Der deutsche Softwareentwickler Andres Freund führte letzten Monat einige detaillierte Leistungstests durch, als er ein seltsames Verhalten in einem wenig bekannten Programm bemerkte. Was er bei seinen Nachforschungen herausfand, ließ die Software-Welt erschaudern und erregte die Aufmerksamkeit von Führungskräften aus der Technologiebranche und Regierungsvertretern.

Freund, der von San Francisco aus für Microsoft arbeitet, entdeckte, dass die letzte Version des Open-Source-Programms XZ Utils von einem seiner Entwickler absichtlich sabotiert worden war, wodurch eine geheime Tür zu Millionen von Servern im Internet geöffnet werden konnte.

Sicherheitsexperten sagen, dass die Welt nur deshalb von einer digitalen Sicherheitskrise verschont wurde, weil Freund die Änderung entdeckte, bevor die letzte Version von XZ weit verbreitet war.

Wir sind der Kugel wirklich ausgewichen", sagte Satnam Narang, ein Sicherheitsforscher bei Tenable, der die Auswirkungen des Fundes verfolgt hat. Es ist einer dieser Momente, in denen wir uns die Stirn runzeln und sagen: "Da haben wir wirklich Glück gehabt.

Der Beinahe-Fall hat die Aufmerksamkeit wieder auf die Sicherheit von Open-Source-Software gelenkt - freie, oft von Freiwilligen gewartete Programme, die aufgrund ihrer Transparenz und Flexibilität die Grundlage der Internetwirtschaft bilden.

Viele dieser Projekte hängen von einem winzigen Kreis unbezahlter Freiwilliger ab, die darum kämpfen, unter einem Stapel von Forderungen nach Korrekturen und Upgrades herauszukommen.

XZ, eine Suite von Dateikomprimierungstools, die in die Distributionen des Linux-Betriebssystems gepackt wurde, wurde lange Zeit von einem einzigen Autor, Lasse Collin, gepflegt.

In den letzten Jahren schien er unter Druck zu stehen.

In einer Nachricht, die im Juni 2022 an eine öffentliche Mailingliste geschickt wurde, sagte Collin, dass er mit "langfristigen psychischen Problemen" zu kämpfen habe und deutete an, dass er privat mit einem neuen Entwickler namens Jia Tan zusammenarbeite und dass dieser in Zukunft vielleicht eine größere Rolle spielen werde.

Update-Protokolle, die über die Open-Source-Software-Website Github verfügbar sind, zeigen, dass Tans Rolle schnell größer wurde. Im Jahr 2023 zeigen die Protokolle, dass Tan seinen Code in XZ einbrachte, ein Zeichen dafür, dass er eine vertrauenswürdige Rolle in dem Projekt gewonnen hatte.

Aber Cybersecurity-Experten, die die Protokolle durchforstet haben, sagen, dass Tan sich als hilfsbereiter Freiwilliger ausgegeben hat. Im Laufe der nächsten Monate, so sagen sie, führte Tan eine fast unsichtbare Hintertür in XZ ein.

Collin antwortete nicht auf Nachrichten, in denen er um einen Kommentar gebeten wurde, und sagte auf seiner Website, dass er Reportern erst dann antworten würde, wenn er die Situation gut genug verstanden hätte, um dies zu tun.

Tan antwortete nicht auf Nachrichten, die an sein Gmail-Konto geschickt wurden. Reuters war nicht in der Lage herauszufinden, wer Tan ist, wo er sich aufhält oder für wen er arbeitet, aber viele, die seine Updates überprüft haben, glauben, dass Tan ein Pseudonym für einen erfahrenen Hacker oder eine Gruppe von Hackern ist - wahrscheinlich einer, der im Auftrag eines mächtigen Geheimdienstes arbeitet.

Das ist kein Kindergarten, sagte Omkhar Arasaratnam, der Geschäftsführer der Open Source Security Foundation, die sich für den Schutz von Projekten wie XZ einsetzt. Das ist unglaublich raffiniert.

WIR HABEN GESCHAFFT

Tan hätte leicht damit durchkommen können, wäre da nicht Freund gewesen, der Microsoft-Entwickler, dessen Neugierde geweckt wurde, als er bemerkte, dass die neueste Version von XZ auf dem System, das er testete, zeitweise eine unerwartete Menge an Rechenleistung verbrauchte.

Microsoft lehnte es ab, Freund für ein Interview zur Verfügung zu stellen, aber in öffentlich zugänglichen E-Mails und Beiträgen in sozialen Medien sagte Freund, dass eine Reihe von leicht zu übersehenden Hinweisen ihn dazu veranlasste, die Hintertür zu entdecken.

Der Fund erforderte wirklich eine Menge Zufälle, sagte Freund im sozialen Netzwerk Mastodon.

Microsoft-CEO Satya Nadella beglückwünschte Freund am Wochenende und sagte in einem Beitrag im sozialen Netzwerk X, er sei begeistert, wie der Entwickler mit seiner Neugier und seinem handwerklichen Geschick uns allen helfen konnte.

In der Open-Source-Gemeinschaft war die Entdeckung ernüchternd. Die Freiwilligen, die die Software pflegen, auf der das Internet basiert, sind mit dem Gedanken an geringe Bezahlung oder Anerkennung nicht fremd, aber die Erkenntnis, dass sie nun von gut ausgestatteten Spionen gejagt wurden, die sich als barmherzige Samariter ausgaben, war unglaublich einschüchternd, sagte Arasaratnam von der Open Source Security Foundation.

Auch Regierungsbeamte wägen die Auswirkungen des Beinahe-Zusammenbruchs ab, der die Bedenken hinsichtlich des Schutzes von Open-Source-Software unterstrichen hat. Die stellvertretende nationale Cyber-Direktorin Anajana Rajan sagte gegenüber Politico: "Wir müssen eine Menge Gespräche darüber führen, was wir als Nächstes tun, um Open-Source-Code zu schützen."

Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sagt, dass sie US-Unternehmen, die Open-Source-Software verwenden, dazu auffordert, ihre Ressourcen in die Gemeinschaften zu investieren, die diese Software entwickeln und pflegen. Der Berater der CISA, Jack Cable, sagte gegenüber Reuters, dass es die Aufgabe von Technologieunternehmen sei, nicht nur offene Software zu prüfen, sondern auch einen Beitrag zum Aufbau eines nachhaltigen Open-Source-Ökosystems zu leisten, von dem wir so viel profitieren.

Es ist nicht klar, ob die Softwareunternehmen einen Anreiz haben, dies zu tun. In den Open-Source-Mailinglisten im Internet wimmelt es von Beschwerden über Tech-Giganten, die von Freiwilligen verlangen, Probleme mit Open-Source-Software zu beheben, mit der diese Unternehmen Milliarden von Dollar verdienen.

Wie auch immer die Lösung aussehen mag, fast alle sind sich einig, dass die XZ-Episode zeigt, dass sich etwas ändern muss.

Wir haben hier unverschämtes Glück gehabt, sagte Freund in einem anderen Mastodon-Beitrag. Darauf können wir uns in Zukunft nicht mehr verlassen. (Bericht von Raphael Satter, Bearbeitung von Chris Sanders und Nick Zieminski)