Eine Analyse der xz-Hintertür, Teil 1

Die xz-Hintertür war einer der spektakulärsten Versuche, ein sicherheitskritisches Open-Source-Projekt zu unterwandern. Eine Analyse des Angriffs.

Artikel verschenken

3

(Bild: Thorsten Hübner)

12.07.2024, 09:30 Uhr

Lesezeit: 11 Min.

c't Magazin

Von

Sylvester Tremmel

Eine Analyse der xz-Hintertür, Teil 1
- xz Utils
Build-System unterwandert

Artikel in c't 16/2024 lesen

Ende März 2024 entdeckte der Softwareentwickler Andres Freund eine Hintertür im Projekt "xz Utils". Schnell wurde klar, dass die Hintertür von sehr langer Hand geplant worden war und sich bereits in ersten Software-Repositories wiederfand. Beinahe hätte dem Angreifer ein großer Teil aller Linux-Server offen gestanden.

In dieser Artikelserie geht es – nun, da die andauernden Analysen etwas zur Ruhe gekommen sind – um die immense technische Finesse der Hintertür. Dabei lernt man auch, welche weit verbreiteten Mängel Softwareprojekte angreifbar machen.

Um den Überblick zu bewahren, hilft es, sich gleich zu Anfang das letztliche Ziel des Angreifers vor Augen zu führen, soweit es bekannt ist: Er oder sie wollte Schadcode in OpenSSH platzieren, um die Kontrolle über Rechner zu erlangen, die über das Protokoll SSH (Secure Shell) erreichbar sind. Der Angreifer investierte jahrelange Planung und Arbeit, um sich das Vertrauen von Projektverantwortlichen zu erschleichen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Sechs Speicher für Balkonkraftwerke im Test

Ein Balkonkraftwerk spart im Sommer ordentlich Strom. Batteriespeicher hilft dabei, die Überproduktion für später zu sichern, statt sie ins Netz zu verschenken.

NetBox: Datenbasis für die RZ-Automatisierung nutzen

Ob Automatisierung, IT-Security, Disaster Recovery oder Zertifizierung: Nichts geht mehr ohne Datenbasis. Diese liefert der Open-Source-Inventarisierer NetBox.

Erfahrungsbericht: Ein Jahr dynamischer Stromtarif mit Tibber

Dynamische Stromtarife werben damit, dass Strom manchmal günstiger ist. Wir haben es ein Jahr lang ausprobiert, mit Wärmepumpe, ohne Akku und etwas E-Auto.

Mainboards mit B860-Chipsatz für Intel Core Ultra 200S im Test

Mainboards für Intels Arrow-Lake-Prozessoren versprechen moderne Funktionen wie PCI Express 5.0, Thunderbolt 4 und Wi-Fi 7. Wir vergleichen drei LGA1851-Boards.

Für den Mac: Extrabreite Displays im Test

Monitore mit überbreiten Seitenverhältnissen bieten mehr Arbeitsfläche als Apple-Bildschirme. So behält man auch ohne ein Zweitdisplay viele Fenster im Blick.

, KI-generiert mit freepik; bearbeitet von Madlen Grunert, Mac & i

Freeware-Perlen für das iPad

Mit diesen 18 kostenlosen Apps für Apples Tablet sammeln Sie Notizen, bleiben auf dem Laufenden und genießen Medien – ohne In-App-Sperenzien oder Werbung.

Beliebte Bestenlisten

Alle bestenlisten

Top 6: Die beste kabellose Rückfahrkamera zum Nachrüsten im Test

Top 10: Die beste Smartwatch mit EKG im Test – Huawei, Garmin & Co.

Top 10: Der beste Over-Ear-Kopfhörer mit Bluetooth & ANC im Test

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}