Die Woche: Open Source im Fadenkreuz

Die Build- und Signatur-Server von Linux-Distributoren und bekannten Open-Source-Projekten stehen besonders stark unter Beschuss: Für Angreifer sind sie ein äußerst lohnenswertes Ziel, weil sie die Möglichkeit eröffnen, Hintertüren in Pakete einzubauen oder den offiziellen Signaturschlüssel zu stehlen, um gefälschte Pakete in den Umlauf zu bringen.

Für den Einbau einer Backdoor genügt es, Zugriff auf den Haupt-Quellenserver zu erlangen. Alle dort eingefügten Modifikationen werden automatisch an etwaige Spiegelserver weiterverteilt und gelangen somit auch in die diversen Linux-Distributionen.

Die Kronjuwelen sind aber die sogenannten Signing Server, auf denen alle Pakete mit dem Distributionsschlüssel signiert werden. Die Paketverwaltungsprogramme überprüfen jedes Paket vor der Installation und warnen, falls es nicht mit dem offiziellen Schlüssel des Projekts signiert wurde. So kann ein Angreifer dem Anwender nicht einfach ein manipuliertes Paket unterschieben, selbst wenn er es schaffen sollte, eins der Distributions-Repositories zu cracken.

Gelangt der Angreifer jedoch auf den Signing Server, so kann er den geheimen Signier-Schlüssel kopieren. Sollte es ihm dann noch gelingen, die Passphrase des Schlüssels zu erraten oder anderweitig abzugreifen, ist er in der Lage, beliebig manipulierte Pakete korrekt zu signieren. Nun muss er das Paket nur noch in eins der Update-Repositories einschleusen und schon wird es den Anwendern angeboten oder bei automatischen Updates ohne Rückfrage untergeschoben.

Solche Angriffe sind durchaus keine reinen Gedankenspiele: Erst vergangenen Mittwoch verschafften sich Unbekannte wieder Zugriff auf die Fedora-Server. Der Signing Server war davon nicht betroffen, aber immerhin hätte der Eindringling ein neues Fedora-Projekt anlegen oder bestehende aktualisieren können, wäre sein Tun unbemerkt geblieben. Auch das Debian-Projekt hatte 2003 ungebetenen Besuch auf seinen Servern – zu Manipulationen von Paketen kam es aber auch in diesem Fall nicht.

[Update] Betroffen sind nicht nur die Linux-Distributionen, sondern auch die Server des Open Source Hosters SourceForge.net, bei dem viele namhafte Projekte ihre Quellen verwalten: Ausgerechnet bei den CVS-Servern gelang Unbekannten am vergangenen Mittwoch ein Einbruch. Ebenfalls nicht gefeit sind die in Eigenregie betriebenen Server großer Open-Source-Projekten wie die der Apache Foundation. Code-Manipulationen sind bei den Einbrüchen aber die Ausnahme, meist scheitern die Eindringlinge an den installierten Sicherheitsmechanismen oder werden zu schnell entdeckt, um tiefgreifende Änderungen vornehmen und sie ausreichend gut tarnen zu können. [/Update]

Ende November 2010 kam es beim ProFTP-Projekt jedoch zur Katastrophe: Unbekannte nutzten einen Zero-Day-Exploit auf dem Hauptserver des Projekts aus und erweiterten den Quellcode des FTP-Servers um eine Backdoor. Diese Manipulation bemerkten die Entwickler zunächst nicht und brachten die kompromittierte Version des FTP-Servers in den Umlauf. Erst drei Tage später entdeckten sie den Einbruch und informierten die Öffentlichkeit.

Die SquirrelMail-Entwickler brauchten Mitte 2009 sogar über einen Monat, bis sie entdeckten, dass das Programm plötzlich alle Passwörter an einen externen Server schickte. Den Einbruch selbst entdeckten die zuständigen Admins erst nach knapp zwei Wochen und gaben zunächst Entwarnung, dass der Mailer und die zugehörigen Plugins nicht verändert worden seien. Pikanterweise kursierte zeitgleich eine Mail, die ausgerechnet vor kompromittierten SquirrelMail-Versionen warnte und zum Update aufforderte – wobei der angegebene Link jedoch auf eine Phishing-Seite führte.

Den Super-GAU erlebte Red Hat im August 2008: Hier gelang es den Angreifern nicht nur, sich Zugang zum Signing Server der Server-Distribution Red Hat Enterprise Linux zu verschaffen, sondern auch, manipulierte OpenSSH-Pakete mit dem offiziellen RHEL-Schlüssel zu signieren. Ein solches Paket würde ohne jegliche Nachfrage als Update eingespielt – allerdings scheiterten die Angreifer daran, die manipulierten Pakete über das Red Hat Network (RHN) automatisch zu verteilen. So waren nur RHEL-Installationen betroffen, die ihre Updates nicht von den offiziellen Red Hat Servern bezogen. Dennoch sah sich Red Hat zu einer kritischen Sicherheitswarnung gezwungen.

Zur gleichen Zeit drangen Unbekannte in den Signing Server des Fedora-Projekts ein und versuchten auch dort, den Signaturschlüssel zu missbrauchen. Angeblich scheiterten sie jedoch an der Passphrase – dennoch zog das Fedora-Projekt vorsorglich die Reißleine, erzeugte neue Schlüssel, baute ein entsprechendes Update-Paket und tauschte die Pakete auf den Update-Servern gegen frisch signierte aus. So konnten sich die Anwender nach einmaliger Überprüfung des neuen Schlüssels wieder sicher sein, keine kompromittierten Pakete mehr untergeschoben zu bekommen. (mid) (mid)