Kodsnack

Kodsnack

Kodsnack är ett poddradioprogram på svenska om utveckling, kodknackande och allt som hör därtill. Kodsnack drivs av Kristoffer Grönlund, Fredrik Björeman och Tobias Hieta

http://kodsnack.se

Technology
Education How to
subscribe
share






support
claim!
report

Inte personens första bakdörr, med Peter Magnusson

Fredrik får besök av Peter Magnusson från grannpodden Säkerhetspodcasten, som hjälper till att reda ut vad som egentligen hänt kring bakdörren i komprimeringsbiblioteket XZ.

Under påsken upptäcktes en bakdörr i XZ, som hade potential att ge upphovspersonerna tillgång till maskiner som kör saker som SSH och Systemd. Bakdörren var gömd i binärfiler för testfall, byggd för att inte märkas, och allt som behövdes hade smugits in över tid efter en koordinerad kampanj där upphovspersonerna gavs maintainerbehörighet till XZ.

Peter reder ut vad som hänt, framgångar och misstag från angriparnas sida, och ger en säkerhetsinsatts perspektiv på det hela. Det är fascinerande att hela aktionen skett helt i det öppna och helt dokumenterad i text - e-post, commits och så vidare. Dessutom är det intressant att spekulera över vilka som kan tänkas ligga bakom, och vad det betyder med de misstag som faktiskt gjorts i processen och koden.

Och givetvis det läskiga i att överarbetade underhållare av öppen källkod kan göras till måltavlor på det här sättet. En ond aktör plötsligt kan ha incitament att bygga upp en helt falsk verklighet kring en specifik person. Vad är chansen att detta är den enda operationen av det här slaget som pågått och kommer att genomföras?

Och så måste vi hylla de människor som inte bara accepterar att en ny version av något plötsligt beter sig lite konstigt utan dyker ner och upptäcker händelser som dessa!

Ett stort tack till Cloudnet som sponsrar vår VPS!

Har du kommentarer, frågor eller tips? Vi är @kodsnack, @thieta, @krig, och @bjoreman på Mastodon, har en sida på Facebook och epostas på info@kodsnack.se om du vill skriva längre. Vi läser allt som skickas.

Gillar du Kodsnack får du hemskt gärna recensera oss i iTunes! Du kan också stödja podden genom att ge oss en kaffe (eller två!) på Ko-fi, eller handla något i vår butik.

Länkar
  • XZ
  • Peter
  • Tidigare avsnitt med Peter
  • Säkerhetspodcasten
  • Assured
  • Intrångstester
  • Verilog
  • FPGA
  • Arm Trustzone
  • Jesper i Säkerhetspodcasten
  • Tidslinje för XZ-bakdörren
  • SSH
  • Systemd
  • LZMA
  • XKCD-strippen med biblioteket allting bygger på
  • Russ Cox
  • Andreas Freund som hittade bakdörren
  • Intervju med Andreas Freund
  • Debian Sid
  • Hur bakdörren fungerar
  • Länkare
  • RSA-autentisering
  • Lasse Collin
  • Diskussionstrådarna om att lämna över kontrollen över XZ till Jia Tan
  • Säkerhetspodcastens avsnitt om XZ
  • Kodsnacket om och med underhållare av öppen källkod
  • University of Minnesotas oetiska försök att sänka säkerheten i Linuxkärnan
  • Open-source intelligence
  • Fuzzing
  • Clifford Stoll
  • The cuckoo’s egg
  • Videor med Clifford Stoll
  • Replay-attacker
  • Ryan Mcbeth
  • ICD 203
  • RCE - remote code execution
  • NSA Tailored access operations
  • Dual-EC DRBG
  • Git rewrite
  • Solarwinds-hacket
  • Rob Menching - A microcosm of interaction in open source projects
  • Theo T3.gg - What everyone missed about the Linux hack
  • OWASP CI/CD topp tio
  • Podden Fredrik lyssnade på
  • The perfect backdoor is indistinguishable from a bug
  • Mario Heiderich från Cure53
  • Mario och Angular

fyyd: Podcast Search Engine
share








   1h30m