Eine der größten Supply-Chain-Attacken im Open-Source-Ökosystem hat über Ostern die Community beschäftigt. Prof. Dr. Andreas Noack und Viktor Garske widmen sich heute der Lücke und ihrer Hintergründe. Darüber hinaus geht es um einen Hörerbrief zu VPN-Lösungen sowie weitere aktuelle Nachrichten.
Shownotes
- Vorab
- Hörerzuschrift: Tailscale
- News: Fritz.Box-Domain aus dem Verkehr gezogen (Heise Online, 06.03.2024)
- E-Mail von Andres Freund auf oss-security vom 29.03.2024
- FAQ zur xz-utils Backdoor von github.com/thesamesam
- Reverse-Engineering-Vorab-Analyse
- Analyse der Bash-Scripte
- Metadatenanalyse
- Zeitleiste 1
- Zeitleiste 2
- Hacker-News-Diskussion
- „Generalschlüssel für das Internet“ geht auf diesen Artikel zurück
Namensnennung
Die Hintergrundmusik wurde uns freundlicherweise von Jason Shawn von Audionautix.com unter der CC-BY-4.0-Lizenz bereitgestellt!
Hinweise
Die im Podcast erwähnten Methoden und Werkzeuge für Angriffe dienen ausschließlich dem Bildungszweck zur Verbesserung der IT-Sicherheit. Es wird ausdrücklich angemerkt, dass u. a. das Ausspähen und Abfangen von Daten sowie die Computersabotage strafbar sind.
Zur Verbesserung der Barrierefreiheit verfügt diese Episode über ein automatisiert erstelltes Transkript. Da die zugrundeliegende Technik in einem frühen Stadium ist, sind die Ergebnis teilweise nutzbar, aber noch nicht zuverlässig richtig oder gar vollständig. Im Zweifelsfall ist ausschließlich das gesprochene Wort maßgeblich. Weitere Hinweise befinden sich auf der Unterseite „Transkript“.