Backdoor hack laat kwetsbaarheid open source zien
Een aantal weken geleden slaagde een onbekende hacker er bijna in om een backdoor in de Linux kernel te plaatsen. De poging zorgde voor veel commotie in de open source gemeenschap en zou volgens critici laten zien hoe kwetsbaar de ontwikkeling van open source is. Open source voorstanders zijn echter van mening dat de backdoor juist werd ontdekt doordat men tijdens de ontwikkeling geen open code trees gebruikt. Dit artikel> behandelt in het kort het ontwikkelen in open source en wat voor gevolgen de backdoor had kunnen hebben.
tijdig is ontdekt en is verwijderd nog voordat deze ook maar iets kon doen is
dit nooit het geval geweest.
Het feit dat hetzelfde is gebeurd bij MS is al genoeg om te kunnen zeggen dat
dit niet een probleem van Open Source is maar een risico van het koppelen
van netwerken aan het internet en het beheer van deze systemen. Het niet op
tijd reageren op patches, bugfixes en service packs is vaak juist de oorzaak
van dit soort problemen.
Het artikel geeft ook aan waar het gevaar m.b.t. open-source ligt, nl: "But if an
external developer had downloaded the hacked CVS code, then made a
genuine modification to Linux and submitted it to Torvalds for inclusion in the
kernel, it may have eventually been approved for inclusion in a new release
such as the upcoming 2.6 kernel." De hacker had enkel de logfiles nog
moeten bijwerken en dan had niemand het gemerkt. Dit is wel een typisch
OpenSource probleem. De code was ten minste 24 uur beschikbaar voor
downloaden.
Bij MS kun je niet je gemodificeerde code opsturen (krijgt de orginele niet
eens te zien [vul hier uw beste MS grap in]) zodat die evt. in een volgende
release meegenomen wordt.
Een jaar geleden was er ook al eens zoiets aan de hand op CVS servers.
http://news.com.com/2100-1001-981830.html?tag=nl
..ook een typisch OpenSource probleem
En onlangs nog iets soortgelijks op FSF-servers (freeware)
Het idee van het aanpassen van files op een centrale server en backdoors
plaatsen is niet bepaald nieuw. Om hierbij het systeem te pakken dat
normaal alleen door Linus direct beheerd wordt is ook niet echt slim in dit
geval.
Verder lees je denk ik erg enthausiast. Je zegt zelf:
downloaden.
Wat je beweert over het 'aanpassen van logs en niemand had het gemerkt' is
overigens ook incorrect. Waar lees je dat of leid je dat uit af?
geen gelukte hack of backdoor geweest terwijl de source code
al jaren publiekelijk beschikbaar is voor iedereen die
toegang heeft tot het internet?
Miljoenen mensen kunnen vrij hun gang gaan met de source
code, dus als het echt zo insecure is en als het echt zo
gevaarlijk is, had het bewijs er al jaren moeten zijn.
verspreid te worden, dat doen anderen voor ze. Dat is inderdaaad slim.
De NSA denkt er net zo over.
werd pas maanden later ontdekt.
Of het nu slim is of niet: het is een probleem. Als je dat niet onder ogen wilt
zien en mensen gaat aanvallen op details (was het nu binnen 24 uur of was
het 24 uur) of gaat roepen dat Microsoft nog veel slechter is en bovendien evil
dan mis je totaal waar het hier om gaat.
Nu was wat deze persoon nog niet eens zo subtiel. Je kan een opzettelijke
fout verzinnen die zeer moeilijk te achterhalen is bij testen, code-inspectie
maar wel effectief een backdoor bevat.
Lijkt mij nou net iets voor een veiligheidsdienst om het op zo'n subtiele
manier aan te pakken. Wie weet hebben de CIA, NSA, FBI, etc. wel ieder hun
eigen backdoor in Linux. ;-)
iedereen dit soort grappen uit kunnen halen.
Hoe is de hacker dan in staat geweest om toch een bestand te veranderen ?
Dan moet 'ie toch eerst de server zelf hacken, of heb ik dat mis? Daar lees ik
niets over :-(
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!