EL_TUNISIANOs BILD.de Schlagzeilen des Tages

Montagsfrage 08.01.24 (anonym)

  • SPD

  • Union

  • DIE GRÜNEN

  • FDP

  • AfD

  • DIE LINKE

  • BSW

  • Sonstige

  • Nichtwähler

Die Ergebnisse sind erst nach der Abstimmung sichtbar.
Die mediale Berichterstattung ist eine Sache, aber der Typ ist auch massiv unsympathisch. Ich bin verwundert, dass er bisher noch nicht ernsthaft verletzt wurde.
 
wie kann man so unfassbar unterbelichtet sein und trotzdem so viel Kohle haben? ich hasse mein Leben
 
Wtf. Wie kann man so etwas schreiben, keine Sekunde nachdenken und dann veröffentlichen?
 
Open Source und alles immer umsonst haben wollen ist halt nicht immer die beste Idee:
https://www.heise.de/blog/Aktenzeichen-XZ-ungeloest-9678531.html

Aktenzeichen XZ ungelöst​

In den vergangenen Tagen sind wir mit sehr viel Glück dem wohl größten Fiasko in der Geschichte des Internets gerade so entgangen. Wie konnte das passieren?
Zum Vergrößern anklicken....
Vor diesem Hintergrund überrascht es wenig, dass Lasse Collin die Unterstützung, die Jia Tan ihm anbietet, dankend annimmt. Denn endlich scheint einmal jemand bereit zu sein, nicht nur Forderungen zu stellen, sondern sich auch aktiv einzubringen. Dass er dabei unwissentlich einem umfassenden Social-Engineering-Angriff zum Opfer fällt, kann Collin zu diesem Zeitpunkt natürlich nicht erahnen. Und Jia Tan engagiert sich tatsächlich: Sie oder er wird zu einem regelmäßigen Mitwirkenden bei XZ, steigt im Laufe der Zeit sogar zum zweithäufigsten Beitragenden auf und wird 2022 schließlich zum offiziellen Co-Maintainer ernannt, mit den entsprechenden Berechtigungen.
Zum Vergrößern anklicken....
Nach einer dreijährigen Vorbereitungsphase wird es dann im Jahr 2024 schließlich ernst: Jia Tan reicht bei XZ einen Pull Request ein, um scheinbar neue Testdateien hinzuzufügen. Konkret handelt es sich um zwei Binärdateien, deren Inhalt auf den ersten Blick nicht unmittelbar ersichtlich ist. Sie sollen angeblich dem Testen des Entpackungsvorgangs dienen, wobei eine der Dateien vermeintlich korrupt ist, die andere hingegen nicht.
Zum Vergrößern anklicken....
Am 25. März 2024 taucht Hans Jansen schließlich erneut auf und setzt sich unter anderem beim Debian-Projekt dafür ein, auf die neue – und somit kompromittierte – Version von XZ umzusteigen. Das Debian-Projekt führt auch tatsächlich ein Upgrade durch, zunächst zwar nur in einer Vorabversion, aber Hans Jansen erzielt damit einen Erfolg. Auch andere Linux-Distributionen wie Kali-Linux, Arch-Linux und Fedora nehmen das Upgrade vor. Einige Distributionen, darunter Ubuntu, entscheiden sich gegen das Upgrade oder schieben eine Entscheidung auf. So gelangt die kompromittierte Version von XZ aber in eine Reihe von Linux-Distributionen.
Zum Vergrößern anklicken....
Die manipulierte Version der Authentifizierungsfunktion verhält sich zwar in 99,9 Prozent aller Fälle absolut so, wie man es erwarten würde. Doch für einen einzigen, spezifisch definierten SSH-Schlüssel tritt ein Sonderfall in Kraft: Dieser wird nämlich nicht korrekt überprüft, sondern ein Teil des Schlüssels wird dazu verwendet, Remote-Befehle auszuführen. Es ist tatsächlich ziemlich beeindruckend, dass so etwas überhaupt möglich ist. Der Clou dabei ist, dass sich SSH damit für praktisch alle Nutzerinnen und Nutzer vollkommen normal verhalten würde, nur nicht für Angreiferinnen oder Angreifer, die im Besitz des entsprechenden privaten Schlüssels wären. Das hätte die Sicherheitslücke extrem gut verbergen können.
Zum Vergrößern anklicken....
Möglicherweise hatten wir alle einfach nur enormes Glück: Denn am 29. Februar, also vor gerade einmal fünf Wochen, wurde bei Systemd der Vorschlag eingebracht, das Laden von XZ zu einem deutlich späteren Zeitpunkt im Systemstartprozess zu initiieren, um diesen zu beschleunigen. Wäre dieser Vorschlag umgesetzt worden, hätte XZ nicht mehr die Möglichkeit gehabt, unbemerkt Veränderungen an SSH vorzunehmen. Mit anderen Worten: Diese Änderung in Systemd hätte den sorgfältig über Jahre geplanten Angriff zunichtegemacht. Daher könnte es sein, dass die Angreifenden unter Druck gerieten, ihre Pläne vorzeitig in die Tat umzusetzen – selbst auf das Risiko hin, dass der Angriff bislang nicht ausgereift war. Dieser glückliche Zufall hat uns möglicherweise davor bewahrt, dass 80 bis 90 Prozent aller Server im Internet kompromittiert worden wären. Bedenkt man, dass Linux auf einem Großteil aller Server im Web und in der Cloud läuft, sind die potenziellen Konsequenzen kaum zu überschauen. Das hätte dann wirklich einer Übernahme der digitalen Weltherrschaft gleichkommen können, wie eine Szene aus "Fight Club", nur eben im echten Leben.
Zum Vergrößern anklicken....
 

