Netzwelt-Ticker: Hacker knackt Software-Entwicklungszentrale

Von

Ein Programmierer deckt eine Sicherheitslücke auf der Softwareplattform Github auf - indem er sie aus Trotz hackt, als niemand auf seine Warnung reagiert. Außerdem im Nachrichtenüberblick: AMD räumt Fehler in der Chip-Hardware ein, der Slashdot-Gründer arbeitet für die "Washington Post".

Computerattacke: Was passiert, wenn ein Quelltext-Zentralarchiv angreifbar ist? Zur Großansicht
Corbis

Computerattacke: Was passiert, wenn ein Quelltext-Zentralarchiv angreifbar ist?

Egor Homakov wollte ein Zeichen setzen. Weil die Programmierer-Szene eine von ihm entdeckte schwere Sicherheitslücke auf Github.com ignorierte, übernahm der russische Hacker für eine Stunde die Kontrolle über die Entwickler-Plattform.

Github ist ein Internet-Dienst, mit dem Programmierer gemeinsam an quelloffener Softwarearbeiten können. Programmierer nutzen den Dienst bei etwa 100.000 Projekten als zentrale Plattform für die Verwaltung verschiedener Versionen ihres Quelltextes. Github wird von Entwicklern vieler populärer Open-Source-Entwicklungsprojekte genutzt, darunter Ruby on Rails, PHP und Joomla!.

Beim Projekt Ruby on Rails hackte sich Egor Homakov ein: "Weil die Leute in [der Nutzergruppe von] Rails mich und mein Sicherheitsproblem ignorierten," schreibt der enttäuschte Hacker in seinem Blog, "nahm ich mir etwas Zeit, um das auf der ersten Website zu testen, die mir in den Sinn kam. Github." Sein Dateneinbruch erlaubte ihm, unerlaubt das Ruby-Fehler-Protokoll und den -Quellcode zu manipulieren. Ein ernsthafter Angreifer hätte wahrscheinlich die Weiterentwicklung von Rails erheblich stören können. Homakov veröffentlichte die Anleitung für den Github-Hack.

Die erste Reaktion der Rails-Entwickler auf Homakovs Hacker-Warnung: "Die Sicherheitslücke ist doch altbekannt." Wer Rails einsetze, müsse sich eben auch vor Angriffen über diese Sicherheitslücke schützen. Homakov verwies darauf, dass mehrere große Seiten, die Rails benutzen, sich nicht ausreichend vor entsprechenden Angriffen schützten.

Github reagierte relativ gelassen auf den Angriff mit offenem Visier. Die Betreiber gingen in einem kurzen Blogeintrag auf den Hack ein, sperrten - vorübergehend - Homakovs Github-Nutzerkonto und fügten den Nutzungsbedingungen von Github einen neuen Absatz hinzu: Wie man Sicherheitslücken verantwortungsvoll mitteilt.

Der Chiphersteller AMD hat einen Fehler im Chip-Design

"Ich glaube, es ist die Hardware" - ein Programmierer hat sich monatelang mit einem seltsamen Problem im Programmcode des Unix-Derivats DragonFly herumgeschlagen, er konnte den Fehler einfach nicht beheben. Der Frust schlug jetzt in Begeisterung um: "Ich bin hin und weg: das ist nicht alltäglich, dass jemand wie ich einen waschechten Hardware-Fehler in einer großen CPU findet." Die Entwickler von AMD hätten auf einem von ihm vorbereiteten Testsystem den Fehler reproduzieren und nach monatelangen Tests als Hardware-Problem identifizieren können.

Zwar erinnert der Fall an das Pentium-Debakel des Chip-Herstellers Intel von 1994 - damals stellte sich heraus, dass Intels Vorzeigechips nicht richtig dividieren konnten - aber der aktuelle Fall dürfte kaum Folgen haben: Selbst der Programmierer konnte den Fehler nur mit großer Mühe reproduzieren.

