"Sind wir gerade nur knapp am totalen IT-Fuckup vorbei?" Danisch. SSH Problem. IT Infrastruktur gefährdet. kTmL

Dragonfly ⌂ @, Sonntag, 31.03.2024, 20:04 vor 13 Tagen 5137 Views

bearbeitet von Dragonfly, Sonntag, 31.03.2024, 20:12

Falls ihr es verpasst habt, hier von Danisch recht gut erklaert:

https://www.danisch.de/blog/2024/03/31/it-sicherheitskatastrophe-durch-code-of-conduct/

Wie schlecht ist das? Sehr schlecht. Das haette sehr boese ausgehen koennen. Und die Frage ist, wenn es einen Boesewicht gibt, wieviele weitere gibt es? Stellt euch mal vor, da raucht weltweit ein Server nach dem anderen ab.

Wirklich nur Zufall?

Weiner, Sonntag, 31.03.2024, 22:16 vor 13 Tagen @ Dragonfly 3144 Views

Es freut mich, dass bei Microsoft gute Leute aus deutschem Stamm arbeiten. Dennoch sollte man mißtrauisch sein, wenn der Chef Bill Gates heißt. Möglicherweise hat Andres Freund das zufällig entdeckt, aber die Veröffentlichung gerade jetzt war ganz sicher kein Zufall. Experten (ich bin in diesem Bereich keiner ...) mögen sich den folgenden LINK anschauen und sich - falls betroffen - um ihre Microsoft Exchange Servers kümmern ...

https://techrights.org/n/2024/03/31/Microsoft-Exchange-chaos-the-real-news.shtml

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032_c...

Code Reviews sind Routine

mabraton @, Montag, 01.04.2024, 09:37 vor 12 Tagen @ Weiner 1598 Views

Hallo Weiner,

aus dem MS-Hintergrund des Entdeckers eine Geschichte zu stricken macht wenig Sinn. Sehr viele Entwickler die mit einem derart weit verbreiteten Stück Software zu tun haben schauen den Code durch. Das meiste davon automatisiert. Das Gute dabei ist, dass dabei alles transparent ist. Niemand kann einen Wissensvorsprung haben, außer man ist selbst derjenige der den Code einschleust.

Die Frage als Entwickler ist wie tief man den Code auf Konsistenz prüft wenn Bibliotheken (Bausteine) verwendet werden welche, wie in diesem Fall, seit Langem zuverlässig funktionieren und kaum Änderungen unterliegen. Dazu kam noch, dass der schädliche Code zum testen der Bibliothek im Grunde die Funktionsweise nicht beeinflussen darf.
Ich vermute, dass dieser Zusammenhang zum Auffliegen geführt hat, eine Bibliothek die so gut wie nie verändert wird und neuer Test-Code der den alten, zuverlässig laufenden, testen soll. Das ist nicht logisch.

Ich bin nicht sicher ob Danischs Alarmismus gerechtfertigt ist. Der Schadcode ist in der Entwicklungsversion aufgeflogen. Danach gibt es eine Testversion und dann wird es für die Produktion freigegeben. Die Frage ist, wie lange blieb der Code unentdeckt.

Man kann sicher sein, dass die Vorgehensweise bei der Entwicklung auf den Prüfstand gestellt wird. Da sind sehr viele Leute sehr nervös geworden.

beste Grüße
mabraton

Angeblich war es im Code nicht zu sehen...

Andudu, Montag, 01.04.2024, 17:44 vor 12 Tagen @ mabraton 939 Views

bearbeitet von Andudu, Montag, 01.04.2024, 17:49

...wenn ich Danisch richtig interpretiere, ich zitiere mal die Stelle:

"Es geht dabei um einen sehr trickreichen Angriff, der nicht direkt am sshd stattfand, sondern über ein Kompressionsprogramm xz, genauer gesagt, dessen Programmbibliothek, in das eine Hintertür eingebaut war, die aber nur aktiviert wurde, wenn es als Teil des sshd lief und dann erlaubte, schon beim Schlüsseltausch, also lange vor der Authentifikation, Schadcode einzuschleusen.
[...]
Das nun wieder war möglich, weil der Code sehr gut getarnt war. Soweit ich das bisher gelesen habe, war die Backdoor nicht im Quelltext lesbar, sondern in Testdaten [...] war wohl eine vorcompilierte Bibliothek versteckt, die man dann eingebunden hat, weshalb die Backdoor nirgends im Quelltext auftauchte."

Der Satz von Danisch ist ziemlich verschachtelt, vielleicht verstehe ich was falsch. Mir leuchtet z.B. nicht ein, wieso in den Testdaten eine vorkompilierte Bibliothek herumliegt (vermutlich getarnt als Testdatei), das ist alles seltsam und eigentlich auffällig, würde man aber eben nicht bemerken, wenn man nur den Code durchschaut. Die lzma-Lib wird sicherlich nicht so aufmerksam überwacht, wie die ssh-Komponenten und auf die Idee, eine vermeintliche Testdatei als Bibliothek dazuzuladen, muss man auch erstmal kommen, normalerweise widmet man Testdateien nicht so viel Aufmerksamkeit, die legt man einmal an und lässt sie dann nur durchlaufen, um zu sehen, dass noch alles tut.

Nach meinem Verständnis sollten solche externen Komponenten gar nicht in sicherheitskritischer Software verwendet werden, denn sie sind natürlich die erste Wahl, um Sicherheitslücken einzubringen.

Guter Artikel mit schwachsinnigem Lösungsvorschlag

mabraton @, Montag, 01.04.2024, 09:51 vor 12 Tagen @ Joe68 1868 Views

Hallo Joe68,

da war tatsächlich Gefahr im Verzug!
Der Fall bestätigt mich auch in einem Kritikpunkt den ich an der modernen Vorgehensweise bei der SW-Entwicklung habe. Das Paradigma nennt sich Continous Development/Continous Integration (CD/CI). Gerade an so einer sicherheitsrelevanten Stelle ist es überhaupt nicht notwendig ständig neue Versionen auszuliefern. Besser man testet neue Versionen über einen längeren Zeitraum in einem geschützten Umfeld.

Die Aufforderung im Artikel man solle am Besten sein System neu installieren bedeutet, im wahrsten Sinne des Wortes, mit Kanonen auf Spatzen zu schießen. Es reicht ein gezieltes Downgrade des OpenSSH-Pakets.

beste Grüße
mabraton

„Es reicht ein downgrade, ausser …

printf @, Montag, 01.04.2024, 18:45 vor 12 Tagen @ mabraton 1388 Views

… die Backdoor wurde bereits benutzt. Ich denke, niemand will das Risiko eingehen, daher Neuinstallation.

Gruss
printf

ne Menge heiße Luft

mawa99, Dienstag, 02.04.2024, 11:00 vor 11 Tagen @ Dragonfly 991 Views

die meisten Distributionen sind garnicht betroffen, ein simples Script reicht um zu schauen ob man betroffen ist.

Welche Server von Bedeutung haben einen dauerhaften offenen SSH Port nach außen? Heutzutage nutzt man VPN inkl. Jump-Server!

Werbung