ubuntuusers.de

Wenn Du das Thema nicht für ein konkretes Ubuntu System, sondern für alles diskutieren willst, bist Du hier im falschen Forum. Ich verschiebe das mal …

Sicherheit kann man nicht isoliert betrachten, sondern nur zusammen. Es wäre so, als würde man eine Tresortür in einen Bretterverschlag einbauen.

"Das Ganze ist mehr als die Summe seiner Teile." - Aristoteles verkürztes Zitat aus Metaphysik VII 17, 1041b

Oder

Eine Kette ist nur so stark wie ihr schwächstes Glied.

kB schrieb:

Hier ist die aktuelle Version als 5.6.1+really5.4.5-1 benannt; was vermuten lässt, dass man hier als Sofortmaßnahme bereits einen Gang zurückgeschaltet hat.

Da brauchst du nicht vermuten. 😉

http://changelogs.ubuntu.com/changelogs/pool/main/x/xz-utils/xz-utils_5.6.1+really5.4.5-1/changelog

xz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical

  * Non-maintainer upload by the Security Team.
  * Revert back to the 5.4.5-0.2 version 

 -- Salvatore Bonaccorso <carnil@debian.org>  Thu, 28 Mar 2024 15:59:38 +0100

Das hier angewendete Verfahren dürfte wohl als "Supply Chain-Angriff" betrachte werden.

Einen Überblick kann man sich hier verschaffen.

Angriffsvektor https://norbert-pohlmann.com/glossar-cyber-sicherheit/angriffsvektor/#Angriff_mithilfe_eines_Software-Updates_Supply_Chain-Angriff

Ein wildes Wochenende. Großen Dank an die Sicherheitsforscher, die diese Backdoor so frühzeitig gefunden haben.

Trotz der schlechten Nachrichten fand ich dieses Comic sehr erheiternd: https://funnyjunk.com/Subordinate+stoked+irresponsible/lbktRyo/

san04 schrieb:

Ein wildes Wochenende. Großen Dank an die Sicherheitsforscher, die diese Backdoor so frühzeitig gefunden haben.

Es war ein Einzelner, keine Gruppe, und es war kein Sicherheitsforscher, Andres Freund, ein (ausgerechnet) MS-Angestellter (lt. seiner Mastodon Selbstvorstellung "Long time postgres developer, working at Microsoft." - also womöglich doch FOSS-verbunden), der durch Performanceprobleme auf die Hintertür aufmerksam wurde.

Nachtrag: Ich schätze der nächste Netzpolitikpodcast mit Linus Neumann https://logbuch-netzpolitik.de/archiv wird sehr informativ. Sicherheit, Open-Source, Psychologie, Datenschutz, Hacking - eine Menge Schlüsselreize werden da angesprochen.

Halb informativ, halb unterhaltsam finde ich auch den YT-Beitrag von ThePrimagen, vielleicht dem ein oder anderen vertraut: https://www.youtube.com/watch?v=LaRKIwpGPTU (1h20m).

user_unknown schrieb:

Es war ein Einzelner, keine Gruppe

Florian Weimer first extracted the injected code in isolation, also attached, liblzma_la-crc64-fast.o, I had only looked at the whole binary. Thanks! [1]

Das würde ich jetzt schon als Teamwork bezeichnen.

Er hat immerhin in einer Stabsstelle Informationssicherheit gearbeitet, aber Sicherheitsforscher im Sinne von Veröffentlichungen in diesem Bereich sind beide wohl nicht, da stimme ich dir zu.

Yabba-Dabba-Doo schrieb:

Das hier angewendete Verfahren dürfte wohl als "Supply Chain-Angriff" betrachte werden.

Meiner Meinung nach liegt der eigentliche Angriffspunkt wesentlich früher ... anscheinend kann jeder mit Zeit und Skills sich an so manchem Opensource Projekt beteiligen, selbst im main Zweig, ohne seine "real life" Identität preisgeben zu müssen. Das senkt die Hemmschwelle ungemein und öffnet Tür und Tor.

https://www.wired.com/story/jia-tan-xz-backdoor/

Meiner Meinung nach liegt der eigentliche Angriffspunkt wesentlich früher ... anscheinend kann jeder mit Zeit und Skills sich an so manchem Opensource Projekt beteiligen

Ja, das ist ein Problem, aber leider nicht das einzige, alle sind davon betroffen, Hardware, Software usw. egal ob kommerziell oder frei, ich habe mal im Anhang ein kleines Gruselkabinett zusammen gestellt, wen es interessiert kann es sich mal anschauen.

Das sich hinter diesem Wahnsinn möglicherweise Methode steckt...!?

In dem Zusammenhang bin ich auf "lynis" gestoßen und habe es mal durchlaufen lassen und war ganz schön überrascht über das Ergebnis.

"sudo lynis audit system"

Es gibt darauf keine einfache Antwort und mir fällt dazu auch keine ein, aber es ist wirklich an der Zeit sich mal mit dem Thema Sicherheit ernsthaft zu befassen.

Ich möchte bitte keine "Glaubenskrieg" entfachen, dazu ist dieses Thema einfach zu wichtig. Sondern dazu auffordern, sich mal in Ruhe hinzusetzen und darüber nachdenken, ob der eingeschlagene Weg wirklich der richtige ist oder ob man etwas ändern sollte. Sicherheit geht uns alle an, immer und überall.

Linux wir nun richtig berühmt. 🙏

Auf der Webseite einer der großen Tageszeitungen. Flott geschrieben ist es, und flutscht beim lesen nur so rein:

• Welt.de: Attacke auf Linux-Software - Und dann fällt dem Microsoft-Mitarbeiter eine halbe Sekunde Verzögerung auf

Merke! Hacker haben immer ein Hoodie. Ohne Hoodie mit tief über die Stirn bis zu Sehefeldeinschränkung gezogener Kapuze darf kein Hacker sein. 🤣

Btw: ist eigentlich irgend jemand aufgefallen, dass der SSH-Server nicht per default auf Ubuntu installiert wird? Ich frag ja nur. 😉 Denn ohne SSH-Server ist auch kein SSH-Daemon auf dem System, dann fehlt der sshd und dann kann auch die kompromittierte XZ-Bilbilothek nicht mit dem sshd zusammen die Fernsteuerung durch die Bösen ermöglichen.

• SSH (Abschnitt „Der-SSH-Server“)

Wenn das stimmt, was ich so gehört habe, ist der Angriff aber noch weitreichender als gedacht, der XZ-Code soll Bestandteil des Linux Kernels sein. Sollte dies stimmen hätte es noch sehr viel weitreichendere Auswirkung als bisher gedacht.

xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros

Experten halten die Hintertür in liblzma für den bis dato ausgeklügeltesten Supplychain-Angriff. Er erlaubt Angreifern, aus der Ferne Kommandos einzuschleusen.

...

Projektübernahme mit Psychotricks

Der Angriff war offenbar von langer Hand geplant. Der Angreifer "Jia Tan" erstellte sein Github-Konto im Jahr 2021 und konzentrierte sich ab 2022 auf das xz-Projekt. Er hat mithilfe mehrerer Komplizen oder Fake-Accounts, die psychologischen Druck auf den Hauptentwickler aufgebaut haben, nicht nur Kontrolle über das Projekt erlangt, sondern auch Linux-Distributionen dazu gedrängt, die von ihm präparierten Versionen der Pakete schnellstmöglich in ihre Systeme zu übernehmen. So sei er bei einem Fedora-Autor vorstellig geworden und habe diesen aufgrund "toller neuer Features" überzeugen wollen, xz 5.6.x in die rpm-basierte Distribution aufzunehmen.

Ein Komplize mit dem Pseudonym "Hans Jansen" ging derweil beim Debian-Projekt Klinken putzen und warb um Aktualisierung des Pakets. Sein Vorwand: Die neue Version behebe ein Problem mit dem Programmier-Werkzeugkasten Valgrind – das jedoch erst durch den Einbau der Hintertür aufgetreten war. In Kommentaren lobten Pseudonyme wie "krygorin4545" und "misoeater91" den angeblichen Bugfix, vermutlich Fake-Accounts zur Stimmungsmache. Das Debian-Projekt entschied sich, die mit Hintertür versehene xz-Version in die instabile Version "Sid" aufzunehmen.

...

Rufe nach mehr Unterstützung für Open-Source-Projekte werden nun lauter. Der Entwickler der Python-Netzwerkbibliothek Twisted schrieb dazu auf Mastodon, er hoffe wirklich, die übliche Praxis, sein "gesamtes gottverdammtes Produkt auf den Schultern einer überarbeiteten Person ruhen zu lassen, die langsam einen Nervenzusammenbruch bekäme, ohne diese finanziell oder strukturell irgendwie zu unterstützen" würde nun in der gesamten Branche auf den Prüfstand gestellt.

Wer Hans Jansen, Jia Tan und ihre Komplizen sind, ist noch ungewiss. Die Komplexität und Rafinesse des Angriffs deutet, so die Meinung mancher Experten, auf einen staatlich gelenkten Angriff hin. Details liegen jedoch noch im Dunkeln – die Jagd nach den Tätern hat begonnen.

https://www.heise.de/news/xz-Attacke-Hintertuer-entraetselt-weitere-Details-zu-betroffenen-Distros-9671588.html

Version 1.1: Kritische Backdoor in XZ für Linux https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.html

Yabba-Dabba-Doo schrieb:

Wenn das stimmt, was ich so gehört habe, ist der Angriff aber noch weitreichender als gedacht, der XZ-Code soll Bestandteil des Linux Kernels sein.

Die initrd wird üblicherweise komprimiert. Mit was für einen Komprimierer, und wie stark komprimiert werden soll, lässt sich bei Mantic Minotaur aussuchen. Einfach mal in die Datei reinschauen:

cat /etc/initramfs-tools/initramfs.conf

Und in die Manual Page:

• https://manpages.ubuntu.com/manpages/mantic/en/man5/initramfs.conf.5.html

Zu dem Zeitpunkt, an dem die initrd entpackt wird, kann aber noch gar kein sshd laufen, geschweige denn, dass der SSH-Server überhaupt nötig wäre, um ein Desktop Ubuntu zu benutzen. Im Gegenteil, der sshd fehlt auf einem Standard Ubuntu Desktop und muss erst von Hand nachinstalliert werden, falls man den SSH-Server auf dem Desktop überhaupt mal brauchen würde.

Man kann auch mal beim Original Entwickler von XZ in die CMakeLists.txt reingucken, dort wird alles sehr schön erklärt und es wird auch klar., warum FreeBSD und OpenBSD nicht betroffen sind:

• https://git.tukaani.org/?p=xz.git;a=blob_plain;f=CMakeLists.txt;hb=HEAD

Im Gegenteil, der sshd fehlt auf einem Standard Ubuntu Desktop und muss erst von Hand nachinstalliert werden, falls man den SSH-Server auf dem Desktop überhaupt mal brauchen würde.

Bei dem Aufwand der betrieben worden ist, kann man davon ausgehen, dass man es nicht auf Tante Tina's und Onkel Otto's privat Rechner abgesehen hatte dort spielt Linux kaum eine Rolle, vielmehr ging es dabei wohl um Server und Rechenzentren, dort hat Linux eine Dominate Stellung und dort ist auch damit zu rechnen das diese Techniken genutzt werden.

Marktanteile der führenden Betriebssysteme in Deutschland von Januar 2009 bis Januar 2024 https://de.statista.com/statistik/daten/studie/158102/umfrage/marktanteile-von-betriebssystemen-in-deutschland-seit-2009/

Yabba-Dabba-Doo schrieb:

[...] vielmehr ging es dabei wohl um Server und Rechenzentren, dort hat Linux eine Dominate Stellung und dort ist auch damit zu rechnen das diese Techniken genutzt werden.

Dort sollte aber das geeignete Personal werkeln, das mit der Situation umgehen kann. Wenn nicht, dann haben die Betreiber an den falschen Stellen gespart.

Dort sollte aber das geeignete Personal werkeln, das mit der Situation umgehen kann. Wenn nicht, dann haben die Betreiber an den falschen Stellen gespart.

Dazu müssen sie aber erstmal wissen, dass sie handeln müssen, man hat Originaldateien von Original Servern heruntergeladen, die geändert wurden, um Fehler zu beseitigen und die ganz tolle Zusatz Funktionen mitbringen (so die Story) wer achtet da schon auf eine halbe Sekunde. Es war schlicht Zufall, das dies jemandem aufgefallen ist, der die Fähigkeit besessen hat dies aufzudecken.