Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
Merci für diesen Beitrag, der die Situation gut und recht facettenreich mit wenig Jargon zusammenfasst. Mit folgenden Aussagen bin ich aber nicht einverstanden:
Doch das Konzept der freien Zusammenarbeit basiert auf der Annahme, dass jede Mitarbeiterin gute Absichten hat. Dass niemand den geteilten Werkzeugkasten vergiften will.
Das würde ich so nicht sagen. Das würde ja alle diese Projekte sofort ad absurdum führen. Die Idee ist mehr, dass durch die Überprüfbarkeit des Quelltextes und sorgfältiges Quelltextreview schlechter Code (ob nun absichtlich oder unbeabsichtigt) es gar nicht in die schlussendlich verteilten Versionen schafft. Im vorliegenden Fall war die Hintertür übrigens entsprechend sehr gut versteckt und gar nicht im Quelltext selber ersichtlich. xz hat nicht menschenleserliche Binärdateien in der Test-suite (Archivdateien eben), und diese waren massgeblicher Teil des Angriffs. Ausserdem war auch der Schritt vergiftet, der den Quelltext zu ausführbarem Maschinencode übersetzt.
Die Überprüfung von Code braucht aber natürlich Ressourcen, und dass gemeinnützige Arbeit oft unterbezahlt ist, ist ein allgemeines Problem im neoliberalen Wirtschaftssystem. Kostenwahrheit bringen wir nicht auf die Reihe, deswegen sollte hier, wie im Beitrag auch beschrieben, der Staat aktiv sein. (Was er auch ist, neben den im Beitrag erwähnten Institutionen gibt es auch noch z.B. die Forschung an Universitäten, die ebenfalls zur Sicherheit der quelloffenen Infrastruktur beiträgt.)
Der wirtschaftliche Aspekt ist dabei kaum relevant: Wer zu einem Open-Source-Projekt beiträgt, wird vom Maintainer in der Regel nicht bezahlt, sondern tut dies unentgeltlich.
Der wirtschaftliche Aspekt ist doch sehr wohl relevant. Beide Parteien müssen hier zumindest viel Arbeit wenn nicht auch Geld reinstecken. Ich sehe auch nicht ein, wieso logischerweise der Maintainer bezahlen sollte. Der neue Code muss ja dann vom Maintainer weitergewartet werden! Ein Hauptgrund, wieso man die eigenen Änderungen upstreamt ist, damit diese dann von der bestehenden Infrastruktur weitergetragen werden, ob man sich nun selbst weiter darum kümmert, oder nicht.
Leider verstehen die Gesetzesgeber ebenfalls nicht, wie die Wirtschaftlichkeit für Software eigentlich zu funktionieren hat. Proprietäre Software basiert z.B. darauf, die Leistung von Entwicklenden der Allgemeinheit zu entziehen, obwohl die Vervielfältigung einmal geschriebener Software so gut wie gratis ist. Absurd.
Wenn der gleiche Akteur bei einer grossen Software-Firma mit weltweiter Verbreitung angestellt ist (z.B. Adobe, Microsoft, Apple) könnte er die genau gleiche langfristige Attacke intern vornehmen. Der grosse Unterschied ist, dass bei proprietären Projekten der Quellcode nicht untersucht werden kann, und somit keine Chance besteht, dass die Aktion aufgedeckt und nachverfolgt werden kann. Und falls es intern entdeckt wird, werden die Kunden, und die Welt, nie davon erfahren.
Geschlossen/proprietär ist in dieser Hinsicht noch viel unsicherer und komplett obskur.
Natürlich gibt es Code-Reviews. Aber die sind darauf ausgerichtet, Inkompetenz und Flüchtigkeitsfehler auszusieben, nicht eine von langer Hand geplante, bewusste Täuschung durch eine Person, die sich durch jahrelange hilfreiche und tadellose Beiträge eine Vertrauensposition erarbeitet hat.
Und insofern basiert ein offener Entwicklungsprozess, der Beiträge von jederman akzeptiert, ohne die Identität und Interessenbindungen der beitragenden Person zu überprüfen, durchaus auf einem gewissen Grundvertrauen, dass, wie dieser Vorgang zeigt, missbraucht werden kann.
Natürlich würde man hoffen, dass besonders exponierte Teams Beiträge besonders sorgfältig prüfen. Aber das schützt einen nicht davor, dass Dritte die überprüfte Software um eine nützliche Funktion ergänzen, und dazu ein Bauteil verwenden, dessen Hersteller nicht vom diesem besonders exponierten Einsatz weiss und deshalb dafür keine besonderen Vorsichtsmassnahmen ergriff.
Mehr davon! Der Beitrag macht das abstrakte Thema und Hintergründe greifbar. (Ich bin dankbar dass es von einem Menschen geschrieben ist.)
Sollte es wirklich ein Staat mit gezielten Absichten sein wird er sich nicht mit einer einzigen Sicherheitslücke begnügen. Da kann man nur hoffen, dass die restlichen auch frühzeitig gefunden werden..
"frühzeitig" würde ich das nicht nennen. Um im Bild zu bleiben: Die sabotierte Einspritzpumpe war bei den ersten Automarken (die zum Glück eher Nischenmärkte bedienen) schon serienmässig eingebaut und ausgeliefert, und auch bei den etablierten Automarken waren die Fabriken schon am laufen, und die hergestellten Fahrzeuge schon für die Auslieferung verpackt, als ein Automobilenthusiast bei einer Vorab-Version des neuen Modells eine subtile, merkwürdige Veränderung des Fahrgefühls feststellte, aus Neugier sein Auto auseinandernahm um die Ursache zu finden, dabei die sabotierte Einspritzpumpe fand und dies postwendend den Sicherheitsbeauftragten der Automobilhersteller mitteilte, worauf die die Auslieferung gerade noch stoppen konnten.
Wir hatten unglaubliches Glück, dass diese Sabotage aufgeflogen ist, bevor Millionen von IT-Systemen der Willkür der Angreifers ausgeliefert wurden.
Reichlich spät berichtet die Republik über diese Geschichte (die NZZ etwa war 3 Wochen früher). Dafür recherchierte Basil Schöni ausserordentlich sorgfältig und erklärt mit bewundernswerter Gewandtheit die grösseren Zusammenhänge. Dass zum Schluss auf Deutschlands Sovereign Tech Fund verwiesen wird, freut mich besonders.
Gratulation an den Autorn und alle Beteiligten für den gelungenen Text!
Sehr interessanter Bericht ais dem Maschinenraum!
Wir stehen im Dunkeln auf einer Betonplatte (die vielleicht im Meer treibt).
Als ich 2017 darauf hingewiesen habe, dass die Schweiz Kompetenzen im Verstehen der gesamten Lieferkette erarbeiten muss, gab es im einem Raum mit Hunderten Teilnehmern nur ungläubiges Raunen.
Langsam sollten wir klüger werden. Dieser Artikel hilft dabei!
Ich bin eine computer - technisch total ignorante Internet-Benutzerin. 2. mir fällt auf : bis jetzt, 08.30h haben hier nur Männer mitgeredet ! 3. Schade, dass so oft ein gut gemeintes Gemeinschaftsprojekt für Böses, für Macht und Kontrolle - durch eine Hintertür - ausgenutzt und damit das Wohl-Gemeinte zerstört wird — DANKE FÜR DIESEN VERSTÄNDLICH GESCHRIEBENEN ARTIKEL. …. FÜR "LAIEN" einfach GESCHRIEBEN!! man glaubt, eine Vorstellung davon zu erhalten….
Das freut mich, Frau O., dass es nicht nur für Techies verständlich ist, war genau das Ziel :-)
Freude herrscht also rundum — online und offline— Sie haben bei mir viel Interesse geweckt. Dass wir abgeschweift sind auch auf andere THeman , finde ich jeweils nicht so schlimm…. Irgendwie gehören all die Themen auch zusammen, wenn auch nicht im ganz perfekten Sinn. …. VOsterwalder-
Welche Schlüsse ziehen Sie aus Ihrer geschlechtsspezifischen Beobachtung?
Konzentriert sich die männliche Freiwilligenarbeit mehr aufs Technische als auf die Betreuung von dementen Angehörigen, weil das dem männlichen Naturell insgesamt mehr entspricht, was sich auch in den Kommentaren zeigt?
Re: Männer dominieren Tech - das tut vielen von uns sehr leid. Es gibt signifikante Teile verschiedener Internet-Kulturen, welche ziemlich ruppige Umgangsformen haben; dies schreckt viele Leute die sich möglicherweise für IT begeistern könnten ab.
@Lukas - Sorry, ich glaube nicht an ein geschlechtliches Naturell, welches technologisches Interesse bewirken könnte. Vielleicht gibt es ja neurologische Evidenz, dass das Biogeschlecht mit gewissen Hirnfunktionen zusammenhängt, aber ich lese die Evidenz so, dass die Unterschiede durch unsere Sozialisierung entstehen.
@Elvira - Ich glaube nicht, dass es problematisch, solange diese weitergegebenen Glaubenssätze als solche markiert sind. Ich habe in den Diskussionen um diesen Angriff viele glaubwürdige Argumente gelesen, dass es sich um eine gut finanzierte Organisation handelt. Dass dies auch ein privater Akteur sein könnte ist möglich, aber die Kosten für eine solche Entwicklung sind wirklich horrend.
Danke! DIE Unterschiede — nein. Ein grosser Teil der Geschlechtsunterschiede ist genetisch angelegt (nature), ein anderer grosser Teil entwickelt sich später aus den Anlagen, und sogar diesen teilweise entgegengesetzt, erst nach der Geburt (nurture), entsprechend den Umständen der Sozialisierung. Habe dazu an der Uni Zürich vertieft studiert, gerne gebe ich Literaturhinweise.
Faszinierend auch, dass bei Experimenten mit sehr jungen Mädchen im statistischen Mittel mehr soziale Orientierung festgestellt wurde, bei den Bübchen hingegen mehr Leidenschaft auch für unbelebte Materie, Funktionslust an Bällen, Maschinen etc. Auch wieder nur im statistischen Mittel. Wenn das Geschlecht nicht beckmesserisch klar und eindeutig polar zu definieren ist, darf man folgerichtig auch mehr Variation und eine grössere Bandbreite in solchen Vorlieben erwarten. Ein weites Feld, auf dem ich mich fünf Jahre lang bewegte, und das noch immer mein Hobby ist.
Als kritische, von vertieften IT-Kenntnissen nicht angekränkelte Leserin und ausgebildete Journalistin hege ich eine kleine Unzufriedenheit mit dem zwar interessanten Bericht. Denn ich suche nach einer Denkart, wie man einen solchen Text für Menschen wie Sie und mich überzeugender redigieren könnte. Vielleicht, dass man Glaubenssätze nicht unkritisch weiter geben sollte. Ein Staat stecke mit hoher Wahrscheinlichkeit dahinter — das ist ein Glaubenssatz. Wer aus einem Raum berichtet, zu dem nur wenige Eingeweihte Zugang haben, (wobei solche Räume Assange zufolge in der Vergangenheit expandierten und noch immer mehr werden,) muss Sachlichkeit, Glaubwürdigkeit und Verantwortung hoch gewichten. Unsere hochtechnisierte zerstrittene und beschädigte Welt steht kurz vor dem Aus. Gesätes und proliferiertes Misstrauen trägt nicht zur Schlichtung und Entschärfung bei. Unser Ziel muss eine friedliche Welt sein. Ein friedliches Internet braucht Visionäre, die genau daran arbeiten, keinen Klatsch à la 20 Minuten, oder solchen nicht mal in subtilen Anklängen. Und, what‘s more: eine Gesellschaft, die den Kriegen den Boden entzieht, realistischerweise zuerst im eigenen Land.
Spannend... eine Frage: weiss man, um wie viel langsamer XZ mit dem Hack wurde? Geschwindigkeit scheint mir bei dem Tool ja essenziell (?)
Also, das kannst du so nicht sagen. Das Problem war, dass der verschleierte Code zusätzliche CPU-Ressourcen verwendet. Entsprechend kommt es auf das System an. Aber Andres schreibt hier über seine Tests:
Observing Impact on openssh server:
before: real: 0m0.299s
after: real: 0m0.807s
(https://www.openwall.com/lists/oss-…24/03/29/4)
Ich habe grosse Hochachtung vor der Achtsamkeit von Andres Freund, der einen Laufzeitunterschied in einem alltäglichen Ablauf von einer halben Sekunde bemerkt hat und dessen Ursache hartnäckig nachgegangen ist! Was mich in diesem Zusammenhang vor allem beunruhigt, ist die Dunkelziffer: die bisher unentdeckten Hintertüren!
Was D. M. schreibt! Andres Freund stellte einen höheren CPU-Bedarf fest und untersuchte erst anschliessend die genaue Laufzeit, die dann substanziell höher ausfiel als normal. Im Artikel fiel da einige Differenzierung der leider nötigen Vereinfachung zum Opfer.
https://twitter.com/AndresFreundTec…3776866374
Ob es früher oder später aufgefallen wäre: Gute Frage. Andres Freund arbeitete jedenfalls auf einem gezielt 'ruhiggestellten' System, das trug dazu bei, dass ihm der erhöhte CPU-Verbrauch auffiel.
https://twitter.com/AndresFreundTec…1801863312
Der Kommentar von S. A. weiter unten in diesem Thread ist ausserdem auch relevant. Es kann sein, dass der Akteur hinter der Backdoor plötzlich Stress bekam, weil andere Modifikationen die Backdoor (unbeabsichtigt) vielleicht unschädlich gemacht hätten.
Der relevante XKCD-Comic darf nicht vergessen werden! Leider kann man keine Bilder einbinden, aber als graphische Zusammenfassung auch für Laien sehr geeignet!
Hihi ja dieses XKCD ist natürlich sehr relevant. Ich hatte Randall Munroe auf Twitter kürzlich gefragt, ob er Zugriffszahlen für dieses Comic hat. Denke das ging seit Karfreitag ziemlich ab. Aber er hat meinen Tweet wohl leider nicht gesehen
Danke für die geduldige Darstellung für Dummys. Habe alles kapiert.
Wer inforniert unseren Staat ? Das kann ja nicht einzig für uns Republikabonenten sein.
Organisationen wie die "Digitale Gesellschaft" oder "CH++" setzen sich für diese Art Kompetenzen in der Politik ein. Dann können indirekt wir die Politik durch unser Wahlverhalten beeinflussen. Bei der letzten NR-/SR-Wahl versuchte CH++ die IT-Kompetenz der Kandidierenden zu zeigen. Zwar heisst IT-Kompetenz noch lange nicht, eine Open-Source-Philosophie zu unterstützen. Aber es ist ein Anfang.
Guter Artikel.
Bezüglich der Finanzierung können auch kleinere Firmen helfen.
Ich habe meinen Arbeitgeber etwa überzeugt jährlich 5000.- an Open-Source Software zu spenden.
Wenn jede Firma welche OSS nutzt dies tut haben wir schon relativ viel Geld zusammen.
Denke es braucht aber immer noch eine staatliche Stelle welche die uninteressanten Projekte wie etwa xz unterstützt weil die hat man oft nicht auf dem Radar.
Toller Artikel! Ich kannte die Geschichte schon, war aber unterhaltsam geschrieben.
An einigen Stellen hätte der Autor aber die Wichtigkeit von Linux durchaus noch weiter herausstellen können:
[...] Linux, das man mit nur leichter Übertreibung als das Betriebssystem des Internets bezeichnen könnte
Es ist keine Übertreibung: Linux ist das Betriebssystem des Internets! Es gibt kaum einen Router, einen Server oder eine andere an das Internet angesteckte Applicance, die nicht auf einem Linux Kernel beruht. Win/Apple PCs sind hier die Ausnahme, nicht die Regel! Amazon, Facebook, Google, alle lassen Server mit Linux in Ihren Systemen laufen: Cloud? basiert auf Linux (sogar Microsofts Azure!).
Ausserdem: die Milliarden Smartphones mit Android haben auch einen Linux-Kern.
Der Supercompter des CSCS in Lugano läuft auch mit Linux, wie praktisch alle High Performance Computing Systeme. Es ist der Standard im wissenschaftlichen Rechnen. Wenn man etwas technisches Verständnis, Flexibilität und Lernfähigkeit besitzt, eignet es sich auch als Desktopsystem, besonders für ältere Rechner die man sonst ersetzen müsste. Hier gibt es tatsächlich noch etwas komplett gratis!
Der xz Vorfall ist schon bemerkenswert und gibt einen Vorgeschmack von Cyberkrieg. Ich hoffe das Militär schaut sich das genau an. Bei mir dreht da die Fantasie komplett durch: ein roter Knopf in Moskau/Peking/Washington und alle Windows/Apple/Linux Rechner gehen bei uns aus? Die Zerstörung wäre gewiss unvorstellbar gewaltig.
Hier gibt es tatsächlich noch etwas komplett gratis!
Allerdings. Mein über 10 Jahre alter Laptop läuft mit Ubuntu seit die Windows 7 nicht mehr aktualisiert wird. Gratis und erst noch sicherer als zuvor. Als Laie "bezahlt" man dafür zwar mit Zeit, um Installation und Umgang damit zu lernen. Aber wenb es einen auch etwas interessiert, lohnt es sich!
Ein grosses Lob an diese klare, verständliche Aufarbeitung eines sehr komplexen Themas. Ich kannte zwar die Thematik, jedoch nicht so in die Tiefe. Chapeau!
Auch von meiner Seite eingrosses Lob an den sehr gut geschriebenen Artikel!
Vielen Dank für den gut geschriebenen Artikel, zusammen mit den notwendigen Ergänzungen von G./Lüthi. Hier auch noch der Vollständigkeit halber:
Der Verdienst von Linus Torvalds als Erfinder und Entwickler des Linux-Kernels (die zentrale Systemdatei) liegt vor allem darin, sich mit Richard Stallman <edit 24.4> verbündet [befasst] zu haben (siehe Antwort L.)</edit>, dem Entwickler des GNU-Projekts. Das sind viele wesentliche Programme, die zusammen mit dem Linux Kernel das Betriebsystem und viele Anwendungen dafür bilden. Wesentlich für den Erfolg ist die freie GNU-Lizenz (GPL), welche es erlaubt alles mögliche mit der Software zu tun ausser diese Lizenz zu entfernen (sog. Copyleft). Der Wikipedia-Artikel zu Linux liefert eine gute Beschreibung.
"sich mit Richard Stallman verbündet zu haben" beschreibt es nicht richtig. Linus Torvalds wählte die GNU Lizenz GPL-v2, die von Richard Stallmann entwickelt wurde. Aber er ist aber viel pragmatischer als Stallmann.
Das GNU Projekt ist, neben der phantastischen Software die ich jeden Tag brauche (Compiler, Emacs, GLIBC), auch ein politisches Projekt, und die GPL eine Art technologisches revolutionäres Manifest. Es lohnt sich, die Philosophie-Seiten bei gnu.org zu lesen. Auch wenn man nicht der gleichen Meinung ist, es erweitert den Horizont ungemein, zu lesen, wie man auch heute die Produktionsmittel der Allgemeinheit zur Verfügung stellen sollte.
Und auch wirtschaftlich ist die GPL-Lizenzierte Software wichtig: Google, Amazon, Facebook etc konnten nur entstehen, weil die Grundlagen (Produktionsmittel) vollständig frei und unentgeltlich zur Verfügung standen. Die GPL ist die Grundlage dafür, dass man mit Konkurrenten zusammen die Grund-Technologie entwickeln kann, auch wenn man einander nicht traut und in harter Konkurrenz steht. Ein Meisterwerk.
Noch eine Ergänzung zur Entwicklung von Linux: Viele Entwickler werden sind von Firmen für Ihren Beitrag zu Linux bezahlt. Gemäss LWN sind das Intel (10%), Google (7%), AMD, Huawei und sehr viel mehr bekannte und unbekannte Firmen. Und auch viele Hobby-Entwickler, wobei "Hobby" nur die Zeit umschreibt, nicht die Qualität und das technische Wissen. Bei vielen anderen wichtigen Open-Source-Projekten sind auch eine oder mehrere Firmen kommerziell beteiligt, oder gemeinnützige Stiftungen. Andere Entwickler wiederum finanzieren sich durch Crowd-Funding, wieder andere, wie Lasse Colin, machen das einfach aus Interesse und Spass.
Danke insbesondere für den letzten Abschnitt. Vor 3 oder 4 Jahren war ich an einem Vortrag eines CTO eines grossen, schweizer Unternehmens, der 1 Stunde lang über die Opens Source Strategie seines Unternehmens referierte. Auf die Frage aus dem Publikum, was das Unternehmen der Open Source Community zurückgibt, kam die lapidare Antwort: “Wir haben keine Zeit dafür. Müssen Funktionen für unsere Kundschaft bauen.“ - Bitte, liebe Unternehmen, schafft Zeit und Ressourcen, um einen aktiven Beitrag zu leisten!
Genau das! Unternehmen nutzen die freigiebige Lizenzen aus, was deren gutes Recht ist, da es die Lizenz erlaubt. Moralisch fragwürdig, aber legal.
Wo man aber eine Grenze ziehen sollte (Hallo Gesetzgeber!):
Wenn Unternehmen OpenSource benutzen, um ihre Produkte mit erhöhtem Gewinn zu produzieren und dann noch nicht einmal die Software Komponenten einem Qualitätstest unterziehen: Wenn jede Firma Audits der Softwarekomponenten machen würden, wäre vielen geholfen!
Genau gesagt ist das grob fahrlässig und es ist nur legal, weil die Softwareindustrie seit Jahrzehnten ein Haftungsgebot kategorisch ablehnt und behauptet Software wäre prinzipiell unsicher(was nicht stimmt).
PS zu Herrn R.: Ich bin sehr fasziniert von diesem Artikel und lese ihn mit grossem Interesse. Zufällig gibt es in meiner Umgebung viele Mathematiker und IT Ingenieure (bis hin zu den Enkeln ) .. also berührt mich das Thema fast persönlich....
Hier gibt es noch ein etwas mehr auf Technik fokussierten Bereicht zu dem Thema, die aufzeigt, was da wirklich gemacht wurde:
https://dnip.ch/2024/04/02/xz-open-…lt-retten/
Hab auch die ganze Zeit an diesen Artikel gedacht 🤓
Super, dieser Artikel. Ich bin sehr dankbar diese komplexen Zusammenhänge so gut dargestellt zu bekommen. Zum ersten Mal verstehe ich wie wichtig Linux wirklich ist. Bisher war mein Bild von Linux das der typischen Nerds im Keller von Mama von raumfüllender Elektronik um einen Lazy Boy gruppiert, umringt von 200 leeren Pizzaschachteln und leeren 2Liter Cola Zero Flaschen.
Dass sich global verschiedene Unternehmen an dieser Werkzeugkiste bedienen dürfen ist ein sehr schöner Gedanke.
Der Hacker hat nicht nur einen Anschlag auf eine Software geplant; er/sie versucht einen ganzen Lebensstil, eine ganze Idee kaputt machen. Ich hoffe das ist nicht gelungen.
Vielen Dank.
Ich will hier noch darauf hinweisen das dieses Bild wohl als Negativstereotyp da sein soll, aber ich finde das ist es absolut nicht!
Viele Leute leben aus finanziellen Gründen noch/wieder mit ihren Eltern https://www.npr.org/2022/12/11/1139…ng-parents
Und einen Hobbykeller ist doch was tolles.
Das sind in Filmen meine Lieblingsfiguren - die Nerds, die Tech-Freaks, die offensichtlich Neurodivergenten. Zum Beispiel der Typ, den Bruce Willis unter dem Vorwand aufsucht, um ihm den Boba Fett abzukaufen. Es mag ein Negativbild sein, aber als Archetypus ist der Computer-Nerd im Keller grossartig. Als ich jung war, gab es das schlichtweg nicht.
Ja, ist so: ohne Linux kein Internet mehr, keine Cloud mehr. Linux wird einfach nicht als solches erkannt: siehe auch https://en.m.wikipedia.org/wiki/Usa…ng_systems
Supply chain attacks sind sehr gefährlich, da das Schadensausmass (Anzahl betroffene Geräte) schnell sehr gross sein kann.
Merci für die Aufarbeitung! Genial auch, wie hier im Dialog auf weitere interessante, weiterführende Beiträge aufmerksam gemacht wird.
Wir können nur hoffen, dass weiterhin gute Menschen genau bzw. aufmerksam arbeiten und solchen Hintertüren auf die Schliche kommen.
(Da bereue ich einmal mehr, nicht Informatik studiert zu haben.)
Ein Detail:
Ich verstehe wieso aufgrund von Vereinfachung das so geschrieben wurde. Aber es ist nicht ganz richtig und es ist wichtig dies hervorzuheben, dass nicht ein falscher Eindruck von Sicherheit in proprietären Software entsteht:
Aber nur wer Zugriff auf den Code hat, kann verstehen, wie eine Software im Detail funktioniert, und sie verändern und weiterentwickeln.
Das kann suggerieren, dass diese Hintertür nur entwickelt werden konnte, weil durch die Offenheit das Verständnis da war.
Es gibt aber ein ganzes Feld das sich mit dem "Herausfinden wie das funktioniert ohne Code kennen" beschäftigt, das reverse Engineering. Damit kann man coole Sachen machen wie Züge wieder zum Laufen kriegen https://arstechnica.com/tech-policy…kers-find/ oder eben auch Sichrheitslücken finden.
Zum Artikel der Züge hier sonst noch der Vortrag der Hacker selbst dazu.
Hat durchaus auch Unterhaltungswert. https://media.ccc.de/v/37c3-12142-b…ish_trains
Ha, die Geschichte mit den Zügen ist glatt an mir vorbei! Das ist ja heftig auf so vielen Ebenen...
Danke vielmals für den Link!
Bitte! Unbedingt auch das Video dazu schauen, der Vortrag ist mega unterhaltsam (und nicht so technisch wie man vielleicht zuerst fürchtet, auch wenn es dann technisch wird)
… und denkt daran, vielleicht steht ja ein Gerät mit dieser Hintertür bei euch zu Hause.
… und weil ihr von unterwegs euren Kühlschrank erreichen wollt, oder die Heizung (?), sind die dazu notwendigen Ports auf dem Router geöffnet… an die alte, zuverlässige NAS habt ihr vielleicht nicht gedacht, die Fernwartung und xz…
Ich halte es für eher unwahrscheinlich, dass ein angreifbares Gerät in einem IoT-Device bei jemandem zuhause steht. Die infizierte Version schaffte es noch nicht in die stabilen Linux-Distributionen, und erst Recht nicht in die mit Long Term Support. Das Zeitfenster war zudem ziemlich eng: Ein Hersteller hätte genau im falschen Moment eine unstable-Version auf dem fraglichen Gerät installieren müssen. Zu früh oder zu spät und die infizierte xz-Version wäre nicht dabei gewesen.
Nur so als Beispiel aus einer Mail eines Herstellers der seine Kunden aktiv informiert und instruiert…
Vulnerability in XZ Utils
Security ID: QSA-24-19
Release date: April 2, 2024
CVE identifier: CVE-2024-3094
Severity: None
Status: Not Affected
Affected products: N/A
Summary
A critical security vulnerability has been discovered in XZ Utils versions 5.6.0 and 5.6.1. This vulnerability allows unauthorized remote access to systems via a backdoor embedded in the liblzma library. If exploited, users are at risk of unauthorized remote access to their systems.
QTS, QuTS hero, and QuTScloud are not affected.
Recommendation
To verify if your system is affected by the vulnerability, you can run the following command in SSH with administrator privileges:
xz --versionIf the listed version is not 5.6.0 or 5.6.1, your system is secure.:
@ B. Schöni: Sie halten es eher …
Ich habe bewusst NAS und Heizung geschrieben, und es sind meist Dinge die Man(n) nicht vermutet die dann offen stehen…
Was man in diesem Zusammenhang auch nicht vergessen sollte:
"Unsere" Polizei und "unsere" Geheimdienste arbeiten auch aktiv daran, solche Sicherheitslücken in Closed- und OpenSource Projekten zu etablieren:
Dazu gehören Strategien wie
Abhörmechanismen in Softwareplattformen zu fordern
unsichere Algorithmen als Standards zu propagieren
Exploits zu erwerben (und anzuwenden)
Zugriff auf digitale Endgeräte zu erzwingen
[...]
Danke sehr für diesen Artikel! Er regt mich zu weitergehenden Fragen an:
▶︎ Was mach ich, wenn das Internet plötzlich nicht mehr funktioniert?
▶︎ Hab ich offline Zugang zu meinen Daten? Sichere ich sie regelmässig auf eine externe Harddisk?
▶︎ Hab ich Bargeld im Haus?
▶︎ Hab ich unabhängig vom Internet Zugriff zu Telefonnummern und Adressen von Personen und Stellen, die für mich wichtig sind?
▶︎ Hab ich ein zweites Gerät in Reserve, das schon länger nicht mehr mit dem Internet verbunden war, um Daten offline einzulesen, falls ich der Unversehrtheit meines üblicherweise verwendeten Geräts nicht mehr traue.
Oder, existenzieller gefragt, in Anlehnung an die «Revolutionären Briefe» der anarchistischen Beatnik-Poetin Diana di Prima [1]:
Hast du deine Dinge bereit, wenn du abhauen musst?
Und weisst du, wohin?
[1] Revolutionary Letter #18: https://theanarchistlibrary.org/mir…etters.pdf
Über Diana: https://jacobin.com/2022/06/diane-d…try-review
Ja, wir sind viel weniger autark als eine Bauernfamilie vor 80 Jahren. Und solche Gedanken mache ich mir auch.
In der Telekommunikation vor dem Internet war noch eine Ausfallsicherheit von „five nines“ üblich, also dass Dienste 99,999 Prozent des Jahres verfügbar sein mussten. Sie durften also höchstens 5 Minuten pro Jahr ausfallen.
Mit unserer Abhängigkeit von Internet, Cloud, Software & Co. sollten wir eine solche Robustheit heute wieder anstreben.
Übrigens: Wer sich selbst praktisch und dezentral gegen einen Datenverlust wappnen will, kann beispielsweise 2-3 USB-Platten (oder SSDs) kaufen und zusätzlich Backups darauf fahren. Nicht immer alle gleichzeitig am Rechner angehängt und eine davon bei Frenden oder Familie gelagert.
Auch die (digitale) Telefonie-Infrastruktur war nicht gegen Backdoors gefeit (siehe das Beispiel aus 2004, wo Ericsson-Software für Mobilfunkprovider mutmasslich durch einen Drittstaat zu Spionagezwecken "nachgerüstet" wurde). Oder auch die Schwächen des dafür verwendeten SS7-Protokolls. Ein (grosser?) Teil der legendären Robustheit des Telefonnetzwerks geht auf die sehr eingeschränkte Funktionalität und die wenigen beteiligten Telefonieanbieter zurück.
Ganz viele Personen arbeiten auch heute jeden Tag daran, dass das Internet, Cloud- und andere Server, aber auch die Applikationen und Daten darüber möglichst gut geschützt und gesichert werden, auch gegen viele Katastrophenszenarien. Das Bewusstsein und der Willen ist auf dieser Seite 100% da.
Aber es gibt auch den Druck von Management und Kunden nach immer neuen Features und mehr Integration von Drittprodukten, die dem entgegenstehen. Plus der wirtschaftliche Druck (Markt, Aktionäre, Besitzer, …).
Diese Vorbereitungen auf das weiterleben von Firmen und Gesellschaft bei einem digitalen Zwischenfall wird noch zu wenig breit unterstützt oder wertgeschätzt.
Prepper?
Zu deinen Punkten:
warten bis es wieder tut (Kerze, feinen Wein oder Tee trinken etc)
was willst du jetzt plötzlich mit deinen Daten?
Bargeld ist immer gut - auch ohne Ausfall - es hinterlässt wenig Spuren für die Tracker
wen willst du jetzt anrufen? telefonieren geht nicht mehr und auch die Stromversorgung dürfte ausfallen
CB oder Kurzwelle - hast du das mal gelernt und immer geübt?
Warum müsste man solche Fragen anonym stellen, und warum sollte ich darauf antworten?
Ich kann mich den positiven Voten nur anschliessen: Sehr gut und bildlich erklärt - vielen Dank. Open Source und seine Auswirkungen (positiv und negativ) sind dermassen wichtig in dieser rasanten Phase der Digitalisierung, dass es gerade auch für Laien viel besser verständlich sein muss. Das gilt besonders für die (Mit)Entscheider in IT Fragen in den Unternehmen und Behörden. Sie treffen oft weitreichende Entscheidungen, ohne wirklich viel Ahnung zu haben, was abgeht hinter den Kulissen.
Was bei der ganzen Diskussion imho vergessen geht: Ein SSH-Zugang gehört niemals ungeschützt ins Internet. Backdoor ist nur eine mögliche Angriffsfläche, genausogut kann es auch nicht bös gemeinte Sicherheitslöcher in zahlreichen weiteren Libraries haben. Jede Firma oder jeder Staat, der seine Infrastruktur via SSH ohne Firewall mit zusätzlichem Schutz, wie VPN, etc. öffentlich zugänglich macht, handelt höchst grobfahrlässig. Dort müsste man ansetzen. Mit einem richtigen Sicherheitskonzept sind solche „Softwareausrutscher“ kein ernsthaftes Problem.
"Dort müsste man ansetzen" macht es etwas zu einfach. IT-Sicherheit besteht nicht nur aus einer Massnahme. Das klingt für mich so, als wäre es mit Perimeterschutz getan. Das ist zwar sehr wichtig, aber nur eine von vielen Massnahmen. Eine ist auch, alles dafür zu tun, schon gar keine löchrige Komponenten im Netz zu haben. Es geht nicht nur drum, den einen Angriffsvektor zu unterbinden. Sondern möglichst viele Vektoren. Und dann auch, um Bewegungen nach einem allenfalls erfolgreichen Angriff zu unterbinden.
Genau das meinete ich auch: Nicht nur eine Massnahme. Löcher oder gar Backdoors in OpenSource-Software werden früher oder später gestopft. Mit einem richtigen Sicherheitskonzept macht einem sowas noch keine schlaflosen Nächte, weil man von Anfang an davon ausgeht, dass die Software (hier SSH) ein Problem hat. Wenn es dann tatsächlich mal ein Problem hat, ist dann eben kein Problem mehr, weil der Schutz nicht allein von der Software abhängt. Natürlich wollen wir auch keine Backdoors und Löcher in der Software, aber das klappt ja an sich ganz gut bei OpenSource, wie wir ja gerade hier gesehen haben. Und natürlich wird sich das in Zukunft noch verbessern, wie auch solche Angriffe in Zukunft mehr werden, Tom & Jerry eben.
Also ich find das schwierig - klar, mehr Hürden sind besser aber die Idee von einem trustworthy "Intranet" sind auch nicht State of the Art.
https://en.m.wikipedia.org/wiki/Zer…rity_model
Und "Cisco vulnerability" ist ja schon fast ein Pleonasmus.
Dann infiziert halt einen Rechner, der Zugriff auf den Server hat.
Klar ist es nicht einfach aber wenn SSH schon “offen” ist hat man eine Hürde weniger.
Genau. Und auch dann wäre es immer noch eine wertvolle Lücke, sobald man Zugang zu irgendeinem System in einem Firmen-Intranet hat.
Übrigens hätte ein solcher Supply-Chain-Angriff durchaus auch auf VPN-Software erfolgen können. Oder eine Webserversoftware. Irgendetwas muss im Internet stehen, ausser wir kastrieren es völlig.
"Ein ähnliches Projekt könnte auch die offizielle Schweiz ins Leben rufen oder unterstützen."
Wurde bei der "offiziellen Schweiz" dazu detaillierter nachgefragt? Schliesslich könnte die Schweiz ihre Verantwortung wahrnehmen und einen grossen Teil beitragen, anstatt hunderte Millionen an ausländlische Cloud Anbieter zu senden.
Lieber Basil, danke für diesen sehr gut verständlichen und anschaulichen Artikel über eine Welt, die ich nur am Rande kenne.
Man mag davon ausgehen, dass es ein staatlicher Angreifer war, aber leider ist dies nicht gesichert.
Für diese Art von Attacke braucht man nur etwas Spezialwissen über die verwendete Software und ein paar Sockpuppets (Accounts).
Beides kann man sich aneignen/erstellen...
Da es sich ja um ein Projekt handelt, was auf Freiwilligkeit beruht, ist logischerweise auch keine Vollzeitstelle notwendig, sondern hier und da mal ein Abend.
Alles begann vor ungefähr zweieinhalb Jahren mit einem ersten harmlosen Patch an die XZ-Devel Mailing-Liste. Jia Tan schrieb insgesamt 31 E-Mail an diese Liste. Jeder mittlere Projektmanager hätte das Pensum in ein bis spätestens zwei Wochen zusammen...
Die Fähigkeit sich über mehrere Jahre auf ein Ziel zu konzentrieren, hängt auch nur vom persönlichen Willen ab, dafür braucht man auch nicht mehr Ehrgeiz, als für einen Marathonlauf.
Zur Entwicklung der Hintertür reichen "ein paar Abende" definitiv nicht. Das Teil ist extrem raffiniert versteckt und sogar verschlüsselt. Die Manipulation des Buildsystems, welche die Test-Files aufdröselt, entschlüsselt, und dann das Backdoor einbaut, ist auch nicht im Git-Repo sondern wurde nur in die Release-Downloads eingebaut. Das Backdoor selber ist genial, indem es dem Angreifer nicht einfach eine SSH-Verbindung aufmacht, was auffallen könnte. Die Befehle werden stattdessen im Zetifikatsaustausch versteckt. Alles in allem sind das mehrere Jahre Entwicklungsaufwand.
Die Art, wie das aufgezogen wurde, ist in Geheimdienstkreisen üblich und die potentielle Nutzung einer solchen Lücke auch.
Ausserdem gab es keine Verhaftungen bis dato, man war also nicht vorbereitet auf ein leak vor der Ausbreitung. Sonst hätte man es zwei Tage jemandem angehängt, um abzulenken.
Um so wichtiger ist es, Aenderungen an kritischen Programmen und deren verwendeten Libraries durch mehrere Peer Reviews zu validieren. Ausserdem sollte man nach weiteren Lücken in diesem Umfeld suchen, dass nur eine eingebaut wurde, ist unwahrscheinlich.
Die Frage ist: was ist ein kritisches Programm?
Das es jemand hinbekommt, eine eher unkritische Bibliothek für die Kompression von Daten so umzubauen, dass diese aktiv den Prozess für Remote-Login infiltriert und verschlüsselt Befehle entgegen nimmt, ist schon extrem komplex. So betrachtet ist jede Bibliothek, die in irgendwelchen Prozessen in entsprechender Menge (siehe Log4j!) zum Einsatz kommt, kritisch.
Schade, sind solche genialen Köpfe eher im kriminellen Umfeld unterwegs und bringen sich nicht positiv in die Gemeinschaft ein.
Wir sehen ja konkret nur die Spitze des Eisbergs: Als "Jia Tan" Kontakt mit dem XZ-Maintainer aufnahm, war ersterem die Abhängigkeit zwischen XZ und dem Build-Prozess von ssh bereits bekannt und es ging primär darum, diese auf eine glaubwürdige und unauffällige Art auszunutzen.
Offen bleibt, wie "Jia Tan" diese Abhängigkeit entdeckte. Handelt es sich um einen neugierigen Hacker, der aus Interesse die Build-Prozesse analysierte, dabei die Abhängigkeit erkannte und es sich zum sportlichen Hobby machte, diese "for the lols" auszunutzen? Oder steht eine grosse (staatliche) Organisation dahinter, welche kritische Open Source-Komponenten wie ssh systematisch auf Schwächen untersuchte, dabei die XZ-ssh-Verbindung entdeckte und diese dann systematisch angriff?
IMHO sind 2.5-3 Jahre für einen neugierigen Hacker eine lange Zeit, und auch die operative Hektik, die Lücke vor dem Rebuild der grossen Linux-Distributionen zu platzieren, deutet eher auf eine Organisation hin. Aber Vermutungen sind natürlich keine Beweise.
Es gibt bereits Analysen (https://rheaeve.substack.com/p/xz-b…-times-and) welche mit Zeitstempeln den Akteur etwas eingrenzen.
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz