Ontwikkelaar node-ipc voegt uit protest bug toe die Russische bestanden wist

De ontwikkelaar van de populaire JavaScript-library node-ipc heeft opzettelijk een kritieke kwetsbaarheid geïntroduceerd in de library die files overschrijft op de computer van gebruikers met een IP-adres in Rusland of Belarus, en vervolgens een oproep toont voor wereldvrede.

Node-ipc wordt onder meer gebruikt in het vue.js-framework, en wordt wekelijks een miljoen keer opgehaald uit het NPM-registry. GitHub schrijft dat ontwikkelaar Brandon Nozaki Miller opzettelijk een kritieke kwetsbaarheid heeft geïntroduceerd aan de library, die 'arbitraire files' overschrijft op het systeem van de gebruiker, afhankelijk van de geolocatie van het IP-adres van de gebruiker.

De kwetsbaarheid werd door Miller tussen 7 en 8 maart toegevoegd, in versies 10.1.1 en 10.1.2 van de library, schrijft The Register. Als node-ipc opgehaald wordt en gedraaid wordt door een gebruiker, dan controleert de library het IP-adres van de hostcomputer. Als deze een IP-adres uit Rusland of Belarus heeft, dan zal de library proberen om zoveel mogelijk files op de computer te overschrijven met een hart-symbool. Versie 10.1.3 werd kort daarna uitgebracht en had die kwetsbaarheid niet. De versies 10.1.1 en 10.1.2 werden verwijderd uit de NPM-registry.

Vervolgens zette Miller versie 11 en versie 9.2.2 van de library online, die een tekstbestand aanmaakten op de desktop en in de OneDrive-folders van gebruikers, met de boodschap: "Oorlog is niet de oplossing, hoe erg het ook is." Miller maakte van die package een dependency voor node-ipc, die op zijn beurt weer als dependency gebruikt wordt door heel veel andere JavaScript-ontwikkelaars, schrijft securityplatform Snyk in een blogpost. Zo kon ook Vue CLI getroffen worden door de kwetsbaarheid.

Miller, die bekend staat als RIAEvangelist, legt op GitHub uit dat precies gedocumenteerd is wat de library doet en hij zegt dan ook dat het iedereen vrij staat om dependencies aan eerdere versies van de libary te koppelen als ze niet getroffen willen worden door de kwetsbaarheid. Ook zou het volgens hem niet als een verrassing moeten komen voor gebruikers van de library: "Alles is publiek, gedocumenteerd, gelicentieerd en open source."

Door Stephan Vegelien

Redacteur

Feedback • 18-03-2022 15:04
246 • submitter: aliencowfarm

18-03-2022 • 15:04

246 Linkedin

Submitter: aliencowfarm

Lees meer

Mozilla verwijdert Russische zoekmachines uit Firefox Nieuws van 15 maart 2022
ESET ontdekt derde wipermalware in Oekraïne Nieuws van 15 maart 2022
DuckDuckGo verlaagt 'ranking' sites die Russische desinformatie verspreiden Nieuws van 12 maart 2022
Rusland creëert eigen tls-certificaatautoriteit om sancties te omzeilen Nieuws van 11 maart 2022
Meer producten en artikelen
Netwerk en systeembeheer Webdevelopment Javascript Oorlog Oekraine

Reacties (246)

-Moderatie-faq
246
232
125
19
0
74
Wijzig sortering
ImNotnoa
18 maart 2022 15:10
https://github.com/RIAEva...75c43ee41718b72b017f6f6a4

Volgens mij heeft hij geen vrienden gemaakt met die actie
P_Tingen
@ImNotnoa18 maart 2022 15:38
Nou, zeg dat wel: https://github.com/RIAEva...3#issuecomment-1063557929
Op dit moment 44 duimpjes omhoog en 1342 omlaag.

Zijn commentaar vind ik een beetje schijnheilig, want in de trend van "je moet niet zomaar upgraden zonder dat je weet wat de gevolgen zijn". True, maar van een aantal libraries kun je normaliter uitgaan van de goede werking. En dan nog: al zou je het alleen op je development machine doen, dan ben je dáár je bestanden kwijt. Niet alleen boef-Russen en Belarussen, maar dus ook welwillende.

Dit is niet de goede manier om je steentje bij te dragen aan een oplossing van het probleem.
mpkossen
@P_Tingen18 maart 2022 20:09
Je kan op deze pagina een abuse report sturen naar GitHub: https://support.github.co...r&report_type=unspecified

Ik heb dat zojuist gedaan. Ik ben fel tegenstander van de oorlog die Rusland voert tegen Oekraïne. Echter, een dergelijke exploit introduceren maakt het probleem mijns inziens alleen maar erger in plaats van beter. Dit hoort wat mij betreft niet thuis op GitHub. Ze zetten hiermee namelijk een gevaarlijk precedent.
bwerg
@P_Tingen18 maart 2022 15:54
True, maar van een aantal libraries kun je normaliter uitgaan van de goede werking.
Is het heel gek dat wij bij alle dependencies die we upgraden in ieder geval alle changelogs lezen en uitzoeken of dat kwaad kan? In plaats van maar gewoon alle breaking changes op je bakkes krijgen?

En nee, dat gaat niet over NPM, maar dat zou geen verschil moeten maken. Je wil dat je software werkt of je wil 't niet.

[Reactie gewijzigd door bwerg op 18 maart 2022 16:18]

noes
@bwerg18 maart 2022 19:04
Dependencies van dependencies? Nee die lees ik over t algemeen niet.

Als je project een vrijwel 100% code coverage heeft is het een niet echt noodzakelijk, je runt de unit- en integratie tests, en als je ze hebt de automatische usertests. Als die slagen dan kan je je ticket overdragen aan de tester voor een laatste controle, of een beta release doen.

Uiteindelijk gaat het er alleen om of je project nog volledig en goed (performant) werkt na update.
Loller1
@noes19 maart 2022 01:27
Alleen zou dat in dit geval deze schade niet hebben opgepikt. Tenzij jij unit tests hebt die specifiek controleren dat een bepaald bestand niet bestaat, of unit tests hebt die doen alsof je applicatie met een Russisch IP wordt gebruikt en in 50/50 groep valt waarbij alles verwijderd zou worden…
noes
@Loller119 maart 2022 08:01
Klopt! Daarom ben ik ook zeer tegen deze actie. Niet omdat ik pro-Rusland ben, maar omdat ik tegen malware ben, al helemaal als t op deze wijze wordt verspreid.
BernardV
@Loller119 maart 2022 10:45
Dat is zeker waar, maar de kwetsbaarheid zit in het buildproces en niet in het resultaat. Dus als je in de build geen problemen hebt is in dit geval het resultaat ook goed.
supersnathan94
@BernardV20 maart 2022 16:08
Maar die heb je ws wel. Waarschijnlijk een kompleet onbruikbare bouwomgeving met mogelijk problemen voor andere builds die ook lopen.

Nu zijn de meeste bouwstraten netjes sandboxed, maar een misconfig in bijvoorbeeld Jenkins kan je hele omgeving om zeep helpen met dit.

Ik had de discussie twee dagen geleden al gezien en begrijp dat er wat haken en ogen aan het geheel zitten.
xxxneoxxx
@bwerg19 maart 2022 11:43
Ah, het open source "je kan de code lezen dus waarom doe je het niet"-excuus. Yep. Open source bevat nooit exploits, geen bugs want iedereen kan alles lezen en doet dat ook altijd. Lijkt mij heerlijk, leven in die utopie. Beetje van het niveau van een beauty contest. Wat wil je? Ieder kandidaat: World Peace!
bwerg
@xxxneoxxx20 maart 2022 15:58
Euhm, ik heb het over changelogs lezen. Sinds wanneer hebben changelogs iets te maken met open source, en waar stel ik dat dit alle bugs voorkomt?
xxxneoxxx
@bwerg20 maart 2022 16:06
Yes. Je kan de changelogs lezen, dus bij elke security issue ga je ook eerst uitgebreid alle changelogs lezen e.d.

En toen kwam de realiteit om de hoe kijken en moest je toegeven dat in veel gevallen changelogs helemaal niet bekeken worden.
bwerg
@xxxneoxxx20 maart 2022 16:11
Je kan de changelogs lezen, dus bij elke security issue ga je ook eerst uitgebreid alle changelogs lezen e.d.
Ja.
xxxneoxxx
@bwerg20 maart 2022 16:14
Dan ben je de uitzondering. Er vanuit gaan dat iedereen dat altijd netjes doet en niet gewoon vertrouwt dat de ontwikkelaar, oh, i don't know, allerlei politieke shit inbouwt is ook een beetje menselijke aard en zo.
supersnathan94
@xxxneoxxx20 maart 2022 20:21
Ik niet. Is mij al veel te vaak voorgekomen dat bepaalde wijzigingen toch backwards incompatible waren.

