Meine neue Website ist endlich auch fertig: Ihr findet dort auch die Möglichkeit einen NEWSLETTER von mir zu abonnieren. Das ist super praktisch, weil wir da nicht auf den RUclips Algorithmus angewiesen sind, dass ich euch erreiche. Ein Mal die Woche kommt dann ein Update, nicht nur mit Videos, sondern auch mit Themen, die es vielleicht in kein Video geschafft haben! the-morpheus.de/
Das ThreeJS Model bzw. die spline scene "/js/scene.splinecode" lädt bei mir beim initialen Seitenaufruf sehr langsam. (Chrome: Version 123.0.6312.86 (Offizieller Build) (64-Bit) | win10 | amd-fx6300 | geforce 760ti) ps: das mit dem 2,5sek. timeout ist irgendwie kacke.. wüsste es allerdings selbst nicht besser wie man die lade performance steigern könnte außer mit kleiner auflösung anfangen und dann langsam höher drehen.
Ich will mal einfach hier, allen Open Source Entwicklern danke sagen. Unsere Welt wäre Technologisch nicht da wo sie ist, wenn ihr nicht da wärt. Darum hoffe ich das es endlich mehr Anerkennung in Zukunft für auch gibt. Und Zusätzlich danke an Morpheus
@@davidkummer9095 etwas weniger Pessimismus. Klatschen hat eine Wirkung so klein diese auch sein mag solange sie eine Positive Wirkung hat sollte man sie auch erbringen. Zweitens sollte man nicht über die Klatschende Person urteilen wenn man nichts weiß.
Als jemand, der selbst zu OSS beiträgt (in meinem Fall aktuell hauptsächlich der Static Site Generator Eleventy/11ty), möchte ich hier noch hinzufügen, dass ein Open Source Projekt von so viel mehr lebt, als nur den Entwicklern. Wenn man z.B. mal einen Fuß in der Open Source Entwicklung finden möchte, würde ich stark empfehlen einfach mal Dokumentation hinzuzufügen, in existierende PRs zu blicken oder Issues zu öffnen, kommentieren oder zu beantworten. All das nimmt Last von den Entwicklern und ist mindestens genauso wichtig, wie die eigentliche Entwicklung. Auch möchte ich hier ein wenig @davidkummer9095 widersprechen. Das Klatschen vom Balkon aus war ein wenig der Schlag ins Gesicht vom z.B. Pflegepersonal, da man denen eben nicht z.B. mehr Geld zugesteht. An OSS arbeite (zumindest ich) jedoch tatsächlich nicht für das Geld, sondern als Freizeitbeschäftigung und weil ich eben was zurückgeben möchte. Hier kann dieses öffentliche "Danke" eben einen Unterschied machen und mich darin stärken auch weiterhin beizutragen. Gleichzeitig ist das ein wichtiger Gegenpol für die teils sehr dreisten Forderungen, die so in Repos erscheinen.
Hatte diese Erklärung bislang nur englischsprachig gesehen. Sehr gut erklärt! Ich nutze Linux seit Jahren und danke allen, die sich die Nächte beim Programmieren um die Ohren schlagen, viel zu wenig. DANKE!
Also soweit ich weiß ist Christiano Ronaldo ja auch bereits zum Fußballer des Jahrhunderts gekürt worden 😁 Aber im Fußball ist glaube ich die Logik auch nicht oberste Priorität
@@MrLoLFaQKopfball Kopfnuss Digga ..wo da der Unterschied Sieg bleibt Sieg, jawohl😄🤘 Das ist nur logisch😐🖖 , mein Kapitian Kirk ahh Khan.. Wie bin ich hier her gekommen und warum liegt hier überall Rasen auf der Brücke rum😵⚽Owei owei mein Kopf tut so Weh😪 gibt es ein technischen Grund warum Hemden Karten rot sind,wo du genau weißt für den ist das Spiel gleich vorbei..Sport ist Mord und ich ziehe keine roten Hemden an bin ja nicht komplett bescheuert😂🍻
Mehr Sorgen sollten einem die ganzen Angriffe bereiten, die *nicht* entdeckt worden sind. Akteure, die so vorgehen, setzen nicht alles auf ein einziges Pferd. Da kann man dann am Ende nur hoffen, dass diese "Akteure" tendenziell eher zur "eigenen Seite" gehören. Gut, dass es trotzdem auch Leute wie Andres Freund gibt, der den Auffälligkeiten wirklich nachgegangen ist und sie öffentlich gemacht hat!
Will jetzt nicht direkt den Aluhut aus der Schublade holen, aber so ausdauernd und durchdacht wie das ganze umgesetzt wurde und weil hier trotzdem scheinbar nur der Angreifer selber zugriff bekommen konnte, würde ich hier irgendwelche staatlich finanzierten Akteure nicht ausschließen.
Wobei das "wer" ja im Grunde auch egal ist, wenn diese Lücke genutzt worden wäre. Ist durch Open Source halt aufgefallen, dass da was ist, bzw konnte nachvollzogen werden, ohne, dass ein Hersteller das Problem einfach hätte verstecken können.
Dazu ist kein Aluhut notwendig. Es macht absolut Sinn hier einen Geheimdienst zu vermuten, einfach weil das jemand entwickelt hat für den Zeiteinsatz keine große Rolle spielt. Einen neuen Ransomwaretrojaner oder Windowswurm kann ein talentierter Coder vermutlich in ein paar Wochen zusammencrunchen, aber hier wurde höchst sorgfältig über Jahre gearbeitet. So arbeiten keine Gangster, so arbeiten Beamte.
Unabhängig von der Backdoor ist es einfach frech, jemanden Druck zu machen für etwas, dass er freiwillig tut. Also manche Menschen lassen das leider mit sich machen, aber mir wäre das völlig latte. Wenn es schneller gehen soll: Bezahl oder mach es selbst. Das ist in jeder Branche so. Mag sein, dass es bei Open Source Projekten anders läuft, aber dennoch muss man auf seine Gesundheit achten, vor allem für etwas, was nur mangelhaft wertgeschätzt wird.
Vielen vielen Dank 🎉. Das war wie immer ein sehr gelungenes Video und du hast die Thematik spitzenmäßig erklärt. Dieses Beispiel zeigt einmal mehr auf, dass Schwachstellen und Sicherheitslücken zu einer ständigen Bedrohung führen und führen werden. Allein allein dieses Video ist so lehrreich und sensibilisiert abermals für dieses Thema. Es ist unglaublich, wie viel Mühe du dir für diese Videos gibst! DANKE
Schönes Video, wobei man sagen muss dass ja eigentlich nur 3 Distros und Testing branches betroffen waren. Finde daher das thumbnail unglücklich gewählt.
War auch mein Gedanke, ja. Etwas überdramatisiert. Die ganze Geschichte ist definitiv ein "Drama", aber wirklich betroffen sind dann in der Realität weit weniger als 90% :D
Nein, passt schon. Wäre es nicht sofort entdeckt worden, wäre es in kurzer Zeit in jedem Betriebssystem und jedem Server weltweit. Glücklicherweise war es open source.
Vielleicht sollten wir überlegen, so ein paar essentiellen Projekten wie SSH oder XZ mal vielleicht bisschen Steuergelder zu geben, wenn die Firmen das schon nicht machen, schließlich baut die ganze Wirtschaft darauf. Und wenn das vielleicht sogar ein geheimdienstlicher Angriff war, dann kann man das auch als nationale Verteidigung verstehen, solche Projekte zu finanzieren. Sollte der CCC mal bisschen Druck machen da.
Das ist eine Backdoor die zufällig entdeckt wurde. Ich frage mich ob das wirklich die einzige war, oder wie viele eigentlich existieren, auch in Windows, MacOS, Android, iOS usw.
Hey Morpheus ein wenig konstruktive Kritik hier: Ich finde das Video an und für sich gut und verständlich! Jedoch lässt der Präsentations Style ein wenig zu wünschen übrig! Man hätte definitiv das Video ein wenig kompakter gestalten können und nicht als wäre es ein stream einfach mit den richtigen links von der Leber reden. Aber danke, dass du dieses Video gemacht hast!
Definitiv, danke dafür. War dann ein bisschen am abwägen, ob ich das Video lieber heute so oder in 3 Tagen mit Schnitt erstelle. Aber mir war Geschwindigkeit da gerade wichtiger
FOSS ist so unfassbar wichtig für unsere Welt und kaum einer (aus der Gesamtbevölkerung) ist sich dem auch nur im geringstem bewusst. Vielleicht eine unfassbar stupide Idee, aber eventuell sollte man zu Ehren der FOSS-Entwickler wirklich einen Feiertag einführen. Mit dem dadurch entstehendem (jährlichen) Fokus ändert sich dann vielleicht auch die Haltung. Verdient wäre es jedenfalls...
Schönder Bericht, der genau das eigentliche Thema anspricht, dass diejenigen, die sich als Maintainer so aufopfernd einbringen, keine wirkliche Resonanz in der Öffentlichkeit haben. Wie wäre es mit einer Maintainer Rangliste, einem Maintainer des Jahres? Bei Anwälten gibt es die Legal 500, wo es eine Submission List gibt. Sowas könnten doch Fachmagazine oder Portale auch bei Maintainern machen.
Erstmal richtlinien lol... wollte nur für den Algorithmus danke sagen 😅 Aber mal ernstaft danke an die open Source entwickler, und danke fürs top viedeo! Hoffe das zählt als keine werbung und war hofentlich auch kein hate 😅❤
Ich dachte, es wurde durch die schnelle Reaktion vermieden, dass das Problem in stable Versionen von ssh auftritt. Sind dann wirklich 90% aller Server betroffen? ^^ PS: Ich möchte damit nicht das Problem relativieren, fand nur 90% etwas heftig im Thumbnail.
Ja der Titel ist misleading. Es war gemeint dass es beinahe soweit gekommen wäre dass 90 Prozent der Server hätten betroffen sein können. Real betroffen sind Server Distros zB gar nicht.
Ist schwierig. Wenn man jedem Danke sagen sollte in finanzieller Art, der Aufwand und die Kosten wären gigantisch. Und ein globales DANKE irgendwo im Netz an alle ist nichts Wert. Es ist eine Tragödie.
Hier der Typ der den bug bzw. Die Backdoor gefunden hat. Eins kann man schonmal sagen; der typ kennt SEIN system. Auch wie du es am Schluss erklärt hast … krass das man anhand von der Login Geschwindigkeit kleine Rückschlüsse zieht das da was faul ist . Vorallem der musste ja im Voraus schon im Gedanken sich alles ausgedacht haben müssen wie der da eventuell vorgeht + sich die Mühe da machen und vor dem Update die Geschwindigkeit zu testen und danach … das meine ich mit Gedanken schon davor gemacht zu haben Bei sowas fällt mir nur ein das man Monsterlangeweile haben muss um auf etwas krass verstecktes zu stoßen .. Und in diesen Falle wenn ich raten müsste würde ich sagen das waren die Chinesen, falls das nicht einer Alleine war Falls ja … krass auch so vorzugehen mit Jahre langer Planung und wissen wie man an die Sache ran geht
Im Enterprise Umfeld schreibst du zB deine Deployment Zeiten mit, dort fällt sowas ziemlich schnell auf. Vor allem in großen Umgebungen wo ein Lauf beispielsweise auf ein paar Hundert Hosts geht. Diese halbe Sekunde pro Login potenziert sich also schnell und fällt in diesen Szenarien aber auch schnell auf. Dass man da nun jahrelang im Dunkeln getappt hätte ist recht unwahrscheinlich.
Ich finde zwei Jahre übrigens gar nicht so lang. Das ist die Zeit, die durch Infrastrukturprobleme auch mal zwischen zwei bis drei Releases verstreichen kann. Nebenbei: M4 ist ein autoconf macro. Das sollten mehr Leute lesen können, aber viele trauen sich nicht. So schwer ist es nicht ⇒ sollten mehr Leute lernen.
Ich bin kein Entwickler und irgendwo hier verloren gegangen. Ich dachte ein build prozess wandelt lesbaren lokalen source code in eine ausführbare datei um. Wie kann dann da etwas nicht lesbares oder geschweige denn auf gitignore stehendes in die binary eingebunden werden?
die gitignore "ignoriert" Files nur im Git Repo. Oder auch: ich hab hier lokal (oder auf meiner Build Kiste oder sonst wo) Files liegen die ich vllt zum Bauen der Software brauche, aber die nicht Teil meiner Software sind, also bitte auch nicht ins Repo einchecken
@@meFisttoU hm so richtig schlau bin ich noch nicht. Wenn ich das repo clone und lokal den build mache kann dann da was rein"wandern" was nicht im git war und nicht von mir lokal erstellt wurde? Ich hab jedenfalls gedacht dass so open source funktioniert dass man den source code lädt, komplett lesen kann und dann nur daraus lokal was ausführbares bauen kann.
@@kerniger86 Wenn du lokal baust, dann wandert nichts rein. Zumindest nicht was sonst per gitignore rausgebaut ist. Wenn im Repo sonst irgendwie Zeug versteckt ist, dann hast du das beim lokalen Bauen auch mit bei (ist dann aber nicht per gitignore rausgewandert).
@@mkolbat Ich frag mich _wo_ der build prozess stattfindet und woher die sources dafür kommen. Wenn build-to-host.m4 nicht im repository steht, wie kann es dann im build benutzt werden? Es nützt ja nichts wenn das nur auf dem lokalen checkout des Angreifers steht.
Kann mir jemand erklären von wo die Malware denn jetzt genau geladen wird, wenn sie nicht im Github Repo ist? Und warum kann man im Quellcode nicht sehen, dass da zusätzliche Dateien von irgendwo gezogen werden?
Kurz und falsch zusammengefasst: Der Schadcode selbst inkl. Installationsskript war vorkompiliert, verschlüsselt und komprimiert als binäre Testdatei verkleidet i.S.v. "Dieses Archiv ist korrupt und testet die Fehlererkennung in xz" im repo öffentlich eingecheckt (ja, waren 2 Dateien, Details, Details...). Der trigger zum Entschlüsseln des Schadcodes und Ausführung dieses Installationsskripts waren nur wenige Zeilen im M4 macro, welches selbst allerdings nicht im öffentlichen Repo lag, sondern nur vom Angreifer für die tarball Installationsdateien erzeugt und ausgeliefert wurde. Das ging so nur, weil a) der Angreifer zu diesem Zeitpunkt der einzige Maintainer mit voller Kontrolle über die M4 Erstellung war und b) (Hörensagen, bin kein Experte!) der Prozess, M4 Dateien speziell für tarball Auslieferungen zu erstellen und nicht öffentlich einsehbar einzuchecken wohl weit verbreitet und akzeptiert ist. Niemand schöpft Verdacht. Weiter sind M4 Macros meist automatisch erstellt und nicht lesefreundlich für Menschen. Wer nicht explizit genau in diesem tarball das M4 Macro explizit auf verdächtige Zeilen untersucht, das die mitgelieferten Binärdateien des Testordners in unerwarteter Weise bearbeitet, wird es erst bei Ausführung der backdoor und der 0,5 sec Verzögerung bei SSH Anmeldungen sehen.
Das ist exemplarisch für die Schwachstellen von Open-Source! Die Qualität und damit auch die Sicherheit hängt am Ende an den Menschen, die ihre Zeit investieren. Jemand der sich ehrenamtlich im Sportverein engagiert ist hochmotiviert und kann auch Leistungen auf Proflevel vollbringen. Ehrenamtliches Engagement kann aber auch nur temporär sein!
@@__christopher__ Close source Firmen machen sehr oft externe Security Audits, Open Source Projekte nicht. Und wie man sieht, sind das oft One-Man shows die überhaupt von niemandem angeschaut werden. Das Argument "Open Source ist sicher, weil jeder den Code überprüfen kann" ist halt Quatsch, weil es halt niemand (siehe hier) tut.
@@steveo6023hat bei Blaster damals nicht wirklich geholfen, oder? Ich denke, dass der Anteil der wirklich durch ein riguroses Audit geschleiften Software im einstelligen Pronzentbereich sein dürfte. Denn das bringt kein Geld. Wenn du gegenteilige Daten hast, dann würd ich die gern sehen.
@@holeefukisback Deine Logik basiert aber auch nur darauf, dass es eine Community gibt die sowas untersucht... Ich will jetzt gar nicht abstreiten, dass man open Source "Produkte" besser untersuchen kann. Nur der "Vorteil" ist halt irgendwie total nutzlos, wenn das nicht in dem Umfang gemacht wird..... Wie Sinthoras155schon angedeutet hat und steveo6023 hat es auch erwähnt, man kommt halt auch vermutlich extrem einfach in so Projekte rein. Das geht dann soweit, dass man auch komplette Projekte übernehmen kann ohne großen finanziellen und mit vertretbaren zeitlichen Aufwand. Theoretisch könnte man auch an einem Dutzend Projekten parallel arbeiten in der Hoffnung, dass man in X Jahren so viel Standing hat, dass man deutlich mehr Rechte und Einfluss hat. Das Argument, dass Open Source sicherer ist aus meiner Sicht totaler Quatsch. Es gibt gefühlt keine Community die sowas ernsthaft untersucht. Was vmtl. auch extrem frustrierend wäre, weil man oft nichts findet und wie oft beschweren sich OpenSource Entwickler über Leute die irgendwas nachfragen? Es gibt nebenbei auch praktisch KEINE Community aus Leuten, die wirklich mal Wert auf Green Coding legt oder mal genauer hinschaut, weil man es zum kotzen findet wie viel RAM ein Programm benötigt. Das hier zumindest theoretisch Anomalien entdeckt werden könnten. Der Typ hier hat den Fehler ja auch nur gefunden, weil er die Laufzeit von der ganzen Sache mal analysiert hat UND sich auch auskannte.
Als jemand der keine Ahnung von Softwarelogistik in der Open Source / Linux Welt hat habe ich hier mal eine Verständnisfrage: Die Malware ist ja (Soweit ich das verstehe) nur in der vorkompilierten Bibliothek drin. Würde man das Binary selbst bauen wäre es ja clean (eingebaut wird es ja von der M4 Datei die in den Sourcen nicht drin ist), ich vermute mal, es baut und funktioniert auch ohne die M4 Datei, sonst wäre das wohl eher aufgefallen. Jetzt die Verständnisfrage: Ist das üblich das Distributionen die Binaries übernehmen oder wird so was vom Distributor üblicherweise selbst gebaut (nur dann weiß man ja sicher, was eigentlich drin ist). Wenn das so ist wäre jetzt der richtige Zeitpunkt das mal zu überdenken. Malware ist doch in den Sourcen viel leichter zu erkennen als in den Binaries oder liege ich da komplett falsch?
@@Henry-sv3wv Das ist ja genau was ich meinte. Wenn ich selbst bauen würde, würde ich mir ja die Quellen aus dem Git Repo laden (ohne M4 weil .gitignore) und lokal bei mir bauen. Das müsste dann ja clean sein. Wenn das nicht funktionieren würde wäre das sicher schon aufgefallen. Mich wundert ja nur, dass die Distributoren das nicht so machen aber ich komme eben noch aus einer Zeit wo man seinen Linux Kernel selbst kompilieren musste 🙂
Hut ab für deine Mühe. Ich komme nichtmal dazu alle Videos von dir anzusehen, also iwie glaube ich du hast dich geklont um das alles zu machen. Nein Scherz beiseite, habe wirklich respekt vor dir, wie du es schaffst all diee zu machen!
Danke für das Video. Ich muss aber ehrlich gestehen, dass ich nicht genau verstanden habe, wann die Backdoor greift und wie sie funktioniert. Kann mir das bitte jemand kurz und knapp zusammenfassen? Könnte hier nicht auch die NSA dahinter stecken? Entsteht die Backdoor beim nutzen des xz Tools oder reicht es aus, wenn diese Version (5.6.0-5.6.1) auf dem Rechner installiert ist? Oder entsteht die Backdoor zum SSH Rechner, weil die mit xz verschlüsselten Daten dorthin übertragen werden? Wie genau nutzt der Angreifer diese Backdoor aus? Kann er sich dann einfach auf den Rechner schalten oder kann er nur in dem Moment ausgeführten xz Anwendung Tätigkeiten ausüben?
