Vielen Dank für Ihre Unterstützung: SemperVideo.de/... Fragen und Antworten auf / sempervideo www.patreon.com... amzn.to/37WtJq5 github.com/RPi... www.bsi.bund.d...
So ein zeitloser, großartiger Kanal. Immer gute Tipps, top-aktuell und die Kollegen sind noch immer fleißig am Sammeln von Videos. Jedes Mal ein neuer Jux. Okay.
Gegen Clickbait-Titel verwende ich im Firefox das AddOn DeArrow. Hier kann die Community die Titel quasi selber ändern bzw. überlagern, wenn der Originaltitel zu wild ist. Auch das Bild zum Video lässt sich anpassen, auf eine eher ehrliche, sachbezogene Darstellung.
@@Thomas_P_aus_M Es ist schon hilfreich zu sehen, welcher RU-vidr clickbait betreibt und wer nicht. manchmal sind auch gute Infos dabei, aber eigentlich meide ich solche youtuber lieber
oracle fände ich besser - besonders sun microsystems mit passender prozessorkarte anstatt so nen sandybridge mit Karl Marx am schwaren Loch... ...weisst ja " Höllenschlund ist der richtige ausdruck, Mister Pie, Sir " sprach es auf der C&A Kinderabteilung
Großer Tip am Rande: Wenn ihr ein Installationsmedium erstellt habt aus einer ISO, die NACH den xz commits, aber VOR dem Fix erstellt wurde, löscht das, ladet euch eine aktuelle ISO von eurer Distro runter und erstellt euren Linux bootstick neu. Ihr habt sonst im Installationsmedium die XZ Backdoor fest eingebettet drin.
Warum einen ganzen Stick für nur eine einzige Distro ver(sch)wenden? Es gibt doch VENTOY. Einfach das alte ISO löschen und die neue ISO-Datei dort hinkopieren, gut is.
Gutes Video, man sollte aber vielleicht nicht mit "xz -v" das überprüfen, da man damit eventuelle malware mit sich selbst überprüft. (Jemand könnte xz so bearbeiten, dass es immer eine Version vor 5.6.0 ausgibt, obwohl schadcode enthalten ist.) Auch mit "ldd" sollte man vorsichtig sein, da dies das zu überprüfende Programm möglicherweise ausführt. Die Variante über den Paketmanager ist die beste.
Da das ganze open source ist, weiss man inzwischen in welcher Richtung manipuliert wurde, von daher kann man ohne Probleme "xz -V" benutzen. Dann entweder upgraden oder downgraden.
Genauer gesagt wurde seit 2020 nach und nach ein Hintereingang einprogrammiert mit dem man unerwuenschte Software installieren kann, Was genau diese unerwuenschte Software tun wuerde, weiss man nicht, da es noch nicht dazu kam.
@@3TTripleJo, ich mach’ mir auch weniger Sorgen, als würde ich jetzt Windows oder Mac nutzen, da gibts erst Lücken, die keiner kennt bzw. kennen kann. Außerdem habe ich bereits vor paar Tagen auf die 5.6.1-2 aktualisiert. Wer aktualisiert lebt länger, zumindest mit einem Rolling Release.
Nach den ganzen Panik Video die letzten Tage endlich eins mit ordentlichen Praxis-Tipps. Danke Dafür! Könntest du vielleicht auch noch kurz darauf eingehen was das bedeutet/was zu tun ist wenn nun das schadhafte Paket auf dem System gefunden wurde?
Bedeutet nichts. Die Lücke gab es noch nicht lange genug, dass sie hätte ausgenutzt werden können, und die Lücke erfordert um sie auszunutzen einen ganz bestimmten ssh private key, der nur dem Angreifer bekannt ist. Die Lücke verbreitet sich auch nicht, patcht keine anderen Programme, etc. Also wenn du xz updatest oder downgradest dann ist die Lücke weg und dein System bleibt sicher. Die einzigen Leute die von dieser Lücke tatsächlich betroffen waren sind Leute die 1) einen Server mit SSH haben der aus dem Internet mit ssh erreichbar ist, 2) auf diesem Server ein OS haben, welches diese sehr neue Paketversion ausgeliefert haben 3) und eine OpenSSH Version ausliefern die gepatcht wurde, damit sie gegen XZ linkt (was nicht standard ist) 4) und zudem noch von diesem spezifischen Angreifer explizit ins Ziel genommen wurde. Wenn nur eins dieser 4 Punkte auf dich nicht zutrifft bist du safe. Trotzdem auf jeden Fall updaten und den Anweisungen deiner Distro folgen.
