Automated Cyber Campaign Creates Masses of Bogus Software Building Blocks

Ilu ilu at fsfe.org
So Jan 15 02:35:45 UTC 2023 

Hallo Joachim,
ich verstehe leider nicht, was dieser Text mit supply chain attacks zu 
tun hat. Mit irgendwelchen Übertragungsgeschwindigkeiten hat das nichts 
zu tun. Ob die Malware schnell oder langsam ankommt, ist völlig egal - 
sie sollte gar nicht ankommen. Bei Signaturen und 
Berechtigungsmanagement müssen NPM, PyPi und Konsorten deutlich 
nachbessern. Repositories wie Debian machen vor, wie es richtig geht. 
Das ist aufwendig und macht halt Arbeit. Automatisch und in Echtzeit 
geht da nichts.

Aber egal, wieviele Sicherheitsmassnahmen die Repositories ergreifen - 
verantwortlich sind und bleiben diejenigen, die libraries in ihrem Code 
verwenden. Wer keine 500 libraries gegenchecken und überwachen will, 
benutzt halt keine 500, sondern nur zwei.

Viele Grüße
Ilu

Am 14.01.23 um 17:41 schrieb Joachim Jakobs:
> Hallo Illu
> 
> eine künftige Datenrate von 1,84 Petabit/s [1] bedeutet, dass 1000 
> Terabyte in vier Sekunden ankommen würden. Das ist ziemlich knapp, um 
> eine unbeabsichtigte oder unrechtmäßige Datenübertragung abzubrechen.
> 
> Das verlangt in der Welt der künftig breitbandig vernetzten Dinge  nach 
> einem System vernetzter Sicherheit -- Sicherheits-/Notfallkonzepte, 
> physikalischer Einbruchschutz, Signaturen/Verschlüsselungen, 
> Berechtigungsmanagement, Pentests, Überwachung von 
> Angriffsoberfläche/Bedrohungen in Echtzeit, ....
> 
> Am 14.01.23 um 09:17 schrieb Ilu:> Unabhängig davon sind natürlich npm 
> und PyPi und andere derartige> Softwareschleudern (fast ohne 
> Sicherheitsmassnahmen) eine eklatante> Schwachstelle *auch* des Open 
> Source Ökosystems, wo dringend ein > besseres Konzept hermuss. Es ist 
> derzeit die Verantwortung des > Programmierers, jede einzelne 
> eingebundenen Fremdbibliothek aus diesen > Quellen sorgfältig *und 
> laufend* zu prüfen. Ich denke da an die zu > trauriger Berühmtheit 
> gelangte "Luca" App, die angeblich ca. 500 externe > Bibliotheken 
> eingebunden hatte ...
> 
> Gutes Beispiel!
> 
> Es geht letztlich um die Frage, über welche Qualifikation die 
> Verantwortliche verfügen muss -- sowie diejenigen, die in ihrem Auftrag 
> SW planen, entwickeln, einrichten, verwalten oder nutzen, um damit 
> vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
> 
> Die Verantwortliche haftet für den Nachweis der Regelkonformität -- 
> letztlich wird das zu einer Diktatur führen, in der niemand mehr den 
> vorgegebenen Pfad verlassen darf, ohne dass das Datenpannen, Geldbußen, 
> Schadenersatz, strafrechtliche Ermittlungen nach sich zieht.
> 
> Gruß Joachim
> 
> [1] 
> https://www.derstandard.de/story/2000140231203/1-84-petabits-neuer-chip-transferiert-mehr-bandbreite-als-das 
>

Mehr Informationen über die Mailingliste FSFE-de