1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Python: Trojanisierte Bibliotheken…

zum Nachdenken

  1. Thema

Neues Thema Ansicht wechseln


  1. zum Nachdenken

    Autor: chefin 06.12.19 - 12:01

    Wir reden hier von Open Source, da schauen viele Menschen sich den Sourcecode an. Wie soll es da jemand schaffen all dies Menschen zu übertölpeln? Genau deswegen gibt es schliesslich OpenSource. Sonst könnte man sich das ganze sparen.

    Und nein, ich glaube auch nicht, das er nach 1 Jahr der erste war der diese Bibliothek genauer untersucht hat. Die Community ist dafür viel zu groß. Wir reden von hundertausenden Menschen die das nutzen. Alleine hier die Poster mit ihrem hohen Wissenstand verhindern sowas grundsätzlich schon.

    Einfach sich mal 1 Woche hier einlesen und die Kompetenz selbst erfahren.

    Schönes Wochenende

  2. Zu optimistisch?

    Autor: M.P. 06.12.19 - 12:14

    Ich glaube, Du bist da zu blauäugig: Von den schon optimistischen hunderttausend Menschen, die irgendeine pyPi Bibliothek in eigene Raspberry Pi Projekte eingebunden haben, werden nur die wenigsten in deren Quellcode geguckt haben.
    Und die, die es getan haben sicherlich nicht, um Sicherheitslücken zu finden, sondern um möglichst schnell herauszufinden warum diese blöde Bibliothek nicht mit dem eigenen Code kooperieren will ...
    Und in den Quellcode wird dann auch nur geguckt, wenn trotz lautem Theaterdonner in Hilfe-Foren keine Lösung dort zu bekommen ist ...



    2 mal bearbeitet, zuletzt am 06.12.19 12:17 durch M.P..

  3. Re: zum Nachdenken

    Autor: Varbin 06.12.19 - 12:25

    Gerade bei Ausnutzen von Typosquatting nimmt keiner bewusst war, dass es diese Softwarebibliotheken überhaupt gibt - da sie ja auch nicht bewusst installiert werden, sonder nur aus Versehen.

  4. Re: zum Nachdenken

    Autor: HeroFeat 06.12.19 - 12:46

    Einerseits das. Andererseits würde es auch mit Closed Source solche Paketmanager geben da eben nicht alles aus einer Hand kommen kann. Nun wurde dieses schädliche Paket aber gefunden. Gerade auch da es OpenSource ist. Es hat zwar gedauert. Aber ob jemand gemerkt hätte das es hier ein Paket gibt das Typos ausnutzt und dann auch noch den Debugger anschmeißt um den kryptischen Code zu analysieren darf bezweifelt werden.

    Man sollte aber bei solchen Paketmanagern darüber nachdenken auf solche Namensgleichheiten automatisch zu untersuchen und das dann zur Überprüfung herauszufischen.

  5. OpenSource != CodeReview done

    Autor: Telaran 06.12.19 - 12:56

    1) OpenSource bedeutet nicht, dass es garantiert von "wem anderen" gründlich angesehen wurde.
    Richtig: Bei populären Projekten ist die Chance deutlich grösser, da auch eher mal jemand ein PullRequest platziert und so stolpert man eher auf Unauffälligkeiten, aber sobald ein Projekt an Popularität verliert (oder mangelt) sieht es schlecht aus (Siehe Golem Beitrag zu Sendmail)

    2) Wer einen SourceCode ansehen kann, muss nicht zwingend den Code verstehen können.
    Es gibt genügend OpenSource Projekete welche eine sehr hohe Komplexität aufweisen und dementsprechend nur eine Überschaubare Zahl an Leuten wirklich verstehen wie der Code aufgebaut ist und funktioniert. Da vertrauen einfach alle darauf, dass "jemand anderer" es sicher angesehen und validiert hat

    3) (Zu-)viele Entwickler sind eher Baukasten-Bastler
    Es gibt genügend Entwickler die sehr viel Logik ihrer Applikation auf Pakete abwälzen.
    Natürlich sollte man das Rad nicht immer neu erfinden müssen, aber gleichzeitig muss man die Verantwortung tragen.
    Hat man also wirklich etwas gewonnen, wenn man einen 4 Zeiler nicht selber schreibt sondern ein Paket verwendet, welcher wiederum 2-3 Abhängigkeiten hat.. und schon sind 4+ Pakete, welche als Einfallstor fungieren können? Es gab mal ein extremes NPM Beispiel, aber hab das nicht zur Hand.

    Beispielsweise gibt es diverse .Net Entwickler, welche nicht direkt die Nuget Pakete verwenden, sondern einen eigenen Server betreuen und nur die Pakete in der Version drin sind, welche abgeklopft wurden (Netzwerk Traffic Analyse, Kompatibilität mit aktueller Codebase).

    Ich weiss nun nicht, ob und wie es Entwickler bei NPM oder PyPi handhaben.

    4) Aufgrund Punkt 3: Tippfehler passieren
    Weil man sich eben gerne auf Pakete verlässt, ist man schnell dazu geneigt dass man das Paket installiert, dass es ja gefunden hat. Also eine Prise Bequemlichkeit und "naives Vertrauen".

    Auch hier wieder ein Beispiel aus meiner Nuget-Welt. Hier gibt es auch immer wieder Pakete mit ähnlichen oder identischen Namespaces und wenn ich ein neues Paket einpflegen muss, dann kontrolliere ich mehrmals ob es das richtige Paket ist (Hersteller/SourceCode Check, etc pp).

    Sowas machen aber auch in meinem Umfeld die wenigsten.

    Also ich gehe durchaus davon aus, dass es ein paar Leute erwischt hat, aber sehr wahrscheinlich nur im Hobby Segment und der Schaden ist sicher überschaubar.

  6. Re: zum Nachdenken

    Autor: logged_in 06.12.19 - 19:17

    > Einfach sich mal 1 Woche hier einlesen und die Kompetenz selbst erfahren.

    So gut wie jedes Projekt nutzt `dateutil`. Wirst du nun bei jedem neuen Release dir die Commits des Releases durchlesen? Und das dann auch noch beim anderen Dutzend von Modulen, die du importierst?

    Hier geht es um einen Fehler, dass das falsche `dateutil` importiert wurde, eines, welches einen leicht anderen Namen hat, sich sonst aber wohl fast identisch benimmt.

    Wird nun ein neues Modul auf PyPi zur Verfügung gestellt, etwa `momentpy`, als Analogie zu `momentjs`, welches dieses leicht veränderte `dateutil` in den Requirements hat, würdest du das merken? Natürlich, weil du dir den Code ja durchstudiert hast.

  7. Re: zum Nachdenken

    Autor: konglumerat 06.12.19 - 21:46

    opensource gibt nicht um jemanden in sicherheit zu wiegen, es geht darum wissen/know how zu teilen/ zu ver mitteln, ohne fucking eintrittspreise, darum menschen mitzunehmen, nicht darum sich von ihnen abzustoßen!

  8. Re: zum Nachdenken

    Autor: chefin 09.12.19 - 07:00

    sehr interessant, die Argumente durchzulesen und mit der realität zu vergleichen. Schon die nette Aussage, das es keine Gewähr gibt, das jemand drüber schaut, ausser bei populären Projekten (Python ist aktuell eines der populärsten), ist so herrlich naiv. Wenn man nichtmal da schaut und ein Schadcode der so offensichtlich ist nicht gefunden wird, wie leicht ist es dann in den 100 nicht so populären Tools irgendwas reinzubauen.

    In der Realität ist es so, das man sagt: besser eine schlechte Kontrolle als garkeine. Und wenn jeder Kontrolleur ist, kann ich mir aktuell sicher sein, das keiner kontrolliert. Frei nach dem Motto:

    Seit wann arbeiten sie hier?
    Seit sie mir mit Entlassung gedroht haben!

  9. Re: zum Nachdenken

    Autor: Megusta 09.12.19 - 11:10

    Sobald Linux beliebter wird, wird es auch für Hacker interessanter.

    Ich glaub auch nicht dran, dass der Code von vielen kritisch begutachtet wird, erst recht bei kleineren Projekten. Bei großen Projekten ist es vielleicht sogar noch schlimmer, da jeder glaubt: "bei so einem großen Projekt, wurde der Code von zig Leuten überprüft, da muss ich nicht drüber gucken"

  10. Re: zum Nachdenken

    Autor: Zoj 09.12.19 - 11:11

    chefin schrieb:
    --------------------------------------------------------------------------------
    > sehr interessant, die Argumente durchzulesen und mit der realität zu
    > vergleichen. Schon die nette Aussage, das es keine Gewähr gibt, das jemand
    > drüber schaut, ausser bei populären Projekten (Python ist aktuell eines der
    > populärsten), ist so herrlich naiv.
    Python ist die Sprache, in der die Schadprojekte geschrieben wurden. Die Projekte an sich sind nicht populär gewesen.

    Und von einer Garantie bei populären Projekten hat hier niemand gesprochen, Popularität erhöht lediglich die Wahrscheinlichkeit, dass jemand drüberschaut. Und hier ist das sogar trotz fehlender Popularität geschehen.

    > Wenn man nichtmal da schaut und ein
    > Schadcode der so offensichtlich ist nicht gefunden wird
    Wir scheinen in verschiedenen Dimensionen zu leben. In meiner wurde der Schadcode nämlich gefunden: Der Grund für den Artikel. Wie sieht es bei dir aus?

    Und jetzt stell dir mal Closed Source vor: Du hättest niemals etwas davon erfahren.



    1 mal bearbeitet, zuletzt am 09.12.19 11:14 durch Zoj.

  11. Re: zum Nachdenken

    Autor: Zoj 09.12.19 - 11:13

    Megusta schrieb:
    --------------------------------------------------------------------------------
    > Sobald Linux beliebter wird, wird es auch für Hacker interessanter.
    Linux ist bereits der verbreitetste Kernel auf diesem Planeten, was soll passieren, damit du es als beliebt ansiehst?

  12. Re: zum Nachdenken

    Autor: Megusta 09.12.19 - 11:31

    Zoj schrieb:
    --------------------------------------------------------------------------------
    > Megusta schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sobald Linux beliebter wird, wird es auch für Hacker interessanter.
    > Linux ist bereits der verbreitetste Kernel auf diesem Planeten, was soll
    > passieren, damit du es als beliebt ansiehst?

    ok, muss mich korrigieren:
    beliebt bei den Endanwender oder den Normalsterblichen.

    Es wird immer behauptet Linux ist sicher und Viren frei. Meine Meinung ist, sobald die ganzen normalen Benutzer auf Linux umsteigen, wird es auch mehr Schadsoftware geben. Jemand ohne Erfahrung wird auch unter Linux die eMail mit der "Rechnung.pdf.sh" öffnen und sein Root Passwort eingeben.
    Wenn man sich die "Lücken" anschaut, habe ich das Gefühl dass es immer mehr wird:

    https://www.golem.de/news/unix-artige-systeme-sicherheitsluecke-ermoeglicht-uebernahme-von-vpn-verbindung-1912-145403.html

    https://www.golem.de/news/openssh-putty-sicherheitluecke-in-scp-ermoeglicht-dateiaustausch-1901-138733.html

    usw.

  13. Re: zum Nachdenken

    Autor: Zoj 09.12.19 - 12:03

    Megusta schrieb:

    > Jemand ohne Erfahrung wird auch unter Linux die eMail
    > mit der "Rechnung.pdf.sh" öffnen und sein Root Passwort eingeben.
    Der Witz mit der "Rechnung.pdf.exe" war ja, dass Windows per default Dateiendungen ausblendete.

    Dieser Trick funktioniert also in dieser Weise nicht auf Linux, denn Unix-Desktops werden von Leuten mit Verstand erstellt.

    Edit: Davon abgesehen muss ich dir allerdings Recht geben, es gibt zu viel "curl | bash" auf den Websites dieser Welt. Und damit auch unbedarfte Benutzer, die es ausführen.

    Das beste Betriebssystem kann den Nutzer nicht vor sich selbst schützen, selbst das Gefängnis iOS nicht.

    Meine persönliche Vorliebe für unixoide Systeme kommt daher, dass wann immer ich neugierig bin, wie ein Bestandteil funktioniert, diese auch befriedigt werden kann. Es sind Systeme, die nichts vor dem Nutzer verstecken, höchstens abstrahieren.



    2 mal bearbeitet, zuletzt am 09.12.19 12:10 durch Zoj.

  14. Die Zeit der nerdigen Studenten im Hinterzimmer

    Autor: M.P. 09.12.19 - 12:43

    die in Eigenregie Projekte stemmen, sind zwar noch nicht ganz vorbei.
    Aber in viele Projekten haben inzwischen große Konzerne das Sagen.
    IBM, Facebook, Google, Microsoft und Amazon leisten inzwischen einen erheblichen Beitrag zu Projekten, die sie interessieren, und nutzen auch erhebliche Ressourcen zur Suche von Sicherheitslücken ...

  15. Re: Die Zeit der nerdigen Studenten im Hinterzimmer

    Autor: Zoj 09.12.19 - 12:51

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > IBM, Facebook, Google, Microsoft und Amazon leisten inzwischen einen
    > erheblichen Beitrag zu Projekten, die sie interessieren, und nutzen auch
    > erhebliche Ressourcen zur Suche von Sicherheitslücken ...
    Und deshalb verstehe ich nicht, wie jemand heute noch Vorbehalte gegenüber OSS haben kann:

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Wir reden hier von Open Source, da schauen viele Menschen sich den Sourcecode an. Wie soll es da jemand schaffen all dies Menschen zu übertölpeln? Genau deswegen gibt es schliesslich OpenSource. Sonst könnte man sich das ganze sparen.
    Funktioniert doch!? Sag mal Microsoft und IBM, dass sie sich OpenSource sparen können. Bin gespannt auf die Antworten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Allianz Versicherungs-AG, München Unterföhring
  3. DIEBOLD NIXDORF, Aalen
  4. KION Group AG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

  1. Pakete: Neue DHL-Packstationen nur noch mit App nutzbar
    Pakete
    Neue DHL-Packstationen nur noch mit App nutzbar

    Die DHL testet an rund 20 neuen Packstationen den Betrieb nur mit der App. Die Packstationen haben kein Display mehr.

  2. P-CUP: Ultraschnelle Kamera bildet Ausbreitung von Schockwellen ab
    P-CUP
    Ultraschnelle Kamera bildet Ausbreitung von Schockwellen ab

    Sie ist zwar nur ein Zehntel so schnell wie die schnellste Kamera der Welt; aber dafür kann P-CUP schnelle Prozesse in transparenten Objekten erfassen und vielleicht auch die Kommunikation von Nervenzellen untereinander.

  3. Tarife: Noch kein genauer Starttermin für 5G bei Telefónica
    Tarife
    Noch kein genauer Starttermin für 5G bei Telefónica

    Das 5G-Netz der Telefónica wird bereits aufgebaut. Wann es losgehen soll, ist weiterhin unklar. Doch einige Informationen sind bereits verfügbar.


  1. 18:40

  2. 18:22

  3. 17:42

  4. 17:32

  5. 16:02

  6. 15:15

  7. 15:00

  8. 14:45