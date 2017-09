Ungewollte Beigaben in populärem Python-Repository

Nur zwei Teilzeitadmins für einen wichtigen Python-Service

Im von vielen Entwicklern benutzten Online-Repository "Python Package Index" (PyPi) befanden sich seit diesem Juni diverse Programmpakete mit eingeschleustem Schadcode. Dies gab die nationale Securitybehörde der Slowakei letzte Woche in einem Advisory bekannt . Die verseuchten Programmpakete wurden laut der Behörde auch offensichtlich von nichtsahnenden Programmierern heruntergeladen und in ihre Programme eingebaut.Die Angreifer haben vorhandene Programmpakete verwendet, sie mit einem Zusatzcode versehen und dann mit sehr ähnlichen Namen in das Repository hochgeladen. Immerhin handelt es sich laut den Slowaken bei der Malware um eine relativ "gutmütige" Schadsoftware. Sie meldet, wenn sie installiert wird, lediglich den Namen und die Version des gefälschten Pakets, den Usernamen des Entwicklers, der es installiert hat sowie den Hostnamen an einen zentralen Server. Ansonsten verrichtet das Paket wievorgesehen seinen Dienst, da ja auch der Originalcode darin steckt. Im oben verlinkten Advisory findet man viele weitere Details sowie Ratschläge, wie Entwickler ihre Software nach solchen gefälschten Paketen durchsuchen können.Die slowakische Behörde hat die Betreiber von PyPi informiert und die verseuchten Pakete wurden mittlerweile entfernt.Der Vorfall zeigt aber ein grundsätzliches Security-Problem für die Python-Entwicklerszene auf, wie 'Ars Technica' analysiert . Eigentlich sollten Python-Entwickler Code nur aus der offiziellen Standard Library herunterladen. Viele halten sich aber offensichtlich nicht an diese Praxis und benutzen auch andere Repositories. Beispielsweise via das beliebte Paketmanagementtool "pip".Die nun gefundene Schadsoftware ist zwar relativ harmlos. Sie könnte aber ein Test von Angrefern gewesen sein, die später auch Schlimmeres einschleusen könnten.Das Problem ist, dass jedermann Softwarepakete auf PyPi oder ähnliche Repositories hochladen kann, und dass diese keine adäquaten Ressourcen haben, um mögliche Schadsoftware proaktiv aufzuspüren. Wie einfach Schadcode eingeschleust werden kann, haben auch deutsche Security-Experten in letzter Zeit demonstriert. Ähnlich wie die Angreifer haben sie veränderte Pakete hochgeladen. Danach konnten sie auch zeigen, dass diese sehr schnell heruntergeladen und offensichtlich Tausende Male in Python-Programme eingebaut wurden.Die Knappheit der Ressourcen betonen auch die PyPi-Betreiber in einem Statement gegenüber 'Ars Technica'. Man habe seit der Meldung der Probleme viele Ratschläge für bessere Sicherheitsmechanismen erhalten und sei nun daran, die Optionen zu prüfen. Man müsse sich aber darüber im Klaren sein, dass PyPi von lediglich zwei aktiven Administratoren in freiwilliger Teilzeitarbeit betrieben werde. Aktives Monitoring beispielsweise komme daher nicht in Frage.Das erinnert in den Grundzügen an die Problematik, welche beispielsweise auch der Heartbleed-Bug vor drei Jahren illustrierte : Manche Open-Source-Projekte, deren Erzeugnisse teilweise extrem weit verbreitet verwendet werden, werden von nur ganz wenigen Freiwilligen vorangetrieben. Entsprechend beschränkt sind die Möglichkeiten, auf Security-Probleme zu reagieren. Auch die PyPi-Betreiber ziehen ein ähnliches Fazit: "Während wir zwar hoffen, dass diese Art von Problemen nie wieder auftaucht, sind wir doch auch froh, dass dadurch wieder einmal ein helles Licht auf die Verletzlichkeit von freien und Open-Source-Projekten und Services, auf die wir uns alle verlassen, geworfen wird. Wir können damit nicht allein umgehen und brauchen die Hilfe und Unterstützung von Allen." (Hans Jörg Maron)