Open Source Software

Sicherheitsanalysen von Open Source Software am NTC

Wir alle nutzen sie täglich, sind uns aber in den seltensten Fällen darüber im Klaren: Open Source Software (OSS). Sie wird meist von engagierten Einzelpersonen oder kleinen Organisationen mit begrenzten Ressourcen entwickelt. Dies führt häufig dazu, dass weniger umfassende und professionelle Sicherheitsüberprüfungen durchgeführt werden. Folglich sind immer wieder Schwachstellen, oder gar Backdoors, in Open Source Software anzutreffen.

Schwachstellen vs. Backdoors: Es ist wichtig, zwischen Schwachstellen und Backdoors (dt. Hintertüren) zu unterscheiden:

• Schwachstellen entstehen meist durch Fehler in der Konzeption, im Design oder in der Implementierung von Software und sind daher häufig technischer Natur. Prominente Beispiele sind Log4Shell in Log4j (CVE-2021-44228) oder das kürzlich entdeckte regreSSHion in OpenSSH (CVE-2024-6387).
• Backdoors hingegen werden in böswilliger Absicht erstellt, teilweise über Jahre ausgetüftelt und dann — möglichst unauffällig — in Software-Bibliotheken integriert. Dies gelingt unter Ausnützung von Schwachstellen im Prozess, der überprüft, wer Änderungen an einer Softwarekomponente vornehmen darf. Prominente Beispiele sind die XZ Utils Backdoor (CVE-2024-3094) oder die kürzlich entdeckten Schwachstellen im CocoaPods Dependency Manager (CVE-2024-38368), die das Einschleusen manipulierter Software ermöglichen.

Egal ob versehentliche Schwachstelle oder geplante Hintertüren: die Verwundbarkeiten nehmen Einzug in unsere digitalen Systeme — seien dies die tausenden Server, die die digitale Welt am Laufen halten, oder auch die Milliarden Smartphones, ohne die eine flächendeckende Digitalisierung kaum möglich ist. Bleiben diese Verwundbarkeiten unentdeckt, droht grosser Schaden für die Stabilität der digitalen und physischen Welt, die freie Meinungsäusserung, sowie die Bildung.

Welchen Beitrag leistet das NTC?

Einer der Schwerpunkte des NTC liegt in der Durchführung technischer Sicherheitsanalysen und damit auf der Identifizierung und Behebung von Schwachstellen in Open Source Software

Fokus auf Relevanz für die Schweiz: Das NTC konzentriert sich dabei spezifisch auf Open Source Software, die für die Schweiz von besonderer Bedeutung ist. Dies geschieht aus eigener Initiative und mit eigenen Mitteln und in Ergänzung zu international ausgerichteten Initiativen wie dem Google Open Source Software Vulnerability Reward Program oder der Open Source Security Foundation (OpenSSF) der Linux Foundation. Damit trägt das NTC dazu bei, dass auch weniger bekannte, aber kritische Software gründlich getestet wird.

Durch die Stärkung der Sicherheit von Open Source Software leistet das NTC einen Beitrag zur digitalen Resilienz der Schweiz. Mehrere Beispiele von bereits behobenen Schwachstellen in OSS-Projekten sind im NTC Vulnerability Hub aufgeführt. 

Weiterführende Links:

• LinkedIn, 12. Juli 2024: Sicherheitsanalysen von Open Source Software am NTC
• Schweizerischer Gemeindeverband, 15. Januar 2025: Umfrage: Cybersicherheit von Open Source Software
• NTC Vulnerability Hub: Open Source Vulnerabilities