Attack mot Linux supply chain nära att lyckas (backdoor i xz Utils)

Möjligvis för FFmpeg i sig, poängen jag vill förmedla med citatet gäller xz och sällar sig väl till ämnet för tråden.

Jag har delat min åsikt och argumenterat för att problemet ligger tidigt i kedjan - samt att nyhetsbevakningen och tolkningen här är sensationell. Nu befäster jag att detta inte är en åsikt som existerar i ett vakuum.

--

Vill någon nu vara vänlig och bemöta mig i sakfråga istället för att spotta halmgubbar, auktoritets, okunnighets, och Ad Hominem-argument?

Jag ser inte något fiasko. Snarare är systemet imponerande bra. En person hittade felet, någon måste först. Men flera andra grävde i konstigheter. Men hacket har visat på svagheter i identitetskontrollen på github. Man verkar inte ha en susning om vem eller vilka det är man ska jaga.

Lite oklar över vad din sakfråga är men från vad jag läst mig till i tråden står jag i stort på din sida, så det blir lätt circlejerk tror jag.

Lite svårt att jämföra. Windows är closed source betalvara och är ett helt annat ekosystem än vad Linux & xz är. Och det verkar inte heller skeppas med windows så varför skulle Microsoft lägga sig?

Hacket var sofistikerat och utöver det vanliga. Ingen tvekan om detta. Vad jag däremot avsåg med "dignitet" var de konsekvenser det hade kunnat få. Root access på Linux-servers över hela världen. Det verkade gå "nollan" helt förbi. Han är här för att bråka, inte för att tillföra något av värde. Dessutom är inläggsförfattarens språkhantering under all kritik, och det går inte att debattera med folk som inte förmår uttrycka sig korrekt och precist. Med detta avslutar jag diskussionen om hackets dignitet.


Ändå håller du med?

Fiaskot är att två stora Linuxdistrubutioner, Red Hat och Debian, ålagt en frivillig tredjepart (Lasse Collin) att underhålla en tarball med specifika patchar för att väva in exotisk systemd funktionallitet. Detta fungerar bra sålänge det finns en verklig huvudman att skänka förtroendet till - men inte alls lika bra om huvudmannen plötsligt och utan vidare granskning kan bytas ut, vilket vart precis det som hände. Red Hat och Debian öppnade, genom sin bekvämlighet och ignorans, sina alldeles egna bakdörrar.

Även om det glädjer mig att det upptäcktes snabbt så häller det bara mer vatten på min kvarn i fråga om "knappt sofistikerat". Med detta menar jag alltså inte att slå ned på komplexiteten i implementationen - men resultatet. Här är också anledningen till varför jag ständigt påpekar att nyheter och användare behandlar sensionalismen - inte vad som faktiskt hänt.

Medger att det blev lite spretigt, så snabbt punktat - jag menar att:

1. Huvudproblemet ligger tidigt i kedjan och handlar om hur kommersiella aktörer lättvindigt skänker bort förtroende för att låta frivilliga lösa deras specifika problem gratis - utan framtida uppföljning och verifiering.
2. Det "sociala hacket" hade varit totalt genomskinligt om det funnits ett uns av SecOps i närheten av projektet*.
3. Attackvektorn som via testerna både tillför kod skiljd från den publicerade samt genererar en extra artefakt (det obfuskerade bashscriptet) är något som borde bevakats (speciellt med anledning av bristerna i punkt 1).
4. Både nyheter och användare här är överdrivet sensationalistiska.

Cirklejerken var det jag ville bryta med argument som gick utanför den lilla nyhetsbubbla ett par användare verkar fastnat i.

Jämförelsen gäller alltså inte parterna utan förfarandet:
Kommersiell aktör får saker som är centralt för deras produkter gratis och ålägger gärna frivilliga att göra ändringar för deras produkter gratis (samt i fallet XZ: minimerar sin egen insatts så totalt att man lämnar säkerheten på walkover)

--
*Utöver det jag redan skrivit om - har någon här ens läst vad JiaT ändrade SECURITY.md till?
- https://github.com/tukaani-project/x...eb854a3e5cede2

Hur kan RedHat och Debian ålägga något på Lasse Collin? Har de någon affärsuppgörelse?
På vilket sätt är xz eller ffmpeg centralt för Microsoft och deras produkter?

Du repeterar bara samma mantra, som en religiös fast utan belägg.

Vilket var varför jag mötte ditt hypotetiska "dignitetsargument" med presuppositionen "Har du slutat slå din fru?" - det fanns alltså inte ens på tal i min tidigare argumentation.

Absolut; Jag är kvar här för att blir mobbad på lågstadienivå, min enda sanna glädje.

Jag kan erkänna att jag inte bemödat mig att konfigurera mina system med stavnings och semantikkontroll på svenska. Drunknar i röda underlines här.

Men! Det verkliga problemet är att det inte går att debattera med någon som bara presenterar sina slutsatser utan att argumentera för underlaget.

Det gör du klokt i. Jag fick notisen "Subject: backdoor in upstream xz/liblzma leading to ssh server compromise" (https://www.openwall.com/lists/oss-s...y/2024/03/29/4) tidigt den 29e Mars via IRC, följt av samma notis från en hemlig (som i: "jag berättar inte på flashback för att det korrelerar min person") maillista. Redan samma dag kunde jag konstatera att det inte påverkade "oss" då vi främst bygger xz från source. Återigen - vilken jävla dignitet? Allt är hypotetiskt!

Edit: Såhär; Jag har inga problem med att ha fel men jag kräver bättre argument än "jag säger det här" eller "den här auktoriteten säger såhär", eller "en kavalkad av argumentationsfel" (fallstudie "ehandel": (FB) Attack mot Linux supply chain nära att lyckas (backdoor i xz Utils)) . Jag har noll känslor för den här interaktionen, det finns inget kors jag tänker dö på, men jag är mer än bekväm att diskutera domänen. Vad jag såg här i tråden var en "pisstävling" i hur mycket man kan överdriva de faktiska omständigheterna, verkligheten d.v.s. - och kastade in mina två cent.

Han fick "betalt" i "förtroende" som vanligt i dessa kretsar (jag har alltså inte noterat några monetära uppgörelser). Med detta sagt så åligger Lasse ingen last, han försökte lämna över - och det är inte hans sak att granska ägandeskapsgfrågan utöver kompetens.


Framgår i tråden att de använder FFmpeg i [åtminstone] deras "Teams" produkt (videochatten)

Snälla, backa bandet. SSH mot Internet SKA alltid vara avstängt. Har man det på då ska man ha koll på det.

Det jag tycker är horribelt med detta hack är att ett litet värdelöst tool för att hantera vissa typer av komprimerade filer på nån jävla vänster kan patcha en lokal SSH server. Där ligger HELA problemet med detta hack. Sen skiter jag i om Lasse är JT eller om JT är någon annan osv...

Välkommen till Flashbacks IT-säkerhetsforum. Here be dragons


Jag ville mest heja på din sida (och det var det jag menade riskerade att ses som circle-jerkande), men med tanke på mängden villfarelser i denna tråden (som sedvanligt för detta forumet) kände jag att det behövdes.


Du kan väl berätta vad du tycker var sofistikerat med denna händelsen. Det är klart mer givande än att ta andrahandskommentarer at face value och öppnar upp för mer tekniska diskussioner än att regurgitera sakens nyhetsvärde som ett slags meme.

Men du behöver inte anstränga dig för min skull, jag lämnar tråden. Som vissa mer insatta personer i frågan redan hintat om finns det betydligt bättre resurser och platser för att följa och diskutera denna nyheten, utan sandlådenivån.

Ja, riktigt nära katastrof i Linux världen med denna attack. Den var på väg att hamna i Ubuntu 24.04 LTS.

Detta har fått mig att kika på alternativ för jag är hälsosamt paranoid. Det bästa alternativet jag hittat är QubesOS, vilket isolerar program/desktops från varandra i separata VM.

https://www.qubes-os.org/

Jag älskar opensource, men förstår att denna typ av attack kommer att hända igen och igen i en allt mindre idealistisk och allt mer cynisk foss-värld. Jag kommer att utvärdera noggrannare val av programvara för att undvika 1-man shows. Exempel byter ut hyprland mot KDE.

Och byter ut xz mot zstd.