Eine Analyse der xz-Hintertür, Teil 1

Die xz-Hintertür war einer der spektakulärsten Versuche, ein sicherheitskritisches Open-Source-Projekt zu unterwandern. Eine Analyse des Angriffs.

Artikel verschenken

(Bild: Thorsten Hübner)

12.07.2024, 09:30 Uhr

Lesezeit: 11 Min.

c't Magazin

Von

Sylvester Tremmel

Eine Analyse der xz-Hintertür, Teil 1
- xz Utils
Build-System unterwandert

Artikel in c't 16/2024 lesen

Ende März 2024 entdeckte der Softwareentwickler Andres Freund eine Hintertür im Projekt "xz Utils". Schnell wurde klar, dass die Hintertür von sehr langer Hand geplant worden war und sich bereits in ersten Software-Repositories wiederfand. Beinahe hätte dem Angreifer ein großer Teil aller Linux-Server offen gestanden.

In dieser Artikelserie geht es – nun, da die andauernden Analysen etwas zur Ruhe gekommen sind – um die immense technische Finesse der Hintertür. Dabei lernt man auch, welche weit verbreiteten Mängel Softwareprojekte angreifbar machen.

Um den Überblick zu bewahren, hilft es, sich gleich zu Anfang das letztliche Ziel des Angreifers vor Augen zu führen, soweit es bekannt ist: Er oder sie wollte Schadcode in OpenSSH platzieren, um die Kontrolle über Rechner zu erlangen, die über das Protokoll SSH (Secure Shell) erreichbar sind. Der Angreifer investierte jahrelange Planung und Arbeit, um sich das Vertrauen von Projektverantwortlichen zu erschleichen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Aus alt mach neu: Streaming-Lautsprecher aus Boxen der 80er-Jahre basteln

Aus alten, arbeitslosen Lautsprechern werden mit einem RasPi, einer Verstärkerplatine und Zubehör mit ein wenig handwerklichem Einsatz Streaming-Boxen.

Windows on ARM: Zehn Notebooks mit Copilot+ und Snapdragon X im Vergleichstest

Die ersten Windows-Notebooks, die Microsofts KI-Vision hinsichtlich Copilot+ entsprechen, drücken in den Markt. Wir haben die Geräte ausführlich getestet.

Kabelloser Mähroboter Mammotion Luba 2 AWD im Test

Mit Allradantrieb und Abstandssensorik ist der Luba 2 für die Graserei auf unwegsamem, verwinkeltem Gelände getunt. Wir haben ihn genau unter die Lupe genommen.

openDesk: Hat die staatliche Microsoft-Alternative eine Chance?

Die Bundesregierung finanziert eine Open-Source-Office-Suite, um den Staat aus der Abhängigkeit von Microsoft zu befreien. Doch das Projekt ist gefährdet.

Apple Vision Pro versus Quest 3: Duell zum Deutschlandstart

Die Apple Vision Pro soll die Quest 3 in Deutschland ausstechen, doch diese hat viel dazugelernt. Ein Vergleich der Vor- und Nachteile in Mixed Reality.

VanMoof S5 im Test: Smartes E-Bike mit Hollandrad-Feeling

Das VanMoof S5 tritt als entspanntes E-Bike mit starkem Motor und gemütlichem Fahrgefühl an. Wir haben die überarbeitete Version des Cruisers getestet.

Fahrrad zum E-Bike aufrüsten

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}