Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Attack mot Linux supply chain nära att lyckas (backdoor i xz Utils)

Svara
2024-04-07, 00:42
  #49
deddd
Medlem
deddds avatar
Kan man sätta gränser i package managers att inte uppdatera till senaste, utan att det måste vara minst ex 6 månader?

Kör alltid bara "update all" typ, för jag har varken tid eller kunskap att gå genom var package för sig. Men har alltid i själen varit lite anti uppdatera till det senaste så fort det kommer ut. Speciellt när det gäller open source.

Funderar väl mest på Mint och Manjaro.
Citera
2024-04-07, 06:32
  #50
Vintergrisen
Medlem
Vintergrisens avatar
Citat:
Ursprungligen postat av Kip.Kinkel
Svaret på din fråga finns i den andra länken i min TS:

Aha, tack! Jag hade missat att kopplingen mellan sshd och xz utils gick via systemd.
Citera
2024-04-07, 09:06
  #51
Enterprise
Medlem
Enterprises avatar
Citat:
Ursprungligen postat av deddd
Kan man sätta gränser i package managers att inte uppdatera till senaste, utan att det måste vara minst ex 6 månader?

Kör alltid bara "update all" typ, för jag har varken tid eller kunskap att gå genom var package för sig. Men har alltid i själen varit lite anti uppdatera till det senaste så fort det kommer ut. Speciellt när det gäller open source.

Funderar väl mest på Mint och Manjaro.
Att vänta 6 månader med uppdatering innebär väl ändå en större risk?
Då missar man snabba uppdateringar som har att göra med upptäckta säkerhetshål, alltså de som verkligen behövs.

Däremot hade man kunnat tänka sig att skilja på kritiska och icke-kritiska uppdateringar, där man väntar med icke-kritiska uppdateringar några månader och att kritiska uppdateringar granskas noggrannare.

Finns liknande funderingar:
https://serverfault.com/questions/27...ates-on-ubuntu
https://askubuntu.com/questions/194/...e-command-line
__________________
Senast redigerad av Enterprise 2024-04-07 kl. 09:12.
Citera
2024-04-07, 10:10
  #52
-.0
Medlem
Citat:
Ursprungligen postat av Kip.Kinkel
Ett i princip enat säkerhetscommunity motsäger din ståndpunkt angående digniteten hos det här hacket. Det är ju bara att läsa mina länkar, eller söka online.

Har du slutat slå din fru?

Jag har inte behandlat den generella, övergripande, och hypotetiska digniteten - jag har enbart påpekat att vissa här står som några jävla mähän och låtsas som att tillvägagångsättet inte borde triggat några larm? Hade det funnits ett uns av SecOps i närheten av det här projektet så hade inte "någon tjomme" kunnat vandra in på detta sättet.

Och.. häng med här..

Att "någon tjomme" med tre eller fyra epostadresser kan skapa sig en falsk urkund som inom två års tid kan bli upstream repo maintainer för ett projekt som paketerar source tarballs som absorberas direkt in i dists [som premierat implementationen för en exotisk systemd feature -] som i sin tur utgör hälften till två tredjedelar av världens serverrum - däri ligger nyheten och hela problemet. Resten är sensationellt mög.

Jag behöver inte söka, får skiten matad till mig via de maillistor dina källor refererar.

Senaste btw:
Citat:
the xz sshd backdoor rabbithole goes quite a bit deeper. I was just able to trigger some harder to reach functionality of the backdoor. there's still more to explore.. 1/n
it requires sending a properly crafted command to the RSA_public_decrypt hook, which will then install another for the `mm_answer_keyallowed` sshd function. subsequently you offer N more fake ssh-rsa pubkeys which are crafted in a special way to chunk together .. 2/n
a "magic buffer" which contains more backdoor commands, this buffer also has two additional ed448 signatures. which like the ones for the RSA_public_decrypt portion of the backdoor are salted with the SHA256 digest of the hostkey
the final signature also takes into account the session_id (0x20 bytes) that is derived during the initial key exchange (KEX) for the SSH session. my current PoC implementation uses a heavily monkey patched paramiko (ssh client) library to achieve this
(that conclusion is based on the fact that one of the mm_answer_keyallowed backdoor commands also hooks mm_answer_keyverify, eventually)
whoever designed this stuff had to take a deep dive into openSSH(d) internals (and so did I for the past couple of days, oof) .. hats off, once again
https://twitter.com/bl4sty/status/1776691497506623562
Citera
2024-04-07, 16:32
  #53
Lättöl
Medlem
Citat:
Ursprungligen postat av invandrar-leffe
Det verkar ju rätt klart att "utvecklaren" är hackarna (se länken i vhes inlägg ovan).
Snarare tvärtom. Det har ett mycket snabbt förlopp. Men det blir svårt för utomstående att analysera. Allt är bakom Microsofts låsta dörrar. Visst det är sannolikt så att Jia Tan inte är en person utan en organisation. Men sannolikt duger inte för säkerhets analyser.
Citera
2024-04-07, 19:20
  #54
Ehandel
Medlem
Citat:
Ursprungligen postat av -.0
Har du slutat slå din fru?

Jag har inte behandlat den generella, övergripande, och hypotetiska digniteten - jag har enbart påpekat att vissa här står som några jävla mähän och låtsas som att tillvägagångsättet inte borde triggat några larm? Hade det funnits ett uns av SecOps i närheten av det här projektet så hade inte "någon tjomme" kunnat vandra in på detta sättet.

Och.. häng med här..

Att "någon tjomme" med tre eller fyra epostadresser kan skapa sig en falsk urkund som inom två års tid kan bli upstream repo maintainer för ett projekt som paketerar source tarballs som absorberas direkt in i dists [som premierat implementationen för en exotisk systemd feature -] som i sin tur utgör hälften till två tredjedelar av världens serverrum - däri ligger nyheten och hela problemet. Resten är sensationellt mög.

Jag behöver inte söka, får skiten matad till mig via de maillistor dina källor refererar.

Senaste btw:

https://twitter.com/bl4sty/status/1776691497506623562

Det du skriver är jättelöjligt och ingen tar dina inlägg på allvar. Att du på riktigt sitter här och pratar som att detta inte är ett av de mest sofistikerade hacks genom tiderna bevisar bara hur lite förståelse du har om vad som skett. Frågan är om du ens programmerar ö.h.t., eller ens bidragit med någonting till open source communities. En sak är säker iaf; du har aldrig jobbat med något inom IT-säkerhet.

Jag väljer att istället hålla med industriledande säkerhetsexperter med decennier av erfarenhet och ser detta som en riktigt allvarlig och sofistikerad attack. Du är ett praktexempel på vad en s.k. "armchair expert" är. Du får ju gärna försöka utföra liknande attacker om det nu inte är så svårt.

Vad är ens poängen med dina inlägg? Att försöka framstå som någon slags expert? Det har du totalt misslyckats med och detta är sista inlägget jag läser från dig, Mr. Know It All. Skillnaden mellan experter och personer som du är att en expert har 20 års erfarenhet... medan du har ett års erfarenhet, 20 gånger om. Du är en sån där typisk "säkerhetsexpert" som sitter fast i ekorrhjulet på någon hipsterwebbyrå med sju anställda som patchar tio år gamla WordPress-plugins på pizzeriahemsidor.
__________________
Senast redigerad av Ehandel 2024-04-07 kl. 19:29.
Citera
2024-04-07, 20:29
  #55
-.0
Medlem
Citat:
Ursprungligen postat av Ehandel
Det du skriver är jättelöjligt och ingen tar dina inlägg på allvar. Att du på riktigt sitter här och pratar som att detta inte är ett av de mest sofistikerade hacks genom tiderna bevisar bara hur lite förståelse du har om vad som skett. Frågan är om du ens programmerar ö.h.t., eller ens bidragit med någonting till open source communities. En sak är säker iaf; du har aldrig jobbat med något inom IT-säkerhet.

Jag väljer att istället hålla med industriledande säkerhetsexperter med decennier av erfarenhet och ser detta som en riktigt allvarlig och sofistikerad attack. Du är ett praktexempel på vad en s.k. "armchair expert" är. Du får ju gärna försöka utföra liknande attacker om det nu inte är så svårt.

Vad är ens poängen med dina inlägg? Att försöka framstå som någon slags expert? Det har du totalt misslyckats med och detta är sista inlägget jag läser från dig, Mr. Know It All. Skillnaden mellan experter och personer som du är att en expert har 20 års erfarenhet... medan du har ett års erfarenhet, 20 gånger om. Du är en sån där typisk "säkerhetsexpert" som sitter fast i ekorrhjulet på någon hipsterwebbyrå med sju anställda som patchar tio år gamla WordPress-plugins på pizzeriahemsidor.

Fantaisifulla ad hominem kan jag ta men lägg av med halmgubbarna.

Jag har inte motsagt något, jag kallade ingångsvektorn, det sociala spelet, "knappt sofistikerat" och redogjorde för min åsikt (två gånger dessutom).

Som svar får jag att någonstans på internet finns det någon som tycker annorlunda, samt att "asiatiskt/kinesisk-klingande namn pekar tydligt västerut" som sedan dignar ned i "påstående[t] är givetvis en spekulation som baseras på [användarens egna] geopolitisk[a] analys". Min lexikala källhänvisning innehöll också ett helt irrelevant sakfel - och se på attan "digniteten" - men ingenstans bemöts mina argument.

Hela ditt inlägg osar av tesen "genom sig själv känner man andra".
Citera
2024-04-07, 21:11
  #56
Enterprise
Medlem
Enterprises avatar
Citat:
Ursprungligen postat av invandrar-leffe
Det verkar ju rätt klart att "utvecklaren" är hackarna (se länken i vhes inlägg ovan).
Med ”utvecklaren” avses väl här Lasse Collin och det verkar vara få som tror att han är aktivt inblandad, däremot verkar han ha blivit manipulerad av den eller de som står bakom aliaset Jia Tan. Enligt egna uppgifter i mejlväxlingen hade han psykiska problem så han kanske ansåg som ett tacksamt offer att approacha, med hjälp av social engineering.
Citera
2024-04-07, 22:37
  #57
invandrar-leffe
Medlem
invandrar-leffes avatar
Citat:
Ursprungligen postat av Enterprise
Med ”utvecklaren” avses väl här Lasse Collin och det verkar vara få som tror att han är aktivt inblandad, däremot verkar han ha blivit manipulerad av den eller de som står bakom aliaset Jia Tan. Enligt egna uppgifter i mejlväxlingen hade han psykiska problem så han kanske ansåg som ett tacksamt offer att approacha, med hjälp av social engineering.
Nej det var givetvis "Jia Tan" som avsågs ... (tog för givet att det var självklart för alla som läste det som länkades).
Citera
2024-04-07, 22:57
  #58
Enterprise
Medlem
Enterprises avatar
Citat:
Ursprungligen postat av invandrar-leffe
Nej det var givetvis "Jia Tan" som avsågs ... (tog för givet att det var självklart för alla som läste det som länkades).
OK sorry, men det framstod inte som självklart av din kommentar, av den länkade texten däremot.
Citera
2024-04-08, 12:27
  #59
-.0
Medlem
Såg nu att FFmpeg sammanfattar det huvudsakliga problemet på samma sätt som mig:

Citat:
FFmpeg @FFmpeg ·Apr 2

The xz fiasco has shown how a dependence on unpaid volunteers can cause major problems. Trillion dollar corporations expect free and urgent support from volunteers.
@Microsoft @MicrosoftTeams posted on a bug tracker full of volunteers that their issue is "high priority"
( https://twitter.com/FFmpeg/status/17...602500/photo/1 )

After politely requesting a support contract from Microsoft for long term maintenance, they offered a one-time payment of a few thousand dollars instead.
This is unacceptable. We didn't make it up, this is what @microsoft @microsoftteams actually did:
( https://trac.ffmpeg.org/ticket/10341#comment:4 )

The lesson from the xz fiasco is that investments in maintenance and sustainability are unsexy and probably won't get a middle manager their promotion but pay off a thousandfold over many years.

But try selling that to a bean counter
- https://twitter.com/FFmpeg/status/1775180561411186706

Duger detta som diskussionsunderlag, eller behöver jag referera någon självutnämnd säkerhetsexpert för att ämnet ska behandlas?
Citera
2024-04-08, 14:56
  #60
Lättöl
Medlem
Citat:
Ursprungligen postat av -.0
Såg nu att FFmpeg sammanfattar det huvudsakliga problemet på samma sätt som mig:


- https://twitter.com/FFmpeg/status/1775180561411186706

Duger detta som diskussionsunderlag, eller behöver jag referera någon självutnämnd säkerhetsexpert för att ämnet ska behandlas?
Ett ämne som borde ha sin egen tråd.
Citera
Svara

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback