Lasse Collin (the developer of xz-utils) has found out how to accept donations without breaking the Finnish money collection law:
https://github.com/tukaani-project/xz/issues/105#issuecomment-2599004098
He has created an account on #LiberaPay with a restriction to not accept donations from Finns or people living in Finland:
https://liberapay.com/Larhzu/
VIDEO: BSidesNYC 2024 - XZ Backdoor: Navigating the Complexities of Supply Chain Attacks Detected by Accident
Yoad Fekete - Myrror Security https://www.youtube.com/watch?v=N4Mxu2hJcwA&list=PLlg8We3ePxcMDrUFNWs7hyx3uJwnhK-_a #BSidesNYC #BsidesNYC2024 #bsidesnyc0x04 #cybersecurity #InfoSec #supplychain #XZbackdoor
Poor tukaani #xzbackdoor https://tukaani.org/xz-backdoor/
I thought the case of the #xzbackdoor would be a really good way to make students aware of the many different dimensions of computing, and the “The Philosophy of the Open Source Pledge” https://vladh.net/the-philosophy-of-the-open-source-pledge/, which I assigned as reading, highlights many of the issues in a concise fashion.
Most students: 😴
I wish this NPR podcast wasn't slanted against 'open source software' (not even mentioning FOSS). It is a very well composed and informative story about the XZ Attack, but it expressly states that open source methods were the vulnerability, implying this production method 'that built the internet' is now ending its beneficial phase. https://www.npr.org/2024/05/17/1197959102/open-source-xz-hack
Reminds me of the news splatter claiming the economic model is all bad. #XZBackdoor #FOSS
XZ backdoor: Hook analysis
#XZBackdoor
https://securelist.com/xz-backdoor-part-3-hooking-ssh/113007/
2 tings I love about the #XZbackdoor discovery story:
1) it was discovered by Andres Freund. Ja. Genau. Was für ein wahrer Freund.
2) Freund found it because he noticed increased CPU load and decided to dig in.
That's all it takes sometimes to prevent a world-wide disaster. A friend digging into detail.
the moment i heard it at #emfcamp --> I just beamed so hard :D but refrained from dumping german dad jokes on my beloved english friends
https://oxide.computer/podcasts/oxide-and-friends/1843393
Which reminds me of recent attacks on public repositories. #CVE-2024-3094 #XZbackdoor https://cve.mitre.org/cgi-bin/cvename.cgi?name=2024-3094
NPR Podcast about the recent XZ backdoor hack that came close to breaking the internet: https://www.npr.org/2024/05/17/1197959102/open-source-xz-hack
#opensource #XZ #XZHack #npr #podcast #podcasts #hack #hacking #CyberSecurityAwareness #CyberSecurity #opsec #supplychainattack #software #linux #unix #debian #RHEL #RedHat #hacker #hackers #PlanetMoney #backdoor #xzbackdoor
Wer ist "Jia Tan"? Eine interessant zu lesende Spurensuche von
@marcel anhand von technischen Indizien zu Zeitzonen, Verhalten, Motive, Aufwand.
Was wissen wir eigentlich über «Jia Tan»? Ich habe mich mal auf eine Spurensuche begeben. Und dabei herausgefunden, dass man mit der Sicherheitslücke wohl mehrere Milliarden hätte verdienen können.
Ich nehme euch gerne mit auf diese Reise und die Schlussfolgerungen, die sich daraus ergeben.
#JiaTan #xz #Backdoor #xzBackdoor #DNIP
https://dnip.ch/2024/05/14/spurensuche-jia-tan-xz/
@anneroth Mal davon ab dass ich dem #BND das technisch gar nicht wirklich zutraue. Wollen wir einen Geheimdienst der etwas die #xzbackdoor baut? Wohl kaum!
Thoughts 💭 on how we are all to blame for recent security issues in the major open-source projects, and what we can do to change that.
https://bartosz.blog/articles/why-do-we-even-bother-with-the-open-source
#opensource #donations #xz #xzBackdoor #curl #software #softwaredevelopment #developerresponsibility #softwareethics
BTW, if someone is thinking backdoors only exist in the #OpenSource software then this is not true. Finding such backdoors in Open Source software is easy because it is being reviewed by lots of researchers and programmers. Every PR is available for the world to see and verify. The closed source software could take years to find backdoors.
Thanks to an extra set of eyes we narrowly avoid the XZ backdoor spreading across the globe. 🪲🚪🌍
Open source publishing is the most secure way to distribute code - That's why our client-side code is released transparently! ❤️🔐
Read more here: https://tuta.com/blog/xz-linux-backdoor
Diesen Donnerstag (2024-04-25) findet das nächste @engkiosk Meetup Alps in Innsbruck statt.
https://engineeringkiosk.dev/meetup/alps/
Unter anderem mit einem Vortrag zu #xzbackdoor von @rw.
Elaastic on CVE-2024-3094 🔗 https://discuss.elastic.co/t/elastic-security-statement-for-cve-2024-3094-xz-versions-5-6-0-and-5-6-1/357894
On March 29th, 2024, Elastic became aware of the malicious code planted in the xz package. Elastic has performed an investigation to identify any Elastic Products which may be impacted by this issue and we have concluded that no Elastic products use the versions of xz affected by this vulnerability. Therefore, Elastic Products are not affected by this issue.
Nach XZ-Backdoor: Open-Source-Software als Risiko oder strategischer Vorteil? | heise online
https://heise.de/-9692061 #xzUtils #xzBackdoor #OpenSource
Bereits in der Standardisierung wendet China diese Strategie seit über 10 Jahren an. Durch eine schiere Masse von Personen, die in die Gremien geworfen werden und die dann die Bildung von immer mehr Untergliederungen und Untergruppen vorantreiben, übernehmen sie in dem Moment die alleinige Steuerung, wo westliche Länder nicht mehr die Ressourcen haben, all diese Gremien zu besetzen. Im OpenSource-Bereich kann eine ähnliche Strategie genauso zum Erfolg führen und niemand kann sagen, ob sie nicht in einem oder mehreren anderen Fällen bereits erfolgreich gewesen ist. Die Kontrolle des Quellcodes funktioniert nur so lange, wie ausreichende Ressourcen für eine ausführliche und gewissenhafte Kontrolle vorhanden sind. Hinzu kommt, dass niemand die Verantwortung für Quellcode und dessen Kontrolle übernimmt. Fahrlässigkeit und Fehlverhalten haben keine wirtschaftlichen und juristischen Konsequenzen für einen Community-Entwickler. Keine öffentliche Verwaltung würde jedoch eine Software beschaffen, für die nicht die Funktionsfähigkeit garantiert und gehaftet wird.
There are similar attempts to compromise code as with #xz. This time with #Javascript. Who is not surprised?
The assumption here is that there are similarities in the approach. Such similarities do not necessarily indicate such malicious code, as with the #xzbackdoor, but caution is not wrong.
Paranoia should not be allowed to break out now, but caution is not wrong.
A hint is a hint. Nothing more. And there seem to be more attempts.
https://thehackernews.com/2024/04/openjs-foundation-targeted-in-potential.html
