xz 5.6.x wurde kompromittiert

[MSfree]

Was sagt man den dazu?

viewtopic.php?t=189442

[Emess]

Hab ich übersehen

[uname]

Trotzdem interessant. Aber ich denke, dass große Firmen ihre Server gar nicht über Internet per SSH erreichbar haben, sondern (wie man hier sieht) auf VPN mit 2FA setzen. Oder wie hoch schätzt ihr die tatsächliche Gefahr für das Internet ein? Ok vielleicht ein Risiko für die ganzen kleinen Leute und kleinen Firmen mit VPS und root-Server.

[kalle123]

Hab ich übersehen

Ist mir aber auch passiert. Erst heute morgen bei heise gesehen .....

Gruß KH

[MSfree]

Aber ich denke, dass große Firmen ihre Server gar nicht über Internet per SSH erreichbar haben, sondern (wie man hier sieht) auf VPN mit 2FA setzen.

• Ohne SSH bekommen die Admins keine Shell, und ohne Shell wird die Administration schwierig. Die Server sind also praktisch immer via SSH erreichbar, eventuell halt nicht direkt, oder auf einem anderem Port.
• 2FA kann man auch mit SSH realisieren, z.B. so:
  https://www.thomas-krenn.com/de/wiki/SS ... _absichern
• Auch in VPN-Software könnte man ähnliche Hintertüren einbauen.

Die große Katastrophe ist ja ausgeblieben, weil die Manipulationen an der xz-Bibliothek noch rechtzeitig entdeckt wurde. SSH hat sich schlicht zu auffällig verhalten, so daß Andreas Freund sich der Sache angenommen und analysiert hat.

Inzwischen ist auch in der Wikipedia der Fall beschrieben:
https://de.wikipedia.org/wiki/XZ_Utils#Backdoor

[heisenberg]

Selbst wenn sich MS damit als hypothetischer Verursacher des Hacks die Lücke auch in Windows reingezogen hätte, so what? Die Lücke kann nur mit dem speziellen Key ausgenutzt werden. Wenn die den Key nur selbst haben, dann wäre das nur ein weiterer Fernwartungszugang auf Systeme, die Ihnen ohnehin schon offen stehen.

Ansonsten ist für mich die Frage, ob so ein Hack nicht vielleicht noch weitere Sicherheitsprobleme auslöst.

[JTH]

Habe dein zweites Thema hier mit hinein verschoben, Emess

[Virya]

...
Die große Katastrophe ist ja ausgeblieben, ...

Ich überlege mir: wenn auf Testing- und Unstable-Systemen wie z.B. Siduction, die kompromitierte liblzma angekommen ist, konnte sie einen Schadcode einbauen, der auch noch vorhanden ist, wenn die kompromitierte Datei beseitigt wurde? Vielleicht kann das bisher nicht mit Sicherheit beantwortet werden. Aber wäre es nicht möglich, mit einem Virenscanner das System zu durchsuchen?

[Livingston]

Wenn jemand mit Hilfe der Backdoor eingestiegen und professionell herumgefummelt hat, bringt's auch kein Update mehr. Dann ist alles möglich, was mit Root-Rechten erreichbar ist.

[Blue]

...
Die große Katastrophe ist ja ausgeblieben, ...

Ich überlege mir: wenn auf Testing- und Unstable-Systemen wie z.B. Siduction, die kompromitierte liblzma angekommen ist, konnte sie einen Schadcode einbauen, der auch noch vorhanden ist, wenn die kompromitierte Datei beseitigt wurde? Vielleicht kann das bisher nicht mit Sicherheit beantwortet werden. Aber wäre es nicht möglich, mit einem Virenscanner das System zu durchsuchen?

Wenn ich diese Befürchtung hätte ( ich selbst nutze aber Debian-Stable ), dann würde ich mein Testing/Sid-System einfach neu installieren.

[Virya]

Ich hatte ein Devuan Testing (Excalibur) auf einem Rechner. Ich habe tatsächlich kurz und schmerzlos eine Neuinstallation mit Stable (Daedalus) gemacht, obwohl Devuan Testing/Unstable wahrscheinlich nur eingeschränkt betroffen ist.

[Blue]

@Virya:
Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.

[niemand]

Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.

Ich darf dir versichern, dass es auch hier die Mehrheit interessiert. Es gibt nur keine Erkenntnisse, die es zu diskutieren lohnt, und für wilde Spekulationen gibt es bessere Plätze.

[Blue]

Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.

Ich darf dir versichern, dass es auch hier die Mehrheit interessiert. Es gibt nur keine Erkenntnisse, die es zu diskutieren lohnt, und für wilde Spekulationen gibt es bessere Plätze.

Ganz ehrlich: Vielen Dank für Deinen Post.

Vielleicht fühle ich mich viel zu sehr als "Einzel-Verzweifler". Und das gilt nicht nur für diesen nach hochprofessioneller Quelle riechenden Hack.

[Virya]

Ja, das ist noch mal eine Veröffentlichung zum selben Thema.
Ich finde aber, sie ist lesenswert:
https://dnip.ch/2024/04/02/xz-open-sour ... wtab-de-de

[fischig]

[Huo]

Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.

Ich darf dir versichern, dass es auch hier die Mehrheit interessiert. Es gibt nur keine Erkenntnisse, die es zu diskutieren lohnt, und für wilde Spekulationen gibt es bessere Plätze.

Eine gute Zusammenfassung begründeter Mutmaßungen über mögliche Drahtzieher und Hintergründe des Angriffs scheint mir der WIRED-Artikel The Mystery of 'Jia Tan', the Backdoor Mastermind zu sein:
https://www.wired.com/story/jia-tan-xz-backdoor/

[Livingston]

Eine gute Zusammenfassung begründeter Mutmaßungen über mögliche Drahtzieher und Hintergründe des Angriffs scheint mir der WIRED-Artikel The Mystery of 'Jia Tan', the Backdoor Mastermind zu sein:
https://www.wired.com/story/jia-tan-xz-backdoor/

Nix neues, auch wired.com rührt nur den Kaffeesatz um und versucht darin zu lesen:

... a mystery percolating through the tech world remains: Who is Jia Tan ...

As for which nation, Raiu names the usual suspects: China, Russia, and North Korea.

At a glance, Jia Tan certainly looks East Asian—or is meant to. The time zone of Jia Tan’s commits are UTC+8: That’s China’s time zone, and only an hour off from North Korea’s.

Gääähn, hatten wir schon 1000 mal. Die beiden Autoren hätten gleich schreiben können: Nix Genaues weiß man nicht und wir auch nicht. Hätte dann aber vermutlich nicht soviel Zeilenhonorar gebracht.

[tobo]

Eine gute Zusammenfassung begründeter Mutmaßungen über mögliche Drahtzieher und Hintergründe des Angriffs [...]

Ergo, eine kongruente Annäherung an die Wahrheit - eine Zusammenführung der verschiedenen Deutungsstränge? Man generiert aus so was einen Sieger. Oder anders ausgedrückt: So gut, wie jede andere Vermutung...

[wanne]

Trotzdem interessant. Aber ich denke, dass große Firmen ihre Server gar nicht über Internet per SSH erreichbar haben, sondern (wie man hier sieht) auf VPN mit 2FA setzen. Oder wie hoch schätzt ihr die tatsächliche Gefahr für das Internet ein? Ok vielleicht ein Risiko für die ganzen kleinen Leute und kleinen Firmen mit VPS und root-Server.

Das ist doch nur gegen gemeine Nutzer, um sie daran zu hindern dumme Passwörter zu nutzen. Wie administriert man 2FA und VPN-Server? Am Ende ist das immer nur hokus pokus um den wahren Single Point of failure zu verstecken oder zu jemandem zu verschieben, von dem man hofft, dass er sich besser verhält. Und dürfte defakto immer ein Server mit nem SSH (vermutlich ohne Password-Authentification) sein.

Man generiert aus so was einen Sieger.

Hab mich gar nicht mehr dran erinnert. Aber schon am titel erkannt: Nur Monty Python fällt so ein Quatsch ein.

[berlinerbaer]

Ich hätte nie gedacht, dass es sowas mal gibt. Bei mir bleibt Linux trotzdem drauf und alleiniges System. Für mich riecht das alles nach Geheimdienst, egal von welchem. Als Laie bemerkt man das ja gar nicht. Nur wegen der Banküberweisungen werde ich wohl in Zukunft an den Bankterminal gehen, obwohl ich mich frage, ob der überhaupt noch sicher ist.

[Virya]

Ich hätte nie gedacht, dass es so was mal gibt. ...

Ja, wir sind nicht mehr in den Anfangsjahren. Es wird alles komplexer, undurchschaubarer, komplizierter. Die hoch kompetenten Enthusiasten von früher werden alt. Die Feinde werden cleverer. Vielleicht gehen manche Entwicklungen auch zu schnell. Da kann sich viel unbemerkt einschleichen.

[slu]

...und zusätzlich habe ich den Eindruck das die Welt sehr oberflächlich wurde.
Wenigstens man hat ein cooles SM Profil, mehr zählt heute nicht mehr.

[tobo]

Ich wusste gar nicht, dass das wieder so im Kommen ist...

[berlinerbaer]

Wie ist das denn jetzt mit Apple-Usern? Sind die aus allem raus? Das MacOS ist doch sowas wie ein Unix, oder?