Hallo Alle,
die Freie-Software Lieferkette scheint unter Beschuß zu geraten [1]:
The attack vector in the NuGet ecosystem involves the use of automated processes to create a large number of packages with names and descriptions designed to lure those interested in hacking, cheats, and free resources. These contain links to phishing campaigns built to steal personal information or other sensitive data.
The scale of this attack is unique, according to the report, because it involves the creation of over 144,000 packages by the same threat actor — a significantly larger number of packages than is typically seen in such attacks, making it an especially large and significant event.
Gruß Joachim
[1] https://www.darkreading.com/attacks-breaches/automated-cybercampaign-attacks...
Hallo Joachim,
solche supply chain attacks gibt es alle paar Monate und das schon seit Jahren (Solarwinds). NPM und PyPi und alle vergleichbaren Softwareverteilstellen sind berühmt für ihre strukturelle Unsicherheit. Mit freier Software hat das nur zufällig was zu tun.
Im übrigen hat die verlinkte Seite auf "darkreading.com" ihrerseits Spyware-Charakter, mehrere sicherheitsrelevante Fehlkonfigurationen und *149* Anfragen an Drittanbieter (1) - ein halbwegs sicher vernagelter Browser zeigt nur eine leere Seite. Dazu habe ich auf der Seite keinen Link zu einer seriösen externen Quelle gefunden - die verlinken anscheinend nur auf sich selbst.
Die Originalquelle ("A few months ago, we discovered ..." - 2) und andere seriöse Medien (zB 3) machen deutlich, dass es sich bei supply chain attacks um "tägliches Brot" handelt und nicht um sensationelle, aktuelle Eregnisse.
Unabhängig davon sind natürlich npm und PyPi und andere derartige Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein besseres Konzept hermuss. Es ist derzeit die Verantwortung des Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe Bibliotheken eingebunden hatte ...
Gruß Ilu
(1) https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fwww.darkreading.c...
(2) https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to...
(3) https://www.theregister.com/2023/01/09/pypi_aws_malware_key/
Am 13.01.23 um 02:06 schrieb Joachim Jakobs:
Hallo Alle,
die Freie-Software Lieferkette scheint unter Beschuß zu geraten [1]:
The attack vector in the NuGet ecosystem involves the use of automated processes to create a large number of packages with names and descriptions designed to lure those interested in hacking, cheats, and free resources. These contain links to phishing campaigns built to steal personal information or other sensitive data.
The scale of this attack is unique, according to the report, because it involves the creation of over 144,000 packages by the same threat actor — a significantly larger number of packages than is typically seen in such attacks, making it an especially large and significant event.
Gruß Joachim
[1] https://www.darkreading.com/attacks-breaches/automated-cybercampaign-attacks...
FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Hallo,
eine Lektüreempfehlung:
https://bonndoc.ulb.uni-bonn.de/xmlui/bitstream/handle/20.500.11811/9325/638...
Software Supply Chain Angriffe Analyse und Erkennung
Gruß Michael
Hallo Illu
eine künftige Datenrate von 1,84 Petabit/s [1] bedeutet, dass 1000 Terabyte in vier Sekunden ankommen würden. Das ist ziemlich knapp, um eine unbeabsichtigte oder unrechtmäßige Datenübertragung abzubrechen.
Das verlangt in der Welt der künftig breitbandig vernetzten Dinge nach einem System vernetzter Sicherheit -- Sicherheits-/Notfallkonzepte, physikalischer Einbruchschutz, Signaturen/Verschlüsselungen, Berechtigungsmanagement, Pentests, Überwachung von Angriffsoberfläche/Bedrohungen in Echtzeit, ....
Am 14.01.23 um 09:17 schrieb Ilu:> Unabhängig davon sind natürlich npm und PyPi und andere derartige> Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante> Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein > besseres Konzept hermuss. Es ist derzeit die Verantwortung des > Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen > Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu > trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe > Bibliotheken eingebunden hatte ...
Gutes Beispiel!
Es geht letztlich um die Frage, über welche Qualifikation die Verantwortliche verfügen muss -- sowie diejenigen, die in ihrem Auftrag SW planen, entwickeln, einrichten, verwalten oder nutzen, um damit vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
Die Verantwortliche haftet für den Nachweis der Regelkonformität -- letztlich wird das zu einer Diktatur führen, in der niemand mehr den vorgegebenen Pfad verlassen darf, ohne dass das Datenpannen, Geldbußen, Schadenersatz, strafrechtliche Ermittlungen nach sich zieht.
Gruß Joachim
[1] https://www.derstandard.de/story/2000140231203/1-84-petabits-neuer-chip-tran...
Hallo Joachim, ich verstehe leider nicht, was dieser Text mit supply chain attacks zu tun hat. Mit irgendwelchen Übertragungsgeschwindigkeiten hat das nichts zu tun. Ob die Malware schnell oder langsam ankommt, ist völlig egal - sie sollte gar nicht ankommen. Bei Signaturen und Berechtigungsmanagement müssen NPM, PyPi und Konsorten deutlich nachbessern. Repositories wie Debian machen vor, wie es richtig geht. Das ist aufwendig und macht halt Arbeit. Automatisch und in Echtzeit geht da nichts.
Aber egal, wieviele Sicherheitsmassnahmen die Repositories ergreifen - verantwortlich sind und bleiben diejenigen, die libraries in ihrem Code verwenden. Wer keine 500 libraries gegenchecken und überwachen will, benutzt halt keine 500, sondern nur zwei.
Viele Grüße Ilu
Am 14.01.23 um 17:41 schrieb Joachim Jakobs:
Hallo Illu
eine künftige Datenrate von 1,84 Petabit/s [1] bedeutet, dass 1000 Terabyte in vier Sekunden ankommen würden. Das ist ziemlich knapp, um eine unbeabsichtigte oder unrechtmäßige Datenübertragung abzubrechen.
Das verlangt in der Welt der künftig breitbandig vernetzten Dinge nach einem System vernetzter Sicherheit -- Sicherheits-/Notfallkonzepte, physikalischer Einbruchschutz, Signaturen/Verschlüsselungen, Berechtigungsmanagement, Pentests, Überwachung von Angriffsoberfläche/Bedrohungen in Echtzeit, ....
Am 14.01.23 um 09:17 schrieb Ilu:> Unabhängig davon sind natürlich npm und PyPi und andere derartige> Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante> Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein > besseres Konzept hermuss. Es ist derzeit die Verantwortung des > Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen > Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu > trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe > Bibliotheken eingebunden hatte ...
Gutes Beispiel!
Es geht letztlich um die Frage, über welche Qualifikation die Verantwortliche verfügen muss -- sowie diejenigen, die in ihrem Auftrag SW planen, entwickeln, einrichten, verwalten oder nutzen, um damit vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
Die Verantwortliche haftet für den Nachweis der Regelkonformität -- letztlich wird das zu einer Diktatur führen, in der niemand mehr den vorgegebenen Pfad verlassen darf, ohne dass das Datenpannen, Geldbußen, Schadenersatz, strafrechtliche Ermittlungen nach sich zieht.
Gruß Joachim
[1] https://www.derstandard.de/story/2000140231203/1-84-petabits-neuer-chip-tran...