Sollte das nicht überall gelten, daß Kritisches nicht einer alleine verantwortet, bzw., zu stemmen hat?Livingston hat geschrieben:31.03.2024 19:01:33die Grundlast bei kritischen Projekten auf mehrere Köpfe zu verteilen.
xz 5.6.x wurde kompromittiert
Re: xz 5.6.x wurde kompromittiert
Re: xz 5.6.x wurde kompromittiert
Hast du dich gerade freiwillig gemeldet?katzenfan hat geschrieben:01.04.2024 12:06:26Sollte das nicht überall gelten, daß Kritisches nicht einer alleine verantwortet, bzw., zu stemmen hat?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: xz 5.6.x wurde kompromittiert
Das ist eine gute Frage - aber irgendwo wird's wohl mal gebraucht werden können... Allerdings wurde in dem OpenSSH PR auch angemerkt, dassschorsch_76 hat geschrieben:01.04.2024 08:07:17Ich frage mich ja gerade, warum libsystemd libarchive/liblzma lädt. Laut man Page deutet libsystemd/bzw. der Patch für systemd-notify eigentlich nicht in die Richtung Kompression. Welches Feature von systemd nutzt Kompression?
https://github.com/openssh/openssh-portable/pull/375
https://www.man7.org/linux/man-pages/ma ... emd.3.html
https://news.ycombinator.com/item?id=39867126 hat geschrieben:Libselinux pulls in liblzma too and gets linked into tons more programs than libsystemd. And will end up in sshd too (at the very least via libpam/pam_selinux). And most of the really big distros tend do support selinux at least to some level. Hence systemd or not, sshd remains vulnerable by this specific attack.
Re: xz 5.6.x wurde kompromittiert
cosinus hat geschrieben: Ich glaube nicht nur ich frage mich gerade, wieviele Hintertüren denn nicht gefunden wurden, die es aber in gängige Distris geschafft haben.
Kuks du hier.
https://forum.siduction.org/index.php?t ... 0#msg74080
gruss MaGe
Wir müssen uns vor der Klimaerwärmung nicht fürchten.
Uns rottet die soziale Kälte viel früher aus.
Uns rottet die soziale Kälte viel früher aus.
Re: xz 5.6.x wurde kompromittiert
Es sollten doch wohl Leute sein, die Ahnung haben?
Re: xz 5.6.x wurde kompromittiert
Nicht genug (und Leute, die Ahnung haben, haben meist auch ausreichend viel zu tun).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: xz 5.6.x wurde kompromittiert
So kann es gehen:
https://research.swtch.com/xz-timeline
https://research.swtch.com/xz-timeline
Re: xz 5.6.x wurde kompromittiert
Falls wer der Blogeintrag von Bruce Schneier dazu lesen möchte
https://www.schneier.com/blog/archives/ ... kdoor.html
https://www.schneier.com/blog/archives/ ... kdoor.html
Re: xz 5.6.x wurde kompromittiert
Vielleicht interessiert das auch jemanden:
https://www.nzz.ch/technologie/xz-lueck ... ld.1824766Das ist der verrückteste Angriff»: Ein Programmierer entdeckt per Zufall eine gefährliche Hintertüre im Code – wohl von einem Geheimdienst
Die Schadsoftware war das Resultat einer jahrelangen Geheimaktion. In den nächsten Wochen hätte sie sich auf Internetservern weltweit verbreitet.
...
Was der Software-Entwickler Andreas Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden ...
Re: xz 5.6.x wurde kompromittiert
Nunja, dafür war die Backdoor dann doch zu diletantisch. Nicht nur mir (siehe weiter oben) ist aufgefallen, daß ein SSH-Login von einem infizierten Trixie-Rechner auf ein nicht infiziertes Bookwormsystem, plötzlich länger dauert. Wenn man nicht gerade die die lahmsten Single-Core Raspberries nimmt, um sich über SSH anzumelden, ist die Zeit zwischen der Betätigung der Entertaste zum Absetzen des SSH-Befehls und dem Passwort/Passphrase-Prompt praktisch Null, mit dem infizierten Trixie hat es plötzlich rund eine halbe Sekunde gedauert. Ich hatte das zunächst mit abgeschalteter Optimierung beim Compilieren abgetan und nicht weiter verdächtig gefunden, es ist halt Testing, wo das vorkommen kann.Virya hat geschrieben:04.04.2024 13:03:49Vielleicht interessiert das auch jemanden:Was der Software-Entwickler Andreas Freund vor wenigen Tagen entdeckt hat, war dafür gemacht, niemals entdeckt zu werden ...
Früher oder später hätte das aber jemand als Bugreport gemeldet. Andreas Freund hat uns allerdings den großen Gefallen getan, und hat es selbst analysiert und öffentlich gemacht.
Re: xz 5.6.x wurde kompromittiert
Interessante Sichtweise. Weißt du denn, warum genau diese Verzögerung vorhanden ist, wodurch sie also verursacht wurde?MSfree hat geschrieben:04.04.2024 13:29:33Nunja, dafür war die Backdoor dann doch zu diletantisch.
Wenn ich mir den Rest des Konstrukts angucke, wo Code wie versteckt und von da wieder vorgeholt wurde, wie die Bedingungen ausgewertet wurden, wieviel Zeit dort investiert wurde, etc., dann halte ich ohne diese Info erstmal ein „ging unter den Bedingungen halt nicht besser“ für die wahrscheinlichere Erklärung.
„I fought in the Vim-Emacs-War.“ Quelle
Re: xz 5.6.x wurde kompromittiert
Das weiß ich natürlich nicht im Detail, nur das. was man sowieso nachlesen kann. Die erhöhte CPU-Last und die damit verbundene Verzögerung wurden aber auch von mir festgestellt. Und genau das ist es, was die Sache am Ende diletantisch macht. Das war eben doch zu auffällig um übersehen zu werden.niemand hat geschrieben:04.04.2024 14:07:05Interessante Sichtweise. Weißt du denn, warum genau diese Verzögerung vorhanden ist, wodurch sie also verursacht wurde?
Re: xz 5.6.x wurde kompromittiert
... so diletantisch wie jeder Zaubertrick: Es geht um das Aufmerksamkeitsmanagement, um Ablenkung, um Tauschung, um Denkrinnen, ...MSfree hat geschrieben:04.04.2024 14:40:17Die erhöhte CPU-Last und die damit verbundene Verzögerung wurden aber auch von mir festgestellt. Und genau das ist es, was die Sache am Ende diletantisch macht. Das war eben doch zu auffällig um übersehen zu werden.
Habt ihr euch den Diff angeschaut? https://git.tukaani.org/?p=xz.git;a=com ... 2c422d9ba7 So umfangreich ist der ja nicht. Den beschriebenen kleinen Bug habe ich darin auch nach mehrfachem Durchlesen nicht finden koennen. Selbst nachdem ich wusste, dass es sich nur um einen Punkt handelt, konnte ich diesen noch nicht entdecken, bis ich die Suchfunktion genutzt habe. ... weil er an einer Stelle ist, wo ich ihn nicht erwartet habe.
Du hast, wie sicher viele andere, die Zeitverzoegerung bemerkt, aber du hast dir nichts oder nicht genug oder nicht das richtige dabei gedacht. Ich finde, dass das durchaus als Erfolg und Koennen der Verschleierung zu werten ist. Der Entdecker hat ja auch geschrieben, wie viele Faktoren hatten zusammen kommen muessen, damit er genauer hingeschaut hat: https://mastodon.social/@AndresFreundTe ... 9178991535
Bei Freier Software muss die Manipulation -- wie bei guten Zaubertricks -- unter dem Blick von Zuschauern durchgefuehrt werden. Das muss man ueberhaupt erstmal hinbekommen. So diletantisch finde ich das also nicht ... bloss weil man es nun, rueckblickend, wo man es weiss, worauf man schauen muss, einfach zu sehen findet.
Nun gut, vielleicht unterliegen wir hier auch dem Survivor Bias und haben die ganzen nicht-diletantischen Backdoors bloss noch nicht entdeckt.
Use ed once in a while!
- Blue
- Beiträge: 1550
- Registriert: 13.05.2016 12:42:18
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: xz 5.6.x wurde kompromittiert
Entscheidend ist für mich bei dem Thema, woher der ganze Dreck kommt und welchen Interessen er dient.
Investigative Jounalisten sollten in diesem Zusammenhang den Nobel-Preis erhalten und massiv gefördert werden.
Investigative Jounalisten sollten in diesem Zusammenhang den Nobel-Preis erhalten und massiv gefördert werden.
Re: xz 5.6.x wurde kompromittiert
Meillo hat geschrieben:04.04.2024 14:55:22Bei Freier Software muss die Manipulation -- wie bei guten Zaubertricks -- unter dem Blick von Zuschauern durchgefuehrt werden. Das muss man ueberhaupt erstmal hinbekommen. So diletantisch finde ich das also nicht ... bloss weil man es nun, rueckblickend, wo man es weiss, worauf man schauen muss, einfach zu sehen findet.
Genauso sehe ich das auch. Der/die Typ(en) waren Profis, aber das letzte Quäntchen Glück gepaart mit Zufall auf unserer Seite.
Re: xz 5.6.x wurde kompromittiert
Na super ... : "Microsoft-Entwickler rettet Millionen Rechner vor Computer-GAU"
Kann da jemand reinlesen? Ich hab kein Digital-Abo:
https://www.spiegel.de/netzwelt/web/hin ... dbbfe8c30c
Kann da jemand reinlesen? Ich hab kein Digital-Abo:
https://www.spiegel.de/netzwelt/web/hin ... dbbfe8c30c
Re: xz 5.6.x wurde kompromittiert
Der Oberwitz wäre ja wenn das eine jahrelang geplante PR Aktion warVirya hat geschrieben:04.04.2024 17:06:18"Microsoft-Entwickler rettet Millionen Rechner vor Computer-GAU"
(Wobei der Code ja offenbar auch in Windows 11 gelandet ist oder so, hatte ich gelesen)
Re: xz 5.6.x wurde kompromittiert
Nix, was man lesen muss:
https://archive.is/JPEH5
https://archive.is/JPEH5
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: xz 5.6.x wurde kompromittiert
Da der Spiegel schon seit 20 Jahren schwer FOKUSsiert ist, hat man sich auch dort angewöhnt, zu allem seinen Senf abzulassen, selbst wenn das "aktuelle" Ereignis schon eine Woche zurückliegt.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
Re: xz 5.6.x wurde kompromittiert
Spiegel ist zwar bestimmt noch immer nicht auf Focus-Niveau, aber inhaltlich gibt der Beitrag ja trotzdem nichts her. Hier im Thread gibt es Links, die sind informativ deutlich ergiebiger...
- heisenberg
- Beiträge: 4123
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: xz 5.6.x wurde kompromittiert
Na so teuer dürfte die Aktion jetzt doch nicht gewesen sein. 50K oder 100K für sowas. Im Marketing sind dass doch Peanuts.reox hat geschrieben:04.04.2024 17:11:55Der Oberwitz wäre ja wenn das eine jahrelang geplante PR Aktion war
Sehr gut: Plausible Deniability!(Wobei der Code ja offenbar auch in Windows 11 gelandet ist oder so, hatte ich gelesen)
- Livingston
- Beiträge: 1816
- Registriert: 04.02.2007 22:52:25
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: 127.0.0.1
Re: xz 5.6.x wurde kompromittiert
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams
Douglas Adams
- Emess
- Beiträge: 3765
- Registriert: 07.11.2006 15:02:26
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Im schönen Odenwald
-
Kontaktdaten:
Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet
https://www.bild.de/news/ausland/news-a ... .bild.html
Was sagt man den dazu?
Edit JTH: Aus zweitem eröffneten Thema hierher verschoben.
Was sagt man den dazu?
Edit JTH: Aus zweitem eröffneten Thema hierher verschoben.
Zuletzt geändert von JTH am 05.04.2024 20:19:23, insgesamt 1-mal geändert.
Grund: Aus zweitem eröffneten Thema hierher verschoben
Grund: Aus zweitem eröffneten Thema hierher verschoben
Debian Testing (bleibt es auch)
Debian Bookworm KDE Plasma 5x Kernel 6.1.0-21-amd64 (64-bit)
Notebook HP ZBook 17 G2
Quadro K3100M/PCIe/SSE2
http://www.emess62.de
Debian Bookworm KDE Plasma 5x Kernel 6.1.0-21-amd64 (64-bit)
Notebook HP ZBook 17 G2
Quadro K3100M/PCIe/SSE2
http://www.emess62.de