Netzwelt-Ticker: Hacker knackt Software-Entwicklungszentrale

Ein Programmierer deckt eine Sicherheitslücke auf der Softwareplattform Github auf - indem er sie aus Trotz hackt, als niemand auf seine Warnung reagiert. Außerdem im Nachrichtenüberblick: AMD räumt Fehler in der Chip-Hardware ein, der Slashdot-Gründer arbeitet für die "Washington Post".

Computerattacke: Was passiert, wenn ein Quelltext-Zentralarchiv angreifbar ist?

Foto: Corbis

Egor Homakov wollte ein Zeichen setzen. Weil die Programmierer-Szene eine von ihm entdeckte schwere Sicherheitslücke auf Github.com ignorierte, übernahm der russische Hacker für eine Stunde die Kontrolle über die Entwickler-Plattform.

Github ist ein Internet-Dienst, mit dem Programmierer gemeinsam an quelloffener Softwarearbeiten können. Programmierer nutzen den Dienst bei etwa 100.000 Projekten als zentrale Plattform für die Verwaltung verschiedener Versionen ihres Quelltextes. Github wird von Entwicklern vieler populärer Open-Source-Entwicklungsprojekte genutzt, darunter Ruby on Rails, PHP und Joomla!.

Beim Projekt Ruby on Rails hackte sich Egor Homakov ein: "Weil die Leute in [der Nutzergruppe von] Rails mich und mein Sicherheitsproblem ignorierten," schreibt der enttäuschte Hacker in seinem Blog, "nahm ich mir etwas Zeit, um das auf der ersten Website zu testen, die mir in den Sinn kam. Github." Sein Dateneinbruch erlaubte ihm, unerlaubt das Ruby-Fehler-Protokoll und den -Quellcode zu manipulieren. Ein ernsthafter Angreifer hätte wahrscheinlich die Weiterentwicklung von Rails erheblich stören können. Homakov veröffentlichte die Anleitung für den Github-Hack.

Die erste Reaktion der Rails-Entwickler auf Homakovs Hacker-Warnung: "Die Sicherheitslücke ist doch altbekannt." Wer Rails einsetze, müsse sich eben auch vor Angriffen über diese Sicherheitslücke schützen. Homakov verwies darauf, dass mehrere große Seiten, die Rails benutzen, sich nicht ausreichend vor entsprechenden Angriffen schützten.

Github reagierte relativ gelassen auf den Angriff mit offenem Visier. Die Betreiber gingen in einem kurzen Blogeintrag auf den Hack ein, sperrten - vorübergehend - Homakovs Github-Nutzerkonto und fügten den Nutzungsbedingungen von Github einen neuen Absatz hinzu: Wie man Sicherheitslücken verantwortungsvoll mitteilt.

Der Chiphersteller AMD hat einen Fehler im Chip-Design

"Ich glaube, es ist die Hardware" - ein Programmierer hat sich monatelang mit einem seltsamen Problem im Programmcode des Unix-Derivats DragonFly herumgeschlagen, er konnte den Fehler einfach nicht beheben. Der Frust schlug jetzt in Begeisterung um: "Ich bin hin und weg: das ist nicht alltäglich, dass jemand wie ich einen waschechten Hardware-Fehler in einer großen CPU findet." Die Entwickler von AMD hätten auf einem von ihm vorbereiteten Testsystem den Fehler reproduzieren und nach monatelangen Tests als Hardware-Problem identifizieren können.

Zwar erinnert der Fall an das Pentium-Debakel des Chip-Herstellers Intel von 1994 - damals stellte sich heraus, dass Intels Vorzeigechips nicht richtig dividieren konnten - aber der aktuelle Fall dürfte kaum Folgen haben: Selbst der Programmierer konnte den Fehler nur mit großer Mühe reproduzieren.

Three-Strikes-Regel in Großbritannien rechtens

Die britischen Internet-Provider British Telecom und TalkTalk sind vor dem High Court in London endgültig mit einer Klage gegen das im Juni 2010 in Kraft getretenes Gesetz zur Netzregulierung gescheitert. Der Digital Economy Act sieht unter anderem die Möglichkeit von Internetsperren für illegales Filesharing vor. Der High Court hat nun eine Berufung abgelehnt, nur in einem Punkt gaben die Richter den Bedenken der Provider statt, es ging dabei um die Übernahme von Kosten in einer Detailfrage. Das Urteil hat zur Folge, dass die Regierung in Großbritannien nun ein abgestuftes Warnsystem für mutmaßliche Raubkopierer einführen kann, bei dem Internetprovider mitwirken müssen. Eine sogenannte "three strikes"-Regel, derzufolge Urheberrechtsverletzern beim dritten Verstoß der Internetzugang hätte gekappt werden können erschien Kritikern - unter anderem im britischen Oberhaus - als zu weitgehend. Die Regelung könnte jedoch noch nachgereicht werden.(lis)

Was am Dienstag sonst noch in der Netzwelt wichtig war

• Die Fahndung nach einem gestohlenen iPad führte die Polizei im kalifornischen Palo Alto zu einem riesigen Drogenlager. Auf der Spur der vom iPad übertragenen Positionsangaben stießen die Polizisten auf 354 Kilo Methamphetamin im Wert von geschätzt 35 Millionen Dollar.
• Pakistan macht keinen Hehl daraus, das Internet schärfer kontrollieren zu wollen. Über eine öffentliche Ausschreibung fordert die Regierung Unternehmen, akademische Institutionen oder andere Einrichtungen auf, Vorschläge für die Entwicklung, Einrichtung und den Betrieb einer landesweiten Sperr- und Filtersystems für Internet-Adressen (URLs) einzureichen. Budget: 10 Millionen Dollar.
• Der Slashdot-Gründer Rob Malda hat per Blog-Eintrag mitgeteilt, wohin es ihn nach seinem Ausscheiden beim Tech-Superblog verschlagen hat: In die Entwicklungsabteilung der "Washington Post". Dort soll "das Gesicht von Slashdot" nun an neuen Medienformaten und als Berichterstatter arbeiten.
• Unter Audiophilen gilt 24-bit/192kHz als bestes Audioformat für digitale Tonaufzeichnungen. Alles Blödsinn, behauptet jetzt Blogger Monty im Blog der Xiph Foundation - und gibt reichlich wissenschaftliche Argumente gegen den Auflösungswahn.