"Uno spettro si aggira nel software libero: lo spettro del luddismo che rinasce."

Questa parafrasi dell'incipit del "Manifesto del Partito Comunista" è in realtà il tentativo di descrivere un fenomeno apparentemente diverso ma accaduto due volte in due mesi; gli sviluppatori, o più esattamente i maintainer di alcune librerie di software, per l'esattezza le librerie Javascript colors e node-ipc, hanno inserito, in una nuova versione delle librerie che pazientemente e gratuitamente mantenevano, un payload distruttivo, un vero e proprio malware.

Nel caso di colors il payload è elementare, manda "semplicemente" in un loop infinito la prima chiamata alla libreria, mentre nel caso recentissimo di node-ipc il payload è un vero e proprio malware (del tipo "wiper") che si accanisce contro la macchina dello sviluppatore, cancellando e sovrascrivendo il software su cui stava lavorando.

In questo caso la motivazione "ufficiale" è un "atto di protesta" contro l'aggressione russa all'Ucraina; node-ipc, in particolare, scatena la propria azione distruttiva solo se il computer su cui viene lanciato ha un IP registrato in Russia o Bielorussia, comportandosi quindi come una versione "naive" del ben più noto e potente Stuxnet, quindi di una vera e propria "arma".

Proposte di lettura:

Robot spezza il dito a un ragazzino durante un torneo di scacchi

Russi saccheggiano trattori ucraini, che vengono brickati da remoto

No, la Russia non ha già deciso di lasciare la Stazione Spaziale Internazio...

Microsoft violata, rubato il codice di Bing e Cortana

Ma fermiamoci qui nella descrizione tecnica; ulteriori particolari informatici sono facilmente reperibili in Rete, e Javascript si conferma il linguaggio più pericoloso al mondo, insieme a tutti quelli, come Perl e Python, che caricano automaticamente le librerie da vasti e magmatici repository di software, in cui migliaia di sviluppatori sconosciuti riversano il proprio sudore.

Gli specialisti di sicurezza e le agenzie di intelligence si stanno fin da gennaio preoccupando di questo fenomeno, che tecnicamente appartiene alla classe dei vettori di attacco "supply-chain attack" (ricordate "Solarwinds"?); di questo nuovo caso ne ha parlato persino il presidente degli Stati Uniti, quindi la questione deve essere abbastanza importante.

Articoli raccomandati:

La Biblioteca di Babele della IA

Diffidate di qualunque apparecchio abbia meno di 10 anni

Salvini, l'Infosfera e l'Intelligenza Artificiale

Pillole di /e/OS: come degooglizzare lo smartphone

A Cassandra interessa invece l'aspetto potremmo dire "politico", anzi "di classe" di questo fenomeno. E non per quanto riguarda lo schierarsi nel conflitto in corso, ma per quanto riguarda l'attuale "accumulazione di capitale software" che ha permesso all'ecosistema software contemporaneo, sia libero che proprietario, di nascere ed evolversi, fino a diventare la base della società tecnologica del terzo millennio.

E' un fenomeno molto importante, che la storia futura della "rivoluzione tecnologica" racconterà come quell'evento di portata storica che è stato. Ed in questo contesto, che ha richiesto tante parole per essere enunciato, Cassandra vorrebbe capire le motivazioni che hanno spinto due esseri umani, così affini alla cultura hacker in certi tratti del comportamento (serve ripetere "nell'accezione positiva originale"?) da impiegare parte della propria vita al servizio di altri, ad agire in maniera del tutto simile a quella dei cybercriminali.

E qui non vi sono certezze; se vediamo queste persone come parte di un sistema produttivo fondato sullo sfruttamento del lavoro, allora il termine di Neo Ludditi, cioè di operai che distruggono le macchine con cui lavorano come forma di rivolta contro lo sfruttamento, è assolutamente calzante.

Consigliamo la lettura di:

L'inventario della vostra IoT

IA: ragionare usando i dati

La disintossicazione dallo streaming

Lo smartphone è davvero spento oppure è un nemico in tasca?

Si tratta di una descrizione in termini di "potere". Gli "operai" del software Open Source o Libero, che quotidianamente donano il loro lavoro senza neppure essere pagati, anche da chi il loro lavoro "sfrutta" commercialmente (forma estrema di "sfruttamento" del lavoro), distruggono, o meglio danneggiano "le macchine", l'ecosistema del software di cui fanno parte.

Non è compito di Cassandra giudicare o puntare il dito, tracciando quella linea, sempre molto evanescente, discutibile e difficile da individuare che separa i "buoni" dai "cattivi".

No, invece torniamo alla definizione tecnica del fenomeno, il mondo del software si scopre popolato da molti, moltissimi sconosciuti che dispongono di un "vettore di attacco" personale, potente ed imparabile; roba che fa sembrare, da questo punto di vista, i criminali informatici dietro "SolarWinds" degli incompetenti confusionari. E il potere corrompe.

Sullo stesso tema:

Il nuovo, vecchio e doppio laptop di Cassandra

Log4j, stavolta ci è andata bene

L'insostenibile debolezza del middleware: log4j

La rinascita della stampante

Nel terzo millennio non ci possiamo permettere questo tipo di comportamenti. Non perché sia intrinsecamente più o meno sbagliato, ma perché, nel nostro paragone luddita, la "macchina" è una sola, è l'intero ecosistema del software, che non possiamo permetterci di "rompere", perché ci viviamo tutti dentro. E che, in questo momento, si scopre fragile, e vulnerabile; e che proprio per questo dovrà cambiare profondamente.

E' un vero peccato, non solo per i pericoli, i costi e le conseguenze che questo cambiamento richiederà, ma perché l'ultima briciola dell'Internet di una volta, quella dell'abbondanza, in cui tutti erano buoni e generosi, oggi è davvero scomparsa. Nemmeno gli sviluppatori di software libero possono più "fidarsi" tra loro, perché il potere corrompe, corrompe anche chi non ti aspetteresti.

Non perderti anche:

Il Nobel ad Assange

L'insopportabile fragilità di Internet

La Democrazia della Sorveglianza

Tecnocontrollo e diritti civili