Three-Strikes-Regel in Großbritannien rechtens

Die britischen Internet-Provider British Telecom und TalkTalk sind vor dem High Court in London endgültig mit einer Klage gegen das im Juni 2010 in Kraft getretenes Gesetz zur Netzregulierung gescheitert. Der Digital Economy Act sieht unter anderem die Möglichkeit von Internetsperren für illegales Filesharing vor. Der High Court hat nun eine Berufung abgelehnt, nur in einem Punkt gaben die Richter den Bedenken der Provider statt, es ging dabei um die Übernahme von Kosten in einer Detailfrage. Das Urteil hat zur Folge, dass die Regierung in Großbritannien nun ein abgestuftes Warnsystem für mutmaßliche Raubkopierer einführen kann, bei dem Internetprovider mitwirken müssen. Eine sogenannte "three strikes"-Regel, derzufolge Urheberrechtsverletzern beim dritten Verstoß der Internetzugang hätte gekappt werden können erschien Kritikern - unter anderem im britischen Oberhaus - als zu weitgehend. Die Regelung könnte jedoch noch nachgereicht werden.(lis)

Was am Dienstag sonst noch in der Netzwelt wichtig war

  • Die Fahndung nach einem gestohlenen iPad führte die Polizei im kalifornischen Palo Alto zu einem riesigen Drogenlager. Auf der Spur der vom iPad übertragenen Positionsangaben stießen die Polizisten auf 354 Kilo Methamphetamin im Wert von geschätzt 35 Millionen Dollar.
  • Pakistan macht keinen Hehl daraus, das Internet schärfer kontrollieren zu wollen. Über eine öffentliche Ausschreibung fordert die Regierung Unternehmen, akademische Institutionen oder andere Einrichtungen auf, Vorschläge für die Entwicklung, Einrichtung und den Betrieb einer landesweiten Sperr- und Filtersystems für Internet-Adressen (URLs) einzureichen. Budget: 10 Millionen Dollar.
  • Der Slashdot-Gründer Rob Malda hat per Blog-Eintrag mitgeteilt, wohin es ihn nach seinem Ausscheiden beim Tech-Superblog verschlagen hat: In die Entwicklungsabteilung der "Washington Post". Dort soll "das Gesicht von Slashdot" nun an neuen Medienformaten und als Berichterstatter arbeiten.
  • Unter Audiophilen gilt 24-bit/192kHz als bestes Audioformat für digitale Tonaufzeichnungen. Alles Blödsinn, behauptet jetzt Blogger Monty im Blog der Xiph Foundation - und gibt reichlich wissenschaftliche Argumente gegen den Auflösungswahn.

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Wundervoll
felisconcolor 06.03.2012
Zitat von sysopCorbisEin Programmierer deckt eine Sicherheitslücke auf der Softwareplattform Github auf - indem er sie aus Trotz hackt, als niemand auf seine Warnung reagiert. Außerdem im Nachrichtenüberblick: AMD räumt Fehler in der Chip-Hardware ein, der Slashdot-Gründer arbeitet für die "Washington Post". http://www.spiegel.de/netzwelt/web/0,1518,819626,00.html
der Artikel über den Audiophilen Wahn. Was natürlich viele Leute weiterhin nicht davon abhalten wird den Rand ihrer CDs mit einem Edding zu schwärzen damit der Klang besser wird, weil weniger Laserlicht über Reflektionen verloren geht. Ich erzähle Blödsinn? Dann muss man sich nur die Muße machen mal diverse Highend Audio Foren zu besuchen. Das spottet jeder Beschreibung.
2. Viele Leute...
zack34 06.03.2012
Zitat von felisconcolorder Artikel über den Audiophilen Wahn. Was natürlich viele Leute weiterhin nicht davon abhalten wird den Rand ihrer CDs mit einem Edding zu schwärzen damit der Klang besser wird, weil weniger Laserlicht über Reflektionen verloren geht. Ich erzähle Blödsinn? Dann muss man sich nur die Muße machen mal diverse Highend Audio Foren zu besuchen. Das spottet jeder Beschreibung.
Viele Leute können nicht einmal eine 192er MP3 von einer 320er unterscheiden, ja noch nicht einmal vom Original ohne Kompression. Ihnen ist auch völlig egal, was für Details im Klangbild eines Chors oder eines Orchesters erst entdeckt werden können. Für sie ist Musik immer nur eins: Begleitgeklimper, egal in welcher Form.
3. SaKK
alfons11:45 06.03.2012
Zitat von zack34Viele Leute können nicht einmal eine 192er MP3 von einer 320er unterscheiden, ja noch nicht einmal vom Original ohne Kompression. Ihnen ist auch völlig egal, was für Details im Klangbild eines Chors oder eines Orchesters erst entdeckt werden können. Für sie ist Musik immer nur eins: Begleitgeklimper, egal in welcher Form.
Die c't hat vor diversen Jahren mit umfangreichen Hörtests auch unter Beteiligung von Profis nachgewiesen, dass spätestens 256er MP3s nicht mehr von der Original-CD zu unterscheiden sind. Für den Grenzbereich, aber diesseits der SaKK (Sauerstoff-armen Kupfer Kirche): Die mp3-Kompression ist auf die Eigenschaften von gesunden Ohren optimiert. Es gibt Hördefekte, mit denen man Artefakte der mp3-Kompression hören kann, die bei gesunden Ohren z.B. von Signalen auf höheren Frequenzen überdeckt werden. Dagegen kann eine höhere Datenrate hilfreich sein. Ansonsten müsste man das verwendete psychoakustische Modell individuell an den Hörer anpassen. Da trifft es sich gut, dass Speicherplatz im Laufe der Jahre immer billiger wird. Der Streit um das bestmögliche verlustbehaftete Kompressionsverfahren wird zunehmend akademisch. Der c't-Leser-Hörtest: MP3 gegen CD | c't (http://www.heise.de/ct/artikel/Kreuzverhoertest-287592.html) Man beachte dort den "Punkrock-Musiker", der auf einem Ohr nur noch bis 8kHz hören konnte, aber MP3-Dateien überdurchschnittlich gut erkannte.
4. Perfektion der Klangkette
Music is the Best 07.03.2012
Ich teile die Ansicht, dass die CD das ausreichend perfekte Speichermedium für Musik ist. Aber der Rest und vor allem das Ende der Klangkette (Lautsprecher/Kopfhörer) hat diese ausreichenden Perfektion im bezahlbaren Bereich leider noch nicht erreicht. Die verlustfreie Signalverarbeitung endet spätestens beim DAC (Digital->Analog Converter). Wird auf digitaler Seite mit digitalen Filtern das Signal bearbeitet, ist die Konvertierung auf 24/192 erforderlich um den, auch im Blog beschriebenen Fehlern entgegen zu wirken. Idealer wäre aber eine aktive Box, die Lokal eine Signalverarbeitung mit digitaler Einmessungtechnik enthalten würde. Diese Einmessung müßte dann noch ein Messsignal des Aufnahmeraums zur Verfügung stehen (sozusagen auf jeder CD mitgeliefert werden) um den Originalklang 1:1 reproduzieren zu können. Dann fehlt aber immer noch die Berücksichtigung der Abmischung des Toningenieur/Produzenten. Hier gilt es also noch einige Hürden zu nehmen bis wir eine 1:1 Reproduktion haben. Wenn ich mir aber allein die klangliche Verbesserung seit den 80ern anhöre, bin ich sehr zufrieden was mittlerweile aus einer guten, nicht zu teuren Anlage an Transparenz, Dynamik und räumlicher Auflösung heraus kommt.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Netzticker
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 4 Kommentare
Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.