Aufgrund   Updates, die an xz Utils vorgenommen wurden, stand die Welt kurz davor, von einem   Die Auswirkungen hätten eine ähnliche Verwüstung anrichten können wie der   im Jahr 2020, der es russischen Hackern ermöglichte, in die Kerne vieler US-Regierungsbehörden einzudringen. bösartiger kürzlich aufgedeckten Backdoor-Vorfall infiziert zu werden. SolarWinds-Angriff  Der Angriff war „erschreckend nahe“ am Erfolg und wurde vom Software- und Kryptografie-Ingenieur Filippo Valsorda als der vielleicht „am besten ausgeführte Supply-Chain-Angriff“ bezeichnet, der bis dahin beobachtet worden sei, berichtet Ars Technica.  Ein Großteil des Crowdsourcing-Codes des Internets ist anfällig für die Infiltration durch böswillige Akteure und Nationalstaaten. Open-Source-Software ist das „Herz des Internets“, sie wird größtenteils von einer Handvoll Freiwilliger gepflegt und stellt daher ein großes Sicherheitsrisiko für Unternehmen und Regierungen dar, berichtete   .   wird aufgrund ihrer geringen Kosten häufig in der digitalen   eingesetzt. Diese Infrastruktur, die in der gesamten digitalen Welt eingebettet ist, wird von verschiedenen feindlichen Nationalstaaten angegriffen. The Economist Open-Source-Software Infrastruktur   Die jüngste Open-Source-Angst vor xz Utils  Am 29. März 2024 entdeckte Andres Freund, ein Softwareentwickler bei   , eine „Hintertür, die in einer Software versteckt war, die Teil des Linux-Betriebssystems ist“. Diese Hintertür stammte aus dem Quellcode von xz Utils, der manipuliert wurde und unbefugten Zugriff auf Systeme ermöglichte, die die betroffenen Versionen verwendeten. Der kompromittierte Quellcode stammte vom   in Linux-Systemen. Die   schrieb, der Ingenieur habe einen „potenziell historischen Cyberangriff“ verhindert. Microsoft Open-Source-Datenkomprimierungsprogramm xz Utils New York Times  Da es sich bei xz Utils um Open-Source-Software handelt, kann jeder den Code sehen, da er öffentlich ist und welche Änderungen vorgenommen wurden.  Ein Entwickler namens Jia Tan begann, hilfreiche Codebeiträge zum Projekt zu leisten und sich langsam Vertrauen zu verdienen. Dann schmuggelte der Bösewicht im Laufe der Zeit Malware ein. Der russische Auslandsgeheimdienst SVR, der vermutlich hinter den Angriffen steckt, ist derselbe Geheimdienst, der auch hinter dem SolarWinds-Angriff steckt.  Die Open Source Security Foundation (OSSF)   , dass der Angriff auf xz Utils wahrscheinlich kein Einzelfall sei. Kriminelle wurden dabei erwischt, wie sie ähnliche Social-Engineering-Taktiken anwandten, um zu versuchen, andere Projekte wie die   für JavaScript-Projekte zu übernehmen. warnte OpenJS Foundation   Die Anfälligkeit von Open Source-Software  Im Gespräch mit Frontsight Media erläuterte Ryan Ware, ein Experte für Open-Source-Software, das Ausmaß der damit verbundenen Risiken:  „Unsere digitale Infrastruktur ist sehr anfällig“, so Ware. „Bis heute wurden 177.914 CVEs veröffentlicht. Nehmen wir der Argumentation halber an, dass es 1 Milliarde Zeilen Code in Open Source gibt (es ist viel mehr, aber das Thema verschieben wir auf einen anderen Tag). Nehmen wir der Argumentation halber auch an, dass die Hälfte dieser CVEs Open Source sind (90.000, um eine schöne runde Zahl zu nennen). Das bedeutet, dass wir für Open-Source-Code nur eine Schwachstelle pro 11.111 Zeilen Code gefunden haben“, sagte er.  „Unternehmen würden alles dafür tun, um einen so sauberen Code zu haben, dass nur eine Schwachstelle pro 11.000 Zeilen Code gefunden wird“, erklärte Ware. „Außerdem ist die Menge an Open-Source-Software, die derzeit geschrieben wird, zwar etwas zurückgegangen, aber die Menge an geschriebenem Code ist immer noch so hoch wie nie zuvor“, erklärte Ware. Er beschrieb ein Szenario, in dem für jede gefundene Schwachstelle noch 5 bis 10 weitere Schwachstellen gefunden werden müssen, bevor der Code einwandfrei ist.   Lektion von xz Utils  Das Ausmaß des Beinahe-Unfalls von XZ Utils ist eine deutliche Erinnerung an die Fragilität von Crowdsourcing-Software und die dringende Notwendigkeit ausfallsicherer Installationen, wie Ware weiter erklärt:  „Wir wissen mit Sicherheit, dass Nationalstaaten versuchen, die Sicherheit von Software zu untergraben. Man muss sich nur die Liste der   ansehen, die es gibt“, sagte Ware und erklärte weiter, dass „sich diese Bedrohungsakteure in der Vergangenheit darauf konzentriert haben, Zero-Day-Schwachstellen zu nutzen, um ihre Ziele zu erreichen.“ Er merkte jedoch auch an, dass „diese Bedrohungsakteure operativ nicht einfach eine Zero-Day-Schwachstelle finden und diese dann sofort ausnutzen. Sie horten Zero-Day-Schwachstellen (die sie durch ihre eigene Recherche entdeckt oder gekauft haben) und nutzen sie dann, wenn sie eine brauchen, die ihre operativen Ziele erfüllt.“ APTs  In der Zwischenzeit wies Ware auf die lange Zeitspanne zwischen dem Auftreten einer Schwachstelle und der Zeit hin, die Softwareentwickler brauchen, um ihre Systeme zu patchen. Bedrohungsakteure können Schwachstellen lange Zeit horten, da diese Verzögerung bei der Behebung anhält.   Eine unklare Sicht auf Softwaremanipulation  Was im Laufe der Zeit nicht deutlich wurde, ist, wie staatliche Akteure Software manipuliert haben. „Der ganze Vorfall mit xz hat einen kleinen Einblick in einige dieser Dinge gegeben und gezeigt, welche Ressourcen diese Nationalstaaten einsetzen können“, sagte Ware. Der xz-Vorfall ist jedoch nicht der einzige Beweis dafür, dass etwas von dieser Art von   ausprobiert wurde. „Ehrlich gesagt mache ich mir Sorgen darüber, was Nationalstaaten sowohl im Bereich der Open-Source-Software als auch der kommerziellen Software getan haben, von dem wir derzeit nichts wissen“, betonte Ryan. Social-Engineering-Technik  Auf die Frage, ob der SolarWinds-Vorfall in jüngster Zeit aus der Erinnerung verschwunden sei, antwortet Ware:  „Ich glaube nicht, dass die Lehren aus SolarWinds bei den Regierungsvertretern verschwunden sind. Ein Großteil der Arbeit rund um die Sicherheit der Software-Lieferkette in OpenSSF (wie SLSA und GUAC) wird geleistet, weil CISA Lösungen in diesem Bereich sehen möchte“, sagte er.  „Ich denke, es ist definitiv aus dem öffentlichen Bewusstsein verschwunden, aber gleichzeitig weiß ich nicht, wie sehr es in das öffentliche Bewusstsein eingedrungen ist“, fügte Ware hinzu und verwies auf eine Perspektive mit Auswirkungen auf den durchschnittlichen Hobby-Softwareentwickler, der oft Teil des „öffentlichen Bewusstseins“ ist.

This story contains new, firsthand information uncovered by the writer.

Read My Stories

Dieses Audio ist in der Originalsprache der Geschichte produziert!

Zu lang; Lesen

Boost your HackerNoon story @ $159.99! 🚀

Wie ein bösartiges Xz Utils-Update beinahe einen katastrophalen Cyberangriff auf Linux-Systeme weltweit verursacht hätte

About Author

KOMMENTARE

Hängeetiketten

DIESER ARTIKEL WURDE VORGESTELLT IN

Related Stories

HackerNoon Decoded 2024: Wir feiern unsere Gaming-Community!

HackerNoon Decoded 2024: Celebrating Our AI Community!

HackerNoon Decoded 2024: Celebrating Our Data Science Community!

Starting 2025 with New Features: Settings Dashboard, HackerNoon Decoded, Updated Search UI, and More

HackerNoon Decoded 2024: Wir feiern unsere Gaming-Community!

HackerNoon Decoded 2024: Celebrating Our AI Community!

HackerNoon Decoded 2024: Celebrating Our Data Science Community!

Starting 2025 with New Features: Settings Dashboard, HackerNoon Decoded, Updated Search UI, and More

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps