősíthető terrorcselekménynek is.

Oldschool Computer - http://oscomp.hu

akkor ezzel a tickettel mi legyen? (de ha jol emlekszem valvenek is volt egy hasonlo bugja). persze nyilvan tudjuk hogy ez bug, de a te definiciod alapjan (sajat feladas == jatek eltavolitasa, usr torlese == keretlen torles figyelmeztetes nelkul) ez szandekos karokozas. hol a hatar a veletlen bug es a szandekos kozott?

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

a te definiciod alapjan

"Fütyülsz, bazdmeg és hazudsz. És miért? Mert egy szar, szemét, szaralak vagy." Pontosan tudod, hogy a szándékos esetekről volt szó, jobhopperkém, csak próbálsz belémállni, mert ekkora lúzer vagy. Húzd le magad a slozin, a szarnak odalent van a helye.

hol a hatar a veletlen bug es a szandekos kozott?

Talán ott, hogy az egyiket akaratlanul sikerült úgy, a másikat meg akarva - vernakuláris kifejezéssel élve: szándékosan - csinálta a programozó. Nem gondoltad volna, mi? #retard

Oldschool Computer - http://oscomp.hu

Ha egy extra space miatt véletlenül olyat törölsz, amit nem kellene, az magyarázható jóhiszemű hibával. Azt viszont egy bíró sem fogja neked elhinni, hogy a macska úgy hempergett a billentyűzeten, hogy véletlenül megírt egy kódot, ami csak orosz számítógépekről töröl adatokat.

Hozzáférés nélkül? Te tényleg ilyen végtelenül ostoba vagy? Meg tényleg ilyen végtelenül lúzer is, hogy jobb híján megpróbálsz ebbe a gumicsontba beleharapni, amit akkor szoktak előrángatni a hazudozáson kívül másra nem képes retardáltak, amikor már végképp elfogytak?
Egyébként hol is védtem én a biztonságot, amikor nem is ez volt a téma? Ezt tényleg csak azért erőltetted bele, hogy előhúzhasd ezt a fasságot az ssl-lel, hátha nem veszik észre? Egyszerűen szánalmas vagy...

Oldschool Computer - http://oscomp.hu

jah, meg az a kernel hiba is "veletlen" volt, ami utan a random nem random volt. by nsa :)

ilyen trivialis esetben mint most perszehogy irbum-burgum. de nagyon vekony a hatar a veletlen es a szandekos kozott. neha egyertelmu mint itt, neha meg nem.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Értem. Ezek szerint úgy gondolod, hogy opensource programot használni biztonsági szempontból kb. olyan, mint ha az utcán egy ilyen kajásdobozból ennél? Na látod, ez a baj - ezek után sok más ember is így fogja ezt gondolni. És azért elég kevesen esznek az utcán ilyen dobozból.

Nagyon sarkítva igen.

De ugyan ilyen elven a (fizetős) zárt kód sem jobb, mert ott elvileg a pénzedért kapsz 'garanciát' arra hogy a program mit csinál vagy épp mit nem. oh wait... hiszen a zárt kódu progtramok  EULA-ja többségében ott is kizár szinte minden felelősséget...

 

szerintem igen nagy lazaság csak úgy - komolyabb hatásvizsgálat és kockázatelemzés nélkül - egy random opensource programot de főleg program komponenst/libeket beépíteni a saját szolgáltatásodba/termékedbe.

 

mondom ezt úgy, hogy 20+ éve IT security területen dolgozom.

Sőt, biztonsági és titkosítási megoldások terén kizárólag open source programokat használok (legalábbis ahol én döntöm el hogy mi használhatok) De nem azért mert vakon megbízom random pistike git repojában talált kódhalmazban... Hanem mert véleményem szerint kizárólag open source esetén LEHET olyan szintű bizalmat kialakítani a felhasználók felé, ami az IT security területen szükségszerű. Ezen felül Te magad is átnézheted, javíthatod, módosíthatod... 

DE: 100 random open source projektből talán ha 10 ilyen van... a többire egy fabatkát sem bíznék.

Zárt kódra meg aztán végképp semmit, hiszen ott meg teljesen vakon kell(ene) megbíznom egy (vagy több) profitorientált cég vackaiban.

 

Annak ellenére hogy éppenséggel egy profit orientált multinak dolgozom - ez az én magánvéleményem

Tehát, ezen megjegyzés biztosan nem egyezik az ő érdekeivel és nézeteivel.

zrubi.hu

Sokkal jobb a mekis cucc, amiben fogalmad sincs, hogy mi van, de az összes épeszű ember tudja, hogy rohadtul egészségtelen. Sőt, egy ideje tapasztalom is mert nagyjából bármit kérek, mindentől rosszul leszek. Na most ugyanez a történet MS esetén. Zárt forrás, fogalmunk nincs mit csinál, tejelünk érte keményen és én személy szerint szarul is vagyok tőle ha használnom kell.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Attól, hogy nem az adott országban tartózkodik valaki még megsértheti az adott ország törvényeit. Ha nincs kiadatás akkor távollétében el is ítélhetik ... vagy épp ellenkezőleg. Amcsik pl. kiszabtak szankciót iránra, a kínai ZTE-t meg ez kevéssé zavarta. Úgyhogy amcsik zte-nek is adtak szankiót.

Magyarország pl. kiadta a baltást gyilkost, holott itt követte a bűncselekményt, és tudható volt, hogy a kérvényező országban fel fogják menteni. Magyarország fegyverkereskedőt is kiadott ... na nem oda ahol elítélték volna.

Ezt szerintem se kéne. Az OSS-nek meg kéne maradnia szakmai alapon, semlegesnek, megbízhatónak bárki felé, pont ez lenne a lényege. Még az okés lenne, ha a projekt oldalán vagy a szoftver dokumentációjába betesznek mondjuk egy felhívást, hogy adakozást szerveznek az ukrán háború áldozataiért, ahogy pl. a vim-ben sok éve benne van az ugandai gyerekek megsegítése.

Az meg végképp nevetséges, hogy az oroszokat ilyen opensource alapokon támadni, hiszen arrafelé nem nagyon tisztelik, használják amúgy sem, helyette warez MS ökoszisztéma ment mindig is. Ilyen alapon nem hinném, hogy túl sok orosz, fehérorosz esne ennek áldozatul.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( asch v | 2022. 03. 25., p – 11:19 )

Nem professzionális a politikát belekeverni a munkába. Konkrétan égő. Mindegy, hogy oroszos, vagy ukrános valaki, egyszerűen a szakmában nincsen ilyennek helye. Visszaélés a "hatalmával", ha betű szerint nem is sért szerződést, azt a ki nem mondott szerződést sérti, hogy az Open Source program szándék szerint az adott célra készül, és azt a lehető legjobban valósítja meg. Oda nem illő üzenetek kiírásától csak rosszabb lesz bármilyen program.

Mivel a politika megosztja az embereket, politikai üzenetek nem várt kiírásával kárt is lehet okozni, például elronthatja másnak az ügyfél kapcsolatát.

Csináljon személyes blogot, mint ESR, és írja le oda amit gondol. Ha érdekes személyiség, akkor el fogják ott is olvasni. Ha meg nem az, akkor senkit nem érdekel a politikai véleménye, és ez így van jól.

KÉRDÉS: Ezt rendes fejlesztők is csinálják, vagy ugyanazok az egyének, akik a "master" branch-et átnevezik valami másra, vagy inkluzívvá alakítják a man oldalakat?

( LCoder | 2022. 03. 25., p – 11:25 )

Békegalamb barátunk ezzel bedönthetett vagy 10 orosz szervert, ugyanakkor vagy 10 000 cégnél születhetett ennek hatására olyan döntés, hogy inkább mégsem használunk opensource szoftvereket, mert biztonsági kockázat.

Egy biztos: én ha munkaadó lennék, a csávót nemigen engedném a céges forráskód közelébe.

