Von Raphael Satter
WASHINGTON (Reuters) – Der deutsche Softwareentwickler Andres Freund führte letzten Monat einige detaillierte Leistungstests durch, als ihm seltsames Verhalten in einem wenig bekannten Programm auffiel. Was er bei seinen Nachforschungen herausfand, hat die gesamte Softwarewelt erschüttert und die Aufmerksamkeit von Technologiemanagern und Regierungsbeamten auf sich gezogen.
Freund, der für Microsoft (NASDAQ:) in San Francisco arbeitet, entdeckte, dass die neueste Version des Open-Source-Softwareprogramms XZ Utils von einem seiner Entwickler absichtlich sabotiert wurde, ein Schachzug, der eine Geheimtür zu Millionen hätte öffnen können von Servern im Internet.
Sicherheitsexperten sagen, nur weil Freund die Änderung bemerkte, bevor die neueste Version von XZ weit verbreitet war, blieb die Welt von einer digitalen Sicherheitskrise verschont.
„Wir sind einer Kugel wirklich ausgewichen“, sagte Satnam Narang, ein Sicherheitsforscher bei Tenable, der die Folgen des Fundes verfolgt hat. „Es ist einer dieser Momente, in denen wir uns über die Stirn wischen und sagen müssen: ‚Damit hatten wir wirklich Glück.‘“
Der Beinaheunfall hat die Aufmerksamkeit wieder auf die Sicherheit von Open-Source-Software gelenkt – kostenlose, oft von Freiwilligen gepflegte Programme, deren Transparenz und Flexibilität bedeuten, dass sie als Grundlage für die Internetwirtschaft dienen.
Viele dieser Projekte sind auf einen kleinen Kreis unbezahlter Freiwilliger angewiesen, die darum kämpfen, der Flut an Forderungen nach Reparaturen und Upgrades zu entkommen.
XZ, eine Suite von Dateikomprimierungstools, die in Distributionen des Linux-Betriebssystems gepackt sind, wurde lange Zeit von einem einzigen Autor, Lasse Collin, verwaltet.
In den letzten Jahren schien er unter Druck zu stehen.
In einer Nachricht, die im Juni 2022 an eine öffentliche Mailingliste gesendet wurde, sagte Collin, er habe mit „langfristigen psychischen Problemen“ zu kämpfen und deutete an, dass er privat mit einem neuen Entwickler namens Jia Tan zusammenarbeite und dass „er vielleicht eine größere Rolle dabei spielen wird.“ Zukunft.”
Über die Open-Source-Software-Website Github verfügbare Update-Protokolle zeigen, dass Tans Rolle schnell erweitert wurde. Bis zum Jahr 2023 zeigen die Protokolle, dass Tan seinen Code in XZ einfügte, ein Zeichen dafür, dass er eine vertrauenswürdige Rolle im Projekt gewonnen hatte.
Aber Cybersicherheitsexperten, die die Protokolle durchsucht haben, sagen, dass Tan sich als hilfsbereiter Freiwilliger ausgegeben hat. Sie sagen, Tan habe in den nächsten Monaten eine nahezu unsichtbare Hintertür in XZ eingeführt.
Collin antwortete nicht auf Nachrichten mit der Bitte um einen Kommentar und sagte auf seiner Website, dass er den Reportern nicht antworten werde, bis er die Situation gut genug verstanden habe, um dies zu tun.
Tan antwortete nicht auf Nachrichten, die an sein Gmail-Konto gesendet wurden. Reuters konnte nicht feststellen, wer Tan ist, wo er ist oder für wen er gearbeitet hat, aber viele derjenigen, die seine Updates untersucht haben, glauben, dass Tan ein Pseudonym für einen erfahrenen Hacker oder eine Hackergruppe ist – wahrscheinlich für jemanden, der daran arbeitet im Auftrag eines mächtigen Geheimdienstes.
„Das ist kein Kindergartenkram“, sagte Omkhar Arasaratnam, der General Manager der Open Source Security Foundation, die sich für die Verteidigung von Projekten wie XZ einsetzt. „Das ist unglaublich raffiniert.“
„Wir hatten Glück“
Tan hätte leicht damit durchkommen können, wenn nicht Freund, der Microsoft-Entwickler, gewesen wäre, dessen Neugier geweckt wurde, als er bemerkte, dass die neueste Version von XZ zeitweise unerwartet viel Rechenleistung auf dem System verbrauchte, das er testete.
Microsoft lehnte es ab, Freund für ein Interview zur Verfügung zu stellen, aber in öffentlich zugänglichen E-Mails und Posts in sozialen Medien sagte Freund, dass eine Reihe leicht zu übersehender Hinweise ihn dazu veranlasst hätten, die Hintertür zu entdecken.
Der Fund habe „wirklich viele Zufälle erfordert“, sagte Freund im sozialen Netzwerk Mastodon.
Satya Nadella, CEO von Microsoft, gratulierte Freund am Wochenende und sagte in einem Beitrag im sozialen Netzwerk X, dass er es liebe zu sehen, wie der Entwickler „mit seiner Neugier und seinem handwerklichen Können uns allen helfen konnte“.
In der Open-Source-Community ist die Entdeckung ernüchternd. Den Freiwilligen, die die Software warten, die dem Internet zugrunde liegt, ist der Gedanke an geringe Bezahlung oder Anerkennung nicht fremd, aber die Erkenntnis, dass sie jetzt von gut ausgestatteten Spionen gejagt werden, die vorgeben, barmherzige Samariter zu sein, sei „unglaublich einschüchternd“, sagte Arasaratnam , der Open Source Security Foundation.
Regierungsbeamte wägen auch die Auswirkungen des Beinaheunfalls ab, was Bedenken hinsichtlich des Schutzes von Open-Source-Software unterstrichen hat. Die stellvertretende nationale Cyber-Direktorin Anajana Rajan sagte gegenüber Politico, dass „wir viele Gespräche darüber führen müssen, was wir als nächstes tun“, um Open-Source-Code zu schützen.“
Die Cybersecurity and Infrastructure Security Agency (CISA) sagt, sie habe sich auf US-Unternehmen gestützt, die Open-Source-Software nutzen, um Ressourcen zurück in die Gemeinden zu stecken, die sie entwickeln und warten. CISA-Berater Jack Cable erklärte gegenüber Reuters, dass die Technologieunternehmen nicht nur die Aufgabe hätten, offene Software zu überprüfen, sondern auch „einen Beitrag zu leisten und beim Aufbau des nachhaltigen Open-Source-Ökosystems mitzuhelfen, von dem wir so viel Wert haben.“
Es ist nicht klar, ob Softwareunternehmen entsprechende Anreize dafür erhalten. Online-Open-Source-Mailinglisten wimmeln von Beschwerden über Technologiegiganten, die freiwillige Helfer zur Behebung von Problemen mit Open-Source-Software fordern, mit denen diese Unternehmen Milliarden von Dollar verdienen.
Was auch immer die Lösung sein mag, fast alle sind sich einig, dass die XZ-Folge zeigt, dass sich etwas ändern muss.
„Wir hatten hier unverhältnismäßig viel Glück“, sagte Freund in einem anderen Mastodon-Beitrag. „Darauf können wir uns in Zukunft nicht verlassen.“