Eine Analyse der xz-Hintertür, Teil 1
Die xz-Hintertür war einer der spektakulärsten Versuche, ein sicherheitskritisches Open-Source-Projekt zu unterwandern. Eine Analyse des Angriffs.
(Bild: Thorsten Hübner)
Ende März 2024 entdeckte der Softwareentwickler Andres Freund eine Hintertür im Projekt "xz Utils". Schnell wurde klar, dass die Hintertür von sehr langer Hand geplant worden war und sich bereits in ersten Software-Repositories wiederfand. Beinahe hätte dem Angreifer ein großer Teil aller Linux-Server offen gestanden.
In dieser Artikelserie geht es – nun, da die andauernden Analysen etwas zur Ruhe gekommen sind – um die immense technische Finesse der Hintertür. Dabei lernt man auch, welche weit verbreiteten Mängel Softwareprojekte angreifbar machen.
Um den Überblick zu bewahren, hilft es, sich gleich zu Anfang das letztliche Ziel des Angreifers vor Augen zu führen, soweit es bekannt ist: Er oder sie wollte Schadcode in OpenSSH platzieren, um die Kontrolle über Rechner zu erlangen, die über das Protokoll SSH (Secure Shell) erreichbar sind. Der Angreifer investierte jahrelange Planung und Arbeit, um sich das Vertrauen von Projektverantwortlichen zu erschleichen.
Das war die Leseprobe unseres heise-Plus-Artikels "Eine Analyse der xz-Hintertür, Teil 1". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.Immer mehr Wissen. Das digitale Abo für IT und Technik.
iPhone 16e im Test
Eigene Streamingplattform: Automatisierte Piraterie auf Heimservern
Schleswig-Holsteins mutiger Umstieg auf LibreOffice & Co. – ein Interview
Nach Upgrade auf Windows 11 teilweise keine Sicherheitsupdates erhältlich
Wie Behörden und ihre Auftragnehmer Open-Source-Software ausbeuten