Wie solche Fiaskos verhindern?

Es ist fast schon ein Krimi, der Angriff auf XZ hätte die Kompromittierung von 80% bis 90% der Server im Internet verursachen können. Ein Zufall und ein aufmerksamer Informatiker verhindern eine globale Katastrophe.

Was denkt ihr, wie wir sowas in Zukunft verhindern können. Geld für Maintainer und Contributor von FOSS Projekten? Aber von wem? Glaubt ihr da stecken staatliche Akteure drin? Eure Meinung würde mich interessieren

Hier nochmal die ganze Story zum Nachlesen: https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html

1 Antwort

Babelfish

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

11.04.2024, 11:41

Dass da ein staatlicher (russischer) Akteur dahinter steckt, ist so ziemlich sicher.

Lernen kann man daraus, dass eben auch Open Source nicht sicher ist und es auch da möglich ist, gezielte Angriffe vorzunehmen. Wichtig ist daher, dass alle Beteiligten für solche Angriffe sensibilisiert sind und darauf achten, dass kein Code durch die Hintertür mit eingeschleust wird.

Ähnliche Fragen

Ist Brave der beste Browser?

Weil er bietet alles was man braucht

Ad- & Trackerblocker
Eine Möglichkeit trotzdem zu unterstützen mit Brave Rewards
Chromium Basis - also viel extensions
Tor zugang
Open Source
Sicher
Brave Talk
Sehr schneller Browser

Ist Brave der beste Browser?

...zur Frage

Hintertür in xz gefunden - Kann man überhaupt noch einer Software vertrauen, die man nicht selbst geschrieben hat?

xz ist ein unter Linux weit verbreitetes Datenkompressionsformat. Ein Entwickler der Referenzimplementierung xz-utils (https://github.com/tukaani-project/xz) hat vor kurzem eine Hintertür (CVE-2024-3094) eingebaut, mit der in manchen Linux Distributionen sshd kompromittiert werden kann. Bisher wurde noch kein CVE Score zugewiesen, aber ich schätze diese Hintertür als sehr kritisch ein. Bestimmt werden in den nächsten Tagen Heise, Golem, etc. darüber berichten, und vielleicht sogar die Mainstream Medien.

Die Hintertür wurde gefunden, weil der Schadcode Performanceprobleme in sshd verursacht hat. Glücklicherweise sind die betroffenen xz Versionen noch nicht weit verbreitet, da Pakete in vielen Distributionen nur sehr langsam aktualisiert werden. In Arch Linux wurde bereits eine betroffene xz Version ausgeliefert, aber da sshd in Arch Linux kein gz verwendet, ist ein Angriff in diesem Fall nicht möglich.

Dennoch ist dieser Vorfall äußerst besorgniserregend, da die Hintertür von einem xz Entwickler eingebaut wurde, der bereits mehrere Jahre am Projekt beteiligt war und als vertrauenswürdig galt.

Grundsätzlich galt Open Source Software als weniger anfällig für Hintertüren als Closed Source Software. Man ging davon aus, dass Hintertüren in Open Source Software gefunden werden, bevor sie überhaupt veröffentlicht werden, da der Code von vielen unabhängigen Experten überprüft wird. Ein häufig genanntes Beispiel, das diese These untermauern soll, ist ein 2003 gescheiterter Versuch, eine Hintertür in den Linux Kernel einzubauen.

Der aktuelle Vorfall zeigt, dass es sehrwohl möglich ist, Schadcode unentdeckt in weit verbreitete Open Source Software einzubauen. Dies wirft die Frage auf, inwieweit man fremder Software überhaupt noch vertrauen kann.

Seid ihr selbst von dieser Hintertür betroffen? Wie schützt ihr euch? Habt ihr Zweifel an der Sicherheit von Open Source Software? Denkt ihr, dass dieser Vorfall zu einem Umdenken bei der Vertrauenswürdigkeit von Open Source Entwicklern führen wird?

Weitere Informationen

https://lwn.net/Articles/967180/
https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
https://archlinux.org/news/the-xz-package-has-been-backdoored/
https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

...zur Frage

Welche Alternative zu Nextcloud?

Hallo Leute,

ich habe mir vor 3 Tagen eine Nextcloud in einem LXC (Linux Container) installiert. Zusätzlich nutze ich Cloudflare Tunnel, um von außen meine Nextcloud zu erreichen.

Bis jetzt funktioniert die Nextcloud, jedoch ist sie nicht einwandfrei konfiguriert. Ich habe well-know\webfinder und well-know\nodeinfo Fehler und in den Protokollen ist eine Seite voller Fehler.

