# Pentaradio vom 23. April 2024
# Titel: "Sprich 'Freund' und trete in die Hintertür ein"

Mit Mole, Simon, ttimeless und Xyrill.

Nur durch Zufall wurde eine Hintertür gefunden, die über einen Zeitraum von mehreren Jahren in einer wichtigen Linux-Programmbibliothek plaziert wurde. Wir diskutieren, was das für die IT-Sicherheit und das soziale Gefüge von Open Source bedeutet. Aufgezeichnet am 11. April 2024.

## News

* Right to Repair: [Oregon-Gesetz SB1596](https://gov.oregonlive.com/bill/2024/SB1596/) verbietet (unter anderem) Verdongeln von Komponenten
    * Das Gesetz "verlangt von Originalgeräteherstellern, dass sie Eigentümern von Unterhaltungselektronikgeräten oder unabhängigen Reparaturdienstleistern zu fairen und angemessenen Bedingungen alle Unterlagen, Werkzeuge, Teile oder sonstigen Geräte oder Hilfsmittel zur Verfügung stellen, die die Originalgerätehersteller einem zugelassenen Dienstleister zum Zwecke der Diagnose, Wartung oder Reparatur von Unterhaltungselektronikgeräten zur Verfügung stellen." (übersetzt mithilfe von DeepL)
    * [Pentaradio berichtete](https://c3d2.de/news/pentaradio24-20210323.html)
    * zu Xyrills Wunsch, man möge Gesetze leicht verfolgen können: [Der Bundestagszusammenfasser](https://bundestagszusammenfasser.de/), neulich besprochen in [LNP489](https://logbuch-netzpolitik.de/lnp489-das-kabinett-ist-nicht-maschinenlesbar)
* apropos offener Zugriff: [EU-Normen dürfen nicht hinter die Paywall](https://www.heise.de/-9646757)
* "Return of Physical Media" siehe Besprechung in [der aktuellen Folge der Neuen Zwanziger](https://neuezwanziger.de/2024/03/waffendiskurs-apples-infrastruktur-lindners-podcast-rentenpaket-ii-armutsbericht-neue-grundsicherung/) zwischen 1h40m16s und 1h44m49s (also [4 Minuten 33 Sekunden](https://de.wikipedia.org/wiki/4%E2%80%B233%E2%80%B3))
    * im Buchmarkt stagniert die Digitalisierung (außer bei Hörbüchern)
    * vllt. wurde jeder und jede schon einmal zu oft von Lock-In etc. verbrannt
    * auch DVD und BluRay haben ein Comeback in Zeiten von Streaming-Dienste-Chaos ([Symbolbild](https://web.archive.org/web/20240109160631/www.pokemon.com/us/animation/where-to-watch-pokemon-episodes-movies), [Symbolvideo](https://www.youtube.com/watch?v=yvhv7bgmz64))
    * Warum gibt es nicht eigentlich eine (per Regulierung garantierte) Konto-Umzugsfunktion für E-Books (z.B. kodiert nach ISBN)?
    * im Gespräch erwähnt: [Briefkasten-Schredder](https://www.youtube.com/watch?v=zubmkHMRP3U)
* [GoFetch-Exploit für Apple-CPUs](https://www.theregister.com/2024/03/25/gofetch_security_exploit_demoed/)
    * ähnlich wie Spectre/Meltdown bei x86-CPUs ([Pentaradio berichtete](https://c3d2.de/news/pentaradio24-20180123.html))
    * lässt sich nicht in Software lösen wie bei Spectre/Meltdown, aber sicherheitsrelevante Berechnungen wie Kryptografie können auf die langsameren Stromspar-Kerne umverlegt werden, die zum Glück das entsprechende Prefetching nicht machen
* Manchmal fällt nach dem Congress etwas Infrastruktur zusammen: [Zimmerschlüssel-Karten von IBIS Budget aufgecybert](https://www.pentagrid.ch/en/blog/ibis-hotel-check-in-terminal-keypad-code-leakage/)
* ✨KI✨-Musiktipp: [Permission is hereby granted](https://suno.com/song/da6d4a83-1001-4694-8c28-648a6e8bad0a/)
    * im Gespräch erwähnt: [Freakshow 277: Das goldene Zugpferd](https://freakshow.fm/fs277-das-goldene-zugpferd)

## Musik

* ["Vulnerable", I Have Clones (2009)](https://freemusicarchive.org/music/I_Have_Clones/Music_20/Vulnerable/)
* ["Solastalgia", Jazzaria (2024)](https://archive.org/details/solastalgia)

## Thema: Die libxz-Backdoor (CVE-2024-3094)

Der Hauptteil der Besprechung besteht aus drei separaten Problemfeldern. Die Übergänge dazwischen bieten sich für Pausen an. Zum Einstieg:

* [Überblick des zeitlichen Verlaufs](https://research.swtch.com/xz-timeline)
    * nur durch [absolut wilden Zufall gefunden](https://lwn.net/Articles/967194/)

### Problemfeld 1: Psychologische/soziologische Aspekte von Open-Source-Maintenance

* geringer Bus-Faktor in wichtigen Projekten ist ein Problem -> sozialer Druck, mehr Maintainer hinzuzufügen -> Social Engineering
* analoge Druck-/Drohkulisse bei Downstream (Distro-Packager) 
    * [Beispiel von Debian](https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708) mit unzähligen Sockenpuppen
* hier kommen noch [persönliche Probleme](https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html) hinzu
    * Randnotiz: die Person "Jigar Kumar" aus diesem Thread wird zurzeit als Sockenpuppe von Jia Tan angenommen, und zeigt hier schön manipulatives Verhalten
* im Fahrwasser dessen sehen wir Hexenjadgen gegen Personen, die was mit neueren libxz-Versionen gemacht haben und deswegen der Sabotage verdächtigt werden
    * Beispiel 1: [erste Vermutung](https://news.ycombinator.com/item?id=39866611), [Zurückweisung](https://github.com/jamespfennell/xz/pull/2#issuecomment-2027836356), [parallele Hexenjagd](https://news.ycombinator.com/item?id=39866882)
    * Beispiel 2: [natürlich wurde auch schon systemd als der Feind identifiziert](https://mastodon.social/@pid_eins/112206258981426905)
* Lösungsansätze? z.B. [Sovereign Tech Fund](https://www.sovereigntechfund.de/mission)

### Problemfeld 2: Software-Lieferkette

* [Symbolbild: XKCD 2347](https://xkcd.com/2347/)
* [Reflections on Trusting Trust](https://dl.acm.org/doi/pdf/10.1145/358198.358210): kann man statt mit einem infizierten Compiler auch mit einem infizierten Kompressor machen, wenn damit der Quellcode vor dem Kompilieren ausgepackt wird
    * Wer auditiert hier all seinen Code? ... Tja, wieder keiner.
    * Release-Tarball war anders als der Commit im Repo
* kaputte Anreizstrukturen in der Wirtschaft
    * Milliardenkonzerne eignen sich die gemeinnützige Arbeit unterbezahlter und untergewertschätzter Open-Source-Maintainer an
    * Innensicht eines Software-Entwicklers in einem Konzern: selbst wenn ich die Entwickler in meiner Supply Chain finanziell unterstützen wollte, gibt es keinen Prozess dafür (und eben aus Konzernsicht auch keinen Anreiz)
    * Zurück zum Anfang: All die Sachen, die Andres Freund gemacht hat, um die Backdoor zufälligerweise zu finden, sind Tätigkeiten, die in vielen Konzernen vom Management nicht nur nicht gewürdigt, sondern aktiv geringgeschätzt werden, weil sie nicht unmittelbar zu mehr Profit führen.

### Problemfeld 3: Komplexität

* [Pentaradio berichtete](https://c3d2.de/news/pentaradio24-20221227.html)
* überkomplexes Tooling bot jede Menge Angriffsfläche
    * Sandbox der Tests ("Landlock") wurde subtil sabotiert
    * autotools ist ein organisch gewachsener arkaner Haufen Mist -> wo keiner gerne hinguckt, lassen sich gut Backdoors verstecken
    * obskure Laufzeitfunktionen wurden absichtlich verwendet, um [Fuzzing zu sabotieren](https://github.com/google/oss-fuzz/pull/10667)
    * schöne Illustration des Konzepts von TCB (Trusted Computing Base): Wievielen Code-Zeilen muss ich vertrauen, damit ich sicher bin?
    * manche Code-Review-UIs (\*hust\* GitHub \*hust\*) blenden "hilfreicherweise" Sachen aus, die sie als nicht wichtig einschätzen (z.B. Testdateien oder gevendorte Abhängigkeiten)
* [Beispiel einer Verschleierungstaktik](https://web.archive.org/web/20240331045446/github.com/tukaani-project/.github/commit/44b766adc413b7b7ccfa2bfdd89d2540e88739ca): Was oberflächlich nur nach Umformatieren aussieht, enthält auch einen neuen Satz, dass Sicherheitslücken direkt an den Autor der Backdoor gemeldet werden sollen.

### Weitere Quellen

* [Initialer Bericht bei Openwall](https://www.openwall.com/lists/oss-security/2024/03/29/4)
* [Zusammenfassung beim Upstream-Projekt](https://tukaani.org/xz-backdoor/) (zurzeit noch sehr dürftig)
* [Linksammlung in einem nixpkgs-Thread](https://github.com/NixOS/nixpkgs/issues/300055#issuecomment-2027690942)
* [Eine andere Zusammenfassung des zeitlichen Verlaufs](https://boehs.org/node/everything-i-know-about-the-xz-backdoor)