XZ wird am Ende in die SSH als Bibliothek mit einkompiliert. Normalerweise kann man SSH so konfigurieren, dass sie nur auf genau festgelegte Verzeichnisse Zugriff bekommt. Mit Backdoor bekommt sie diese Rechte SYSTEMWEIT!
@@matthiaslangbart9841 ah, ok. Vielen Dank. Diese Backdoor wird in dem Moment eingebaut, indem man mit der betroffenen Version Daten überträgt? Werden SSH Daten immer mit xz komprimiert?
@SCH4LK: Nicht ganz. Die Backdoor ist schon längst eingebaut und „schläft“ in der SSH. Wenn man mit der betroffenen Version Daten überträgt, wird sie „wach“ und richtet den Schaden an.
Zeigt dass im Grunde ale wichtigen und weit verbreiteten Open Source Projekte Ziel für Backdoorangriffe werden können. Und irgend ein Maintainer da was reichschleichen kann.
Habe persönlich kein Problem damit, wenn mich einer fragt, ob ich noch dran bin am Projekt. Kann man einfach mit Ja oder Nein beantworten. Habe auch schon mal bei einem Maintainer nachgehackt, als nach 3 Monaten keine Reaktion auf meinem PR kam. War halt die Frage Fork oder nicht Fork. Andere Dinge nerven viel mehr. Wie z.B. das immer wieder die gleichen Fragen gestellt werden. Das man nicht die Doku lesen kann. Die Issue-Liste ist kein Support Kanal! Dafür gibt es Stackoverflow und Co.
Leider enthält das Video gravierende Fehler: SSH nutzt LZMA nicht für Datenkompression, dort wird, wenn das überhaupt aktiviert ist, gzip benutzt. LZMA wird nicht direkt in SSH verwendet, sondern ist eine Abhängigkeit von dbus. Fedora und Debian patchen SSH um mit dbus zu interagieren. Dadurch wird der Angriff überhaupt erst möglich.
Außerdem ist seit Montag auch bekannt was die Backdoor genau tut. Ich bin nicht in der Lage es genau zu beschreiben aber es gibt einen xz-bot, sucht mal danach, der die Features nett beschreibt und eigene Tests und Honeypots möglich macht. Zudem ist die Beschreibung wie der Exploit verbreitet wurde fehlerhaft. Jia hat Releases als Tarballs hochgeladen, die den Exploit enthalten. Diese enthalten aich so Dinge wie bereits vorkonfigurierte Buildsysteme, damit es leichter ist den Code zu bauen ohne tausende Flags für make configure oder ähnliche Tools im Kopf zu haben. Damit ist es aber leider auch möglich Exploits herumzureichen, die nicht im Repository liegen. Der Exploit wurde dann in einem Teststep entschlüsselt, entpackt, und in das fertige Binary gelinkt. Der Exploit selbst erlaubt eine RCE basierend auf speziellen ED448 Signaturen und ist kein Auth Bypass. Aber wird eben mit den Rechten des SSHd Services ausgeführt.
Da der ganze Kram im Release Tarball liegt, wissen wir sehr genau, wie die m4 Datei und auch die anderen Dateien, die zum Exploit gehören, aussehen! Und der Exploit schreibt sich nicht auf das System sondern linkt sich in das xz binary.
Du machst sonst immer hervorragende Videos! Aber das sieht nach schnell schnell und wenig Recherche aus, weil du auch ein Video dazu machen möchtest/musst, aber es enthält wirklich viele Fehler oder Ungenauigkeiten.😢
Was wäre das für eine utopisch gute Welt, würde man das dafür benötigte Können und das dafür verwendete und nun einfach verschwendete (Steuer)Geld einfach mal FÜR Security einsetzen. Also Cybersecurity, nicht National Security :P Super Vid, danke!
19:30 Kleine Korrektur: Die Challenge wird bereits verschlüsselt an den sich authentifizierenden Client geschickt -- und zwar wie folgt: 1) Server generiert einen Challenge-Text und verschlüsselt diesen mit dem hinterlegten öffentlichen Schlüssel des sich anmeldenden Benutzers. 2) Server sendet den verschlüsselten Challenge-Text an den sich anmeldenden Client. 3) Client muss durch Entschlüsselung des Challenge-Textes nachweisen, dass er im Besitz des zugehörigen privaten Schlüssels ist. 4) Client sendet den entschlüsselten Challenge-Text an den Server zurück. 5) Server gewährt bei Übereinstimmung des ursprünglich von ihm generierten Challenge-Texts mit dem vom Client entschlüsselten Challenge-Text den Zugriff. TL;DR: PubKey VERschlüsselt nur, PrivKey ENTschlüsselt nur. Anders formuliert: Jeder darf VERschlüsseln, aber nur der PrivKey-Besitzer ENTschlüsseln.
Vielen Dank! Mein Dank für alle, die ehrenamtlich im Internet uns ihre Projekte zur Verfügung stellen und sogar Unkosten selbst damit haben. Durch den Kommerz erwarten die Nutzer:innen häufig den selben Support von solchen Projekten und reagieren dann gleich mit Unverständnis (mildeste Form). Meine Frage ist, wie weit wäre die/der Angreifende gekommen, wenn ssh-server mit Verbot für root eingestellt ist. Hätte dies noch bestand gehabt oder wäre die/der Angreifende sogleich root geworden?
Was ein Video. Das sowas fast passiert wäre, zeigt, dass dort sich wirklich etwas ändern muss. Ich hatte mich schon mit 14 gefragt warum es Open-source gibt und wie es sich halten kann. Definitiv sollte da eine Regelung kommen. Wer weiß, welche stellen dadurch aufgedeckt wurden und welche weitere lücken es gibt, oder was sogar in Planung ist. Mega heftiges Video.
24:31 Das zeigt aber auch, wie wichtig es ist sich mit den Dingen zu beschäftigen. Da war irgendein random Dude, der einfach die Performance getestet hat. Das sind Sachen, da kümmern sich Viele nicht mal drum. Wenn ich da an Software denke, was da über JAHRE für Fehler sind wo Niemand genau hinschaut. Irgendwelche Software die weltweit eingesetzt wird, man nutzt bestimmte Funktionen und dann hat das Ding irgendeinen Memory Leak. Wenn ein 0815 Programm einfach mal 10GB Raum nur dadurch braucht, dass man ständig mit der Maus klickt und je Eingaben man macht, umso langsamer wird es.... Ist vermutlich irgendein Bug, aber weiß man es? Bugs bei anderen Geräten, wo es praktisch unmöglich ist über den Support mal zu den Hersteller zu erreichen, dass an sich die Sache mal anschaut.
Bin selber kein Entwickler sondern Systemintegrator, magst du mal was zu git ignore machen? Für mich stellt sich hier die Frage, warum gibt es diese Option überhaupt. Und natürlich vielen Dank für deine vielen guten Videos, das hier insbesondere.
Am erschreckendsten finde ich, dass es von einer quasi One-Man-Show gepflegte Soft gibt, die, weil schon so lange da, quasi unhinterfragt überall genutzt wird und dadurch eine extreme Abhängigkeit erzeugt wird. Bei Bibliotheken finde ich das noch schlimmer als bei Einzelanwendungen. Ich hatte über 10 Jahre Abhängigkeit von einer Handvoll Programme, die nur von One-Man-Shows erstellt und gewartet wurden. Als ich mir mal überlegt hab was wohl passiert, wenn diese Leute plötzlich nicht mehr sind, fing ich an umzustellen. Bei Bibliotheken ist das perfider. Das merken nicht mal mehr die Programmierer. Gab es nicht mal NSA-Backdoors in Verschlüsselungsbibliotheken? Der Schritt Richtung Open-Source ist schon mal gut. Aber die Entdeckung von Bugs/Backdoors etc. sollte standardmäßig professionell erledigt werden, um sicher zu sein. Da scheint die momentane Schwachstelle in der Softwareherstellung zu liegen.
Ende gut - alles gut? Nee - wenn eine gut organisierte Gruppe mit viel Atem das Schaffen konnte, dann kann es bereits wo anders schon funktioniert haben oder falls nicht ist es eine gute Blaupause für zukünftige Angriffe. Was sind die Aufwendungen von Milliarden für Luftabwehrsysteme, wenn man mit geringen Mitteln (wir reden von ein paar Millionen) und Geduld wesentlich mehr erreichen kann. Und die Abhängigkeit wird steigen. Bislang sind noch viele Systeme, Geräte, Transportmittel analog, aber das nähert sich mit großer Geschwindigkeit dem Ende. Ein kombinierter Angriff allein durch dieses Backdoor auf Versorgungseinrichtungen, Telekommunikation, digitale Transportmittel (Bahn, Auto, Flugzeuge) hätte den Angriff auf die Ukraine zu einer 24 Stunden Übernahme gemacht. Und auch Deutschland wäre nach 2 Tagen erledigt.
Super erklärt, viele Dank! Hab aber nicht ganz verstanden, warum sagst du alle Server hätten neu aufgesetzt werden müssen (28:28)? Reicht es nicht, eine gefixte Version von xz zu laden? Lg
Thehe du sagst es, genau die selben probleme bei mir ;) 6 Monate Greasyfork 100 downloads täglich aber letzten endes wegen Suopport aufgehört zum Scripten...
mh, alle reden davon wie krass das ist und bla, aber keiner merkt, dass es u.U. noch 100 bis 1000 andere solche Fälle geben könnte, die bisher einfach niemandem aufgefallen sind, weil keiner Performance-Benchmarks macht... oder auch anders formuliert, ein intriganter oder böswillerger Mensch reicht aus, um alles Gute das OS so erreicht zur Nichte zu machen. Sollten wir vllt standartmäßig mit strace oder ptrace prüfen welche Libraries am Ende tatsächlich gelinkt werden? ist ja heute schon machbar - ob man damit aber supply chain attacken rechtzeitig bemerkt bleibt offen - IT Sec ist ja immer schon ein Wettlauf zwichen white und black Hats....
@TheMorpheusTutorials Der Maintainer der xz-utils, Lasse Collin, hat nie was von einem Burn-Out gesagt. Ich verstehe nicht warum viele dem ganzen diesen Spin geben wollen? Sein Statement auf der Mailinglist war, ich zitiere: I haven't lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things. Kurz mentale Probleme und einige andere Dinge. Da kommt vieles abseits eines Burn-Outs in Betracht (Depression etc.), muss auch absolut gar nichts mit dem OSS-Projekt xz-utils zu tun haben.
OMG, wer kommt denn überhaupt auf sowas extrem Verstecktes drauf? Respekt! -- 23:05 ... jemand hat ein Benchmark gemacht, wo es auffiel. Schon krass die ganze Geschichte. Das sollte eigentlich überall bekannt gemacht worden sein. ZB in der c't als headline.
Enorm wichtig an der Sache ist doch auch, dass das wahrscheinlich in wenigen Wochen in allen neuen LTS-Releases gelandet wäre, oder verstehe ich das falsch? Umso dankbarer kann man dem MS-Entwickler sein, der genau wissen wollte, warum sein SSH-Login auf einmal so langsam ist. Nicht vorstellbar, was passiert wäre, wenn das tatsächlich im großen Stil ausgerollt worden wäre.
Das ist mit einiger Wahrscheinlichkeit jemand aus dem Umfeld, der den kennt. Jemand, der heimlich großen Neid empfindet. Ganz sicher ohne eigene Familie und ohne Partner. Der ist unreif, hat narzisstische Züge, hält sich für weit überlegen. Leider nutzt der sein Talent nicht und macht sich einen Namen sondern bleibt stattdessen im Verborgenen und greift andere an. Die Energie, die der in das Versteckspiel investiert, würde einiges freisetzen, wenn er das zielgerichtet konstruktiv nutzen würde.
Kannst Du mal thematisieren warum es überhaupt sein kann das billionen Konzerne ihre Server auf einer ein-Person Opensource software laufen lassen? Ich versteh das nicht. Wie kann das sein das dies nicht durch x-Instanzen durch geht und gesichert wird?
Vielen Dank fürs Video , in nem anderen Video hatte ich gesehn das es nur bei bestimmten ssh geht die gepatched sind mit lzmalib iüber systemd über systemd-notify zum ssh server deamon is vllt auch intressant das einige Distro´s gibt wo es nicht drauf läuft. mfg Lifoy
Hallo Morpheus! Ich benutze Fedora und hatte auf die 40-Beta geupdated, d.h. ich hatte die betreffende Version 4.6.1 installiert, was natürlich bei Bekanntwerden der Lücke gedowngraded wurde. Red Hat selbst hat ja geraten, betroffene Systeme neu aufzusetzen. Glaubst du es ist durch das Update behoben oder ist da noch was auf dem System und ich muss neu installieren?
Wahrscheinlich ist es sicherer du setzt alles neu auf. Wenn der/die schon so gut waren das ganze so rein zubauen dann werden die mögliche Updates impliziert haben diese automatisch zu umgehen. Da wird ein Update nichts bringen. Es ist Scheiße aber da kann man nichts machen. Es ist eh besser auf einer virtuellen Maschine Beta Releases zu testen/nutzen. Ich für meinen Fall habe zu viele negative Erfahrungen mit pre Versionen gemacht und nutze fast nur noch stable Versionen. Auch Updates sind mit Vorsicht zu genießen es hört sich paranoid an aber wir sind alles Menschen und da kann immer ein Fehler passieren...
Geiles Video! Ich war im Urlaub und hab heute gesehen, dass ich knapp 1000 Mails hab. Demnach werde ich Morgen in den E-Mails bestimmt auch zu dem Thema etwas sehen! Gut zu wissen, da ich das Thema komplett verpasst habe, vielen Dank! Ich hoffe, du bist bei bester Gesundheit und bleibst uns lange erhalten!
Warum spricht der Mann alle Abkürzungen auf Englisch aus? Auf Deutsch wäre es doch ebensogut. Die Amis sprechen deutsche Abkürzungen ja auch nicht auf deutsch aus (BMW, BASF, DB, ICE usw.)
naajaa, in diesem Fall sind das englische Abkürzungen englischer Begriffe in einem internationalen, also englischen Sprachraum.... also ist das kein grauenhaftes "Denglisch" wie bei vielen jungen Kanalbetreibern/Influenzern und sogar einigen FUNK Kanälen...
Das soll sich aber nur auf Distributionen auswirken, die sshd in Verbindung mit systemd verwenden, wobei sshd gegen xz-utils (linlzma) gepatcht ist (Debian, Ubuntu Rolling-Releases wie Suse Tumbleweed etc., außer arch ist nicht gepatcht gegen xz-utils). außerdem müssen noch einige andere Punkte erfüllt sein das die Backdoor geeifen kann.
hm... also da es so stark "[...]bis zum Ende durchengineert gewesen[...]" war + der doch etwas längere Zeitplan und die damit verbundene Vorrausplanung - riecht für mich nach einem Staatlichen Akteur...
Könntest du auch mal ein Video machen mit den Angriffen, die es alle gibt und was sie alles anrichten können/ könnten? Und wie man die einen und die andern evt enttarnt? Irgendwas fällt doch immer auf.. Dieser Hack beim DBT hätte auch viel früher entdeckt werden können! Stattdessen klimpern die fleißig Tasten weiter, die nicht mehr wie vorher funktionnieren.. 😱 Systemabstürze sollten immer zu hinterfragen sein, besonders wenn es soviele aufeinmal sind! Wird man aber ständig belästigt, sollte man dann doch lieber die Finger von lassen, wenn man eh nix davon versteht, oder sich reinfuchsen, bis man es versteht und sich besser schützen, falls dies überhaupt möglich ist, in einer Welt voller Möglichkeiten? 😂😂😂
Was mir grade auffällt: durch brotli und zstd war xz auch nicht mehr der heiße Scheiß (sondern nur, von was wir alle abhängen), so dass vermutlich die Aufmerksamkeit nochmal stärker eingebrochen war.
Dankeschön für das tolle detailierte video! Super!😃 Du hast die Fähigkeit, komplexe schwierige Vorgänge, anschaulich zu erklären, dass wir sie verstehen!😄
Also wenn ich mir den Aufwand vorstelle dafür, würde ich als erstes an eine Öffendliche Stelle denken. Die haben das Geld für so etwas. Wenn ich mir allerdings vorstelle, das das über Jahre gemacht wurde, dann würde das auch einer einzelnen Person gelingen. EXTREM ist beides.
Meine neue Website ist endlich auch fertig:
Ihr findet dort auch die Möglichkeit einen NEWSLETTER von mir zu abonnieren. Das ist super praktisch, weil wir da nicht auf den RUclips Algorithmus angewiesen sind, dass ich euch erreiche. Ein Mal die Woche kommt dann ein Update, nicht nur mit Videos, sondern auch mit Themen, die es vielleicht in kein Video geschafft haben!
the-morpheus.de/
Wow 😊 richtig nice deine Seite
Das ThreeJS Model bzw. die spline scene "/js/scene.splinecode" lädt bei mir beim initialen Seitenaufruf sehr langsam.
(Chrome: Version 123.0.6312.86 (Offizieller Build) (64-Bit) | win10 | amd-fx6300 | geforce 760ti) ps: das mit dem 2,5sek. timeout ist irgendwie kacke.. wüsste es allerdings selbst nicht besser wie man die lade performance steigern könnte außer mit kleiner auflösung anfangen und dann langsam höher drehen.
schöne website
was auch immer du da gemacht hast aber wenn man deine seite öffnet geht meine cpu auslastung von 1% auf 10% :D auch das video bleibt kurz stehen
Das ist glaube ich der Spline, der nachlädt :D
Ich will mal einfach hier, allen Open Source Entwicklern danke sagen.
Unsere Welt wäre Technologisch nicht da wo sie ist, wenn ihr nicht da wärt.
Darum hoffe ich das es endlich mehr Anerkennung in Zukunft für auch gibt.
Und Zusätzlich danke an Morpheus
Das ist wie Klatschen vom Balkon aus.
Es streichelt etwas das Ego, mehr auch nicht.
@@davidkummer9095 etwas weniger Pessimismus. Klatschen hat eine Wirkung so klein diese auch sein mag solange sie eine Positive Wirkung hat sollte man sie auch erbringen.
Zweitens sollte man nicht über die Klatschende Person urteilen wenn man nichts weiß.
@@harveychuba5442 Dann hoffen wir beide mal, das ich zu Pessimistisch bin.
Open Source ist auch nicht besser, wenn sie zu selten geprüft wird.
Als jemand, der selbst zu OSS beiträgt (in meinem Fall aktuell hauptsächlich der Static Site Generator Eleventy/11ty), möchte ich hier noch hinzufügen, dass ein Open Source Projekt von so viel mehr lebt, als nur den Entwicklern. Wenn man z.B. mal einen Fuß in der Open Source Entwicklung finden möchte, würde ich stark empfehlen einfach mal Dokumentation hinzuzufügen, in existierende PRs zu blicken oder Issues zu öffnen, kommentieren oder zu beantworten. All das nimmt Last von den Entwicklern und ist mindestens genauso wichtig, wie die eigentliche Entwicklung.
Auch möchte ich hier ein wenig @davidkummer9095 widersprechen. Das Klatschen vom Balkon aus war ein wenig der Schlag ins Gesicht vom z.B. Pflegepersonal, da man denen eben nicht z.B. mehr Geld zugesteht. An OSS arbeite (zumindest ich) jedoch tatsächlich nicht für das Geld, sondern als Freizeitbeschäftigung und weil ich eben was zurückgeben möchte. Hier kann dieses öffentliche "Danke" eben einen Unterschied machen und mich darin stärken auch weiterhin beizutragen. Gleichzeitig ist das ein wichtiger Gegenpol für die teils sehr dreisten Forderungen, die so in Repos erscheinen.
Und jetzt überlegt mal wie viele Backdoors nicht durch Zufall gefunden wurden und noch rumschlummern.
Hatte diese Erklärung bislang nur englischsprachig gesehen. Sehr gut erklärt!
Ich nutze Linux seit Jahren und danke allen, die sich die Nächte beim Programmieren um die Ohren schlagen, viel zu wenig.
DANKE!
U-Labs hat vor 4 Tagen ein deutschsprachiges Video rausgebracht.
@@hugoschmitz6649 Im Gegensatz zu Morpheus habe ich U-Lab aber nicht abonniert. Danke jedoch für die Empfehlung.
Der SCHLIMMSTE ANGRIFF dieses Jahr...Dramatische Pause...bis Jetzt🤩 immer schön locker bleiben mit der brennenden Kirche im Dorf😎🍻
Yey, das macht Hoffnung 😂
Also soweit ich weiß ist Christiano Ronaldo ja auch bereits zum Fußballer des Jahrhunderts gekürt worden 😁 Aber im Fußball ist glaube ich die Logik auch nicht oberste Priorität
@@MrLoLFaQKopfball Kopfnuss Digga ..wo da der Unterschied Sieg bleibt Sieg,
jawohl😄🤘
Das ist nur logisch😐🖖 , mein Kapitian Kirk ahh Khan.. Wie bin ich hier her gekommen und warum liegt hier überall Rasen auf der Brücke rum😵⚽Owei owei mein Kopf tut so Weh😪
gibt es ein technischen Grund warum Hemden Karten rot sind,wo du genau weißt für den ist das Spiel gleich vorbei..Sport ist Mord und ich ziehe keine roten Hemden an bin ja nicht komplett bescheuert😂🍻
Auf Köllsch: Et hätt noch emmer joot jejange. (Deutsch: „Es ist bisher noch immer gut gegangen.) 😄
ja, und wer hängt auch seinen ssh server direkt schon ins internet?
Mehr Sorgen sollten einem die ganzen Angriffe bereiten, die *nicht* entdeckt worden sind. Akteure, die so vorgehen, setzen nicht alles auf ein einziges Pferd. Da kann man dann am Ende nur hoffen, dass diese "Akteure" tendenziell eher zur "eigenen Seite" gehören. Gut, dass es trotzdem auch Leute wie Andres Freund gibt, der den Auffälligkeiten wirklich nachgegangen ist und sie öffentlich gemacht hat!
Will jetzt nicht direkt den Aluhut aus der Schublade holen, aber so ausdauernd und durchdacht wie das ganze umgesetzt wurde und weil hier trotzdem scheinbar nur der Angreifer selber zugriff bekommen konnte, würde ich hier irgendwelche staatlich finanzierten Akteure nicht ausschließen.
Wobei das "wer" ja im Grunde auch egal ist, wenn diese Lücke genutzt worden wäre. Ist durch Open Source halt aufgefallen, dass da was ist, bzw konnte nachvollzogen werden, ohne, dass ein Hersteller das Problem einfach hätte verstecken können.
Wann hat der Aluhut denn die letzten Jahre jemals Unrecht gehabt 😅
Dazu ist kein Aluhut notwendig. Es macht absolut Sinn hier einen Geheimdienst zu vermuten, einfach weil das jemand entwickelt hat für den Zeiteinsatz keine große Rolle spielt. Einen neuen Ransomwaretrojaner oder Windowswurm kann ein talentierter Coder vermutlich in ein paar Wochen zusammencrunchen, aber hier wurde höchst sorgfältig über Jahre gearbeitet. So arbeiten keine Gangster, so arbeiten Beamte.
Ja kam mir beim anschauen des Videos auch vor als hätte da wer ordentlich Kapital reingesteckt….
@@Almostbakerzero und wenn es ein Geheimdienst war dann wären auch die Konsequenzen größer als wenn es nur ein Typ wäre der auf Kohle aus ist.
Bravo und danke für deinen wetvollen Beitrag und ja, bitte mehr "Liebe" für Open Source Developer.
Es gibt so oder so niemals 100% Sicherheit. Egal was man tut.
Unabhängig von der Backdoor ist es einfach frech, jemanden Druck zu machen für etwas, dass er freiwillig tut. Also manche Menschen lassen das leider mit sich machen, aber mir wäre das völlig latte. Wenn es schneller gehen soll: Bezahl oder mach es selbst. Das ist in jeder Branche so. Mag sein, dass es bei Open Source Projekten anders läuft, aber dennoch muss man auf seine Gesundheit achten, vor allem für etwas, was nur mangelhaft wertgeschätzt wird.
Vielen vielen Dank 🎉. Das war wie immer ein sehr gelungenes Video und du hast die Thematik spitzenmäßig erklärt. Dieses Beispiel zeigt einmal mehr auf, dass Schwachstellen und Sicherheitslücken zu einer ständigen Bedrohung führen und führen werden. Allein allein dieses Video ist so lehrreich und sensibilisiert abermals für dieses Thema. Es ist unglaublich, wie viel Mühe du dir für diese Videos gibst! DANKE
Ich danke dir ❤️
Schönes Video, wobei man sagen muss dass ja eigentlich nur 3 Distros und Testing branches betroffen waren. Finde daher das thumbnail unglücklich gewählt.
War auch mein Gedanke, ja. Etwas überdramatisiert. Die ganze Geschichte ist definitiv ein "Drama", aber wirklich betroffen sind dann in der Realität weit weniger als 90% :D
Nein, passt schon. Wäre es nicht sofort entdeckt worden, wäre es in kurzer Zeit in jedem Betriebssystem und jedem Server weltweit. Glücklicherweise war es open source.
"Nur" ist gut. War purer Zufall das es noch rechtzeitig aufgefallen ist
Im thumbnail steht "beinahe", das finde ich völlig zutreffend. Es war ja wirklich knapp.
Clickbait much 😒
Vielleicht sollten wir überlegen, so ein paar essentiellen Projekten wie SSH oder XZ mal vielleicht bisschen Steuergelder zu geben, wenn die Firmen das schon nicht machen, schließlich baut die ganze Wirtschaft darauf. Und wenn das vielleicht sogar ein geheimdienstlicher Angriff war, dann kann man das auch als nationale Verteidigung verstehen, solche Projekte zu finanzieren.
Sollte der CCC mal bisschen Druck machen da.
Apple musste ja ein paar euro strafe an die EU zahlen, kann man damit finanzieren.
Gibt es bereits nennt sich souvereign tech fund und unterstützt beispielsweise PyPI und CURL aber ich stimme zu das sollte definitiv ausgebaut werden.
Das ist eine Backdoor die zufällig entdeckt wurde. Ich frage mich ob das wirklich die einzige war, oder wie viele eigentlich existieren, auch in Windows, MacOS, Android, iOS usw.
Was wohl diese Backdoor Wert gewesen wäre, wenn sie nicht entdeckt worden wäre...
Unbezahlbar!
Danke für das Video!
Da soll mal einer sagen die Obsession Dinge zu messen und schneller/grösser/genauer zu bekommen hätte keine positiven Nebeneffekte :D
Hey Morpheus ein wenig konstruktive Kritik hier:
Ich finde das Video an und für sich gut und verständlich!
Jedoch lässt der Präsentations Style ein wenig zu wünschen übrig!
Man hätte definitiv das Video ein wenig kompakter gestalten können und nicht als wäre es ein stream einfach mit den richtigen links von der Leber reden.
Aber danke, dass du dieses Video gemacht hast!
Definitiv, danke dafür. War dann ein bisschen am abwägen, ob ich das Video lieber heute so oder in 3 Tagen mit Schnitt erstelle. Aber mir war Geschwindigkeit da gerade wichtiger
@@TheMorpheusTutorials Bei solchen Themen finde ich es wichtiger aktuell zu sein als den Schnitt.
Oder man setzt Kapitel.
Öhm, es sollte Kapitel geben..
@@TheMorpheusTutorials Jetzt sehe ich sie. Sry, für die Verwirrung.
FOSS ist so unfassbar wichtig für unsere Welt und kaum einer (aus der Gesamtbevölkerung) ist sich dem auch nur im geringstem bewusst.
Vielleicht eine unfassbar stupide Idee, aber eventuell sollte man zu Ehren der FOSS-Entwickler wirklich einen Feiertag einführen.
Mit dem dadurch entstehendem (jährlichen) Fokus ändert sich dann vielleicht auch die Haltung.
Verdient wäre es jedenfalls...
Der Big Bang Theory Day
Andres Freund arbeitet übrigens bei Microsoft. Nur so nebenbei.
Schönder Bericht, der genau das eigentliche Thema anspricht, dass diejenigen, die sich als Maintainer so aufopfernd einbringen, keine wirkliche Resonanz in der Öffentlichkeit haben. Wie wäre es mit einer Maintainer Rangliste, einem Maintainer des Jahres? Bei Anwälten gibt es die Legal 500, wo es eine Submission List gibt. Sowas könnten doch Fachmagazine oder Portale auch bei Maintainern machen.
Open Source Maintainer hier, aber keiner benötigt meine Projekte :D
wenn du magst, gib doch mal deine repo her :D
Erstmal richtlinien lol... wollte nur für den Algorithmus danke sagen 😅
Aber mal ernstaft danke an die open Source entwickler, und danke fürs top viedeo!
Hoffe das zählt als keine werbung und war hofentlich auch kein hate 😅❤
Ich dachte, es wurde durch die schnelle Reaktion vermieden, dass das Problem in stable Versionen von ssh auftritt. Sind dann wirklich 90% aller Server betroffen? ^^
PS: Ich möchte damit nicht das Problem relativieren, fand nur 90% etwas heftig im Thumbnail.
Ja der Titel ist misleading.
Es war gemeint dass es beinahe soweit gekommen wäre dass 90 Prozent der Server hätten betroffen sein können.
Real betroffen sind Server Distros zB gar nicht.
Ist schwierig. Wenn man jedem Danke sagen sollte in finanzieller Art, der Aufwand und die Kosten wären gigantisch. Und ein globales DANKE irgendwo im Netz an alle ist nichts Wert. Es ist eine Tragödie.
Super Video. Danke dafür. 👍
Ist schon der Hammer wie gut das durchdacht war. Ich bin mal gespannt was noch so alles darüber raus gefunden wird.
Wenn man sich immer auf überarbeitete Ehrenamtliche verlässt, dann ware es leider nur eine Frage der Zeit, bis es mal passiert.
Hier der Typ der den bug bzw. Die Backdoor gefunden hat.
Eins kann man schonmal sagen; der typ kennt SEIN system.
Auch wie du es am Schluss erklärt hast … krass das man anhand von der Login Geschwindigkeit kleine Rückschlüsse zieht das da was faul ist .
Vorallem der musste ja im Voraus schon im Gedanken sich alles ausgedacht haben müssen wie der da eventuell vorgeht + sich die Mühe da machen und vor dem Update die Geschwindigkeit zu testen und danach … das meine ich mit Gedanken schon davor gemacht zu haben
Bei sowas fällt mir nur ein das man Monsterlangeweile haben muss um auf etwas krass verstecktes zu stoßen ..
Und in diesen Falle wenn ich raten müsste würde ich sagen das waren die Chinesen, falls das nicht einer Alleine war
Falls ja … krass auch so vorzugehen mit Jahre langer Planung und wissen wie man an die Sache ran geht
Im Enterprise Umfeld schreibst du zB deine Deployment Zeiten mit, dort fällt sowas ziemlich schnell auf. Vor allem in großen Umgebungen wo ein Lauf beispielsweise auf ein paar Hundert Hosts geht. Diese halbe Sekunde pro Login potenziert sich also schnell und fällt in diesen Szenarien aber auch schnell auf.
Dass man da nun jahrelang im Dunkeln getappt hätte ist recht unwahrscheinlich.
😅 das war aber wirklich knapp. Wird echt Zeit das auch große Firmen zu so etwas finanziell beitragen.
Das erinnert mich etwas an die Geschichte von Clifford Stoll. Warum ist da eine Differenz von 75 Cents, wie kann das denn sein?
Kurz auch mal ein großes Dankeschön an dich, dafür dass du dich hinsetzt und solche komplexen IT-Themen verständlich aufbereitest! :)
Ich finde zwei Jahre übrigens gar nicht so lang. Das ist die Zeit, die durch Infrastrukturprobleme auch mal zwischen zwei bis drei Releases verstreichen kann. Nebenbei: M4 ist ein autoconf macro. Das sollten mehr Leute lesen können, aber viele trauen sich nicht. So schwer ist es nicht ⇒ sollten mehr Leute lernen.
Hochinteressant! Wäre super, wenn du nochmal eine Fortsetzung machst, sobald der Malware Code entschlüsselt wurde!
Ich bin kein Entwickler und irgendwo hier verloren gegangen. Ich dachte ein build prozess wandelt lesbaren lokalen source code in eine ausführbare datei um. Wie kann dann da etwas nicht lesbares oder geschweige denn auf gitignore stehendes in die binary eingebunden werden?
Ein Build Prozess kann theoretisch alles machen. Das was du meinst ist Compiling und Linking und nur ein Teil des Builds.
die gitignore "ignoriert" Files nur im Git Repo. Oder auch: ich hab hier lokal (oder auf meiner Build Kiste oder sonst wo) Files liegen die ich vllt zum Bauen der Software brauche, aber die nicht Teil meiner Software sind, also bitte auch nicht ins Repo einchecken
@@meFisttoU hm so richtig schlau bin ich noch nicht. Wenn ich das repo clone und lokal den build mache kann dann da was rein"wandern" was nicht im git war und nicht von mir lokal erstellt wurde?
Ich hab jedenfalls gedacht dass so open source funktioniert dass man den source code lädt, komplett lesen kann und dann nur daraus lokal was ausführbares bauen kann.
@@kerniger86 Wenn du lokal baust, dann wandert nichts rein. Zumindest nicht was sonst per gitignore rausgebaut ist. Wenn im Repo sonst irgendwie Zeug versteckt ist, dann hast du das beim lokalen Bauen auch mit bei (ist dann aber nicht per gitignore rausgewandert).
@@mkolbat Ich frag mich _wo_ der build prozess stattfindet und woher die sources dafür kommen. Wenn build-to-host.m4 nicht im repository steht, wie kann es dann im build benutzt werden? Es nützt ja nichts wenn das nur auf dem lokalen checkout des Angreifers steht.
Kann mir jemand erklären von wo die Malware denn jetzt genau geladen wird, wenn sie nicht im Github Repo ist? Und warum kann man im Quellcode nicht sehen, dass da zusätzliche Dateien von irgendwo gezogen werden?
Kurz und falsch zusammengefasst: Der Schadcode selbst inkl. Installationsskript war vorkompiliert, verschlüsselt und komprimiert als binäre Testdatei verkleidet i.S.v. "Dieses Archiv ist korrupt und testet die Fehlererkennung in xz" im repo öffentlich eingecheckt (ja, waren 2 Dateien, Details, Details...). Der trigger zum Entschlüsseln des Schadcodes und Ausführung dieses Installationsskripts waren nur wenige Zeilen im M4 macro, welches selbst allerdings nicht im öffentlichen Repo lag, sondern nur vom Angreifer für die tarball Installationsdateien erzeugt und ausgeliefert wurde. Das ging so nur, weil a) der Angreifer zu diesem Zeitpunkt der einzige Maintainer mit voller Kontrolle über die M4 Erstellung war und b) (Hörensagen, bin kein Experte!) der Prozess, M4 Dateien speziell für tarball Auslieferungen zu erstellen und nicht öffentlich einsehbar einzuchecken wohl weit verbreitet und akzeptiert ist. Niemand schöpft Verdacht. Weiter sind M4 Macros meist automatisch erstellt und nicht lesefreundlich für Menschen. Wer nicht explizit genau in diesem tarball das M4 Macro explizit auf verdächtige Zeilen untersucht, das die mitgelieferten Binärdateien des Testordners in unerwarteter Weise bearbeitet, wird es erst bei Ausführung der backdoor und der 0,5 sec Verzögerung bei SSH Anmeldungen sehen.
👍 wie immer: vielen lieben dank und >>> hut ab! du bist klasse!🎩
Das ist exemplarisch für die Schwachstellen von Open-Source! Die Qualität und damit auch die Sicherheit hängt am Ende an den Menschen, die ihre Zeit investieren. Jemand der sich ehrenamtlich im Sportverein engagiert ist hochmotiviert und kann auch Leistungen auf Proflevel vollbringen. Ehrenamtliches Engagement kann aber auch nur temporär sein!
Es gibt warscheinlich in Open-Source Projekten noch viel mehr Malware, die aber einfach nicht endeckt wurde...
Und in Closed-Source-Projekten auch.
deine Logik ist verkehrt. Siehe meinen comment weiter oben/unten
@@__christopher__ Close source Firmen machen sehr oft externe Security Audits, Open Source Projekte nicht. Und wie man sieht, sind das oft One-Man shows die überhaupt von niemandem angeschaut werden. Das Argument "Open Source ist sicher, weil jeder den Code überprüfen kann" ist halt Quatsch, weil es halt niemand (siehe hier) tut.
@@steveo6023hat bei Blaster damals nicht wirklich geholfen, oder? Ich denke, dass der Anteil der wirklich durch ein riguroses Audit geschleiften Software im einstelligen Pronzentbereich sein dürfte. Denn das bringt kein Geld. Wenn du gegenteilige Daten hast, dann würd ich die gern sehen.
@@holeefukisback Deine Logik basiert aber auch nur darauf, dass es eine Community gibt die sowas untersucht...
Ich will jetzt gar nicht abstreiten, dass man open Source "Produkte" besser untersuchen kann. Nur der "Vorteil" ist halt irgendwie total nutzlos, wenn das nicht in dem Umfang gemacht wird..... Wie Sinthoras155schon angedeutet hat und steveo6023 hat es auch erwähnt, man kommt halt auch vermutlich extrem einfach in so Projekte rein. Das geht dann soweit, dass man auch komplette Projekte übernehmen kann ohne großen finanziellen und mit vertretbaren zeitlichen Aufwand. Theoretisch könnte man auch an einem Dutzend Projekten parallel arbeiten in der Hoffnung, dass man in X Jahren so viel Standing hat, dass man deutlich mehr Rechte und Einfluss hat.
Das Argument, dass Open Source sicherer ist aus meiner Sicht totaler Quatsch.
Es gibt gefühlt keine Community die sowas ernsthaft untersucht. Was vmtl. auch extrem frustrierend wäre, weil man oft nichts findet und wie oft beschweren sich OpenSource Entwickler über Leute die irgendwas nachfragen? Es gibt nebenbei auch praktisch KEINE Community aus Leuten, die wirklich mal Wert auf Green Coding legt oder mal genauer hinschaut, weil man es zum kotzen findet wie viel RAM ein Programm benötigt. Das hier zumindest theoretisch Anomalien entdeckt werden könnten. Der Typ hier hat den Fehler ja auch nur gefunden, weil er die Laufzeit von der ganzen Sache mal analysiert hat UND sich auch auskannte.
Hallo Cedric,
für die Betroffenen, schlimm. Wertfrei betrachtet, ... das ist ganz hervorragender Entwickler.
Gruß, Enigma-pi.
Als jemand der keine Ahnung von Softwarelogistik in der Open Source / Linux Welt hat habe ich hier mal eine Verständnisfrage:
Die Malware ist ja (Soweit ich das verstehe) nur in der vorkompilierten Bibliothek drin. Würde man das Binary selbst bauen wäre es ja clean (eingebaut wird es ja von der M4 Datei die in den Sourcen nicht drin ist), ich vermute mal, es baut und funktioniert auch ohne die M4 Datei, sonst wäre das wohl eher aufgefallen.
Jetzt die Verständnisfrage: Ist das üblich das Distributionen die Binaries übernehmen oder wird so was vom Distributor üblicherweise selbst gebaut (nur dann weiß man ja sicher, was eigentlich drin ist).
Wenn das so ist wäre jetzt der richtige Zeitpunkt das mal zu überdenken. Malware ist doch in den Sourcen viel leichter zu erkennen als in den Binaries oder liege ich da komplett falsch?
wie wird denn das binary gebaut. von der verseuchten bauumgebung oder nicht ...
@@Henry-sv3wv Das ist ja genau was ich meinte. Wenn ich selbst bauen würde, würde ich mir ja die Quellen aus dem Git Repo laden (ohne M4 weil .gitignore) und lokal bei mir bauen. Das müsste dann ja clean sein. Wenn das nicht funktionieren würde wäre das sicher schon aufgefallen. Mich wundert ja nur, dass die Distributoren das nicht so machen aber ich komme eben noch aus einer Zeit wo man seinen Linux Kernel selbst kompilieren musste 🙂
Ix Zett du Englischmann.