Ook met simpele tools als elgato streamdeck neem ik altijd ff de changelog door.
wmkuipers
@bwerg18 maart 2022 16:00
Ook alle dependencies van de gebruikte libs? Of statisch gelinkte binaries?

Begrijp me niet verkeerd, het is goed om al je changelogs door te lezen. Maar laat het je geen vals gevoel van veiligheid of controle geven
bwerg
@wmkuipers18 maart 2022 16:11
Maar laat het je geen vals gevoel van veiligheid of controle geven
Tuurlijk kan er nog vanalles mis gaan, niet in het laatste geval als er bugs in de dependencies zitten die niet gedocumenteerd zijn (en bugs worden meestal niet direct bij introductie gedocumenteerd :P), maar in dit geval staat er schijnbaar letterlijk in de documentatie dat het alle Russische gebruikers pest. Dit gaat er echt vanuit dat niemand dat leest, en dingen maar gewoon stuk gaan als mensen automatisch dependencies upgraden met breaking changes. En dat gebeurt dus ook gewoon massaal.

Los daarvan, het feit dat je in een ecosysteem zit waarin het gangbaar is om wel of niet netjes te werken heeft ook wel invloed op het risico van transitieve dependencies. Want als ik zelf een dependency toevoeg heb ik er het liefste natuurlijk ook een van een beheerder die zelf ook een beetje professioneel werkt (al kun je dat op afstand natuurlijk nooit 100% beoordelen).

[Reactie gewijzigd door bwerg op 20 maart 2022 15:59]

Frenziefrenz
@bwerg18 maart 2022 19:52
Hoewel het waarschijnlijk geen noemenswaardig verschil maakt, gaat het hier om 10.1.0 → 10.1.1. Afgezien van bugs zou dat nooit een breaking change mogen zijn natuurlijk. ;)
Werelds
@bwerg18 maart 2022 16:00
Nee, zo heel gek is het niet. NPM maakt dit echter wel lastiger omdat je moeite moet doen om alle dependencies (dus ook transitive dependencies) te locken. Vergeleken met de meeste andere PM's is NPM extreem losjes. Je kunt zonder problemen 10 verschillende versies van dezelfde library hebben. Dus je moet dan eigenlijk de changelog lezen van al je dependencies...en hun dependencies. En hun dependencies. Enzovoort.

Overigens was dat "changelog" in dit geval ook slechts een rauw git log ;)
R4gnax
@Werelds18 maart 2022 18:53
Nee, zo heel gek is het niet. NPM maakt dit echter wel lastiger omdat je moeite moet doen om alle dependencies (dus ook transitive dependencies) te locken.
Het is tegenwoordig mogelijk om een version override te specificeren voor nested dependencies, waarmee je de versie kunt cappen als er al een known-bad dependency in omloop is.

Daarnaast hoor je sowieso gebruik te maken van een package-lock.json file en het npm ci commando om exact de eerder geinstalleerde packages tot aan de patch en revision versie toe, te herinstalleren en niets anders. Dat lock file wordt automatisch aangemaakt en de NPM CLI geeft je zelfs beleefd het advies om dat mee in te checken zodat de andere mensen die aan de code ontwikkelen, zonder poespas of problemen, tegen reproduceerbaar exact dezelfde packages kunnen werken.

Het npm i (ofwel: npm install ) commando wat de te installeren versie vrij laat en de mogelijkheid zou hebben om een latest te installeren, hoor je alleen te gebruiken als je een nieuw package gaat installeren of een breaking-change major-version upgrade gaat doorvoeren.

[Reactie gewijzigd door R4gnax op 18 maart 2022 18:56]

vgroenewold
@P_Tingen18 maart 2022 15:50
Nee, inderdaad niet. Hij kan denk ik rekenen op heel wat developers die dit uit hun dependencies halen. Dat gaat namelijk voor een groot deel over vertrouwen.
WoutervOorschot
@P_Tingen18 maart 2022 19:26
Die thread lijkt ook heel erg op 2 punten te leunen, bestanden aanmaken op de desktop is natuurlijk iets anders dan disk wipe. Die eerste is imho iets wat een developer best mag doen (lib doet per definitie bestanden schrijven, normaal gwn niet op desktop), doet niemand kwaad en het is zn eigen product. Die tweede is wel een grens over imho.
TweakerCarlo
@P_Tingen18 maart 2022 21:37
Dit is idd het punt dat je, je er niet mee moet bemoeien.
Mening hebben mag en zakelijk gezien een standpunt innemen snap ik. Maar dit is wel heftig.

Ik hoop niet dat dit een trend word. Is dit eerder ook gebeurt bij Irak om maar iets te noemen?
Als nee: waarom nu dan wel ineens?

Je zou maar iets updaten wat daarna deze fratsen uithaalt. Dan denk ik niet dat ik mijn agressie kan controleren op dat moment omdat iemand anders het niet eens is met het beleid wat gevoerd word in Nederland.

[Reactie gewijzigd door TweakerCarlo op 18 maart 2022 21:38]

MrFax
@P_Tingen18 maart 2022 20:30
Die duimpjes kunnen ook allemaal Russen en/of bots zijn. Als je naar de comments kijkt, zie je veel comments met heel slecht Engels en ze praten allemaal over hoe de VS alle oorlogen veroorzaakt. Misschien russische propaganda? Het zit echt overal.

[Reactie gewijzigd door MrFax op 18 maart 2022 20:40]

grrfield
@MrFax18 maart 2022 21:58
Nou moe, als ik een library gebruik voor wat dan ook, dan verwacht ik dat het gewoon 'werkt'. Niets meer, niets minder.

Mijn vertrouwen in dergelijke libraries heeft net een 'deuk' gekregen.

doe ik eens een 'sudo apt-get update && sudo apt-get upgrade' en blijkbaar kunnen dergelijke dingen zomaar? neen toch? Dan toch liever Microsoft?

[Reactie gewijzigd door grrfield op 18 maart 2022 22:00]

FuaZe
@grrfield19 maart 2022 06:16
apt en npm zijn wel twee verschillende dingen

Maar terecht dat je dergelijke libraries niet meer vertrouwt.

Zie ook het voorbeeld van de ontwikkelaar van 'leftpad' library, welke uit protest z'n code verwijderde.

Gebruik bij voorkeur de standaard libraries.
Chris_147
@FuaZe19 maart 2022 07:01
Ik begrijp je reactie niet goed.

Wat is het verschil tussen apt en bom?
Ja, ik weet wel: apt is voor Linux programma's en bibliotheken en npm voor node-js bibliotheken. Maar op een hoger niveau bekeken managen ze toch allebei dependencies?
Kijk jij voor ieder programma in apt na welke libs die gebruikt en voor iedere lib van die lib?

En dan zeg je om standaard libraries te gebruiken, maar haal je het voorbeeld van leftpad aan.
React is toch een standaard library, gebruikte echter ook leftpad. Dus?

Edit: vraag je om een verduidelijking, wordt je geminned. Leuke groep hier toch...

[Reactie gewijzigd door Chris_147 op 19 maart 2022 08:51]

johanw777
@Chris_14719 maart 2022 13:13
De inhoud van apt wordt gevukd door serieuze Linux ontwikkelaars die hun distributies niet te grabbel willen gooien. De inhoud van npm wordt door duizenden onafhankelijke ontwikkelaars gevuld en daar kunnen best fanatici tussen zitten.
Chris_147
@johanw77719 maart 2022 20:04
Let op: ik ben zelf geen groot van fan heel het npm/nodeJS/javascript gebeuren.
Maar je uitleg vind ik te gemakkelijk en te weinig gebaseerd op daadwerkelijke data.
Het klinkt mij meer als: "het is tot nu toe altijd goed gegaan met apt, dus daarom kan je dat wel vertrouwen".
Ik zie niets inherent beter aan het apt systeem waardoor het meer te vertrouwen zou zijn. Maar ik wordt graag op mijn ontbrekende kennis gewezen, dan kan ik wat meer gerust zijn.
Hans1990
@P_Tingen18 maart 2022 19:57
Nogal schijnheilig. Iedereen draait toch eerst een source diff patch van alle packages die het gaat updaten, om vervolgens regel voor regel te verifieren dat er geen ongewenste features (zoals bugs of malware) zijn bijgekomen? Natuurlijk, iedereen doet dat. Ook als het niet je werk is.

