Eine Linux Hintertür

Anscheinend war einiges los in Abwesenheit der Weltöffentlichkeit. Ich hatte es bei Fefe schon mal auszugsweise gesehen, aber wie groß das Drama dahinter ist, war mir nicht bewusst.

Ich versuch das mal wiederzugeben so gut ich kann. Server werden gerne mit SSH(Secure Shell) angesteuert um darauf herum zu hantieren. Ein Dienst namens SSHD ist vermutlich der Demon davon, also ein Dienst der immer läuft. Damit das Ganze schön läuft, werden einige Bibliotheken geladen, unter anderem eine die xz heißt. Diese wird/wurde von einem einzigen freiwilligen Programmierer betreut.

Das Problem: Der Programmierer hatte psychische Probleme und offenbar schon starkes Burnout. Er nahm die Hilfe von weiteren Kollegen dankend an. Doch diese schleusten (soweit ich das verstanden habe) über Jahre hinweg, langsam fremden Code ein.

Hier wird es dann etwas rätselhaft für mich: Der Code ist nicht offiziell zu sehen, sondern nur in einer Testumgebung, oder so ähnlich. Das hieße dann, auf diese Art und weise hätte das wohl nie einer gefunden. Aber, ABER: Ein gewiefter Programmierer (eher ein nerdiger Nerd), dem fiel auf, dass diese Bibliothek eine halbe Sekunde mehr zum Laden brauchte und die CPU Last höher ausfiel.

In der Beschreibung von Heise wird auch beschrieben, dass es Methoden von Geheimdiensten sind, die als NOBUS bezeichnet werden. "Nobody, but us"(keiner außer uns). Das erinnert mich an (damals) die Netgear Router, wo Geheimdienste Fehler kannten und nicht mal Netgear darüber informierten.

Da hatten wir wohl Glück, dass es Nerds gibt, denen so etwas auffällt.

https://www.heise.de/hintergrund/Die-xz-Hintertuer-das-verborgene-Oster-Drama-der-IT-9673038.html