The BACKDOOR in XZ Utils: The WORST ATTACK this year

  Рет қаралды 53,816

The Morpheus Tutorials

The Morpheus Tutorials

Күн бұрын

Пікірлер: 322
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Meine neue Website ist endlich auch fertig: Ihr findet dort auch die Möglichkeit einen NEWSLETTER von mir zu abonnieren. Das ist super praktisch, weil wir da nicht auf den KZbin Algorithmus angewiesen sind, dass ich euch erreiche. Ein Mal die Woche kommt dann ein Update, nicht nur mit Videos, sondern auch mit Themen, die es vielleicht in kein Video geschafft haben! the-morpheus.de/
@X350d
@X350d 8 ай бұрын
Wow 😊 richtig nice deine Seite
@ContentJuicer
@ContentJuicer 8 ай бұрын
Das ThreeJS Model bzw. die spline scene "/js/scene.splinecode" lädt bei mir beim initialen Seitenaufruf sehr langsam. (Chrome: Version 123.0.6312.86 (Offizieller Build) (64-Bit) | win10 | amd-fx6300 | geforce 760ti) ps: das mit dem 2,5sek. timeout ist irgendwie kacke.. wüsste es allerdings selbst nicht besser wie man die lade performance steigern könnte außer mit kleiner auflösung anfangen und dann langsam höher drehen.
@gm3794
@gm3794 8 ай бұрын
schöne website
@rustilldawn9608
@rustilldawn9608 8 ай бұрын
was auch immer du da gemacht hast aber wenn man deine seite öffnet geht meine cpu auslastung von 1% auf 10% :D auch das video bleibt kurz stehen
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Das ist glaube ich der Spline, der nachlädt :D
@harveychuba5442
@harveychuba5442 8 ай бұрын
Ich will mal einfach hier, allen Open Source Entwicklern danke sagen. Unsere Welt wäre Technologisch nicht da wo sie ist, wenn ihr nicht da wärt. Darum hoffe ich das es endlich mehr Anerkennung in Zukunft für auch gibt. Und Zusätzlich danke an Morpheus
@davidkummer9095
@davidkummer9095 8 ай бұрын
Das ist wie Klatschen vom Balkon aus. Es streichelt etwas das Ego, mehr auch nicht.
@harveychuba5442
@harveychuba5442 8 ай бұрын
@@davidkummer9095 etwas weniger Pessimismus. Klatschen hat eine Wirkung so klein diese auch sein mag solange sie eine Positive Wirkung hat sollte man sie auch erbringen. Zweitens sollte man nicht über die Klatschende Person urteilen wenn man nichts weiß.
@davidkummer9095
@davidkummer9095 8 ай бұрын
@@harveychuba5442 Dann hoffen wir beide mal, das ich zu Pessimistisch bin.
@ljsilver733
@ljsilver733 8 ай бұрын
Open Source ist auch nicht besser, wenn sie zu selten geprüft wird.
@snapstromegon
@snapstromegon 8 ай бұрын
Als jemand, der selbst zu OSS beiträgt (in meinem Fall aktuell hauptsächlich der Static Site Generator Eleventy/11ty), möchte ich hier noch hinzufügen, dass ein Open Source Projekt von so viel mehr lebt, als nur den Entwicklern. Wenn man z.B. mal einen Fuß in der Open Source Entwicklung finden möchte, würde ich stark empfehlen einfach mal Dokumentation hinzuzufügen, in existierende PRs zu blicken oder Issues zu öffnen, kommentieren oder zu beantworten. All das nimmt Last von den Entwicklern und ist mindestens genauso wichtig, wie die eigentliche Entwicklung. Auch möchte ich hier ein wenig @davidkummer9095 widersprechen. Das Klatschen vom Balkon aus war ein wenig der Schlag ins Gesicht vom z.B. Pflegepersonal, da man denen eben nicht z.B. mehr Geld zugesteht. An OSS arbeite (zumindest ich) jedoch tatsächlich nicht für das Geld, sondern als Freizeitbeschäftigung und weil ich eben was zurückgeben möchte. Hier kann dieses öffentliche "Danke" eben einen Unterschied machen und mich darin stärken auch weiterhin beizutragen. Gleichzeitig ist das ein wichtiger Gegenpol für die teils sehr dreisten Forderungen, die so in Repos erscheinen.
@strenter
@strenter 8 ай бұрын
Hatte diese Erklärung bislang nur englischsprachig gesehen. Sehr gut erklärt! Ich nutze Linux seit Jahren und danke allen, die sich die Nächte beim Programmieren um die Ohren schlagen, viel zu wenig. DANKE!
@hugoschmitz6649
@hugoschmitz6649 8 ай бұрын
U-Labs hat vor 4 Tagen ein deutschsprachiges Video rausgebracht.
@strenter
@strenter 8 ай бұрын
@@hugoschmitz6649 Im Gegensatz zu Morpheus habe ich U-Lab aber nicht abonniert. Danke jedoch für die Empfehlung.
@DavidDSI
@DavidDSI 8 ай бұрын
Und jetzt überlegt mal wie viele Backdoors nicht durch Zufall gefunden wurden und noch rumschlummern.
@epicwin789
@epicwin789 8 ай бұрын
Kurz auch mal ein großes Dankeschön an dich, dafür dass du dich hinsetzt und solche komplexen IT-Themen verständlich aufbereitest! :)
@Steven_Breuer
@Steven_Breuer 8 ай бұрын
Vielen vielen Dank 🎉. Das war wie immer ein sehr gelungenes Video und du hast die Thematik spitzenmäßig erklärt. Dieses Beispiel zeigt einmal mehr auf, dass Schwachstellen und Sicherheitslücken zu einer ständigen Bedrohung führen und führen werden. Allein allein dieses Video ist so lehrreich und sensibilisiert abermals für dieses Thema. Es ist unglaublich, wie viel Mühe du dir für diese Videos gibst! DANKE
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Ich danke dir ❤️
@thomas-fischer
@thomas-fischer 8 ай бұрын
Bravo und danke für deinen wetvollen Beitrag und ja, bitte mehr "Liebe" für Open Source Developer.
@WinneWars
@WinneWars 8 ай бұрын
Was wohl diese Backdoor Wert gewesen wäre, wenn sie nicht entdeckt worden wäre... Unbezahlbar! Danke für das Video!
@WitzigLustigKomisch_TG
@WitzigLustigKomisch_TG 8 ай бұрын
Super Video. Danke dafür. 👍 Ist schon der Hammer wie gut das durchdacht war. Ich bin mal gespannt was noch so alles darüber raus gefunden wird.
@mariot.399
@mariot.399 8 ай бұрын
Hut ab für deine Mühe. Ich komme nichtmal dazu alle Videos von dir anzusehen, also iwie glaube ich du hast dich geklont um das alles zu machen. Nein Scherz beiseite, habe wirklich respekt vor dir, wie du es schaffst all diee zu machen!
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Wenn du ne Möglichkeit dazu hast, immer her damit 😂
@matthiask.6031
@matthiask.6031 8 ай бұрын
Mehr Sorgen sollten einem die ganzen Angriffe bereiten, die *nicht* entdeckt worden sind. Akteure, die so vorgehen, setzen nicht alles auf ein einziges Pferd. Da kann man dann am Ende nur hoffen, dass diese "Akteure" tendenziell eher zur "eigenen Seite" gehören. Gut, dass es trotzdem auch Leute wie Andres Freund gibt, der den Auffälligkeiten wirklich nachgegangen ist und sie öffentlich gemacht hat!
@sharky9493
@sharky9493 8 ай бұрын
Dankeschön für das tolle detailierte video! Super!😃 Du hast die Fähigkeit, komplexe schwierige Vorgänge, anschaulich zu erklären, dass wir sie verstehen!😄
@IT-Viking
@IT-Viking 8 ай бұрын
Geiles Video! Ich war im Urlaub und hab heute gesehen, dass ich knapp 1000 Mails hab. Demnach werde ich Morgen in den E-Mails bestimmt auch zu dem Thema etwas sehen! Gut zu wissen, da ich das Thema komplett verpasst habe, vielen Dank! Ich hoffe, du bist bei bester Gesundheit und bleibst uns lange erhalten!
@ichiryu9477
@ichiryu9477 8 ай бұрын
Ich fürchte fast es war auch Teil des Plans die Feiertage über Ostern zu nutzen, weil eben viele IT-Spezialisten auch mal Urlaub haben. 🙏
@ZerberusVII
@ZerberusVII 8 ай бұрын
Will jetzt nicht direkt den Aluhut aus der Schublade holen, aber so ausdauernd und durchdacht wie das ganze umgesetzt wurde und weil hier trotzdem scheinbar nur der Angreifer selber zugriff bekommen konnte, würde ich hier irgendwelche staatlich finanzierten Akteure nicht ausschließen.
@deineroehre
@deineroehre 8 ай бұрын
Wobei das "wer" ja im Grunde auch egal ist, wenn diese Lücke genutzt worden wäre. Ist durch Open Source halt aufgefallen, dass da was ist, bzw konnte nachvollzogen werden, ohne, dass ein Hersteller das Problem einfach hätte verstecken können.
@xmaulai
@xmaulai 8 ай бұрын
Wann hat der Aluhut denn die letzten Jahre jemals Unrecht gehabt 😅
@Almostbakerzero
@Almostbakerzero 8 ай бұрын
Dazu ist kein Aluhut notwendig. Es macht absolut Sinn hier einen Geheimdienst zu vermuten, einfach weil das jemand entwickelt hat für den Zeiteinsatz keine große Rolle spielt. Einen neuen Ransomwaretrojaner oder Windowswurm kann ein talentierter Coder vermutlich in ein paar Wochen zusammencrunchen, aber hier wurde höchst sorgfältig über Jahre gearbeitet. So arbeiten keine Gangster, so arbeiten Beamte.
@Ju-nk
@Ju-nk 8 ай бұрын
Ja kam mir beim anschauen des Videos auch vor als hätte da wer ordentlich Kapital reingesteckt….
@Amazonessamy
@Amazonessamy 8 ай бұрын
@@Almostbakerzero und wenn es ein Geheimdienst war dann wären auch die Konsequenzen größer als wenn es nur ein Typ wäre der auf Kohle aus ist.
@MrLoLFaQ
@MrLoLFaQ 8 ай бұрын
Unabhängig von der Backdoor ist es einfach frech, jemanden Druck zu machen für etwas, dass er freiwillig tut. Also manche Menschen lassen das leider mit sich machen, aber mir wäre das völlig latte. Wenn es schneller gehen soll: Bezahl oder mach es selbst. Das ist in jeder Branche so. Mag sein, dass es bei Open Source Projekten anders läuft, aber dennoch muss man auf seine Gesundheit achten, vor allem für etwas, was nur mangelhaft wertgeschätzt wird.
@EdithMartin-u7p
@EdithMartin-u7p 8 ай бұрын
Hallo Cedric, für die Betroffenen, schlimm. Wertfrei betrachtet, ... das ist ganz hervorragender Entwickler. Gruß, Enigma-pi.
@traderjoes8725
@traderjoes8725 8 ай бұрын
Das ist exemplarisch für die Schwachstellen von Open-Source! Die Qualität und damit auch die Sicherheit hängt am Ende an den Menschen, die ihre Zeit investieren. Jemand der sich ehrenamtlich im Sportverein engagiert ist hochmotiviert und kann auch Leistungen auf Proflevel vollbringen. Ehrenamtliches Engagement kann aber auch nur temporär sein!
@VampireSilence
@VampireSilence 8 ай бұрын
Hochinteressant! Wäre super, wenn du nochmal eine Fortsetzung machst, sobald der Malware Code entschlüsselt wurde!
@dreamyrhodes
@dreamyrhodes 8 ай бұрын
Vielleicht sollten wir überlegen, so ein paar essentiellen Projekten wie SSH oder XZ mal vielleicht bisschen Steuergelder zu geben, wenn die Firmen das schon nicht machen, schließlich baut die ganze Wirtschaft darauf. Und wenn das vielleicht sogar ein geheimdienstlicher Angriff war, dann kann man das auch als nationale Verteidigung verstehen, solche Projekte zu finanzieren. Sollte der CCC mal bisschen Druck machen da.
@Henry-sv3wv
@Henry-sv3wv 8 ай бұрын
Apple musste ja ein paar euro strafe an die EU zahlen, kann man damit finanzieren.
@louisinchingolo4822
@louisinchingolo4822 7 ай бұрын
Gibt es bereits nennt sich souvereign tech fund und unterstützt beispielsweise PyPI und CURL aber ich stimme zu das sollte definitiv ausgebaut werden.
@WoodymC
@WoodymC 8 ай бұрын
19:30 Kleine Korrektur: Die Challenge wird bereits verschlüsselt an den sich authentifizierenden Client geschickt -- und zwar wie folgt: 1) Server generiert einen Challenge-Text und verschlüsselt diesen mit dem hinterlegten öffentlichen Schlüssel des sich anmeldenden Benutzers. 2) Server sendet den verschlüsselten Challenge-Text an den sich anmeldenden Client. 3) Client muss durch Entschlüsselung des Challenge-Textes nachweisen, dass er im Besitz des zugehörigen privaten Schlüssels ist. 4) Client sendet den entschlüsselten Challenge-Text an den Server zurück. 5) Server gewährt bei Übereinstimmung des ursprünglich von ihm generierten Challenge-Texts mit dem vom Client entschlüsselten Challenge-Text den Zugriff. TL;DR: PubKey VERschlüsselt nur, PrivKey ENTschlüsselt nur. Anders formuliert: Jeder darf VERschlüsseln, aber nur der PrivKey-Besitzer ENTschlüsseln.
@chjadam
@chjadam 8 ай бұрын
Schönder Bericht, der genau das eigentliche Thema anspricht, dass diejenigen, die sich als Maintainer so aufopfernd einbringen, keine wirkliche Resonanz in der Öffentlichkeit haben. Wie wäre es mit einer Maintainer Rangliste, einem Maintainer des Jahres? Bei Anwälten gibt es die Legal 500, wo es eine Submission List gibt. Sowas könnten doch Fachmagazine oder Portale auch bei Maintainern machen.
@Boehjaner
@Boehjaner 8 ай бұрын
Der SCHLIMMSTE ANGRIFF dieses Jahr...Dramatische Pause...bis Jetzt🤩 immer schön locker bleiben mit der brennenden Kirche im Dorf😎🍻
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Yey, das macht Hoffnung 😂
@MrLoLFaQ
@MrLoLFaQ 8 ай бұрын
Also soweit ich weiß ist Christiano Ronaldo ja auch bereits zum Fußballer des Jahrhunderts gekürt worden 😁 Aber im Fußball ist glaube ich die Logik auch nicht oberste Priorität
@Boehjaner
@Boehjaner 8 ай бұрын
@@MrLoLFaQKopfball Kopfnuss Digga ..wo da der Unterschied Sieg bleibt Sieg, jawohl😄🤘 Das ist nur logisch😐🖖 , mein Kapitian Kirk ahh Khan.. Wie bin ich hier her gekommen und warum liegt hier überall Rasen auf der Brücke rum😵⚽Owei owei mein Kopf tut so Weh😪 gibt es ein technischen Grund warum Hemden Karten rot sind,wo du genau weißt für den ist das Spiel gleich vorbei..Sport ist Mord und ich ziehe keine roten Hemden an bin ja nicht komplett bescheuert😂🍻
@traderjoes8725
@traderjoes8725 8 ай бұрын
Auf Köllsch: Et hätt noch emmer joot jejange. (Deutsch: „Es ist bisher noch immer gut gegangen.) 😄
@chaoticsystem2211
@chaoticsystem2211 8 ай бұрын
ja, und wer hängt auch seinen ssh server direkt schon ins internet?
@frenches1995
@frenches1995 8 ай бұрын
Hey Morpheus ein wenig konstruktive Kritik hier: Ich finde das Video an und für sich gut und verständlich! Jedoch lässt der Präsentations Style ein wenig zu wünschen übrig! Man hätte definitiv das Video ein wenig kompakter gestalten können und nicht als wäre es ein stream einfach mit den richtigen links von der Leber reden. Aber danke, dass du dieses Video gemacht hast!
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Definitiv, danke dafür. War dann ein bisschen am abwägen, ob ich das Video lieber heute so oder in 3 Tagen mit Schnitt erstelle. Aber mir war Geschwindigkeit da gerade wichtiger
@Spandauer66
@Spandauer66 8 ай бұрын
@@TheMorpheusTutorials Bei solchen Themen finde ich es wichtiger aktuell zu sein als den Schnitt.
@nockuno
@nockuno 8 ай бұрын
Oder man setzt Kapitel.
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Öhm, es sollte Kapitel geben..
@nockuno
@nockuno 8 ай бұрын
@@TheMorpheusTutorials Jetzt sehe ich sie. Sry, für die Verwirrung.
@zerto111
@zerto111 8 ай бұрын
FOSS ist so unfassbar wichtig für unsere Welt und kaum einer (aus der Gesamtbevölkerung) ist sich dem auch nur im geringstem bewusst. Vielleicht eine unfassbar stupide Idee, aber eventuell sollte man zu Ehren der FOSS-Entwickler wirklich einen Feiertag einführen. Mit dem dadurch entstehendem (jährlichen) Fokus ändert sich dann vielleicht auch die Haltung. Verdient wäre es jedenfalls...
@Henry-sv3wv
@Henry-sv3wv 8 ай бұрын
Der Big Bang Theory Day
@mrhidetf2
@mrhidetf2 8 ай бұрын
Schönes Video, wobei man sagen muss dass ja eigentlich nur 3 Distros und Testing branches betroffen waren. Finde daher das thumbnail unglücklich gewählt.
@shavenne
@shavenne 8 ай бұрын
War auch mein Gedanke, ja. Etwas überdramatisiert. Die ganze Geschichte ist definitiv ein "Drama", aber wirklich betroffen sind dann in der Realität weit weniger als 90% :D
@mrcvry
@mrcvry 8 ай бұрын
Nein, passt schon. Wäre es nicht sofort entdeckt worden, wäre es in kurzer Zeit in jedem Betriebssystem und jedem Server weltweit. Glücklicherweise war es open source.
@holger267
@holger267 8 ай бұрын
"Nur" ist gut. War purer Zufall das es noch rechtzeitig aufgefallen ist
@lyingcorrectly
@lyingcorrectly 8 ай бұрын
Im thumbnail steht "beinahe", das finde ich völlig zutreffend. Es war ja wirklich knapp.
@marcux83
@marcux83 8 ай бұрын
Clickbait much 😒
@niklasbl1387
@niklasbl1387 8 ай бұрын
Was ein Video. Das sowas fast passiert wäre, zeigt, dass dort sich wirklich etwas ändern muss. Ich hatte mich schon mit 14 gefragt warum es Open-source gibt und wie es sich halten kann. Definitiv sollte da eine Regelung kommen. Wer weiß, welche stellen dadurch aufgedeckt wurden und welche weitere lücken es gibt, oder was sogar in Planung ist. Mega heftiges Video.
@tarideschattenmond6689
@tarideschattenmond6689 8 ай бұрын
Erstmal richtlinien lol... wollte nur für den Algorithmus danke sagen 😅 Aber mal ernstaft danke an die open Source entwickler, und danke fürs top viedeo! Hoffe das zählt als keine werbung und war hofentlich auch kein hate 😅❤
@radarhase
@radarhase 8 ай бұрын
Danke für die detaillierten Infos 👍😍😍
@SiPaGaKo
@SiPaGaKo 8 ай бұрын
Danke für den Beitrag!
@LesterFD
@LesterFD 8 ай бұрын
Das ist eine Backdoor die zufällig entdeckt wurde. Ich frage mich ob das wirklich die einzige war, oder wie viele eigentlich existieren, auch in Windows, MacOS, Android, iOS usw.
@hrruben5135
@hrruben5135 8 ай бұрын
Das erinnert mich etwas an die Geschichte von Clifford Stoll. Warum ist da eine Differenz von 75 Cents, wie kann das denn sein?
@Syrabo
@Syrabo 8 ай бұрын
Vielen Dank! Mein Dank für alle, die ehrenamtlich im Internet uns ihre Projekte zur Verfügung stellen und sogar Unkosten selbst damit haben. Durch den Kommerz erwarten die Nutzer:innen häufig den selben Support von solchen Projekten und reagieren dann gleich mit Unverständnis (mildeste Form). Meine Frage ist, wie weit wäre die/der Angreifende gekommen, wenn ssh-server mit Verbot für root eingestellt ist. Hätte dies noch bestand gehabt oder wäre die/der Angreifende sogleich root geworden?
@nomanomen4611
@nomanomen4611 8 ай бұрын
😅 das war aber wirklich knapp. Wird echt Zeit das auch große Firmen zu so etwas finanziell beitragen.
@teprox7690
@teprox7690 8 ай бұрын
Wow. Vielen Dank für dein Video! ❤❤❤❤
@benjaminp3797
@benjaminp3797 8 ай бұрын
Hört sich stark nach Geheimdienst an. So gut durchdacht und mit wenig Spuren. 🕵🏼
@bitsurface5654
@bitsurface5654 8 ай бұрын
Super Video, super Info! Danke auch Dir, man! 👍👍👍
@welle5086
@welle5086 8 ай бұрын
Vielen Dank für die guten Erläuterungen
@Sandaber
@Sandaber 8 ай бұрын
Da soll mal einer sagen die Obsession Dinge zu messen und schneller/grösser/genauer zu bekommen hätte keine positiven Nebeneffekte :D
@ArneBab
@ArneBab 8 ай бұрын
Ich finde zwei Jahre übrigens gar nicht so lang. Das ist die Zeit, die durch Infrastrukturprobleme auch mal zwischen zwei bis drei Releases verstreichen kann. Nebenbei: M4 ist ein autoconf macro. Das sollten mehr Leute lesen können, aber viele trauen sich nicht. So schwer ist es nicht ⇒ sollten mehr Leute lernen.
@Alex-mp5bu
@Alex-mp5bu 8 ай бұрын
ssh verwendet lzma nicht direkt. Nur wenn es gegen systemd gelinkt wird, bekommt es diese dependency mit.
@M2oMark
@M2oMark 4 ай бұрын
Super erklärt, viele Dank! Hab aber nicht ganz verstanden, warum sagst du alle Server hätten neu aufgesetzt werden müssen (28:28)? Reicht es nicht, eine gefixte Version von xz zu laden? Lg
@BufferTheHutt
@BufferTheHutt 8 ай бұрын
Danke für das Video. Ich muss aber ehrlich gestehen, dass ich nicht genau verstanden habe, wann die Backdoor greift und wie sie funktioniert. Kann mir das bitte jemand kurz und knapp zusammenfassen? Könnte hier nicht auch die NSA dahinter stecken? Entsteht die Backdoor beim nutzen des xz Tools oder reicht es aus, wenn diese Version (5.6.0-5.6.1) auf dem Rechner installiert ist? Oder entsteht die Backdoor zum SSH Rechner, weil die mit xz verschlüsselten Daten dorthin übertragen werden? Wie genau nutzt der Angreifer diese Backdoor aus? Kann er sich dann einfach auf den Rechner schalten oder kann er nur in dem Moment ausgeführten xz Anwendung Tätigkeiten ausüben?
@matthiaslangbart9841
@matthiaslangbart9841 8 ай бұрын
XZ wird am Ende in die SSH als Bibliothek mit einkompiliert. Normalerweise kann man SSH so konfigurieren, dass sie nur auf genau festgelegte Verzeichnisse Zugriff bekommt. Mit Backdoor bekommt sie diese Rechte SYSTEMWEIT!
@BufferTheHutt
@BufferTheHutt 8 ай бұрын
@@matthiaslangbart9841 ah, ok. Vielen Dank. Diese Backdoor wird in dem Moment eingebaut, indem man mit der betroffenen Version Daten überträgt? Werden SSH Daten immer mit xz komprimiert?
@matthiaslangbart9841
@matthiaslangbart9841 8 ай бұрын
@SCH4LK: Nicht ganz. Die Backdoor ist schon längst eingebaut und „schläft“ in der SSH. Wenn man mit der betroffenen Version Daten überträgt, wird sie „wach“ und richtet den Schaden an.
@Ecovictorian
@Ecovictorian 8 ай бұрын
24:31 Das zeigt aber auch, wie wichtig es ist sich mit den Dingen zu beschäftigen. Da war irgendein random Dude, der einfach die Performance getestet hat. Das sind Sachen, da kümmern sich Viele nicht mal drum. Wenn ich da an Software denke, was da über JAHRE für Fehler sind wo Niemand genau hinschaut. Irgendwelche Software die weltweit eingesetzt wird, man nutzt bestimmte Funktionen und dann hat das Ding irgendeinen Memory Leak. Wenn ein 0815 Programm einfach mal 10GB Raum nur dadurch braucht, dass man ständig mit der Maus klickt und je Eingaben man macht, umso langsamer wird es.... Ist vermutlich irgendein Bug, aber weiß man es? Bugs bei anderen Geräten, wo es praktisch unmöglich ist über den Support mal zu den Hersteller zu erreichen, dass an sich die Sache mal anschaut.
@riaganbogenspanner
@riaganbogenspanner 8 ай бұрын
Leider enthält das Video gravierende Fehler: SSH nutzt LZMA nicht für Datenkompression, dort wird, wenn das überhaupt aktiviert ist, gzip benutzt. LZMA wird nicht direkt in SSH verwendet, sondern ist eine Abhängigkeit von dbus. Fedora und Debian patchen SSH um mit dbus zu interagieren. Dadurch wird der Angriff überhaupt erst möglich.
@riaganbogenspanner
@riaganbogenspanner 8 ай бұрын
Außerdem ist seit Montag auch bekannt was die Backdoor genau tut. Ich bin nicht in der Lage es genau zu beschreiben aber es gibt einen xz-bot, sucht mal danach, der die Features nett beschreibt und eigene Tests und Honeypots möglich macht. Zudem ist die Beschreibung wie der Exploit verbreitet wurde fehlerhaft. Jia hat Releases als Tarballs hochgeladen, die den Exploit enthalten. Diese enthalten aich so Dinge wie bereits vorkonfigurierte Buildsysteme, damit es leichter ist den Code zu bauen ohne tausende Flags für make configure oder ähnliche Tools im Kopf zu haben. Damit ist es aber leider auch möglich Exploits herumzureichen, die nicht im Repository liegen. Der Exploit wurde dann in einem Teststep entschlüsselt, entpackt, und in das fertige Binary gelinkt. Der Exploit selbst erlaubt eine RCE basierend auf speziellen ED448 Signaturen und ist kein Auth Bypass. Aber wird eben mit den Rechten des SSHd Services ausgeführt.
@riaganbogenspanner
@riaganbogenspanner 8 ай бұрын
Da der ganze Kram im Release Tarball liegt, wissen wir sehr genau, wie die m4 Datei und auch die anderen Dateien, die zum Exploit gehören, aussehen! Und der Exploit schreibt sich nicht auf das System sondern linkt sich in das xz binary.
@riaganbogenspanner
@riaganbogenspanner 8 ай бұрын
Du machst sonst immer hervorragende Videos! Aber das sieht nach schnell schnell und wenig Recherche aus, weil du auch ein Video dazu machen möchtest/musst, aber es enthält wirklich viele Fehler oder Ungenauigkeiten.😢
@magiccube1094
@magiccube1094 8 ай бұрын
Gut erklärt. Danke dir für die Mühe.
@ArneBab
@ArneBab 8 ай бұрын
Was mir grade auffällt: durch brotli und zstd war xz auch nicht mehr der heiße Scheiß (sondern nur, von was wir alle abhängen), so dass vermutlich die Aufmerksamkeit nochmal stärker eingebrochen war.
@callmejoe5209
@callmejoe5209 8 ай бұрын
Andres Freund arbeitet übrigens bei Microsoft. Nur so nebenbei.
@viktorweizel3307
@viktorweizel3307 8 ай бұрын
Ein Deutscher "Andreas Freund" hat diese Lücke entdeckt und gemeldet. Der Mann ist ein Held...
@dabinichmirgarnichtsicher
@dabinichmirgarnichtsicher 8 ай бұрын
👍 wie immer: vielen lieben dank und >>> hut ab! du bist klasse!🎩
@marcokneisel1145
@marcokneisel1145 8 ай бұрын
gutes Video gut erklärt danke dir
@menschjanvv2500
@menschjanvv2500 8 ай бұрын
Es gibt so oder so niemals 100% Sicherheit. Egal was man tut.
@AndreNitschke
@AndreNitschke 8 ай бұрын
Das soll sich aber nur auf Distributionen auswirken, die sshd in Verbindung mit systemd verwenden, wobei sshd gegen xz-utils (linlzma) gepatcht ist (Debian, Ubuntu Rolling-Releases wie Suse Tumbleweed etc., außer arch ist nicht gepatcht gegen xz-utils). außerdem müssen noch einige andere Punkte erfüllt sein das die Backdoor geeifen kann.
@MrBabek
@MrBabek 8 ай бұрын
Wow, super video!
@timmbo6691
@timmbo6691 8 ай бұрын
Ist denn bekannt, wann die invizierte Version verteilt wurde? Danke für die gute Info.
@tzett0011
@tzett0011 8 ай бұрын
Kann mir jemand erklären von wo die Malware denn jetzt genau geladen wird, wenn sie nicht im Github Repo ist? Und warum kann man im Quellcode nicht sehen, dass da zusätzliche Dateien von irgendwo gezogen werden?
@patrickmack8360
@patrickmack8360 8 ай бұрын
Kurz und falsch zusammengefasst: Der Schadcode selbst inkl. Installationsskript war vorkompiliert, verschlüsselt und komprimiert als binäre Testdatei verkleidet i.S.v. "Dieses Archiv ist korrupt und testet die Fehlererkennung in xz" im repo öffentlich eingecheckt (ja, waren 2 Dateien, Details, Details...). Der trigger zum Entschlüsseln des Schadcodes und Ausführung dieses Installationsskripts waren nur wenige Zeilen im M4 macro, welches selbst allerdings nicht im öffentlichen Repo lag, sondern nur vom Angreifer für die tarball Installationsdateien erzeugt und ausgeliefert wurde. Das ging so nur, weil a) der Angreifer zu diesem Zeitpunkt der einzige Maintainer mit voller Kontrolle über die M4 Erstellung war und b) (Hörensagen, bin kein Experte!) der Prozess, M4 Dateien speziell für tarball Auslieferungen zu erstellen und nicht öffentlich einsehbar einzuchecken wohl weit verbreitet und akzeptiert ist. Niemand schöpft Verdacht. Weiter sind M4 Macros meist automatisch erstellt und nicht lesefreundlich für Menschen. Wer nicht explizit genau in diesem tarball das M4 Macro explizit auf verdächtige Zeilen untersucht, das die mitgelieferten Binärdateien des Testordners in unerwarteter Weise bearbeitet, wird es erst bei Ausführung der backdoor und der 0,5 sec Verzögerung bei SSH Anmeldungen sehen.
@lifoy
@lifoy 8 ай бұрын
Vielen Dank fürs Video , in nem anderen Video hatte ich gesehn das es nur bei bestimmten ssh geht die gepatched sind mit lzmalib iüber systemd über systemd-notify zum ssh server deamon is vllt auch intressant das einige Distro´s gibt wo es nicht drauf läuft. mfg Lifoy
@wernerviehhauser94
@wernerviehhauser94 8 ай бұрын
Wenn man sich immer auf überarbeitete Ehrenamtliche verlässt, dann ware es leider nur eine Frage der Zeit, bis es mal passiert.
@kerniger86
@kerniger86 8 ай бұрын
Ich bin kein Entwickler und irgendwo hier verloren gegangen. Ich dachte ein build prozess wandelt lesbaren lokalen source code in eine ausführbare datei um. Wie kann dann da etwas nicht lesbares oder geschweige denn auf gitignore stehendes in die binary eingebunden werden?
@mkolbat
@mkolbat 8 ай бұрын
Ein Build Prozess kann theoretisch alles machen. Das was du meinst ist Compiling und Linking und nur ein Teil des Builds.
@meFisttoU
@meFisttoU 8 ай бұрын
die gitignore "ignoriert" Files nur im Git Repo. Oder auch: ich hab hier lokal (oder auf meiner Build Kiste oder sonst wo) Files liegen die ich vllt zum Bauen der Software brauche, aber die nicht Teil meiner Software sind, also bitte auch nicht ins Repo einchecken
@kerniger86
@kerniger86 8 ай бұрын
@@meFisttoU hm so richtig schlau bin ich noch nicht. Wenn ich das repo clone und lokal den build mache kann dann da was rein"wandern" was nicht im git war und nicht von mir lokal erstellt wurde? Ich hab jedenfalls gedacht dass so open source funktioniert dass man den source code lädt, komplett lesen kann und dann nur daraus lokal was ausführbares bauen kann.
@meFisttoU
@meFisttoU 8 ай бұрын
@@kerniger86 Wenn du lokal baust, dann wandert nichts rein. Zumindest nicht was sonst per gitignore rausgebaut ist. Wenn im Repo sonst irgendwie Zeug versteckt ist, dann hast du das beim lokalen Bauen auch mit bei (ist dann aber nicht per gitignore rausgewandert).
@Merilix2
@Merilix2 4 ай бұрын
@@mkolbat Ich frag mich _wo_ der build prozess stattfindet und woher die sources dafür kommen. Wenn build-to-host.m4 nicht im repository steht, wie kann es dann im build benutzt werden? Es nützt ja nichts wenn das nur auf dem lokalen checkout des Angreifers steht.
@mandrael
@mandrael 7 ай бұрын
OMG, wer kommt denn überhaupt auf sowas extrem Verstecktes drauf? Respekt! -- 23:05 ... jemand hat ein Benchmark gemacht, wo es auffiel. Schon krass die ganze Geschichte. Das sollte eigentlich überall bekannt gemacht worden sein. ZB in der c't als headline.
@rumpeldrump
@rumpeldrump 8 ай бұрын
Gibt's auch schon Erkenntnisse zum rooten? SSH hat doch per Default root login disabled. Gutes Video!
@alexanderdrexl3763
@alexanderdrexl3763 8 ай бұрын
Wow heftig, kann da 7-zip auch betroffen sein, dass verwendet doch auch LZMA etc. ?
@meFisttoU
@meFisttoU 8 ай бұрын
Betroffen ist SSH nur indirekt. Das Problem ist xz utils. Die aktuellen Reverse Engineering Ergebnisse zeigen dass die Backdoor sehr stumpf guckt ob sie an nem sshd (wichtig: das ist der SSH Server(!) Prozess) hängt, d.h. auch mit betroffener xz utils Version passiert beim Benutzen von 7 Zip nix.
@MohammedLee-e1z
@MohammedLee-e1z 8 ай бұрын
Hier der Typ der den bug bzw. Die Backdoor gefunden hat. Eins kann man schonmal sagen; der typ kennt SEIN system. Auch wie du es am Schluss erklärt hast … krass das man anhand von der Login Geschwindigkeit kleine Rückschlüsse zieht das da was faul ist . Vorallem der musste ja im Voraus schon im Gedanken sich alles ausgedacht haben müssen wie der da eventuell vorgeht + sich die Mühe da machen und vor dem Update die Geschwindigkeit zu testen und danach … das meine ich mit Gedanken schon davor gemacht zu haben Bei sowas fällt mir nur ein das man Monsterlangeweile haben muss um auf etwas krass verstecktes zu stoßen .. Und in diesen Falle wenn ich raten müsste würde ich sagen das waren die Chinesen, falls das nicht einer Alleine war Falls ja … krass auch so vorzugehen mit Jahre langer Planung und wissen wie man an die Sache ran geht
@meFisttoU
@meFisttoU 8 ай бұрын
Im Enterprise Umfeld schreibst du zB deine Deployment Zeiten mit, dort fällt sowas ziemlich schnell auf. Vor allem in großen Umgebungen wo ein Lauf beispielsweise auf ein paar Hundert Hosts geht. Diese halbe Sekunde pro Login potenziert sich also schnell und fällt in diesen Szenarien aber auch schnell auf. Dass man da nun jahrelang im Dunkeln getappt hätte ist recht unwahrscheinlich.
@rresi3421
@rresi3421 8 ай бұрын
Als jemand der keine Ahnung von Softwarelogistik in der Open Source / Linux Welt hat habe ich hier mal eine Verständnisfrage: Die Malware ist ja (Soweit ich das verstehe) nur in der vorkompilierten Bibliothek drin. Würde man das Binary selbst bauen wäre es ja clean (eingebaut wird es ja von der M4 Datei die in den Sourcen nicht drin ist), ich vermute mal, es baut und funktioniert auch ohne die M4 Datei, sonst wäre das wohl eher aufgefallen. Jetzt die Verständnisfrage: Ist das üblich das Distributionen die Binaries übernehmen oder wird so was vom Distributor üblicherweise selbst gebaut (nur dann weiß man ja sicher, was eigentlich drin ist). Wenn das so ist wäre jetzt der richtige Zeitpunkt das mal zu überdenken. Malware ist doch in den Sourcen viel leichter zu erkennen als in den Binaries oder liege ich da komplett falsch?
@Henry-sv3wv
@Henry-sv3wv 8 ай бұрын
wie wird denn das binary gebaut. von der verseuchten bauumgebung oder nicht ...
@rresi3421
@rresi3421 8 ай бұрын
@@Henry-sv3wv Das ist ja genau was ich meinte. Wenn ich selbst bauen würde, würde ich mir ja die Quellen aus dem Git Repo laden (ohne M4 weil .gitignore) und lokal bei mir bauen. Das müsste dann ja clean sein. Wenn das nicht funktionieren würde wäre das sicher schon aufgefallen. Mich wundert ja nur, dass die Distributoren das nicht so machen aber ich komme eben noch aus einer Zeit wo man seinen Linux Kernel selbst kompilieren musste 🙂
@applefan5079
@applefan5079 8 ай бұрын
Enorm wichtig an der Sache ist doch auch, dass das wahrscheinlich in wenigen Wochen in allen neuen LTS-Releases gelandet wäre, oder verstehe ich das falsch? Umso dankbarer kann man dem MS-Entwickler sein, der genau wissen wollte, warum sein SSH-Login auf einmal so langsam ist. Nicht vorstellbar, was passiert wäre, wenn das tatsächlich im großen Stil ausgerollt worden wäre.
@projektingenieur8491
@projektingenieur8491 8 ай бұрын
wahnsinnig genial
@ljsilver733
@ljsilver733 8 ай бұрын
Am erschreckendsten finde ich, dass es von einer quasi One-Man-Show gepflegte Soft gibt, die, weil schon so lange da, quasi unhinterfragt überall genutzt wird und dadurch eine extreme Abhängigkeit erzeugt wird. Bei Bibliotheken finde ich das noch schlimmer als bei Einzelanwendungen. Ich hatte über 10 Jahre Abhängigkeit von einer Handvoll Programme, die nur von One-Man-Shows erstellt und gewartet wurden. Als ich mir mal überlegt hab was wohl passiert, wenn diese Leute plötzlich nicht mehr sind, fing ich an umzustellen. Bei Bibliotheken ist das perfider. Das merken nicht mal mehr die Programmierer. Gab es nicht mal NSA-Backdoors in Verschlüsselungsbibliotheken? Der Schritt Richtung Open-Source ist schon mal gut. Aber die Entdeckung von Bugs/Backdoors etc. sollte standardmäßig professionell erledigt werden, um sicher zu sein. Da scheint die momentane Schwachstelle in der Softwareherstellung zu liegen.
@sdan6321
@sdan6321 8 ай бұрын
Sehr interessantes Video. Besten Dank Kleine Frage, hast Du zufälligerweise einen Beitrag zur GoFetch Lücke bei den Apple M Prozessoren in Planung? Diese Lücke würde mich besonders interessieren. LG
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Bislang nicht, aber ich sehe es mir an, danke für den Tipp. Bin leider nicht so tief im Mac Game 😅
@NetBSDToaster-u8e
@NetBSDToaster-u8e 8 ай бұрын
Hallo Morpheus! Ich benutze Fedora und hatte auf die 40-Beta geupdated, d.h. ich hatte die betreffende Version 4.6.1 installiert, was natürlich bei Bekanntwerden der Lücke gedowngraded wurde. Red Hat selbst hat ja geraten, betroffene Systeme neu aufzusetzen. Glaubst du es ist durch das Update behoben oder ist da noch was auf dem System und ich muss neu installieren?
@e5304
@e5304 8 ай бұрын
Wahrscheinlich ist es sicherer du setzt alles neu auf. Wenn der/die schon so gut waren das ganze so rein zubauen dann werden die mögliche Updates impliziert haben diese automatisch zu umgehen. Da wird ein Update nichts bringen. Es ist Scheiße aber da kann man nichts machen. Es ist eh besser auf einer virtuellen Maschine Beta Releases zu testen/nutzen. Ich für meinen Fall habe zu viele negative Erfahrungen mit pre Versionen gemacht und nutze fast nur noch stable Versionen. Auch Updates sind mit Vorsicht zu genießen es hört sich paranoid an aber wir sind alles Menschen und da kann immer ein Fehler passieren...
@Volker.Berlin
@Volker.Berlin 8 ай бұрын
Habe persönlich kein Problem damit, wenn mich einer fragt, ob ich noch dran bin am Projekt. Kann man einfach mit Ja oder Nein beantworten. Habe auch schon mal bei einem Maintainer nachgehackt, als nach 3 Monaten keine Reaktion auf meinem PR kam. War halt die Frage Fork oder nicht Fork. Andere Dinge nerven viel mehr. Wie z.B. das immer wieder die gleichen Fragen gestellt werden. Das man nicht die Doku lesen kann. Die Issue-Liste ist kein Support Kanal! Dafür gibt es Stackoverflow und Co.
@vast634
@vast634 8 ай бұрын
Zeigt dass im Grunde ale wichtigen und weit verbreiteten Open Source Projekte Ziel für Backdoorangriffe werden können. Und irgend ein Maintainer da was reichschleichen kann.
@Sinthoras155
@Sinthoras155 8 ай бұрын
Es gibt warscheinlich in Open-Source Projekten noch viel mehr Malware, die aber einfach nicht endeckt wurde...
@__christopher__
@__christopher__ 8 ай бұрын
Und in Closed-Source-Projekten auch.
@holeefukisback
@holeefukisback 8 ай бұрын
deine Logik ist verkehrt. Siehe meinen comment weiter oben/unten
@steveo6023
@steveo6023 8 ай бұрын
@@__christopher__ Close source Firmen machen sehr oft externe Security Audits, Open Source Projekte nicht. Und wie man sieht, sind das oft One-Man shows die überhaupt von niemandem angeschaut werden. Das Argument "Open Source ist sicher, weil jeder den Code überprüfen kann" ist halt Quatsch, weil es halt niemand (siehe hier) tut.
@wernerviehhauser94
@wernerviehhauser94 8 ай бұрын
​@@steveo6023hat bei Blaster damals nicht wirklich geholfen, oder? Ich denke, dass der Anteil der wirklich durch ein riguroses Audit geschleiften Software im einstelligen Pronzentbereich sein dürfte. Denn das bringt kein Geld. Wenn du gegenteilige Daten hast, dann würd ich die gern sehen.
@Ecovictorian
@Ecovictorian 8 ай бұрын
@@holeefukisback Deine Logik basiert aber auch nur darauf, dass es eine Community gibt die sowas untersucht... Ich will jetzt gar nicht abstreiten, dass man open Source "Produkte" besser untersuchen kann. Nur der "Vorteil" ist halt irgendwie total nutzlos, wenn das nicht in dem Umfang gemacht wird..... Wie Sinthoras155schon angedeutet hat und steveo6023 hat es auch erwähnt, man kommt halt auch vermutlich extrem einfach in so Projekte rein. Das geht dann soweit, dass man auch komplette Projekte übernehmen kann ohne großen finanziellen und mit vertretbaren zeitlichen Aufwand. Theoretisch könnte man auch an einem Dutzend Projekten parallel arbeiten in der Hoffnung, dass man in X Jahren so viel Standing hat, dass man deutlich mehr Rechte und Einfluss hat. Das Argument, dass Open Source sicherer ist aus meiner Sicht totaler Quatsch. Es gibt gefühlt keine Community die sowas ernsthaft untersucht. Was vmtl. auch extrem frustrierend wäre, weil man oft nichts findet und wie oft beschweren sich OpenSource Entwickler über Leute die irgendwas nachfragen? Es gibt nebenbei auch praktisch KEINE Community aus Leuten, die wirklich mal Wert auf Green Coding legt oder mal genauer hinschaut, weil man es zum kotzen findet wie viel RAM ein Programm benötigt. Das hier zumindest theoretisch Anomalien entdeckt werden könnten. Der Typ hier hat den Fehler ja auch nur gefunden, weil er die Laufzeit von der ganzen Sache mal analysiert hat UND sich auch auskannte.
@Shen271
@Shen271 7 ай бұрын
Kannst Du mal thematisieren warum es überhaupt sein kann das billionen Konzerne ihre Server auf einer ein-Person Opensource software laufen lassen? Ich versteh das nicht. Wie kann das sein das dies nicht durch x-Instanzen durch geht und gesichert wird?
@LA-fb9bf
@LA-fb9bf 8 ай бұрын
Warum ich open source maintainer werden würde, wäre, dass es sich sehr gut im Lebenslauf macht. Das ist quasi eine indirekte Bezahlung.
@Bl00dyAngel1
@Bl00dyAngel1 8 ай бұрын
Bin selber kein Entwickler sondern Systemintegrator, magst du mal was zu git ignore machen? Für mich stellt sich hier die Frage, warum gibt es diese Option überhaupt. Und natürlich vielen Dank für deine vielen guten Videos, das hier insbesondere.
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Für config Dateien zum Beispiel 😊
@Clientastisch
@Clientastisch 8 ай бұрын
Open Source Maintainer hier, aber keiner benötigt meine Projekte :D
@rxvenad
@rxvenad 7 ай бұрын
wenn du magst, gib doch mal deine repo her :D
@ParadiseCity1986
@ParadiseCity1986 8 ай бұрын
Kann mir das bitte mal wer erklären… (kein bashing! wirklich eine rein informelle Frage 🙂) Heißt das, wenn (infizierte) Dateien in gitignore geführt werden, kann in solche opensource Projekte Schadcode unauffällig eingeschleust werden? (weil die files ja nicht zu git hochgeladen werden, aber im Endprodukt "mitkompiliert" sind? Oder verstehe ich da etwas falsch? Danke
@xXNoRespectXx
@xXNoRespectXx 8 ай бұрын
Das hatte ich mich auch gefragt. Ich schätze mal, dass man die entgültige Version ja nicht von Github runterlädt sondern es eben diese tarballs (Release bundles) gibt. Vermutlich wurde es dann in die .gitignore reingeschrieben, damit das nicht aus Versehen von einem anderen (während er das ganze testet) commited wird.
@meFisttoU
@meFisttoU 8 ай бұрын
Korrekt. Wenn die Releases die man als User da runterlädt nicht Artefakte einer Build Pipeline sind die man als User ebenso einsehen kann (die muss dazu nicht zwingend im selben Repo sein, aber eben nachvollziehbar) dann kann im fertigen Binary alles drin sein. Rein theoretisch kann auch bei einer Transparenten Pipeline irgendwo zwischendrin was manipuliert sein, z.B. Container Images die zum Bauen benutzt werden usw. Was ich sagen will: es gibt so gut wie keine 100 prozentige Garantie dass im runtergeladenen Binary auch das drin ist (und nicht mehr) was ein Repo verspricht.
@lizt_official
@lizt_official 8 ай бұрын
Ich hab die ganze zeit auf „April April“ gewartet. Kam aber nicht 😳
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Hab extra heute und nicht gestern veröffentlicht, damit niemand denkt, dass es Fake ist
@pilo11
@pilo11 8 ай бұрын
Ich dachte, es wurde durch die schnelle Reaktion vermieden, dass das Problem in stable Versionen von ssh auftritt. Sind dann wirklich 90% aller Server betroffen? ^^ PS: Ich möchte damit nicht das Problem relativieren, fand nur 90% etwas heftig im Thumbnail.
@meFisttoU
@meFisttoU 8 ай бұрын
Ja der Titel ist misleading. Es war gemeint dass es beinahe soweit gekommen wäre dass 90 Prozent der Server hätten betroffen sein können. Real betroffen sind Server Distros zB gar nicht.
@orange-vlcybpd2
@orange-vlcybpd2 8 ай бұрын
Wenn ich die CPU Auslastung von Windows beobachte im Leerlauf, dann ist Windows reinste Malware :)
@legitlayz5173
@legitlayz5173 8 ай бұрын
Was ich mich frage, wenn die 'Build-to-host'-Datei nur in der Binary vorhanden war, sprich nur im fertigen Build. Wären dann nicht die System, die es aus dem Quellcode kompilieren, also aus dem Repository selbst, fine gewesen, oder verstehe ich da etwas falsch? Wie machen das denn die Linux/Unix-Distributionen? Laden sie sich die Binärdateien herunter oder kompilieren sie diese selbst aus dem Quellcode? Oder ist das unterschiedlich?
@heinrichsteiger2558
@heinrichsteiger2558 8 ай бұрын
Sie bauen aus dem Quellcode selbst.
@mkolbat
@mkolbat 8 ай бұрын
Es wird während dem Test-Build der Quellcode aufwendig über obfuscated Testdateien modifiziert. Kommt daher auf den Packaging-Prozess an, was am Ende in den Softwarepaketen landet. Also ob ein Testlauf vor Packaging statt findet und ob die kompilierten Dateien aus dem Testlauf wiederverwendet werden.
@DinHamburg
@DinHamburg 8 ай бұрын
gibt es denn schon eine Stellungnahme von Jia Tan?? Muss doch frustrierend sein, wenn so ein Plan kurz vorm Start abgefischt wird...
@m-electronics5977
@m-electronics5977 8 ай бұрын
Warum ist eigentlich Open source Software eigentlich schwieriger zu infizieren?
@Henry-sv3wv
@Henry-sv3wv 8 ай бұрын
Weil bei closed source kann der hersteller schwere sicherheitslücken einfach unter den teppich kehren damit seine Ehre nicht angekratzt wird.
@m-electronics5977
@m-electronics5977 8 ай бұрын
@@Henry-sv3wv ok
@momentum9319
@momentum9319 8 ай бұрын
hm... also da es so stark "[...]bis zum Ende durchengineert gewesen[...]" war + der doch etwas längere Zeitplan und die damit verbundene Vorrausplanung - riecht für mich nach einem Staatlichen Akteur...
@TripTilt
@TripTilt 8 ай бұрын
Was wäre das für eine utopisch gute Welt, würde man das dafür benötigte Können und das dafür verwendete und nun einfach verschwendete (Steuer)Geld einfach mal FÜR Security einsetzen. Also Cybersecurity, nicht National Security :P Super Vid, danke!
@Ph7nch
@Ph7nch 8 ай бұрын
Cooles Video, kommi für den YT Algo 👌🏻✌🏻
@sebastianwolf1464
@sebastianwolf1464 8 ай бұрын
Wobefindet sich die Grafik? Bin gerade zu dumm sie zu finden
@Hofer2304
@Hofer2304 8 ай бұрын
Es sollte für die Allgemeinheit einfacher werden einen Beitrag zu Open Source Projekten zu leisten. So könnte man Patenschaften für einzelne Datein vergeben. Der Pate für diese Datei bekommt dann die benötigten Werkzeuge zum Überprüfen der Datei. Das kann etwa eine statische Codeanalyse oder auch die Untersuchung einer ausführbaren Datei auf verdächtige Maschinenbefehle, oder auch nur die Überprüfung der Rechte sein. Das kann aber auch die Frage sein, ob sich die ausführbare Datei aus den angegbenen Quelldateiten herstellen lässt. Es sollten alle Dateien überprüft werden, und nicht nur die, auf die sich die Community zufällig stürzt.
@rafaelsundorf8053
@rafaelsundorf8053 8 ай бұрын
Einzelne Datei ist meiner Meinung nach eine schlechte Idee. Gerade in C wo die hälfte an Dateien nichts relevantes enthält, sondern nur Definitionen wie es denn auszusehen hat. Und wie im Video erwähnt war der Quellcode für die Malware nicht mal richtig im Code drin. Sondern nur in den Release Archiven. Es wäre deutlich einfacher wenn Firmen wie Amazon, Google, Microsoft, Alibaba oder auch VW einfach ein paar Open Source Entwickler anstellen. Dann könnten diese für unterbesetzte Projekte übernehmen. Somit geben diese etwas zurück und ihre eigene Software wird auch besser
@Hofer2304
@Hofer2304 8 ай бұрын
@@rafaelsundorf8053 Eine einzelne Datei zu überprüfen bringt noch nicht viel, aber es ist ein Schritt um alle Datein zu überprüfen. Außerdem habe ich ja auch vorgeschlagen, dass auch überprüft werden soll, ob sich die ausführbare Datei aus den angegebenen Quellen herstellen lässt. Du lässt auf deinem Rechner das gesamte Projekt übersetzen, und kontrollierst, ob deine Zieldateien mit den angegebenen Zieldateien übereinstimmen. Deine Oma überprüft mittels App, ob die make-Datei passt.
@rafaelsundorf8053
@rafaelsundorf8053 8 ай бұрын
@@Hofer2304 das übersetzen lässt keine Rückschlüsse auf einzelne Dateien und/oder Verzeichnisse. Dementsprechend kannst du nicht sagen ob das kompilat (die übersetzte Datei) dem Quellcode entspricht Beispiel OpenSSH, der exakt gleiche Code, mit winzigen änderungen wird für ssh und sftp verwendet. Ist ssh jetzt schlecht weil es den Code aus sftp nicht hat? Oder weil es den gleichen verwendet? Welcher Teil wird überhaupt verwendet und wo ist der?
@Hofer2304
@Hofer2304 8 ай бұрын
@@rafaelsundorf8053 Du vergleichst ja, ob du die gleiche Zieldatei aus den Quellen herstellen kannst. Wenn dir das nicht gelingt, meldest du den Fehler.
@AndrewBlood2
@AndrewBlood2 4 ай бұрын
Thehe du sagst es, genau die selben probleme bei mir ;) 6 Monate Greasyfork 100 downloads täglich aber letzten endes wegen Suopport aufgehört zum Scripten...
@JonnyArmano
@JonnyArmano 8 ай бұрын
@TheMorpheusTutorials Der Maintainer der xz-utils, Lasse Collin, hat nie was von einem Burn-Out gesagt. Ich verstehe nicht warum viele dem ganzen diesen Spin geben wollen? Sein Statement auf der Mailinglist war, ich zitiere: I haven't lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things. Kurz mentale Probleme und einige andere Dinge. Da kommt vieles abseits eines Burn-Outs in Betracht (Depression etc.), muss auch absolut gar nichts mit dem OSS-Projekt xz-utils zu tun haben.
@sw0xpitt706
@sw0xpitt706 8 ай бұрын
Kannst du bitte in Zukunft die Lautstärke deiner Videos erhöhen?
@fye5602
@fye5602 8 ай бұрын
Fand die Lautstärke absolut in Ordnung, wenn sie höher wäre müsste ich bei mir lokal die Lautstärke wohl absenken.
@leotrumpet
@leotrumpet 8 ай бұрын
sound irgendwie sehr leise bei disem Video
@Bogomil76
@Bogomil76 8 ай бұрын
Dann dreh doch auf 11
@iamwitchergeraltofrivia9670
@iamwitchergeraltofrivia9670 8 ай бұрын
Endlich hauen die mal endlich mal was für Linux gefährlich ist
@Ahris_aus_der_8._Dimension
@Ahris_aus_der_8._Dimension 8 ай бұрын
Und das Internet brennt mal wieder... 🔥
@Bogomil76
@Bogomil76 8 ай бұрын
Abgenommen? Neue Frisur? Weniger Stress?
@TheMorpheusTutorials
@TheMorpheusTutorials 8 ай бұрын
Drei Mal ja 😂 danke fürs bemerken ❤️
@PhalzuBG
@PhalzuBG 4 ай бұрын
Open source and capitalism - schwieriges Verhältnis
@srkncs7905
@srkncs7905 8 ай бұрын
der sound in dem video ist echt mega beschissen mit diesem leiser und lauter werden
@PuscH311
@PuscH311 8 ай бұрын
Magst du dir mal folgendes anschauen ? reverse shell with dns data bouncing exfiltration
@hirsebrei1944
@hirsebrei1944 8 ай бұрын
War es nun die NSA oder nicht?
@BrAiNeeBug
@BrAiNeeBug 8 ай бұрын
Der Windows Defender lässt mich die Linux Backdoor nicht runterladen :D
@davidkummer9095
@davidkummer9095 8 ай бұрын
Also wenn ich mir den Aufwand vorstelle dafür, würde ich als erstes an eine Öffendliche Stelle denken. Die haben das Geld für so etwas. Wenn ich mir allerdings vorstelle, das das über Jahre gemacht wurde, dann würde das auch einer einzelnen Person gelingen. EXTREM ist beides.
Developing an APP in 3 DAYS: ChatGPT O1 Pro for 200$ WORTH IT?!
36:55
The Morpheus Tutorials
Рет қаралды 28 М.
Das ENDE der PASSWÖRTER - PASSKEYS von APPLE und GOOGLE
13:38
The Morpheus Tutorials
Рет қаралды 149 М.
UFC 310 : Рахмонов VS Мачадо Гэрри
05:00
Setanta Sports UFC
Рет қаралды 1,1 МЛН
黑天使被操控了#short #angel #clown
00:40
Super Beauty team
Рет қаралды 53 МЛН
Zendesk Mega Backdoor
36:43
ThePrimeTime
Рет қаралды 140 М.
Das Schweizer-Käse Modell für IT-Security🧀
22:19
The Morpheus Tutorials
Рет қаралды 17 М.
Die Wahrheit über VPNs
15:33
c't 3003
Рет қаралды 276 М.
Chrome kann machen was sie wollen: Die Browser Monokultur
25:54
The Morpheus Tutorials
Рет қаралды 37 М.
Why Isn't Functional Programming the Norm? - Richard Feldman
46:09
Die Haftung für SOFTWARE-BUGS kommt!
24:58
The Morpheus Tutorials
Рет қаралды 54 М.
Wie dieser Hacker das Internet gerettet hat
12:01
Simplicissimus
Рет қаралды 2,5 МЛН
Netflix' Softwarearchitektur: Wild aber spannend
38:48
The Morpheus Tutorials
Рет қаралды 40 М.
Cracking passwords by FILMING the power LED?!
13:23
The Morpheus Tutorials
Рет қаралды 43 М.
UFC 310 : Рахмонов VS Мачадо Гэрри
05:00
Setanta Sports UFC
Рет қаралды 1,1 МЛН