Un desarrollador open source saboteo sus propias bibliotecas afectando a miles de aplicaciones

Hace poco se dio a conocer la noticia de que un desarrollador saboteó dos de sus propias bibliotecas open source, causando interrupciones en miles de aplicaciones que las usaban.

Marak Squires, el autor de dos bibliotecas de JavaScript con más de 21 000 aplicaciones dependientes y más de 22 millones de descargas semanales, actualizó sus planes a fines de la semana pasada después de haber permanecido sin cambios durante más de un año. Las actualizaciones contenían código para producir un bucle infinito que hacía que aparecieran galimatías de las aplicaciones dependientes, precedido por las palabras «Libertad Libertad Libertad».

Squires no proporcionó ninguna razón para hacerlo, pero un archivo «faker.js» se cambió a «¿Qué pasó realmente con Aaron Swartz?».

Swartz fue un desarrollador líder que ayudó a establecer Creative Commons, RSS y Reddit. En 2011, Swartz fue acusado de robar documentos de la base de datos académica JSTOR en un intento de hacerlos de libre acceso.

El activista involucrado en grandes causas como la Neutralidad de la Red, se opuso a las leyes SOPA y PIPA (equivalentes a Hadopi en Estados Unidos). Aaron Swartz se suicidó en enero de 2013. Sujeto a episodios depresivos, se encontraba bajo fuertes procesos judiciales. Enfrentó nada menos que 4 millones de dólares en multas y 30 años de prisión por haber descifrado y robado 4 millones de documentos académicos del MIT y del sitio Jstor. Un acto realizado en nombre del libre acceso al conocimiento. Un acto que también le valió la acusación de «crimen» («felony») por parte de la justicia estadounidense.

Aaron Swartz se negó obstinadamente a aceptar el término, según su colega Lawrence Lessig. Una negativa que, tras 18 meses de negociaciones, daría lugar a un juicio con penas potencialmente muy severas.

En reacción a su muerte, varios profesores del MIT han decidido honrar su lucha, que apoyan, subiendo archivos PDF de su trabajo para luchar contra los derechos de autor de artículos académicos. Además de estos profesores, el MIT también oficialmente y como institución decidió realizar una investigación interna para determinar cómo había actuado, en detalle, la escuela de Boston desde el inicio del asunto de los “robos” de documentos. ¿Y si sus decisiones no hubieran sido desproporcionadas?

Al mismo tiempo, ya que incluía la referencia Swartz en el archivo «Readme», Squires también tuiteó esas mismas palabras e incluyó un enlace a un hilo que afirma que Swartz fue asesinado después de descubrir pornografía infantil en los servidores del MIT. Esta publicación ahora eliminada (pero disponible en Web Archive), incluida en el hilo, decía:

“No, no es Aaron Swartz quien debe ser juzgado, sino esta alta institución de aprendizaje asalariado, el MIT, que es responsable de los crímenes atroces que lo llevaron a la muerte. Los riesgos asumidos por Swartz, que así amenazó al MIT, solo pueden entenderse a través del tema de la pornografía infantil orquestada y producida por sus aclamados profesores y distribuida a sus ricos y poderosos patrocinadores. Los ciberpókeres del MIT atienden a una clientela que incluye el escalón más alto del Departamento de Estado, grandes corporaciones, agencias de inteligencia, el ejército y la Casa Blanca.

Cada elemento del Caso Swartz indica que murió en un heroico intento de exponer la perversión que ha corrompido los corazones y las mentes de la élite mundial, un vicio atroz y a menudo mortal que traumatiza a niños inocentes y amenaza a todas las familias de este planeta.

Esta exhibición de hechos es un camino sinuoso que conduce desde los Sagrados Salones de Ivy en Boston hasta las afueras de Phnom Penh, donde un profesor de renombre mundial ha organizado servicios de sexo juvenil para dignatarios visitantes y ha enviado pornografía infantil cifrada vía satélite a bases de datos ilícitas. en el campus del MIT.

Nicholas Negroponte, ya no tienes dónde esconderte en el sudeste asiático o África. Estás bajo vigilancia y serás perseguido sin descanso, no solo por pornografía infantil y proxenetismo, sino ahora como cómplice de asesinato. Tu única salida es devolver los archivos de video con la lista completa de nombres, y será mejor que lo hagas lo antes posible, porque los poderosos pedófilos de esta lista te silenciarán para cubrir sus propios rastros”.

El sabotaje de las bibliotecas plantea preocupaciones sobre la seguridad de la cadena de suministro de software, que es crucial para muchas organizaciones, incluidas las empresas Fortune 500. Las dos bibliotecas saboteadas, Faker.js y Colors.js, han creado problemas para las personas que utilizan el SDK en la nube de Amazon.

Los críticos han dicho durante mucho tiempo que las grandes corporaciones se aprovechan de los ecosistemas de código abierto sin pagar adecuadamente a los desarrolladores por su tiempo. A su vez, los desarrolladores responsables del software son puestos a prueba injustamente.

De hecho, Squires dijo en 2020 que ya no apoyará a las grandes empresas con el trabajo que realiza de forma gratuita.

“Aproveche esta oportunidad para enviarme un contrato anual de seis cifras o bifurcar el proyecto y hacer que alguien más trabaje en él”, escribió.

La capacidad de un solo desarrollador para frenar una base de aplicaciones tan grande destaca una debilidad fundamental en la estructura actual del software libre y de código abierto. Agregue a eso los estragos causados ​​por las vulnerabilidades de seguridad pasadas por alto en aplicaciones de código abierto ampliamente utilizadas y tendrá una receta para un desastre potencial.

Fuente: https://web.archive.org

https://github.com


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Un comentario, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Roberto Scattini dijo

    Hola! A esta noticia le falta algo que para mí también llama mucho la atencion: al suceder todos estos eventos, GitHub (aparentemente) le suspendió la cuenta al programador aludiendo que había violado los «términos de servicio», bloqueandole acceso a su propio código… WTF? Desde cuándo deciden que cosas puede hacer un programador open source con sus propios proyectos?