XZ-Utils: Wir sind alle verantwortlich – eine umfassende Analyse des Jahrhundert-Hacks // deutsch

preview_player
Показать описание
Die falsche Frage lautet: "Wer ist schuld?"
Die richtige Frage lautet: "Wer ist verantwortlich?"

Natürlich ist spannend und wichtig herauszufinden, wer hinter dem Angriff auf XZ-Utils steckt. Doch selbst, wenn die Wahrheit jemals ans Tageslicht kommen sollte, greift die Antwort zu kurz.

Denn verantwortlich ist nicht nur der Angreifer, sei es nun ein Geheimdienst oder ein Individuum. Verantwortlich sind wir alle, als Informations-Gesellschaft. Denn wir lassen eine Kultur zu, in der solche Angriffe erfolgreich durchgeführt werden können. Und schlimmer noch: Wir lassen sie nicht nur zu, wir fördern sie sogar aktiv.

In diesem spannenden Video analysiere ich, was überhaupt passiert ist, wie es dazu kommen konnte, wie wir als Gesellschaft uns zukünftig vor solchen Angriffen vielleicht schützen können, und was wir alle aus der ganzen Sache lernen können.

Möchtest Du Deine Supply-Chain einmal (re-)evaluieren? Feststellen, welche Dependencies wirklich relevant sind, und was Du verbessern könntest, um weniger Angriffsfläche zu bieten? Dann melde Dich bei uns:

Der Link zum CVE:

────────────────────

Willst Du wissen, welche Videos es noch von uns gibt oder suchst Du eines zu einem bestimmten Thema? Hier findest Du die perfekte Übersicht über alle unsere Videos:

────────────────────

Möchtest Du demnächst den Job wechseln, hast aber Angst vor den technischen Fragen im Bewerbungsgespräch? Wir können Dir helfen! Werde Mitglied in unserem Coding-Circle und erhalte jede Woche exklusive Videos:

────────────────────

Hast Du Fragen zu diesem Video oder willst Du Dich mit Gleichgesinnten aus der Community austauschen? Dann komm auf unseren Discord-Server:

────────────────────

00:00 – Einleitung
00:41 – Kurzer Überblick, was passiert ist
01:49 – 2021: Wer ist Jia Tan?
02:53 – 2022: Jigar Kumar und Dennis Ens
03:47 – Das Standardproblem von Open-Source
05:22 – Endlich Hilfe, endlich aktive Unterstützung!
06:03 – 2023: Jia Tan trifft Hans Jansen
07:02 – Wie man einen Maintainer aushebelt
07:50 – 2024: Der eigentliche Angriff startet
09:06 – Ab damit in die verschiedenen Linux-Distributionen
09:43 – Eine halbe Sekunde, die auffällt
10:56 – Wie die Backdoor funktioniert
12:13 – Ein Sonderfall in der SSH-Authentifizierung
12:53 – Was den Angriff so besonders macht
13:46 – Wieso wurde der Angriff so schnell entdeckt?
14:10 – Mehr Glück als Verstand
15:21 – Der aktuelle Stand der Dinge
16:06 – Die Spur führt nach …
16:55 – Was wir daraus lernen können

────────────────────

  1. the native web GmbH
  2. the native web
  3. golo roden
  4. deutsch
  5. xz
  6. xz-utils
Рекомендации по теме
XZ-Utils: Wir sind 0:19:45

XZ-Utils: Wir sind alle verantwortlich – eine umfassende Analyse des Jahrhundert-Hacks // deutsch

Backdoor XZ: Linux 0:08:16

Backdoor XZ: Linux e Mac OS KO peri una GRAVE VULNERABILITÀ!

Wie dieser Deutsche 0:20:31

Wie dieser Deutsche das Internet gerettet hat

Was 7 vs. 0:22:50

Was 7 vs. Wild über unsere Gesellschaft verrät...

Arch Linux einrichten 0:09:56

Arch Linux einrichten | Schritte nach der Installation (Deutsch)

Syncthing auf Windows: 0:07:44

Syncthing auf Windows: Syncthing Tray ersetzt SyncTrayzor

EH21 - Nix 1:01:26

EH21 - Nix zu verstecken! Meine Software hat CVEs

5 Tipps die 0:15:27

5 Tipps die jeder Denon DJ Prime Benutzer kennen sollte!

Grazer Linuxtage 2024 0:48:54

Grazer Linuxtage 2024 - We got hacked: Lektionen aus realen Security-Vorfällen

SAP Vermessung nach 0:30:05

SAP Vermessung nach Berechtigungen

Reicht mein Smart 0:37:49

Reicht mein Smart Home & Home Assistant? 🏠 NAS-Systeme im Vergleich – #2 TrueNAS

Unix für Entwickler 0:13:10

Unix für Entwickler #9 - Man Pages

Professionelle Audioarbeit unter 0:36:59

Professionelle Audioarbeit unter Linux. Geht das? - Tux-Tage 2023

Pragmatische Veränderung - 0:14:00

Pragmatische Veränderung - Management easy

Die neuen Features 0:43:39

Die neuen Features von Knoppix 8.3

Arch Linux Installation 0:19:07

Arch Linux Installation für Einsteiger mit Architect Linux

Glasbemessung mit Dlubal-Software 0:42:37

Glasbemessung mit Dlubal-Software

2022 - Paketformate 1:06:39

2022 - Paketformate der Zukunft?

Webinar @ EMAG: 0:21:35

Webinar @ EMAG: VLC 350 GT - Ideale Zukunftslösung für Getriebeteile in der Nutzfahrzeugindustrie

Can you outsmart 0:05:48

Can you outsmart the apples and oranges fallacy? - Elizabeth Cox

Verblüffend: Greenote Akku 0:17:44

Verblüffend: Greenote Akku 'Werkstatt'-Staubsauger GSC50

Zcoin Mining Tutorial 0:14:07

Zcoin Mining Tutorial Deutsch

gokrazy: ein Go 0:46:01

gokrazy: ein Go userland für Raspberry Pi 3 appliances (eh17)

Manuelles Rigging in 0:14:42

Manuelles Rigging in Daz Studio (ohne Figure Setup Tool)

Комментарии
Автор

Ich finde den Aspekt, dass der Angriff breit öffentlich aufgearbeitet werden _kann_, einen Riesen Vorteil von Open Source-Software, der momentan ziemlich under-reported ist. Dieser Angriff ist technisch analog auch in einem Software-Konzern denkbar.
Und auch _deshalb_ sollte OSS “ordentlich” bzw. nachhaltig entwickelt werden.

MikeLukuma
Автор

Naja, zum Thema Vulnerabilität von Open Source und das blinde Vertrauen kann ich nur sagen: Das ist kein Alleinstellungsmerkmal von Open Source. Bei proprietärer Software ist das Problem eher noch schlimmer und kaum nachvollziehbar.

pinkeHelga
Автор

Brillant erklärt – wirklich hervorragend. 👌

restrictanon
Автор

Top Herleitung und Aufbereitung zum Thema. Vielen Dank aus der Schweiz 🇨🇭

dkur
Автор

Sehr guter Beitrag, nutze seit 2005 Debian und hab die Problematik oft an vielen Stellen & Projekten gesehen. Bin aber dennoch zuversichtlich, vielen Dank an alle Entwickler. 👍

AekkieKa
Автор

Danke für deine Arbeit. Die beste zusammenfassung des Hacks den ich bisher fand

michaelwolz
Автор

Erstklassig erklärt. 👍
Klasse. Vielen Dank 🙏

christiansommerfeld
Автор

Vielen Dank für die aufschlussreiche Ausführung! 😊

Das ist echt ein heftiger Schachzug! Ich Frage mich, ob man überhaupt eine Chance hat, sich vor sowas wirklich zu schützen. Auf der anderen Seite, wird es aber wahrscheinlich nicht viele Kriminelle geben, welche solch einen langen Atem haben.
Insgesamt echt schwieriger unter solchen Aspekten, so viel Vertrauen in open source zu legen...

Und zur Frage:
Wenn ich Kontrolle darüber hätte, dann würde ich nach Wegen suchen sie nachhaltig und sicher wieder loszuwerden.

marinaegner
Автор

Laut eigener Aussage von Freund ist es ihm aufgefallen, das die üblichen brute force Login versuche aus dem Netz den Rechner langsam gemacht hat. Was sonst nicht der Fall war. Da hat er geschaut, was los ist, und dabei ist ihm die Dauer des SSH Logins aufgefallen.

DerAlbert
Автор

Du kannst einfach super erklären. Danke, dass Du es mir ermöglicht hast es gut nachvollziehen zu können. 🙏

LUFS
Автор

perfekt erklärt. danke dafür. auch die Hintergründe sind super.

danieldoe
Автор

Zudem werden wir bald einen Generationswechsel im Bereich Programmierung erleben. Programmierer die die Basics noch gelernt haben werden nach und nach aussterben und durch Programmierer ersetzt, die ihre Defizite durch die KI ersetzen. Die Effizienz wird steigen und die Sicherheit wird leiden. Dazu kommt noch eine viel zu hohe Software Komplexität, die das Risiko für solche Vorfälle weiter erhöht.
Ich finde es übrigens Schade, dass du den OpenSource Gedanken inzwischen fast vollständig in Frage stellst. Das sich etwas ändern muss ist natürlich klar, aber da erwarte ich von solchen fähigen Leuten wie dir eher umsetzbare Vorschläge und keinen Abgesang. Mein Vorschlag wäre eine spezielle Lizenz für Code in sicherheitsrelevanten Bereiche mit dem Ziel diesen einem Audit unterziehen zu können. Soll heißen, dass dieser Audit von Firmen bezahlt werden muss die einen kommerziellen Vorteil vom jeweiligen Code haben.

Schöne Woche!

yt
Автор

Wie immer Mega informativ. Ich möchte mal nett fragen ob es auch möglich ist zumindest die nicht Coding Sessions etc. auch als Audio Podcast zu veröffentlichen. Ich höre meistens unterwegs zu und kann dann das Display ausschalten ;).
Viele Dank und Beste Grüße
Sebastian

sebastianklenke
Автор

Danke für das Video! Welche Versionen sind denn nun kompromittiert, wie kann ich prüfen, ob ich betroffen bin?

basti
Автор

Danke für die Aufarbeitung. Unabhängig vom Vertrauen, wäre es doch auch vorstellbar die Maintainer ‚einfach nur‘ zu erpressen. Aber der Fall wirft auch für mich ein ganz neues Licht auf die Welt, in der wir leben. Wer stellt denn sicher, dass all die Maintainer sich gegenseitig kennen und nachvollziehbar legitimieren. Irgend eine Instanz müsste doch hier Schutz und Unterstützung bieten. UNO?

sigarlus
Автор

Ich finde es Schade, dass die Ursache des Problems hier hauptsächlich bestehen soll, dass diese Software Open Source ist. Ich finde, dieses Beispiel hat eben gezeigt, dass weil es Open Source war, die Schwachstelle gefunden und nachvollzogen werden konnte. Was mache ich als Entwickler, wenn ich eine Anomalie (z. B. eben ein Step meines Tests, der plötzlich eine 3⁄4 Sekunde statt eine 1⁄4 Sekunde braucht), wenn ich den Code nicht hereinschauen kann? Ich muss dem jeweiligen Anbieter blind vertrauen. Unabhängig davon, welche Gefahr größer ist, würde ich immer bevorzugen, mir selbst ein Bild machen zu können. Wir vernachlässigen als Gesellschaft nicht nur Beteiligte von Open-Source-Software, wir könnten auch das Ehrenamt mehr schätzen. Das ist am Ende eine Frage unseres Wirtschaftssystems und der Frage, wie sich unsere Gesellschaft aufstellen möchte. Aber nur weil die Gesellschaft nicht weit genug ist, sollten wir Open-Source-Software nicht infrage stellen. Edit: Der Rest des Videos, insbesondere die Aufarbeitung im zeitlichen Ablauf und die technische Erläuterung war wirklich klasse! Danke dafür!

DKRSpeedline
Автор

Du reitest ja gerne auf den Punkt herum, das OSS aktuell nicht nachhaltig sei und nicht wertgeschätz sei. Das mag alles richtig sein, hatte aber bei der Ursache hier nur sekundär eine Rolle gespielt. So ein ausgefeilter und gut organisierter Angriff, der zudem auch noch sehr dreist(!) war, kann jedem von uns passieren. Daher möchte ich niemanden einen Vorwurf machen.

Aber welche Konsequenzen ziehen wir jetzt daraus und wie können wir so etwas in Zukunft verhindern?

Wie du selbst gesagt hast: OSS basiert zu einem hohen Maß auf Vertrauen. Und wenn ich nicht mal einem Maintainer vertrauen kann, der sich über Jahre engagiert und viel und auch gute Arbeit geleitest hat, dann werden wir irgendwann an einem Punkt gelangen, an dem wir niemanden mehr vertrauen können oder schlicht paranoid werden.

joergw
Автор

Bitte vergesst nicht, das auch grosse Unternehmen sich den Luxus leisten und Programmierer bezahlen um OSS zu Dies machen sie, weil sie diese OSS für ihre eigene Projekte benötigen.

JoKnopf-bj
Автор

Kurz gesagt: Für Debian stable kann diesbezüglich Entwarnung gegeben werden?

pinkeHelga
Автор

Sowas könnte auch durch eine plötzliche Gesinnungsänderung eines Maintainers entstehen. Schliesslich kennt er sich ja mit der Materie aus und hat einen Überblick darüber wie und in welchen Umfang die Software genutzt wird. Also durchaus möglich das ein Entwickler aus welchen gründen auch immer auf die dunkle Seite der Macht wechselt. Man kann das ganze ja sogar so aussehen lassen wie ein Angriff einer anderen Person.

Leue