Pro-Ukraine-Sabotage lässt Open-Source-Sicherheit erneut auf den Prüfstand komme

Die vorsätzliche Sabotage eines NPM-Pakets, mit der gegen den Krieg in der Ukraine protestiert werden sollte, verschlimmert die ohnehin schon komplexe Bedrohung durch Angriffe auf die Software-Lieferkette, so Open-Source- und Sicherheitsexperten.

Die Sicherheit von Open-Source-Software rückte in diesem Monat ins internationale Rampenlicht, nachdem ein JavaScript-Paket von seinem eigenen Entwickler angegriffen worden war.

Am 15. März wurden bösartige Änderungen an node-ipc, einer weit verbreiteten JavaScript-Bibliothek, die die prozessübergreifende Kommunikation zwischen Anwendungskomponenten regelt, an andere Anwendungen weitergegeben, die von ihr abhängen, wie z. B. das Kommandozeilen-Tool Vue.js. Der von Brandon Nozaki Miller, dem Entwickler von node-ipc, erstellte Code mit dem Namen "peacenotwar" löscht Daten auf Systemen, die sich entweder in Russland oder in Weißrussland befinden, um gegen den Krieg in der Ukraine zu protestieren.

Dies ist nicht das erste Mal, dass eine Open-Source-Bibliothek von ihrem Entwickler aus Protest verändert wurde - im Januar sabotierte ein anderer Entwickler, Marak Squires, seine eigenen NPM-Pakete, colors und faker, die unternehmensfeindliche Botschaften an Kommandozeilen-Tools ausgaben, die auf die Pakete als Abhängigkeiten angewiesen waren. Andere Open-Source-Entwickler haben ihren Code aus Protest gelöscht, wie z. B. der Schöpfer von RubyGems, das von Chef verwendet wird, als er es von GitHub entfernte, um gegen den Kundenvertrag von Chef Software mit der US-Einwanderungsbehörde U.S. Immigration and Customs Enforcement zu protestieren.

Open-Source-Experten sagen jedoch, dass "peacenotwar" eine neue ethische Grenze überschreitet, die in der Community weithin verurteilt wurde.

Ich habe Verständnis für den Wunsch zu protestieren, aber diese Art von Verhalten vergiftet den Brunnen für alle Open-Source-Software. Es ist unüberlegt und benutzerfeindlich und kann ganz einfach schief gehen. Die Nutzung von Open Source zur Einschleusung von Malware, egal wie gut sie gemeint ist, ist immer noch die Einschleusung von Malware.

Selbst Open-Source-Befürworter, die das Löschen von Open-Source-Bibliotheken durch ihre Schöpfer nach Belieben unterstützen und die Protestsabotage von Squires als ärgerlich, aber nicht bösartig bezeichnen, sagen, dass "peacenotwar" zu weit geht. Tobie Langel, Unlock OpenTobie Langel

"Seine Rechte an den eigenen Sachen geltend zu machen, ist so, als würde man sagen: 'Ich bin fertig damit, kostenloses Essen anzubieten'", sagte Tobie Langel, Leiter von UnlockOpen, einer unabhängigen Open-Source-Strategieberatungsfirma in Genf. "Das ist so, als würde man das kostenlose Essen beibehalten, aber etwas drauf tun, das die Leute krank macht.

Obwohl die beabsichtigten Ziele Organisationen in Russland oder Weißrussland sind, wird "peacenotwar" immer noch als ein wahlloser Angriff angesehen.

Wie viel von der Software, die Sie verwenden oder auf die Sie sich verlassen, wurde von jemandem in Russland oder Weißrussland geschrieben? Die meisten Unternehmen haben keine Ahnung, und eine Softwareliste oder Abhängigkeiten werden Ihnen nicht immer weiterhelfen. Die Quintessenz ist, dass, wenn dies den Menschen in Russland passieren kann, es auch Ihnen passieren kann.

Eine neue Büchse der Pandora für die Open-Source-Sicherheit

Open-Source-Software ist auf dem Vormarsch - Schätzungen zufolge bestehen 80 bis 90% der weltweiten Software aus Open-Source-Komponenten - und Befürworter wie Langel argumentieren, dass die Seltenheit eines Angriffs wie dem auf node-ipc zeige, dass die Gemeinschaft im Großen und Ganzen wohlwollend war.

Dennoch sollte der Angriff auf node-ipc bei den IT-Organisationen von Unternehmen, die Open-Source-Software einsetzen, ein neues Bewusstsein für die Sicherheitsrisiken und Kompromisse schaffen, so Kevin Greene, ehemaliger Programmmanager für Cyber-Forschung und -Entwicklung im US-Ministerium für Innere Sicherheit und derzeitiger Direktor für Sicherheitslösungen beim Software-Testautomatisierungsunternehmen Parasoft.

Entwickler stehen unter Zeitdruck, sie verlassen sich auf Empfehlungen von Freunden ... [und] andere Leute, die ihnen Dinge empfehlen, die cool sind. Jede Software hat Schwachstellen, [aber] die Angriffsfläche hat sich verändert, ebenso wie die Bedrohungsvektoren [mit Node-ipc] - es ist kein Angreifer oder Hacker oder Widersacher, der die Lieferkette beeinträchtigt; es ist eine bekannte Entität.

Der mögliche Präzedenzfall, den dieser Angriff darstellt, rechtfertigt nach Ansicht von Greene eine dringende Reaktion von Unternehmen, um die DevOps-Toolchains zu stärken, angefangen mit dem Bewusstsein für diesen neuen Angriffsvektor.

Hier stößt jedoch der dringende Bedarf an neuen Open-Source-Sicherheitspraktiken auf den aktuellen Stand der Technik. Initiativen wie die Open Source Security Foundation, die im vergangenen Jahr von der Cloud Native Computing Foundation finanziert wurde, um Projekte wie Sigstore und andere Mechanismen zur Zertifizierung der Software-Lieferkette zu entwickeln, sind ein Anfang, aber noch nicht gut etabliert.

Ich glaube nicht, dass die Technologie vorhanden ist, ich glaube nicht, dass die [Unternehmens-]Politik vorhanden ist. Und ich glaube nicht, dass das Sicherheitsbewusstsein vorhanden ist.