EL_TUNISIANOs BILD.de Schlagzeilen des Tages

Montagsfrage 08.01.24 (anonym)

  • SPD

  • Union

  • DIE GRÜNEN

  • FDP

  • AfD

  • DIE LINKE

  • BSW

  • Sonstige

  • Nichtwähler

Die Ergebnisse sind erst nach der Abstimmung sichtbar.
Open Source und alles immer umsonst haben wollen ist halt nicht immer die beste Idee:
https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html

Aktenzeichen XZ ungelöst​

In den vergangenen Tagen sind wir mit sehr viel Glück dem wohl größten Fiasko in der Geschichte des Internets gerade so entgangen. Wie konnte das passieren?
Zum Vergrößern anklicken....
Vor diesem Hintergrund überrascht es wenig, dass Lasse Collin die Unterstützung, die Jia Tan ihm anbietet, dankend annimmt. Denn endlich scheint einmal jemand bereit zu sein, nicht nur Forderungen zu stellen, sondern sich auch aktiv einzubringen. Dass er dabei unwissentlich einem umfassenden Social-Engineering-Angriff zum Opfer fällt, kann Collin zu diesem Zeitpunkt natürlich nicht erahnen. Und Jia Tan engagiert sich tatsächlich: Sie oder er wird zu einem regelmäßigen Mitwirkenden bei XZ, steigt im Laufe der Zeit sogar zum zweithäufigsten Beitragenden auf und wird 2022 schließlich zum offiziellen Co-Maintainer ernannt, mit den entsprechenden Berechtigungen.
Zum Vergrößern anklicken....
Nach einer dreijährigen Vorbereitungsphase wird es dann im Jahr 2024 schließlich ernst: Jia Tan reicht bei XZ einen Pull Request ein, um scheinbar neue Testdateien hinzuzufügen. Konkret handelt es sich um zwei Binärdateien, deren Inhalt auf den ersten Blick nicht unmittelbar ersichtlich ist. Sie sollen angeblich dem Testen des Entpackungsvorgangs dienen, wobei eine der Dateien vermeintlich korrupt ist, die andere hingegen nicht.
Zum Vergrößern anklicken....
Am 25. März 2024 taucht Hans Jansen schließlich erneut auf und setzt sich unter anderem beim Debian-Projekt dafür ein, auf die neue – und somit kompromittierte – Version von XZ umzusteigen. Das Debian-Projekt führt auch tatsächlich ein Upgrade durch, zunächst zwar nur in einer Vorabversion, aber Hans Jansen erzielt damit einen Erfolg. Auch andere Linux-Distributionen wie Kali-Linux, Arch-Linux und Fedora nehmen das Upgrade vor. Einige Distributionen, darunter Ubuntu, entscheiden sich gegen das Upgrade oder schieben eine Entscheidung auf. So gelangt die kompromittierte Version von XZ aber in eine Reihe von Linux-Distributionen.
Zum Vergrößern anklicken....
Die manipulierte Version der Authentifizierungsfunktion verhält sich zwar in 99,9 Prozent aller Fälle absolut so, wie man es erwarten würde. Doch für einen einzigen, spezifisch definierten SSH-Schlüssel tritt ein Sonderfall in Kraft: Dieser wird nämlich nicht korrekt überprüft, sondern ein Teil des Schlüssels wird dazu verwendet, Remote-Befehle auszuführen. Es ist tatsächlich ziemlich beeindruckend, dass so etwas überhaupt möglich ist. Der Clou dabei ist, dass sich SSH damit für praktisch alle Nutzerinnen und Nutzer vollkommen normal verhalten würde, nur nicht für Angreiferinnen oder Angreifer, die im Besitz des entsprechenden privaten Schlüssels wären. Das hätte die Sicherheitslücke extrem gut verbergen können.
Zum Vergrößern anklicken....
Möglicherweise hatten wir alle einfach nur enormes Glück: Denn am 29. Februar, also vor gerade einmal fünf Wochen, wurde bei Systemd der Vorschlag eingebracht, das Laden von XZ zu einem deutlich späteren Zeitpunkt im Systemstartprozess zu initiieren, um diesen zu beschleunigen. Wäre dieser Vorschlag umgesetzt worden, hätte XZ nicht mehr die Möglichkeit gehabt, unbemerkt Veränderungen an SSH vorzunehmen. Mit anderen Worten: Diese Änderung in Systemd hätte den sorgfältig über Jahre geplanten Angriff zunichtegemacht. Daher könnte es sein, dass die Angreifenden unter Druck gerieten, ihre Pläne vorzeitig in die Tat umzusetzen – selbst auf das Risiko hin, dass der Angriff bislang nicht ausgereift war. Dieser glückliche Zufall hat uns möglicherweise davor bewahrt, dass 80 bis 90 Prozent aller Server im Internet kompromittiert worden wären. Bedenkt man, dass Linux auf einem Großteil aller Server im Web und in der Cloud läuft, sind die potenziellen Konsequenzen kaum zu überschauen. Das hätte dann wirklich einer Übernahme der digitalen Weltherrschaft gleichkommen können, wie eine Szene aus "Fight Club", nur eben im echten Leben.
Zum Vergrößern anklicken....
 

14 Jahre nach Lena​

Raab plant ESC-Revolution​

Voraussetzung: Kein Dieter Bohlen!​

Kult-Entertainer Stefan Raab (57) kehrt nicht nur für ein Box-Spektakel auf die Showbühne zurück. Das ist inzwischen klar. Nach BILD-Informationen geht es um nicht weniger als einen Großangriff auf die etablierte TV-Welt. Und anscheinend plant Raab, sich ein weiteres Mammut-Projekt vorzunehmen: den deutschen Vorentscheid zum Eurovision Song Contest!

