{"id":8855,"date":"2022-12-27T19:50:00","date_gmt":"2022-12-27T17:50:00","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=8855"},"modified":"2024-12-30T23:21:39","modified_gmt":"2024-12-30T21:21:39","slug":"protestware-die-it-sicherheit-im-ukraine-krieg-open-source-als-politische-waffe","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/protestware-die-it-sicherheit-im-ukraine-krieg-open-source-als-politische-waffe\/","title":{"rendered":"Protestware: Die IT-Sicherheit im (Ukraine-)Krieg – Open Source als politische Waffe?"},"content":{"rendered":"

Seit Monaten befindet sich die Ukraine im Krieg. Und das l\u00e4ngst nicht nur analog an den klassischen Waffen, wie ich in einem fr\u00fcheren Beitrag bereits aufzeigte<\/a>. Doch der Krieg kommt seit einiger Zeit auch zunehmend bei Softwareentwicklern und Projekten an. Solche Software wird oft als Protestware<\/strong> bezeichnet, angelehnt an g\u00e4ngige Lizenzbezeichnungen wie Freeware<\/strong>.<\/p>\n

Von dort zieht er weite Kreise, oft auch unfreiwillig. Der bislang spektakul\u00e4rste Fall war wohl node-ipc<\/a>: Zun\u00e4chst legte es eine Textdatei auf dem Desktop an, deren Inhalt sich klar gegen den Krieg aussprach. Sp\u00e4ter enthielt das Paket eine Schadsoftware, die mit 25% Wahrscheinlichkeit versucht alle Daten zu l\u00f6schen, falls die IP-Adresse des Opfers zu Russland oder Belarus zugeordnet werden kann. Dies ist in verschiedener Hinsicht gef\u00e4hrlich, wie ich im damaligen Beitrag ausf\u00fchrlicher erkl\u00e4rt habe.<\/p>\n

Mittlerweile haben einige Open Source Projekte<\/a> \u00f6ffentlich ihren Protest zum Ausdruck gebracht. Eine Liste enth\u00e4lt auch dieser Artikel <\/a>(russische Quellen). Es wird \u00fcber die Bewaffnung von Open Source<\/a> gesprochen. Man kann grob zwischen vier Arten unterscheiden:<\/p>\n

1. Positionierung innerhalb des Repositorys<\/h3>\n

Am h\u00e4ufigsten sind Flaggen der Ukraine oder anderen Zeichen in den Repositorys selbst zu sehen, meist in der README. Das Projekt StandWithUkraine <\/a>bietet entsprechende Vorlagen und f\u00fchrt ebenfalls eine Liste bekannter Unterst\u00fctzer. <\/p>\n

\"\"<\/a>
Beispiel einer Projekt-README mit Unterst\u00fctzungsaufruf f\u00fcr die Ukraine (Quelle: pnpm Repository<\/a>)<\/figcaption><\/figure>\n

Manche haben auch entsprechende Statements in den Code eingebaut, etwa bei der Installation eines Paketes wie bei es5-ext<\/a>. Dies ist eine Kompatibilit\u00e4tsschicht, um das neuere ECMAScript 6 auch in \u00e4lteren Browsern benutzen zu k\u00f6nnen. Wer eine bestimmte Zeitzone eingestellt hat und das Paket installiert, sieht eine politische Botschaft auf Russisch auf der Konsole.<\/p>\n

Dies sehen nur die Entwickler\/Administratoren, aber in der Regel keine Endnutzer. Die Auswirkungen bzw. Kollateralsch\u00e4den sind hier am geringsten und diese Form des Protestes findet in der Community noch am ehesten Anklang – wenngleich bei einigen grunds\u00e4tzlich umstritten ist, ob Software f\u00fcr politische Botschaften genutzt werden sollte.<\/p>\n

2. Politische Botschaften in der Anwendung<\/h3>\n

Im Unterschied zur ersten Variante werden die politischen Parolen so in die Anwendung eingebaut, dass sie f\u00fcr den Endbenutzer sichtbar sind. <\/p>\n

In bestimmten Regionen wurde ein Infokasten eingebaut<\/a>, der 15 Sekunden nach dem Aufruf der Seite in bestimmten Regionen erscheint. Darin wird beschrieben, dass eine gro\u00dfe Mehrheit der Ukrainer hinter Zelensky und seiner Abwehrstrategie steckt, die ganze Welt Sanktionen gegen Russland beschlossen hat und man den Tor-Browser f\u00fcr unzensierte Informationen nutzen soll:<\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Hier ist die Reichweite deutlich gr\u00f6\u00dfer: Nutzt man das Paket beispielsweise auf der eigenen Homepage, sehen alle Besucher aus der entsprechenden Region die Meldung. Ein weiteres Beispiel ist die Leaflet. Die interaktive JavaScript-Karte hat eine kleine Ukraine-Flagge eingebaut<\/a>. Wer darauf klickt, sieht ein Popup-Fenster \u00fcber die pers\u00f6nliche Betroffenheit des Entwicklers. <\/p>\n

\"\"<\/a><\/figure>\n

Nicht nur quelloffene Software ist betroffen. Teils haben auch propriet\u00e4re Produkte oder Clouddienste bereits ihre politische Position in ihren Diensten kundgetan, dotnetfiddle.net beispielsweise:<\/p>\n

\"\"<\/a><\/figure>\n

Der Terraform-Provider f\u00fcr die Amazon AWS Cloud geht noch einen St\u00fcck weiter. Er f\u00fchrt eine Variable namens putin_khuylo <\/em>ein<\/a>, die Fragt: Stimmen Sie zu, dass Putin die ukrainische Souver\u00e4nit\u00e4t und territoriale Integrit\u00e4t nicht respektiert?<\/em> Wer diese nicht auf „true“ zur Zustimmung setzt, konnte das Modul nicht benutzen.<\/p>\n

Solche Beispiele gibt es viele. Das Projekt help-the-ukraine-now<\/a> bietet ein Skript an, welches man auf die eigene Seite einbinden kann. Es zeigt russischen Besuchern eine Nachricht zum Krieg. Davon w\u00fcrde ich Abstand nehmen – schon alleine aus dem Grunde, weil das Skript auf einem fremden Server liegt und damit die eigene Seite nach belieben ver\u00e4ndert werden k\u00f6nnte. Sei es vom Entwickler oder aber durch Dritte, die diese Domain z.B. kapern.<\/p>\n

3. Destruktive<\/h3>\n

Wie der Name schon vermuten l\u00e4sst, geht es hier nicht nur um das Verbreiten politischer Standpunkte und Aufforderungen. Sondern es wird – wie bei node-ipc<\/a> – aktiv Schaden verursacht. Dazu z\u00e4hlt augenscheinlich eine Hintert\u00fcr im WordPress Erweiterung namens Mistape<\/a>: Sie meldet die Adresse der eigenen Seite beim Angreifer, der \u00fcber einen speziellen Parameter als Administrator eingeloggt wird. Russischen Aufzeichnungen zufolge<\/a> wurde die Schwachstelle daf\u00fcr genutzt, um Nachrichten der Ukraine auf gekaperten Seiten einzubinden.<\/p>\n

Belegen l\u00e4sst sich das jedoch nicht. Eben so wenig ist klar, ob diese L\u00fccke gezielt f\u00fcr den Krieg eingebaut wurde. Fakt ist jedoch: Die Hintert\u00fcr wurde vom Entwickler eingebaut. Bisher sind solche destruktiven Angriffe auf Projekte noch relativ selten – sieht man von Hacks vieler Internetseiten ab, die dann u.a. daf\u00fcr genutzt werden, um dort politische Inhalte zu verbreiten. Diese Art ist am gef\u00e4hrlichsten.<\/p>\n

4. Unsichtbare<\/h3>\n

Mittlerweile gibt es Webseiten, die im Hintergrund versuchen, DDoS-Angriffe gegen russische Internetseiten zu f\u00fchren<\/a>. Sp\u00e4ter tauchten einige auf, die sich gegen Ukrainische Seiten wenden. Dies ist nat\u00fcrlich grunds\u00e4tzlich illegal, egal gegen welche Seite. Der beste Schutz gegen solche JavaScript-Schweinereien ist allerdings nicht besonders komfortabel: Per NoScript alle Skripte deaktivieren und nur jene von vertrauensw\u00fcrdigen Seiten erlauben. Dies sch\u00fctzt nebenbei eure Privatsph\u00e4re.<\/p>\n

Politik in der Software und Entwicklung – legitim oder NoGo?<\/h2>\n

Grunds\u00e4tzlich stellt sich die Frage, ob sich Softwareentwickler mit ihren Projekten \u00fcberhaupt positionieren sollten. Wenn sie es tun, kommt es schnell zu Diskussionen: Die einen sind klar dagegen, andere daf\u00fcr. Und dann wird oft \u00fcber verschiedene inhaltliche Punkte gestritten. Ob man die russische Bev\u00f6lkerung f\u00fcr den Krieg verantwortlich machen kann, die Ukraine eine Mitschuld tr\u00e4gt und vieles mehr.<\/p>\n

\"\"<\/a><\/figure>\n

Die Open Source Definition<\/a> verbietet zwar keine politische Positionierung. Allerdings ist in Punkt 5 klar definiert: Quelloffene Software darf keine Personen oder Gruppierungen diskriminieren. Dies scheint durchaus in einigen F\u00e4llen gegeben – im Extrembeispiel, wenn die Daten von Russen gel\u00f6scht werden.<\/p>\n

Schlussendlich r\u00fctteln solche Aktivisten das Bewusstsein daf\u00fcr wach, dass man seine Abh\u00e4ngigkeiten pr\u00fcfen sollte – letztendlich ist es fremder Code, den man in die eigene Anwendung einbaut. Aber er schadet auch dem Vertrauen in Software generell. Unabh\u00e4ngig davon, welche politischen Ansichten man teilt, muss man sich doch die Frage stellen: Wo f\u00e4ngt das an und wo h\u00f6rt das auf? Wird man bestimmte Programme zuk\u00fcnftig nur nutzen d\u00fcrfen, wenn man politischen Aussagen des Entwicklers zustimmt? Falls nicht, verwandelt sie sich in eine Waffe?<\/p>\n

Ich halte das f\u00fcr eine gef\u00e4hrliche Entwicklung. Es ist zwar wichtig, dass sich Entwickler Gedanken dar\u00fcber machen, welche Folgen ihre Arbeit f\u00fcr die Gesellschaft hat. Man denke da beispielsweise an eine Killerdrohne, bei der man durchaus kontrovers hinterfragen kann, ob man sich damit an fragw\u00fcrdigen T\u00f6tungen beteiligt. Selbstjustiz ist allerdings keine L\u00f6sung, auch nicht f\u00fcr Softwareentwickler. Dies schadet eher der Gemeinschaft<\/a>, die ohnehin bereits immer wieder von F\u00e4llen wie z.B. gel\u00f6schten Projekten wegen mangelnder Anerkennung\/Entlohnung getr\u00fcbt wird. <\/p>\n

Wer den Drang versp\u00fcrt etwas zu tun, kann seine Ressourcen besser in unterst\u00fctzende Ma\u00dfnahmen investieren: Etwa zivile Hilfeleistungen oder Spenden daf\u00fcr.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit Monaten befindet sich die Ukraine im Krieg. Und das l\u00e4ngst nicht nur analog an den klassischen Waffen, wie ich in einem fr\u00fcheren Beitrag bereits aufzeigte. Doch der Krieg kommt seit einiger Zeit auch zunehmend bei Softwareentwicklern und Projekten an. Solche Software wird oft als Protestware bezeichnet, angelehnt an g\u00e4ngige Lizenzbezeichnungen wie Freeware. Von dort …<\/p>\n","protected":false},"author":5,"featured_media":9895,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1110,4],"tags":[],"class_list":["post-8855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gesellschaftliches","category-politik-news"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=8855"}],"version-history":[{"count":8,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8855\/revisions"}],"predecessor-version":[{"id":9917,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/8855\/revisions\/9917"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/9895"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=8855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=8855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=8855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}