( Adamyno | 2022. 03. 25., p – 12:55 )

Ez hasonló a slave-master, blaclist sztorihoz. Nagyjából a #meeto #blm környékén billent ki az egyensúly. Onnantól kezdve a sportban, a köznapi életben folyamatosan feleslegesen csinálják a feszkót. A forma-1-ben is térdelgettek egy darabig, aztán megunták. Utána/közben jöttek a szivárványok, most meg tök mással vannak elfoglalva. Például az orosz élsportolók kitiltásával. Eleinte megelégedtek a zászlóval. Nem tudom a foci és a többi sport házatáján most mi a zörgés, de ez nagyon gáz. Még jó, hogy az orvosok nem tesznek különbséget az orosz vagy nem orosz páciens között, bár valószínűleg sajnos erre is van példa. Nehéz felfogni, hogy ugyanazon a bolygón élünk. Nagyon nehéz... szerintem nincs mégegy olyan faj, aki folyamatosan magát szopatja ilyen mértékben. Szerintem azért jutottunk idáig, hogy az emberek egymást irtsák, mert rohadtul ráérnek. Nem kell megküzdeni az élelemért, a létfenntartásért, az állatvilág lényegáben nem fenyegeti a fajunk fennmaradását. Túlságosan elkényelmesedtünk, kell keresni új, más erősebb ellenségeket. Mivel a bolygón kívül még nem találtunk, így addig gyilkolgassuk egymást különböző mondvacsinált okok miatt. Ha felülről nézem az egészet, akkor az ember semmivel sem jobb, mint egy vírus, féreg, élősködő. Ha a vezetőknek volna eszük, akkor már rég összeszedtük volna az emberiség tudását és erőforrásait és megszűnt volna az éhezés, betegségek sora és valószínűleg már régen más objektumokról hordanánk a nyersanyagokat, de simán lehet, hogy már másik bolygó(kat) is kolonizálhattunk volna. De az erőforrásainkat elpocsékoljuk mint az ovisok a homokozóban. Az a programozó is aki ilyenre képes, használhatná a tudását arra is, hogy alkosson. De neki ez így is jó és kényelmes, mer a fizetését ugyanúgy megkapja. Ez a baj, mert a "felelősség" lassan eltűnik a szótárból.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Szerintem azért jutottunk idáig,

Mert a gazdaság nem tud korlátlanul növekedni és kell néha egy reset. 

Nem kell megküzdeni az élelemért, a létfenntartásért,

Sajnos meg kell küzdeni, még ha a látszat jelenleg nem is az. Ahogy pedig egyre többen lesztek ezen a bolygón, egyre inkább meg kell majd!

trey @ gépház

Értem ezt a reset elvet, de szerintem ez egy brutális, drasztikus és elavult módszer. Többféle módon lehetne ezt szabályozni. Elég lenne a születésszabályozás első körben. Aztán ahhoz belőni a termelést, a technológiát. Utána gondolkodhatunánk komolyabban a bolygóról való továbblépésben és ezek mégcsak olyan dolgok, amiket most, így 2022-ben látok.

Nyilván meg kell küzdeni az élelemért, de azt ne felejtsük el, hogy megsokszorozódott a mezőgazdasági kapacitás a világon a különböző gépeknek és technológiáknak, könnyebben hozzáférhető nyersanyagoknak köszönhetően, ennek ellenére mégis egyre csak drágulnak az élelmiszerek. Azért az emberek létszáma nem sokszorozódott. 

Én egy kicsit idealista vagyok. Sajnos szerintem neked van igazad. Bárcsak ne lenne. Nem tudom mi kéne ahhoz, hogy az emberek elkezdjék használni az agyukat is néha.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Szerintem azért jutottunk idáig, hogy az emberek egymást irtsák, mert rohadtul ráérnek. Nem kell megküzdeni az élelemért, a létfenntartásért, az állatvilág lényegáben nem fenyegeti a fajunk fennmaradását.

A háborúzás kb. egyidõs az emberiséggel. Sõt, igazából jóval régebbi. Még a majmok is háborúznak.

( zdesigner | 2022. 03. 25., p – 14:24 )

Eleve a forráskódba történő manifesto irogatás óvodás szintre vall. Az ilyeneknek egy szanatóriumban kéne levelet irogatnia a képzelt barátaiknak.

( Hiena v | 2022. 03. 26., szo – 11:04 )

Céges környezetben nem használunk nem megbízható forrásból származó kódot.
Céges környezetben nem használunk nem megbízható forrásból származó kódot.
Céges környezetben nem használunk nem megbízható forrásból származó kódot.