Hut ab für deine Mühe. Ich komme nichtmal dazu alle Videos von dir anzusehen, also iwie glaube ich du hast dich geklont um das alles zu machen. Nein Scherz beiseite, habe wirklich respekt vor dir, wie du es schaffst all diee zu machen!
Wenn du ne Möglichkeit dazu hast, immer her damit 😂
Danke für das Video.
Ich muss aber ehrlich gestehen, dass ich nicht genau verstanden habe, wann die Backdoor greift und wie sie funktioniert.
Kann mir das bitte jemand kurz und knapp zusammenfassen? Könnte hier nicht auch die NSA dahinter stecken?
Entsteht die Backdoor beim nutzen des xz Tools oder reicht es aus, wenn diese Version (5.6.0-5.6.1) auf dem Rechner installiert ist?
Oder entsteht die Backdoor zum SSH Rechner, weil die mit xz verschlüsselten Daten dorthin übertragen werden?
Wie genau nutzt der Angreifer diese Backdoor aus? Kann er sich dann einfach auf den Rechner schalten oder kann er nur in dem Moment ausgeführten xz Anwendung Tätigkeiten ausüben?
XZ wird am Ende in die SSH als Bibliothek mit einkompiliert.
Normalerweise kann man SSH so konfigurieren, dass sie nur auf genau festgelegte Verzeichnisse Zugriff bekommt. Mit Backdoor bekommt sie diese Rechte SYSTEMWEIT!
@@matthiaslangbart9841 ah, ok. Vielen Dank. Diese Backdoor wird in dem Moment eingebaut, indem man mit der betroffenen Version Daten überträgt? Werden SSH Daten immer mit xz komprimiert?
@SCH4LK: Nicht ganz. Die Backdoor ist schon längst eingebaut und „schläft“ in der SSH. Wenn man mit der betroffenen Version Daten überträgt, wird sie „wach“ und richtet den Schaden an.
Zeigt dass im Grunde ale wichtigen und weit verbreiteten Open Source Projekte Ziel für Backdoorangriffe werden können. Und irgend ein Maintainer da was reichschleichen kann.
Habe persönlich kein Problem damit, wenn mich einer fragt, ob ich noch dran bin am Projekt. Kann man einfach mit Ja oder Nein beantworten. Habe auch schon mal bei einem Maintainer nachgehackt, als nach 3 Monaten keine Reaktion auf meinem PR kam. War halt die Frage Fork oder nicht Fork.
Andere Dinge nerven viel mehr. Wie z.B. das immer wieder die gleichen Fragen gestellt werden. Das man nicht die Doku lesen kann. Die Issue-Liste ist kein Support Kanal! Dafür gibt es Stackoverflow und Co.
Leider enthält das Video gravierende Fehler:
SSH nutzt LZMA nicht für Datenkompression, dort wird, wenn das überhaupt aktiviert ist, gzip benutzt.
LZMA wird nicht direkt in SSH verwendet, sondern ist eine Abhängigkeit von dbus. Fedora und Debian patchen SSH um mit dbus zu interagieren. Dadurch wird der Angriff überhaupt erst möglich.
Außerdem ist seit Montag auch bekannt was die Backdoor genau tut. Ich bin nicht in der Lage es genau zu beschreiben aber es gibt einen xz-bot, sucht mal danach, der die Features nett beschreibt und eigene Tests und Honeypots möglich macht.
Zudem ist die Beschreibung wie der Exploit verbreitet wurde fehlerhaft.
Jia hat Releases als Tarballs hochgeladen, die den Exploit enthalten. Diese enthalten aich so Dinge wie bereits vorkonfigurierte Buildsysteme, damit es leichter ist den Code zu bauen ohne tausende Flags für make configure oder ähnliche Tools im Kopf zu haben. Damit ist es aber leider auch möglich Exploits herumzureichen, die nicht im Repository liegen.
Der Exploit wurde dann in einem Teststep entschlüsselt, entpackt, und in das fertige Binary gelinkt.
Der Exploit selbst erlaubt eine RCE basierend auf speziellen ED448 Signaturen und ist kein Auth Bypass. Aber wird eben mit den Rechten des SSHd Services ausgeführt.
Da der ganze Kram im Release Tarball liegt, wissen wir sehr genau, wie die m4 Datei und auch die anderen Dateien, die zum Exploit gehören, aussehen!
Und der Exploit schreibt sich nicht auf das System sondern linkt sich in das xz binary.
Du machst sonst immer hervorragende Videos! Aber das sieht nach schnell schnell und wenig Recherche aus, weil du auch ein Video dazu machen möchtest/musst, aber es enthält wirklich viele Fehler oder Ungenauigkeiten.😢
Was wäre das für eine utopisch gute Welt, würde man das dafür benötigte Können und das dafür verwendete und nun einfach verschwendete (Steuer)Geld einfach mal FÜR Security einsetzen. Also Cybersecurity, nicht National Security :P
Super Vid, danke!
19:30 Kleine Korrektur: Die Challenge wird bereits verschlüsselt an den sich authentifizierenden Client geschickt -- und zwar wie folgt:
1) Server generiert einen Challenge-Text und verschlüsselt diesen mit dem hinterlegten öffentlichen Schlüssel des sich anmeldenden Benutzers.
2) Server sendet den verschlüsselten Challenge-Text an den sich anmeldenden Client.
3) Client muss durch Entschlüsselung des Challenge-Textes nachweisen, dass er im Besitz des zugehörigen privaten Schlüssels ist.
4) Client sendet den entschlüsselten Challenge-Text an den Server zurück.
5) Server gewährt bei Übereinstimmung des ursprünglich von ihm generierten Challenge-Texts mit dem vom Client entschlüsselten Challenge-Text den Zugriff.
TL;DR: PubKey VERschlüsselt nur, PrivKey ENTschlüsselt nur. Anders formuliert: Jeder darf VERschlüsseln, aber nur der PrivKey-Besitzer ENTschlüsseln.
Wenn ich die CPU Auslastung von Windows beobachte im Leerlauf, dann ist Windows reinste Malware :)
Vielen Dank! Mein Dank für alle, die ehrenamtlich im Internet uns ihre Projekte zur Verfügung stellen und sogar Unkosten selbst damit haben. Durch den Kommerz erwarten die Nutzer:innen häufig den selben Support von solchen Projekten und reagieren dann gleich mit Unverständnis (mildeste Form).
Meine Frage ist, wie weit wäre die/der Angreifende gekommen, wenn ssh-server mit Verbot für root eingestellt ist. Hätte dies noch bestand gehabt oder wäre die/der Angreifende sogleich root geworden?
Was ein Video. Das sowas fast passiert wäre, zeigt, dass dort sich wirklich etwas ändern muss. Ich hatte mich schon mit 14 gefragt warum es Open-source gibt und wie es sich halten kann. Definitiv sollte da eine Regelung kommen. Wer weiß, welche stellen dadurch aufgedeckt wurden und welche weitere lücken es gibt, oder was sogar in Planung ist.
Mega heftiges Video.
24:31 Das zeigt aber auch, wie wichtig es ist sich mit den Dingen zu beschäftigen. Da war irgendein random Dude, der einfach die Performance getestet hat. Das sind Sachen, da kümmern sich Viele nicht mal drum.
Wenn ich da an Software denke, was da über JAHRE für Fehler sind wo Niemand genau hinschaut. Irgendwelche Software die weltweit eingesetzt wird, man nutzt bestimmte Funktionen und dann hat das Ding irgendeinen Memory Leak. Wenn ein 0815 Programm einfach mal 10GB Raum nur dadurch braucht, dass man ständig mit der Maus klickt und je Eingaben man macht, umso langsamer wird es.... Ist vermutlich irgendein Bug, aber weiß man es? Bugs bei anderen Geräten, wo es praktisch unmöglich ist über den Support mal zu den Hersteller zu erreichen, dass an sich die Sache mal anschaut.
Bin selber kein Entwickler sondern Systemintegrator, magst du mal was zu git ignore machen? Für mich stellt sich hier die Frage, warum gibt es diese Option überhaupt.
Und natürlich vielen Dank für deine vielen guten Videos, das hier insbesondere.
Für config Dateien zum Beispiel 😊
Am erschreckendsten finde ich, dass es von einer quasi One-Man-Show gepflegte Soft gibt, die, weil schon so lange da, quasi unhinterfragt überall genutzt wird und dadurch eine extreme Abhängigkeit erzeugt wird. Bei Bibliotheken finde ich das noch schlimmer als bei Einzelanwendungen. Ich hatte über 10 Jahre Abhängigkeit von einer Handvoll Programme, die nur von One-Man-Shows erstellt und gewartet wurden. Als ich mir mal überlegt hab was wohl passiert, wenn diese Leute plötzlich nicht mehr sind, fing ich an umzustellen. Bei Bibliotheken ist das perfider. Das merken nicht mal mehr die Programmierer. Gab es nicht mal NSA-Backdoors in Verschlüsselungsbibliotheken? Der Schritt Richtung Open-Source ist schon mal gut. Aber die Entdeckung von Bugs/Backdoors etc. sollte standardmäßig professionell erledigt werden, um sicher zu sein. Da scheint die momentane Schwachstelle in der Softwareherstellung zu liegen.
Wie mies der Angreifer sich fühlen muss: Jahre lang Zeit darin investiert, nur damit seine Hintertür in wirklich kurzer Zeit auffliegt. xD
Endlich hauen die mal endlich mal was für Linux gefährlich ist
Wow gerade SSH, das auf jedem System läuft ... Backup, Backup und Backup ... 🥝🥑😂😉🤡👍
ssh verwendet lzma nicht direkt. Nur wenn es gegen systemd gelinkt wird, bekommt es diese dependency mit.
Hört sich stark nach Geheimdienst an. So gut durchdacht und mit wenig Spuren. 🕵🏼
Der Windows Defender lässt mich die Linux Backdoor nicht runterladen :D
Ende gut - alles gut? Nee - wenn eine gut organisierte Gruppe mit viel Atem das Schaffen konnte, dann kann es bereits wo anders schon funktioniert haben oder falls nicht ist es eine gute Blaupause für zukünftige Angriffe. Was sind die Aufwendungen von Milliarden für Luftabwehrsysteme, wenn man mit geringen Mitteln (wir reden von ein paar Millionen) und Geduld wesentlich mehr erreichen kann. Und die Abhängigkeit wird steigen. Bislang sind noch viele Systeme, Geräte, Transportmittel analog, aber das nähert sich mit großer Geschwindigkeit dem Ende.
Ein kombinierter Angriff allein durch dieses Backdoor auf Versorgungseinrichtungen, Telekommunikation, digitale Transportmittel (Bahn, Auto, Flugzeuge) hätte den Angriff auf die Ukraine zu einer 24 Stunden Übernahme gemacht. Und auch Deutschland wäre nach 2 Tagen erledigt.
Super erklärt, viele Dank!
Hab aber nicht ganz verstanden, warum sagst du alle Server hätten neu aufgesetzt werden müssen (28:28)? Reicht es nicht, eine gefixte Version von xz zu laden?
Lg
Thehe du sagst es, genau die selben probleme bei mir ;)
6 Monate Greasyfork 100 downloads täglich aber letzten endes wegen Suopport aufgehört zum Scripten...
mh, alle reden davon wie krass das ist und bla, aber keiner merkt, dass es u.U. noch 100 bis 1000 andere solche Fälle geben könnte, die bisher einfach niemandem aufgefallen sind, weil keiner Performance-Benchmarks macht... oder auch anders formuliert, ein intriganter oder böswillerger Mensch reicht aus, um alles Gute das OS so erreicht zur Nichte zu machen. Sollten wir vllt standartmäßig mit strace oder ptrace prüfen welche Libraries am Ende tatsächlich gelinkt werden? ist ja heute schon machbar - ob man damit aber supply chain attacken rechtzeitig bemerkt bleibt offen - IT Sec ist ja immer schon ein Wettlauf zwichen white und black Hats....
@TheMorpheusTutorials Der Maintainer der xz-utils, Lasse Collin, hat nie was von einem Burn-Out gesagt. Ich verstehe nicht warum viele dem ganzen diesen Spin geben wollen? Sein Statement auf der Mailinglist war, ich zitiere: I haven't lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things.
Kurz mentale Probleme und einige andere Dinge. Da kommt vieles abseits eines Burn-Outs in Betracht (Depression etc.), muss auch absolut gar nichts mit dem OSS-Projekt xz-utils zu tun haben.
OMG, wer kommt denn überhaupt auf sowas extrem Verstecktes drauf? Respekt! -- 23:05 ... jemand hat ein Benchmark gemacht, wo es auffiel. Schon krass die ganze Geschichte. Das sollte eigentlich überall bekannt gemacht worden sein. ZB in der c't als headline.
Enorm wichtig an der Sache ist doch auch, dass das wahrscheinlich in wenigen Wochen in allen neuen LTS-Releases gelandet wäre, oder verstehe ich das falsch? Umso dankbarer kann man dem MS-Entwickler sein, der genau wissen wollte, warum sein SSH-Login auf einmal so langsam ist. Nicht vorstellbar, was passiert wäre, wenn das tatsächlich im großen Stil ausgerollt worden wäre.
Das ist mit einiger Wahrscheinlichkeit jemand aus dem Umfeld, der den kennt. Jemand, der heimlich großen Neid empfindet. Ganz sicher ohne eigene Familie und ohne Partner. Der ist unreif, hat narzisstische Züge, hält sich für weit überlegen. Leider nutzt der sein Talent nicht und macht sich einen Namen sondern bleibt stattdessen im Verborgenen und greift andere an. Die Energie, die der in das Versteckspiel investiert, würde einiges freisetzen, wenn er das zielgerichtet konstruktiv nutzen würde.
Wow, super video!
Uffff.... das klingt wirklich nicht gut. Was soll man dazu sagen? Ist doch unfassbar... viel Glück!
Kannst Du mal thematisieren warum es überhaupt sein kann das billionen Konzerne ihre Server auf einer ein-Person Opensource software laufen lassen? Ich versteh das nicht. Wie kann das sein das dies nicht durch x-Instanzen durch geht und gesichert wird?
Vielen Dank fürs Video , in nem anderen Video hatte ich gesehn das es nur bei bestimmten ssh geht die gepatched sind mit lzmalib iüber systemd über systemd-notify zum ssh server deamon is vllt auch intressant das einige Distro´s gibt wo es nicht drauf läuft. mfg Lifoy
gibt es denn schon eine Stellungnahme von Jia Tan?? Muss doch frustrierend sein, wenn so ein Plan kurz vorm Start abgefischt wird...
Warum ich open source maintainer werden würde, wäre, dass es sich sehr gut im Lebenslauf macht. Das ist quasi eine indirekte Bezahlung.
Gibt's auch schon Erkenntnisse zum rooten? SSH hat doch per Default root login disabled.
Gutes Video!
Danke für den Beitrag!
XC? WordPress Server? OMFG
Super Video, super Info! Danke auch Dir, man! 👍👍👍
Das Thumbnail ist irreführend wie durch andere Kommentare schon erklärt
Magst du dir mal folgendes anschauen ?
reverse shell with dns data bouncing exfiltration
Ein Deutscher "Andreas Freund" hat diese Lücke entdeckt und gemeldet. Der Mann ist ein Held...
Hallo Morpheus! Ich benutze Fedora und hatte auf die 40-Beta geupdated, d.h. ich hatte die betreffende Version 4.6.1 installiert, was natürlich bei Bekanntwerden der Lücke gedowngraded wurde. Red Hat selbst hat ja geraten, betroffene Systeme neu aufzusetzen. Glaubst du es ist durch das Update behoben oder ist da noch was auf dem System und ich muss neu installieren?
Wahrscheinlich ist es sicherer du setzt alles neu auf. Wenn der/die schon so gut waren das ganze so rein zubauen dann werden die mögliche Updates impliziert haben diese automatisch zu umgehen. Da wird ein Update nichts bringen. Es ist Scheiße aber da kann man nichts machen. Es ist eh besser auf einer virtuellen Maschine Beta Releases zu testen/nutzen. Ich für meinen Fall habe zu viele negative Erfahrungen mit pre Versionen gemacht und nutze fast nur noch stable Versionen. Auch Updates sind mit Vorsicht zu genießen es hört sich paranoid an aber wir sind alles Menschen und da kann immer ein Fehler passieren...
Open source and capitalism - schwieriges Verhältnis
Ist denn bekannt, wann die invizierte Version verteilt wurde? Danke für die gute Info.
Geiles Video!
Ich war im Urlaub und hab heute gesehen, dass ich knapp 1000 Mails hab.
Demnach werde ich Morgen in den E-Mails bestimmt auch zu dem Thema etwas sehen!
Gut zu wissen, da ich das Thema komplett verpasst habe, vielen Dank!
Ich hoffe, du bist bei bester Gesundheit und bleibst uns lange erhalten!
Ich fürchte fast es war auch Teil des Plans die Feiertage über Ostern zu nutzen, weil eben viele IT-Spezialisten auch mal Urlaub haben. 🙏
Ohne cap oder Mütze deine Haare G musst ändern aber dein Bart immer fresh
Wow. Vielen Dank für dein Video! ❤❤❤❤
Danke für die detaillierten Infos 👍😍😍
der sound in dem video ist echt mega beschissen mit diesem leiser und lauter werden
Stinkt nach 3 Buchstaben Vereine!
gutes Video gut erklärt danke dir
Warum spricht der Mann alle Abkürzungen auf Englisch aus? Auf Deutsch wäre es doch ebensogut. Die Amis sprechen deutsche Abkürzungen ja auch nicht auf deutsch aus (BMW, BASF, DB, ICE usw.)
naajaa, in diesem Fall sind das englische Abkürzungen englischer Begriffe in einem internationalen, also englischen Sprachraum.... also ist das kein grauenhaftes "Denglisch" wie bei vielen jungen Kanalbetreibern/Influenzern und sogar einigen FUNK Kanälen...
Ich hab die ganze zeit auf „April April“ gewartet. Kam aber nicht 😳
Hab extra heute und nicht gestern veröffentlicht, damit niemand denkt, dass es Fake ist
Das soll sich aber nur auf Distributionen auswirken, die sshd in Verbindung mit systemd verwenden, wobei sshd gegen xz-utils (linlzma) gepatcht ist (Debian, Ubuntu Rolling-Releases wie Suse Tumbleweed etc., außer arch ist nicht gepatcht gegen xz-utils). außerdem müssen noch einige andere Punkte erfüllt sein das die Backdoor geeifen kann.
Wieso sagt der die ganze Zeit XC statt XZ?
hm... also da es so stark "[...]bis zum Ende durchengineert gewesen[...]" war + der doch etwas längere Zeitplan und die damit verbundene Vorrausplanung - riecht für mich nach einem Staatlichen Akteur...
Könntest du auch mal ein Video machen mit den Angriffen, die es alle gibt und was sie alles anrichten können/ könnten?
Und wie man die einen und die andern evt enttarnt?
Irgendwas fällt doch immer auf..
Dieser Hack beim DBT hätte auch viel früher entdeckt werden können! Stattdessen klimpern die fleißig Tasten weiter, die nicht mehr wie vorher funktionnieren.. 😱
Systemabstürze sollten immer zu hinterfragen sein, besonders wenn es soviele aufeinmal sind!
Wird man aber ständig belästigt, sollte man dann doch lieber die Finger von lassen, wenn man eh nix davon versteht, oder sich reinfuchsen, bis man es versteht und sich besser schützen, falls dies überhaupt möglich ist, in einer Welt voller Möglichkeiten? 😂😂😂
Was mir grade auffällt: durch brotli und zstd war xz auch nicht mehr der heiße Scheiß (sondern nur, von was wir alle abhängen), so dass vermutlich die Aufmerksamkeit nochmal stärker eingebrochen war.
Dankeschön für das tolle detailierte video! Super!😃 Du hast die Fähigkeit, komplexe schwierige Vorgänge, anschaulich zu erklären, dass wir sie verstehen!😄
meine Mutter benutzt SSH zu backen?
Also wenn ich mir den Aufwand vorstelle dafür, würde ich als erstes an eine Öffendliche Stelle denken. Die haben das Geld für so etwas.
Wenn ich mir allerdings vorstelle, das das über Jahre gemacht wurde, dann würde das auch einer einzelnen Person gelingen.
EXTREM ist beides.