Der Versuch, heute Morgen ein Abbild von Ubuntu 23.10 vom offiziellen Download-Server von Canonical herunterzuladen, endet in einem »The requested URL was not found on this server.« Nach einiger Recherche wurde klar, dass Canonical das Abbild zurückgezogen hatte.
Der Grund dafür ist, dass jemand böswillig Hassrede antisemitischer Art in die ukrainische Übersetzung des neuen Installers geschmuggelt hatte. Betroffen sind außer Ubuntu Desktop auch Ubuntu Budgie 23.10 und die Ubuntu Daily Builds, die ebenfalls den neuen Installer nutzen.
Canonical nimmt auf Discourse Stellung zu dem Problem:
Kurz nach der Veröffentlichung haben wir Hassreden von einem böswilligen Mitwirkenden in einer bestimmten Reihe von Übersetzungen der Ubuntu Desktop-Installationsoberfläche entdeckt und sofortige Maßnahmen ergriffen. Diese Übersetzungen werden entfernt und eine aktualisierte ISO wird zum Download zur Verfügung stehen, sobald wir das anstößige Material ersetzt haben.
Es ist wichtig zu erwähnen, dass diese Übersetzungen nicht Teil des Ubuntu-Archivs sind und wir glauben, dass der Vorfall nur auf Übersetzungen zurückzuführen ist, die über ein Übersetzungstool eines Drittanbieters bereitgestellt wurden, das wir für eine Teilmenge von Anwendungen verwenden.
Die betroffenen Images, die entfernt wurden, sind Ubuntu Desktop 23.10, Ubuntu Budgie 23.10 und die Ubuntu Desktop Daily Images.
Wir werden diesen Beitrag mit weiteren Details zu unserer Untersuchung aktualisieren und mitteilen, wann ein aktualisiertes Desktop-Image verfügbar sein wird.
Die Frage ist: Wie kann das passieren? Offensichtlich wurden dort Beiträge von Dritten ohne QA übernommen. Ich bin einmal gespannt, was bei der Untersuchung herauskommt. Bleibt zu hoffen, dass sich dieser Vorfall lediglich auf die Übersetzungen bezieht.
Auf der Webseite gibt es noch das Legacy-Install-Image. Was sind die Nachteile davon?
Sowas kann ganz leicht bei sehr vielen übersetzten Software-Projekten passieren, denn es kann höchstens stichprobenhaft kontrolliert werden. Kaum ein Maintainer wird alle Strings wieder rückwärts übersetzen (lassen) und dann nochmal durchlesen.
In vielen Projekten ist der Ablauf mit dem Einbinden von Übersetzungen auch komplett durchautomatisiert, vom Erstellen der po-Dateien bis zum Git-Commit.
Und wenn es nur eine einzige Person gibt, die die entsprechende Sprache spricht, gibt es einfach niemanden, der drüberguckt. Bei so gut wie allen Projekten, bei denen ich bislang bei den Übersetzungen mitgeholfen habe, wäre es ein leichtes gewesen, irgendeinen böswilligen Inhalt dort mit unterzubringen.
Soooviele übersetzungswillige Menschen gibt es leider nicht, dass tatsächlich gegenseitig kontrolliert werden kann. Es wird so lange vertraut, bis jemand einen entsprechenden Bug meldet. Was offenbar dankenswerterweise bei Ubuntu jemand getan hat.
Wenn das zukünftig allerdings häufiger vorkommt, wird die Konsequenz sein, dass es die Software dann halt nur noch auf Englisch gibt… oder sie komplett automatisiert übersetzt wird (oh graus…).
Das einzige was hilft: Engagiert Euch und übersetzt.
Fehler passieren. Ubuntu hat Stellung bezogen und gleich reagiert. Ich würde das auch nicht an die große Glocke hängen. Sofortige Reaktion ist sehr positiv zu bewerten, hier ist es egal ob Ubuntu oder $EGALWELCHEDISTRO.
Wie das passieren kann, das ist eine ganz einfache mathematische Rechnung, je mehr Parteien bei so Etwas mitmachen, desto größer so ein Risiko. Und ich könnte mir sicher sein, das wird nicht noch einmal genauso passieren.
Auf der anderen Seite könnte man das auch als Werbung verstehen. Es gibt keine schlechte Öffentlichkeitsarbeit, es ist schlecht wenn die Menschen NICHT über Dich reden. Jetzt gibt es riesen TRARA um Ubuntu… wegen WEIL. Alle laden das Relase runter…
Das ist nur so ein Gedankenspiel.
Und nein, ich setze Ubuntu nicht ein. Ich benutze ein anderes Linux. Das tut aber hier nichts zur Sache.
Schönes Wochenende.
So sieht es aus. Microsoft ist schon ähnliches passiert.
Es ist halt doof, wenn Canonical die Security bei Teilen des Projektes auf Vertrauen aufbaut (Snapstore, trust the Dev. not the code), und dann rutschen da so peinliche Sachen durch.
