Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Waarschuwing: VIRUS in xz (Linux)
29-03-2024, 19:36 door Anoniem, 22 reacties
Zie https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
(geregistreerd onder CVE-2024-3094.)
De foute code zit in versie 5.6.0 en 5.6.1.
Er wordt geadviseerd om terug te gaan naar versie 5.4.6 stable.
(geregistreerd onder CVE-2024-3094.)
De foute code zit in versie 5.6.0 en 5.6.1.
Er wordt geadviseerd om terug te gaan naar versie 5.4.6 stable.
Reacties (22)
29-03-2024, 23:27 door
Anoniem
Is net eerder gemeld als
https://www.security.nl/posting/836058/Red+Hat+en+VS+waarschuwen+voor+backdoor+in+datacompressietool+XZ
Het is geen virus - (niet zelf-replicerend) maar een backdoor.
https://www.security.nl/posting/836058/Red+Hat+en+VS+waarschuwen+voor+backdoor+in+datacompressietool+XZ
Het is geen virus - (niet zelf-replicerend) maar een backdoor.
30-03-2024, 08:57 door
Anoniem
Uit het bericht blijkt niet dat het een virus is (??)
30-03-2024, 09:04 door
Anoniem
Het is geen virus, de eigenschap van een virus is dat het zichzelf kan verspreiden en daar is geen sprake van.
In dit geval is het een backdoor een library.
In dit geval is het een backdoor een library.
30-03-2024, 12:56 door
walmare
De backdoor functie zit ook niet in de officiële code maar in een testfile (binary) die tijdens het bouwen wordt geïnjecteerd. Deze test binary (die een functie vervangt) bevindt zich in de test folder van de tarball. Daar zal wel een public key inzitten om via ssh te kunnen inloggen.
Dit gaat ongetwijfeld weer discussies opleveren over het toestaan van binaries. Er hadden tijdens het bouwen/relinken wel wat belletjes moeten afgaan omdat er symbols verwijderd waren.
Wel mooi dat er een PostgreSQL database bouwer op de loonlijst van Microsoft dit heeft ontdekt.
Dit gaat ongetwijfeld weer discussies opleveren over het toestaan van binaries. Er hadden tijdens het bouwen/relinken wel wat belletjes moeten afgaan omdat er symbols verwijderd waren.
Wel mooi dat er een PostgreSQL database bouwer op de loonlijst van Microsoft dit heeft ontdekt.
30-03-2024, 13:53 door
Anoniem
Door walmare: De backdoor functie zit ook niet in de officiële code maar in een testfile (binary) die tijdens het bouwen wordt geïnjecteerd. Deze test binary (die een functie vervangt) bevindt zich in de test folder van de tarball. Daar zal wel een public key inzitten om via ssh te kunnen inloggen.
Dit gaat ongetwijfeld weer discussies opleveren over het toestaan van binaries. Er hadden tijdens het bouwen/relinken wel wat belletjes moeten afgaan omdat er symbols verwijderd waren.
Wel mooi dat er een PostgreSQL database bouwer op de loonlijst van Microsoft dit heeft ontdekt.
Dit gaat ongetwijfeld weer discussies opleveren over het toestaan van binaries. Er hadden tijdens het bouwen/relinken wel wat belletjes moeten afgaan omdat er symbols verwijderd waren.
Wel mooi dat er een PostgreSQL database bouwer op de loonlijst van Microsoft dit heeft ontdekt.
Tja, die prosgressql database bouwer gebruikt dus zelf blijkbaar XZ (op linux?)
30-03-2024, 21:28 door
Anoniem
Door Anoniem:
Tja, die prosgressql database bouwer gebruikt dus zelf blijkbaar XZ (op linux?)
Door walmare: De backdoor functie zit ook niet in de officiële code maar in een testfile (binary) die tijdens het bouwen wordt geïnjecteerd. Deze test binary (die een functie vervangt) bevindt zich in de test folder van de tarball. Daar zal wel een public key inzitten om via ssh te kunnen inloggen.
Dit gaat ongetwijfeld weer discussies opleveren over het toestaan van binaries. Er hadden tijdens het bouwen/relinken wel wat belletjes moeten afgaan omdat er symbols verwijderd waren.
Wel mooi dat er een PostgreSQL database bouwer op de loonlijst van Microsoft dit heeft ontdekt.
Dit gaat ongetwijfeld weer discussies opleveren over het toestaan van binaries. Er hadden tijdens het bouwen/relinken wel wat belletjes moeten afgaan omdat er symbols verwijderd waren.
Wel mooi dat er een PostgreSQL database bouwer op de loonlijst van Microsoft dit heeft ontdekt.
Tja, die prosgressql database bouwer gebruikt dus zelf blijkbaar XZ (op linux?)
Vast wel, maar dat was niet de rede: https://www.openwall.com/lists/oss-security/2024/03/29/4
30-03-2024, 23:49 door
Anoniem
Door Anoniem: Is net eerder gemeld als
https://www.security.nl/posting/836058/Red+Hat+en+VS+waarschuwen+voor+backdoor+in+datacompressietool+XZ
Het is geen virus - (niet zelf-replicerend) maar een backdoor.
https://www.security.nl/posting/836058/Red+Hat+en+VS+waarschuwen+voor+backdoor+in+datacompressietool+XZ
Het is geen virus - (niet zelf-replicerend) maar een backdoor.
