SourceForge schaltet Server nach Einbruch ab
Der Open Source Hosting Service SourceForge.net, der von vielen freien Projekten für die Verwaltung von Quellen und Binärpaketen genutzt wird, hat nach einem Einbruch in die Server-Infrastruktur etliche Dienste abgeschaltet.
Der Open-Source-Hoster SourceForge.net hat mit einem Einbruch zu kämpfen: Seit Mittwoch wurden einige Dienste zur Quellenverwaltung abgeschaltet, darunter auch der für die Projekte wichtige CVS-Server. Sourceforge.net hostet über 250.000 Open-Source-Projekte, darunter so bekannte Programme wie der Audio-Editor Audacity, die Textverarbeitung Abiword, der Videoplayer VLC und der Komprimierer 7-zip.
Über die Hintergründe informierte das SourceForge-Team am Mittwoch zunächst nicht, sondern gab nur bekannt, dass der CVS-Dienst für Projekte mit bestimmten Anfangsbuchstaben vorübergehend nicht verfügbar sei. Im Laufe des Tages waren immer mehr Projekte betroffen, bis schließlich der CVS-Server komplett abgeschaltet wurde. Zudem ließen sich der Code-Browser ViewVC und die interaktive Shell nicht mehr benutzen.
Erst am gestrigen Donnerstag Abend erklärte die SourceForge-Crew, dass der Grund für die Maßnahmen ein Einbruch in die SourceForge-Server sei. Man habe zunächst Unstimmigkeiten auf den CVS-Servern bemerkt, aber bald erkennen müssen, dass auch etliche andere Server des Hosting-Dienstes betroffen sind.
Derzeit untersucht das SourceForge-Team die Einbruchsspuren, bereinigt die Server und vergleicht die Quellen der verschiedenen Projekte mit unbeschädigten Backups, um sicherzustellen, dass kein fremder Code eingeschleust wurde. Details zum Einbruch veröffentlichte SourceForge noch nicht, dies soll erst in den nächsten Tagen erfolgen. Auch gibt es noch keine Vorhersage, bis wann die SourceForge-Dienste wiederhergestellt sind.
Für Angreifer ist die zentrale Quellenverwaltung von bekannten Open-Source-Projekten ein besonders lohnenswertes Ziel: Gelingt es, in den Server einzubrechen, können sie heimlich Hintertüren einbauen. Da die Änderung am Quellenverwaltungssystem vorbei erfolgt, werden die für den Code zuständigen Entwickler nicht wie üblich informiert – die Chancen stehen gut, dass die Manipulation ob der Code-Fülle vieler Projekte unbemerkt bleibt und sich im nächsten offiziellen Release des Programms wiederfindet.
Ein Beispiel für einen solchen Vorfall ist das ProFTP-Projekt, bei dem Unbekannte Anfang Dezember in die Server eindrangen und eine Hintertür in den freien FTP-Server ProFTPD einfügten. Die Entwickler bemerkten dies erst, als bereits kompromittierte FTP-Server im Umlauf waren. Als Hoster zahlreicher populärer Open-Source-Projekte ist SourceForge ungleich interessanter als die Quellenverwaltung eines einzelnen Projekts und steht daher unter besonders starkem Beschuss.
Siehe dazu auch:
- Open Source im Fadenkreuz, Kommentar auf heise open mit weiteren Beispielen für Einbrüche in die Server von Open-Source-Projekten und Linux-Distributionen
(mid)
