image

Onderzoeker: XZ-backdoor maakt remote code execution mogelijk

zondag 31 maart 2024, 09:35 door Redactie, 65 reacties

De backdoor die in datacompressietool XZ werd aangetroffen is geen authenticatie bypass, maar maakt remote code execution mogelijk, zo stelt onderzoeker Filippo Valsorda. Hij spreekt van een nachtmerriescenario en noemt het mogelijk de best uitgevoerde supplychain-aanval ooit die ontdekt is. Daarnaast blijkt dat het zeer lastig is om op de aanwezigheid van de backdoor te scannen.

XZ is een tool voor het comprimeren en decomprimeren van bestanden en is in veel Linux-distributies aanwezig. Deze week werd bekend dat verschillende versies van de tool een backdoor bevatten. "Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken om authenticatie te omzeilen en lijkt gebruikt te worden om SSH te compromitteren. Het is nog onbekend wat nodig is voor het omzeilen van authenticatie. Het is mogelijk dat bij het verbinding met een kwetsbaar systeem via SSH dat er performance problemen optreden", aldus het Nationaal Cyber Security Centrum (NCSC) in een update van het eerder uitgebrachte beveiligingsbulletin.

Volgens de overheidsinstanties is een systeem hoogstwaarschijnlijk alleen kwetsbaar als het voldoet aan de volgende voorwaarden: een Linux-distributie met glibc (for IFUNC) en versie 5.6.0 of 5.6.1 van xz of liblzma geïnstalleerd (XZ Utils wordt geleverd met de library liblzma). Valsorda stelt dat de de backdoor informatie gebruikt uit een door de aanvaller aangeboden certificaat. Vervolgens kan er een payload op het systeem worden uitgevoerd, aldus de onderzoeker. Waarbij een aanvaller in het geval van een authenticatie bypass alleen toegang krijgt als de gebruiker waarmee wordt ingelogd, kan er in het geval van de nu ontdekte backdoor code binnen het sshd (SSH daemon) proces worden uitgevoerd, zo reageert iemand op de analyse van Valsorda op Hacker News. Als sshd als root draait wordt ook de payload van de aanvaller als root uitgevoerd.

Valsorda voegt toe dat als de aan de backdoor aangeboden payload niet klopt of de signature van de key van de aanvaller niet overeenkomt, de backdoor weer terugvalt op zijn normale werking. Dit maakt het volgens de onderzoeker lastig om een betrouwbare netwerkscanner te maken waarmee de aanwezigheid van de backdoor is te detecteren. "Dit is mogelijk de best uitgevoerde supplychain-aanval die ooit in het openbaar is beschreven, en het is een nachtmerriescenario: kwaadaardig, competent, geautoriseerde upstream in een veelgebruikte library", aldus Valsorda.

Bij toeval

De onderzoeker merkt op dat de backdoor bij toeval is ontdekt. "Vraag me af hoelang het anders had geduurd." De backdoor werd tijdens het uitvoeren van postgres benchmarks gevonden door Andres Freund, een postgres-ontwikkelaar die bij Microsoft werkt. Ook onderzoeker Gynvael Coldwind stelt in zijn analyse dat iemand zeer veel moeite heeft gedaan om de backdoor onschuldig te doen lijken en dat die redelijk goed verborgen is. "Ik kan niet anders dan mezelf afvragen (net zoals ik denk de rest van onze security community) - als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."

Reacties (65)
31-03-2024, 10:25 door Anoniem
Beetje domme conclusie van die onderzoeker. Dat geldt voor alle software en met name die software met veel kritieke bugs .
Wat hier bijzonder is is dat het om een maintainer gaat die er min 2 jaar over heeft gedaan om vriendjes te worden en vervolgens is gaan saboteren. Dat is nog niet eerder gebeurd en maakt het geval uniek. Zon scenario wordt regelmatig over gesproken. Ontwikkelaars kunnen worden omgekocht door statelijke actoren. Ik heb het zelf meegemaakt dat code werd gesaboteerd in een closed source product. Komt vaker voor dan je denkt vrees ik.
31-03-2024, 10:29 door Anoniem
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
31-03-2024, 11:16 door Anoniem
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.
31-03-2024, 11:33 door Xavier Ohole - Bijgewerkt: 31-03-2024, 11:33
Door Anoniem: Ik heb het zelf meegemaakt dat code werd gesaboteerd in een closed source product. Komt vaker voor dan je denkt vrees ik.

Inderdaad en helaas zal je het bij closed source software waarschijnlijk nooit weten.

https://dictionary.cambridge.org/dictionary/english/closed
31-03-2024, 12:24 door Anoniem
iets wat door mensen handen is gemaakt is niet perfect.....zie hier het feit....
31-03-2024, 12:59 door Anoniem
Github heeft de repository van XZ offline gehaald.
https://github.com/tukaani-project/xz
31-03-2024, 14:21 door Anoniem
Door Anoniem: Github heeft de repository van XZ offline gehaald.
https://github.com/tukaani-project/xz

Dat is de reactie van TLA als hun malware ontdekt wordt. Sporen uitwissen en ontkennen dat ze er bij betrokken zijn.
31-03-2024, 14:52 door Anoniem
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.

Nu moeten politici die eens een keer gaan lezen. Dat zijn de echte drammers.

Welke fall back oplossingen hebben politici bedacht of geregeld voor als het een keer echt fout gaat?
Of moeten we wachten tot de economie een keer in puin draait voordat ze in actie komen. Of zelfs maar een draaiboek laten opstellen.

De laatste twee keren waren corona en energie (gas) leveringsproblemen een "verrassing" voor het kabinet.
Wordt een misbruikte backdoor in wijdverspreide software of tools de volgende crisis waar ze geen voorbereid antwoord op hebben?

Just askin'
31-03-2024, 15:13 door Anoniem
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.
En als je die niet (goed) begrijpt, ben je een "digibeet"?

In dat licht begrijp ik ook niet waarom mensen zo nodig een telefooncomputer (AKA Smartphone) willen gebruiken voor betalingshandelingen: alsof een betaalpas niet gemokkelijk genoeg is...
31-03-2024, 18:05 door Anoniem
Het is over het algemeen de bedoeling dat het veilig genoeg is voor de gemiddelde gebruiker, en gezien de snelheid van de fix zullen er zeer weinig slachtoffers vallen, het is goed dat men het lek zeer serieus neemt en er niet laks mee omgaat.
Datzwlfde geldt voor Android en haar maandelijkse patches, gaat best goed.
Vandaar dat het updaten en bijhouden van software zo belangrijk is.
Wel ben ik zelf minder gecharmeert van de zwarte dozen waarvan je vaak niet weet wat erin zit, er is een groot verschil tussen transparante vrije software en closed proprietairy/commerciele software.
31-03-2024, 18:09 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.
En als je die niet (goed) begrijpt, ben je een "digibeet"?

In dat licht begrijp ik ook niet waarom mensen zo nodig een telefooncomputer (AKA Smartphone) willen gebruiken voor betalingshandelingen: alsof een betaalpas niet gemokkelijk genoeg is...

Smartphone = All-in-One.
Wat wil je nog meer. Als het breekt, gestolen of verloren raakt, ben je meteen alles kwijt. Wel zo handig.
/s
31-03-2024, 18:38 door Anoniem
alsof een betaalpas niet gemokkelijk genoeg is...
Ik gebruik zeker geen smartphone voor betalingen, met een bankpas kan ik ook betalen en hoef niet
met zo'n zwaar veel te duur betaalde smartphone rond te lopen. Jammer voor die techbedrijven maar
mijn privacy is ook wat waard, maar daar voor moeten we nog een paar jaar wachten om dat te begrijpen.
Maar die techbedrijven zullen wel doorgaan om iedereen aan die super veilige smartphone te krijgen.
31-03-2024, 19:18 door Anoniem
wel grappig dat een goed geplaatste punt de hele sandbox void...
mooi geinjecteerd, dat wel..
31-03-2024, 20:38 door Anoniem
Door Anoniem:
Door Anoniem: Github heeft de repository van XZ offline gehaald.
https://github.com/tukaani-project/xz

Dat is de reactie van TLA als hun malware ontdekt wordt. Sporen uitwissen en ontkennen dat ze er bij betrokken zijn.

Je beweert hier dat Microsoft hetzelfde is als een van jouw drie letter organisaties. Zou het niet eerder voor de hand liggen dat er gewoon te goeder trouw is ingegrepen door de Github organisatie in de verspreiding van besmette software? Of past dat niet in jouw frame?
31-03-2024, 21:43 door Anoniem
Door Anoniem: Datzwlfde geldt voor Android en haar maandelijkse patches, gaat best goed.

Alleen bereiken die maar een deel van de toestellen die nog in gebruik zijn.
Want leveranciers of telco's zijn traag met het leveren van de updates of leveren ze helemaal niet meer.
(Toestellen gaan namelijk fysiek veel langer mee dat de magere support duur van de leveranciers/telco's)

Dan kan Google nog zoveel maandelijkse patches uitbrengen. Haar Android ecosysteem blijft zeer kwetsbaar.
(Ontwerpfoutje, bedankt)
31-03-2024, 22:29 door Anoniem
Via een Terminal opdracht kun je in Linux controleren welke versie van XZ aanwezig is.
Typ daarvoor:

jan@tilanus:~$ xz --version

In de Terminal zie je dan zoiets:

xz (XZ Utils) 5.2.5
liblzma 5.2.5
jan@tilanus:~ $
31-03-2024, 23:17 door Anoniem
Door Anoniem: Via een Terminal opdracht kun je in Linux controleren welke versie van XZ aanwezig is.
Typ daarvoor:

jan@tilanus:~$ xz --version

In de Terminal zie je dan zoiets:

xz (XZ Utils) 5.2.5
liblzma 5.2.5
jan@tilanus:~ $

Wat dacht je van: xz --version
31-03-2024, 23:54 door Anoniem
Commentaar van Brodie Robertson: https://www.youtube.com/watch?v=OHAyf0qwdCs
De manier waarop ze het hebben gedaan was nogal sneaky en het was bijna gelukt.
Altijd waakzaam blijven dus.

De huidige xz-versie van je linux distro boven water krijgen?

xz -V is de kortste klap.
01-04-2024, 01:28 door Anoniem
Door Anoniem:
Door Anoniem: Datzwlfde geldt voor Android en haar maandelijkse patches, gaat best goed.

Alleen bereiken die maar een deel van de toestellen die nog in gebruik zijn.
Want leveranciers of telco's zijn traag met het leveren van de updates of leveren ze helemaal niet meer.
(Toestellen gaan namelijk fysiek veel langer mee dat de magere support duur van de leveranciers/telco's)

Dan kan Google nog zoveel maandelijkse patches uitbrengen. Haar Android ecosysteem blijft zeer kwetsbaar.
(Ontwerpfoutje, bedankt)
Mhh, dat is waar, het is belangrijk om kritisch te blijven opdat er verbeterd kan worden.
Zonder kritische opinies zouden er geen verbeteringen worden voortgebracht.
Zonder debat zouden we eveneems een politiek hebben die qua kwaliteit alleen maar achteruit zou gaan, als iedereen overal klakkeloos mee akoord zou gaan... Maar ik dwaal af.
Maar ik neem mijn standpunt over die updates terug, de updates zelf zijn altijd een goede stap de juiste richting op, maar we zijn er nog lang niet.
Ik gebruik zelf een telefoon met AOSP-gebaseerde firmware (met verified boot) en zou deze niet meer in gebruik nemen als er geen updates meer zouden zijn, hooguit als offline spelcomputer of iets dergelijks, dan zou ik er zo'n gamepad aan hangen, maar andere mensen blijven zo'n ding gebruiken ondanks de potentiele gevaren.
Hoewel dat prbleem een aantal jaar terug wel erger was san nu moet ik zeggen, inmiddels worden telefoins wel langer geupdate dankzij nieuwe weten en regelgeving.
01-04-2024, 08:05 door karma4 - Bijgewerkt: 01-04-2024, 08:06
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
... Dat doen ze lees de EULA van Microsoft.

En welke EULA van open source?
=> Gebruik op eigen risico, u kunt de code zelf inzien.
Zijn er miljoenen code regels andere geimporteerde libraries waardoor zoiets eeuwen kan duren als ooit de code begrepen kan worden. De softwarecrisis is meer dan roepen dat er ergens wel een bibliotheek staat waar je wat kan lezen,
01-04-2024, 09:06 door Xavier Ohole
Door karma4:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
... Dat doen ze lees de EULA van Microsoft.

En welke EULA van open source?
=> Gebruik op eigen risico, u kunt de code zelf inzien.
Zijn er miljoenen code regels andere geimporteerde libraries waardoor zoiets eeuwen kan duren als ooit de code begrepen kan worden. De softwarecrisis is meer dan roepen dat er ergens wel een bibliotheek staat waar je wat kan lezen,

Het kunnen inzien van open source software broncode werkt, dat is nu toch wel gebleken! Bij closed source software - zoals die van Microsoft - kom je niet verder dan vermoedens dat het er wel vol mee zal zitten.

https://pbs.twimg.com/media/GKAjV6tXMAEwoEq?format=png&name=small
01-04-2024, 09:29 door Anoniem
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.
Wat mij altijd opvalt is als het er software pakket betreft dat op een Linux distri draait waar een bug inzit dan ligt de schuld bij de software leverancier en nooit aan Linux. Maar als hetzelfde pakket op Windows draait is het altijd de schuld van Microsoft. Dat meten met 2 maten is best treurig eigenlijk. Daarnaast waarom de Linux fanaten zograag Microsoft bashen is mij een raadsel. Als iedereen overstapt naar het zo heilige Linux dan worden daar grote hoeveelheden bugs gevonden dat Linux niet meer als veilig gepredikt kan worden. Stappen deze Linux fanaten dan over op Windows? Daar zit voor de Linux community toch echt een gevaar als we allemaal ineens gaan luisteren naar hem.
01-04-2024, 11:11 door karma4
Door Xavier Ohole: Het kunnen inzien van open source software broncode werkt, dat is nu toch wel gebleken! l]
Kletskoek als het zou werken dan zou het niet toevallig bij een ander onderzoek naar boven gekomen zijn.
Bedenk men keek niet naar deze software men zag als ware black box vreemd gedrag.

De code zelf heeft men nog steeds niet door.
Ofwel code kunnen zien zegt in het geheel niets. In dit geval ernstig want iemand anders die het zou doen zegt niets.
01-04-2024, 11:12 door Anoniem
Door Anoniem: [...]
Daarnaast waarom de Linux fanaten zograag Microsoft bashen is mij een raadsel. [...]
Dat is inderdaad wat overdreven en vaak alleen maar om de eigen keuze te bevestigen.
Aan de andere kant moet je voor Microsoft Windows betalen
terwijl dat systeem nogal chaotisch en dus minder gebruiksvriendelijk is
vergeleken met bijvoorbeeld macOS en Gnome (wat ook nog gratis is!).
Daarnaast kun je met Linux oudere computers nog goed laten werken
wat met Windows en macOS vaak niet zo is.
01-04-2024, 12:23 door Xavier Ohole - Bijgewerkt: 01-04-2024, 12:24
Door karma4:
Door Xavier Ohole: Het kunnen inzien van open source software broncode werkt, dat is nu toch wel gebleken! l]
Kletskoek als het zou werken dan zou het niet toevallig bij een ander onderzoek naar boven gekomen zijn.

Je snapt de comic waarnaar ik linkte niet?

Door karma4: Bedenk men keek niet naar deze software men zag als ware black box vreemd gedrag.

En? Men kon de detectie opvolgen door in de publiek beschikbare broncode te kijken. Dat is nu net de clou.

Door karma4: De code zelf heeft men nog steeds niet door.
Ofwel code kunnen zien zegt in het geheel niets. In dit geval ernstig want iemand anders die het zou doen zegt niets.

Wat een non-argumenten produceer jij zeg. Men is nog bezig en dat het niet gemakkelijk is doet niets af aan het feit dat men de publiek beschikbare broncode kan bekijken! Bij closed source, proprietary software is men aan de goden overgeleverd en komt men nooit voorbij de blackbox-view en vermoedens dat er wel backdoors, spyware 'telemetry', etc. in zullen zitten.
01-04-2024, 13:20 door Anoniem
Kali maar even niet updaten:
xz-utils/kali-rolling 5.6.1+really5.4.5-1 amd64 [upgradable from: 5.4.5-0.3]
01-04-2024, 13:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.

Nu moeten politici die eens een keer gaan lezen. Dat zijn de echte drammers.

Welke fall back oplossingen hebben politici bedacht of geregeld voor als het een keer echt fout gaat?
Of moeten we wachten tot de economie een keer in puin draait voordat ze in actie komen. Of zelfs maar een draaiboek laten opstellen.

De laatste twee keren waren corona en energie (gas) leveringsproblemen een "verrassing" voor het kabinet.
Wordt een misbruikte backdoor in wijdverspreide software of tools de volgende crisis waar ze geen voorbereid antwoord op hebben?

Just askin'
Daar is een zeer actuele comedy film over: [Don't Look Up] https://www.imdb.com/title/tt11286314/
01-04-2024, 13:32 door Anoniem
Door Anoniem:
alsof een betaalpas niet gemokkelijk genoeg is...
Ik gebruik zeker geen smartphone voor betalingen, met een bankpas kan ik ook betalen en hoef niet
met zo'n zwaar veel te duur betaalde smartphone rond te lopen. Jammer voor die techbedrijven maar
mijn privacy is ook wat waard, maar daar voor moeten we nog een paar jaar wachten om dat te begrijpen.
Maar die techbedrijven zullen wel doorgaan om iedereen aan die super veilige smartphone te krijgen.
Er zijn tegenwoordig ook light phones zonder social media browsers etc.
01-04-2024, 13:55 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.
Wat mij altijd opvalt is als het er software pakket betreft dat op een Linux distri draait waar een bug inzit dan ligt de schuld bij de software leverancier en nooit aan Linux. Maar als hetzelfde pakket op Windows draait is het altijd de schuld van Microsoft. Dat meten met 2 maten is best treurig eigenlijk. Daarnaast waarom de Linux fanaten zograag Microsoft bashen is mij een raadsel. Als iedereen overstapt naar het zo heilige Linux dan worden daar grote hoeveelheden bugs gevonden dat Linux niet meer als veilig gepredikt kan worden. Stappen deze Linux fanaten dan over op Windows? Daar zit voor de Linux community toch echt een gevaar als we allemaal ineens gaan luisteren naar hem.

Wat een treurige (frustratie) reactie zeg. Niemand die dat beweert. Het gaat hier niet over een bug en ook niet over Linux (is alleen de kernel) of windows. Linux is ook niet religieus. Het gaat over dat er tijdens het bouwen malware wordt geïnjecteerd mbv een objectfile die niet eens in de codebase zit maar in de tarball van xz (https://nl.wikipedia.org/wiki/Tarball). Sabotage van binnenuit (maintainers testers en developers) speelt overal in elke organisatie. Overal probeert men mensen om te kopen. We hebben het hier niet over een technisch probleem (wat techneuten vaak denken) maar over een organisatorisch (corruptie) probleem.
01-04-2024, 13:58 door karma4 - Bijgewerkt: 01-04-2024, 13:58
Door Xavier Ohole:
En? Men kon de detectie opvolgen door in de publiek beschikbare broncode te kijken. Dat is nu net de clou.
De clou in deze is dat men daar toch niet zoveel aan had. Tevens niemand keek naar de code ook als wat het echt fout.

Wat een non-argumenten produceer jij zeg. Men is nog bezig en dat het niet gemakkelijk is doet niets af aan het feit dat men de publiek beschikbare broncode kan bekijken!
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is. Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken. Blackbox software is al gebundelde open source waar de supply onduidelijk wordt. Men is aan de goden overgeleverd. En nee het hobbyisme om zelf systemen te bouwen is ver uit de tijd.
Het huidige ideaal is de cloud.
01-04-2024, 14:03 door Anoniem
Door karma4:
Door Xavier Ohole: Het kunnen inzien van open source software broncode werkt, dat is nu toch wel gebleken! l]
Kletskoek als het zou werken dan zou het niet toevallig bij een ander onderzoek naar boven gekomen zijn.
Bedenk men keek niet naar deze software men zag als ware black box vreemd gedrag.

De code zelf heeft men nog steeds niet door.
Ofwel code kunnen zien zegt in het geheel niets. In dit geval ernstig want iemand anders die het zou doen zegt niets.
Open source en vrije software zijn een stap in de goede richting, beter dan een black-box proprietaire code, maar niets is perfext, dat heeft ook nooit iemand geclaimt.
Maar mensen hebben er in ieder geval toegang tot, dat is een grote plus, geen nadeel, integendeel.
Zelfs een bedraad toetsenbord kan worden afgekeken via de analyse van magnetische velden, maar dat betekend niet dat bedrade toetsenborden slexhter zijn dan draadloze toetsenborden, die zijn vaak vele malen onveiliger, maar het versxhilt ook per gebal, in dit geval ging het niet goed, maar mensen doen hun best om alles zo goed mogelijk te laten verlopen, zeker in het geval van GNU+Linux, dat zijn vaak erg persoonlijke community projecten waar men veel werk in hebben gestoken, vaak in de vrije tijd en zonder gefinancieerd te worden, dus zo'n aanval nemen zij erg persoonlijk op.
01-04-2024, 14:11 door Anoniem
Door karma4:
Door Xavier Ohole: Het kunnen inzien van open source software broncode werkt, dat is nu toch wel gebleken! l]
Kletskoek als het zou werken dan zou het niet toevallig bij een ander onderzoek naar boven gekomen zijn.
Bedenk men keek niet naar deze software men zag als ware black box vreemd gedrag.

De code zelf heeft men nog steeds niet door.
Ofwel code kunnen zien zegt in het geheel niets. In dit geval ernstig want iemand anders die het zou doen zegt niets.
Lees je eerst eens in als je serieus bent ipv open source code te bashen omdat het niet jouw ding is.
Er is niet eens code van de backdoor beschikbaar om te bestuderen.Of te wel de backdoor is niet open source! maar zit in een binary die werd geïnjecteerd tijdens het bouwen. Dankzij een Microsoft medewerker die blijkbaar ook open source (beta) software gebruikt is dit ontdekt ivm performance problemen tijdens het inloggen via ssh en veel foutmeldingen. Hij mag een medaille krijgen omdat het over een probleem gaat die technisch waarschijnlijk niet opgelost kan worden omdat het over vertrouwen gaat. De NSA heeft Linus Torvalds 3x benaderd voor een backdoor in Linux. We mogen aannemen dat dat wel is gelukt in gesloten software omdat het niet kan worden gecontroleerd of achterhaald.
01-04-2024, 14:16 door Anoniem
Door karma4:
Door Xavier Ohole:
En? Men kon de detectie opvolgen door in de publiek beschikbare broncode te kijken. Dat is nu net de clou.
De clou in deze is dat men daar toch niet zoveel aan had. Tevens niemand keek naar de code ook als wat het echt fout.

Wat een non-argumenten produceer jij zeg. Men is nog bezig en dat het niet gemakkelijk is doet niets af aan het feit dat men de publiek beschikbare broncode kan bekijken!
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is. Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken. Blackbox software is al gebundelde open source waar de supply onduidelijk wordt. Men is aan de goden overgeleverd. En nee het hobbyisme om zelf systemen te bouwen is ver uit de tijd.
Het huidige ideaal is de cloud.
1 April grap of AI? er valt namelijk geen soep van te koken. Probeer het eens opnieuw te formulieren in het Nederlands of Engels, maar wel eerst inlezen in het probleem graag.
01-04-2024, 16:02 door Anoniem
Door Anoniem:
Door karma4:
Door Xavier Ohole: Het kunnen inzien van open source software broncode werkt, dat is nu toch wel gebleken! l]
Kletskoek als het zou werken dan zou het niet toevallig bij een ander onderzoek naar boven gekomen zijn.
Bedenk men keek niet naar deze software men zag als ware black box vreemd gedrag.

De code zelf heeft men nog steeds niet door.
Ofwel code kunnen zien zegt in het geheel niets. In dit geval ernstig want iemand anders die het zou doen zegt niets.
Lees je eerst eens in als je serieus bent ipv open source code te bashen omdat het niet jouw ding is.
Er is niet eens code van de backdoor beschikbaar om te bestuderen.

karma4 mag graag trollen, maar heeft niet helemaal ongelijk.

Ik heb er al vaker op gewezen, maar de injectie van de backdoor zat geobfuscate in de build-scripten.
Gewoon source.

En niet gezien door de "many eyeballs".

Met de achteraf-wijsheid zie je natuurlijk wel dat er in de build iets heel erg verdachts gedaan wordt, ook al is de geinjecteerde object file nog niet volledig geanalyseerd.


Of te wel de backdoor is niet open source! maar zit in een binary die werd geïnjecteerd tijdens het bouwen.

En die injectie was te "zien" ...


Dankzij een Microsoft medewerker die blijkbaar ook open source (beta) software gebruikt is dit ontdekt ivm performance problemen tijdens het inloggen via ssh en veel foutmeldingen. Hij mag een medaille krijgen omdat het over een probleem gaat die technisch waarschijnlijk niet opgelost kan worden omdat het over vertrouwen gaat.

Inderdaad, de wereld mag hem zeker dankbaar zijn.

En wat misschien best een zwakker punt van open source is - ieder alias ergens op de wereld kan zich nuttig maken , vertrouwen verwerven, en code leveren.
Het kost 'wat' tijd , maar hoe nuttiger je bent, des te sneller ben je een major contributor of co-maintainer.

Er wordt niet naar je CV gevraagd, niet naar referenties, geen identiteits check , geen arbeidscontract met aansprakelijkheden, gewoon een historie van bruikbare bijdragen, en "jan pieter smit" is in een jaartje een big shot in een klein project.

Dat is iets wat bedrijven potentieel wel kunnen doen - weten welke natuurlijke persoon code heeft toegevoegd, en wat diens achtergrond is.


De NSA heeft Linus Torvalds 3x benaderd voor een backdoor in Linux. We mogen aannemen dat dat wel is gelukt in gesloten software omdat het niet kan worden gecontroleerd of achterhaald.

Om de één of andere reden neem je aan dat het NIET gelukt is in de Linux kernel . Want ?
Omdat Linus gezegd heeft dat hij benaderd is en dat HIJ nee gezegd heeft ?
Ik wil 'm graag vertrouwen. Er zijn meer high level maintainers van cruciale gebieden in de kernel.

Inderdaad is er niks gevonden , tot op heden. Tenminste - niet aan bewuste backdoors.
De bugs met exploit potentieel zijn tot nu toe erg 'plausibly deniable' - als in , "kan de beste overkomen zo'n bugje" .

Persoonlijk denk ik dat de kernel _te_ zichtbaar is om exploits in te brengen. Er wordt ge-audit, ook door mensen die code-checking tools verkopen en de kernel als referentie project gebruiken.
En waarschijnlijk kijken diverse overheids partijen ook mee , uit zorg dat de concurrent het wel lukt.
Zoiets als xv/lzma is eigenlijk veel beter - kleiner project, 1 lead developer - half opgebrand - , en wel code die op de goede plek zit om exploits nuttig te maken.
01-04-2024, 16:07 door Anoniem
Door karma4:
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is.

Je hebt niet helemaal ongelijk, maar kom op - de "aansprakelijkheid" van commerciële vendors is ook volledig uitgesloten in alle voorwaarden.


Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken.

Als je Juniper/Netscreen firewalls - met drie backdoors - aangeschaft had, wie heeft er wat bereikt met het "aanspreken" van die vendor ?

Nu ja - je kreeg patches uiteindelijk.
01-04-2024, 16:30 door karma4
Door Anoniem: 1 April grap of AI? er valt namelijk geen soep van te koken. Probeer het eens opnieuw te formulieren in het Nederlands of Engels, maar wel eerst inlezen in het probleem graag.
Open source decryptie en dan in de sshd demon onder system terecht komen.
Je hebt weinig van security begrepen als je dat normaal vindt. Je hebt weinig van softwaresystemen begrepen als je geloof is dat als je de code kan zien je de problemen kan herkennen. Probeer het eens te begrijpen ipv op je teentjes getrap te zijn.
01-04-2024, 16:33 door Anoniem
Door karma4:
Door Xavier Ohole:
En? Men kon de detectie opvolgen door in de publiek beschikbare broncode te kijken. Dat is nu net de clou.
De clou in deze is dat men daar toch niet zoveel aan had. Tevens niemand keek naar de code ook als wat het echt fout.

Wat een non-argumenten produceer jij zeg. Men is nog bezig en dat het niet gemakkelijk is doet niets af aan het feit dat men de publiek beschikbare broncode kan bekijken!
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is. Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken. Blackbox software is al gebundelde open source waar de supply onduidelijk wordt. Men is aan de goden overgeleverd. En nee het hobbyisme om zelf systemen te bouwen is ver uit de tijd.
Het huidige ideaal is de cloud.

Het huidige ideaal is de cloud.

Wil je daar a.u.b. mee stoppen, ik rol van mijn stoel van het lachen.
Wat een drama is dat en ik wacht echt de dag af dat het goed fout gaat met die Cloud.
01-04-2024, 16:45 door Anoniem
Door Anoniem: Kali maar even niet updaten:
xz-utils/kali-rolling 5.6.1+really5.4.5-1 amd64 [upgradable from: 5.4.5-0.3]
Is gepatcht (debian en dus kali ook) https://www.kali.org/blog/about-the-xz-backdoor/
01-04-2024, 17:08 door Anoniem
Door karma4: Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is. Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken.
Wat levert dat aanspreken van commerciële partijen eigenlijk op? Ken je voorbeelden van commerciële softwareleveranciers die klanten volledig of in belangrijke mate schadeloos hebben gesteld nadat ze slachtoffer werden van een aanvaller die een zero-daylek exploiteerde? Of komt het in de praktijk eerder neer op ongeveer dezelfde ondersteuning die je krijgt bij betaalde support voor open source?
01-04-2024, 21:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
als dit bij toeval is gevonden, hoeveel dingen zijn er dan nog niet ontdekt."
En hier moeten die digitaal drammers eens heel goed over na gaan denken en beginnen met de waarheid te
vertellen “wij kunnen niet weten hoe veilig een os is, dus gebruiken op eigen risico “.
Dat doen ze lees de EULA van Microsoft.
Wat mij altijd opvalt is als het er software pakket betreft dat op een Linux distri draait waar een bug inzit dan ligt de schuld bij de software leverancier en nooit aan Linux. Maar als hetzelfde pakket op Windows draait is het altijd de schuld van Microsoft. Dat meten met 2 maten is best treurig eigenlijk. Daarnaast waarom de Linux fanaten zograag Microsoft bashen is mij een raadsel. Als iedereen overstapt naar het zo heilige Linux dan worden daar grote hoeveelheden bugs gevonden dat Linux niet meer als veilig gepredikt kan worden. Stappen deze Linux fanaten dan over op Windows? Daar zit voor de Linux community toch echt een gevaar als we allemaal ineens gaan luisteren naar hem.
Mensen bashen geen Windows, men stelt alleen de feiten, tenzij u een tegendeel kunt aanleveren?
Windows jat inderdaad een hoop metadata van gebruikers, als mensen zeggen dat dit onzin is en ze aan het bashen zijn is dat een emotionele aanval als mensen geen geldig tegenargument hebben.
Het gaat mensen ook niet om Windows vs. GNU+Linux, het gaat ze meer om de vrijheid van software in het algemeen, en helaas is proprietaire software nou net het tegenovergestelde van vrijheid, vaak zijn het zwarte dozen en jatten veel metadata van gebruikers voor hun eigen winst.
Ik snap niet dat niet meer mensen dat niet schokkend vinden, het loopt de spuigaten uit.
Maar voelt u zich niet persoonlijk aangevallen, het is een software, geen mens.
01-04-2024, 21:17 door Anoniem
GNU+Linux is eigenlijk een beetje vergelijkbaar met een vrij land vs. een regime waarin mensen minder vrij zijn en minder zelfbeschikking. (Proprietaire software in het algemeen, niet alleen Windows)
In wat voor land woont u liever?

Free software, free society: Richard Stallman at TEDxGeneva 2014
https://youtu.be/Ag1AKIl_2GM&t=0
01-04-2024, 21:35 door Anoniem
Door karma4:
Door Anoniem: 1 April grap of AI? er valt namelijk geen soep van te koken. Probeer het eens opnieuw te formulieren in het Nederlands of Engels, maar wel eerst inlezen in het probleem graag.
Open source decryptie en dan in de sshd demon onder system terecht komen.
Je hebt weinig van security begrepen als je dat normaal vindt. Je hebt weinig van softwaresystemen begrepen als je geloof is dat als je de code kan zien je de problemen kan herkennen. Probeer het eens te begrijpen ipv op je teentjes getrap te zijn.
Object code is geen source!
01-04-2024, 21:42 door Anoniem
Door Anoniem:
Door karma4:
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is.

Je hebt niet helemaal ongelijk, maar kom op - de "aansprakelijkheid" van commerciële vendors is ook volledig uitgesloten in alle voorwaarden.


Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken.

Als je Juniper/Netscreen firewalls - met drie backdoors - aangeschaft had, wie heeft er wat bereikt met het "aanspreken" van die vendor ?

Nu ja - je kreeg patches uiteindelijk.
Hij heeft het over al deze ellende in open source. Deze backdoor is niet eens in productie verschenen. Het is met weinig eye balls in een testversie aangeboden. Dan kan je ook niet spreken van een beetje gelijk. Het heeft wel laten zien waar open source goed in is itt closed source. Snel fixen!
01-04-2024, 22:06 door Anoniem
Mijn onderzoek leert dat windows 11 (Zie October 31, 2023—KB5031455) ook afhankelijk is van XZ. This update adds native support for reading additional archive file formats using the libarchive open-source project. Hierin wordt xz exclusief genoemd. [url https://support.microsoft.com/en-us/topic/october-31-2023-kb5031455-os-builds-22621-2506-and-22631-2506-preview-6513c5ec-c5a2-4aaf-97f5-44c13d29e0d4 [/url]
Aangezien de saboteur al 2 jaar toegang had, kan dit voor mijn win11 ook wel eens een probleem zijn.
01-04-2024, 23:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4:
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is.

Je hebt niet helemaal ongelijk, maar kom op - de "aansprakelijkheid" van commerciële vendors is ook volledig uitgesloten in alle voorwaarden.


Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken.

Als je Juniper/Netscreen firewalls - met drie backdoors - aangeschaft had, wie heeft er wat bereikt met het "aanspreken" van die vendor ?

Nu ja - je kreeg patches uiteindelijk.
Hij heeft het over al deze ellende in open source. Deze backdoor is niet eens in productie verschenen. Het is met weinig eye balls in een testversie aangeboden. Dan kan je ook niet spreken van een beetje gelijk. Het heeft wel laten zien waar open source goed in is itt closed source. Snel fixen!

Dat is wel een beetje goalpost schuiven hoor .

Nu herdefinieer je Fedora en "Debian unstable" als "niet in productie" .

Je zou enig punt hebben als het gevonden was VOORDAT een distro het gepackaged had voor hun early deployment releases.

Feitelijk was de backdoor voorbij alle checks gekomen en alleen gevonden - niet gevonden door eyeballs - doordat iemand ging kijken naar zichtbare performance artefacten die feitelijk niet zo zichtbaar hoefden te zijn. Foutje van de backdoor devs, mazzel voor de vrije wereld.
02-04-2024, 00:12 door Anoniem
Door Anoniem:
Lees je eerst eens in als je serieus bent ipv open source code te bashen omdat het niet jouw ding is.
Er is niet eens code van de backdoor beschikbaar om te bestuderen.Of te wel de backdoor is niet open source!

Er is wel degelijk code aangepast in de downloadbare tarball. De payload was gewoon meegeleverd, verstopt in een testbestand in xz format. Dat dat deel voorzien was obfuscatie en deels binair was is doet er niets aan af dat het wel op te merken is. Obfuscatie zou direct argwaan moeten oproepen bij reviewers.

Ter voorkoming van het accepteren van random wijzigingen moet de reden beter worden vastgelegd en gecontroleerd.

Naast deze aanval is de code gedurende jaren aangepast door de aanvallers. Die aanpassingen moeten (gezien of ongezien) worden verwijderd. De aanvallers hebben ook (succesvol) in een ander project de veiligheid te verlagen door functieaanroepen te vervangen. Dat soort wangedrag kan worden opgemerkt, zelfs geautomatiseerd.

Het feit dat het een open source project was, heeft wel snelle ontdekking mogelijk gemaakt en dat maakte het ook controleerbaar door iedereen, tot het moment dat de repository ontoegankelijk werd gemaakt voor het publiek door github.
02-04-2024, 07:28 door Anoniem
Wel grappig dat een Microsoft engineer dit heeft gevonden....
02-04-2024, 08:39 door Anoniem
Wel leuk dat de opensource mensen hun gelijk weer halen. Log4j vergeten en al even helemaal vergeten dat het uitgerekend een Microsoft man is die het issie nu geovnden heeft
02-04-2024, 10:29 door Anoniem
Door Anoniem: Wel leuk dat de opensource mensen hun gelijk weer halen. Log4j vergeten en al even helemaal vergeten dat het uitgerekend een Microsoft man is die het issie nu geovnden heeft
Ok maar is het niet beter om te stoppen met deze niets zeggende onzin te verkopen en in discussie te gaan of
een positieve inbreng waar we wat aanhebben. Dit is niet persoonlijk bedoeld maar algemeen.
02-04-2024, 10:39 door Anoniem
Door Anoniem: Wel grappig dat een Microsoft engineer dit heeft gevonden....

Azure Linux, voorheen bekend als CBL-Mariner (waarbij CBL staat voor Common Base Linux), is een gratis en open-source Linux-distributie die Microsoft heeft ontwikkeld. Het is de container voor de Microsoft Azure-services en de grafische component van WSL 2 [Windows Subsystem for Linux]

https://en.wikipedia.org/wiki/Azure_Linux

In het licht van het bestaan van "Microsoft Linux" is het niet vreemd dat Microsoft bugs zoekt en backdoors aantreft.
02-04-2024, 10:56 door Anoniem
Door Anoniem: Commentaar van Brodie Robertson: https://www.youtube.com/watch?v=OHAyf0qwdCs

De huidige xz-versie van je linux distro boven water krijgen?

xz -V is de kortste klap.

Je gaat een mogelijke backdoored versie, dus een malicious binary, opstarten? Zou ik niet doen voor de zekerheid...
02-04-2024, 11:03 door Anoniem
Door Anoniem: Wel leuk dat de opensource mensen hun gelijk weer halen. Log4j vergeten en al even helemaal vergeten dat het uitgerekend een Microsoft man is die het issie nu geovnden heeft
Vergeten? Ben je vergeten dat Microsoft [loves] open source. Heel Azure is er mee gebouwd op de hypervisor na. Ben je vergeten dat veel belangrijke open source ontwikkelaars gewoon op de payroll staan bij alle grote bedrijven? incl Microsoft.
02-04-2024, 11:07 door Anoniem
Door Anoniem: Wel grappig dat een Microsoft engineer dit heeft gevonden....
Hoezo is dit grappig? Microsoft is een van de grootste bijdragers van opensource https://opensource.microsoft.com/program/ Deze man was PostgreSQL aan het testen in een Linux beta omgeving
02-04-2024, 11:20 door Anoniem
Interresant artikel over de werking en hoe het zover gekomen is:

[link]https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/[/link]
02-04-2024, 12:13 door Anoniem
Door Anoniem: Interresant artikel over de werking en hoe het zover gekomen is:

[link]https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/[/link]
Het is overduidelijk een supply chain attack (zijn veel closed source voorbeelden van). Hier ook een interessant stukje backdooring wat ook in de opensource wereld al een tijd als een probleem wordt gezien: https://www.linuxfoundation.org/resources/publications/open-source-software-supply-chain-security
02-04-2024, 16:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door karma4:
De non argumenten aan jou kant spatten er van af. Wie is aansprakelijk vor al deze ellende in open source? Het is wijzen naar anderen waarbij uiteindelijk niemand verantwoordelijk is.

Je hebt niet helemaal ongelijk, maar kom op - de "aansprakelijkheid" van commerciële vendors is ook volledig uitgesloten in alle voorwaarden.


Heb je het aangeschaft als onderdeel van een commercieel aangeboden iets dan kun je die nog aanspreken.

Als je Juniper/Netscreen firewalls - met drie backdoors - aangeschaft had, wie heeft er wat bereikt met het "aanspreken" van die vendor ?

Nu ja - je kreeg patches uiteindelijk.
Hij heeft het over al deze ellende in open source. Deze backdoor is niet eens in productie verschenen. Het is met weinig eye balls in een testversie aangeboden. Dan kan je ook niet spreken van een beetje gelijk. Het heeft wel laten zien waar open source goed in is itt closed source. Snel fixen!

Dat is wel een beetje goalpost schuiven hoor .

Nu herdefinieer je Fedora en "Debian unstable" als "niet in productie" .

Je zou enig punt hebben als het gevonden was VOORDAT een distro het gepackaged had voor hun early deployment releases.

Feitelijk was de backdoor voorbij alle checks gekomen en alleen gevonden - niet gevonden door eyeballs - doordat iemand ging kijken naar zichtbare performance artefacten die feitelijk niet zo zichtbaar hoefden te zijn. Foutje van de backdoor devs, mazzel voor de vrije wereld.

Debian unstable klinkt niet echt stabiel, is dus geen productie versie.
Fedora 40 is een beta versie en Fedora Rawhide is een ontwikkel distro die als basis dient voor de toekomstige Fedora builds (Fedora 41). De backdoor is alsnog gevonden door 1 van de eye balls :) en komt dus niet in productie.
02-04-2024, 17:14 door Anoniem
Door Anoniem:

De huidige xz-versie van je linux distro boven water krijgen?

xz -V is de kortste klap.

Je gaat een mogelijke backdoored versie, dus een malicious binary, opstarten? Zou ik niet doen voor de zekerheid...

Dat zou ik inderdaad ook niet doen...

Veiliger is door de info indirect op te vragen, via een package manager zoals Synaptic of vanaf de commandline met apt.

$ sudo apt show xz-utils
Package: xz-utils
Version: 5.2.5-2ubuntu1
Priority: standard
Build-Essential: yes
Section: utils
Origin: Ubuntu

apt show geeft informatie over het/de opgegeven pakket(ten), onder meer welke zijn vereisten zijn, de installatie- en grootte, de broncode waarvan het pakket afkomstig is, de beschrijving van de inhoud van het pakket en nog veel meer. Andere Linux distributies dan Debian of Ubuntu hebben een eigen package manager, met een soortgelijk commando.
02-04-2024, 17:41 door karma4 - Bijgewerkt: 02-04-2024, 17:42
Door Anoniem: Wat levert dat aanspreken van commerciële partijen eigenlijk op? Ken je voorbeelden van commerciële softwareleveranciers die klanten volledig of in belangrijke mate schadeloos hebben gesteld nadat ze slachtoffer werden van een aanvaller die een zero-daylek exploiteerde? Of komt het in de praktijk eerder neer op ongeveer dezelfde ondersteuning die je krijgt bij betaalde support voor open source?

Nee komt niet neer als hetzelfde met open source. Verlaten projecten, geen prioriteiten en je bent de sigaar met open source.
Log4j was een fraaie voorbeeld van gevraagde functies met onbedoelde mogelijkheden. Er zijn er velen, kijk op mitre.
Met een commerciële partij heb je wel degelijk aansprakelijkheid een uitsluiting van onbekende maar ernstige tekortkomingen gaat die partij niet helpen voor de rechter.
Vergeet niet dat AT&T ooit moest opspitsen wegens te groot monopolie.
02-04-2024, 19:04 door Xavier Ohole - Bijgewerkt: 02-04-2024, 19:05
Door karma4:
Door Anoniem: Wat levert dat aanspreken van commerciële partijen eigenlijk op? Ken je voorbeelden van commerciële softwareleveranciers die klanten volledig of in belangrijke mate schadeloos hebben gesteld nadat ze slachtoffer werden van een aanvaller die een zero-daylek exploiteerde? Of komt het in de praktijk eerder neer op ongeveer dezelfde ondersteuning die je krijgt bij betaalde support voor open source?

Nee komt niet neer als hetzelfde met open source. Verlaten projecten, geen prioriteiten en je bent de sigaar met open source.

Heel warrig betoog maar ik vermoed dat je confirmation bias zoekt bij je haat voor open source.


Door karma4:Log4j was een fraaie voorbeeld van gevraagde functies met onbedoelde mogelijkheden. Er zijn er velen, kijk op mitre.

Het taalgebruik is zo beroerd dat het bijna niet is te volgen. Het is een warrig betoog over wat jij ziet als een gevolg van open source? (daar hebben de het in het voorbeeld waargenomen eigenschappen natuurlijk helemaal niets mee te maken)

Door karma4: Met een commerciële partij heb je wel degelijk aansprakelijkheid een uitsluiting van onbekende maar ernstige tekortkomingen gaat die partij niet helpen voor de rechter.
Vergeet niet dat AT&T ooit moest opspitsen wegens te groot monopolie.

Microsoft heeft zich daar geloof ik met veel dure advocaten aan weten te onttrekken? Of hebben ze ook moeten opsplitsen? Er zijn grote rechtzaken geweest.
02-04-2024, 19:07 door Xavier Ohole - Bijgewerkt: 02-04-2024, 19:09
Door Anoniem: Via een Terminal opdracht kun je in Linux controleren welke versie van XZ aanwezig is.
Typ daarvoor:

jan@tilanus:~$ xz --version

In de Terminal zie je dan zoiets:

xz (XZ Utils) 5.2.5
liblzma 5.2.5
jan@tilanus:~ $

Het is misschien niet zo verstandig om de executable met backdoor te gaan uitvoeren om de versie te achterhalen ;-) Je kan beter de package manager vragen welke versie is geïnstalleerd:

apt show xv
02-04-2024, 20:08 door Anoniem
Wat is de rol geweest van een statelijke actor of een statelijke actor, die door een dienst werd aangeduid? We hebben op het moment te maken met een vermeende of echte oppositie tussen unipolaire en multipolaire spelers. Zoals in het verleden. Herinner je de song nog: 'The Russian spy and I, we both wonder why, the world is split in two'?
02-04-2024, 22:28 door Anoniem
Door Xavier Ohole:
Door Anoniem: Via een Terminal opdracht kun je in Linux controleren welke versie van XZ aanwezig is.
Typ daarvoor:

jan@tilanus:~$ xz --version

In de Terminal zie je dan zoiets:

xz (XZ Utils) 5.2.5
liblzma 5.2.5
jan@tilanus:~ $

Het is misschien niet zo verstandig om de executable met backdoor te gaan uitvoeren om de versie te achterhalen ;-) Je kan beter de package manager vragen welke versie is geïnstalleerd:

apt show xv

In dit geval is de uitkomst nogal hetzelfde :

Als het de backdoor versie , kun je maar beter herinstalleren. En als het een schone versie is ben je klaar.

Van deze backdoor weten we nu wel vrij zeker wat de acties zijn , en je kunt die wel redelijk veilig even starten.

Via de package manager kijken welke versie de package manager was - dan is ook een can of worms als je over goede backdoors (of rootkits) denkt.
Het zou natuurlijk kunnen dat de geinstalleerde versie niet is wat er in de package zit. Of dat het versie nummer niet klopt.

Of dat shasum et.al ook aangepast zijn om voor de backdoored versie de checksum van de package versie terug te geven.
02-04-2024, 23:50 door Anoniem
Door karma4:
Door Anoniem: Wat levert dat aanspreken van commerciële partijen eigenlijk op? Ken je voorbeelden van commerciële softwareleveranciers die klanten volledig of in belangrijke mate schadeloos hebben gesteld nadat ze slachtoffer werden van een aanvaller die een zero-daylek exploiteerde? Of komt het in de praktijk eerder neer op ongeveer dezelfde ondersteuning die je krijgt bij betaalde support voor open source?

Nee komt niet neer als hetzelfde met open source. Verlaten projecten, geen prioriteiten en je bent de sigaar met open source.
Log4j was een fraaie voorbeeld van gevraagde functies met onbedoelde mogelijkheden. Er zijn er velen, kijk op mitre.
Met een commerciële partij heb je wel degelijk aansprakelijkheid een uitsluiting van onbekende maar ernstige tekortkomingen gaat die partij niet helpen voor de rechter.
Vergeet niet dat AT&T ooit moest opspitsen wegens te groot monopolie.
Slaat als een tang op een varken dat AT&T verhaal. Je bent het Solarwinds verhaal al weer vergeten of Stuxnet. Microsoft geeft niet thuis hoor. Daar verhaal je echt geen schade.
04-04-2024, 10:00 door Anoniem
Door Xavier Ohole: apt show xv

De getroffen compressie bibliotheek heet xz. Niet xv.
xv is een al heel oude viewer voor afbeeldingen onder Unix.


Onder Debian en de daarvan afgeleide Linux systemen zit xz in het xz-utils pakket. Het juiste apt commando is:

$ apt show xz-utils


Inmiddels bestaat er ook een Wikipedia pagina over de vondst en de forensische analyse van de XZ Utils achterdeur:

https://en.wikipedia.org/wiki/XZ_Utils_backdoor
09-04-2024, 08:09 door Xavier Ohole - Bijgewerkt: 09-04-2024, 08:12
Door Anoniem A:
Door Xavier Ohole:
Door Anoniem: Via een Terminal opdracht kun je in Linux controleren welke versie van XZ aanwezig is.
Typ daarvoor:

jan@tilanus:~$ xz --version

In de Terminal zie je dan zoiets:

xz (XZ Utils) 5.2.5
liblzma 5.2.5
jan@tilanus:~ $

Het is misschien niet zo verstandig om de executable met backdoor te gaan uitvoeren om de versie te achterhalen ;-) Je kan beter de package manager vragen welke versie is geïnstalleerd:

apt show xz-utils
[CORRECTED]

In dit geval is de uitkomst nogal hetzelfde :

Als het de backdoor versie , kun je maar beter herinstalleren. En als het een schone versie is ben je klaar.

Het verschil is natuurlijk dat de backdoor nog niet uitgevoerd hoeft te zijn, omdat je 'm niet expliciet zelf start.

Door Anoniem A: Van deze backdoor weten we nu wel vrij zeker wat de acties zijn , en je kunt die wel redelijk veilig even starten.

Ik zou het niet in mijn hoofd halen, zelfs niet met dat 'redelijk zeker'.

Door Anoniem A: Via de package manager kijken welke versie de package manager was - dan is ook een can of worms als je over goede backdoors (of rootkits) denkt.
Het zou natuurlijk kunnen dat de geinstalleerde versie niet is wat er in de package zit. Of dat het versie nummer niet klopt.

Je betoog begint nogal onzinnig te worden. Je wilt een executable met backdoor expliciet uitvoeren omdat je bang bent dat je systeem misschien met rootkits is besmet en je de package manager niet durft uit te voeren? #ROFL

Door Anoniem A: Of dat shasum et.al ook aangepast zijn om voor de backdoored versie de checksum van de package versie terug te geven.

Denk je serieus dat dat mogelijk en doenbaar is?

Door Anoniem B:
Door Xavier Ohole: apt show xv

De getroffen compressie bibliotheek heet xz. Niet xv.
xv is een al heel oude viewer voor afbeeldingen onder Unix.


Onder Debian en de daarvan afgeleide Linux systemen zit xz in het xz-utils pakket. Het juiste apt commando is:

$ apt show xz-utils


Inmiddels bestaat er ook een Wikipedia pagina over de vondst en de forensische analyse van de XZ Utils achterdeur:

https://en.wikipedia.org/wiki/XZ_Utils_backdoor

Je hebt volledig gelijk (ik ben te gehaast geweest)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.