Open-Source-Software und Cyberangriffe

Sep 8, 2024

Zusammenfassung der Vorlesung über Open-Source-Software und Cyberangriffe

Einleitung

  • Andres bemerkt ungewöhnliche Prozessorauslastung während Software-Tests.
  • Dies stellt sich als versteckte Backdoor heraus, die von staatlich gelenkten Akteuren eingeschleust wurde.
  • Die Backdoor könnte Millionen von Servern angreifbar machen.

Software und Open Source

  • Proprietäre Software (z.B. Microsoft) vs. Open-Source-Software:
    • Proprietäre Software: Quellcode ist nicht einsehbar.
    • Open-Source-Software: Quellcode ist öffentlich; gemeinschaftliche Entwicklung möglich.
  • Linus Neumann (Hacker Man) erklärt das Open-Source-Modell:
    • Jeder kann mitwirken, aber es gibt Maintainer, die Änderungen prüfen.

Fallbeispiel: XZ-Utils

  • Lasse Kollen ist Maintainer von XZ-Utils, einem Datenkomprimierungstool für Linux.
  • Zwei Entwickler (Dennis Enns und Chigakuma) sind mit Kollens Tempo unzufrieden.
  • Colin gibt zu, dass er durch persönliche Probleme eingeschränkt ist.
  • Jia Tan wird Co-Maintainerin und übernimmt zunehmend Kontrolle.

Entdeckung der Backdoor

  • Andres Freund, Entwickler bei Microsoft, bemerkt Anomalien in SSH.
  • Er entdeckt, dass die Probleme mit XZ-Utils zusammenhängen.
  • Die Backdoor ermöglicht unbefugten Zugriff über SSH.

Reaktion auf die Entdeckung

  • Andres berichtet dem Debian Security Team.
  • Red Hat und das BSI warnen vor der Bedrohung.
  • Eine Armee von Entwicklern arbeitet an einer Lösung.
  • Der Vorfall hätte katastrophale Auswirkungen gehabt, wenn die Backdoor weit verbreitet worden wäre.

Verantwortliche für den Angriff

  • Vermutung, dass Jia Tan Teil eines größeren, möglicherweise staatlich unterstützen Hackerplans ist.
  • Experten glauben, dass die Gruppe hinter Tan gut organisiert ist.
  • Hinweise deuten darauf hin, dass Tan möglicherweise aus Osteuropa operiert.

Fazit

  • Der Fall zeigt die Verletzlichkeit der digitalen Infrastruktur durch Open-Source-Software.
  • Notwendigkeit, die Sicherheitsstrukturen für Open-Source zu stärken.
  • Der Sovereign Tech Fund in Deutschland als Beispiel für staatliche Unterstützung.
  • Unternehmen sollten mehr in die Basisinfrastruktur investieren.
  • Die Notwendigkeit, auf zukünftige Angriffe vorbereitet zu sein.