1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Python: Trojanisierte Bibliotheken…

zum Nachdenken

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. zum Nachdenken

    Autor: chefin 06.12.19 - 12:01

    Wir reden hier von Open Source, da schauen viele Menschen sich den Sourcecode an. Wie soll es da jemand schaffen all dies Menschen zu übertölpeln? Genau deswegen gibt es schliesslich OpenSource. Sonst könnte man sich das ganze sparen.

    Und nein, ich glaube auch nicht, das er nach 1 Jahr der erste war der diese Bibliothek genauer untersucht hat. Die Community ist dafür viel zu groß. Wir reden von hundertausenden Menschen die das nutzen. Alleine hier die Poster mit ihrem hohen Wissenstand verhindern sowas grundsätzlich schon.

    Einfach sich mal 1 Woche hier einlesen und die Kompetenz selbst erfahren.

    Schönes Wochenende

  2. Zu optimistisch?

    Autor: M.P. 06.12.19 - 12:14

    Ich glaube, Du bist da zu blauäugig: Von den schon optimistischen hunderttausend Menschen, die irgendeine pyPi Bibliothek in eigene Raspberry Pi Projekte eingebunden haben, werden nur die wenigsten in deren Quellcode geguckt haben.
    Und die, die es getan haben sicherlich nicht, um Sicherheitslücken zu finden, sondern um möglichst schnell herauszufinden warum diese blöde Bibliothek nicht mit dem eigenen Code kooperieren will ...
    Und in den Quellcode wird dann auch nur geguckt, wenn trotz lautem Theaterdonner in Hilfe-Foren keine Lösung dort zu bekommen ist ...



    2 mal bearbeitet, zuletzt am 06.12.19 12:17 durch M.P..

  3. Re: zum Nachdenken

    Autor: Varbin 06.12.19 - 12:25

    Gerade bei Ausnutzen von Typosquatting nimmt keiner bewusst war, dass es diese Softwarebibliotheken überhaupt gibt - da sie ja auch nicht bewusst installiert werden, sonder nur aus Versehen.

  4. Re: zum Nachdenken

    Autor: HeroFeat 06.12.19 - 12:46

    Einerseits das. Andererseits würde es auch mit Closed Source solche Paketmanager geben da eben nicht alles aus einer Hand kommen kann. Nun wurde dieses schädliche Paket aber gefunden. Gerade auch da es OpenSource ist. Es hat zwar gedauert. Aber ob jemand gemerkt hätte das es hier ein Paket gibt das Typos ausnutzt und dann auch noch den Debugger anschmeißt um den kryptischen Code zu analysieren darf bezweifelt werden.

    Man sollte aber bei solchen Paketmanagern darüber nachdenken auf solche Namensgleichheiten automatisch zu untersuchen und das dann zur Überprüfung herauszufischen.

  5. OpenSource != CodeReview done

    Autor: Telaran 06.12.19 - 12:56

    1) OpenSource bedeutet nicht, dass es garantiert von "wem anderen" gründlich angesehen wurde.
    Richtig: Bei populären Projekten ist die Chance deutlich grösser, da auch eher mal jemand ein PullRequest platziert und so stolpert man eher auf Unauffälligkeiten, aber sobald ein Projekt an Popularität verliert (oder mangelt) sieht es schlecht aus (Siehe Golem Beitrag zu Sendmail)

    2) Wer einen SourceCode ansehen kann, muss nicht zwingend den Code verstehen können.
    Es gibt genügend OpenSource Projekete welche eine sehr hohe Komplexität aufweisen und dementsprechend nur eine Überschaubare Zahl an Leuten wirklich verstehen wie der Code aufgebaut ist und funktioniert. Da vertrauen einfach alle darauf, dass "jemand anderer" es sicher angesehen und validiert hat

    3) (Zu-)viele Entwickler sind eher Baukasten-Bastler
    Es gibt genügend Entwickler die sehr viel Logik ihrer Applikation auf Pakete abwälzen.
    Natürlich sollte man das Rad nicht immer neu erfinden müssen, aber gleichzeitig muss man die Verantwortung tragen.
    Hat man also wirklich etwas gewonnen, wenn man einen 4 Zeiler nicht selber schreibt sondern ein Paket verwendet, welcher wiederum 2-3 Abhängigkeiten hat.. und schon sind 4+ Pakete, welche als Einfallstor fungieren können? Es gab mal ein extremes NPM Beispiel, aber hab das nicht zur Hand.

    Beispielsweise gibt es diverse .Net Entwickler, welche nicht direkt die Nuget Pakete verwenden, sondern einen eigenen Server betreuen und nur die Pakete in der Version drin sind, welche abgeklopft wurden (Netzwerk Traffic Analyse, Kompatibilität mit aktueller Codebase).

    Ich weiss nun nicht, ob und wie es Entwickler bei NPM oder PyPi handhaben.

    4) Aufgrund Punkt 3: Tippfehler passieren
    Weil man sich eben gerne auf Pakete verlässt, ist man schnell dazu geneigt dass man das Paket installiert, dass es ja gefunden hat. Also eine Prise Bequemlichkeit und "naives Vertrauen".

    Auch hier wieder ein Beispiel aus meiner Nuget-Welt. Hier gibt es auch immer wieder Pakete mit ähnlichen oder identischen Namespaces und wenn ich ein neues Paket einpflegen muss, dann kontrolliere ich mehrmals ob es das richtige Paket ist (Hersteller/SourceCode Check, etc pp).

    Sowas machen aber auch in meinem Umfeld die wenigsten.

    Also ich gehe durchaus davon aus, dass es ein paar Leute erwischt hat, aber sehr wahrscheinlich nur im Hobby Segment und der Schaden ist sicher überschaubar.

  6. Re: zum Nachdenken

    Autor: logged_in 06.12.19 - 19:17

    > Einfach sich mal 1 Woche hier einlesen und die Kompetenz selbst erfahren.

    So gut wie jedes Projekt nutzt `dateutil`. Wirst du nun bei jedem neuen Release dir die Commits des Releases durchlesen? Und das dann auch noch beim anderen Dutzend von Modulen, die du importierst?

    Hier geht es um einen Fehler, dass das falsche `dateutil` importiert wurde, eines, welches einen leicht anderen Namen hat, sich sonst aber wohl fast identisch benimmt.

    Wird nun ein neues Modul auf PyPi zur Verfügung gestellt, etwa `momentpy`, als Analogie zu `momentjs`, welches dieses leicht veränderte `dateutil` in den Requirements hat, würdest du das merken? Natürlich, weil du dir den Code ja durchstudiert hast.

  7. Re: zum Nachdenken

    Autor: konglumerat 06.12.19 - 21:46

    opensource gibt nicht um jemanden in sicherheit zu wiegen, es geht darum wissen/know how zu teilen/ zu ver mitteln, ohne fucking eintrittspreise, darum menschen mitzunehmen, nicht darum sich von ihnen abzustoßen!

  8. Re: zum Nachdenken

    Autor: chefin 09.12.19 - 07:00

    sehr interessant, die Argumente durchzulesen und mit der realität zu vergleichen. Schon die nette Aussage, das es keine Gewähr gibt, das jemand drüber schaut, ausser bei populären Projekten (Python ist aktuell eines der populärsten), ist so herrlich naiv. Wenn man nichtmal da schaut und ein Schadcode der so offensichtlich ist nicht gefunden wird, wie leicht ist es dann in den 100 nicht so populären Tools irgendwas reinzubauen.

    In der Realität ist es so, das man sagt: besser eine schlechte Kontrolle als garkeine. Und wenn jeder Kontrolleur ist, kann ich mir aktuell sicher sein, das keiner kontrolliert. Frei nach dem Motto:

    Seit wann arbeiten sie hier?
    Seit sie mir mit Entlassung gedroht haben!

  9. Re: zum Nachdenken

    Autor: Megusta 09.12.19 - 11:10

    Sobald Linux beliebter wird, wird es auch für Hacker interessanter.

    Ich glaub auch nicht dran, dass der Code von vielen kritisch begutachtet wird, erst recht bei kleineren Projekten. Bei großen Projekten ist es vielleicht sogar noch schlimmer, da jeder glaubt: "bei so einem großen Projekt, wurde der Code von zig Leuten überprüft, da muss ich nicht drüber gucken"

  10. Re: zum Nachdenken

    Autor: Zoj 09.12.19 - 11:11

    chefin schrieb:
    --------------------------------------------------------------------------------
    > sehr interessant, die Argumente durchzulesen und mit der realität zu
    > vergleichen. Schon die nette Aussage, das es keine Gewähr gibt, das jemand
    > drüber schaut, ausser bei populären Projekten (Python ist aktuell eines der
    > populärsten), ist so herrlich naiv.
    Python ist die Sprache, in der die Schadprojekte geschrieben wurden. Die Projekte an sich sind nicht populär gewesen.

    Und von einer Garantie bei populären Projekten hat hier niemand gesprochen, Popularität erhöht lediglich die Wahrscheinlichkeit, dass jemand drüberschaut. Und hier ist das sogar trotz fehlender Popularität geschehen.

    > Wenn man nichtmal da schaut und ein
    > Schadcode der so offensichtlich ist nicht gefunden wird
    Wir scheinen in verschiedenen Dimensionen zu leben. In meiner wurde der Schadcode nämlich gefunden: Der Grund für den Artikel. Wie sieht es bei dir aus?

    Und jetzt stell dir mal Closed Source vor: Du hättest niemals etwas davon erfahren.



    1 mal bearbeitet, zuletzt am 09.12.19 11:14 durch Zoj.

  11. Re: zum Nachdenken

    Autor: Zoj 09.12.19 - 11:13

    Megusta schrieb:
    --------------------------------------------------------------------------------
    > Sobald Linux beliebter wird, wird es auch für Hacker interessanter.
    Linux ist bereits der verbreitetste Kernel auf diesem Planeten, was soll passieren, damit du es als beliebt ansiehst?

  12. Re: zum Nachdenken

    Autor: Megusta 09.12.19 - 11:31

    Zoj schrieb:
    --------------------------------------------------------------------------------
    > Megusta schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sobald Linux beliebter wird, wird es auch für Hacker interessanter.
    > Linux ist bereits der verbreitetste Kernel auf diesem Planeten, was soll
    > passieren, damit du es als beliebt ansiehst?

    ok, muss mich korrigieren:
    beliebt bei den Endanwender oder den Normalsterblichen.

    Es wird immer behauptet Linux ist sicher und Viren frei. Meine Meinung ist, sobald die ganzen normalen Benutzer auf Linux umsteigen, wird es auch mehr Schadsoftware geben. Jemand ohne Erfahrung wird auch unter Linux die eMail mit der "Rechnung.pdf.sh" öffnen und sein Root Passwort eingeben.
    Wenn man sich die "Lücken" anschaut, habe ich das Gefühl dass es immer mehr wird:

    https://www.golem.de/news/unix-artige-systeme-sicherheitsluecke-ermoeglicht-uebernahme-von-vpn-verbindung-1912-145403.html

    https://www.golem.de/news/openssh-putty-sicherheitluecke-in-scp-ermoeglicht-dateiaustausch-1901-138733.html

    usw.

  13. Re: zum Nachdenken

    Autor: Zoj 09.12.19 - 12:03

    Megusta schrieb:

    > Jemand ohne Erfahrung wird auch unter Linux die eMail
    > mit der "Rechnung.pdf.sh" öffnen und sein Root Passwort eingeben.
    Der Witz mit der "Rechnung.pdf.exe" war ja, dass Windows per default Dateiendungen ausblendete.

    Dieser Trick funktioniert also in dieser Weise nicht auf Linux, denn Unix-Desktops werden von Leuten mit Verstand erstellt.

    Edit: Davon abgesehen muss ich dir allerdings Recht geben, es gibt zu viel "curl | bash" auf den Websites dieser Welt. Und damit auch unbedarfte Benutzer, die es ausführen.

    Das beste Betriebssystem kann den Nutzer nicht vor sich selbst schützen, selbst das Gefängnis iOS nicht.

    Meine persönliche Vorliebe für unixoide Systeme kommt daher, dass wann immer ich neugierig bin, wie ein Bestandteil funktioniert, diese auch befriedigt werden kann. Es sind Systeme, die nichts vor dem Nutzer verstecken, höchstens abstrahieren.



    2 mal bearbeitet, zuletzt am 09.12.19 12:10 durch Zoj.

  14. Die Zeit der nerdigen Studenten im Hinterzimmer

    Autor: M.P. 09.12.19 - 12:43

    die in Eigenregie Projekte stemmen, sind zwar noch nicht ganz vorbei.
    Aber in viele Projekten haben inzwischen große Konzerne das Sagen.
    IBM, Facebook, Google, Microsoft und Amazon leisten inzwischen einen erheblichen Beitrag zu Projekten, die sie interessieren, und nutzen auch erhebliche Ressourcen zur Suche von Sicherheitslücken ...

  15. Re: Die Zeit der nerdigen Studenten im Hinterzimmer

    Autor: Zoj 09.12.19 - 12:51

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > IBM, Facebook, Google, Microsoft und Amazon leisten inzwischen einen
    > erheblichen Beitrag zu Projekten, die sie interessieren, und nutzen auch
    > erhebliche Ressourcen zur Suche von Sicherheitslücken ...
    Und deshalb verstehe ich nicht, wie jemand heute noch Vorbehalte gegenüber OSS haben kann:

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Wir reden hier von Open Source, da schauen viele Menschen sich den Sourcecode an. Wie soll es da jemand schaffen all dies Menschen zu übertölpeln? Genau deswegen gibt es schliesslich OpenSource. Sonst könnte man sich das ganze sparen.
    Funktioniert doch!? Sag mal Microsoft und IBM, dass sie sich OpenSource sparen können. Bin gespannt auf die Antworten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Freie und Hansestadt Hamburg Finanzbehörde Hamburg, Hamburg
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  3. Robert Koch-Institut, Wildau
  4. Interhyp Gruppe, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,49€
  2. 7,49€
  3. 8,29€
  4. 5,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme