Marcel Waldvogel

@ph0lk3r und @jrt haben die Entstehung der #xz-Backdoor nochmals mit dem nötigen Abstand beleuchtet und ziehen einige Lehren daraus.

Insbesondere empfehlen sie die möglichst durchgängige Verwendung von signierten #git-Commits, ein Punkt der bei mir ⬆️⬆️⬆️ fehlte.

Ich setze die auch an einigen Stellen durchgängig ein, aber bisher nur an Stellen, wo keine Rebases oder Squashes nötig sind. Ich vermute, die verlieren die Signaturen, beim Rebase auch, wenn man es selbst macht?
https://research.hisolutions.com/2024/04/xz-backdoor-eine-aufarbeitung/

xz-Backdoor - eine Aufarbeitung

Die kürzlich aufgedeckte Backdoor in der Open Source-Software xz ließ uns nicht mehr los. Die Thematik ist komplex und hat Implikationen für die Art, wie wir mit Open Source-Software in Zukunft umgehen sollten. Dieser Artikel stellt das Ergebnis unserer Recherchen und Überlegungen dar.

HiSolutions Research
Apr 14, 2024 at 8:54amWeb
Show threadMarcel WaldvogelMay 14, 2024

Was wissen wir eigentlich über «Jia Tan»? Ich habe mich mal auf eine Spurensuche begeben. Und dabei herausgefunden, dass man mit der Sicherheitslücke wohl mehrere Milliarden hätte verdienen können.

Ich nehme euch gerne mit auf diese Reise und die Schlussfolgerungen, die sich daraus ergeben.
#JiaTan #xz #Backdoor #xzBackdoor #DNIP
https://dnip.ch/2024/05/14/spurensuche-jia-tan-xz/

Wer ist «Jia Tan»? Eine Spurensuche zur xz-Backdoor - Das Netz ist politisch

Über ein Monat ist vergangen und wir wissen immer noch nicht viel über die Hintergründe und Hintermänner der xz-Backdoor. Dies, obwohl die Lücke im besten

Das Netz ist politisch
Show threadAxel 🚴😷🐧🐪⌨ | #WeAreNatenomMay 14, 2024

@marcel: Was sagst Du so zu dieser Behauptung hier, dass angeblich der Sohn eines ranghohen, chinesischen Regierungsbeamten dahinter stecke? https://thenightly.com.au/world/chinese-government-officials-son-gloats-about-multi-year-hack-on-australian-intelligence-agencies-c-14617200 (via https://fosstodon.org/@bmitch/112429342124925678)

Irgendwie wirkt schon so ein bisschen, als ob da evtl. jemand die Gelegenheit genutzt hat, dass sich bisher keiner dazu bekannt hat. Der Artikel hat aber auch auffällig wenig Details, was für Chatprotokolle das gewesen sein sollen und wie man dran gekommen ist.

Chinese Government official’s son gloats about multi-year hack targeting Australian Intelligence agencies

A Chinese citizen understood to be the son of a senior Chinese Government official has claimed to be the architect of a multi-year infiltration operation that infected software used by Australia’s agencies. 

The Nightly
Show threadJRTApr 14, 2024

@marcel @ph0lk3r signiert Commits sind schön, bringen aber primär was bei der Aufarbeitung und gegen den Identitätsdiebstahl.

Das Kernproblem (insbesondere in diesem Fall) ist ein soziales und da gibt es wenig bis keine technischen Lösungen für. Da müssen wir Firmen mehr in ihre gesellschaftliche Verantwortung nehmen und mit staatlichen (bzw. gesamtgesellschaftlichen Projekten) wie zum Beispiel dem Sovereign Tech Fund gegensteuern.