Door Anoniem: Het is meer een backdoor, geen virus. Maar dat was al gezegd.
Er zullen meer van dit soort backdoors in Linux distros zitten. Ik vermoed minstens een tiental , als het er niet meer zijn.
De OSS community is zeer groot. Allemaal projecten die allerlei inlichtingenfiguren van allerlei landen aantrekken incl westen die dan meehelpen met 'coden' , eenmaal toegang tot de FTP of CVS, kunnen ze submitten wat ze willen.
De truuk is om veel goeie dingen te coden, maar af en toe een glitch te submitten.
Of wat ze ook veel doen, is de sourcecode in tact laten maar de gecompileerde versie van een source-met-backdoor laten komen.
Niemand die het ziet, want als jij een tool van site X neemt, bijv een rpm, die tot in de repo komt, dan ben je 'goed'. Het verspreiden gaat dan verder via Redhat servers of andere officiele , Debian, Fedora etc , ook met BSD systemen
Toen ik nog in intelligence werkte (ander land, no worries, ben niet Nederlands) hingen we altijd met een groepje rond een opensource project. In die tijd kregen bepaalde projecten veel gratis 'hulp'.
Maar die 'hobby coders' werden aan de achterkant stiekem betaald.
Dus ik weet als geen ander dat opensource een wassen neus is , en dat Linux distributies zo lek zijn als een mandje.
Het is zelfs zo dat Windows 10+11 veiliger zijn in de kernel dan de Linux kernel, vooral nadat Microsoft na 8.1 enorm veel werk heeft verricht in de Windows kernel. Ja, het is een product van de US intelligence community dus die komen overal bij, maar je zult er geen buitenlandse exploits in vinden........ BSD en Linux daarintegen.....
Wij konden bijv in Xen en dan via die weg bij alle websites van een bepaalde provider, en dan databases kopieren. Veel kritische infrastructuur is lek, en die bugs of zerodays zijn helemaal niet bekend bij niemand, ook niet bij CERT, of NSA. De NSA is heus niet de enige speler, of de Russen of Chinezen. Er zijn ook andere kleine, heel kleine, globale keyplayers soms met een betere informatiepositie dan een land als Nederland.
Wat ook mee telt, de meeste mensen denken dat opensource de heilige graal is..... ze kunnen niet eens rxvt compilen, laat staan Xorg met alle dependencies compilen. En al kon je het compilen, hoe weet je of al die sourcecode wel zo veilig is?
Hoe weet je of de compiler geen bug heeft?
Hoe weet je of de compiler waarmee jouw compiler is gecompileerd, geen bug heeft?
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Zomaar twee brainkrakers ;))))))
sir boomgaard
aka /home/embahzboom31/
humble servant of marduks split brain horror network
Leuke gedachte, maar waarom gebruikt Microsoft dan het open source Rust om de beveiliging van zijn eigen kernel en core libraries te verbeteren? https://www.theregister.com/2023/04/27/microsoft_windows_rust
Ik vind het eerlijk gezegd een achterhaalde non-discussie, proprietair versus open-source.
Het enige (cruciale) verschil is juridisch, niet technisch.
Niets weerhoudt een bedrijf ervan om open source te gebruiken in commerciële producten, het gaat goed samen.
Apple gebruikt veel open source in zijn besturingssystemen, net als Google, en ook Microsofts gebruikt veelvuldig open source (Edge, WSL, etc.). Aan de ene kant zie je veel open source opgenomen worden, aan de andere kant zie je ook bedrijvigheid om open source (RHEL, SUSE, ..)
Ook datacentra en hosters maken veelvuldig gebruik van Linux.
En in grotere commerciële bedrijven heb je ook vaak maar een handjevol mensen die echt weten hoe iets werkt. De rest is vulling en overhead voor allerlei randvoorwaardelijke zaken en continuïteit.
Het probleem van elk open source project en elk commercieel bedrijf is wie het met wie wil doen, en hoe. Ofwel de organisatie.
Bij XZ-Utils is daar duidelijk een probleem, maar de wereld hangt nou eenmaal aan elkaar van aannames en van die paar mensen die echt het werk doen. Dat kan je met een organisatie proberen op te lossen. Toch, als je niet meer mensen met kennis en werklust aangetrokken krijgt met een vacature, hou je als bedrijf ook maar de schijn op naar klanten dat alles goed is geregeld, anders bega je een economisch delict.
De enige oplossing voor dit probleem is als mensen beter met elkaar overweg zouden kunnen, beter met elkaar zouden kunnen samenwerken. Als bijvoorbeeld de mensen achter Ubuntu niet voor zichzelf zouden willen, maar met Debian samen zouden willen werken, in plaats van na elkaar.
Of als de overheid eens zou stoppen met mensen tegen elkaar uitspelen via bedrijven die met elkaar moeten concurreren, en als ze te groot worden weer uit elkaar halen.
Of als we nou eens het concept van intellectueel 'eigendom' zouden loslaten. Met dat concept zouden we nooit uit de oertijd van jagers en verzamelaars gekomen zijn... !