Xz, Solarwinds und das kommende Armageddon

Dies ist ein automatisch aus dem Italienischen übersetzter Text. Wenn Sie unsere Arbeit schätzen und sie gerne in Ihrer Sprache lesen, denken Sie über eine Spende nach, damit wir sie weiterhin durchführen und verbessern können.

Die Artikel von Cassandra-Kreuzung Ich bin unter Lizenz CC BY-SA 4.0 | Cassandra-Kreuzung ist eine Spalte, die von erstellt wurde Marco Calamari mit dem „nom de plume“ von Kassandra, geboren 2005.

Sind wir nach der vereitelten Sabotage der Xz-Bibliothek in Sicherheit?

Dieser Artikel wurde geschrieben am 5. April 2024 von Cassandra

Cassandra Crossing 582/ Xz, Solarwinds und das kommende Armageddon

Die Sabotage an der Xz-Bibliothek wurde vereitelt und wieder einmal gewannen die Guten. Aber sind wir sicher, dass Angriffe auf die Software-Lieferkette anderswo nicht erfolgreich waren, ohne dass es jemand bemerkte?

Die Realität zwingt Cassandra dazu erweitern die „End of the World“-Reihe weiter Denn neue, sehr ernstzunehmende Hinweise tauchen auf, dass sich die Waffen für das kommende IT-Armageddon weiter häufen.

Und wieder einmal breiten sich Aufbruchstimmungen, auch von Profis, auf ebenso unerklärliche wie gefährliche Weise aus. Sicherlich nicht aus Dummheit oder Inkompetenz; vielleicht aus dem Wunsch nach einem ruhigen Leben, vielleicht aus ungerechtfertigtem Optimismus,

Doch um ihre These vollständig und verständlich zum Ausdruck zu bringen, ist Cassandra wie üblich gezwungen, das Band zurückzuspulen und ein wenig Hintergrund zu erzählen.

Zum Glück müssen wir nur auf das Jahr 2003 zurückspulen, das Jahr, in dem die Versuchen Sie, eine Hintertür einzuführen sogar im Linux-Kernel.

Ein Administrator von Repositories Einer der offiziellen Quellen stellte fest, dass eine minimale Änderung einer trivialen Kernel-Routine offenbar von niemandem gewünscht wurde. Cassandra behauptet nicht, dass C das Erbe seiner Leser sei, sondern nur um die teuflische Natur der Modifikation zu veranschaulichen: Es handelt sich um die Variation eines einzelnen Zeichens in einer einzelnen Zeile, also von

if ( (options == (__WCLONE|__WALL)) && (current->uid == 0))

Zu

if ( (options == (__WCLONE|__WALL)) && (current->uid = 0))

Das Fehlen des letzten „=“ bedeutete beispielsweise, dass jeder Benutzer, der den Befehl „kill“ mit einem entsprechenden Parameter (einem 16-Bit-Wert) verwendet hatte, zum Root „befördert“ wurde und daher hätte nehmen können die vollständige Kontrolle über den Server.

Die Änderung wurde rückgängig gemacht, die Build-Server-Infrastruktur wurde verschrottet und von Grund auf neu erstellt und die Quelle wurde aus einem Backup neu geladen.

Gut 1, Schlecht 0.

Aber spulen wir zurück ins Jahr 2006, um eine weitere teuflische Veränderung in der OpenSSL-Bibliothek zu entdecken. Zwei einfache kommentierte Zeilen Sie verringerten die Entropie des RNG der Bibliothek drastisch. Der Einfachheit halber sorgten sie auch hier dafür, dass beispielsweise die Anzahl der verschiedenen kryptografischen Schlüssel, die von der Bibliothek generiert werden konnten, von einem praktisch unendlichen Wert auf 32767 stieg. Jeder, der diese Tatsache kannte und die entsprechenden Schlüssel vorberechnet hatte, würde dies tun konnten jeden kryptografischen Algorithmus, der OpenSSL verwendet (also praktisch jeden), mit äußerster Leichtigkeit erzwingen.

Als das Problem entdeckt und umgehend behoben wurde, hörten seine Auswirkungen nicht sofort auf. Tatsächlich dauerte es für den Großteil über zwei Jahre „schwache“ Schlüssel, die im Internet generiert und verbreitet werden, wurden ersetzt, wodurch den Tätern des Verbrechens weitere zwei Jahre Zeit blieben, um von dessen Auswirkungen zu profitieren.

Dieses Ereignis wurde von den damaligen Chronisten so stark wahrgenommen, dass sogar der XKCD-Comic ihm einen Artikel widmetewitziger Cartoon.

Aber machen wir weiter, denn leider gibt es nichts zu lachen.

Es gab diejenigen, die sagten: Gut 2 – Schlecht 0 und Ball in der Mitte.

Über die Berechnung dieser Punktzahl, die den Kern von Cassandras Argumentation darstellt, werden wir am Ende dieser Stellungnahme sprechen.

Schneller Vorlauf bis 2020; Wahrscheinlich bereits im Jahr 2018 greift eine Gruppe von Cyberkriminellen im Auftrag eines Staates das Netzwerk eines Herstellers von Cybersicherheitssoftware an. Nachdem sie in das Netzwerk eingedrungen sind, verändern sie die Server, auf denen die für den Versand an Kunden bestimmte Software kompiliert wird, mit einer Hintertür.

Wir reden hier nicht von irgendeiner Software, Sonnenwinde ist eine hochentwickelte Computersicherheitssoftware, die von den größten Organisationen mit hohen Sicherheitsanforderungen installiert wird, darunter beispielsweise rund zwanzig amerikanische Regierungsbehörden, Rüstungslieferanten, große IT-Unternehmen und Firmengesänge. Ja, sogar in Italien.

L'Automatisches Solarwind-Update Es hatte daher automatisch eine Hintertür installiert, die es sehr einfach machte, die Netzwerke zu hacken, die es nutzten. Auf diese Weise wurden plötzlich Tausende von übergeschützten Netzwerken für Cyberkriminelle geöffnet, die diese über Jahre hinweg nach Belieben missbrauchen konnten. Als der Angriff entdeckt wurde (weil es sich um einen Angriff handelt), bestand das Hauptproblem für die betroffenen Organisationen darin, zu verstehen, ob gegen sie verstoßen wurde oder nicht, denn die Angreifer waren vom gefährlichsten Typ, den Guten, die nicht entdeckt werden und wen man nur sehr schwer finden und vertreiben kann.

Und schließlich erreichen wir das Jahr 2024, heute bzw. vor zwei Wochen, und den Angriff auf die Xz-Bibliothek.

Einem Microsoft-Mitarbeiter, der OpenSSL verwendet hat (ja, sie schon wieder), fällt auf, dass die neue Version im Vergleich zur Vorgängerversion 500 Millisekunden länger benötigt, um bestimmte Vorgänge abzuschließen. Da er in seinem Leben offenbar nichts Besseres zu tun hatte und dieses Problem für wichtig hielt, begann er, die Quellcodes nach der Ursache zu durchsuchen. Zu seinem Erstaunen stellt er fest, dass die neue Version der OpenSSL-Bibliothek eine Binärdatei enthält, die von einer anderen Bibliothek stammt, genauer gesagt von Xz, der Bibliothek, die für die Komprimierung und Dekomprimierung von Dateien zuständig ist; Ja, genau das, mit dem Sie Ihre PDFs komprimieren, ob Sie es wissen oder nicht.

Mit Entsetzen stellt er fest, dass diese Modifikation denjenigen, die über bestimmte kryptografische Schlüssel verfügen, ermöglicht, jedes Programm direkt in den Kernel des Betriebssystems einzuschleusen und auszuführen und so alles möglich zu machen; Von der Übernahme der vollständigen Kontrolle über das System bis hin zur schnellen und vollständigen Zerstörung aller gefährdeten Server.

Eine retrospektive Analyse der Ereignisse ergab, dass zwei Jahre zuvor ein anonymer Entwickler damit begonnen hatte, Änderungen an der Xz-Bibliothek vorzuschlagen, die sinnvoll waren und daher vom Administrator akzeptiert wurden, und dass er dann als Co-Administrator der Bibliothek selbst akzeptiert wurde. Anschließend hatte er langsam das Kompilierungssystem der Bibliothek selbst unterwandert, indem er den Schadcode eingeschleust hatte, der in die OpenSSL-Bibliothek gelangen sollte, und gleichzeitig eine raffinierte Social-Engineering-Aktion gegen diejenigen durchgeführt hatte, die seine Modifikationen auf diese Weise hätten überprüfen können dass diese Kontrollen nicht durchgeführt wurden.

Als sich dann die infizierte Bibliothek auf die ersten Server auszubreiten begann, war eine davon die des gesegneten Microsoft-Mitarbeiters mit viel Freizeit, dem wir nie genug danken können und der ein Denkmal verdient.

Wenn Ihnen diese kurze Zusammenfassung nicht ausreicht, können Sie beim Zuhören viel Spaß haben dieser Podcast in dem zwei Giganten der italienischen Hacker-Szene der 90er Jahre ausführlich und scherzhaft über das Thema diskutieren und dabei auch eine optimistische Meinung für die Zukunft teilen.

Also gut 3 – Schlechte Null und Ball in der Mitte?

Nun, diese Einschätzung begleitete diese schrecklichen Ereignisse, die immer glücklicherweise ans Licht kamen, und bevor sie katastrophale Schäden anrichten konnten. Tatsächlich hat Solarwind zwar sehr erheblichen wirtschaftlichen Schaden und Schäden durch Datendiebstahl und nicht näher bezeichnete Spionageaktivitäten verursacht, aber es hätte die globale IT-Community dazu drängen müssen, gegen diese neue Art von Cyberangriffen vorzugehen.

Also gut 4 – schlecht 0??

Und wir kommen zu den Schlussfolgerungen, die den 24 gut informierten Lesern von Cassandra jetzt wahrscheinlich sehr klar sind.

Bei allen Gottheiten, die jemals von Menschen verehrt wurden, von Astarte bis Zarathustra, einschließlich Manitu, Cthulhu und Yog-Setoth, ist es möglich, dass niemand an alle Angriffe dieser Größenordnung denkt die nie entdeckt wurden? Die, bei denen kein schlafloser Mitarbeiter gestolpert ist und die kein neugieriger Systemadministrator jemals entdeckt hat?

Aber gibt es wirklich Experten, die glauben, dass die Guten weiterhin punkten und die Bösen in ihre Spielfeldhälfte gedrängt werden?

Kann irgendjemand wirklich glauben, dass Nationalstaaten, Waffenhersteller, große und kleine kriminelle Gruppen und Mafias nicht in großen und kleinen Arsenalen diese „Modifikationen“ der Software anhäufen, die die Welt zum Funktionieren bringt, diese Cyberwaffen, die sie manchmal sogar haben? wurden in kleinerem Umfang oder mit begrenzten Konsequenzen getestet oder eingesetzt (sagen Ihnen die Namen SQL Slammer und Stuxnet nichts?).

Cassandra war im Herzen schon immer Andreottianerin, und Niemals mehr als in diesem Fall fühlt er sich verpflichtet, Optimisten aufzufordern, ihre Positionen zu überdenken, und zwar nicht aus einem Vorsorgeprinzip, sondern aus purem und schlichtem Realismus.

Das Armageddon des ersten Cyber-Weltkriegs befindet sich sicherlich, und ich wiederhole ganz sicher, in einem fortgeschrittenen Stadium seiner Verwirklichung. Dann sagen Sie nicht, ich hätte Sie nicht gewarnt.

Marco Calamari

Dieses Tag @treue Alternativen wird verwendet, um diesen Beitrag automatisch an zu senden Feddit und erlauben Sie jedem im Fediversum, dazu Stellung zu nehmen.

Treten Sie Communities bei