Gefällt dir dieser Artikel?

Virenverseuchte Open-Source-Software

erschienen in der Kategorie Software, am 01.02.2014
Schnatterente
Bei quelloffener Software denken viele Leute, sie wären automatisch auf der sicheren Seite, weil ja, gerade bei bekannteren Software-Projekten, viele Programmierer ein Auge auf den Code haben. Folglich erscheint es unwahrscheinlich, dass einem Malware untergejubelt wird.

In der Regel liegt man mit dieser Denkweise auch gar nicht so falsch, Open-Source-Software ist im Allgemeinen zumeist vertrauenswürdiger als proprietäre Closed-Source-Programme. Doch gerade weil Software quelloffen ist, kann sie auch leichter ausgenutzt werden - nämlich dann, wenn sich Kriminelle den Quelltext herunterladen und ihn nach Gutdünken zur Schadsoftware umbauen.

Dies ist kürzlich mit dem weitverbreiteten S/FTP-Verwaltungsprogramm FileZilla geschehen. Unbekannte Hacker modifizierten die Anwendung so, dass sie sämtliche eingegebene Log-ins heimlich an ihren Server überträgt. Sie kompilierten ihren Code und brachten die trojanisierte FileZilla-Binary in Umlauf.

Das Beispiel zeigt, dass man sich sehr gut überlegen sollte, woher man die Software bezieht, die man auf seinem Rechner installiert. Im Internet gibt es unzählige verschiedene Download-Portale und niemand kann überblicken, wer die Software dort bereitstellt und welche Ziele die Betreiber verfolgen. So können auch Programme, die man seit Jahren kennt und denen man vertraut, schnell zur Bedrohung werden.

Will man auf Nummer sicher gehen, sollte man Programme möglichst nur von den offiziellen Projekt-Webseiten herunterladen. Oft werden dort auch Checksummen bereitgestellt, mit deren Hilfe man überprüfen kann, ob der Download modifiziert wurde. Wer sich mit der Materie auskennt und ein bisschen Zeit hat, kann die Anwendungen natürlich auch einfach selbst kompilieren.

Geschnatter

2 Kommentare, selbst mitschnattern << < Seite 1/1 > >>
tux., am 01.02.2014 um 15:45 Uhr
FileZilla kommt - seitens SourceForges - mit Adware daher.

https://forum.filezilla-project.org/viewtopic.php?t=30240

Vertrau' nur der offiziellen Projektseite...
Georg, am 01.02.2014 um 23:46 Uhr
Unter Win7: Immer die Projektseite, evtl. noch Heise.de und Filehippo.com
Unter Linux: Paketverwaltung, offizielle Repositories und natürlich Quellcode von der offiziellen Projektseite/dem Git-Repo
Unter Android: F-Droid, evtl. noch PDAssi.
Unter Win Mobile: OMarket
N9/Meego: Warehouse

Bei diesen Software-Anbietern hatte ich bisher keinerlei Probleme mit Schadsoftware