Hintertür in xz gefunden - Kann man überhaupt noch einer Software vertrauen, die man nicht selbst geschrieben hat?
xz ist ein unter Linux weit verbreitetes Datenkompressionsformat. Ein Entwickler der Referenzimplementierung xz-utils (https://github.com/tukaani-project/xz) hat vor kurzem eine Hintertür (CVE-2024-3094) eingebaut, mit der in manchen Linux Distributionen sshd kompromittiert werden kann. Bisher wurde noch kein CVE Score zugewiesen, aber ich schätze diese Hintertür als sehr kritisch ein. Bestimmt werden in den nächsten Tagen Heise, Golem, etc. darüber berichten, und vielleicht sogar die Mainstream Medien.
Die Hintertür wurde gefunden, weil der Schadcode Performanceprobleme in sshd verursacht hat. Glücklicherweise sind die betroffenen xz Versionen noch nicht weit verbreitet, da Pakete in vielen Distributionen nur sehr langsam aktualisiert werden. In Arch Linux wurde bereits eine betroffene xz Version ausgeliefert, aber da sshd in Arch Linux kein gz verwendet, ist ein Angriff in diesem Fall nicht möglich.
Dennoch ist dieser Vorfall äußerst besorgniserregend, da die Hintertür von einem xz Entwickler eingebaut wurde, der bereits mehrere Jahre am Projekt beteiligt war und als vertrauenswürdig galt.
Grundsätzlich galt Open Source Software als weniger anfällig für Hintertüren als Closed Source Software. Man ging davon aus, dass Hintertüren in Open Source Software gefunden werden, bevor sie überhaupt veröffentlicht werden, da der Code von vielen unabhängigen Experten überprüft wird. Ein häufig genanntes Beispiel, das diese These untermauern soll, ist ein 2003 gescheiterter Versuch, eine Hintertür in den Linux Kernel einzubauen.
Der aktuelle Vorfall zeigt, dass es sehrwohl möglich ist, Schadcode unentdeckt in weit verbreitete Open Source Software einzubauen. Dies wirft die Frage auf, inwieweit man fremder Software überhaupt noch vertrauen kann.
Seid ihr selbst von dieser Hintertür betroffen? Wie schützt ihr euch? Habt ihr Zweifel an der Sicherheit von Open Source Software? Denkt ihr, dass dieser Vorfall zu einem Umdenken bei der Vertrauenswürdigkeit von Open Source Entwicklern führen wird?
Weitere Informationen- https://lwn.net/Articles/967180/
- https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
- https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
- https://archlinux.org/news/the-xz-package-has-been-backdoored/
- https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
- https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
3 Antworten
Ich denke mal dass es wohl für Personen nach wie vor leichter sein wird in Opensource Hintertüren zu finden.
Dass es gänzlich unmöglich wäre eine Einzubauen ist allerdings utopisch. Das gilt am Ende für jede Drittsoftware egal ob Open oder ClosedSource.
In so fern ändert dieser Vorfall meine Einstellung zu OpenSource oder ClosedSource nicht wirklich.
Bei der reinen Menge an Open-Source Code kann man sich nie sicher sein, dass keine größeren Sicherheitslücken (gewollt oder nicht) vorhanden sind. Selbst prüfen lässt sich eh nicht alles.
Trotzdem ist Open Source durch die Transparenz schon gut. Fehler können leichter von anderen gefunden und behoben werden.
Den Quellcode der Open Source Programme kann jeder Nutzer prüfen.
An den Links sehe ich, dass das Them schon recht gut kommuniziert ist - sehr gut.
Was aber richtig schlimm ist, ist die verschlüsselte Datenauskopplung der closed Source Software. Windows sendet verschlüsselte Daten an 93 Server. So wird der Microsoft Präsident Brad Smith in Chip 01/2024 auf Seite 20 zitiert, dass "Microsoft täglich 65 Billionen Signale von den laufenden Geräten erhält...". Dies seien so viele Daten, dass alle 8 Mrd. Menschen auf diesem Planeten die Auswertung nicht schaffen würden. Mit KI will Microsoft die Datenberge künftig analysieren, gut das MS in D nun mehrere Rechenzentren errichten wird.
Dem wird aber leider von den EU Justitiaren kein Riegel vorgeschoben - ich persönlich bin gegen Spionage. Seltsam das die Telemetrie sonst niemanden stört.
Hallo Studentin, in einem Link von dir (der der 167 Werbefirmen Zugriff auf meinen Rechner gewähren möchte) steht, ".. dass niemand in der realen Welt davon betroffen ist". Gut das es freie Software gibt.
Was hältst du übrigens davon, dass Microsoft Betriebssysteme täglich 65 Billionen Datenpakete bestens verschlüsselt an den Hersteller senden und damit die Datenschutz Grundverordnung bewusst mit Füßen treten?
in einem Link von dir (der der 167 Werbefirmen Zugriff auf meinen Rechner gewähren möchte)
Das ist furchtbar, aber leider macht das so gut wie jede Webseite (gutefrage.net ist auch nicht besser). Man muss sich eben selbst schützen so gut es geht (z.B. Werbeblocker, NoScript, Drittanbietercookies blockieren und alle Cookies regelmäßig löschen).
steht, ".. dass niemand in der realen Welt davon betroffen ist".
Es ist nur niemand betroffen, weil der Schadcode durch Zufall gefunden wurde. Hätte er keine Performanceprobleme verursacht, wäre in einigen Monaten jeder Debian Server mit offenem SSH port angreifbar.
Ich verwende Arch Linux und hatte das Update auf die xz Version mit der Hintertür bereits installiert. Nach dem aktuellen Kenntnisstand gab es für Arch User keine Gefahr, aber es ist trotzdem ein beängstigendes Gefühl.
Gut das es freie Software gibt.
Selbstverständlich. Ich bevorzuge auch freie Software. Ich habe nie behauptet, dass proprietäre Software besser wäre.
Was hältst du übrigens davon, dass Microsoft Betriebssysteme täglich 65 Billionen Datenpakete bestens verschlüsselt an den Hersteller senden und damit die Datenschutz Grundverordnung bewusst mit Füßen treten?
Von Microsoft halte ich grundsätzlich Abstand.
Das ist richtig. Soweit ich weiß, war der Schadcode in diesem Fall nicht im Quellcode, der über git einsehbar ist, sondern gut versteckt in einem Archiv, das den Quellcode für ein Release enthält. Dummerweise wurde dieses Archiv verwendet, um die xz Pakete für die verschiedenen Distributionen zu bauen. Warum dafür nicht direkt der Quellcode über git gezogen wird, weiß ich nicht.