@@insu_naätte man trotzdem dazusagen können in diesem video! was bringt es dir, wenn du nachsehen kannst, ob du betroffen bist, aber dann nicht weißt, was du tun sollst? das ist ungefähr so als würde die feuerwehr zu dir kommen, um nachzusehen, ob es brennt und egal was sie vorfindet, sie geht wieder. zB hatte manjaro STABLE diese version (wurde natürlich sofort gepatcht)
Das kann man nicht so generell sagen, da das hauptsächlich davon abhängig ist um welche Daten und welche Systeme es geht (vom Risiko abhängt). Das solltest du als "System owner" wohl am besten bewerten können und dann selbst entscheiden "wie vertrauensvoll" dein/deine Systeme nach dem Nachweis bzw Auffinden eines Indicator of Compromise (IoC) noch für dich und oder deine User/Kunden ist. Wenn du z.b. auf dem System eine namhafte Linux Distro welche sich im status "stable" oder "long term support" befindet hast und diese von dir gepflegt ist (auf dem neuesten Stand gehalten wird), ist die chance dass du von der Hintertüre betroffen ist/warst gering. Solltest du aber einer derer sein, welche gerne immer das neueste haben müssen (bleeding edge bzw rolling release) wie es wohl bei Gentoo, Kali, Fedora und OpenSuSE zum Teil der Fall scheint, dann kann man annehmen das dein System zumindest kurzfristig mit einer Hintertür ausgestattet war. Ist in dieser Zeit jemand in dein System eingedrungen ? Keine Ahnung. Aber im Zweifelsfall würde ich mal davon ausgehen das es so ist, meine Daten vom System "retten", das System vernichten und von einem neuen/frischen "stable" bzw "lts" Distro frisch installieren, nur um sicher zu sein. Je kritischer die Daten oder das System ist selbst das nicht ausreichend um wieder einen "sicheren Status" zu erreichen. Behörden oder SIcherheitsdienste z.b. würden in so einem Fall womöglich sogar ihre ganze Hardware austauschen, da diese nach einem vermuteten Einbruch auf sehr tiefer Ebene (Firmware Ebene) befallen sein könnte und somit selbst Neuinstallationen von an sich sicheren Linux Distros unterwandern können. Man sieht hier, die "was soll man tun" Spanne ist sehr groß und abhängig vom jeweiligen Szenario und Risiko.
hm, Du testes, ob ein Programm komprimitiert ist, indem Du eine Funktion eben dieses Programms aufrufst? Das ist natürlich ein schematischer Fehler. xz könnte Dir ja einfach die falsche Version anzeigen, oder mach ich jetzt einen Gedankenfehler??? Ich denke, der Test mit 'apt-cache show xz-utils' ist der bessere Weg.
Theoretisch stimmt das natürlich, aber es fällt schon irgendwann auf wenn ein Programm ne falsche Versionsnummer angibt. Und in diesem Fall ist für diese Backdoor nicht bekannt, dass die Versionsnummer manipuliert wurde
Nein, ist kein schematischer Fehler. Da bekannt ist, wie die Schadware bei diesem Programm arbeitet und damit bekannt ist, dass die Schadware die Versionsnummer nicht verschleiert, kann die hier gezeigte Methode problemlos angewendet werden. Es wird NICHT im Video behauptet, dass die gleiche Methode für alle kommenden Lücken der Zukunft ebenfalls angewendet werden kann. Es wird auch nicht behauptet, dass diese Methode für alle vergangenen Schadware-Probleme genutzt werden soll.
@@SemperVideo das problem ist doch, daß der KOTH doch im umlauf und von jedem einsehbar ist - also kann jederzeit wieder auftauchen und ewigkeiten dauern bis das auch mal wieder ausgerechnet vom BSE-Amt für auswärtig innere Kohlgören dann raus gegeben wird. Wir wissen ja was da beim BND für ein Krüppelkitazeugs ausgespuckt wird, und bis das immer geschieht wurde schon lange spioniert mal wieder achtung neue parteigründungen, weil _" franzose im amt versteckt sich mal wieder hinter nationalismen "_
Ich glaube du hast es vorher richtig erklärt aber dann ab die Arch Version xz-utils geprüft im Video an Minute 6:10? Wenn ich es richtig sehe, hattest du aber von einem Unterbau auf Deb Basis getestet. Macht dem Inhalt keinen Abbruch! Vielen Dank! Die Deb Basis zeigt aber eines: Hier (nicht überall;)) waren nur die testing bzw. unstable Versionen betroffen. In diesem Fall (hier und nicht überall;)) ein kleiner Vorteil gegenüber schnell verteilten Versionen von Arch AUR. Das mit Kali ist halt echt spannend. Aber insgesamt halt wirklich ein krasser Vorgang, sich in der Community das Vertrauen zu erschleichen. Ethik brauch eine Rennaissance!
Soweit ich weiß war die Version großteils noch gar nicht draußen. Ansonsten wird es sicher Updates geben. Bis dahin ist man halt möglicherweise betroffen, v.a. wenn man nicht auf stable releases ist.
Arch hat ein Update parat, die meisten anderen Distros sollten ohnehin hinterher hängen. Selbst Tumbleweed auf meinem Notebook is noch bei Version 5.4.
Ich bin auf allen Rechnern exakt so weit entfernt wie du ... 🙂Also Mint, obacht !!! Ich habe Windows gerade erst hinter mir gelassen und fordere nun die Linuxgemeinde auf, das offenbar angestrebte Cyber Polygon Event zu bedenken und auf sicher sichere Pakete abzustellen ! Ohne viel Linuxwissen zu besitzen, habe ich einige ( meiner Logik folgend ) sichere Distri Versionen auf Sticks gebraten und teilweise bereits auf Festplatten konfiguriert und die Rechner zur Seite gestellt .
Nur mal so am Rande: XZ muss NICHT auf dem eigenen Linux System als "Paket" oder "library" installiert sein, damit die Backdoor ausgenutzt werden kann. Es ist ja auch möglich das ein Softwareentwickler oder Distributor seine eigene Software (nennen wir sie mal sshd) so "gebaut" hat, dass die (kompromitierte) xz Library dort gleich fest mit eingebaut wurde (staticly linked). Es reicht also nicht nur nach "installierten Paketen xz*" zu suchen. Man muss schon auch alle anderen Pakete prüfen ob diese Libraries von dritten "eingebettet" haben (was zu 100% der Fall ist) und ob all diese nicht manipuliert sind. Viel Spass dabei!
Nach der jetzigen Beschreibung ist es ein Zusammenspiel mit ssh, aber vielleicht gibt es auch andere Angriffsmöglichkeiten. Für mich ist die Frage, wie weit Systeme schon betroffen sind die wie Gentoo arbeiten.
Man darf auch darüber nachdenken, wer wohl mit der CVE-2024-3094 Chain-Attack auf eigenen Systemen zu tun hatte: Alle, die vorsätzlich mit Beta-Software arbeiten. Das dürften die (hoffentlich) besten Kräfte bei Debian und Red Hat sein und *nicht* zufällig war ein Senior Engineer von Microsoft der Entdecker, der Benchmarking an seiner Steckenpferd-Datenbank betrieb. Und durch (dumme?) *Programmierfehler* (!) im Beta liblzma auf den Angriff aufmerksam wurde.
Die Lücke an sich (und v.a. der Vorlauf) ist schon recht "heavy". Wenn man bedenkt, dass hier ein Entwickler so lange unter Druck gesetzt worden ist, bis er das Projekt mehr oder weniger an den/die Angreifer übergeben hat. Hier kommt irgendwie die Stärke und vielleicht auch Schwäche von OSS zum Vorschein. Einerseits können alle mit entwickeln (und auch böses anstellen) und andererseits sieht man, aufgrund von OSS, dass hier etwas nicht stimmt und kann darauf reagieren. (wenn man Entwickler ist und den Code lesen kann).
Ja, aber ich habe die Geschichte so gehört, das der MS Datenbank Experte dies eher nur aus Zufall gefunden hat, weil die Software eine (Backdoor/Trojaner-) suspekte Verhaltensweise an den Tag legte. Alle anderen Experten ist es auch nicht vorher aufgefalen.
Die Backdoor und die Art und Weise beunruhigt mich leicht, auch wenn es früh bemerkt wurde, aber wie es bemerkt wurde, besorgt mich glatt noch mehr. Drei Jahre Vorlauf ist mächtig...
Kann man nur ahnen wo sonst schon überall unentdeckte backdoors drinnen sind 😮 Alleine der Umfang von dem Angriff hier und die möglichen Auswirkungen sind ein Wahnsinn...
Deshalb sollte man sich immer klar sein, was es bedeutet persönliche Daten auf Server / Clouds abzulagen. Als Admin von eigenen Server gilt eben immer: es gibt keine 100% Sicherheit, auch wenn manche kommerzielles Tools es verkaufen wollen (Antimalware etc.), somit braucht es eine gute Backupstrategie abhängig davon, was man macht oder anbietet, um den Server schnell wieder aufsetzen zu können. Dazu gilt: regelmäßig das Serververhalten in Blick haben (z.B. akuter erhöhter Speicherbedarf oder CPU; oder merkwürdige Logs). Auch kann man den Adminzugriff auf Server z.B. ssh auf "sichere" IPs beschränken; auch in Wordpres oder Plesk ist es möglich. Damit man von überall diese IP hat, kann man ein VPN mit fester IP nutzen. Weshalb es zwar schön ist, selbst einen Server aufzusetzen und zu managen, doch muss man diesem Aufwand auch gerecht werden z.B. reicht für eine kleine Webseite nicht doch ein Webhosting-Paket?
@@cristiabc1310 Wenn ein Rechner länger braucht, dann schaue ich zunächst auf die SMART-Werte der Festplatte, Stichwort fehlerhafte Sektoren. Bei SSDs klappt das leider nicht so gut. Hatte in der Werkstatt von Kunden schon einige SSDs, die laut Crystal Diskinfo angeblich OK waren, aber trotzdem eine Macke hatten. Lässt sich am einfachsten verifizieren, indem man den Inhalt auf eine neue SSD klont und dann die Arbeitsgeschwindigkeit vergleicht.
@@cristiabc1310Das ist zwar im Prinzip richtig, jedoch wer hat schon die Zeit und das extreme Fachwissen, den ganzen Linux Code, "mal eben" durchzusehen? Wer sagt uns denn, das es die einzige Backdoor ist? Ich weiss es auch nicht.
Bei Fragen wenden Sie sich an ihren Rechtsanwalt oder Apotheker. Aber mal im ernst. Glauben Sie ein krimineller und/oder Geheimdienstmitarbeiter interessiert sich dafür, ob sein "infiltrations Versuch" irgendwo auf der Welt "illegal" ist ?
Danke für die unaufgeregten Infos inkl. dem "how-to". In diesem Fall ist (mein) ZORIN OS 17.1 mit v5.2.5 glücklicherweise "hintendran". Als nicht so Versierter frage ich mich - und eher Euch, die Community -, ob es sinnvoll ist, die Aktualisierung dieses Pakets bis auf Weiteres zu unterbinden. Das soll wohl geschehen mit: apt-mark hold xz-utils 🤔
Also eigentlich müsste man wohl alle Versionen der letzten Zeit kritisch hinterfragen und als verbrannt betrachten. Es könnte ja noch andere Zusatzfunktionen in xz-utils eingebaut worden sein, die bisher nicht aufgefallen sind. (Man könnte ja zB die Crypto für die Archive künstlich schwächen) Auch gibt es meistens einen Grund für neue Versionen, wie Sicherheitsupdates...
@@kyoudaiken okay, war auch eher ein Beispiel als wissen, daher auch "man könnte zB" Wir sind uns aber einig, dass man verschiedene Angriffe im Tool versteckt haben könnte?
...habs mal spaßeshalber auf meiner Synology NAS (auf der am Ende ja auch ein modifiziertes Linux läuft) getestet. Aber da gabs im genannten Zeitraum zumindest für mein System auch keine Updates.
Auch an dieser Stelle aufrechtigen Dank an Semper Video für die Info über d i e s e Sicherheitslücke, bzw. Backdoor. Die UEFI Sicherheitslücke ist ja schon etwas älter. Glaubt da noch jemand an Zufälle? Und die Überprüfung der Software hat gerade nicht funktioniert, wenn ein MS Datenbankexperte dieses seltsames Softwareverhalten eher durch Zufall gefunden hat! Auch hier die Frage, w o war der CCC?
Eines verstehe ich nicht: am Anfang ist hauptsächlich die Rede von Ubuntu, aber in dem Bild mit dem Ausschnitt des Dokuments vom BSI, steht unten, dass Ubuntu nicht betroffen ist.
Ich habe gestern den Befehl "sudo umount -all" verwendet, weil ich nicht alle Netzlaufwerke einzeln abmelden wollte... Was da wieder los war, ich hab meinen eigenen Rechner nicht wiedererkannt.
Angreifer heißt Jia Tan bedeutet ..“füge hinzu“ bzw „strukturiert“ ..auf Chinesisch.. fragt sich nur ob es aus China kommt bzw. Jemand es so aussehen lassen will.. ein Schelm?
ich nutze noch ubuntu 20.04 lts daher bin ich erst mal raus mein server hingegen lauft auf ubuntu server da bin ich mir persönlich nicht sicher aber denke da ist auch nichts passiert da er nicht updated es sei denn ich will es. in der vergangenheit haben sich updates immer als problematisch rausgestellt daher kein autoupdate downtime risiko beim update ist zu groß
Witzigerweise hab ich mich nach langer Zeit dazu entschlossen Linux zu testen habe das neuste Endevour installiert und lese jetzt sowas :D:D bei mir ist xz 5.6.1-3 drauf installiert, muss ich jetzt irgendwie handeln oder beachten. habe das system eben neu auf den rechner gespielt und durch das startmenu nach updates gesucht
Manjaro hat 5.6.0 ... na super. Paket hat sich wegen Abhängigkeiten von Manjaro nicht deinstallieren lassen, habe mir mit pamac alle Dateien anzeigen lassen, die das Programm installiert und in eine Datei "a" geschreiben und dann sudo rm -rf $(cat a) ausgeführt. Hoffe das ist genug. openssh ist zwar leider installiert, aber ich habe ufw aktiv (Plus Firewall vom Router). Einen aktiven Systemd Service bezüglich ssh habe ich nicht finden können, Ich denke ich muss mir keine Gedanken mehr machen, oder?
Ja endeavouros hat bei mir 5.6.1 drauf, aber ehrlich gesagt weiß ich nicht so ganz was ich damit jetzt anfangen kann Also ich meine jetzt bis ein neues Update da ist
@@quimicos_comunistas Also bei Arch (und deren Ableger) ist Version 5.6.0-1 und 5.6.1-1 betroffen. Wenn 5.6.1-3 drauf ist, ist alles gut. Die Lücke ist mit Arch nicht ausnutzbar, auch wenn die Betroffene Version installiert ist.
Recht perfider Plan der aber nicht aufgegangen ist..man sollte alle kritischen Systemkomponenten von Dritte oder Auditoren als Lektion demnächst prüfen lassen. Alles was Zugriffe erlaubt, wäre ein Anfang..
Man muss auch anmerken, dass der xz Code NICHT sicherheitsüberprüft wurde. Der einzige Grund warum das rausgekommen ist ist: Zufall. Das hat nix mit Open Source zu tun
wie hätte der entdecker den schadhaften code finden können, wenn es nicht open source gewesen wäre? das verhalten hätte er vielleicht bemerkt, aber ohne OS wäre er nicht auf die ursache gekommen
Mit potentiell kompromittierten Software überprüfen, ob besagte Software kompromittiert ist - genau mein Humor. Benutzt lieber euren Paketmanager, um zu überprüfen, welche Version von xz installiert ist.
@@muadrico Der Paketmanager hat eine eigene Datenbank, in der gespeichert ist, welche Version eines Paketes installiert ist. Nicht jedes Paket hat einen Befehl, um die eigene Version anzuzeigen.
@@spoilerkiller Schon, klar... aber weiß er, welche Daten er wirklich eingepackt hat. Letztendlich müssen die auch irgendwann aus dem github geholt worden sein. 😉
