02.11.2021 18:00

"Trojan Source": Was ist da dran?

An sich schätze ich Brian Krebs, er schreibt wirklich gute Artikeln, aber bei ‘Trojan Source’ Bug Threatens the Security of All Code hat er etwas übertrieben. Andere titeln ähnlich, Brica.de schreibt etwa "Critical: ALL Businesses and Governments WORLDWIDE urged to take action over Trojan Source supply chain attacks".

Ross Anderson ist in der Szene auch kein Unbekannter, seine Bücher und Paper sind legendär. Aber bei Trojan Source ist es ein bisschen so wie mit Spectre/Meltdown: ziemlich coole Angriffsmethode, akademisch sehr interessant, aber in der Praxis ein marginales Problem.

Ja, es könnte jemand über copy/paste oder pull requests Code einbringen, der nicht das macht, was man aufgrund der Darstellung des Codes im Editor annehmen würde. Ist das schon passiert? Man kennt keinen Fall. Aber es könnte ja passieren. Im Gegensatz dazu hatten wir in den letzten Monaten mehrmals den Fall, dass ohne den Schmäh Backdoors in Source Code Repos eingebaut wurden.

Bei der Einschätzung halte ich es eher mit Russ Cox:

  • Das ist nicht wirklich neu
  • Es ist keine immanente Gefahr
  • Das lässt sich leicht durch diverse Werkzeuge abfangen

Irgendwie erinnert mich das auch an die weise Entscheidung der nic.at, nicht beliebige Unicode-Codepoints in IDNs (Umlautdomains) zu erlauben. Das mag auch der Weg für IDEs & co werden: Eine Defaulteinstellung, die nur die Zeichen erlaubt, die ich realistischerweise brauche. Damit fängt man Homoglyphen und die Schreibrichtungen ab.

Verfasst von: Otmar Lendl