xz 5.6.x wurde kompromittiert

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
MSfree
Beiträge: 11666
Registriert: 25.09.2007 19:59:30

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von MSfree » 05.04.2024 14:59:17

Emess hat geschrieben: ↑ zum Beitrag ↑
05.04.2024 14:48:11
Was sagt man den dazu?
viewtopic.php?t=189442

Benutzeravatar
Emess
Beiträge: 3772
Registriert: 07.11.2006 15:02:26
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Im schönen Odenwald
Kontaktdaten:

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von Emess » 05.04.2024 15:03:56

Hab ich übersehen 8O
Debian Testing (bleibt es auch)
Debian Bookworm KDE Plasma 5x Kernel 6.1.0-21-amd64 (64-bit)
Notebook HP ZBook 17 G2
Quadro K3100M/PCIe/SSE2

http://www.emess62.de

uname
Beiträge: 12442
Registriert: 03.06.2008 09:33:02

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von uname » 05.04.2024 16:05:02

Trotzdem interessant. Aber ich denke, dass große Firmen ihre Server gar nicht über Internet per SSH erreichbar haben, sondern (wie man hier sieht) auf VPN mit 2FA setzen. Oder wie hoch schätzt ihr die tatsächliche Gefahr für das Internet ein? Ok vielleicht ein Risiko für die ganzen kleinen Leute und kleinen Firmen mit VPS und root-Server.

Benutzeravatar
kalle123
Beiträge: 3051
Registriert: 28.03.2015 12:27:47
Wohnort: Mönchengladbach

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von kalle123 » 05.04.2024 16:48:03

Emess hat geschrieben: ↑ zum Beitrag ↑
05.04.2024 15:03:56
Hab ich übersehen 8O
Ist mir aber auch passiert. Erst heute morgen bei heise gesehen .....

Gruß KH

Benutzeravatar
MSfree
Beiträge: 11666
Registriert: 25.09.2007 19:59:30

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von MSfree » 05.04.2024 16:56:22

uname hat geschrieben: ↑ zum Beitrag ↑
05.04.2024 16:05:02
Aber ich denke, dass große Firmen ihre Server gar nicht über Internet per SSH erreichbar haben, sondern (wie man hier sieht) auf VPN mit 2FA setzen.
  • Ohne SSH bekommen die Admins keine Shell, und ohne Shell wird die Administration schwierig. Die Server sind also praktisch immer via SSH erreichbar, eventuell halt nicht direkt, oder auf einem anderem Port.
  • 2FA kann man auch mit SSH realisieren, z.B. so:
    https://www.thomas-krenn.com/de/wiki/SS ... _absichern
  • Auch in VPN-Software könnte man ähnliche Hintertüren einbauen.
Die große Katastrophe ist ja ausgeblieben, weil die Manipulationen an der xz-Bibliothek noch rechtzeitig entdeckt wurde. SSH hat sich schlicht zu auffällig verhalten, so daß Andreas Freund sich der Sache angenommen und analysiert hat.

Inzwischen ist auch in der Wikipedia der Fall beschrieben:
https://de.wikipedia.org/wiki/XZ_Utils#Backdoor

Benutzeravatar
heisenberg
Beiträge: 4127
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: xz 5.6.x wurde kompromittiert

Beitrag von heisenberg » 05.04.2024 19:20:51

Selbst wenn sich MS damit als hypothetischer Verursacher des Hacks die Lücke auch in Windows reingezogen hätte, so what? Die Lücke kann nur mit dem speziellen Key ausgenutzt werden. Wenn die den Key nur selbst haben, dann wäre das nur ein weiterer Fernwartungszugang auf Systeme, die Ihnen ohnehin schon offen stehen.

Ansonsten ist für mich die Frage, ob so ein Hack nicht vielleicht noch weitere Sicherheitsprobleme auslöst.

JTH
Moderator
Beiträge: 3079
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: xz 5.6.x wurde kompromittiert

Beitrag von JTH » 05.04.2024 20:20:21

Habe dein zweites Thema hier mit hinein verschoben, Emess :-)
Manchmal bekannt als Just (another) Terminal Hacker.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von Virya » 06.04.2024 16:21:21

MSfree hat geschrieben: ↑ zum Beitrag ↑
05.04.2024 16:56:22
...
Die große Katastrophe ist ja ausgeblieben, ...
Ich überlege mir: wenn auf Testing- und Unstable-Systemen wie z.B. Siduction, die kompromitierte liblzma angekommen ist, konnte sie einen Schadcode einbauen, der auch noch vorhanden ist, wenn die kompromitierte Datei beseitigt wurde? Vielleicht kann das bisher nicht mit Sicherheit beantwortet werden. Aber wäre es nicht möglich, mit einem Virenscanner das System zu durchsuchen?

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: xz 5.6.x wurde kompromittiert

Beitrag von Livingston » 06.04.2024 16:27:17

Wenn jemand mit Hilfe der Backdoor eingestiegen und professionell herumgefummelt hat, bringt's auch kein Update mehr. Dann ist alles möglich, was mit Root-Rechten erreichbar ist.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

Benutzeravatar
Blue
Beiträge: 1558
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von Blue » 06.04.2024 16:47:42

Virya hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 16:21:21
MSfree hat geschrieben: ↑ zum Beitrag ↑
05.04.2024 16:56:22
...
Die große Katastrophe ist ja ausgeblieben, ...
Ich überlege mir: wenn auf Testing- und Unstable-Systemen wie z.B. Siduction, die kompromitierte liblzma angekommen ist, konnte sie einen Schadcode einbauen, der auch noch vorhanden ist, wenn die kompromitierte Datei beseitigt wurde? Vielleicht kann das bisher nicht mit Sicherheit beantwortet werden. Aber wäre es nicht möglich, mit einem Virenscanner das System zu durchsuchen?
Wenn ich diese Befürchtung hätte ( ich selbst nutze aber Debian-Stable ), dann würde ich mein Testing/Sid-System einfach neu installieren.
Zuletzt geändert von Blue am 06.04.2024 17:01:53, insgesamt 1-mal geändert.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 06.04.2024 16:52:54

Ich hatte ein Devuan Testing (Excalibur) auf einem Rechner. Ich habe tatsächlich kurz und schmerzlos eine Neuinstallation mit Stable (Daedalus) gemacht, obwohl Devuan Testing/Unstable wahrscheinlich nur eingeschränkt betroffen ist.

Benutzeravatar
Blue
Beiträge: 1558
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: xz 5.6.x wurde kompromittiert

Beitrag von Blue » 06.04.2024 17:03:53

@Virya:
Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.

niemand
Beiträge: 749
Registriert: 22.12.2023 16:35:53
Kontaktdaten:

Re: xz 5.6.x wurde kompromittiert

Beitrag von niemand » 06.04.2024 17:16:26

rockyracoon hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 17:03:53
Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.
Ich darf dir versichern, dass es auch hier die Mehrheit interessiert. Es gibt nur keine Erkenntnisse, die es zu diskutieren lohnt, und für wilde Spekulationen gibt es bessere Plätze.
„I fought in the Vim-Emacs-War.“ Quelle

Benutzeravatar
Blue
Beiträge: 1558
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: xz 5.6.x wurde kompromittiert

Beitrag von Blue » 06.04.2024 17:20:11

niemand hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 17:16:26
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 17:03:53
Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.
Ich darf dir versichern, dass es auch hier die Mehrheit interessiert. Es gibt nur keine Erkenntnisse, die es zu diskutieren lohnt, und für wilde Spekulationen gibt es bessere Plätze.
Ganz ehrlich: Vielen Dank für Deinen Post. :THX:

Vielleicht fühle ich mich viel zu sehr als "Einzel-Verzweifler". Und das gilt nicht nur für diesen nach hochprofessioneller Quelle riechenden Hack.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 06.04.2024 22:02:41

Ja, das ist noch mal eine Veröffentlichung zum selben Thema.
Ich finde aber, sie ist lesenswert:
https://dnip.ch/2024/04/02/xz-open-sour ... wtab-de-de

fischig
Beiträge: 4142
Registriert: 24.12.2019 12:25:08
Lizenz eigener Beiträge: MIT Lizenz

Re: xz 5.6.x wurde kompromittiert

Beitrag von fischig » 06.04.2024 22:28:55

:THX:

Huo
Beiträge: 802
Registriert: 26.11.2017 14:03:31
Wohnort: Freiburg

Re: xz 5.6.x wurde kompromittiert

Beitrag von Huo » 06.04.2024 22:46:56

niemand hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 17:16:26
rockyracoon hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 17:03:53
Wie ich oben schon geschrieben habe - was aber anscheindend hier kaum jemanden interessiert - ist für mich die Frage, woher der Hack kam und welchen Interessen er dient, wichtiger als technische Fragen.
Ich darf dir versichern, dass es auch hier die Mehrheit interessiert. Es gibt nur keine Erkenntnisse, die es zu diskutieren lohnt, und für wilde Spekulationen gibt es bessere Plätze.
Eine gute Zusammenfassung begründeter Mutmaßungen über mögliche Drahtzieher und Hintergründe des Angriffs scheint mir der WIRED-Artikel The Mystery of 'Jia Tan', the Backdoor Mastermind zu sein:
https://www.wired.com/story/jia-tan-xz-backdoor/

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: xz 5.6.x wurde kompromittiert

Beitrag von Livingston » 07.04.2024 02:28:26

Huo hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 22:46:56
Eine gute Zusammenfassung begründeter Mutmaßungen über mögliche Drahtzieher und Hintergründe des Angriffs scheint mir der WIRED-Artikel The Mystery of 'Jia Tan', the Backdoor Mastermind zu sein:
https://www.wired.com/story/jia-tan-xz-backdoor/
Nix neues, auch wired.com rührt nur den Kaffeesatz um und versucht darin zu lesen:
... a mystery percolating through the tech world remains: Who is Jia Tan ...
As for which nation, Raiu names the usual suspects: China, Russia, and North Korea.
At a glance, Jia Tan certainly looks East Asian—or is meant to. The time zone of Jia Tan’s commits are UTC+8: That’s China’s time zone, and only an hour off from North Korea’s.
Gääähn, hatten wir schon 1000 mal. Die beiden Autoren hätten gleich schreiben können: Nix Genaues weiß man nicht und wir auch nicht. Hätte dann aber vermutlich nicht soviel Zeilenhonorar gebracht.
Zuletzt geändert von Livingston am 07.04.2024 02:34:28, insgesamt 2-mal geändert.
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

tobo
Beiträge: 2393
Registriert: 10.12.2008 10:51:41

Re: xz 5.6.x wurde kompromittiert

Beitrag von tobo » 07.04.2024 02:32:30

Huo hat geschrieben: ↑ zum Beitrag ↑
06.04.2024 22:46:56
Eine gute Zusammenfassung begründeter Mutmaßungen über mögliche Drahtzieher und Hintergründe des Angriffs [...]
Ergo, eine kongruente Annäherung an die Wahrheit - eine Zusammenführung der verschiedenen Deutungsstränge? Man generiert aus so was einen Sieger. Oder anders ausgedrückt: So gut, wie jede andere Vermutung...

wanne
Moderator
Beiträge: 7594
Registriert: 24.05.2010 12:39:42

Re: Microsoft-Ingenieur als Held gefeiert- Internet ist gerettet

Beitrag von wanne » 07.04.2024 07:35:30

uname hat geschrieben: ↑ zum Beitrag ↑
05.04.2024 16:05:02
Trotzdem interessant. Aber ich denke, dass große Firmen ihre Server gar nicht über Internet per SSH erreichbar haben, sondern (wie man hier sieht) auf VPN mit 2FA setzen. Oder wie hoch schätzt ihr die tatsächliche Gefahr für das Internet ein? Ok vielleicht ein Risiko für die ganzen kleinen Leute und kleinen Firmen mit VPS und root-Server.
Das ist doch nur gegen gemeine Nutzer, um sie daran zu hindern dumme Passwörter zu nutzen. Wie administriert man 2FA und VPN-Server? Am Ende ist das immer nur hokus pokus um den wahren Single Point of failure zu verstecken oder zu jemandem zu verschieben, von dem man hofft, dass er sich besser verhält. Und dürfte defakto immer ein Server mit nem SSH (vermutlich ohne Password-Authentification) sein.
Man generiert aus so was einen Sieger.
:mrgreen: Hab mich gar nicht mehr dran erinnert. Aber schon am titel erkannt: Nur Monty Python fällt so ein Quatsch ein. :THX:
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
berlinerbaer
Beiträge: 3339
Registriert: 28.04.2003 01:29:55
Wohnort: Sachsen, Krabatregion

Re: xz 5.6.x wurde kompromittiert

Beitrag von berlinerbaer » 10.04.2024 09:51:19

Ich hätte nie gedacht, dass es sowas mal gibt. Bei mir bleibt Linux trotzdem drauf und alleiniges System. Für mich riecht das alles nach Geheimdienst, egal von welchem. Als Laie bemerkt man das ja gar nicht. Nur wegen der Banküberweisungen werde ich wohl in Zukunft an den Bankterminal gehen, obwohl ich mich frage, ob der überhaupt noch sicher ist.
Gruß
vom Bären

Endlich in Rente! Nur weg aus dem Irrenhaus.

Benutzeravatar
Virya
Beiträge: 118
Registriert: 10.12.2022 13:02:31

Re: xz 5.6.x wurde kompromittiert

Beitrag von Virya » 10.04.2024 10:25:38

berlinerbaer hat geschrieben: ↑ zum Beitrag ↑
10.04.2024 09:51:19
Ich hätte nie gedacht, dass es so was mal gibt. ...
Ja, wir sind nicht mehr in den Anfangsjahren. Es wird alles komplexer, undurchschaubarer, komplizierter. Die hoch kompetenten Enthusiasten von früher werden alt. Die Feinde werden cleverer. Vielleicht gehen manche Entwicklungen auch zu schnell. Da kann sich viel unbemerkt einschleichen.

slu
Beiträge: 2237
Registriert: 23.02.2005 23:58:47

Re: xz 5.6.x wurde kompromittiert

Beitrag von slu » 10.04.2024 15:31:34

...und zusätzlich habe ich den Eindruck das die Welt sehr oberflächlich wurde.
Wenigstens man hat ein cooles SM Profil, mehr zählt heute nicht mehr. :THX:
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

tobo
Beiträge: 2393
Registriert: 10.12.2008 10:51:41

Re: xz 5.6.x wurde kompromittiert

Beitrag von tobo » 10.04.2024 16:47:18

Ich wusste gar nicht, dass das wieder so im Kommen ist...

Benutzeravatar
berlinerbaer
Beiträge: 3339
Registriert: 28.04.2003 01:29:55
Wohnort: Sachsen, Krabatregion

Re: xz 5.6.x wurde kompromittiert

Beitrag von berlinerbaer » 10.04.2024 17:38:45

Wie ist das denn jetzt mit Apple-Usern? Sind die aus allem raus? Das MacOS ist doch sowas wie ein Unix, oder?
Gruß
vom Bären

Endlich in Rente! Nur weg aus dem Irrenhaus.

Antworten