Ein stiller Cyberangriff hätte Computer auf der ganzen Welt beinahe kompromittiert

Im Jahr 2020, XKCD , ein beliebter Online-Comic, veröffentlichte einen Cartoon, der eine wackelige Anordnung von Modulen mit der Bezeichnung „eine völlig moderne digitale Infrastruktur“ zeigt. Unten stand unsicher und hielt alles aufrecht, ein dünner Ziegelstein mit der Aufschrift: „Ein Projekt, das seit 2003 von einer beliebigen Person in Nebraska undankbar aufrechterhalten wird.“ Dieses Gleichnis wurde schnell zu einem Klassiker unter Technikbegeisterten, weil es eine harte Wahrheit veranschaulicht: Die Software im Herzen des Internets wird nicht von riesigen Konzernen oder riesigen Bürokratien verwaltet, sondern von einer Handvoll neugieriger Freiwilliger, die im Dunkeln arbeiten. Eine Cybersicherheitskrise in den letzten Tagen hat gezeigt, dass das Ergebnis nahezu katastrophal sein kann.

Am 29. März Andres FreundIngenieur von Microsoft, Veröffentlichung einer kurzen Polizeigeschichte. In den letzten Wochen ist mir aufgefallen, dass SSH (ein System zur sicheren Anmeldung bei einem anderen Gerät über das Internet) 500 Millisekunden langsamer läuft als erwartet. Bei näherer Betrachtung wurde bösartiger Code entdeckt, der tief in XZ Utils eingebettet war und darauf abzielte, Daten zu komprimieren, die im Linux-Betriebssystem verwendet werden, das auf jedem öffentlich zugänglichen Server im Internet läuft. Letztendlich unterstützen diese Server das Internet, einschließlich wichtiger Finanz- und Regierungsdienste. Die Schadsoftware hätte als „Hauptschlüssel“ fungiert. Ermöglicht es Benutzern, verschlüsselte Daten zu stehlen oder andere Malware anzugreifen.

Wie es dorthin gelangte, ist der interessanteste Teil der Geschichte. XZ Utils ist Open-Source-Software, was bedeutet, dass der Code öffentlich ist und jeder ihn prüfen oder ändern kann. Im Jahr 2022 stellte Lasse Collin, der Entwickler, der ihn unterstützte, fest, dass sein „unbezahltes Unterhaltungsprogramm“ angesichts chronischer psychischer Probleme zu belastend wurde. Ein Entwickler namens Jia Tan, der das Konto im Vorjahr erstellt hatte, meldete sich freiwillig zur Hilfe. Im Laufe von zwei Jahren haben sie Hunderte von nützlichem Code beigesteuert und so Vertrauen aufgebaut. Im Februar kaperten sie die Malware.

Er sagt, die Bedeutung des Angriffs sei „enorm“. Der Gauner, das unter Cybersicherheitsexperten weit verbreitete Pseudonym eines unabhängigen Sicherheitsforschers. „Die Hintertür ist in der Art und Weise, wie sie implementiert ist, sehr seltsam, aber sie ist auch sehr clever und sehr getarnt“; Vielleicht zu heimlich, da einige Schritte im Code, um seinen wahren Zweck zu verbergen, ihn möglicherweise verlangsamt haben und Mr. Möglicherweise wurde Freunds Wecker gestellt. Jia Dans geduldige Haltung, die durch viele Berichte untermauert wurde, bestand darauf, den Staffelstab weiterzugeben. Eine hochentwickelte menschliche Geheimdienstoperation einer Regierungsbehörde, Empfiehlt The Crook.

Er vermutet den SVR, den russischen Auslandsgeheimdienst, der 2019/20 die Netzwerkverwaltungssoftware Orion von SolarWinds kompromittiert und sich weitreichenden Zugang zu US-Regierungsnetzwerken verschafft hat. Die Analyse wurde durchgeführt von Rhea Karti Y Simon Henniger Der mysteriöse Jia Dan versuchte, ihre Zeitzone zu fälschen, aber sie waren der Greenwich Mean Time zwei oder drei Stunden voraus, was darauf hindeutete, dass sie sich wahrscheinlich in Osteuropa oder Westrussland befanden. Allerdings sind die Beweise derzeit noch zu dürftig, um den Täter zu identifizieren.

Bei dem Angriff handelte es sich möglicherweise um den ehrgeizigsten „Supply-Chain“-Angriff der letzten Zeit (der einen Teil der Back-End-Software oder -Hardware ausnutzte, nicht einen bestimmten Computer oder ein bestimmtes Gerät). Es ist auch ein klares Beispiel für die Schwächen des Internets und des kollektiven Codes, auf dem es basiert. Für Befürworter von Open-Source-Software verdeutlichen Freunds Adleraugen seine Prämisse: Code ist offen, kann von jedem überprüft werden, und Fehler oder absichtliche Hintertüren werden schließlich durch gemeinschaftliche Inspektion entdeckt.

Zweifel sind nicht sicher. Einige Debugging- und Code-Schutz-Tools hätten Inkonsistenzen gefunden, „die sonst niemanden beunruhigten“, schreibt er. Kevin Beaumont, ein weiterer Cybersicherheitsexperte. Softwareentwickler untersuchen immer noch das Innenleben der Hintertür und versuchen, ihren Zweck und ihr Design zu verstehen. „Die Welt schuldet Andres kostenloses und unbegrenztes Bier“, schließt Beaumont. „Er hat in seiner Freizeit allen die Beine gerettet.“

Der Angriff wurde erkannt und gestoppt, bevor er großen Schaden anrichten konnte. Es lässt sich nicht sagen, ob Jia Tan oder das Team hinter dem Mann andere wichtige Teile der Internet-Software unter anderen Pseudonymen erforscht haben. Doch Sicherheitsforscher befürchten, dass die Grundlagen des Internets anfällig für ähnliche Kampagnen sind. „Unter dem Strich haben wir unzählige Milliarden Dollar an von Amateuren erstelltem Code hinzugefügt“, sagt er. Michael Zalewski, ein Experte. Andere Hintertüren können sich unentdeckt einschleichen.

© 2024, The Economist Newspaper Limited. Alle Rechte vorbehalten.