Ich habe bereits 4 Stunden in das Beheben investiert, jedoch bin ich von Nextcloud enttäuscht. Eine Lösung, die selbst an Schulen zum Einsatz kommt, und dann ist der Adminaufwand beträchtlich - wow!

Daher suche ich nach einer Alternative zu Nextcloud, die "out-of-the-box" funktioniert, ohne große Fehlerbehebungsmaßnahmen.

Das kann halt echt nicht sein. Ich meine Portainer läuft out of the box, wordpress, pihole und vieles mehr.

PS:

Viele Fehler kriege ich auch nicht behoben, wie die well-known Fehler, und daher ignoriere ich es erst mal weg. Ist schlecht, aber was soll man mache, wenn Foren und Youtube keine Hilfestellung geben.

...zur Frage

Was kann ich mit FreeDOS machen?

Was kann man mit FreeDOS machen, welche Vorteile bringt es? Bin mit MS DOS aufgewachsen.

FreeDOS wird ja bis heute noch weiterentwickelt. Laufen da MS DOS Programme drauf, oder Spiele? Ist es Netzwerkfähig? Kann man damit surfen (Lynxbrowser) Gibt es grafische Oberflächen dafür? Sind die Befehle identisch zu MS DOS. Lassen sich alte Windows Versionen auf FreeDOS installieren?

Welche Gründe gibt es für FreeDOS? Wird dafür noch Software geschrieben? Kann sich sowas für Server Anwendungen eignen, ähnlich der Kommandozeile von Linux oder BSD?

...zur Frage

OnlyOffice vs. Libreoffice was wählt ihr?

Hallo Leute,

ich arbeite an meinem Laptop parallel mi Ubuntu, da ich ein Freund von GNU/Linux und von Open-Source bin.

Auf dem Markt gibt es viele Office Produkte neben dem bekannten MS Office.

Doch nun stellt sich die Frage. Was ist besser, für

Projektarbeit schreiben
Berichtshefte
Alltägliche Texte
Schulaufgaben
Integration mit Nextcloud

Bis jetzt arbeite ich mit Libreoffice, bin aber kein Expterte von Open Source Lösugen unter Linux, Mac und Windows.

...zur Frage

Wer freut sich auch auf den heutigen release von Debian 12 Alias Bookworm?

...zur Frage

Domain (Nextcloud) ist am PC nicht erreichbar, am Smartphone schon und von einem anderen Netz auch, warum?

Hallo Leute,

ich habe Nextcloud 27 frisch in einem LXC installiert und alles so konfiguriert, dass Nextcloud mir einen grünen Haken für die Sicherheitsüberprüfung zurück gibt. Leider habe ich das Problem, dass ich an meinem Mac mit Safari, Chrome, Brave & Firefox meine Nextcloud nicht aufrufen kann. Das gleiche mit meinem Gaming pc, auf dem Chrome und Edge installiert ist.

An einem Laptop mit Linux mint geht es auch nicht. In allen fällen erhalte ich folgende ähliche Fehlermeldung

Jetzt kommt es. Mit einem Smartphone, Tablet und dem Android Smartphone meines Vaters kann ich die Domain aufrufen, problemlos. Ich habe dann meinen Kollegen gebeten, von zuhause auf meine Domain aufzurufen. Es geht am PC als auch mit dem Smartphone nur nicht bei mir.

Nextcloud ist für IPv6 konfiguriert und nur erreichbar und dementsprechend zeigt meine Subdomain auf einen AAAA-Record.

Aus Sicherheitsgründen nutze ich nicht den Standard 443 Port sondern einen Highport (TCP/IP)

Ich drehe langsam am Rad

Was kann es sein????

PS:

Ich rufe so meine Nextcloud auf:
https://cloud.musterdomain.net:55555/

Exposed Host ist natürlich korrekt an der Fritzbox konfiguriert.

Auch die ufw Firewall ist korrekt konfiguriert

...zur Frage

Wie kann auch ich malen wie das Farbenspiel des Winds?

https://youtu.be/xz-w97l6pkU

...zur Frage

Ich habe Probleme bei einem Brute force Code?

I require etc. leider muss ich das installieren aber wie

...zur Frage

Linux installation mit Open Source Treiber oder Proprietären?

Hab gelesen wenn man neue Nvidia Grafikkarten hat soll man bei der installation Proprietäre wählen und bei alles andere „Open Source installation“.

Ich hab jetzt eine 1050ti, wollte Manjaro installieren und sollte müsste eigentlich proprietäre wählen, aber die ist auch sehr alt deswegen weiss ich jetzt nicht ob das überhaupt ein unterschied macht bis auf unnötigen Datendiebstahl.

Wenn es bisschen was bringt nehm ich das gerne mit.

...zur Frage

Ubuntu /etc/bin/bluetooth/main.conf Standard inhalt zurück bekommen?

Hab bisschen mist gebaut denke ich und bräuchte die Standart werte von Ubuntu 23.04 von einer Guten Quelle oder direkt von dem Source Code, leider nicht auf Github gefunden.

Wollte eigentlich nur meine Air Pods Pro 2 Fixen da immer nur einer gleichzeitig Musik abspielen konnte.
Der andere war wahrscheinlich als ein Mikrofon eingestellt da auch unter Klang und Eingang Air Pods eingestellt war uwas ich nicht will das das System überhaupt ein Mikro benutzt. Aber man muss eins wählen in diesem Options ding.

Und ja hab schon versucht von ControllerMode = bredr auf dual zu wechseln, deswegen geht es überhaupt erst auf einem ohr aber nicht auf beiden.
Ich muss auch bei jedem neustart des Pcs oder nach einer weile die Air Pods wieder erneut trennen und verbinden über bluetooth.
Das läuft dann jeden tag so ab : komplett entfernen, Case öffnen mit beiden air pods drinne.
taste auf der rückseite gedrückt halten bis es einen sound macht und weiss leuchtet.
auf verbinden klicken sobald es ubuntu erkennt und warten.
dann nehme ich erstmal einen kopfhörer raus und gucke ob sound kommt, es kommt keiner dann nehme ich den zweiten aus der case raus und da spielt sich dann musik ab.

das ist alles unmöglich zu benutzen und andere Kopfhörer hab ich leider zurzeit nicht. Meine overear mit aux sind kaputt gegangen und ich will auch keine Overear mehr weil ich dadurch haarausfall erleide, mit in ears hab ich keine Probleme.

...zur Frage

Nextcloud well-known Fehler beheben?

Hallo Leute,

ich scheitere seit 2Tagen an folgenden Fehler

Ich habe Nextcloud 25 auf einem Linux Container (LXC) installiert und mittels Cloudflare Tunnel komme ich von außen auf die Cloud. Leider habe ich nun in der Übersicht folgende Fehler, die ich nicht wegbekomme. Ich habe schon etliche Dokus gelesen, etliche Videos, etliche Kommentare gelesen, doch ich kriege es nicht hin. Ich gebe diesbezüglich meiner Seits auf und hoffe das einer von euch, schlauer ist als ich.

PS:

Der Code in .htaccess funktioniert nicht.

<IfModule mod_rewrite.c>
RewriteEngine on
             RewriteRule ^\.well-known/carddav /Nextcloud/remote.php/dav [R=301,L]
             RewriteRule ^\.well-known/caldav /Nextcloud/remote.php/dav [R=301,L]
             RewriteRule ^\.well-known/webfinger /Nextcloud/index.php/.well-known/webfinger [R=301,L]
             RewriteRule ^\.well-known/nodeinfo /Nextcloud/index.php/.well-known/nodeinfo [R=301,L]
</IfModule>

PPS:

Die Nextcloud funktioniert einwandfrei, also theoretisch könnte ich das Problem weg ignorieren.

...zur Frage

Wenn man Angst hat vor Spionage-Chips von China-Herstellern, sollte man auch vor amerikanischen Chip-Herstellern (z.B. Globalfoundries) auch Bedenken haben?

Spionage-Chips, Mikrochips, ICs, etc. mit Spionagemöglichkeiten.

https://www.heise.de/security/meldung/Bericht-Winzige-Chips-spionierten-in-Cloud-Servern-von-Apple-und-Amazon-4181461.html

Muss man Sicherheitsbedenken haben, wenn China sich Taiwan an sich greift, und damit ggf. die Firma TSMC übernommen wird und damit Halbleiterprodukte; Chips wieder unsicherer werden ?

...zur Frage

Open Source Thema für die Projektarbeit?

Hallo Leute,

ich schreibe bald meine Projektarbeit und ich möchte gerne ein Open-Source Thema wählen, da ich die Gedanken hinter diese Projekte schätze und unterstützen möchte.

Bis jetzt kam mir zwei Ideen auf:

Jitsi Meet Server
Nextcloud Server

Jedoch benötige ich noch weitere Themen, falls der Prüfungsausschuss das Thema ablehnt.

Könnt ihr mir noch Tipps und Dienste nenne, die sich für eine Projektarbeit eignen.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen