I was thinking specifically of the #xz Utils incident when I wrote this weeks column calling for an #opensource tax credit for developers.
“A 2024 Harvard study valued [open source software] at $8.8 trillion.
A software project may be initially undertaken by a single developer as a hobbyist project, but … maintenance and security updates require long-term commitments, often by an entire community of developers.”
@ph0lk3r und @jrt haben die Entstehung der #xz-Backdoor nochmals mit dem nötigen Abstand beleuchtet und ziehen einige Lehren daraus.
Insbesondere empfehlen sie die möglichst durchgängige Verwendung von signierten #git-Commits, ein Punkt der bei mir ⬆️⬆️⬆️ fehlte.
Ich setze die auch an einigen Stellen durchgängig ein, aber bisher nur an Stellen, wo keine Rebases oder Squashes nötig sind. Ich vermute, die verlieren die Signaturen, beim Rebase auch, wenn man es selbst macht? https://research.hisolutions.com/2024/04/xz-backdoor-eine-aufarbeitung/
Was wissen wir eigentlich über «Jia Tan»? Ich habe mich mal auf eine Spurensuche begeben. Und dabei herausgefunden, dass man mit der Sicherheitslücke wohl mehrere Milliarden hätte verdienen können.
Hmm. People are speculating on the nation state that’s behind the #xzbackdoor and seem to be taking a decidedly Western perspective on this. The suspected threat actors they’re naming are typically Russia, China, Iran, and North Korea.
Folks, I just want to point out that you shouldn’t exclude UK, Israel, France, USA, and many others who are more than capable of this as well. And yes, this could have also been some black hat or even a commercial spyware shop doing this to later sell to the highest bidder.
Das #BSI ist inzwischen auch aufgewacht und warnt vor dem #xz Backdoor. Das ist löblich, die Warnung selbst aber nicht ganz korrekt.
Die vielen Millionen Internet-Server laufen in den seltensten Fällen auf Bleeding-Edge-Systemen, sondern auf stabilen, wie etwa #DebianStable, #UbuntuServer, #SLES oder #RHEL. Keine der genannten Distributionen enthält den #xzbackdoor.
Ist das wieder nur schlafmütziger #Compliance Fick-Fuck einer deutschen Behörde, oder möchte man ...
🐞 After a Recent SSH Vulnerability, Systemd Reduces Dependencies | Linuxiac
「 The rationale behind this request is to strip down libsystemd to its core functionalities, thereby reducing the risk of vulnerabilities that could compromise system security 」
Wir sind dieses Wochenende nur durch unglaubliches Glück und extrem knapp an wohl einer der grössten Katastrophen rund um die globale IT-Sicherheit vorbeigeschrammt.
Phuh! Doch — was ist eigentlich passiert? Wie konnte das überhaupt geschehen? Und was können (und müssen) wir tun, um dies zukünftig zu vermeiden?
«Die Feiertage. Die ganzen IT-Abteilungen feiern mit der Familie… Die ganzen IT-Abteilungen? Nein! Eine von unbeugsamen Open-Source-Enthusiasten bevölkerte Mailingliste hört nicht auf, den Eindringlingen Widerstand zu leisten.»
Oh, btw: I was just made aware of a 4½ minute video that summarizes most of the events and has (what I greatly appreciate) some great real-world analogy for how the backdoor was installed and then detected. Enjoy!
Based on their analysis of working hours, timestamps, and holidays, it seems likely "Jia Tan" worked out of Eastern Europe or Russia while doing the #xzBackdoor ⬆️.
un thread simple pour comprendre ce qui s'est passé dans cette histoire de backdoor #xz
▶️ un projet opensource pilier d'internet orphelin de son créateur
▶️ un hacker qui déroule son plan sur plus de 2 ans
▶️ un programmeur qui détecte 500ms de+ dans ses benchmarks