Wie Aktivisten mit "Protestware" Russland wachrütteln wollen

Inhaltsverzeichnis

Die größte russische Bank hat ihre Kunden darum gebeten, ihre Software nicht mehr zu aktualisieren, da sie von sogenannter „Protestware" bedroht sei. Dabei fügen Entwickler Inhalte in eine Bibliothek mit viel verwendetem Open-Source-Code ein, um politische Aussagen zu verbreiten.

Die meisten Protestprogramme im Zusammenhang mit der russischen Invasion in die Ukraine zeigen einfach nur Antikriegs- und pro-ukrainische Botschaften. In mindestens einem Projekt jedoch wurde virenartiger Code hinzugefügt, der darauf abzielte, Computer in Russland und Weißrussland lahmzulegen. Das sorgte für Kritik und den Vorwurf, Kollateralschäden einzukalkulieren.

Software manuell überprüfen

Als Reaktion auf die Bedrohung riet die Sberbank, eine staatliche russische Bank, ihren russischen Kunden gar, den Quellcode der benötigten Software manuell zu überprüfen – eine Sicherheitsmaßnahme, die für die meisten Benutzer nicht umsetzbar ist. "Wir fordern die Nutzer auf, keine Software mehr zu aktualisieren – und die Entwickler, die Überwachung bei Verwendung von externem Code zu verschärfen", so die Sberbank laut russischer Medien und Cybersicherheitsfirmen.

IT-Aktivismus wird schon seit längerem zum Thema. Nach der russischen Invasion der Ukraine wurde der Vorschlag laut, Technologieunternehmen sollten keine Updates mehr an russische Nutzer verteilen, damit Moskau Kosten entstehen. Doch bislang ist keine Firma so weit gegangen, auch wenn zahlreiche Dienste in Russland eingeschränkt wurden.

In der Open-Source-Szene gibt es jedoch Beispiele für Protest. Beobachter der Szene fanden bislang rund zwei Dutzend Softwareprojekte, die "Code gegen den Krieg" einfügten. Quelloffene Programme können von jedermann verändert und eingesehen werden, was sie transparenter macht – und, zumindest in diesem Fall, auch anfälliger für Sabotage.

Kollateralschaden in Kauf genommen

Der bisher schwerwiegendste Fall von Protestware zeigte sich in einem beliebten Open-Source-Projekt namens node.ipc, das bei der Erstellung neuronaler Netze hilft. Es wird jede Woche mehr als eine Million Mal heruntergeladen.

Der Entwickler hinter node-ipc ist Brandon Nozaki Miller aus den USA mit dem Nutzernamen "RIAEvangelist". Er hatte eine Routine mit der Bezeichnung "PeaceNotWar" eingefügt, die eine Protestbotschaft gegen den Krieg ausgibt. Der Code lässt eine "Friedensbotschaft" auf den Desktops der Benutzer erscheinen, so Millers Erklärung auf GitHub, einem Dienst zur Verwaltung von Software-Entwicklungsprojekten, den auch node.ipc nutzt. "Der Code dient als nichtdestruktives Beispiel dafür, warum es wichtig ist, seine Node-Module zu überwachen", schrieb der Autor. "Er dient als gewaltloser Protest gegen die russische Aggression, durch die die Welt derzeit bedroht wird ... Um es klar zu sagen: dies ist Protestware."

Doch dabei blieb es nicht. Denn node.ipc war zwischenzeitlich auch mit Code versehen, der Dateiensysteme von Computern mit einer russischen oder weißrussischen IP-Adresse löschen konnte. Er wurde laut Liran Tal, einem Forscher bei der Cybersicherheitsfirma Snyk, am 15. März lanciert und war in Base64-kodierten Dateien versteckt, so dass er nur schwer auf den ersten Blick zu erkennen war.

NGO in Weißrussland tangiert?

Kurz nachdem der Schadcode verteilt worden war, ging ein GitHub-Posting viral, in dem behauptet wurde, dass er auch auf Servern einer amerikanischen Nichtregierungsorganisation in Weißrussland gelandet sei. Und: Die Sabotage führte angeblich "zur (…) Löschung von mehr als 30.000 Nachrichten und Dateien, in denen Kriegsverbrechen von russischen Armee- und Regierungsbeamten in der Ukraine beschrieben wurden".

Laut Snyk blieb der Code weniger als einen Tag lang in dem Paket. Die angeblich von der amerikanischen NGO stammende Nachricht ließ sich bislang nicht verifizieren – und keine Organisation hat sich öffentlich zu etwaigen Schäden geäußert. "Obwohl die Motivation hinter dem Angriff der Protest war, zeigt sich doch ein größeres Problem in der Software-Lieferkette: Die Abhängigkeiten im Code können einen großen Einfluss auf die persönliche Sicherheit haben", schrieb Tal.

Und dies ist nicht das erste Mal, dass Open-Source-Entwickler ihre eigenen Projekte sabotiert haben. Im Januar fügte der Autor eines anderen beliebten Projekts namens „Colors“ eine Endlosschleife in seinen Code ein, die jeden Server, auf dem es lief, bis zur Behebung des Problems lahmlegen konnte.

Eine neue Bewegung

Protestware ist nur der jüngste Versuch von Aktivisten, die russische Zensur mit technischen Mitteln zu umgehen und Antikriegsbotschaften zu verbreiten. Aktivisten haben Targeting-Werbung eingesetzt, um Nachrichten über den Krieg in der Ukraine an russische Bürger zu bringen (die ukrainische Regierung übrigens auch), die ansonsten der zunehmenden Zensur und der allgegenwärtigen staatlichen Propaganda ausgeliefert sind. Den Krieg kritisierende Reviews auf Websites wie Yelp und Antikriegs-Pop-ups auf bekannten Websites sind andere Taktiken.

Protestware kann Antikriegs-Botschaften übermitteln. Aber innerhalb der Open-Source-Szene gibt es Befürchtungen, dass die Möglichkeit der Sabotage – insbesondere, wenn sie über einfache Protestbotschaften gegen die Invasion hinausgeht und beginnt, Daten zu zerstören – die Community aushebeln könnte. Open-Source-Software ist von enormer Bedeutung für den Betrieb des Internet.

"Die Büchse der Pandora wurde geöffnet. Von nun an werden Menschen, die Open Source nutzen, mehr als je zuvor Xenophobie erleben, da ist JEDER eingeschlossen", schrieb GitHub-Nutzer NM17. Das Vertrauen in Open Source, das abhängig ist vom guten Willen der Entwickler, sei jetzt praktisch weg. Immer mehr Leute merkten jetzt, dass ihre Bibliothek oder Anwendung eines Tages ausgenutzt werden könn, um zu verkünden, was irgendein beliebiger Entwickler im Internet für "das Richtige" halte. "Dieser 'Protest' hat nichts Gutes gebracht."

(bsc)