Freiwilliger Helfer verhindert massiven Cyberangriff auf Linux

Über das Osterwochenende konnte ein freiwilliger Helfer einen verheerenden Cyberangriff auf Linux, das weltweit meistgenutzte Open-Source-Betriebssystem, abwenden. Der Angriff wurde in einer kürzlich veröffentlichten Version von XZ Utils entdeckt, einem Komprimierungsformat für Linux, das außerhalb der Linux-Community wenig bekannt ist. XZ Utils wird jedoch in fast allen Linux-Distributionen verwendet, um große Dateien zu komprimieren und den Transfer zu erleichtern.

Hätte der Angriff erfolgreich stattgefunden, wären unzählige Systeme über Jahre hinweg gefährdet gewesen. In einem ausführlichen Rückblick von Ars Technica wurde festgestellt, dass der Täter offenbar aktiv am Projekt mitgearbeitet hatte. Die Hintertür wurde in den Remote-Log-in von Linux eingeführt und war nur einem einzigen Schlüssel gegenüber anfällig, wodurch sie vor Scans öffentlicher Computer verborgen bleiben konnte.

Ben Thompson von Stratechery schreibt in seinem Artikel, dass die überwiegende Mehrheit der Computer weltweit gefährdet gewesen wäre, ohne dass es jemand bemerkt hätte. Die Entdeckung der Hintertür begann am frühen Morgen des 29. März, als der Microsoft-Entwickler Andres Freund einen Beitrag auf Mastodon veröffentlichte und eine E-Mail mit dem Betreff „Hintertür in upstream xz/liblzma führt zu Kompromittierung des SSH-Servers“ an die Sicherheits-Mailingliste von OpenWall schickte.

Ein ehrenamtlicher Maintainer für PostgreSQL, einer auf Linux basierenden Datenbank, bemerkte während der Durchführung von Tests in den letzten Wochen einige ungewöhnliche Vorkommnisse. Es stellte sich heraus, dass verschlüsselte Anmeldungen bei liblzma eine erhebliche CPU-Auslastung verursachten, obwohl keine Leistungstools Auffälligkeiten zeigten. Dies weckte sein Misstrauen, und er erinnerte sich an eine ungewöhnliche Beschwerde eines Postgres-Benutzers, der einige Wochen zuvor Probleme mit Valgrind hatte, einem Linux-Programm, das nach Speicherfehlern sucht.

Nach gründlichen Ermittlungen entdeckte der Maintainer schließlich die Hintertür. Der schädliche Code befand sich in den Versionen 5.6.0 und 5.6.1 der xz-Tools und -Bibliotheken. Red Hat, ein Anbieter von Enterprise Open Source Software, verschickte eine dringende Sicherheitswarnung an Benutzer von Fedora Rawhide und Fedora Linux 40, da die Beta-Version von Fedora Linux 40 zwei betroffene Versionen der xz-Bibliotheken enthielt.

Das Sicherheitsteam von Debian reagierte schnell und machte die kompromittierten Pakete rückgängig. In einer Sicherheitswarnung von Debian wurde mitgeteilt, dass derzeit keine betroffenen stabilen Versionen bekannt sind. Später konnte der Maintainer die Person, die den schädlichen Code eingereicht hatte, identifizieren. Es handelte sich um einen der Hauptentwickler von xz Utils, der als JiaT75 oder Jia Tan bekannt war.

Die Ermittlungen ergaben, dass Jia Tan vermeintlich legitime Patches an die XZ-Mailingliste gesendet hatte. Nach einigen Monaten traten zwei weitere Identitäten, Jigar Kumar und Dennis Ens, in Erscheinung. Sie schickten Beschwerden über Fehler und die langsame Entwicklung des Projekts an Lasse Collin, den ursprünglichen Entwickler des .xz-Dateiformats. Es stellte sich heraus, dass Kumar und Ens falsche Identitäten waren und nur dazu dienten, Jia Tan bei der Implementierung des Codes mit der Hintertür zu helfen.

Der Vorfall mit der xz-Hintertür und den daraus resultierenden Konsequenzen verdeutlicht die Stärken des Open-Source-Modells und offenbart gleichzeitig eine beeindruckende Schwachstelle in der Internetinfrastruktur. Es wird deutlich, dass eine Abhängigkeit von unbezahlten Freiwilligen zu erheblichen Problemen führen kann. Es ist bedenklich, dass Milliarden-Dollar-Unternehmen kostenlose und dringende Unterstützung von Freiwilligen erwarten, anstatt in Wartung und Nachhaltigkeit zu investieren.

Die Details über die Identität von JiaT75, die Umsetzung des Plans und das Ausmaß des Schadens werden von Entwicklern und Cybersicherheitsexperten in verschiedenen sozialen Medien und Online-Foren enthüllt. Es ist bedauerlich, dass diese Enthüllungen ohne direkte finanzielle Unterstützung von Unternehmen und Organisationen erfolgen, die von der Nutzung sicherer Software profitieren.

Schlagwörter: Jigar Kumar + Linux + Jia Tan

Wie bewerten Sie den Schreibstil des Artikels?