Anthropic feiert tausende Zero-Days. Andres Freund hat 500 Millisekunden gefunden.

Anthropic feiert tausende Zero-Days.

Andres Freund hat 500 Millisekunden gefunden. März 2024. Ein Postgres-Entwickler bei Microsoft loggt sich per SSH auf seine Debian-Maschine ein. Eine halbe Sekunde zu langsam. Die meisten hätten mit den Schultern gezuckt. Debian Sid ist halt manchmal komisch. Er nicht. Valgrind. Speicherfehler. liblzma. xz Utils. Ein Backdoor, über zwei Jahre von einem Phantom-Maintainer namens "Jia Tan" in die Library eingeschleust. CVE-2024-3094. CVSS 10.0. Remote Root auf praktisch jedem Linux-Server der Welt, der SSH spricht. Ein paar Wochen später wäre das Ding in Debian Stable gewesen. In RHEL. In Ubuntu LTS. In jedem Cloud-Image, jeder CI-Pipeline. Gestoppt, weil einem Mann eine halbe Sekunde komisch vorkam. Zwei Jahre später launcht Anthropic Mythos. Tausende Zero-Days in jedem großen Betriebssystem. Project Glasswing. 100 Millionen Dollar Credits. CrowdStrike, Amazon, Apple, JPMorgan an Bord. Die Cybersecurity-Revolution. Aber. xz war kein Bug im Code. xz war ein Build-Script, das zur Build-Zeit einen Payload aus angeblichen Testdateien zusammengesetzt hat. Ein Code-Scanner sieht davon nichts. Der Payload existiert im Repo gar nicht. Er entsteht erst beim Bauen. Der Angriff lag außerhalb des Scan-Fensters. Entdeckt durch Laufzeitverhalten auf einem Entwickler-Rechner. Durch einen Menschen mit Bauchgefühl für CPU-Latenz. Wir bauen immer bessere Scanner für den Code, den wir sehen. Die gefährlichsten Angriffe passieren in dem Raum, den kein Scanner sieht. Build-Systeme. Supply Chains. Maintainer-Vertrauen. Sozialer Kontext über Jahre. Mythos findet Bugs. Andres Freund hat ein Muster gefunden, das gar kein Bug war. Das ist nicht dasselbe. Der bisher wichtigste Fund in der Geschichte der Supply-Chain-Security kam von einem Menschen, der auf seine eigene Maschine geachtet hat. Nicht auf einen Alert. Nicht auf ein Dashboard. Auf ein Gefühl. Je mehr wir automatisieren, desto wertvoller werden die Leute, die noch hinschauen. Und desto weniger davon bilden wir aus. Übrigens. Andres Freund arbeitet bei Microsoft. Ironie, dass ein Developer von Microsoft die Linux Community vor diesem weltweiten Angriff geschützt hat... Tata.