Wie dieser Deutsche das Internet gerettet hat

Simplicissimus

4 Sept 202420:31

Summary

TLDRThe video script narrates a tale of cybersecurity, where a hidden backdoor in the widely-used open-source software 'xz utils' is discovered by a vigilant developer. This backdoor, potentially allowing unauthorized access to millions of servers globally, was skillfully inserted by a mysterious figure 'jiaatan'. The story unfolds as it details the race against time to neutralize the threat, the heroism of the developer who identified the issue, and the broader implications for open-source software's security and reliance in our digital infrastructure.

Takeaways

🔍 A standard software test revealed unusual processor usage, which turned out to be a sophisticated backdoor, indicating a security breach.
😲 The backdoor was likely prepared over years by state-sponsored actors aiming to gain access to millions of servers globally, including critical systems in hospitals, corporations, and governments.
💻 Open Source Software (OSS) like Linux and its utilities are developed collaboratively but maintained by responsible individuals known as 'maintainers' who have the final say on code changes.
👨‍💻 Lasse Collin, a maintainer of the Linux tool 'xz-utils', faced criticism for being slow to respond to developer contributions, leading to calls for a new maintainer.
🆕 Jia Tan, a newcomer, started contributing to 'xz-utils' and eventually became a co-maintainer, taking on more responsibilities over time.
🚨 A user named Hans Jansen submitted a change to 'xz-utils', which was accepted by Tan, unknowingly introducing a backdoor into the software.
🔑 The backdoor was expertly hidden and only exposed itself through a slight delay in SSH, which was noticed by a vigilant developer using the software.
🆘 The discovery of the backdoor led to urgent security warnings, and a rapid response from the Debian project and other Linux distributions to patch the vulnerability.
🌐 The potential impact of the backdoor was massive, as it could have given attackers unauthorized SSH access to countless systems, affecting the entire internet infrastructure.
🔎 The attack is suspected to be the work of a state-sponsored group, possibly APT29, known for their sophisticated hacking operations, rather than the act of a single individual.
🌐 The incident highlights the vulnerabilities of our digital infrastructure, which often relies on OSS maintained by volunteers, and underscores the need for societal and corporate support to secure these critical systems.

Q & A

What did Andrees notice about the processor usage that was not normal?
-Andrees noticed an unusual processor usage that was not a huge problem but was irritating and inexplicable at first glance.
What is the significance of the term 'Backdoor' in the context of the script?
-In the script, 'Backdoor' refers to a hidden, unauthorized access point in software, which in this case was a skillfully concealed vulnerability prepared by hostile, likely state-guided actors to be globally disseminated.
What is the role of 'maintainer' in open-source software projects?
-In open-source software projects, a 'maintainer' has the final control over the code, reviewing and approving changes and updates before they are officially released.
Why were some developers dissatisfied with Lasse Collin's work as a maintainer of 'xz-utils'?
-Some developers were dissatisfied with Lasse Collin's work as a maintainer because they felt he was too slow to respond to their change suggestions and messages.
What was the issue with the 'xz-utils' software that Andrees' friend discovered during testing?
-Andrees' friend discovered that the 'xz-utils' software was causing an unusual high resource consumption in SSH, leading to a significant delay in performance, which was traced back to a hidden backdoor in the software.
How did the discovery of the backdoor in 'xz-utils' potentially affect the security of the internet?
-The discovery of the backdoor could have given attackers unauthorized SSH access to countless systems, potentially impacting critical services, spreading malware, or accessing confidential information, thus posing a severe threat to the security of the internet.
What actions were taken after the backdoor was discovered in 'xz-utils'?
-After the discovery, a fix was quickly developed to neutralize the backdoor, and a security warning was issued by Red Hat and the German BSI, recommending immediate cessation of the affected systems' use.
Why was Andrees' friend celebrated as a hero?
-Andrees' friend was celebrated as a hero for discovering the backdoor in 'xz-utils' and preventing a potentially catastrophic hacker attack that could have compromised millions of computers and servers worldwide.
What is the significance of the term 'Social Engineering' in the context of the attack on 'xz-utils'?
-In the context of the attack on 'xz-utils', 'Social Engineering' refers to the strategic manipulation of people into performing actions that benefit the attacker, such as pressuring maintainers to make way for a new maintainer who could introduce malicious changes.
What are the potential risks associated with relying on open-source software for critical infrastructure?
-The potential risks include the possibility of vulnerabilities being introduced by malicious actors, the reliance on the voluntary contributions of individuals who may become overwhelmed, and the lack of oversight or resources to ensure the security and maintenance of the software.
What measures are being taken to strengthen the security of open-source software as mentioned in the script?
-In Germany, the 'sovereign Tech Fund' was established in 2022 by the Federal Ministry for Economic Affairs and Climate Action to support and strengthen the security of open-source software.

Outlines

00:00

🔍 Discovery of a Stealthy Backdoor

Andrees, a software tester, notices unusual processor usage while running standard tests. This anomaly isn't a significant issue but is bothersome and unexplainable at first. Unbeknownst to him, this is a sophisticated backdoor, a hidden access point prepared over years by likely state-sponsored actors. This backdoor is intended for global distribution, aiming to make millions of servers accessible to hackers, potentially compromising countless systems, including hospitals, businesses, and governments, effectively putting a 'master key' for the internet into criminal hands.

05:01

🌐 Understanding Open Source Software

The script contrasts proprietary software like Microsoft Word, editable only by Microsoft employees, with open-source software, which is publicly viewable and modifiable, akin to Wikipedia. Open-source software thrives on community contributions and is maintained by 'maintainers' who review and approve changes before official release. Colin, a maintainer of the Linux tool 'xz utils', has been managing updates and improvements to the tool since 2005. However, some volunteers are dissatisfied with his slow response to their proposals, leading to a call for a new maintainer. Colin admits to being overwhelmed by the workload due to long-term psychological issues and other factors, hinting at potential changes in maintainership.

10:04

👥 The Emergence of a New Maintainer

Jatan, a new contributor, starts making changes to 'xz utils' and becomes a regular contributor. Engaged and polite, Jatan's work is well-received, including by Colin, who acknowledges Jatan's potential as a maintainer. Over time, Jatan takes on more responsibility, eventually becoming a co-maintainer and taking over more control of the project. This includes managing security notifications and updates, which are critical for the integrity of the software and the systems that rely on it.

15:05

🚨 Detection of a Dangerous Vulnerability

Andrees' friend, a Microsoft developer and open-source project contributor, downloads a test version of a Linux distribution to run tests for his project. He notices unusual resource consumption with SSH, leading to a performance lag. Further investigation reveals a hidden backdoor in 'xz utils' that allows unauthorized SSH access to systems. This backdoor was expertly concealed and went undetected during code reviews. The discovery leads to an urgent security warning and a race to patch the vulnerability before it can be exploited on a massive scale.

20:07

🌐 The Broader Implications and Future Concerns

The backdoor's discovery raises questions about the attack's origin, with suspicions pointing towards a group operating with state-level sophistication. The narrative suggests that Jatan may have been part of a larger operation, possibly involving state-sponsored hackers. The incident underscores the vulnerabilities in our digital infrastructure, particularly with reliance on open-source software maintained by volunteers. It highlights the need for societal and corporate investment in securing this critical infrastructure. The story ends with a call for vigilance and the hope that heroes like Andrees' friend will continue to emerge to safeguard the digital world.

Mindmap

Keywords

💡Backdoor

A backdoor in the context of the video refers to a hidden, unauthorized access point in a computer system or software. It is often installed by malicious actors to gain covert access for nefarious purposes. In the video's narrative, a backdoor was skillfully embedded in 'exet utils', an open-source software, which if exploited, could have given hackers access to millions of servers worldwide. This example illustrates the severe security risks that backdoors pose, especially when they target critical infrastructure.

💡Open Source Software

Open Source Software (OSS) is software whose source code is made available to the public, allowing anyone to view, modify, and enhance the software. The video discusses OSS in relation to 'Linux' and 'exet utils', emphasizing the community-driven nature of development. However, it also highlights the vulnerability of OSS when a maintainer, like 'tan' in the script, introduces a backdoor, underscoring the trust and security issues inherent in OSS when not properly managed.

💡Maintainer

In the context of the video, a maintainer is an individual responsible for managing and overseeing the development of a software project. They have the authority to review and merge code changes, as seen with 'Colin' maintaining 'exet utils'. The video raises concerns about the maintainer's role when 'tan', a new maintainer, is suspected of introducing a backdoor, indicating the significant power and trust placed in maintainers within the open-source community.

💡SSH

SSH, or Secure Shell, is a protocol used for secure remote login from one computer to another. In the video, SSH is crucial as it's the service that the backdoor in 'exet utils' exploited, allowing unauthorized access. The video mentions that the unusual resource consumption and delays in SSH led to the discovery of the backdoor, highlighting SSH's critical role in system security and administration.

💡Debian

Debian is a Linux distribution known for its stability and security, mentioned in the video when discussing the integration of the manipulated 'exet utils' version. The video implies that the Debian project was nearly compromised, illustrating how widely used and trusted distributions can be targeted in sophisticated attacks, and the importance of vigilance in the open-source ecosystem.

💡Social Engineering

Social engineering is the manipulation of people to perform actions or divulge information. The video suggests that 'tan' and possibly others used social engineering to gain trust and gradually assume control over 'exet utils', leading to the insertion of a backdoor. This tactic demonstrates how attackers can exploit human interactions and trust within communities to achieve their goals.

💡Generalschlüssel

The term 'Generalschlüssel' translates to 'master key' in English, referring to a single key that can unlock multiple systems or encryptions. In the video, the backdoor is likened to a master key that could have given hackers access to countless systems, emphasizing the scale and severity of the potential breach.

💡Linux Distribution

A Linux distribution is a specific version of the Linux operating system. The video discusses how the backdoor in 'exet utils' could have affected various Linux distributions, indicating the widespread use and potential impact of such software within the tech ecosystem. The incident underscores the interconnected nature of open-source software and the far-reaching consequences of vulnerabilities within it.

💡Hacker

In the video, hackers are portrayed as the adversaries who likely orchestrated the backdoor insertion in 'exet utils'. The term encompasses a broad range of cybercriminals, from state-sponsored actors to individual malicious entities. The video's narrative highlights the ongoing battle between security researchers and hackers, with the latter attempting to exploit vulnerabilities for illicit gain.

💡Cybersecurity

Cybersecurity in the video pertains to the measures taken to protect computer systems and networks from digital attacks. The discovery and subsequent response to the 'exet utils' backdoor exemplify cybersecurity in action, with developers and experts racing to mitigate the threat. The incident underscores the importance of proactive cybersecurity practices, especially in maintaining the integrity of open-source software.

Highlights

Andrees discovers unusual processor usage that turns out to be a sophisticated backdoor, not a simple bug.

The backdoor was likely prepared by state-sponsored actors over years, aiming for global distribution.

The backdoor threatened to give hackers access to millions of servers, including those of hospitals, companies, and governments.

Open Source Software is compared to Wikipedia, with publicly viewable source code, unlike proprietary software like Microsoft's.

Linus Neumann explains the community-driven nature of Open Source, where anyone can contribute and maintainers have final control.

Linux, developed by volunteers, is the most widespread Open Source operating system and a cornerstone of digital infrastructure.

XZ Utils, a data compression tool, is maintained by Colin, who is facing criticism for slow response times.

Jatan, a new contributor, starts making changes to XZ Utils and is eventually made a co-maintainer.

A user named Hans Jansen submits a change to XZ Utils, which Jatan accepts, unknowingly introducing the backdoor.

Andrees' friend, a Microsoft developer, notices unusual resource usage in SSH, leading to the discovery of the backdoor.

The backdoor was hidden in a test file and only became active after compilation, evading initial scrutiny.

Andrees' friend reports his findings to the Debian Security Team, preventing a massive security breach.

The discovery is made public, and the software community reacts swiftly to mitigate the threat.

The attack's sophistication suggests it was not the work of a single individual but likely state-sponsored hackers.

The incident highlights the vulnerabilities of relying on Open Source software maintained by volunteers.

The need for societal and corporate support for Open Source infrastructure is emphasized to prevent future attacks.

The attack on XZ Utils was meticulously planned and executed, indicating the potential for similar future threats.

Transcripts

00:04

Andrees lässt gerade ein paar standard

00:06

software Tests laufen alles normal doch

00:09

dann fällt ihm etwas auf das hier ist

00:13

keine normale

00:15

Prozessorauslastung kein riesiges

00:16

Problem aber es nervt ihn und er kann es

00:20

sich nicht auf Anhieb

00:22

erklären was andres zu diesem Zeitpunkt

00:25

noch nicht weiß das hier ist kein

00:27

einfacher Bug das hier ist eine Geschick

00:30

versteckte Backdoor eine Hintertür sie

00:33

wurde über Jahre von feindlichen

00:35

wahrscheinlich staatlich gelenkten

00:37

Akteuren vorbereitet nun soll sie global

00:39

verbreitet werden und Millionen von

00:41

Servern für die Hacker zugänglich machen

00:44

dies Systeme unzähliger Krankenhäuser

00:47

Unternehmen Regierungen ein

00:50

Generalschlüssel fürs Internet und alles

00:52

was an ihm hängt in den Händen von

00:55

Verbrechern

01:00

[Musik]

01:01

aber na ja das weiß Andrees halt noch

01:09

[Musik]

01:13

nicht oft gehört Software einem

01:16

Unternehmen Word gehört z.B Microsoft

01:18

und nur Microsoft Mitarbeiter können die

01:20

Software bearbeiten und weiterentwickeln

01:22

dann gibt es aber auch noch Open Source

01:24

Software die funktioniert etwas wie

01:26

Wikipedia der Quellcode ist öffentlich

01:28

einsehbar also gegenüber so einer

01:32

proprietären Welt in der der Quellcode

01:35

nicht einsehbar ist wie bei Microsoft

01:36

oder in weiten Teilen bei Apple ist bei

01:39

Open Source Software so ein bisschen der

01:42

Hintergedanke dass die Software größer

01:44

wird als ich ja also das andere die

01:46

weitermachen dass sie quasi in der

01:47

Community weiterlebt dass ich sie

01:49

irgendwann auch abgeben kann das ist

01:51

lenos Neumann aka

01:56

Hacker und Sprecher des Chaos

01:59

Computerclubs er hat uns geholfen diesen

02:01

Fall zu verstehen im Prinzip kann jeder

02:03

mitwirken und Änderungen vorschlagen so

02:06

sind bereits zahllose Programme

02:08

entstanden die heute zu den

02:09

Grundpfeilern unserer digitalen

02:10

Infrastruktur zählen bei Open Source

02:13

Projekten kann zwar jeder mitmachen aber

02:15

es gibt in der Regel klare

02:16

verantwortliche sogenannte maintainer

02:19

haben die abschließende Kontrolle über

02:20

den Code und prüfen Änderungsvorschläge

02:23

bevor sie offiziell veröffentlicht

02:24

werden so jemand ist lasse Collin er

02:27

arbeitet seit Jahren an dem Linux tool Z

02:30

utils Linux ist das weltweit am

02:32

weitesten verbreitete Open Source

02:34

Betriebssystem es ist ein Paradebeispiel

02:36

wenn man über Open Source spricht es

02:38

wird heute umfassend eingesetzt

02:40

vielleicht nicht direkt von dir aber es

02:42

ist das Betriebssystem der meisten

02:43

Server Großrechner und das einzige

02:46

Betriebssystem auf den Top 500

02:48

Supercomputern XZ ist ein

02:50

datenkomprimierungsformat das in fast

02:52

allen gängigen Linux Distributionen

02:54

enthalten ist eine linuxdribution ist

02:56

ein komplettes betriebssystemspaket das

02:58

alle wichtigen Programme für den

03:00

Computer enthält und auf Linux basiert

03:02

unterschiedliche Distributionen haben

03:04

verschiedene Anwendungszwecke exet utils

03:07

verpackt und komprimiert Daten damit sie

03:09

schneller hin und her geschickt und

03:10

gespeichert werden können es ist

03:12

vergleichbar mit zipdateien die kennt

03:14

ihr vielleicht colin hat das Tool 2005

03:17

entwickelt als maintainer hat er seitdem

03:19

die Kontrolle über alle Änderungen von

03:21

exet utils er schaut sich Korrektur und

03:23

Ergänzungsvorschläge für die Software an

03:25

und gibt dann sein okay oder auch nicht

03:28

wenn etwee Änderungen baut wurden kann

03:30

eine neue Version von Exit utils

03:32

veröffentlicht und dann in die nächsten

03:34

Versionen von Linux Distributionen

03:35

aufgenommen werden doch dieser Prozess

03:38

scheint etwas zu stocken zwei

03:40

Freiwillige Entwickler sind mit Collins

03:42

Arbeit als maintainer nicht zufrieden

03:45

sie finden dass er zu langsam auf ihre

03:46

Änderungsvorschläge und Nachrichten

03:48

reagieren würde der User Dennis

03:51

fragt z.B genervt nach Updates ich habe

03:53

hier vor einer Woche eine Frage gestellt

03:56

und noch keine Antwort erhalten auchig

03:59

geht das alles anscheinend viel zu

04:00

langsam bei deinem derzeitigen Tempo

04:02

bezweifel ich sehr dass

04:05

5.4.0 noch in diesem Jahr erscheinen

04:07

wird der einzige Fortschritt seit April

04:09

waren kleine Änderungen am Testcode er

04:11

fordert sogar einen neuen maintainer es

04:14

wird keine Fortschritte geben solange es

04:16

keinen neuen maintainer gibt Dennis du

04:18

bist besser dran wenn du wartest bis ein

04:20

neuer maintainer kommt Patches hier

04:22

einzureichen hat heutzutage keinen Sinn

04:24

mehr der jetzige maintainer hat das

04:26

Interesse verloren oder kümmert sich

04:27

nicht mehr um die Entwicklung lasse

04:29

Colin scheint mit dem Arbeitsaufwand

04:31

überfordert zu sein seine Arbeit an exit

04:33

utils ist für ihn eigentlich nur ein

04:35

unbezahltes Hobbyprojekt doch en und Kar

04:38

wünschen sich augenscheinlich jemanden

04:39

der mehr Zeit in das Projekt investiert

04:41

und schneller auf Vorschläge reagiert

04:43

auf Kars Nachricht antwortet Colin ich

04:46

habe das Interesse nicht verloren aber

04:48

meine Fähigkeit mich zu kümmern ist

04:50

ziemlich eingeschränkt hauptsächlich

04:52

wegen langfristiger psychischer Probleme

04:54

aber auch wegen einiger anderer Dinge er

04:56

schreibt außerdem letzter Zeit habe ich

04:58

hinter den Kulissen mit jatan in exet S

05:01

gearbeitet und vielleicht wird sie in

05:03

Zukunft eine größere Rolle übernehmen

05:05

wir werden sehen

05:06

jatan taucht erstmals im Januar 2021 auf

05:10

der entwicklerplattform GitHub auf über

05:12

ein Jahr lang leistet sie zunächst

05:14

Beiträge zu anderen Projekten ab 2022

05:18

beginnt sie dann auch Änderungen für

05:19

exit Tils einzureichen von da an wird

05:22

sie zu einer regelmäßigen Mitwirkenden

05:24

TAN ist engagiert und höflich sie

05:27

schreibt nette Nachrichten und

05:28

unterstützt sie nur kann gute Arbeit von

05:31

euch beiden dass ihr das Feature so weit

05:33

gebracht habt wie es jetzt schon ist

05:35

lasst mich wissen was ihr von diesem

05:36

Patches haltet wenn ihr die Gelegenheit

05:38

dazu habt ist es gut genug oder habe ich

05:40

schtimme Fehler eingebaut ich versuche

05:43

nur mein Teil als helferelf beizutragen

05:45

vielleicht ist Colin nach

05:47

und Kar genervten Nachrichten froh

05:49

endlich Unterstützung zu haben jemand

05:52

der ihm Arbeit abnimmt und sich aktiv

05:54

für das Projekt einsetzt Colin schreibt

05:56

dass ein maintainer die Skills die Zeit

05:58

und auch das Interesse brauche um

06:00

wirklich langfristig an der Software

06:02

mitzuwirken all diese Voraussetzungen

06:04

scheint jatan zu erfüllen damals konnte

06:07

Colin kaum ah dass mit ihr etwas nicht

06:14

[Musik]

06:17

stimmt potenziell ist deine aktuelle

06:20

Matratze auch ziemlich sass nur so

06:22

semibequem und durchgelegen viele von

06:25

uns verbringen ihren Alltag vor

06:26

Bildschirmen auch wenn wir vielleicht

06:28

nicht das Internet retten so wichtiger

06:30

ist ein erholsamer Schlaf der Rücken

06:32

nicht verschlimmert Emmer Matratzen sind

06:34

extrem comfi und es gibt je nach

06:35

Belieben verschiedene Härtegrade die

06:37

airgrid Varianten bleiben auch in heißen

06:39

Sommernächten schön kühl oder wenn der

06:41

Rechner mal überhitzt und das

06:43

Schlafzimmer zuur Sauna wird bei Emma

06:45

gibt es bis zum 110 den back to school

06:47

Sale bei dieser Elite airgrid Matratze

06:50

mit hypoallergenem Bezug dieser

06:52

gewichtsdecke und dieser wendbaren

06:53

Matratze könnt ihr bis zu 50% sparen

06:56

auch auf dieses boxpringbed gibt es 40%

06:59

Rabatt scannt jetzt diesen QR-Code oder

07:01

klickt auf den Link in der Beschreibung

07:03

und erhaltet mit dem Code simply weitere

07:05

5% Rabatt oben

07:07

drauf im Juni 2022 wird tan zur

07:12

comaintainerin im Laufe des Jahres

07:14

übernimmt sie immer mehr Kontrolle über

07:16

das Projekt sie nimmt eigenständig

07:18

Änderungen in Ex Tils vor und wechselt

07:21

im März 2023 die kontaktmailadresse bei

07:25

osfas der Dienst hilft bei Open Source

07:27

Projekten Fehler zu identifizieren

07:30

von nun an werden Sicherheitsmeldungen

07:31

nicht mehr an Colin gesendet sondern an

07:34

tan kurz darauf macht ein neuer User

07:37

namens Hans Jansen einen

07:39

Änderungsvorschlag für Ex tan nimmt den

07:42

Vorschlag von Jansen an

07:47

9 Monate später im März 2024 Jansen

07:50

schreibt dem Debian Projekt eine

07:52

Nachricht debian ist ein linuxbasiertes

07:54

Betriebssystem es ist weit verbreitet

07:56

und gilt als stabil und sicher Jen will

07:59

dass das Debian Team die neue Änderung

08:01

von exet utils in einer debianvion

08:04

aufnimmt so soll ein bestimmter Bug

08:06

behoben werden zwei User namens krigoren

08:08

und misoita melden sich ebenfalls und

08:11

freuen sich über den Fix und als ein

08:13

anderer User Bedenken äußert wird er von

08:15

krigorin genervt angemacht anstatt eine

08:18

Grundsatzdebatte darüber zu führen wer

08:20

für diesen Upload zuständig ist kann das

08:23

Problem einfach behoben werden

08:24

schlussendlich integriert das Debian

08:26

Projekt die neue XZ utils Version in

08:29

eine Version Ihres Betriebssystems

08:31

namens sit

08:33

ungefähr zur gleichen Zeit andres Freund

08:35

arbeitet als Entwickler für Microsoft er

08:38

ist außerdem seit langem selbst für ein

08:39

Open Source Projekt aktiv er hat sich

08:41

gerade die neueste sit Version

08:43

heruntergeladen um damit Tests für sein

08:45

Projekt durchzuführen sit ist nur eine

08:48

vorläufige noch als unsicher und

08:49

instabil markierte Version für

08:51

Entwickler sie wird auf Fehler getestet

08:53

und später dann offiziell in das Projekt

08:55

integriert und bei seinen Tests bemerkt

08:58

andres etwas ungewöhnliches irgendetwas

09:01

verbraucht in SSH zu viele Ressourcen

09:04

SSH wird verwendet um Linux Rechner aus

09:07

der Ferne zu steuern dieser krasse

09:10

Ressourcenverbrauch bei SSH ist

09:13

seltsam imm fällt auch ein daraus

09:16

resultierender Leistungsabfall von 500

09:19

Millisekunden auf eine halbe Sekunde

09:21

etwas was keine Sau unter normalen

09:24

Umständen jemals bemerken würde ja und

09:27

auch bis dahin niemand bemerkt hat und

09:28

wschein auch danach niemals je jemand

09:31

bemerkt hätte aber anderes Freund hat

09:33

sich das angeguckt hat gesagt da stimmt

09:34

was nicht er schaut sich SSH an und

09:37

stellt fest dass die Verzögerung mit

09:38

exet tiltils zusammenhängt auf vielen

09:42

Linux Distributionen hat SSH eine

09:44

Abhängigkeit von exet das bedeutet dass

09:46

Teile von exet bei der Ausführung von

09:48

SSH aufgerufen werden also schaut andres

09:51

sich exet utils genauer an und bemerkt

09:54

dass hier jemand einen Code

09:55

eingeschleustt hat der ermöglicht es

09:58

sich via SSH in das jeweilige System

10:00

einzuschleichen eine Hintertür diese

10:03

Hintertür ist so gut versteckt dass sie

10:06

von niemand anderem beim Lesen und

10:08

Testen des Codes entdeckt wurde wenn ich

10:11

jetzt in einem Softwarepaket nach einer

10:14

Schwachstelle suchen würde dann gehe ich

10:17

auf git lad mir den aktuellen Quellcode

10:20

runter und gucke ob da irgendwelcher

10:21

Quatsch drin ist hier ist die

10:23

Schwachstelle aber nicht in dem

10:24

Quellcode den ich bei Github finde

10:27

sondern sie ist in der Testdatei

10:29

versteckt und wird erst wenn man die

10:31

Software kompiliert reingepatcht und das

10:33

ist

10:34

halt wirklich wirklich gut versteckt

10:37

weil überall wo jemand suchen und prüfen

10:40

würde nichts zu sehen ist es ist schon

10:43

wirklich sehr schön muss auch wirklich

10:47

mal sagen so

10:48

Anerkennung doch diese Verschleierung

10:51

lässt den shartcode langsamer arbeiten

10:53

und eben jene Verzögerung beim Starten

10:56

von SSH hat Freund bemerkt am7

10:59

März verschickt er deshalb eine Mail an

11:01

das Debian Security Team mit seinen

11:03

Erkenntnissen zwei Tage später macht er

11:06

seine Entdeckung öffentlich der shadcode

11:08

befindet sich in zwei Versionen von Ex

11:10

utils und Freund hat auch schon einen

11:12

Verdacht g tan sie hat die Hintertür

11:16

kurz zuvor heimlich zu einer Version von

11:18

XZ utils

11:22

hinzugefügt als andres seine

11:24

Erkenntnisse öffentlich macht bricht die

11:26

Hölle los Deuter rettet Millionen

11:28

Rechner vor

11:32

Angriff wir haben wirklich Glück gehabt

11:34

dieser Berliner hat das Internet

11:36

deutcher Entwickler verhindert

11:37

gefährlichen Hackerangriff noch am

11:39

selben Tag veröffentlicht das

11:41

Softwareunternehmen redhead eine

11:42

dringende Sicherheitswarnung auch das

11:44

BSI ruft in Deutschland die IT

11:46

Bedrohungslage Stufe orange aus zum

11:49

Glück war die manipulierte Software noch

11:51

nicht weit verbreitet aber bereits in

11:53

vielen Testversionen großer Linux

11:55

Distribution also ganz kurz vor der

11:57

massenhaften Verbreitung einige

11:59

Betriebssysteme sind aber tatsächlich

12:01

bereits betroffen diesen Usern wird

12:03

empfohlen die Nutzung der Systeme sofort

12:05

einzustellen eine Armee von Entwicklern

12:08

und

12:09

cybersicherheitsexperten setzt sich an

12:11

die Aufarbeitung in nur wenigen Stunden

12:13

wird ein Fix für die Hintertür gebaut um

12:15

sie unschädlich zu machen wäre sie

12:17

tatsächlich in den Code zahlreicher

12:19

Betriebssysteme gelangt hätten die

12:21

Auswirkungen katastrophal sein können

12:23

die Backdoor hätte den Angreifern SSH

12:26

Zugriff gegeben das heißt Sie hätten

12:28

sich aus der F unbefugten Zugang zu

12:30

unzähligigen Systemen verschaffen können

12:33

es wäre der Schlüssel zu Hunderten

12:35

Millionen Computern und unzähligigen

12:37

Servern weltweit gewesen Linux

12:39

Betriebssysteme werden in Schulen

12:41

Universitäten und Krankenhäusern

12:43

verwendet sogar der Bundestag nutzt

12:46

Linux das Internet besteht aus Linux

12:49

Servern bis auf irgendwie ein paar

12:50

versprenkelte fehlgeleitete Microsoft

12:52

Server aber du kannst eigentlich davon

12:54

ausgehen jede Webseite die du siehst ist

12:56

auf irgendein Server der am Ende über

12:58

SSH administ

13:00

jede App die du hast die online sein

13:02

muss spricht am Ende mit irgendeiner API

13:03

die auf dem Server ist der über SSH

13:05

administriert wird alles was bei Amazon

13:07

in der Cloud ist wird am Ende irgendwie

13:09

über SSH administriert also es

13:12

wäre schwer gewesen etwas zu finden was

13:15

von dieser Schwachstelle nicht betroffen

13:17

ist auf einen Schlag wären die Angreifer

13:20

in der Lage gewesen zahlreiche kritische

13:22

Dienste larm zu legen sie hätten Malware

13:25

verbreiten oder vertrauliche

13:26

Informationen stehen können also wenn du

13:29

du dir als bösartiger Hacker etwas

13:32

wünschen würdest wo du eine

13:34

Schwachstelle hast die niemand anders

13:35

kennt dann ist es SSH die mächtigste

13:37

Schwachstelle die du dir vorstellen

13:39

kannst das wäre für weite Teile des

13:43

Internets und weit alle Unternehmen

13:45

überall ungefähr der absolute Supergau

13:48

gewesen was was alle Sicherheitskonzepte

13:51

angeht die sie haben also ich kann mir

13:53

nichts Schlimmeres vorstellen als eine

13:55

Generalschlüssel auf ssh und das ist das

13:58

was hier an rebt wurde man kann es nicht

14:00

anders sagen die Welt hatte ganz ganz

14:03

großes Glück und andre Freund der

14:06

silverback Gorilla of Nerds der final

14:09

boss des Internets das gefunden zu haben

14:12

ist natürlich ja once in a lifetime und

14:16

es halt eine unglaubliche Auszeichnung

14:18

sowas findet man nicht wenn man nicht

14:20

aus einem bestimmten Holz ist der

14:22

Microsoft Entwickler wird gefeiert wie

14:24

ein Held und seine Story zum meme sogar

14:28

Microsoft CEO satja nadella lobt Freund

14:31

für seinen Einsatz alle sind erleichtert

14:33

die Katastrophe ist abgewendet der

14:36

Schock ist

14:37

verdaut aber wer war eigentlich für

14:40

diese Attacke verantwortlich wer steckt

14:42

wirklich hinter

14:44

jiaatan andres Freund glaubt dass das

14:48

nicht die Arbeit einer einzelnen Person

14:50

war er vermutet dass tan Unterstützung

14:52

hatte diese User hier werden verdächtigt

14:55

beteiligt gewesen zu sein es scheint als

14:57

hätten die ersten beiden lasse Colin

14:59

absichtlich unter Druck gesetzt um jatan

15:02

den Weg frei zu machen Jansen krigoren

15:04

und misoita haben dann das Update

15:07

durchgeboxt damit war der Angriff vor

15:09

allem meisterhaftes Social Engineering

15:12

so bezeichnet man allgemein Strategien

15:13

bei denen Menschen so manipuliert werden

15:16

dass sie dem Angreifer in die Hände

15:17

spielen aus Versehen sein Passwort

15:19

irgendwo eingeben eine

15:20

hochsicherheitstür für eine vermeintlich

15:22

schwangere Frau aufhalten solche Sachen

15:24

die mutmaßliche Gruppe hinter jatan ist

15:27

unfassbar raffiniert v gegangen die

15:29

Unterwanderung von exet utils erforderte

15:32

zum einen technisches Geschick aber vor

15:34

allem jede Menge Geduld zur Erinnerung

15:37

jad han hat erstmal ein Jahr rapport bei

15:40

anderen Projekten aufgebaut bevor sie

15:42

überhaupt anfing bei exitutils

15:45

mitzuwirken dann sind noch mal zwei

15:47

Jahre vergangen bevor sie die Hintertür

15:49

eingeschleust hat experten vermuten dass

15:52

das wahrscheinlich die Arbeit von

15:54

staatlichen Hackern war aber von welchem

15:57

Staat

16:00

zur Person jatan findet sich keine Spur

16:03

im Internet auf den ersten Blick wirkt

16:05

jiaon tan Chinesisch auch die Zeitzone

16:08

von jatans Beiträgen würde das

16:10

bestätigen aber es ist gut möglich dass

16:13

damit nur die wahre Identität und der

16:15

Aufenthaltsort der Hacker verschleiert

16:17

werden soll wer über Jahre hinweg einen

16:20

so ausgefallten Plan verfolgt mühsam

16:22

Vertrauen aufbaut und immer mehr

16:24

Kontrolle gewinnt hinterlässt so jemand

16:27

wirklich so offensichtliche Spur

16:29

eine Analyse von jatans Account legt nah

16:32

dass möglicherweise einfach vor jeder

16:34

Aktivität die Zeitzone des ausführenden

16:37

Computers auf utc+ 8 geändert wurde laut

16:40

der Analyse hat jatan an wichtigen

16:42

chinesischen Feiertagen gearbeitet das

16:44

ist seltsam noch seltsamer ist dass der

16:47

Account an Weihnachten und Neujahr

16:49

nichts eingereicht hat in China ganz

16:51

gewöhnliche Tage wenn sie wirklich in

16:54

dieser Zeitzone leben würde hätte sie

16:56

laut der Analyse außerdem immer nachts

16:58

gearbeitet Zeitzonen zu fälschen ist

17:01

nicht schwer die Autoren vermuten dass

17:03

jatan eher in der Zeitzone von Osteuropa

17:07

lebt denn ein paar Mal hat sie wohl

17:09

vergessen ihre Zeitzone zu ändern es

17:11

gibt drei Änderungen mit der Zeitzone

17:14

utc+2 und sechs Comets mit der Zeitzone

17:17

utc+ 3 nimmt man an jatan lebt eher in

17:21

einer dieser Zeitzonen dann hätte sie

17:23

meist grob morgens um 9 Uhr begonnen und

17:25

um 17 Uhr aufgehört das klingt nach ger

17:28

gten Arbeitszeiten experten vermuten

17:31

dass jatans Spuren hierher führen

17:34

könnten nach Russland genauer zu

17:38

apt29 auch cobär genannt die staatliche

17:42

Hackergruppe ist für ihre ausgefallten

17:44

Angriffe bekannt vielleicht kennt ihr

17:46

sie aus unserer letzten Doku der Stil

17:48

des XZ Hacks würde zu Ihnen passen

17:51

beweisen kann man es derzeit allerdings

17:53

noch

17:56

nicht Open Source hat natürlich seine

17:59

Vorteile aber wenn uns der Fall eines

18:01

zeigt dann ist es wohl die

18:02

Verletzlichkeit unserer digitalen

18:04

Infrastruktur wir standen ganz schön

18:07

knapp vor einem absoluten Supergau an

18:09

dieser ganzen Geschichte sehen wir

18:11

wunderschön die Stärken aber auch die

18:13

Schwächen des Open Source Ansatzes nur

18:16

weil es Open Source war konnte anderes

18:18

Freund diese Sachen finden aber nur weil

18:21

es Open Source ist konnte jatan die

18:24

Änderungen vornehmen unsere kritische

18:27

Infrastruktur beruht heute in vielen

18:29

Fällen auf Open Source Software

18:31

Programme die teils allein auf dem

18:32

Engagement von Freiwilligen beruhen

18:35

Menschen die das neben ihrem Job als

18:37

Hobby machen Menschen wie lasse Collin

18:39

denen das Projekt vielleicht auch mal

18:41

über den Kopf wächst ich glaube nicht

18:42

dass jetzt irgendwie sich irgendjemand

18:45

Sorge darum gemacht hat wie es diesen

18:47

Leuten geht und ob sich da genug Leute

18:49

drum kümmern und das ist etwas wovor

18:51

immer gewarnt wurde und wo wir jetzt

18:52

sehen ja das ist auch ein Problem wenn

18:55

wir sichere digitale Systeme erwarten

18:57

müssen wir als Gesellschaft auch die

18:59

richtigen Strukturen dafür schaffen wie

19:01

so etwas gut funktionieren kann zeigt

19:03

ein Beispiel in Deutschland seit 2022

19:06

gibt es den sovereign Tech Fund das ist

19:08

ein Förderprogramm des

19:09

Bundesministeriums für Wirtschaft und

19:11

Klimaschutz um die Sicherheit von Open

19:13

Source Software zu stärken aber laut

19:15

Linus Neumann seinen auch die Konzerne

19:17

in der Pflicht sie verdienen Millionen

19:20

und Milliarden mit den Systemen und

19:22

sollten dem entsprechend auch mehr in

19:23

die Basisinfrastruktur

19:25

stecken der Angriff auf exuttil Z warar

19:29

unfassbar raffiniert und wird sicherlich

19:31

nicht der letzte dieser Art bleiben also

19:33

wenn du dir jetzt die ganze Operation

19:36

anschaust mit Social Engineering

19:38

anfangen eine perfekt versteckte

19:40

Backdoor bauen über Jahre an dieser

19:43

Sache dran sein den die das Vertrauen

19:45

der Community bekommen den Aufwand und

19:49

jetzt kommt irgendwie anderes Freund und

19:51

macht dir alles kaputt ja da wird ja

19:53

irgendwann mal in dieser Operation

19:54

früher jemand drüber nachgedacht haben

19:56

was ist eigentlich wenn ich entdeckt

19:57

werde und deswegen werden die eine

19:59

zweite und eine dritte gleiche Operation

20:01

ebenfalls laufen haben ich bin mir

20:02

absolut sicher dass sie nicht alles nur

20:04

auf ein Pferd gesetzt haben und die

20:06

anderen Pferde auf die sie gesetzt haben

20:08

jetzt zu finden das wird die Aufgabe

20:10

sein wir können nur hoffen dass der Welt

20:12

beim nächsten Mal wieder ein Held wie

20:14

Andrees Freund zur Stelle

20:19

steht

20:27

Cheers y

Ver Más Videos Relacionados

Jak pół sekundy uratowało świat przed zagładą?

malicious javascript injected into 100,000 websites

The FNAF game that KILLS YOU IN REAL LIFE

Why you shouldn't believe the AI extinction lie

The EU's Pursuit of Digital Sovereignty

Contributor License Agreements Ruin Most FOSS Projects

Rate This

★

★

★

★

★

5.0 / 5 (0 votes)

Etiquetas Relacionadas

CybersecurityOpen SourceSoftware VulnerabilityInternet SecurityBackdoor HackLinux SystemsSSH BreachSocial EngineeringDigital InfrastructureHacker Attack

¿Necesitas un resumen en inglés?