Eine der größten Supply-Chain-Attacken im Open-Source-Ökosystem hat über Ostern die Community beschäftigt. Prof. Dr. Andreas Noack und Viktor Garske widmen sich heute der Lücke und ihrer Hintergründe. Darüber hinaus geht es um einen Hörerbrief zu VPN-Lösungen sowie weitere aktuelle Nachrichten.
Shownotes
- Vorab
- Hörerzuschrift: Tailscale
- News: Fritz.Box-Domain aus dem Verkehr gezogen (Heise Online, 06.03.2024)
- E-Mail von Andres Freund auf oss-security vom 29.03.2024
- FAQ zur xz-utils Backdoor von github.com/thesamesam
- Reverse-Engineering-Vorab-Analyse
- Analyse der Bash-Scripte
- Metadatenanalyse
- Zeitleiste 1
- Zeitleiste 2
- Hacker-News-Diskussion
- „Generalschlüssel für das Internet“ geht auf diesen Artikel zurück
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.
Sehr gute Aufarbeitung, auch wenn manchmal eine Videospur hilfreich gewesen wäre. Ich finde diese Kette von openssh -> systemd -> xz schon spannend, zumal das ja ein patch zu openssh zu sein scheint der in allen großen Linux Distributionen mehr oder weniger gleich ist.
Toller Podcast, gerne weiter so.