Foutje, bedankt. Het woord "virus" gleed opeens zomaar van m'n toetsenbord af toen ik even niet goed oplette.
Maar mijn melding was t.a.v. dit onderwerp hier op deze site wel de eerste ,
ook al heeft de zomertijd de werkelijke tijdstippen inmiddels veranderd.
31-03-2024, 18:20 door
Anoniem
Door Anoniem: Zie https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
(geregistreerd onder CVE-2024-3094.)
De foute code zit in versie 5.6.0 en 5.6.1.
Er wordt geadviseerd om terug te gaan naar versie 5.4.6 stable.
(geregistreerd onder CVE-2024-3094.)
De foute code zit in versie 5.6.0 en 5.6.1.
Er wordt geadviseerd om terug te gaan naar versie 5.4.6 stable.
Het is meer een backdoor, geen virus. Maar dat was al gezegd.
Er zullen meer van dit soort backdoors in Linux distros zitten. Ik vermoed minstens een tiental , als het er niet meer zijn.
De OSS community is zeer groot. Allemaal projecten die allerlei inlichtingenfiguren van allerlei landen aantrekken incl westen die dan meehelpen met 'coden' , eenmaal toegang tot de FTP of CVS, kunnen ze submitten wat ze willen.
De truuk is om veel goeie dingen te coden, maar af en toe een glitch te submitten.
Of wat ze ook veel doen, is de sourcecode in tact laten maar de gecompileerde versie van een source-met-backdoor laten komen.
Niemand die het ziet, want als jij een tool van site X neemt, bijv een rpm, die tot in de repo komt, dan ben je 'goed'. Het verspreiden gaat dan verder via Redhat servers of andere officiele , Debian, Fedora etc , ook met BSD systemen
Toen ik nog in intelligence werkte (ander land, no worries, ben niet Nederlands) hingen we altijd met een groepje rond een opensource project. In die tijd kregen bepaalde projecten veel gratis 'hulp'.
Maar die 'hobby coders' werden aan de achterkant stiekem betaald.
Dus ik weet als geen ander dat opensource een wassen neus is , en dat Linux distributies zo lek zijn als een mandje.
Het is zelfs zo dat Windows 10+11 veiliger zijn in de kernel dan de Linux kernel, vooral nadat Microsoft na 8.1 enorm veel werk heeft verricht in de Windows kernel. Ja, het is een product van de US intelligence community dus die komen overal bij, maar je zult er geen buitenlandse exploits in vinden........ BSD en Linux daarintegen.....
Wij konden bijv in Xen en dan via die weg bij alle websites van een bepaalde provider, en dan databases kopieren. Veel kritische infrastructuur is lek, en die bugs of zerodays zijn helemaal niet bekend bij niemand, ook niet bij CERT, of NSA. De NSA is heus niet de enige speler, of de Russen of Chinezen. Er zijn ook andere kleine, heel kleine, globale keyplayers soms met een betere informatiepositie dan een land als Nederland.
Wat ook mee telt, de meeste mensen denken dat opensource de heilige graal is..... ze kunnen niet eens rxvt compilen, laat staan Xorg met alle dependencies compilen. En al kon je het compilen, hoe weet je of al die sourcecode wel zo veilig is?
Hoe weet je of de compiler geen bug heeft?
Hoe weet je of de compiler waarmee jouw compiler is gecompileerd, geen bug heeft?
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Zomaar twee brainkrakers ;))))))
sir boomgaard
aka /home/embahzboom31/
humble servant of marduks split brain horror network
31-03-2024, 19:00 door
Anoniem
Foutje, bedankt. Het woord "virus" gleed opeens zomaar van m'n toetsenbord af toen ik even niet goed oplette.
Geloof me de meeste hier weten wat jij bedoelt. Zomaar twee brainkrakers ;))))))
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Ik gebruik rust, die was er volgens mij niet in 1970. Het is zelfs zo dat Windows 10+11
Is Windows 22 en die moet nog uit komen.
01-04-2024, 14:37 door
Anoniem
Hoe weet je of de compiler geen bug heeft?
Hoe weet je of de compiler waarmee jouw compiler is gecompileerd, geen bug heeft?
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Zomaar twee brainkrakers ;))))))
Sorry hoor dit is geen brainkraker maar STUPIDITYHoe weet je of de compiler waarmee jouw compiler is gecompileerd, geen bug heeft?
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Zomaar twee brainkrakers ;))))))
02-04-2024, 07:51 door
Anoniem
Door Anoniem:
Het is meer een backdoor, geen virus. Maar dat was al gezegd.
Er zullen meer van dit soort backdoors in Linux distros zitten. Ik vermoed minstens een tiental , als het er niet meer zijn.
De OSS community is zeer groot. Allemaal projecten die allerlei inlichtingenfiguren van allerlei landen aantrekken incl westen die dan meehelpen met 'coden' , eenmaal toegang tot de FTP of CVS, kunnen ze submitten wat ze willen.
De truuk is om veel goeie dingen te coden, maar af en toe een glitch te submitten.
Of wat ze ook veel doen, is de sourcecode in tact laten maar de gecompileerde versie van een source-met-backdoor laten komen.
Niemand die het ziet, want als jij een tool van site X neemt, bijv een rpm, die tot in de repo komt, dan ben je 'goed'. Het verspreiden gaat dan verder via Redhat servers of andere officiele , Debian, Fedora etc , ook met BSD systemen
Toen ik nog in intelligence werkte (ander land, no worries, ben niet Nederlands) hingen we altijd met een groepje rond een opensource project. In die tijd kregen bepaalde projecten veel gratis 'hulp'.
Maar die 'hobby coders' werden aan de achterkant stiekem betaald.
Dus ik weet als geen ander dat opensource een wassen neus is , en dat Linux distributies zo lek zijn als een mandje.
Het is zelfs zo dat Windows 10+11 veiliger zijn in de kernel dan de Linux kernel, vooral nadat Microsoft na 8.1 enorm veel werk heeft verricht in de Windows kernel. Ja, het is een product van de US intelligence community dus die komen overal bij, maar je zult er geen buitenlandse exploits in vinden........ BSD en Linux daarintegen.....
Wij konden bijv in Xen en dan via die weg bij alle websites van een bepaalde provider, en dan databases kopieren. Veel kritische infrastructuur is lek, en die bugs of zerodays zijn helemaal niet bekend bij niemand, ook niet bij CERT, of NSA. De NSA is heus niet de enige speler, of de Russen of Chinezen. Er zijn ook andere kleine, heel kleine, globale keyplayers soms met een betere informatiepositie dan een land als Nederland.
Wat ook mee telt, de meeste mensen denken dat opensource de heilige graal is..... ze kunnen niet eens rxvt compilen, laat staan Xorg met alle dependencies compilen. En al kon je het compilen, hoe weet je of al die sourcecode wel zo veilig is?
Hoe weet je of de compiler geen bug heeft?
Hoe weet je of de compiler waarmee jouw compiler is gecompileerd, geen bug heeft?
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Zomaar twee brainkrakers ;))))))
sir boomgaard
aka /home/embahzboom31/
humble servant of marduks split brain horror network
Leuke gedachte, maar waarom gebruikt Microsoft dan het open source Rust om de beveiliging van zijn eigen kernel en core libraries te verbeteren? https://www.theregister.com/2023/04/27/microsoft_windows_rustDoor Anoniem: Zie https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
(geregistreerd onder CVE-2024-3094.)
De foute code zit in versie 5.6.0 en 5.6.1.
Er wordt geadviseerd om terug te gaan naar versie 5.4.6 stable.
(geregistreerd onder CVE-2024-3094.)
De foute code zit in versie 5.6.0 en 5.6.1.
Er wordt geadviseerd om terug te gaan naar versie 5.4.6 stable.
Het is meer een backdoor, geen virus. Maar dat was al gezegd.
Er zullen meer van dit soort backdoors in Linux distros zitten. Ik vermoed minstens een tiental , als het er niet meer zijn.
De OSS community is zeer groot. Allemaal projecten die allerlei inlichtingenfiguren van allerlei landen aantrekken incl westen die dan meehelpen met 'coden' , eenmaal toegang tot de FTP of CVS, kunnen ze submitten wat ze willen.
De truuk is om veel goeie dingen te coden, maar af en toe een glitch te submitten.
Of wat ze ook veel doen, is de sourcecode in tact laten maar de gecompileerde versie van een source-met-backdoor laten komen.
Niemand die het ziet, want als jij een tool van site X neemt, bijv een rpm, die tot in de repo komt, dan ben je 'goed'. Het verspreiden gaat dan verder via Redhat servers of andere officiele , Debian, Fedora etc , ook met BSD systemen
Toen ik nog in intelligence werkte (ander land, no worries, ben niet Nederlands) hingen we altijd met een groepje rond een opensource project. In die tijd kregen bepaalde projecten veel gratis 'hulp'.
Maar die 'hobby coders' werden aan de achterkant stiekem betaald.
Dus ik weet als geen ander dat opensource een wassen neus is , en dat Linux distributies zo lek zijn als een mandje.
Het is zelfs zo dat Windows 10+11 veiliger zijn in de kernel dan de Linux kernel, vooral nadat Microsoft na 8.1 enorm veel werk heeft verricht in de Windows kernel. Ja, het is een product van de US intelligence community dus die komen overal bij, maar je zult er geen buitenlandse exploits in vinden........ BSD en Linux daarintegen.....
Wij konden bijv in Xen en dan via die weg bij alle websites van een bepaalde provider, en dan databases kopieren. Veel kritische infrastructuur is lek, en die bugs of zerodays zijn helemaal niet bekend bij niemand, ook niet bij CERT, of NSA. De NSA is heus niet de enige speler, of de Russen of Chinezen. Er zijn ook andere kleine, heel kleine, globale keyplayers soms met een betere informatiepositie dan een land als Nederland.
Wat ook mee telt, de meeste mensen denken dat opensource de heilige graal is..... ze kunnen niet eens rxvt compilen, laat staan Xorg met alle dependencies compilen. En al kon je het compilen, hoe weet je of al die sourcecode wel zo veilig is?
Hoe weet je of de compiler geen bug heeft?
Hoe weet je of de compiler waarmee jouw compiler is gecompileerd, geen bug heeft?
Hoe weet je of jouw compiler niet bepaalde code doet verbergen, die er al sinds 1970 in zit?
Zomaar twee brainkrakers ;))))))
sir boomgaard
aka /home/embahzboom31/
humble servant of marduks split brain horror network
Ik vind het eerlijk gezegd een achterhaalde non-discussie, proprietair versus open-source.
Het enige (cruciale) verschil is juridisch, niet technisch.
Niets weerhoudt een bedrijf ervan om open source te gebruiken in commerciële producten, het gaat goed samen.
Apple gebruikt veel open source in zijn besturingssystemen, net als Google, en ook Microsofts gebruikt veelvuldig open source (Edge, WSL, etc.). Aan de ene kant zie je veel open source opgenomen worden, aan de andere kant zie je ook bedrijvigheid om open source (RHEL, SUSE, ..)
Ook datacentra en hosters maken veelvuldig gebruik van Linux.
En in grotere commerciële bedrijven heb je ook vaak maar een handjevol mensen die echt weten hoe iets werkt. De rest is vulling en overhead voor allerlei randvoorwaardelijke zaken en continuïteit.
Het probleem van elk open source project en elk commercieel bedrijf is wie het met wie wil doen, en hoe. Ofwel de organisatie.
Bij XZ-Utils is daar duidelijk een probleem, maar de wereld hangt nou eenmaal aan elkaar van aannames en van die paar mensen die echt het werk doen. Dat kan je met een organisatie proberen op te lossen. Toch, als je niet meer mensen met kennis en werklust aangetrokken krijgt met een vacature, hou je als bedrijf ook maar de schijn op naar klanten dat alles goed is geregeld, anders bega je een economisch delict.
De enige oplossing voor dit probleem is als mensen beter met elkaar overweg zouden kunnen, beter met elkaar zouden kunnen samenwerken. Als bijvoorbeeld de mensen achter Ubuntu niet voor zichzelf zouden willen, maar met Debian samen zouden willen werken, in plaats van na elkaar.
Of als de overheid eens zou stoppen met mensen tegen elkaar uitspelen via bedrijven die met elkaar moeten concurreren, en als ze te groot worden weer uit elkaar halen.
Of als we nou eens het concept van intellectueel 'eigendom' zouden loslaten. Met dat concept zouden we nooit uit de oertijd van jagers en verzamelaars gekomen zijn... !
02-04-2024, 12:13 door
Anoniem
Herinneren we ons nog dat er in 2023 een soortgelijke attack is uitgevoerd?
https://www.security.nl/posting/805216/Aanvallers+verborgen+backdoor+in+database+besmette+Barracuda-gateways
De vingers wezen toen ook al in de richting van China.
Dit lijkt met de XZ-kwestie wederom het geval: er duikt hierbij een chinese/indische naam op: Jai Tan.
Laten we wel wezen: China is een land dat al decennia bekend staat vanwege hun kopieer-gedrag,
Dit is in een stroomversnelling geraakt, want nu gaat het niet zozeer meer om de centjes
maar het doel van China is nu: technische dominantie en wereldmacht.
De bekende methode blijft echter bestaan: afkijken en kopiëren (of verbeteren) om bij te blijven en zo mogelijk te exceleren.
Met backdoors kan men natuurlijk heerlijk meekijken,
en als de tijd rijp is eventueel de hele IT-zooi hier massaal laten crashen.
Lees ook eens: https://www.tijd.be/politiek-economie/internationaal/azie/in-2049-wil-china-het-machtigste-land-ter-wereld-zijn-dit-is-de-weg-ernaar-toe/10339178.html
Ook bij de ontwikkeling van de xz backdoor duikt er een chinese naam op: Jai Tan.
Jai Tan betekent zoiets als: "Overwinnende Geweldige". (lijkt me geen toeval: het schetst een bepaalde mentaliteit !!! )
Wat te doen? In ieder geval: wees niet bang, maar let heel goed op, en tref voorbereidingen.
En die Microsoft medewerker die het gevaar ontdekte, zou hier op Koningsdag een lintje moeten krijgen.
Wat zeg ik? Doe maar een hele doos vol lintjes!
Trouwens niemand behoort te worden gedomineerd.
Alle mensen behoren (binnen de grenzen en de redelijkheid van goede wetten) in vrijheid te leven.
https://www.security.nl/posting/805216/Aanvallers+verborgen+backdoor+in+database+besmette+Barracuda-gateways
De vingers wezen toen ook al in de richting van China.
Dit lijkt met de XZ-kwestie wederom het geval: er duikt hierbij een chinese/indische naam op: Jai Tan.
Laten we wel wezen: China is een land dat al decennia bekend staat vanwege hun kopieer-gedrag,
Dit is in een stroomversnelling geraakt, want nu gaat het niet zozeer meer om de centjes
maar het doel van China is nu: technische dominantie en wereldmacht.
De bekende methode blijft echter bestaan: afkijken en kopiëren (of verbeteren) om bij te blijven en zo mogelijk te exceleren.
Met backdoors kan men natuurlijk heerlijk meekijken,
en als de tijd rijp is eventueel de hele IT-zooi hier massaal laten crashen.
Lees ook eens: https://www.tijd.be/politiek-economie/internationaal/azie/in-2049-wil-china-het-machtigste-land-ter-wereld-zijn-dit-is-de-weg-ernaar-toe/10339178.html
Ook bij de ontwikkeling van de xz backdoor duikt er een chinese naam op: Jai Tan.
Jai Tan betekent zoiets als: "Overwinnende Geweldige". (lijkt me geen toeval: het schetst een bepaalde mentaliteit !!! )
Wat te doen? In ieder geval: wees niet bang, maar let heel goed op, en tref voorbereidingen.
En die Microsoft medewerker die het gevaar ontdekte, zou hier op Koningsdag een lintje moeten krijgen.
Wat zeg ik? Doe maar een hele doos vol lintjes!
Trouwens niemand behoort te worden gedomineerd.
Alle mensen behoren (binnen de grenzen en de redelijkheid van goede wetten) in vrijheid te leven.
02-04-2024, 14:01 door
Anoniem
Door Anoniem: Herinneren we ons nog dat er in 2023 een soortgelijke attack is uitgevoerd?
https://www.security.nl/posting/805216/Aanvallers+verborgen+backdoor+in+database+besmette+Barracuda-gateways
De vingers wezen toen ook al in de richting van China.
https://www.security.nl/posting/805216/Aanvallers+verborgen+backdoor+in+database+besmette+Barracuda-gateways
De vingers wezen toen ook al in de richting van China.
Nou nee, niet soortgelijk.
Aanvallers die een backdoor achterlaten is vrij normaal.
Supply chain aanvaller - een backdoor inbouwen in het 'echte' product is behoorlijk zeldzamer.
Juniper/Netscreen firewalls waren zo'n geval.
Ik weet niet (meer ?) of daar de aanvallers ook deel waren van het development team , of externe hackers die de development omgeving hackten.
Ook daar was een Chinese link - ontwikkelteam in China .
En dan recenter natuurlijk Solarwinds.
Of nog zeldzamer - in de standaard. Zoals de NSA deed bij de Dual_EC_RBNG random number generator .
[..]
Jai Tan betekent zoiets als: "Overwinnende Geweldige". (lijkt me geen toeval: het schetst een bepaalde mentaliteit !!! )
Dat is natuurlijk gelul.
Praktisch alle namen - ook Westerse - hebben een betekenis van gewenste eigenschappen , en die je achteraf kunt plakken op gedrag als de drager van de naam wat doet.
Victor - overwinnaar
Peter (Petrus,Petra, Piet etc ) - Rots . (plak maar op een gevoelloze crimineel, achteraf)
Mark (Marcus etc etc) - afgeleid van oorlogsgods Mars .
Dan is het echt erg zinloos om achteraf een hele theorie te bouwen op de vermeende betekenis van een Chinese naam.
02-04-2024, 16:48 door
Anoniem
Door Anoniem:
Nou nee, niet soortgelijk.
Aanvallers die een backdoor achterlaten is vrij normaal.
Supply chain aanvaller - een backdoor inbouwen in het 'echte' product is behoorlijk zeldzamer.
Door Anoniem: Herinneren we ons nog dat er in 2023 een soortgelijke attack is uitgevoerd?
https://www.security.nl/posting/805216/Aanvallers+verborgen+backdoor+in+database+besmette+Barracuda-gateways
De vingers wezen toen ook al in de richting van China.
https://www.security.nl/posting/805216/Aanvallers+verborgen+backdoor+in+database+besmette+Barracuda-gateways
De vingers wezen toen ook al in de richting van China.
Nou nee, niet soortgelijk.
Aanvallers die een backdoor achterlaten is vrij normaal.
Supply chain aanvaller - een backdoor inbouwen in het 'echte' product is behoorlijk zeldzamer.
Ik heb niet gezegd dat de aanval exact hetzelfde is, maar soortgelijk.
In dat geval ging het toen om aanvallers die een backdoor wisten te creëren in een bepaald type gateway.
Dus niet op één gateway, maar op al die specifieke gateways van dat ene fabrikaat kon dat gebeuren.
Ook dit was een hele geniepige aanval.
De aanvallende emails waren zo geconstrueerd dat ze voor spam werden aangezien
zodat het niet zo op zou vallen, En ook bij deze kwestie zou verzuim om in te grijpen tot enorme schade kunnen lijden.
Vandaar dat dit beveiligingslek toen werd gewaardeerd op 9,4 op een schaal van 1 tot en met 10, en terecht.
Nu ligt 9,4 ligt helemaal niet zo ver van 10 af. Dus doe a.u.b. eerst zelf je ogen eens goed open voordat je me (onterecht) veroordeelt. De gelijkenis is voor iemand die oplet en weet waar hij over praat zo klaar als een klontje,
Voor wat betreft de betekenis van de naam: theoretisch kan dat ook nog toeval zijn.
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
02-04-2024, 21:02 door
Anoniem
TechScape: How one man stopped a potentially massive cyber-attack – by accident
https://www.theguardian.com/global/2024/apr/02/techscape-linux-cyber-attack
https://www.theguardian.com/global/2024/apr/02/techscape-linux-cyber-attack
02-04-2024, 21:54 door
Anoniem
Door Anoniem: [
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
Gaan zitten diep-analyseren op een eventueel pseudoniem als 'achteraf-verborgen-clue' is gewoon Geen Verstandige Taal.
Fwiw - heb je overigens z'n Chinees gespelde naam ook nog gevonden ?
Zonder aanduiding van de tonen zijn er zo al meerdere mogelijkheden voor de uitspraak en daarbij betekenis van de naam.
Daarnaast heeft het Chinees (net als iedere taal) dan ook nog homoniemen - zelfde uitspraak , andere betekenis (en al dan niet een ander Chinees karakter ). Om uberhaupt iets te zeggen over de betekenis van een Chinese naam moet je feitelijk de karakter-versie hebben. De pinyin transcriptie is second best - en een platgeslagen versie zonder aanduiding van tonen geeft je waarschijnlijk een fors aantal permutaties die allemaal een naam zijn, met wild verschillende betekenissen.
Verder : jia (a eerste toon) betekent "goed, gelukkig mooi" , of (ander karakter, zelfde uitspraak) - huis,familie.
Nog afgezien van de beperkte waarde die ik hecht aan je betekenis-analyse, heb ik dus sterke twijfels of je uberhaupt een goede betekenis gevonden hebt.
Echt - niet te veel geloven in Hollywood thriller scenario's met diepe clues verstopt in namen.
Ik zit niet heel sterk in Chinese namen - maar voorlopig ga ik ervan uit het een heel normale naam is.En wie weet zelfs een echt persoon.
(Tan, als familie naam , is dat zeker. Ik ben er enkele tegen gekomen. ).
Meneer Richard Johnson zal wel echt een lul zijn... , in de verstandige analyse van een chinees met translator.
03-04-2024, 10:37 door
Anoniem
'What's in a name', zei Shakespeare. Maar je weet het nooit bij de 'uitwisselingen' tussen de unipolaire en multipolaire wereld.
De ene partij voert het uit en de andere wordt er voor aangewezen of krijgt de schuld. Slachtoffers zijn de 'gewone' eindgebruikers.
De bovengenoemde proxy oorlog is al vanaf het begin dezer eeuw aan de gang en die wordt nog steeds grimmiger en grootschaliger.
De ene partij voert het uit en de andere wordt er voor aangewezen of krijgt de schuld. Slachtoffers zijn de 'gewone' eindgebruikers.
De bovengenoemde proxy oorlog is al vanaf het begin dezer eeuw aan de gang en die wordt nog steeds grimmiger en grootschaliger.
03-04-2024, 12:18 door
Anoniem
Sommigen adviseren een downgrade naar xz versie 5.2.5, want toen had er nog geen Jia Tan aan gewerkt.
03-04-2024, 14:23 door
Anoniem
Door Anoniem:
Gaan zitten diep-analyseren op een eventueel pseudoniem als 'achteraf-verborgen-clue' is gewoon Geen Verstandige Taal.
Fwiw - heb je overigens z'n Chinees gespelde naam ook nog gevonden ?
Zonder aanduiding van de tonen zijn er zo al meerdere mogelijkheden voor de uitspraak en daarbij betekenis van de naam.
Daarnaast heeft het Chinees (net als iedere taal) dan ook nog homoniemen - zelfde uitspraak , andere betekenis (en al dan niet een ander Chinees karakter ). Om uberhaupt iets te zeggen over de betekenis van een Chinese naam moet je feitelijk de karakter-versie hebben. De pinyin transcriptie is second best - en een platgeslagen versie zonder aanduiding van tonen geeft je waarschijnlijk een fors aantal permutaties die allemaal een naam zijn, met wild verschillende betekenissen.
Verder : jia (a eerste toon) betekent "goed, gelukkig mooi" , of (ander karakter, zelfde uitspraak) - huis,familie.
Nog afgezien van de beperkte waarde die ik hecht aan je betekenis-analyse, heb ik dus sterke twijfels of je uberhaupt een goede betekenis gevonden hebt.
Echt - niet te veel geloven in Hollywood thriller scenario's met diepe clues verstopt in namen.
Ik zit niet heel sterk in Chinese namen - maar voorlopig ga ik ervan uit het een heel normale naam is.En wie weet zelfs een echt persoon.
(Tan, als familie naam , is dat zeker. Ik ben er enkele tegen gekomen. ).
Meneer Richard Johnson zal wel echt een lul zijn... , in de verstandige analyse van een chinees met translator.
Door Anoniem: [
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
Gaan zitten diep-analyseren op een eventueel pseudoniem als 'achteraf-verborgen-clue' is gewoon Geen Verstandige Taal.
Fwiw - heb je overigens z'n Chinees gespelde naam ook nog gevonden ?
Zonder aanduiding van de tonen zijn er zo al meerdere mogelijkheden voor de uitspraak en daarbij betekenis van de naam.
Daarnaast heeft het Chinees (net als iedere taal) dan ook nog homoniemen - zelfde uitspraak , andere betekenis (en al dan niet een ander Chinees karakter ). Om uberhaupt iets te zeggen over de betekenis van een Chinese naam moet je feitelijk de karakter-versie hebben. De pinyin transcriptie is second best - en een platgeslagen versie zonder aanduiding van tonen geeft je waarschijnlijk een fors aantal permutaties die allemaal een naam zijn, met wild verschillende betekenissen.
Verder : jia (a eerste toon) betekent "goed, gelukkig mooi" , of (ander karakter, zelfde uitspraak) - huis,familie.
Nog afgezien van de beperkte waarde die ik hecht aan je betekenis-analyse, heb ik dus sterke twijfels of je uberhaupt een goede betekenis gevonden hebt.
Echt - niet te veel geloven in Hollywood thriller scenario's met diepe clues verstopt in namen.
Ik zit niet heel sterk in Chinese namen - maar voorlopig ga ik ervan uit het een heel normale naam is.En wie weet zelfs een echt persoon.
(Tan, als familie naam , is dat zeker. Ik ben er enkele tegen gekomen. ).
Meneer Richard Johnson zal wel echt een lul zijn... , in de verstandige analyse van een chinees met translator.
Dus jij denkt dat iemand gewoon een backdoor inbouwt onder zijn of haar eigen naam? Serieus?
03-04-2024, 14:34 door
Anoniem
Door Anoniem: Sommigen adviseren een downgrade naar xz versie 5.2.5, want toen had er nog geen Jia Tan aan gewerkt.
Gekeken naar timeline zou ik zeggen 5.4.1 als er geen bekende bugs in zitten (zover ik weet niet) . Downgrade lagere versie brengt weer andere risico's met zich mee als jezelf niet patching doet of uitbesteed en bad actor was toen nog niet betrokken bij de build zelf dus beetje zinloos.Daarin tegen in 5.4.6 zat al grond werk voor de backdoors dus ik kan er met mijn hoofd niet bij dat er advies daarvoor afgegeven is. Ja de backdoor zit er niet in maar de code is at this point al wel vervuild en in preparatie voor exploiting en dat hoeft dus ook niet nu meer Jia Tan te zijn.
Hier is een makkelijk te volgen timeline van alle events om beslissing over te maken.
https://research.swtch.com/xz-timeline
2023-01-11: Lasse Collin tags and builds his final release, v5.4.1.
2023-03-18: Jia Tan tags and builds their first release, v5.4.2.
2023-06-22: Hans Jansen sends a pair of patches, merged by Lasse Collin, that use the “GNU indirect function” feature to select a fast CRC function at startup time. The final commit is reworked by Lasse Collin and merged by Jia Tan. This change is important because it provides a hook by which the backdoor code can modify the global function tables before they are remapped read-only. While this change could be an innocent performance optimization by itself, Hans Jansen returns in 2024 to promote the backdoored xz and otherwise does not exist on the internet.
We hebben zelf 5.2.* maar onze versie wordt afzonderlijk gepatched en ge-audit door onze leverancier en loopt dus niet gelijk met publieke, test nog code maintain.
03-04-2024, 15:19 door
Anoniem
Door Anoniem:
Dus jij denkt dat iemand gewoon een backdoor inbouwt onder zijn of haar eigen naam? Serieus?
Door Anoniem:
Gaan zitten diep-analyseren op een eventueel pseudoniem als 'achteraf-verborgen-clue' is gewoon Geen Verstandige Taal.
Fwiw - heb je overigens z'n Chinees gespelde naam ook nog gevonden ?
Zonder aanduiding van de tonen zijn er zo al meerdere mogelijkheden voor de uitspraak en daarbij betekenis van de naam.
Daarnaast heeft het Chinees (net als iedere taal) dan ook nog homoniemen - zelfde uitspraak , andere betekenis (en al dan niet een ander Chinees karakter ). Om uberhaupt iets te zeggen over de betekenis van een Chinese naam moet je feitelijk de karakter-versie hebben. De pinyin transcriptie is second best - en een platgeslagen versie zonder aanduiding van tonen geeft je waarschijnlijk een fors aantal permutaties die allemaal een naam zijn, met wild verschillende betekenissen.
Verder : jia (a eerste toon) betekent "goed, gelukkig mooi" , of (ander karakter, zelfde uitspraak) - huis,familie.
Nog afgezien van de beperkte waarde die ik hecht aan je betekenis-analyse, heb ik dus sterke twijfels of je uberhaupt een goede betekenis gevonden hebt.
Echt - niet te veel geloven in Hollywood thriller scenario's met diepe clues verstopt in namen.
Ik zit niet heel sterk in Chinese namen - maar voorlopig ga ik ervan uit het een heel normale naam is.En wie weet zelfs een echt persoon.
(Tan, als familie naam , is dat zeker. Ik ben er enkele tegen gekomen. ).
Meneer Richard Johnson zal wel echt een lul zijn... , in de verstandige analyse van een chinees met translator.
Door Anoniem: [
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
En het was uiteraard niet de bedoeling om hier alle "Jai Tan's" in een kwaad daglicht te stellen. Laten we dat voorop stellen.
Maar dat neemt niet weg dat de schijn behoorlijk aanwezig is dat het niet toevallig is dat ene "Jai Tan" (meestal een pseudoniem in zo'n geval...) niet zomaar deze naam als pseudoniem had gekozen!
Het mag dan nog wat een twijfelgeval zijn, maar het lijkt mij geen toeval, omdat het opmerkelijk goed in het hele plaatje past zoals ik had aangegeven. Maar mocht het 100% bewezen worden dat ik op dit punt ongelijk had, dan biedt ik hierover alvast mijn excuses aan. (en noem in het vervolg verstandige taal a.u.b.geen "gelul")
Gaan zitten diep-analyseren op een eventueel pseudoniem als 'achteraf-verborgen-clue' is gewoon Geen Verstandige Taal.
Fwiw - heb je overigens z'n Chinees gespelde naam ook nog gevonden ?
Zonder aanduiding van de tonen zijn er zo al meerdere mogelijkheden voor de uitspraak en daarbij betekenis van de naam.
Daarnaast heeft het Chinees (net als iedere taal) dan ook nog homoniemen - zelfde uitspraak , andere betekenis (en al dan niet een ander Chinees karakter ). Om uberhaupt iets te zeggen over de betekenis van een Chinese naam moet je feitelijk de karakter-versie hebben. De pinyin transcriptie is second best - en een platgeslagen versie zonder aanduiding van tonen geeft je waarschijnlijk een fors aantal permutaties die allemaal een naam zijn, met wild verschillende betekenissen.
Verder : jia (a eerste toon) betekent "goed, gelukkig mooi" , of (ander karakter, zelfde uitspraak) - huis,familie.
Nog afgezien van de beperkte waarde die ik hecht aan je betekenis-analyse, heb ik dus sterke twijfels of je uberhaupt een goede betekenis gevonden hebt.
Echt - niet te veel geloven in Hollywood thriller scenario's met diepe clues verstopt in namen.
Ik zit niet heel sterk in Chinese namen - maar voorlopig ga ik ervan uit het een heel normale naam is.En wie weet zelfs een echt persoon.
(Tan, als familie naam , is dat zeker. Ik ben er enkele tegen gekomen. ).
Meneer Richard Johnson zal wel echt een lul zijn... , in de verstandige analyse van een chinees met translator.
Dus jij denkt dat iemand gewoon een backdoor inbouwt onder zijn of haar eigen naam? Serieus?
Natuurlijk kan dat best.
Misschien begon hij te goeder trouw, en is later overgehaald/overreed om het moederland te helpen.
Misschien is z'n account overgenomen .
En, aangenomen dat het inderdaad een Chinees in staatsdienst is - wie maakt 'm wat , zolang hij geen verre reis-ambities heeft ?
Maar anyway - echte naam of 'normaal ogend alias' - het enige wat je nou NIET serieus moet denken is dat je daar diepe clues uit kunt destilleren.
We hebben hier iemand die serieus denkt dat _als_ een geheime dienst een alias identiteit introduceert ze daar allerlei hints in verstoppen voor de goede verstaander qua betekenis van de naam. DAT is onlogisch.
Het is wel een leuk plot device in thrillers .
Als je nou een alias-identiteit creeert - maak die vooral zo onopvallend mogelijk , 13 in een dozijn. Precies een echte naam die vast ook gedeeld wordt door tig echte personen.
Als iemand naar z'n achtergronden zoekt gaat hij op in de massa. En GEEN alias met stiekeme vermeende relevante hint naar het doel van een operatie.
Er is weinig definitief over te vinden - maar bij witness protection (of undercover agents) hebben ongeveer dezelfde behoeften voor nieuwe identiteiten . Wat er te wel te vinden is, is vrij simpel en logisch : typisch behoud van voornaam (zodat iemand normaal blijft reageren ) , een andere achternaam van de juiste etniciteit (italiaans, iers, zwart etc) . En vooral GEEN humor namen , hints naar het oude leven, oma's familienaam etc. Kortom - juist geen kapstop voor een diepdenkende analist om iets uit af te leiden. De mafioos in witness protection krijgt alles _behalve_ "santino m. corleone" als nieuwe naam.
05-04-2024, 01:35 door
Anoniem
Theoretisch kan er van alles, maar niet alles is even waarschijnlijk.
Lees nu https://www.wired.com/story/jia-tan-xz-backdoor/
Het is allemaal zo verfijnd, geduldig en intelligent opgezet dat je verwacht dat er één of andere professionele organisatie o.i.d. achter zit. Als het snode plan was gelukt, dan kan je wel inschatten wat er zou kunnen gebeuren.
Ga dan bij jezelf eens na: wie zouden ons dit aan willen doen en waarom?
De wereld staat op scherp. Er wordt steeds meer geaast op de macht. Want een aantal groepen is het beu om zich te moeten schikken naar de huidige grootmachthebbers in deze wereld. Dat is wat ik om me heen meen te zien.
Dit is trouwens op alle fronten. Kijk bijv. naar al het opgefokte commentaar over destijds de coronamaatregelen.
De één wist het niet beter dan de ander. Maar daar schiet niemand wat mee op. Als op een boot iedereen de stuurman wil zijn, kom je nergens. Iemand moet in zulke situaties de leiding hebben. Ideaal is het niet altijd, maar wel beter.
Een hand vol rust is beter dan twee vuisten vol zwoegen en najagen van wind. (allemaal energieverspilling dus,
die je beter zou kunnen inzetten)
Lees nu https://www.wired.com/story/jia-tan-xz-backdoor/
Het is allemaal zo verfijnd, geduldig en intelligent opgezet dat je verwacht dat er één of andere professionele organisatie o.i.d. achter zit. Als het snode plan was gelukt, dan kan je wel inschatten wat er zou kunnen gebeuren.
Ga dan bij jezelf eens na: wie zouden ons dit aan willen doen en waarom?
De wereld staat op scherp. Er wordt steeds meer geaast op de macht. Want een aantal groepen is het beu om zich te moeten schikken naar de huidige grootmachthebbers in deze wereld. Dat is wat ik om me heen meen te zien.
Dit is trouwens op alle fronten. Kijk bijv. naar al het opgefokte commentaar over destijds de coronamaatregelen.
De één wist het niet beter dan de ander. Maar daar schiet niemand wat mee op. Als op een boot iedereen de stuurman wil zijn, kom je nergens. Iemand moet in zulke situaties de leiding hebben. Ideaal is het niet altijd, maar wel beter.
Een hand vol rust is beter dan twee vuisten vol zwoegen en najagen van wind. (allemaal energieverspilling dus,
die je beter zou kunnen inzetten)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