Je zou ook de blaam kunnen leggen op slechte infosec. Je backupped toch eerst alles voordat je updatet? Is verstandig inderdaad.. maar mensen houden ook van gewoonte/gemak en zullen dat niet altijd doen. Ook als je Windows versie updatet of Ubuntu installeert. Allemaal genoeg voorbeelden van te vinden waarbij user accounts/software gereset is, andere schijven gewiped zijn, etc. Dat zou je als ontwikkelaar wel iets aan moeten trekken.

[Reactie gewijzigd door Hans1990 op 18 maart 2022 19:58]

GeroldM
@P_Tingen19 maart 2022 04:36
Het is echter ook een indicator dat jij en velen met jou veel te goed van vertrouwen zijn en door al die afhankelijkheden een kaartenhuis aan het bouwen bent. Dat mag dus met de beste bedoelingen zijn gebeurd, je hebt nu dus wel een probleem. Een vrij ingrijpend probleem.

Wat dus onder de noemer "risiko's" valt. Daar hangt wel degelijk een prijskaartje aan en men ziet dat graag over het hoofd, want het project moet gisteren al af zijn, nadat er 3 weken over is vergaderd.

Met dit soort zaken infrastructuur oplossingen bouwen, dat is gewoon vragen om problemen.

Werkelijk stilstaan bij de risiko's die je introduceert in je project, daar doen velen tegenwoordig veel te makkelijk over, vanuit een rechtsgevoel wat eerder een vloek dan een zegen is. Want rechten heb je dus niet. Alleen code die jij vrij mocht gebruiken onder de voorwaarden van een ander welke niets met jouw project van doen heeft, er dus ook niet voor verantwoordelijk is en ook niet echt erop aangesproken kan worden.

Ik wil dus niet beweren dat libraries niet nuttig zijn of dat je deze niet toe moet passen in je project. Wel dat er meer belangen en dus kosten aan hangen dan velen zich realizeren. Word dit soort zaken wel op waarde geschat, dan is het voor sommige bedrijven beter om zelf maar van de grond op te bouwen vanwege wetgeving en/of reducties in risiko. Het hebben van een bedrijf/consultancy/persoon die wel klaarstaat om de geboden oplossing te verfijnen, problemen erin op te lossen enz. is dan wel zo prettig.
P_Tingen
@GeroldM19 maart 2022 18:52
Te goed van vertrouwen, dat is natuurlijk ook zo, maar ter verdediging: weinig ontwikkelaars lopen echt tegen fouten aan in volwassen libraries en als je al weet-ik-hoelang gebruik maakt van een library die met enige regelmaat wordt geüpdate en je hebt daar echt *nooit* issues mee, dan is het niet zo gek dat je niet elke keer de changelog doorspit om te zien wat er potentieel om kan vallen.

Ik zeg niet dat het goed is, maar ik kan me er heel veel bij voorstellen.
SinergyX
@koelpasta18 maart 2022 15:55
There is a difference between trust and assume, we call that responsibility.

Check jij elke wijziging in elke update tot broncode aan toe? Van je android phone, Windows, libraries, programma's, want ja.. 'niet upgraden zonder weten wat de gevolgen zijn'. Check jij elke dag je water op mogelijke verontreiniging? Even een sample voordat je gaat tanken? Dubbelcheck op al je eten in de kantine, want je weet toch maar nooit?

Enige wat je dan kan zeggen, waar zijn de controlemiddelen dat zoiets live kan worden gezeten?
koelpasta
@SinergyX18 maart 2022 16:07
Check jij elke wijziging in elke update tot broncode aan toe? Van je android phone, Windows, libraries, programma's, want ja.. 'niet upgraden zonder weten wat de gevolgen zijn'.
Nee, maar het is wel raar dat de markt niet heeft gezorgd voor een instantie die dit wel doet. Hierdoor is er een enorme wildgroei en ben je, vooral ook bij open source, niet zeker van de kwaliteit.
Check jij elke dag je water op mogelijke verontreiniging?
Nee, daar hebben we instanties voor.
Even een sample voordat je gaat tanken?
Is toch even iets anders dan b.v. een heel bedrijf of een dienst die door miljoenen wordt gebruikt.
Maar zelfs dan, ik denk dat die pomphouder snel zn business kwijt is alsie geen goede benzine levert. En ik weet zeker dat de kwaliteit in de gaten wordt gehouden.
Het belangrijkste argument is dat je ervoor betaalt. Als het produkt dan niet in orde is dan neem je je geld naar een ander pompstation en dus zorgt de firma die het verkoopt dat de kwaliteit op zn minst redelijk is.
Dubbelcheck op al je eten in de kantine, want je weet toch maar nooit?
Afhankelijk van de eettent kan dat inderdaad verstandig zijn. Genoeg mensen die voedselvergiftiging oplopen.

Maar bij software? Vrijwel niemand op deze aardbol heeft enig benul van wat er allemaal in de door hen gebruikte libs zit. Niemand heeft een totaaloverzicht van de afhankelijkheden. Het is een vrij ongewenste situatie.
R4gnax
@koelpasta18 maart 2022 18:48
Nee, maar het is wel raar dat de markt niet heeft gezorgd voor een instantie die dit wel doet.
Heb je de referentie naar het artikel van Snyk geopend en doorgelezen? Zij hebben juist een geautomatiseerde scan-oplossing die verdacht gedrag binnen dit package opgemerkt had; en van daaruit zijn ze verder gaan zoeken.
Die oplossing kun je overigens tegen betaling afnemen. VZiw is het idee dat daarmee al je package requests geproxyd worden en gated binnen worden gehaald waarbij ze doorlopen worden en gecontroleerd worden voordat de download doorgelaten wordt richting de NPM client.
En je krijgt live notificaties als ze later iets opmerken in een package wat je mogelijk al geinstalled hebt staan.

[Reactie gewijzigd door R4gnax op 18 maart 2022 18:50]

nst6ldr
@SinergyX18 maart 2022 16:03
Dit soort fatalistische opmerkingen maken het lastig om überhaupt iets van verbetering teweeg te brengen. Er zijn prima middelen om dit te doen, ook geautomatiseerd. Er zijn zelfs enorm veel fabrikanten en leveranciers die een vorm van QA doen, en juist in de wereld van software engineering loopt dit proces hopeloos achter omdat startups over het algemeen hier niet in geïnteresseerd zijn.
Fluttershy
@SinergyX18 maart 2022 19:08
Even een sample voordat je gaat tanken?
Ja hoor, ik neem altijd een slokkie om te kijken of het wat is. BP smaakt het best. Van Total krijg ik koppijn...
Rob Coops
@ImNotnoa18 maart 2022 16:07
Natuurlijk niet het is een hele domme actie om een veel gebruikte library van een bug te voorzien die opzettelijk schade aanricht op computers van mensen die toevallig in het verkeerde land wonen/werken. Dat Rusland als staat een rot land is is helemaal waar maar de burgers in het land zijn zeker niet allemaal voor de oorlog en kunnen er ondanks de rare ideeen die sommige mensen hebben over hoe een dictatuur veranderd kan worden er niet veel aan doen dat de dictator besluit oorlogje te spelen in het buurland.

Het is een beetje zo als Canada dat willekeurige Russen uit een vliegtuig plukt en gevangen zet omdat ze toevallig een Russisch paspoort hebben. Als of deze mensen daar door het bezit van dat passport automatisch voor Putin zijn of de oorlog financieel steunen of zo.
Of Amerikanen die Russische winkels en restaurants aanvallen en de eigenaren bedreigen (niet zelden al generaties lang in Amerika wonen) omdat ze boos zijn op Putin.

Het is de domste vorm van virtue signaling die er bestaat bijna net zo dom als het totaal onzinnige vlaggetje plaatsen op je profiel foto. Als of het Russisch leger daar ook maar een seconde van wakker zou liggen of er een moeder een kind in Kiev op die manier beter kan beschermen.

Als je dan zo graag iets wil doen zijn er genoeg goede doelen, als je daar aan twijfelt zijn er genoeg mensen die regelmatig naar de grens rijden om daar goederen af te leveren en mensen op te halen. Stel een kamer of een appartement beschikbaar nu de airbnb toeristen toch niet komen deze zomer, bied een vluchteling uit dat gebied een baan aan. Er zijn letterlijk duizenden opties om te helpen maar het misbruiken van een veel gebruikte library om iedereen die in een land woont aan te vallen is er zeker niet een van.

Het is heel erg jammer dat er nog steeds mensen zijn die schijnbaar (gezien de staat van dienst) niet heel erg dom zijn maar als het op dit soort dingen aan komt zich gedragen als een 3 jarig kind.
vanaalten
@Rob Coops18 maart 2022 16:12
Kleine correctie, denk ik:
"Natuurlijk niet het is een hele domme actie om een veel gebruikte library van een bug feature te voorzien die opzettelijk schade aanricht op computers van mensen die toevallig in het verkeerde land wonen/werken."
Als het opzettelijk geintroduceerd gedrag is, noem ik het geen bug.
Sograd
@vanaalten19 maart 2022 20:06
Geheel met u eens. Een bug wordt per ongeluk toegevoegd. Dit is by design, het is een feature. Een ongewenste feature, dat wel.
Redsandro
@ImNotnoa18 maart 2022 15:22
De issues-lijst spreekt ook boekdelen. Zie bijvoorbeeld deze issue. Dit gaat nog een staartje krijgen.
edit:
Quote weggehaald omdat ik niet kan verifiëren of dit echt is.

[Reactie gewijzigd door Redsandro op 18 maart 2022 15:29]

Megamind
@Redsandro18 maart 2022 16:10
Dit is een typische russische trol. Dit soort statements worden echt niet zomaar door een 1 dag oude account neergemplempt zonder enige juridische achtergrond.
Mavamaarten
@Megamind18 maart 2022 16:25
Mijn gedachten gingen dezelfde kant uit, het is wel heel toevallig dat een dergelijke NGO dat soort belangrijke data allemaal op de desktop zou opgslagen hebben. Maar het kan, en het neemt niet weg dat dit soort acties de geloofwaardigheid van een library/project compleet om zeep kan helpen. Hoe zeer ik er stiekem wel om moet lachen en de Russen het toewens, raak je hier vooral individuen en burgers mee, en is het eigenlijk geen slimme zet geweest.
Globber
@Mavamaarten18 maart 2022 16:34
de desktop en in de OneDrive-folders
De desktop klopt, maar dat een organisatie bestanden opslaat op OneDrive ligt dan juist wel weer heel erg voor de hand.

Maar los daarvan is het gewoon een claim die eerst geverifieerd moet zijn natuurlijk, voelt voor mij ook als een verhaal waar net te veel detail in zit maar het tegelijkertijd net te vaag is.
R4gnax
@Mavamaarten18 maart 2022 18:43
het is wel heel toevallig dat een dergelijke NGO dat soort belangrijke data allemaal op de desktop zou opgslagen hebben.
Ik ken toevallig iemand die na een jaar of zo de moed grandioos opgegeven had om te proberen orde op zaken te stellen bij een niet nader te noemen organisatie binnen de ontwikkelingshulp. Om het even in te schalen: denk aan zaken als het werken met een developmestruction environment werkte; en als antwoord op de vraag om de source control omgeving, "wa's da'?" geven.

Dus ik durf hier wel op te zeggen: myth plausible.

[Reactie gewijzigd door R4gnax op 18 maart 2022 18:43]

Hans1990
@Mavamaarten18 maart 2022 19:40
Hoezo desktop? Het kan ook een server zijn. Als je de code van de originele malware opzoekt (staat bij Github gist gelinked) , dan gaat het stap voor stap enkele mappen af, eindigende bij recursieve overschrijving van alle files gevonden op root (=alles). Afhankelijk hoe e.e.a is opgeslagen (wellicht encrypted volumes/containers), dan wordt het wel bijzonder moeilijke operatie om de originele data terug te halen, of simpelweg onmogelijk als er door het overschrijven cruciale blocks op de disk overschreven zijn.
De boodschap adware zoekt enkel naar OneDrive en andere desktop Documents achtige mappen e.d.

Ik acht het verhaal nog wel plausibel. Maar het kan idd net zo goed ook een troll zijn die even wat benzine op het vuur wilt gooien. De datums komen wel heel toevallig uit. Bovendien zou je in gevallen van deze hoge nood ook regelmatiger backups maken, gezien je nooit weet wat er met jouw server in die tijd van nood gebeurd. En bovendien misschien eerst backuppen voordat je updates naar productie pushed.... Klinkt niet als de allerbeste infosec.

[Reactie gewijzigd door Hans1990 op 18 maart 2022 19:42]

AuteurSirRosencrantz
@Redsandro18 maart 2022 15:53
Die van die ngo had ik er inderdaad niet ingezet omdat ik het niet kon verifiëren
Biersteker
@SirRosencrantz18 maart 2022 16:49
Ik vind de titel wel erg clickbait achtig. "Russische bestanden". Bestanden hebben sowieso geen nationaliteit.
AuteurSirRosencrantz
@Biersteker18 maart 2022 17:22
Ik was beperkt tot 80 tekens dus kon niet bestanden op computers met een Russisch ip-adres schrijven. Heb je een alternatieve suggestie?
be_bert
@SirRosencrantz18 maart 2022 17:49
Ontwikkelaar node-ipc voegt uit protest bug toe die bestanden bij Russen wist

is mss al iets dichter?
jeroen79
@be_bert19 maart 2022 08:30
Dan beter 'bestanden in Rusland'.
kimborntobewild
@jeroen7919 maart 2022 16:02
Dan beter 'bestanden in Rusland'.
Dat klopt niet; als je bijv. een russische VPN ingesteld hebt, staan de bestanden niet in Rusland.
jeroen79
@kimborntobewild19 maart 2022 20:19
En als ik als Nederlander in Rusland zit dan worden mijn bestanden ook niet bij een Rus gewist.
kimborntobewild
@jeroen7923 maart 2022 11:47
En als ik als Nederlander in Rusland zit dan worden mijn bestanden ook niet bij een Rus gewist.
Dat zeg ik toch ook niet?
CykoByte
@ImNotnoa19 maart 2022 15:50
Zwaar ongewenst gedrag - niet alleen de reactie aan de kant van RIAEvangelist, maar ook het feit dat de melding van MidSpike zelf steeds door RIAEvangelist bewerkt wordt om details te verbergen, en comments verborgen worden.

Als je ergens achter staat, waarom dan informatie verbergen?

[Reactie gewijzigd door CykoByte op 19 maart 2022 15:53]

Stukfruit
18 maart 2022 15:49
Toevoeging aan het artikel: Miller gebruikte base64 encoded strings om niet direct inzichtelijk te maken wat het was.

Op deze manier kon hij (voor zover ik snel tussendoor kan zien via m'n telefoon) controleren welk IP wordt gebruikt zonder dit met eigen / lokale code te doen. Dit wordt gedaan via ipgeolocation.io en kun je hieronder zelf zien door de strings de decoden:

https://nvd.nist.gov/vuln/detail/CVE-2022-23812

Ook de landnamen worden op die manier gecontroleerd.

De uitspraak van Miller "Alles is publiek, gedocumenteerd, gelicentieerd en open source" slaat vanwege bovenstaande dan ook nergens op. Dit is niets meer dan een ordinaire poging om malware te pushen via open source. Ongeacht de (uiteraard verschrikkelijke) beweegredenen / oorzaak.

Edit: in het Snyk-artikel is dit ook te lezen, zie ik net :)

[Reactie gewijzigd door Stukfruit op 19 maart 2022 23:09]

Hans1990
@Stukfruit18 maart 2022 20:04
Klopt.. de machine locatie werd bepaald aan de hand van een externe databank. Ook dat is nogal dubieus en legt veel vertrouwen in een externe partij (die daar waarschijnlijk ook niets mee te maken mee wilt hebben).

Vervolgens ging de code daaronder te werk door de huidige, bovenliggende, verder bovenliggende en tenslotte de filesystem root recursief te ontdoen van de originele inhoud.

Dat open stukje is idd klinkklare onzin. Vrijwillig staat niet gelijk aan vrijblijvend, vooral niet als je schade aanricht aan andermans (intellectuele) eigendommen.
Zo kan je wel vrijwillig jezelf beschikbaar stellen als hulpverlener bij reaniminatie. Een nobel streven, maar als je er geen cursus in hebt gehad weet ik niet of je echt van hulp gaat zijn, of enkel maar hinderlijk of zelfs gevaarlijk. En datzelfde kan je zeggen voor alles wat wordt gedaan, verwacht, georganiseerd, aangenomen als taak, al is het impliciet of expliciet.

[Reactie gewijzigd door Hans1990 op 18 maart 2022 20:09]

Metal spoon
18 maart 2022 16:00
Compleet onverantwoord, hoe haal je het in je hoofd om dit soort dingen te doen.
Je hebt enorme schade aangericht en je eigen carrière en misschien wel je hele leven naar de filistijnen geholpen, en voor wat? Een protest actie die totaal niks uit haalt bij de personen die je meende te treffen? Een politiek statement voor virtue signalling punten?

Hoe moeilijk is het om politiek en dergelijke nou een keer gescheiden van je werk te houden? Ik begrijp dat het soms relevant is maar dit gaat toch echt te ver.

Hopelijk krijgt dit een strafrechtelijk staartje en ik hoop dat slachtoffers civiele zaken aanspannen tegen deze dwaas.
Globber
@Metal spoon18 maart 2022 16:23
Een politiek statement kan ik me nog wel voorstellen. Zeker bij open source software gaat het namelijk vaak juist niet om werk, maar om een project wat er naast werk bij wordt gedaan (ik weet overigens niet hoe dat bij deze package zit).

Dit gaat echter verder dan een statement, er wordt hier gewoon actief malware toegevoegd die wordt geactiveerd op basis van IP. En laat een IP nou net echt een slechte manier zijn om te bepalen wie je target. En dan los van de mensen die een VPN gebruiken heb je natuurlijk nog gewoon de russische burgers die hij hiermee ook direct aanvalt.

War is not the solution zegt hij, maar dit is in mijn ogen ook gewoon een aanval op een compleet arbitraire groep. Zijn idee is vast om het land te raken, maar ik denk dat de gemiddelde burger hier veel meer last van heeft dan een overheid. Voelt als een compleet ondoordachte actie die is gedaan in emotie, en nu heeft hij niet de ballen om toe te geven dat het gewoon een slechte actie was om je package om te zetten in malware...
blissard
@Globber19 maart 2022 21:02
In een oorlog zijn “de gemiddelde burger” en “ de overheid” niet uit elkaar te houden. Heel erg naar, maar net zoals bommen op ziekenhuizen, is dat nu eenmaal de verschrikkelijke realiteit van oorlog.
rjberg
18 maart 2022 22:59
Niet dat ik pro-Poetin ben, maar wat als Russische ontwikkelaars gaan terugvuren? Of hackers in het algemeen hun politiek zo gaan verspreiden?

Overigens vind ik het ook een beetje gevaarlijk dat er een spreekwoordelijke zelfvernietigingsknop in de software zit. Wat als het per ongeluk afgaat?
cratyz
19 maart 2022 14:30
Het rare is dat npmjs.com nog steeds geen block of ban heeft ingesteld voor deze package. Dit kun je toch niet toestaan lijkt me.
JapyDooge
18 maart 2022 15:16
Opvallend is dat hierdoor een NGO is getroffen die een webapplicatie hadden voor klokkenluiders in Belarus, Rusland en nog een aantal landen:
https://github.com/RIAEvangelist/node-ipc/issues/308
https://snippet.host/kvcb
We are an American NGO based in Washington, D.C. that monitors human rights infringements by authoritarian regimes in Belarus, Russia and other post-Soviet states. Since our start in 2014, we have been in contact with over 2,500 whistleblowers that provided us with detailed reports on various kinds of abuse happening there.

Due to internet censorship there, one of the web services used to contact us securely was hosted on servers located inside Belarus. Normally, we backup the received content to an external server on 20th day of every month, as this is reasonable given the volume we usually get, but since the start of the invasion on February 24th, traffic to our web service has increased over fiftyfold. Our staff has been working round the clock to accomodate the influx and during one of their tasks, package containing node-ipc module was updated on a production server, which resulted in executing your code and wiping over 30,000 messages and files detailing war crimes commited in Ukraine by Russian army and government officials. Due to the way the files were stored on the server, we are not able to recover any data and it's most likely gone forever. For some of the senders, this might as well have been their last contact with the outside world, as many of them were front-line soldiers that could've been killed in action during the offensive.

Personally, me and my colleagues are absolutely devastated. All I can say that your little shenanigan did more damage to us than Putin or Lukashenka ever could.
nst6ldr
@JapyDooge18 maart 2022 15:27
Dit is dus nog niet geverifieerd, en de initiële uitspraak - die stond op github - is zelfs teruggetrokken (vandaar de pastebin).
JapyDooge
@nst6ldr18 maart 2022 15:29
Let wel dat die pastebin-link geplaatst is door de poster zelf.
Jerryy
@JapyDooge18 maart 2022 18:38
Waarom delete die het dan?
kimborntobewild
@Jerryy20 maart 2022 01:11
Omdat het inmiddels bekend is dat het een nepbericht was.
Al zullen er zeker instanties zijn die iets ondervonden kunnen hebben, zoals in het verhaaltje staat.
De malware in de code stoppen was in elk geval oer- oer- oerdom.
White Feather
@JapyDooge18 maart 2022 16:46
Ik neem aan dat je ook snapt dat dit een belachelijk verhaal is van een nieuw aangemaakt account?

Dit is gewoon een Russische troll.

De gedachte alleen al om data over de Russische inval te gaan verzamelen in Belarus is al krankzinnig. Laat staan dat ze dit soort informatie maar eenmaal per maand doorsturen en zelfs local al geen backup hebben.
R4gnax
@White Feather18 maart 2022 19:05
Het kan een Amerikaanse NGO zijn die lokaal in Belarus opereert, bestaft door lokale eensgezinde mensen, om daar ooggetuigenverslagen vast te leggen van mensenrechtenproblemen; die nu dankzij de inval in Oekraïne ineens een stevige uptick in data te verwerken heeft gekregen.

Wellicht dat deze operatie enkel in de rol van overslagpunt naar de VS toe, voorheen helemaal niet de schaal had dat volledige automatisering van storage; backup schedules; etc. relevant waren.

En wat voor reden zou een persoon die daar toevallig IT-maintenance draait, hebben om een Github account aan te maken tot dit voorval? Ik heb legio specifieke developer-collega's hier in Nederland die zelfs geen Github account hebben, maar toch wel dagelijks van open-source NuGet en NPM packages gebruik maken die bijgehouden worden op Github.

Stel dat er eentje daarvan nou eens toevallig wat geolocatie-specifieke logica lokaal in een development build had moeten testen; en stel dat ze dat met een VPN hadden gedaan naar een Russisch exit-point oid; en stel dat zij hier door waren gebeten; ... waren zij dan ook trolls geweest als ze een me-too op deze repo achter gelaten hadden?

Je kunt hier zonder verdere context nog helemaal niet over oordelen.

[Reactie gewijzigd door R4gnax op 18 maart 2022 19:08]

White Feather
@R4gnax18 maart 2022 21:54
Het heeft een nogal erg grote als, als, als-gehalte.

Je verzint er zelf een verhaal bij dat zo ongeloofwaardig is als wat.

Ik vind ook dat het fout is wat deze man gedaan heeft, maar deze posting is gewoon een zeer verdachte worstcase scenario, zo van arme wij, we doen zoveel goed en zijn zo gedupeerd. Wat een vreselijke uitwerking van deze domme actie van deze man.

Een organisatie die onderzoek doet naar mensenrechten is ongeveer het ergste slachtoffer dat je zou kunnen bedenken en er worden uiteraard allerlei redenen gegeven waarom alle data verloren is gegaan. Alsof je die data daadwerkelijk in Belarus zou laten (één politie-inval en je bent het kwijt) en niet buiten dat onbetrouwbare land zou backuppen. Alsof er geen externe harde schijven bestaan, alsof er geen cloudopslagdienst is voor een paar euro per maand.
dasiro
@JapyDooge18 maart 2022 15:41
of het nu uiteindelijk verified, fake of unknown is, ik hoop dat deze idiote actie duidelijk genoeg maakt dat het nooit zomaar een wij tegen zij verhaal is en dat blinde acties een hoop collateral damage veroorzaken waarvan je je de impact helemaal niet kan voorstellen/voorspellen.
Globber
@jaapzb18 maart 2022 16:47
Tja, en of het nu waar is of niet, er zijn veel organisaties met een slecht backup beleid (ik denk zelfs dat de meeste bedrijven ergens wel een kritieke fout in hun IT hebben zitten)

Maar los daarvan vind ik het ver gaan om de schuld te geven aan de organisatie, terwijl deze developer gewoon een roekeloze en ondoordachte actie heeft gedaan. Heb je er iets mee te maken? Nee, maar je woont in dit land dus nu ben jij een doelwit. Het is gewoon malware, en heel slecht doordachte malware op zijn best.
jaapzb
@Globber18 maart 2022 17:33
De actie van die node-ipc ontwikkelaar is natuurlijk van de zotte, maar als organisatie moet je er van uit gaan dat alles om je heen tegen je is en dat er dus iets gaat gebeuren waarbij je je backups nodig gaat hebben. Of dat nou een brand, een oorlog, of een onbetrouwbare ontwikkelaar is. 1 keer in de maand backuppen is dan gewoon niet genoeg.

Het treurige is dat het zo ontzettend simpel is om elke nacht een backupje te draaien.

[Reactie gewijzigd door jaapzb op 18 maart 2022 17:34]

Globber
@Razwer18 maart 2022 16:51
Of zou er een tussenweg kunnen zijn waar ze allebei schuld hebben? Alles moet zo extreem zijn hier, maar in de echte wereld is er een tussenweg.
We kunnen het er op houden dat zowel de organisatie als de maker van deze malware hiervoor verantwoordelijk voor zijn? Hand in beiden boezems, deze man heeft een fout gemaakt in een emotionele bui, de organisatie heeft geen backup. Allebei fout, neemt niet weg dat we snel van alle software af moeten waar deze ontwikkelaar toegang tot heeft, want hij heeft laten zien absoluut geen verantwoordelijkheid te kunnen dragen. Goede coder, maar hij heeft duidelijk iemand nodig die hem controleert.
peize9
18 maart 2022 15:51
Dit is eng. Ik ben net bezig met mijn eerste vue.js applicatie (Electron). Als de developer zo kinderachtig en onbetrouwbaar is, moet ik hier dan nog wel mee doorgaan? Het is dan maar een klein stukje van het geheel, maar toch.
kodak
@peize918 maart 2022 16:17
Nog maar enkele weken geleden gebeurde aanpassingen in veel gebruikte npm Libraries ‘Colors,’ ‘Faker’ omdat de ontwikkelaar een eigen mening belangrijker vond.
Dat had ruim 2 miljoen downloads per week.
De reactie van github was toen het account tijdelijk te blokkeren.

Het probleem was hoe dan ook al dat als je graag code van een plek wil gebruiken waar je zelf nauwelijks controle over hebt je dus ook niet vreemd moet opkijken als iemand die code aanpast naar iets wat je liever niet hebt of dat het niet beschikbaar is.
Dat het niet vaak in het nieuws komt wil niet zeggen dat je er dus maar voldoende op kan vertrouwen zomaar te gaan of blijven gebruiken wegens gemak of lagere kosten.
WoutervOorschot
@kodak18 maart 2022 19:29
Had hij niet gewoon al lang aangegeven op zn repo te stoppen omdat ie er geld voor wou? En vervolgens toen dat niet kwam heeft hij een breaking change gemaakt, die iedereen die zn major niet gelocked had binnenhaalde.

Alleen zn licentie was ruim genoeg dat anderen (en npm) gewoon een kopie of oude versie online konden houden. Die licentie is natuurlijk het sterke van vele oss projecten, maar als je een statement wilt maken is het dus ook je zwakte. Wat misschien ook wel goed is.
armageddon_2k1
@peize918 maart 2022 16:09
Er bestaat gewoon een package.lock file en npm ci.
peize9
@armageddon_2k118 maart 2022 16:18
Zeker, maar toch... Laten we politieke statements buiten de opensource software houden, bij voorbaat dank.
wankel
@peize918 maart 2022 18:10
Zeker, maar toch... Laten we politieke statements buiten de opensource software houden, bij voorbaat dank.
Open Source software, en met name natuurlijk Free software, is inherent politiek
armageddon_2k1
@peize918 maart 2022 19:20
Dat ben ik met je eens, en het is gewoon een dick-move van de maintainer. Echter, als mensen gewoon eens de docs lezen van hun package tooling dan wordt je hier iets meer immuun voor.
Ablaze
@armageddon_2k118 maart 2022 19:17
En hoe weet je dat de libraries die je initieel downloadt niet kwaadwillig zijn? Ga je ze een voor een code reviewen?
AerosPhere
@peize918 maart 2022 19:05
Stoppen met VueJS/Electron?

De package in kwestie wordt in 355 andere packages gebruikt, waaronder bijvoorbeeld ook in packages die te maken hebben met Cypress of Jest voor respectievelijk e2e en unit testing. Moeten we dan ook maar meteen stoppen met Unit- en e2e testen?
GeroldM
@AerosPhere19 maart 2022 04:50
Er zullen vast en zeker andere producten bestaan waarmee je je unit- en e2e-tests mee uit kan voeren?

Of, god verhoedde, jezelf code gaat schrijven die dit soort testen uitvoert? Ja, nieuwe code schrijven kost een boel meer moeite, zeker in het begin. Het zal ook nog wel even duren voordat je het zodanig verfijnt hebt dat je er bjkans blind op de gegenereerde resultaten kan vertrouwen.

Maar als je eenmaal door al die start-problemen heen bent geworsteld, dan heb je wel wat. Nee, alles zelf doen is verre van ideaal. In een ideale wereld zou je er van uit moeten kunnen gaan dat alle vrije/open-source software gewoon goed werkt en dat ook blijft doen. Helaas, daar leven we niet in en is het niet altijd onverstandig om zelf maar de benodigde expertise op te bouwen door zelf je testsoftware te ontwikkelen.

Dat dit recht tegenin de huidige trends druist, dat hoef je me niet uit te leggen. Dat het net als vloeken in de kerk word gezien, dat snap ik ook wel.
Marctraider
18 maart 2022 15:21
Wat als er nou per ongeluk een fout begaan wordt dmv. verkeerde ip's? Stel dat iemand toevallig een VPN aan heeft via rusland...
moonlander
@Marctraider18 maart 2022 15:41
Dat maakt niet uit, een burger is Rusland is toch net zo erg als dat het jou zou overkomen?
Madshark
@Marctraider18 maart 2022 16:36
Nog maar niet te spreken over gerecyclede IP adressen.
IPv4 range is op, dus is daar nu wat handel in. Ik zie nu veel verschuivingen van grote IPv4 blokken van het ene land naar het ander.
itavero
18 maart 2022 16:47
Wel bijzonder dat mensen dreigen hem aan te klagen, terwijl ze zelf met de licentie akkoord zijn gegaan waar staat:
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
SOFTWARE.
Groningerkoek
@itavero18 maart 2022 17:05
Dat soort voorwaarden zijn alles behalve heilig, als de mediamarkt op pagina 6 van de algemene voorwaarden zet dat bij aanschaf van een vaatwasser er een dag later iemand komt om jouw ramen in te gooien en dat jij alle mogelijkheden om mediamarkt hiervoor aansprakelijk te stellen uitsluit, dan mag mediamarkt toch echt dokken voor nieuwe ramen.
RGAT
@WoutervOorschot18 maart 2022 19:08
Toch download je gewoon code die je vervolgens zelf op je pc uitvoert.
Is dat niet het geval voor vrijwel alle malware ter wereld?...
Je hebt zelf die vreemde USB stick aangesloten, die trojan gedownloadt en op die link geklikt.

Schadelijke commands op een forum delen heeft ook niets te maken met die commands in een project sneaken door ze in base64 te encoden zodat het niet direct te lezen is. (En zoals wel vaker met open source, puur dat iedereen de source kan lezen, betekent nog niet dat er iemand is die dat ook echt doet).
Waar in de licentie van die code staat dat het doel ervan is om politieke statements te maken door data van Russische IPs te verwijderen? Hoe ben jij (of wie dan ook) daar mee akkoord gegaan exact?

Als jij op dat forum een stukje code zet die schade toebrengt aan bezoekers van dat forum en je zet erbij 'eigen risico' zal je alsnog vervolgt (kunnen) worden, de bordjes 'eigen risico', hoe vaak je ze ook ziet bij de voetbalclub, zwembaden en parkeergarages hebben geen betekenis zolang de wet er nog boven staat.
GeroldM
@RGAT19 maart 2022 04:55
Alhoewel je op legale gronden gelijk hebt, zal een rechter toch meenemen dat je waarschuwingen hebt genegeerd. Hoe zwaar dat zal meewegen, dat is dus de vraag en afhankeleijk van de behandelende rechter.

Kan dus in jouw voordeel uitvallen, maar ook in jouw nadeel. Weet je waar iedereen blijer van wordt? Door de waarschuwing maar in acht te nemen. Scheelt iedereen een hoop tijd en geze.k aan de kop. Ook al heb je nog zo gelijk.
RGAT
@GeroldM19 maart 2022 15:40
Welke waarschuwingen zijn dat dan? Ik zie namelijk nergens een waarschuwing dat de software voor politieke doeleinden gebruikt 'kan' worden en de software data 'kan' verwijderen.
Enkel dat het gebruik op eigen risico is, wat zoals al eerder gezegd niet boven de wet staat.
Als je in het zwembad een kluisje gebruikt staat er vaak ook 'gebruik kluisjes eigen risico', als een medewerker van het zwembad dan jouw portomonnee uit je kluisje jat is dat niet 'eigen risico' maar gewoon iets waar de wet heel duidelijk in is dat het zwembad aansprakelijk gestelt kan worden daarvoor.

Er zijn geen waarschuwingen voor dit soort acties in de readme of licentie, de waarschuwingen 'eigen risico' gelden hier niet en staan sowieso nooit boven de wet dus ook al zouden ze gelden voor expres gemaakte schade dan nog zouden ze niet gelden want wet enz.

Een rechter zal hier waarschijnlijk veel simpeler in zijn:
Heeft de ontwikkelaar expres code toegevoegd om schade toe te brengen? Ja.
Heeft de ontwikkelaar deze code proberen te verbergen door het in base64 te encoden? Ja.

Of de benadeelde dan een fatsoenlijke backup had, de voorwaarden gelezen heeft en/of de hele source bestudeerd heeft maakt niet uit voor een eventueel strafbaar feit in een strafrechtzaak of schadeclaim in een civielrechtelijke zaak.

Of denk je dat het wenselijk is dat jij en ik er vanuit moeten gaan dat elke software met voorwaarden (bijna alle software ooit dus) jouw data kan en zal vernietigen en je dus niet moet gebruiken?...
Anoniem: 25604
@GeroldM20 maart 2022 11:06
Precies.
Lodo
@WoutervOorschot18 maart 2022 17:38
https://www.law.cornell.edu/uscode/text/18/1030#a_5
en
https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act

[Reactie gewijzigd door Lodo op 18 maart 2022 17:39]

Anoniem: 25604
@Lodo20 maart 2022 11:16
Jouw 1ste link: De woorden accessing, authorization en protected zijn de kernwoorden. In dit geval van bronbestanden van Node-IP, download en activeert een gebruiker zelf functionaliteit van software, waarbij duidelijk staat wat deze software doet. In grote lijnen doet anti-cheat software van een aantal partijen precies hetzelfde. Ongewenste functionaliteiten of instructies worden uitgeschakeld na detectie.

Jouw 2de link: WikiPedia is nou echt niet een bron waar ik mijn kennis, rechten, plichten op zou willen baseren. Iedereen die ingelogd is kan die informatie bewerken en hoewel informatie gecorrigeerd kan worden, is de lezer overgeleverd aan de mening of correcte kennis van de schrijvers.

[Reactie gewijzigd door Anoniem: 25604 op 20 maart 2022 11:24]

NMe
@itavero18 maart 2022 17:21
Algemene voorwaarden en licenties overschrijven geen rechten die je van de wet krijgt. Doelgericht schade toebrengen aan andermans systeem is gewoon ordinair vandalisme en op deze schaal zelfs terrorisme te noemen en daarom gewoon strafbaar. Ongeacht wat de licentie zegt.
blissard
@NMe19 maart 2022 21:07
Schade aanbrengen aan een mogendheid waarmee je in oorlog bent is geen terrorisme. Vandalisme misschien wel, maar dat mag gewoon richting de vijand.
NMe
@blissard20 maart 2022 00:28
Behalve Oekraïne en een aantal staten in het Midden Oosten is niemand in oorlog met Rusland. Bovendien is GeoIP enorm foutgevoelig, waardoor je mensen uit andere landen kan aanvallen. En wat te denken van het platleggen van publieke voorzieningen zoals ziekenhuizen? Zelfs tijdens een oorlog zou dat een oorlogsmisdaad zijn.

Moet ik verdergaan?
Sinnergy
@itavero18 maart 2022 17:07
Wet staat boven alles?
Anoniem: 25604
@Sinnergy20 maart 2022 11:03
Niet altijd.
Internetjurist
Juridisch loket

[Reactie gewijzigd door Anoniem: 25604 op 20 maart 2022 11:05]

Blokker_1999
@itavero18 maart 2022 18:35
Die voorwaarden staan niet boven de wet. Ik kan in de voorwaarden zetten dat al jouw eigendommen nu van mij zijn betekend nog niet dat dat ook maar overeind zal blijven als ik je voor de rechter daag omdat jij je geld niet wenst over te schrijven naar mij.

Deze clausule gaat vooral uit van iets dat in goed vertrouwen moet zijn gebeurd. Maar wanneer je met opzet code toevoegt, die gaat verbergen en in een base64 encoded blob gaat steken om reviews nog wat moeilijker te maken dan ben je met opzet bezig schade te berokkennen. Dat is minstens vandalisme te noemen maar kan als erger geklasseerd worden.
Anoniem: 25604
@Blokker_199920 maart 2022 11:00
Die voorwaarden staan niet boven de wet.
Ahum... Dat zou ik zeker niet zwart-wit stellen...

https://blog.iusmentis.co...aat-boven-de-voorwaarden/
https://www.juridischloke...ene-voorwaarden-ongeldig/
Hans1990
@itavero18 maart 2022 20:21
Gelukkig zijn er ook dingen zoals grondwetten e.d. waar niemand boven of onder staat.

Tenslotte kan dit stuk software verpakt zijn in talloze dependencies verder, en heb ik als eindgebruiker enkel op de install knop gedrukt. De package die ik installeer onderhouden deze code niet, en vragen enkel de package manager om dit er bij te installeren. In dat geval heb ik nergens de voorwaarden kunnen lezen of accepteren. Als er 1 ding is wat opvalt tussen Windows en Linux bijvoorbeeld, is dat je bij Linux eigenlijk nooit die licenses als gebruikers te zien krijgt. Veel Windows programmas lijken puur nog een installer te hebben zodat je de EULA mag accepteren.

In hoeverre gaat dan zo'n license op? Je kan die niet eenzijdig afsluiten. Dat zou net zo krom zijn als dat je iemand een e-mail stuurt met vertrouwelijke informatie, en vervolgens er bij vermeld dat deze onder NDA staan tussen jouw en de benaderde partij. Je kan moeilijk ongevraagd iemand voorwaarden laten accepteren...
Sinnergy
@itavero25 maart 2022 10:43
Dus vanaf nu gewoon zo'n disclaimer bij virussen / malware toevoegen.. Man man, dat men daar nooit eerder aan gedacht heeft! Perfect (non)-crime zo!
42dpi
18 maart 2022 15:21
''everything is fair in love and war''
Ik kan de actie van de ontwikkelaar wel snappen hij doet iets er is genoeg frustratie te vinden bij mensen die wat willen doen maar dat niet kunnen, het bewust verwijderen van bestand kan ik mij ook niet helemaal in vinden maar op deze manier een boodschap overbrengen is beter dan niks (kunnen) zeggen.

Russische/ Wit Rusland volk is in zeker zin verantwoordelijk voor wat hun regering doet en dat is van geen kant zuiver of te rechtvaardigen wat zich nu afspeelt in Oekraïne.

En context ik snap zeker dat niet alle Wit/Russen dit willen maar de mensen die gebombardeerd worden ook zeker niet en een leven is meer waard dan een paar bestanden. Als dit helpt in het versnellen van de beëindiging van de oorlog tja.
SgtElPotato
@42dpi18 maart 2022 15:29
Dit helpt juist niet. Er zijn talloze mensen die er totaal niks mee te maken hebben (zo ook een klokkenluidersplatform) geraakt. Ik denk dat je je nog eens een achter je oren moet krabben met een statement als dit.

Dit is een oorlog tussen RU en Oekraïne waar de hele wereld zich mee bemoeit, omdat ze Oekraïne steunen. Dat moet vanuit de overheid, daar moeten andere organisaties zich niet mee bemoeien.

En wat dat betreft heeft ie ook gelijk zijn eigen ruiten ingegooid, hij zal bij aardig wat mensen op de 'blacklist' komen gok ik zo :)
GeroldM
@SgtElPotato19 maart 2022 05:29
Of omdat deze regeringen het haantjes-gedrag van Putin stilletjes aan beu aan het geraken zijn? Of wel eens verder kijken dan hun neus lang is en zien dat Putin aan het begin van hun energie distributie (gas) staat en daardoor veel te veel macht krijgt, welke Putin dus ook misbruikt?

Trump is slecht en gelukkig voor iedereen, incompetent. Putin is net zo slecht or erger, echter is hj een stuk competenter dan Trump ooit had kunnen hopen. Dat is een groot verschil en vereist ook meer daadkrachtig handelen van deze regeringen. Wat ze dan ook doen, zonder Putin alteveel redenen te geven om zijn atoomwapens af te vuren.

Nu had ik al gehoord dat er zeker 4 Russische generaals om het leven zijn gekomen tijdens gevechten. Zijn vooral "jongere" generaals. Een vijfde Russische generaal is nog niet bevestigd. Maar de geruchten daarvan worden sterker.

Via dezelfde website begreep ik ook dat het communicatie-systeem van het Russische leger niet tot heel slecht werkt, waardoor men wel standaard mobiele telefoons en walkie-talkies moeten gebruiken. Deze zijn relatief makkelijk af te luisteren en dat maakt de Oekrainers behoorlijk effectief tijdens gevechten en het onderbreken van toevoerslijnen.

Er zouden al 6.000 tot 7.000 Russchische soldaten zijn gesneuveld. Als ik het me nog goed heriner is het gebruikelijk dat een vechtend leger ongeveer 2 keer het aantal doden aan gewonden heeft. Deze moeten dus zo goed en zo snel mogelijk weer inzetbaar zijn gemaakt. Maar daar heb je toevoerslijnen (over land/asfaltweg want dat is het snelst) voor nodig. Maar deze worden dus zeer effectief door Oekrainers aangevallen.

Nou is dat voor een groter leger als het Russiche leger niet onoverkomelijk, maar goed voor het moraal is het niet. Toevoerlijnen door de lucht en/of water kosten veel meer resources en zijn een flink stuk trager. Over water en per trein kan dat goed worden gemaakt door bulk. Maar treinen worden succesvol aangevallen en waterwegen zijn maar beperkt aanwezig, dus heb je alsnog problemen met distributie als je aanvalslijnen zich verplaatsen naar het binnenland.

Kortom, deze oorlog duurt te lang, het kost teveel aan materieel en Russische soldaten. Daarnaast zijn er veel Russen die het niet eens zijn met deze oorlog en is deze oorlog een onfortuinlijke politieke zet van Putin geworden. Was het in een week ofzo beslecht in het voordeel van de Russen, dan zou hij zijn geprezen tot aan zijn dood op de "troon" van de Russische republiek.

Het duurt echter veel te lang en het eind is niet in zicht. Hoe Putin dus met dat gezichtsverlies om zal gaan, dat is maar de vraag. Hoe lang hij nog als kopman van Rusland aan mag blijven, dat is ook maar de vraag. En wie krijgen we daarvoor in de plaats? En hoe lang houdt deze het vol? Er zullen vast genoeg personen rondlopen die in naam van Putin de opvolger vergiftigen. Of anderszin om brengen.

Misschien ben ik te negatief, maar ik verwacht dat dit allemaal nog een veel langere staart gaat krijgen dan iemand ooit had kunnen voorzien. En dat het Europa meer gaat kosten. Het enige voordeel dat ik zo zie is dat veel Europesche landen versneld hun energie onafhankelijkheid gaan regelen, zodat Rusland en haar olie/gas niet meer nodig zijn. Dan gaan oliegarchen wel heel veel geld mislopen, nu en in de toekomst. Dan kan een kogel die Putin ombrengt voor die personen een oplossing zijn die winsten in de toekomst veiligstellen.

Putin mag dan wel aan het hoofd van het land staan, als hij teveel geld kost...
blissard
@SgtElPotato19 maart 2022 21:08
Waarom “moet” dat vanuit de overheid? Ik steun iedere actie die het einde van de oorlog dichterbij brengt. Ook als dat, jammer maar helaas, Russische burgers raakt.
jhnddy
@blissard20 maart 2022 08:47
Omdat illegale handelingen die anderen schade toebrengen, anders dan op last van de overheid, strafbaar is.

Waarom denken zoveel mensen dat als er een conflict elders is, dat iedereen naar eigen goeddunken mag handelen en dat je je niet aan de wet hoeft te houden?
kimborntobewild
@SgtElPotato20 maart 2022 01:13
Dit is een oorlog tussen RU en Oekraïne waar de hele wereld zich mee bemoeit, omdat ze Oekraïne steunen.
Het is natuurlijk niet zo dat de 'hele wereld' Oekraïne steunt.
Alleen al in zuid-oost Azië en in Afrika hebben tientallen landen geweigerd de aanval te veroordelen.
(Vooral onthouding van stem. En dat is mijn ogen in dit geval gelijk aan steun aan de massamoordenaar Putin.)
kimborntobewild
@SgtElPotato21 maart 2022 06:36
Er zijn talloze mensen die er totaal niks mee te maken hebben (zo ook een klokkenluidersplatform) geraakt
Dat van dat klokkenluidedsplatform is niet bevestigd.
Globber
@42dpi18 maart 2022 16:38
Russische/ Wit Rusland volk is in zeker zin verantwoordelijk voor wat hun regering doet
Dat is wel wat makkelijk natuurlijk. Een deel is er helemaal niet voor, en een groot deel weet niet eens dat er oorlog is. Je vergeet het soms omdat Nederlandse politici ook roepen dat hier allemaal propaganda is, maar in Rusland is propaganda echt aan de orde van de dag. Informatie daar is echt niet zo vrij en neutraal zoals wij hier aan onze informatie komen.

Om dan een aanval te doen op zo'n manier 'raken wie je raken kan, zolang ze maar wonen in een land waarvan ik boos ben op de leider' is op geen enkele manier te begrijpen, en al helemaal niet als je wilt dat je software serieus wordt genomen. Dit versnelt helemaal niks om het te eindigen, en als het al iets doet (wat ik betwijfel) maakt het het volgens mij alleen maar erger omdat er meer mensen zich mee gaan bemoeien.

Het is gewoon een domme actie, en developers moeten deze software zo snel mogelijk zien als EOL en een vervanging vinden. Deze ontwikkelaar heeft laten zien de verantwoordelijkheid van veelgebruikte software niet aan te kunnen, dus laten we met z'n allen bepalen dat hij ook geen veelgebruikte software meer heeft.
kakanox
@42dpi18 maart 2022 15:37
Ik denk dat het de moeite is als je dit artikel eens leest:
Hoe het Westen precies het verkeerde lijkt te doen voor Oekraïne
42dpi
@kakanox18 maart 2022 15:49
Nou ik heb het enigszins gelezen, het riekt naar pro Russische propaganda en de verklaring waarom Rusland zo maar even wat land mag innemen klinkt als gijzeling iets wat in mijn omgeving moraal verwerpelijk is.
kakanox
@42dpi18 maart 2022 16:15
Ehh... dan heb je het niet heel goed gelezen.
Het gaat vooral over dat we aan een oorlog bezig zijn die op deze manier niet te winnen valt. De NAVO gaat niet actief helpen in Oekraïne of Rusland aanvallen. De risico's zijn veel te groot. Poetin is een slimme vent, die weet dat ook.

PS: Eigenlijk wel grappig. Als je hier iets zegt over de gewone Russische burger (behalve dat ze pro-Poetin zijn), of opmerkt dat de NAVO - ondanks dat ze zeker geen schuld hebben aan dit conflict - met een iets andere aanpak m.b.t. de annexatie van de Krim, NAVO-lidmaatschap van UA en de conflicten daaromtrent, de olie- en gashandel en nog een paar onderwerpen wel had kunnen bijdragen aan het voorkomen van dit conflict, vindt men je bij voorbaat fout. Tactiek is ons vreemd hier op Tweakers :D
Ik hoop dat de betrokken politici iets beter nadenken, want op deze manier gaan we door tot Oekraïne procentueel gezien nog niet de helft van de jonge mannen heeft die Rusland heeft. Beide landen gaan op deze manieren kapot, het enige dat er met wat mazzel op vooruit gaat is het klimaat. Zorgelijk.

[Reactie gewijzigd door kakanox op 18 maart 2022 16:22]

1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee