Po usunięciu w zeszłym tygodniu Rosyjscy opiekunowie jądra Linuksa aby zachować zgodność z polityką Stanów Zjednoczonych, Linus Torvalds – twórca oryginalnego jądra Linuksa – opowiedział o swoich obawach, iż istnieje wiele rosyjskich trolli, które mogą potencjalnie przeniknąć do jądra Linuksa.
Decyzja o zablokowaniu opiekunów była następstwem naruszenia bezpieczeństwa biblioteki systemu XY Utils o otwartym kodzie źródłowym, spowodowanego przez: atak inżynierii społecznej skierowany do opiekuna narzędzia.
„Jest całkowicie jasne, dlaczego dokonano zmiany. Nie zostanie to cofnięte, a używanie wielu losowych anonimowych kont w celu „oddolnego” wykorzenienia go przez rosyjskie fabryki trolli niczego nie zmieni” – napisał Torvalds w wiadomości do listy odbiorców łatek do Linuksa, którzy pomagają w utrzymaniu kodu jądra .
Jego uwagi wywołały wiele komentarzy, od nastrojów antyrosyjskich po spekulacje, iż za tą decyzją stoją lobbyści Microsoftu. Jednak jego wpływ ma daleko idące konsekwencje dla otwarte źródłoktóre do tej pory w dużej mierze uważano za wysiłek społeczności globalnej.
Wszelkie sankcje amerykańskie mające na celu uniemożliwienie osobom z niektórych państw udziału w projektach open source nie tylko mogą zniszczyć globalną współpracę, ale mogą również otworzyć wrota dla szerszej kontroli, obejmującej ewentualne sprawdzenie przeszłości inżynierów systemu pracujących we wszystkich firmach.
Luka w zabezpieczeniach opiekunów open source
Zakaz pojawia się zaledwie kilka miesięcy po Incydent w XY Utilsgdzie przepracowany opiekun projektu biblioteki open source XY Utils zwrócił się o pomoc do programisty posługującego się nazwiskiem Jia Tan, który początkowo dołączył do projektu i zaczął otwierać żądania ściągnięcia w celu uzyskania różnych poprawek błędów lub usprawnień. Deweloper, po zdobyciu zaufania i wiarygodności, zaczął otrzymywać pozwolenia na repozytorium. Następnie napastnicy wysyłali fałszywe skargi i błędy, w ramach ataku socjotechnicznego, aby wywrzeć presję na pierwotnego opiekuna projektu, aby dał Jia Tan większą kontrolę nad projektem, uprawnienia do zatwierdzania i ostatecznie prawa menedżera wersji.
Wydaje się, iż w ramach starań o uzyskanie tych zezwoleń Jia Tan zastosowała interesującą formę inżynierii społecznej. Fałszywe konta były używane do wysyłania niezliczonych próśb o nowe funkcje i skarg dotyczących błędów, aby wywrzeć presję na pierwotnego opiekuna, co ostatecznie doprowadziło do dodania Jia Tan do repozytorium.
Jedną ze zmian wprowadzonych przez Jia Tan był wyrafinowany backdoor w XY Utils.
Nie znam logiki stojącej za tą decyzją [to block the Russian maintainers]. Z globalnej współpracy wyklucza się ludzi, którzy nie są złymi aktorami, co jest niezwykle problematyczne. To puszka robaków
Jednak nie wydaje się, aby rosyjscy konserwatorzy zrobili coś złego. Amanda Brock, dyrektor generalna OpenUK, powiedziała: „Nie znam logiki stojącej za tą decyzją. Z globalnej współpracy wyklucza się ludzi, którzy nie są złymi aktorami, co jest niezwykle problematyczne. To puszka robaków.
Licencjonowanie otwartego kodu źródłowego oznacza, iż każdy może go używać w dowolnym celu. „W ciągu mojej 16–17-letniej pracy w otwartym oprogramowaniu po raz pierwszy spotkałam się z ograniczeniami w stosunku do kategorii osób” – dodała.
Istnieją zasady dotyczące kontroli eksportu, które uniemożliwiają eksport technologii takich jak oprogramowanie szyfrujące. Na początku tego roku Amerykańskie Biuro Kontroli Aktywów Zagranicznych wydało wytyczne dotyczące zarządzenia prezydenta Joe Bidena nakładającego sankcje na Rosję i rosyjskie przedsiębiorstwa. Obejmuje to niektóre kategorie systemu i usług konsultingowych IT, co oznacza, iż nie mogą one być świadczone w Rosji. Sankcje obejmują także niektóre rosyjskie przedsiębiorstwa.
Chociaż Linux Foundation nie ujawniła żadnych dalszych szczegółów zakazu, uważa się, iż rosyjscy opiekunowie objęci zakazem mogli pracować w tych organizacjach.
Jak zauważył Brock, chociaż kontrola eksportu ogranicza dystrybucję oprogramowania, często kod jest dostępny w witrynie lustrzanej. „Sankcje są inne” – dodała. „Jeśli dana firma znajduje się na liście sankcji, nie można z nią w określony sposób nawiązywać kontaktów handlowych, a z fragmentów dyskusji wnioskuję, iż [I’ve seen] jest to, iż 11 osobom powiedziano, iż nie mogą znaleźć się na liście opiekunów.”
Według Brocka, dlaczego te osoby zostały wykluczone, ich pracodawcy podlegają liście sankcji USA.
Wykluczenie może mieć wpływ na inne kraje będące przedmiotem zainteresowania
„O ile mi wiadomo, ci ludzie nie zrobili nic złego. Należą do klasy osób, które rząd USA chce wykluczyć, ponieważ moim zdaniem ich pracodawca ma powiązania z Rosją, co oznacza, iż należy ich wykluczyć”.
Dla Brocka decyzja o zakazie 11 rosyjskich opiekunów ma konsekwencje dla otwartego kodu źródłowego, który w coraz większym stopniu podlega złożonym przepisom i ograniczeniom prawnym.
Na przykład Stany Zjednoczone i Wielka Brytania nałożyły sankcje na chińskie firmy technologiczne, takie jak Huawei. Jednak badania sugerują, iż Chiny je posiadają druga co do wielkości społeczność twórców systemu open source na świecie. Geografia systemu open source artykuł badawczy opublikowany w 2021 roku analizował programistów w GitHubie. Podczas gdy Stany Zjednoczone miały największą liczbę programistów korzystających z GitHub, Chiny miały drugą co do wielkości.
„Chiny są szczególnie interesujące, ponieważ zajmują wysokie miejsce na amerykańskiej liście państw budzących obawy. Ale jednocześnie podjął decyzję o zaangażowaniu się w oprogramowanie typu open source na masową skalę i jest to świadoma i wspierana przez rząd decyzja” – powiedział Brock.
Brock zwrócił na to uwagę Chińskie firmy finansują oprogramowanie open source na dużą skalęzarówno jeżeli chodzi o darczyńców, jak i inwestycje w fundacje.
Projekty prowadzone przez chińskich autorów obejmują KubeEdge, który umożliwia wykorzystanie Kubernetes w obliczeniach brzegowych; Habor, natywny w chmurze rejestr dla Kubernetes; oraz Dragonfly, system dystrybucji plików i przyspieszania obrazu.
Chińskie oprogramowanie oparte na technologii open source jest również wbudowane w wiele używanych w tej chwili inteligentnych urządzeń.
Rząd Wielkiej Brytanii zmusił do tego dostawców usług telefonii komórkowej wyrwać sprzęt Huawei z brytyjskich sieci komórkowych. Brock zwrócił uwagę, iż kod w sieciach komórkowych jest kodem open source i równie dobrze może mieć chińskich autorów, dodając: „Jak daleko w tym zajdziemy? Gdzie się zaczyna i kończy?”
Zastanawiała się, czy Stany Zjednoczone i inne rządy przypisałyby dostawcom systemu prawnie zastrzeżonego do tego samego konta, aby mieć pewność, iż w produkcie komercyjnym nie znajdzie się żaden kod programisty pochodzący z „krajów będących przedmiotem zainteresowania”. Wdrożenie takiej zgodności wymagałoby od każdego komercyjnego dostawcy systemu zmiany wszystkich umów i licencji, powiedział Brock, a kilka organizacji jest na tyle dużych, aby finansować międzynarodowe zespoły prawne, które dbałyby o zgodność systemu open source z przepisami obowiązującymi w każdym regionie, w którym działają.
Decyzja Linux Foundation o zakazie działania rosyjskich programistów jest najprawdopodobniej odpowiedzią na poradę prawną, mającą na celu zapobiegnięcie potencjalnemu konfliktowi z administracją USA. Wraz ze wzrostem napięcia geopolitycznego istnieje ryzyko, iż twórcy i opiekunowie systemu open source z innych państw mogą odkryć, iż oni również nie mogą uczestniczyć w projektach open source i ich wspierać.
