Automated Cyber Campaign Creates Masses of Bogus Software Building Blocks
Ilu
ilu at fsfe.org
So Jan 15 02:35:45 UTC 2023
Hallo Joachim,
ich verstehe leider nicht, was dieser Text mit supply chain attacks zu
tun hat. Mit irgendwelchen Übertragungsgeschwindigkeiten hat das nichts
zu tun. Ob die Malware schnell oder langsam ankommt, ist völlig egal -
sie sollte gar nicht ankommen. Bei Signaturen und
Berechtigungsmanagement müssen NPM, PyPi und Konsorten deutlich
nachbessern. Repositories wie Debian machen vor, wie es richtig geht.
Das ist aufwendig und macht halt Arbeit. Automatisch und in Echtzeit
geht da nichts.
Aber egal, wieviele Sicherheitsmassnahmen die Repositories ergreifen -
verantwortlich sind und bleiben diejenigen, die libraries in ihrem Code
verwenden. Wer keine 500 libraries gegenchecken und überwachen will,
benutzt halt keine 500, sondern nur zwei.
Viele Grüße
Ilu
Am 14.01.23 um 17:41 schrieb Joachim Jakobs:
> Hallo Illu
>
> eine künftige Datenrate von 1,84 Petabit/s [1] bedeutet, dass 1000
> Terabyte in vier Sekunden ankommen würden. Das ist ziemlich knapp, um
> eine unbeabsichtigte oder unrechtmäßige Datenübertragung abzubrechen.
>
> Das verlangt in der Welt der künftig breitbandig vernetzten Dinge nach
> einem System vernetzter Sicherheit -- Sicherheits-/Notfallkonzepte,
> physikalischer Einbruchschutz, Signaturen/Verschlüsselungen,
> Berechtigungsmanagement, Pentests, Überwachung von
> Angriffsoberfläche/Bedrohungen in Echtzeit, ....
>
> Am 14.01.23 um 09:17 schrieb Ilu:> Unabhängig davon sind natürlich npm
> und PyPi und andere derartige> Softwareschleudern (fast ohne
> Sicherheitsmassnahmen) eine eklatante> Schwachstelle *auch* des Open
> Source Ökosystems, wo dringend ein > besseres Konzept hermuss. Es ist
> derzeit die Verantwortung des > Programmierers, jede einzelne
> eingebundenen Fremdbibliothek aus diesen > Quellen sorgfältig *und
> laufend* zu prüfen. Ich denke da an die zu > trauriger Berühmtheit
> gelangte "Luca" App, die angeblich ca. 500 externe > Bibliotheken
> eingebunden hatte ...
>
> Gutes Beispiel!
>
> Es geht letztlich um die Frage, über welche Qualifikation die
> Verantwortliche verfügen muss -- sowie diejenigen, die in ihrem Auftrag
> SW planen, entwickeln, einrichten, verwalten oder nutzen, um damit
> vernetzte Geräte zu steuern oder personenbezogene Daten zu verarbeiten.
>
> Die Verantwortliche haftet für den Nachweis der Regelkonformität --
> letztlich wird das zu einer Diktatur führen, in der niemand mehr den
> vorgegebenen Pfad verlassen darf, ohne dass das Datenpannen, Geldbußen,
> Schadenersatz, strafrechtliche Ermittlungen nach sich zieht.
>
> Gruß Joachim
>
> [1]
> https://www.derstandard.de/story/2000140231203/1-84-petabits-neuer-chip-transferiert-mehr-bandbreite-als-das
>
Mehr Informationen über die Mailingliste FSFE-de