14 Jahre nach Lena​

Raab plant ESC-Revolution​

Voraussetzung: Kein Dieter Bohlen!​

Kult-Entertainer Stefan Raab (57) kehrt nicht nur für ein Box-Spektakel auf die Showbühne zurück. Das ist inzwischen klar. Nach BILD-Informationen geht es um nicht weniger als einen Großangriff auf die etablierte TV-Welt. Und anscheinend plant Raab, sich ein weiteres Mammut-Projekt vorzunehmen: den deutschen Vorentscheid zum Eurovision Song Contest!

Laut Branchendienst DWDL soll der TV-Macher mit seinem Team ein „konkretes ‚Rettungskonzept‘“ erstellt haben, mit dem er an die großen Fernsehstationen herangetreten ist.
Raab und den ESC verbindet eine Menge. 2009 hatte sich der Musik-Fan schon einmal des Vorentscheids angenommen, fand mit Lena Meyer-Landrut (32) eine erfrischende Teilnehmerin, die den Wettbewerb 2010 in Oslo sogar gewann. Eine Sensation nach Jahren der ESC-Pleiten für Deutschland.

Lange ist’s her! In den vergangenen fünf Jahren landeten die deutschen Kandidaten wieder auf den letzten Plätzen. Da scheint Raab mit seiner Firma Raab Entertainment ansetzen zu wollen.

Laut DWDL soll er dabei mit allen großen Sendern zusammenarbeiten – mit ARD, ZDF, RTL Deutschland und ProSiebenSat.1. Seit 1996 liegt die Verantwortung für den ESC beim Norddeutschen Rundfunk.

Raabs Rettungskonzept dem Bericht zufolge: Alle vier Sender werden am Vorentscheid beteiligt. Drei Sender strahlen eine eigene Kandidaten-Show aus. Die drei Gewinner sollen dann in einem Finale im Ersten gegeneinander antreten. Der Sieger fährt zum ESC.

Der Moment ist günstig. Im Januar sickerte durch, dass die ARD-Bosse dem NDR den Stecker ziehen und die deutsche ESC-Verantwortung an den MDR abgeben wollen. Und: Für RTL soll es eine pikante Sonderregelung geben. Raab und seine Macher wollen absolut keine Beteiligung von Pop-Star Dieter Bohlen (70)!

Raab liegt der ESC am Herzen. Als der Wettbewerb 2020 wegen der Corona-Pandemie abgesagt wurde, hatte er bei ProSieben den europäischen Songwettbewerb „Free European Song Contest“ auf die Beine gestellt.

Den #FreeESC wollte Raab weiter vorantreiben und internationalisieren, dazu fand damals bereits ein Geheimtreffen in Budapest statt. Doch 2023 zog sich ProSieben von dem Projekt zurück. Ein Insider zu BILD: „Raab wollte schon in den letzten Jahren den Vorentscheid wieder machen. Für ihn war’s enttäuschend, dass seine letzte Version nicht geklappt hat.“

Nach BILD-Informationen soll Raab zuletzt mit einem Streaming-Riesen über das Projekt verhandelt haben. Jetzt will er es mit den nationalen Sendern versuchen. Und BILD weiß: In den vergangenen Monaten besuchte das Raab-Team bereits verschiedene Sender (darunter die öffentlich-rechtlichen), um unter anderem über den ESC zu sprechen.

Auf eine BILD-Anfrage reagierten die TV-Sender und Raab Entertainment bislang nicht.

 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten