Um möglichst großen Schaden anzurichten, wird immer mehr versucht, Linuxsysteme zu infiltrieren. Wenn es um Abzocke geht, dann dürfte Windows gefragt sein. Die Seiten der BSI zeigen fast nur noch Linuxsysteme an, mit Sicherheitswarnungen.
Die «xz-Hintertür» gefährdet unzählige Computer weltweit – was wir bisher wissen.
-
kim88 -
30. März 2024 um 20:27 -
Erledigt
-
-
Nach Entdeckung des xz-Hacks: »Wir haben wirklich Glück gehabt«Der Microsoft-Entwickler Andres Freund hat eine IT-Sicherheitskatastrophe verhindert. Selbst CEO Satya Nadella gratulierte ihm. Eine US-Behörde fordert derweil…www.spiegel.de
-
Auch wenn er bei MS arbeitet soll das keinesfalls schmälern was er, wenn man den Recherchen von Morpheus glauben mag, eher durch Zufall entdeckt haben könnte.
-
Ist doch schitt egal ob er für M§ oder irgend ein anderes Unternemen arbeitet, er hat es geschafft was die Freiwilligen von Open-Source-Software nicht geschafft haben oder nicht gefunden haben, somit ist und bleibt es bedenklich wenn der Fokus wirklich auf Open-Source-Software gelegt wird.
Da muss was passieren, sonst wird die Linuxwelt um Mailen zurück geworfen, sollte so was ähnliches nochmal passieren oder man findet noch mehr im Code dann werden viele Linux-Systeme verlassen.
-
Nenn mich bekloppt, aber ich sehe gerne Terminalfenster. Irgendwie hat das was Befriedigendes und ich schaue mir gerne an, was Leute benutzen xDD
Sind Wir nicht Alle ein bisschen Bluna ?
-
Ist doch schitt egal ob er für M§ oder irgend ein anderes Unternemen arbeitet, er hat es geschafft was die Freiwilligen von Open-Source-Software nicht geschafft haben oder nicht gefunden haben, somit ist und bleibt es bedenklich wenn der Fokus wirklich auf Open-Source-Software gelegt wird.
Da muss was passieren, sonst wird die Linuxwelt um Mailen zurück geworfen, sollte so was ähnliches nochmal passieren oder man findet noch mehr im Code dann werden viele Linux-Systeme verlassen.
Hmm wem wurde letztes Jahr der General Schlüssel seiner Cloud gestohlen?
Natürlich ist die xz Sache Besorgnis erregend, aber ich möchte gar nicht wissen wievielt kritische Bugs oder hintertüren in closed Software stecken
-
20 Jahre jeden Tag die Bild und du hast Abitur...
Abitur in was?
Die Seiten der BSI zeigen fast nur noch Linuxsysteme an, mit Sicherheitswarnungen.
Klar. Hier werden die Lücken auch noch gefixt und zwar fix. Bei MS geht es z.T. Jahre, wenn sie denn mal Lust haben, oder auch nicht. Und ich könnte mir vorstellen, dass viele Lücken erst gar nicht gemeldet werden. Die werden dann vielleicht einmal still und heimlich gefixt, wenn sie NSA und CIA nicht mehr brauchen.
Da muss was passieren, sonst wird die Linuxwelt um Mailen zurück geworfen, sollte so was ähnliches nochmal passieren oder man findet noch mehr im Code dann werden viele Linux-Systeme verlassen.
Wie viele haben Windows / Microsoft verlassen, nach unzähligen Desaster? Eigentlich dürfte Microsoft gar keine Kunden mehr haben.
Aber sind wir ehrlich, es wird hier wie dort auch weiterhin Lücken geben, die es zu schließen gilt. Verbesserungspotential gibt es immer und man muss daran arbeiten. Da ist auch Linux keine Ausnahme. Nur den Kopf in den Sand stecken darf man nicht. Und die "alles ist doch gut" Einstellung, so wie hoffen und beten, ist kein brauchbares Sicherheitskonzept. -
Was ich mich persönlich frage.
Wenn es Open Source ist und jeder es einsehen kann und darf und 90% der Distributionen xz benutzen wo große Tiere dabei sind wie Red Hut und canonical und viele weitere und es über Millionen Menschen gibt in allen Distributionen die was programmieren ( wie kann es sein das sowas übersehen wird) das erst ein Mensch von Microsoft und zeigt wie unsicher es ist das sollte doch uns allen sorgen machen, das zeigt das niemand da draußen die Open Source Codes prüft und prüfen kann und ebenfalls Zeigt es wieder einmal wie unsicher Linux da stehen lässt
Wir sollten daher uns Gedanken machen was noch infiziert an Codes gibt statt jetzt nur über xz zu sprechen .
-
Wer garantiert, dass Microsoft, Adobe, Google, Meta, etc. in ihren Programmen und Diensten nicht absichtlich und wissentlich irgendwelche schönen Dinge eingebaut haben? Nur hier kann niemand mal eben den Source Code durchsehen.
Vielleicht sollten wir die Kirche im Dorf lassen und nicht gleich in paranoide Panik verfallen. Dies wird nicht der erste und nicht der letzte Fall dieser Art sein. Ungute Gesellen hat es immer geben. Und in einer zunehmend technisierten Welt sind auch die böse Buben mit technischen Hilfsmitteln unterwegs. Damit werden wir uns abfinden müssen. Hier hilft nur Vorsicht, so wie früher auch. Aber es steht natürlich jedem frei, zu Microsoft oder Apple zu wechseln, wenn man sich da besser aufgehoben fühlt.
Ich für meine Teil werde auch weiterhin auf der Linux-Schiene bleiben.Wenn wir schon dabei sind: Das beruhigt mich auch nicht wirklich.
ZitatDas Fazit der Kommission: Microsoft kann keine Sicherheit! Und schon gar nicht in der eigenen Cloud. Eine "Kaskade" von Fehlern, begangen von Microsofts bzw. dessen Mitarbeitern, ist für den Hack der Microsoft Cloud und der Microsoft Online Exchange-Konten verantwortlich.
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlichDas US Cyber Safety Review Board hat nun seinen Bericht zum Hack von Microsoft Online Exchange im Sommer 2023 durch die mutmaßlich chinesische Gruppe…www.borncity.com -
Hab alles platt gemacht und neu installiert, auch wenn es vielleicht nicht nötig war.
-
Hattest Du denn die betroffene Version überhaupt installiert?
-
Hattest Du denn die betroffene Version überhaupt installiert?
Nein. Hat gut getan den Restore Flow zu flowen.
-
Ich habe am 22/23 03 meine Ubuntu 22.04 auf 24.04 upgeradet und ich hatte die Fraglichen Versionen 5.6.0 und 5.6.1 nie auf dem System. Nachgesehen habe ich so wie hier beschrieben: -> Klick
Ich werde aber gegebenenfalls wenn die Final draußen ist den Paketcache löschen und Apt anweisen alle Pakete neu zu installieren.
-
Nach meinem Osterurlaub stand direkt die Version 6.5.1-3 zur Verfügung. Somit hab ich dann auch direkt die bereinigte Version bekommen. Rolling Releases können schon was feines sein.
-
Nach meinem Osterurlaub stand direkt die Version 6.5.1-3 zur Verfügung.
Zahlendreher: Du meinst 5.6.1-3.
-
Hmm wem wurde letztes Jahr der General Schlüssel seiner Cloud gestohlen?
Natürlich ist die xz Sache Besorgnis erregend, aber ich möchte gar nicht wissen wievielt kritische Bugs oder hintertüren in closed Software stecken
Das ist hier nicht die Frage. Ich habe schon so oft gehört, dass einer der Vorteile von Linux der überprüfbare Code und damit das schnelle auffinden von Fehlern wäre. Mir fehlt hier die Kompetenz das richtig einordnen zu können. Aber man sollte auf keinen Fall das ganze Bagatellisieren. Ich denke hier müssen Konsequenzen gezogen werden, wie immer die aussehen mögen!
-
Ich werde mit nichten zu Windows wechseln, wie bereits geschrieben wurde, wir als normale Nutzer haben keinen blassen Schimmer was alles im Win-Code drin steckt, auch bei Apple nicht, daher immer wieder Linux.
Ich denke und hoffe das sich nach diesem Vorfall einiges in Bezug auf Sicherheit verbessern wird, wir sind unter Linux-Derivaten immer noch am besten aufgehoben.
Es wird keine absolute Code-Überprüfung bei Linux geben dafür fehlen Gelder um wirkliche Fachkräfte zu unterhalten aber die vielen freiwilligen machen schon einen guten Job...
-
Hmm wem wurde letztes Jahr der General Schlüssel seiner Cloud gestohlen?
Natürlich ist die xz Sache Besorgnis erregend, aber ich möchte gar nicht wissen wievielt kritische Bugs oder hintertüren in closed Software stecken
Ja aber das ist ein klassisches Strohmann Argument. Es geht hier nicht um Microsoft und Windows - das ist schlicht nicht relevant. Erklärt man im Grunde jedem Kind schon - wenn ein Kind von der Schule nach Hause kommt und eine schlechte Prüfung geschrieben hat und das Kind dann Argumentiert "Ja aber der Kevin war noch schlechter" - lernt man in der Regel das man sich nicht an den schlechteren orientieren soll.
Wenn es Open Source ist und jeder es einsehen kann und darf und 90% der Distributionen xz benutzen wo große Tiere dabei sind wie Red Hut und canonical und viele weitere und es über Millionen Menschen gibt in allen Distributionen die was programmieren ( wie kann es sein das sowas übersehen wird)
Aus diversen Gründen. Erstens war xz in der allgemeinem Auffasung kein kritisches Modul. Um auf die Idee zu kommen, dass man über ein kompromittiertes "xz-utils" ein SSH angreifen kann braucht schon sehr viel Kreativität.
Im Grunde ist "xz" ein OpenSource Zip. Das Dateien komprimieren und dekomprimieren kann - da denkt man nicht als erstes - ui das ist was voll kritisches.
Zweitens war der Backdoor extrem gut versteckt. Im Quellcode selbst war er nicht mal ersichtlich. Diese "Jia Tian" war wirklich ein sehr geschickter Entwickler und hat das Ding extrem extrem extrem gut versteckt. Das es gefunden wurde ist wirklich reiner "Zufall". Bzw auf die Hatnäckigkeit des Nerds der bei Microsoft arbeitet zu verdanken.
Ganz ehrlich wenn ich mit per SSH auf nen Rechner verbinde und das dauert ne halbe Sekunde länger als sonst denke ich einfach jo gibt wohl gerade Internet Troubles oder Server hat gerade hohe Last - zucke meine Schultern und denke nicht weiter darüber nach. Das sich hier jemand - an freien Ostern die Zeit nimmt Stück für Stück nachzuvollziehen warum SSH in seinem Debian SID plötzlich minimalst langsamer ist ist der wahnsinn.
das erst ein Mensch von Microsoft und zeigt wie unsicher es ist das sollte doch uns allen sorgen machen, das zeigt das niemand da draußen die Open Source Codes prüft und prüfen kann und ebenfalls Zeigt es wieder einmal wie unsicher Linux da stehen lässt
Der Mensch der bei Microsoft arbeitet heisst "Andres Freud" und er ist in der OpenSource Community sehr bekannt. Er ist ein grossartiger Entwickler der schon zu vielen Projekten sehr viel Code beigetragen hat. Er arbeitet bei Microsoft auch in der OpenSource Abteilung.
Das ist hier nicht die Frage. Ich habe schon so oft gehört, dass einer der Vorteile von Linux der überprüfbare Code und damit das schnelle auffinden von Fehlern wäre. Mir fehlt hier die Kompetenz das richtig einordnen zu können. Aber man sollte auf keinen Fall das ganze Bagatellisieren.
Richtig das sollte man auf keinen Fall. Und man sollte ehrlich zu einander sein. Und ehrlich ist - Das Linux Ökosystem hat wie viele andere OpenSource Projekte ein grosses Problem.
Sehr viele kritische Infrastruktur wie z.b. die "xz-utils" oder wie z.b. wie im Dezember 2021 die grosse "log4j" Lücke, 2017 die "Apche Struts" Lücke (daten von 143 Millionen Menschen wurde deswegen exponiert), Heartbleed SSL war 2014 udn dürfte wohl das schwerwiegendste sein was wir bisher hatten, Ebenfalls 2014 "Shellshock Bash" eine massive Lücke in "bash" wo Milliarden von Computern weltweit betroffen waren, usw
Wir haben hier ein Problem und das Problem hat bei all diesen grossen bekannten Lücken den selben Namen. Überlastete, unterfinanzierte freiwillige Entwickler.
Oft ist es so das evtl. im Studium irgendein Entwickler ein Hobby Projekt startet, plötzlich wird sein Tool das er da entwickelt hat Teil eine grossen kritischen Infrastruktur. Die Anbieter nehmen das Tool einfach (dürfen sie lizenztechnisch ja auch) und binden es in ihre Software ein.
Und hier kommt das Problem. Die Entwickler dieser Tools werden für ihre Arbeit in der Regel nicht bezahlt. Es ist reine Freiteit Arbeit die man dann neben seiner Erwerbsarbeit, Familie, Freunde, etc noch machen "muss".
Auch hier bei "xz-utils", dass dieser "Jia Tan" das Projekt "übernehmen" konnte hat genau damit zu tun. Der xz-utils Entwickler und Erfinder war im Stress - sein Leben war gerade super anstrengend und er hatte kaum Zeit für diese Bibliothek. Feature Request, etc kommen dennoch fleissig rein. Da hat sich "Jia Tan" angeboten und quasi gesagt "hej ich sehe du bist gerade in einem super stress, lass mich dir helfen". Und die ersten 2 Jahre hat dieser "Jia Tan" auch einwnadfreie Arbeit geliefert - er hat das Projekt in der Zeit super seriös betreut.
Wir als Linux Community - und wir die Firmen die Linux kommerziell einsetzen müssen uns Wege überlegen das Software wie z.b. "xz-utils" das in JEDER einzelnen DISTRIBUTION auf diesem Planeten IMMER per Default installiert ist - anders zu fördern.
Hätte der gestresste Hauptentwickler, einen sicheren Jobs gehabt wäre er z.b. bei der Linux Foundation, oder Apache Foundation fix angestellt gewesen (für die Arbeit an xz) hätte er viel weniger Stress aus Geldsorgen, etc gehabt und dieser "Jia Tan" hätte nie die Möglichkeit gehabt den Einfluss auf das Projekt zu gewinnen.
Und hier ist die Problematik sowohl wir als Community, wie auch die grossen Distributionen nutzen völlig selbstverständlich Programme, die absolut essentiell sind. Ohne xz bootet ein normales Linux nicht - das in der Regel der "initramfs" damit komprimiert ist. Das wird ausgeliefert ohne zu hinterfragen wie man langfristig sicherstellen kann - dass die so eine Biliothek langfristig vernüntig gepflegt wird - und von solchen Biblotheken haben wir hunderte in unseren Systemen.
Das ist ein Linux-Problem und das ist ein OpenSource Problem. Und nur zu sagen "Microsoft hat auch Probleme" löst dieses Linux- und OpenSource Problem nicht. Und ist schlicht nicht konstruktiv.
-
Wenn es Open Source ist und jeder es einsehen kann und darf und 90% der Distributionen xz benutzen wo große Tiere dabei sind wie Red Hut und canonical und viele weitere und es über Millionen Menschen gibt in allen Distributionen die was programmieren ( wie kann es sein das sowas übersehen wird) das erst ein Mensch von Microsoft und zeigt wie unsicher es ist das sollte doch uns allen sorgen machen, das zeigt das niemand da draußen die Open Source Codes prüft und prüfen kann und ebenfalls Zeigt es wieder einmal wie unsicher Linux da stehen lässt
Der vom Angreifer manipulierte Code liegt ja nur in Binärform, d.h. nicht in vom vom Menschen lesbarer Form vor --- und das ist IMHO eher das Gegenteil von Open Source! Der Angreifer konnte nämlich geschickt (zum Teil auf menschliche Schwächen aufbauend) die Open-Source-Philosophie umgehen.
Heimtückischerweisen können die Grenzen zwischen Open Source und Closed Source verschwimmen, wenn das Vorgehen, wie der Code in die Repos kommt, gegen Attacken wie die vom Angreifer nicht ausreichend gewappnet ist. Ich denke ganz optimistisch, dass die Distro-Betreiber/Communities aus dem Angriff lernen und sich dahingehend in ihrer Verfahrensweise sortieren werden.
-
Wir haben hier ein Problem und das Problem hat bei all diesen grossen bekannten Lücken den selben Namen. Überlastete, unterfinanzierte freiwillige Entwickler.
Und den großen Profit daraus machen überbezahlte Megakonzerne. Finde den Fehler.
Es ist ja bekannt, dass bei Microsoft und Google (und auch anderen Megakonzernen) ein (großer) Teil der Server- / Cloud-Infrastruktur auf Linux bzw. OpenSource läuft. Bei Amazon munkelt man sogar komplett. Und natürlich tun die auch was für Linux und OpenSource-Projekte. Aber steht dies zum Verhältnis zu ihrem Gewinn, den sie daraus ziehen? Schätze, es würde durchaus möglich sein, dass solche Firmen diese unterfinanzierten freiwilligen Entwickler besser finanziell unterstützen könnten, auch ohne dass diese Firmen finanziell Schaden nehmen würden. Ein paar Millionen mehr oder weniger bei diesen Firmen ... Könnte bei solchen Entwicklern aber viel bewirken.
Aber vielleicht sehe ich dies auch nur durch die rosa Brille, als jemand der von Softwareentwicklung keine Ahnung hat. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!