Oft lassen sich eigentlich gute Dinge für schlechte Zwecke missbrauchen. Dieses Umstands sollte sich jeder bewusst sein, der schädliche Software abwehren will.
Nur ein Mausklick und ein paar Tastendrücke trennen mich von meinem Freund Brian in Eugene/Oregon. Die Kontaktaufnahme über den halben Globus hinweg kostet fast keine Zeit und so gut wie kein Geld. Noch vor 200 Jahren – ein Wimpernschlag im Maßstab der Geschichte – hätte eine Nachricht hin und zurück per Postkutsche und Segelschiff Wochen und Monate gebraucht. Ein Wunder, wie sollte man es anders nennen, wie Kommunikationsmedien heute Texte, Töne, Bilder um ein Millionenfaches beschleunigt haben und dabei allen offenstehen. Das allerdings ist gleichzeitig die Kehrseite der Medaille: Über dieselben Medien schleichen sich Kinderschänder an ihre Opfer an und verbreiten Verleumder Lügen und Hassrede. Sie dienen für Mobbing und kriminelle Geschäfte, zur Volksverhetzung und zur Kriegstreiberei. Alles Gute lässt sich eben auch missbrauchen.
Open Source macht da keine Ausnahme. Vor Kurzem las ich, Elastic Security Labs habe als Trend Nr. 1 für 2024 ausgemacht, dass Cyberkriminelle nun verstärkt auf Open Source setzen. Das hat durchaus seine Logik: Auch Schadsoftware entwickelt sich kollektiv, vor dem Hintergrund einer Community vieler freiwilliger Mitstreiter, Ideengeber und Tester, eben schneller und effektiver. Auch für Malware-Autoren spielen Softwarequalität und Entwicklungskosten eine Rolle. Und leichte Anpassbarkeit ist gerade im Wettlauf mit Datenschützern und der Justiz ein expliziter Vorteil.
Das Ganze hat im Übrigen noch eine zweite Seite: Böswillige Hacker verstecken Schadsoftware in ansonsten unverdächtigen und gut beleumundeten Open-Source-Repositories. Dann nutzen sie Tricks wie etwa das Typosquatting: Sie konstruieren URLs oder Dateinamen so, dass sie legitimen Versionen fast genau entsprechen und nur in einem winzigen Detail davon abweichen, etwa einem einzelnen Buchstaben (zum Beispiel mit oder ohne englisches Plural-s). Die Kriminellen spekulieren dann darauf, dass sich etwa die gefälschte URL oft unfreiwillig durch einfaches Vertippen ergibt, was dazu führt, dass unaufmerksame Anwender auf einer gefälschten Webseite landen oder ungewollt direkt schädlichen Code installieren. So tarnte sich das Windows-Rootkit r77, das häufig dem Einschleusen unerwünschter Krypto-Miner dient, in einem File des riesigen Repositorys Npm für die freie Javascript-Laufzeitumgebung Node.js. Dort lauerte es in einem Paket, das fast wie die korrekte Version »node-hide-console-window« hieß, lediglich mit einem zusätzlichen “s” am Ende.
Was kann man gegen Malware-Entwicklung mit Open-Source-Methoden oder Malware-Fallen in Open-Source-Repositories tun? Jedenfalls nichts, was die kriminellen Techniken prinzipiell unterbinden würde. Was hilft, ist das Übliche: Der Einsatz von Sicherheitswerkzeugen wie Viren- und Vulnerability-Scannern, Firewalls und IDS, Software nur aus vertrauenswürdigen Quellen zu beziehen und Quellcode zu prüfen, regelmäßig Updates und Backups vorzunehmen. Nicht zuletzt gilt es, das Bewusstsein dafür zu schärfen, dass auch und gerade anerkannte und erfolgreiche Methoden oder Ablageorte ein signifikantes Missbrauchsrisiko bergen.
Jens-Christoph Brendel
Stellv. Chefredakteur