Hányszor kell még elismételni?
Open source nem megbízható forrás, hacsak valaki azt nem validálja. Open sourcenál updatek, automatikus frissítések engedéylezése a kódok validálása nélkül az öngyilkossággal egyenértékű. Aki egyszer végigszopta a cdrecord történetet Debian alatt, vagy 2-3 open -> libre váltást az tudja.
A másik, hogy a mai világban olyan céges ökoszisztémát fenntartani, ami a szoftvergyártóknak kénye-kedve szerint ki van szolgáltatva az hasonló kategóriájú dolog. Érdekes, hogy a legtöbb cég működésében féltucat kritikus alkalmazás van. Egy bizonyos méret felett ezeknek a házon belülre hozása kritikus a cég számára.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

gondolom nálatok is saját (de legalább kód validált) openssl, ssh, Linux kernel, linux disztribúció, böngésző, stb  implementáció van? neem?! hmmm...

 

ez egyátalán nem fekete vag fehér... nyilván ésszel kell csinálni, de nem ilyen túlzó dogmák szerint,

zrubi.hu

Nem tudom, nem vagyok IT-s. Elméletileg van valami előszűrés, mert csak adott helyről lehet alkalmazásokat telepíteni.
Nem dogma kérdése, hanem a szerződések és felelősségvállalásé. Lehet szídni a a fizetős szoftvereket, de ott azt kapod amiért fizetsz (gyk. az EULA elolvasásának kihagyása a vásárlás előtt, nem jelenti, hogy a gyártónak extra felelőssége lenne).

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Nagy tévedés. Fizetős szoftvereknél se tudod megjósolni, hogy mi van benne, visszaélnek-e vele, van-e benne hagyva kiskapu. Sőt, az adatvesztésért, károkozásért, elmaradt haszonért való felelősségvállalást is ki szokták zárni, mossák kezeik. Az opensource kódnál legalább bele tudsz nézni a kódba. Igen, kevesen néznek bele, főleg ha sok millió kódsoros megaprojekt, de az esély mindenkinek nyitva van, és szokott is lenni pár fejlesztő, meg unatkozó, aki beleolvasgat, és ha kiderül, hogy valami csúnyaság volt mégis belerejtve, onnantól az adott projekt eláshatja magát, senki nem fog benne bízni, épp ezért ezt meg sem szokták kockáztatni.

A másik garancia meg jobb helyeken a buildek reprodukálhatósága szokott lenni, mert egymagában a forráskód nem mindig elég, hiszen a legtöbb szoftvernél lefordított binárist használ, tölt le mindenki, ott meg garantálni kell, hogy a publikált forráskód lefordításával jött létre, és azt nem módosították lefordítás előtt.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Fizetett szoftvernél erre van az EULA. Kizárhat bizonyos dolgokat, de ugyanezen mentén a szoftware gyártója felelőségre is vonható. Pl. nem véletlen, hogy modern EULA-kban egytől egyig benne van, hogy "jah, és kémkedni fogunk utánad".
A sokmillió soros opensource projekteknél ugyanott vagy mint egy zárt kódú projectnél. Mert előtted lehet az összes file, ha az adott nyalánkság csak bizonyos build paramétereknél, bizonyos architektúrákon esik ki.
A build reprodukálhatósága szép, mindaddig, míg nem kezdesz szoftverfüggő és hardverfüggő konstansokat beforgatni. És itt megint bejön az, amikor targetálva vannnak a hátsó dolgok. Pl. kapsz egy xyz konfigra egy checksumot, ami nálad buildelve is megegyezik. Használod a program beépített checksum checkerét, ők meg a háttérből megsimogatják a buksi fejedet, hogy "ügyi vagy telepítetted a transzzsírliberalizációsfront kiskapuját".
Ott van még a toolchain attack felelőssége is. Emiatt páran fizettek már igen szép összegeket az ügyfeleknek. 

Az eláshatja magár jellegű dolog, pont a csillió soros megagiga projectekre nem igaz. Igen megvan a csúnyaság,  de attól még mindenki használni fogja, mert nincs más helyette. Pl. Megingatta a systemD-t a már-már szándékos backdoornak tűnő bakik? Nope. Minél nagyobb a szarkupac, annál biztosabb, hogy senki  nem fogja lecserélni.
 

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "