Tras la eliminación la semana pasada de los mantenedores rusos del kernel de Linux para cumplir con las políticas estadounidenses, Linus Torvalds, el desarrollador del kernel de Linux original, habló sobre su preocupación de que hubiera muchos trolls rusos que potencialmente podrían infiltrarse en el kernel de Linux.
La decisión de bloquear a los mantenedores se produjo tras un compromiso de la biblioteca de software de código abierto XY Utils, que fue causado por un ataque de ingeniería social dirigido al mantenedor de la utilidad.
“Está completamente claro por qué se realizó el cambio. No se va a revertir, y el uso de múltiples cuentas anónimas aleatorias para tratar de ‘raízarlo’ por parte de las fábricas de trolls rusas no va a cambiar nada”, escribió Torvalds en un mensaje a la lista de destinatarios de parches de Linux que ayudan a mantener el código del kernel. .
Sus declaraciones han generado una serie de comentarios, que van desde sentimientos antirrusos hasta especulaciones de que los cabilderos de Microsoft estaban detrás de la decisión. Sin embargo, su impacto tiene consecuencias de largo alcance para el código abierto, que, hasta ahora, se ha considerado en gran medida como un esfuerzo comunitario global.
Cualquier sanción estadounidense para impedir que personas de ciertos países participen en proyectos de código abierto no sólo tiene el potencial de destruir la colaboración global, sino que también podría abrir las compuertas a un escrutinio más amplio, que implicaría posibles verificaciones de antecedentes de los ingenieros de software que trabajan en todas las empresas.
La vulnerabilidad de los mantenedores de código abierto
La prohibición se produce pocos meses después del incidente de XY Utils, donde un mantenedor de proyecto de la biblioteca de código abierto de XY Utils con exceso de trabajo recibió la ayuda de un desarrollador que usaba el nombre Jia Tan, quien inicialmente se unió al proyecto y comenzó a abrir solicitudes de extracción para varias correcciones de errores o mejoras. El desarrollador, habiendo ganado confianza y credibilidad, comenzó a recibir permisos para el repositorio. Luego, los atacantes enviaron quejas espurias y errores, como una forma de ataque de ingeniería social, para presionar al mantenedor original del proyecto para que le diera a Jia Tan más control del proyecto, comprometiera permisos y, eventualmente, liberara los derechos del administrador.
Parece que como parte del esfuerzo por obtener estos permisos, Jia Tan utilizó una forma interesante de ingeniería social. Se utilizaron cuentas falsas para enviar innumerables solicitudes de funciones y quejas sobre errores para presionar al mantenedor original, lo que finalmente provocó que agregaran a Jia Tan al repositorio.
Uno de los cambios que introdujo Jia Tan fue una puerta trasera sofisticada en XY Utils.
No conozco la lógica detrás de la decisión. [to block the Russian maintainers]. Se está excluyendo de la colaboración global a personas que no son malos actores, y eso es enormemente problemático. Es una lata de gusanos
Amanda Brock, OpenUK
Sin embargo, los mantenedores rusos no parecen haber hecho nada malo. Amanda Brock, directora ejecutiva de OpenUK, dijo: “No conozco la lógica detrás de la decisión. Se está excluyendo de la colaboración global a personas que no son malos actores, y eso es enormemente problemático. Es una lata de gusanos”.
La licencia de código fuente abierto significa que cualquier persona puede utilizarlo para cualquier propósito. “En mis 16 o 17 años en el código abierto, esta es la primera vez que veo que se restringe una categoría de personas”, añadió.
Existen reglas sobre el control de exportaciones que impiden que se exporte tecnología, como el software de cifrado. A principios de este año, la Oficina de Control de Activos Extranjeros de Estados Unidos emitió una guía sobre la orden ejecutiva del presidente Joe Biden que impone sanciones a Rusia y a las empresas rusas. Ciertas categorías de software y servicios de consultoría de TI están cubiertos, lo que significa que no pueden prestarse en Rusia. Las sanciones también afectan a determinadas empresas rusas.
Aunque la Fundación Linux no ha publicado más detalles sobre la prohibición, se cree que los mantenedores rusos prohibidos pueden haber trabajado en estas organizaciones.
Como señaló Brock, aunque los controles de exportación restringen la distribución de software, a menudo el código está disponible en un sitio espejo. “Las sanciones son diferentes”, añadió. “Si una empresa está en una lista de sanciones, no se puede involucrarse comercialmente de ciertas maneras con esa empresa, y lo que deduzco de los fragmentos de discusión [I’ve seen] es que a 11 personas se les ha dicho que no pueden estar en la lista de mantenedores”.
La comprensión de Brock de por qué estos individuos han sido excluidos es que sus empleadores están sujetos a una lista de sanciones de Estados Unidos.
La exclusión podría afectar a otros países de interés
“Estas personas, hasta donde yo sé, no han hecho nada malo. Pertenecen a una clase de personas que el gobierno estadounidense quiere excluir porque, creo, su empleador tiene conexiones con Rusia, lo que significa que hay que excluirlos”.
Para Brock, la decisión de prohibir a los 11 mantenedores rusos tiene consecuencias para el código fuente abierto, que está cada vez más sujeto a una legislación compleja y a restricciones legales.
Por ejemplo, Estados Unidos y el Reino Unido han impuesto sanciones a empresas tecnológicas chinas, como Huawei. Sin embargo, las investigaciones sugieren que China tiene la segunda comunidad más grande de desarrolladores de software de código abierto del mundo. La geografía del software de código abierto El artículo de investigación, publicado en 2021, analizó a los desarrolladores en GitHub. Si bien Estados Unidos tenía el mayor número de desarrolladores que utilizaban GitHub, China tenía el segundo mayor número.
“China es particularmente interesante porque ocupa un lugar destacado en la lista de países de preocupación de Estados Unidos. Pero al mismo tiempo, ha tomado la decisión de participar en el código abierto a escala masiva, y esta es una decisión consciente y respaldada por el gobierno”, dijo Brock.
Brock señaló que las empresas chinas han financiado el código abierto a gran escala, tanto en términos de contribuyentes como de inversión en fundaciones.
Los proyectos impulsados por contribuyentes chinos incluyen KubeEdge, que permite utilizar Kubernetes en informática de punta; Habor, un registro nativo de la nube para Kubernetes; y Dragonfly, un sistema de distribución de archivos y aceleración de imágenes.
El software chino, basado en tecnología de código abierto, también está integrado en muchos de los dispositivos inteligentes que se utilizan en la actualidad.
El gobierno del Reino Unido ha obligado a los proveedores de telecomunicaciones móviles a retirar los equipos Huawei de las redes móviles del Reino Unido. Brock señaló que el código en las redes móviles es de código abierto y es muy posible que tenga contribuyentes chinos, y agregó: “¿Hasta dónde vamos a llegar con esto? ¿Dónde comienza y dónde termina?
Cuestionó si Estados Unidos y otros gobiernos mantendrían a los proveedores de software propietario en la misma cuenta, para garantizar que ningún código de desarrollador procedente de “países de interés” se incluya en un producto comercial. Para implementar dicho cumplimiento se requeriría que cada proveedor de software comercial cambie todos sus contratos y licencias, dijo Brock, y pocas organizaciones son lo suficientemente grandes como para financiar equipos legales internacionales para garantizar que el software de código abierto cumpla con las regulaciones en cada región en la que operan.
La decisión de la Fundación Linux de prohibir a los desarrolladores rusos es probablemente una respuesta a un asesoramiento legal para evitar un posible choque con la administración estadounidense. Con el aumento de la tensión geopolítica, existen riesgos de que los desarrolladores y mantenedores de software de código abierto de otros países se encuentren con que ellos también dejen de contribuir y apoyar proyectos de código abierto.
