KDE-Quellcode bleibt sauber

Vor einigen Tagen versuchte ein russischer Hacker zu demonstrieren, wie einfach es sei, Code in ein Open-Source-Projekt einzuschleusen. Dazu baute er in den Quellcode der Entwicklerversion des KDE-Programms kppp einen russischen Kommentar ein, in dem er erklärt, er wolle sehen, wie lange solche Änderungen unbemerkt blieben. Die Änderung wurde jedoch bereits nach zwei Stunden entdeckt und rückgängig gemacht.

Der KDE-Code wird über das Concurrent Versions System (CVS) verwaltet, zu dem eine große Zahl von Entwicklern Zugang haben. Der russische Kommentar wurde über den rechtmäßigen Zugang eines Übersetzers eingecheckt. Der KDE-Entwickler David Faure erklärte gegenüber heise Security, ihm seien die seltsamen Änderungen im Rahmen seiner routinemäßigen Checks bereits nach wenigen Minuten auf der KDE-CVS-Mailingliste aufgefallen. Als seine Nachfragen zu deren Sinn vom Verursacher unbeantwortet blieben, machte er sie nach etwa zwei Stunden rückgängig; der CVS-Zugang wurde gesperrt. Die Veränderungen bestanden ausschließlich aus Kommentarzeilen, Änderungen an echtem Code in diesem Zusammenhang schließt Faure aus.

Offensichtlich scheiterte dieser primitive Angriffsversuch am Entwicklungsmodell des KDE-Projekts, das eine regelmäßige, gegenseitige Kontrolle der Entwickler vorsieht. Waldo Bastian vom KDE-Team betont denn auch, dass sich vom Standpunkt der Qualitätssicherung böswillige Änderungen nicht wesentlich von gutgemeinten, aber fehlerhaften Modifikationen des Codes unterschieden. Natürlich lässt sich diese einfache Demonstration nicht ohne weiteres auf ein komplexeres Szenario übertragen, bei dem ein Angreifer versucht, gut getarnten, bösartigen Code einzuschleusen. In diesem konkreten Fall hat jedoch anscheinend das Open-Source-Modell der gegenseitigen Kontrolle funktioniert. (ju)