Muss man jetzt auch nicht so krass an die große Glocke hängen, aber es ist halt wieder eins der vielen Zeichen, dass die Qualitätssicherung der Interimsversionen echt schlecht ist. (Anekdotische Evidenz, hatte bei keiner anderen noch so kleinen Linux-Distro so viele Bugs gehabt).
Naja, ich kenne keine Open Source-Distribution die alle Übersetzungen in jede Mini-Sprache überwachen kann. So etwas kann jedem passieren, und das es gerade Ubuntu passiert ist, ist Zufall bzw. der Verbreitung von Ubuntu geschuldet.
openSUSE nimmt den gleichen Übersetzungsdienst (Weblate), es könnte also genauso auch dort passieren.
Wenn es „nur“ Übersetzungen sind, naja (wobei da je nach Projekt auch einiges möglich wäre, z. B. bei einem CMS, das HTML in den Übersetzungen erlaubt). Aber für mich sieht es so aus (flüchtiger Blick) als seien es hier dart-Dateien – geht da nicht mehr als nur Übersetzungen?
Ich finde es erschreckend wie eine (vermutlich) einzelne Person ein Abbild so verändern kann, ohne dass dies in einer weiteren Überprüfung aufgefallen ist. Genauso könnte es auch möglich sein mit dem installer Schadsoftware zu verbreiten ohne das es cannoncial auffällt.
Ich denke nicht, dass man pauschal davon ausgehen muss, dass es ein großes Sicherheitsrisiko gibt. Wenn beispielsweise nur Strings aus eine Excel vom Übersetzer in die locale-file kopiert werden, dann ist das Risiko für die Integrität und Vertraulichkeit des OS quasi nicht vorhanden.
Wenn ganze locale-files ungeprüft (am besten durch Dritte) ins REPO kommen, dann sieht das vielleicht anders aus. Aber selbst dann, diese Files werden nicht als Code interpretiert. Ich weiß nicht, ob man darüber irgendwelchen Code in Gnome ausführen könnte…?!
Aber letztlich hat man dieses Problem bei Übersetzungen immer.
Warum lasse ich extern übersetzen? Weil diese Sprache innerhalb meiner Organisation nicht beherrscht wird. Also bin ich auch nicht in der Lage, das Übersetzungsergebnis zu überprüfen, sofern ich die Übersetzungen nicht mehrfach durchführe. Und selbst dann, wer sagt unabhängig, welche Variante nun die “richtigste” ist? Oder wen beauftrage ich mit der Prüfung der Übersetzung? Warum lasse ich den nicht direkt übersetzen, wenn diese Person vertrauenswürdiger ist?
Die Frage ist auch nicht so sehr, wie groß das Risiko bei diesem Vorfall ist. Da hast du ganz recht, es ist eher peinlich als gefährlich. Aber es zeigt ein grwisses ‘laissez faire’ auf, dass es so nicht geben dürfte.
Dem stimme ich zu. Mal ganz davon ab, das mir persönlich (und auch scheinbar vielen anderen Usern) Ubuntu immer weniger zu sagt, kann man die Übersetzungen zumindest problemlos in ChatGPT packen und prüfen/nach Englisch übersetzen lassen. Es wäre keine definitive Aussage, dass die Übersetzung auch inhaltlich dem entspricht, was sie aussagen sollte, aber hier waren die Aussagen so eindeutig “falsch” (in vielerlei Hinsicht), das ChatGPT mir während der Generierung der Übersetzung die Ausgabe abgebrochen hat.
Dein Vertrauen in ChatGPT moechte ich haben. War es nicht so, das gerade das schon ein paar ernsthafte Boecke geschossen hat? Und die waren meines Wissens nicht so harmlos.
Aber genau das passiert eben, wenn man so etwas von Software uebersetzen laesst und nicht von Muttersprachlern.
Er schrieb von grundsätzlicher Kontrolle nicht vom Übersetzen, da kannst du auch Deepl oder Leo nehmen… Der Unterschied zwischen “Unser Desktop bietet Ihnen vielfältige Möglichkeiten.” und “Die ABC aus XYZ sollen alle sterben” wird da durchaus deutlich. Das ist jetzt, zugegeben, etwas plakativ und stumpf dargestellt.
Aber was deutlich wird, vom berühmtem Mehraugenprinzip dank offenem Code, ist nicht viel übrig. Bei Microsoft oder Apple würde das nicht passieren.
Auch die haben schon genug Böcke geschossen, nur erfährt man das nicht ausser es ist äusserst krass.
Aber mal so, dafür bezahlst Du das bei MS oder apple auch sehr teuer.
Ja, Qualitätssicherung von Texten in vielen Sprachen kostet Geld.
oder eine super Community. Aber Canonical ist halt ne Firma, gibts nur den Weg des zahlens.
Genau, so etwas passiert denen nicht. Dafür wird denen gleich der Masterkey gehackt…
Natürlich passiert so etwas auch bei Microsoft:
https://winfuture.de/news,136692.html
Kurioser Übersetzungsfehler:Windows 11 hält ZIPs für Postleitzahl
Nach dem Motto: It compiles? Release it!