Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist

Zitat von Der Standard

Nur durch Benchmarks eines einzelnen Programmierers fliegt die über Jahre vorbereitete Unterwanderung von Millionen Systemen auf. Dahinter dürften staatliche Angreifer stehen.

xz-utils – Wie die Computerwelt gerade haarscharf an einer Sicherheitskatastrophe vorbeigeschrammt ist

Sehr lesenswert für jeden, weil es gut veranschaulicht, wie viel heutzutage in Angriffe investiert wird und dass man Sicherheit echt nicht vernachlässigen darf. Hier wurde nicht einfach eine Sicherheitslücke gefunden und ausgenutzt. Es wurde eine wichtige Open Source-Komponente aktiv unterwandert und über Jahre darauf hingearbeitet, die Schwachstelle zu platzieren. Um ein Haar wären die neuen Versionen vieler wichtigen Linux-Distributionen mit Schadcode veröffentlicht worden. Und aufgeflogen ist das Ganze einzig und alleine deswegen, weil jemand Benchmarks gemacht hat und aufgefallen ist, dass eine bestimmte Aktion etwas länger als normal benötigt hat. Man stelle sich vor, das Ganze hätte ohne Performance-Defizit funktioniert oder es hätte nicht zufällig jemand die Performance getestet und eine entsprechende Analyse eingeleitet. Das wäre unbemerkt geblieben.

PS: Falls einer der Linux-Nutzer von der Sicherheitslücke betroffen war, sollte diejenige Person handeln. Red Hat ist da sehr deutlich, was die Gefahr betrifft, und legt betroffenen Nutzern nahe, den Rechner komplett neu aufzusetzen.

Zitat von UliBär

PR-technisch ein mittleres Desaster für die Open-Source-Community

Ich sehe da nicht wirklich ein PR-Desaster für die „Open-Source-Community“. Viel mehr hebt das Ganze doch eine grundsätzliche Problematik am ganz anderen Ende hervor: Nämlich, dass sich große Unternehmen von ehrenamtlich arbeitenden Entwicklern abhängig machen, oft ohne diese zu unterstützen. Im Gegenteil erwarten selbst Milliardenkonzerne von diesen ehrenamtlich arbeitenden Entwicklern teilweise sofortigen und kostenlosen Support: Beispiel.

Zitat von UliBär

beweist dabei allerdings auch, daß der öffentliche Audit-Prozeß - so er denn gewissenhaft gemacht wird - durchaus gut funktioniert

Leider beweist es das nicht, denn dieser bereits seit 2021 vorbereitete Angriff war ein kompletter Zufallsfund und nicht das Ergebnis eines Audits von xz. Entdeckt wurde das Ganze bei Peformance-Messungen von Postgres, um xz ging es dabei eigentlich gar nicht.

Wäre es dem Angreifer gelungen, die Performance weniger sichtbar zu beeinträchtigen und hätte sich nicht zufällig ein einzelner Mensch damit beschäftigt, wieso der Login via SSH ein paar hundert Millisekunden (!) länger als gewohnt dauert - etwas, worüber sich vermutlich sonst kaum ein Mensch auf der Welt Gedanken machen würde -, wäre das auch nicht aufgedeckt worden und Millionen von Anwendern hätten über ein Update ihres Betriebssystems Schadcode erhalten.

Das wirklich Erschreckende an diesem Fall ist, wie hier wirklich ein Projekt gezielt unterwandert wurde. Die psychischen Probleme und Überlastung des Hauptverantwortlichen waren bekannt, also wurde jemand eingeschleust, der zunächst wirklich hilft und Vertrauen gewinnt, um dann im nächsten Schritt über weitere Accounts Druck zu machen, dass es unbedingt einen Co-Maintainer mit mehr Verantwortung braucht, was dann genau jene hilfreiche Person wurde. In dieser ganzen Geschichte liegt so unglaublich viel Planung und Geduld und jeder einzelne Schritt wurde so gut getarnt. Es hat sich vor ein paar Monaten beim „Operation Triangulation“-Angriff schon gezeigt: Wir haben eine ganz neue Dimension an Angriffen erreicht, die über das primitive Finden und Ausnutzen einzelner Sicherheitslücken hinausgehen. Ohne zu wissen, wer nun konkret hinter den Angriffen steht, hat das schon Niveau von Geheimdienst-Operationen.