Laut Branchendienst DWDL soll der TV-Macher mit seinem Team ein „konkretes ‚Rettungskonzept‘“ erstellt haben, mit dem er an die großen Fernsehstationen herangetreten ist.
Raab und den ESC verbindet eine Menge. 2009 hatte sich der Musik-Fan schon einmal des Vorentscheids angenommen, fand mit Lena Meyer-Landrut (32) eine erfrischende Teilnehmerin, die den Wettbewerb 2010 in Oslo sogar gewann. Eine Sensation nach Jahren der ESC-Pleiten für Deutschland.

Lange ist’s her! In den vergangenen fünf Jahren landeten die deutschen Kandidaten wieder auf den letzten Plätzen. Da scheint Raab mit seiner Firma Raab Entertainment ansetzen zu wollen.

Laut DWDL soll er dabei mit allen großen Sendern zusammenarbeiten – mit ARD, ZDF, RTL Deutschland und ProSiebenSat.1. Seit 1996 liegt die Verantwortung für den ESC beim Norddeutschen Rundfunk.

Raabs Rettungskonzept dem Bericht zufolge: Alle vier Sender werden am Vorentscheid beteiligt. Drei Sender strahlen eine eigene Kandidaten-Show aus. Die drei Gewinner sollen dann in einem Finale im Ersten gegeneinander antreten. Der Sieger fährt zum ESC.

Der Moment ist günstig. Im Januar sickerte durch, dass die ARD-Bosse dem NDR den Stecker ziehen und die deutsche ESC-Verantwortung an den MDR abgeben wollen. Und: Für RTL soll es eine pikante Sonderregelung geben. Raab und seine Macher wollen absolut keine Beteiligung von Pop-Star Dieter Bohlen (70)!

Raab liegt der ESC am Herzen. Als der Wettbewerb 2020 wegen der Corona-Pandemie abgesagt wurde, hatte er bei ProSieben den europäischen Songwettbewerb „Free European Song Contest“ auf die Beine gestellt.

Den #FreeESC wollte Raab weiter vorantreiben und internationalisieren, dazu fand damals bereits ein Geheimtreffen in Budapest statt. Doch 2023 zog sich ProSieben von dem Projekt zurück. Ein Insider zu BILD: „Raab wollte schon in den letzten Jahren den Vorentscheid wieder machen. Für ihn war’s enttäuschend, dass seine letzte Version nicht geklappt hat.“

Nach BILD-Informationen soll Raab zuletzt mit einem Streaming-Riesen über das Projekt verhandelt haben. Jetzt will er es mit den nationalen Sendern versuchen. Und BILD weiß: In den vergangenen Monaten besuchte das Raab-Team bereits verschiedene Sender (darunter die öffentlich-rechtlichen), um unter anderem über den ESC zu sprechen.

Auf eine BILD-Anfrage reagierten die TV-Sender und Raab Entertainment bislang nicht.

 
Open Source ist eine gute Idee, wenn das Repo nicht von einem einzigen überforderten Dude mit Mental Health Issues komplett betreut wird

1712761298534.png
 
dirtycash schrieb:
Open Source ist immer noch eine sehr gute Idee
Zum Vergrößern anklicken....
Jap, grundsätzlich schon, bin da persönlich aber bei den Schlussfolgerungen des Artikels:
Und nur, damit das nicht falsch verstanden wird: Ich möchte damit nicht sagen, dass Closed Source die Lösung sei. Ein ähnlicher Angriff wäre dort genauso möglich. Doch wird die Anfälligkeit von Open Source durch das bestehende Problem verstärkt, dass Open-Source-Entwicklung in der Regel nicht nachhaltig ist: Solange Software für kritische Infrastrukturen wie das Internet von einzelnen Personen in ihrer Freizeit nebenher und unbezahlt erfolgt, solange wird es auf einfachstem Wege möglich sein, sich deren Vertrauen zu erschleichen. Würde die Entwicklung von Open-Source-Software hingegen angemessen bezahlt, wäre die Notwendigkeit, aus einer akuten Notlage heraus auf von Fremden angebotene Hilfe zurückzugreifen, deutlich niedriger.

Selbstverständlich weist Open Source sehr viele positive Aspekte auf, das möchte ich nicht abstreiten. Aber wo Licht ist, ist bekanntermaßen leider auch Schatten – und von diesen Schattenseiten der Open Source haben wir vermutlich gerade erst den Anfang gesehen.
Zum Vergrößern anklicken....
 
Finde diese ganzen Pro7-Moderatoren eh immer maximal unangenehm. Opdenhövel auch so einer. Das sind immer so Typen „Aussendienstler“
 
Ja gut, Elton ist aber eher der Typ "talentloser Fettsack der über Stefan Raab im Fernsehen gelandet ist und warum auch immer irgendwie dabei geblieben ist"
 
FurioG schrieb:
Ja gut, Elton ist aber eher der Typ "talentloser Fettsack der über Stefan Raab im Fernsehen gelandet ist und warum auch immer irgendwie dabei geblieben ist"
Zum Vergrößern anklicken....
Das kommt bei ihm noch dazu. Aber mit Mappe unter dem Arm würde er auch sofort einen Job als talentloser Außendienstler-Fettsack bekommen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten