Ein wahrlich "leckeres Osterei". Da kommen Stuxnet-Erinnerungen zurück ...
Tolle Neuigkeiten: Es soll derzeit nicht möglich sein, einen Scanner zu bauen. Das Paket ist in SID drin (ein Argument, dieses NICHT zu benutzen, obwohl mich das mal reizen würde). Und die Abhängigkeiten bis hin zu SystemD (was eine Steilvorlage ist und mich in dessen Ablehnung bestätigt). Ergo: Ein Init-Prozess hat so wenige Abhängigkeiten wie möglich zu haben! Aber in diesen verfeatureten Zeiten stehe ich mit solch einer Einstellung wohl ziemlich alleine da.
Und war da nicht was, dass DEBs inzwischen auch mit XZ komprimiert sind?
Ich bin überzeugt davon, dass sich der/die AngreiferIn daher sehr wohlüberlegt genau diese Bibliothek ausgesucht hat. Und vermutlich ist dies wieder eine jener Riesenlücken, die uns alle in den digitalen Untergang reißt und auf Jahre beschäftigen wird (Weiß jemand was zu XZ und Win/Mac?)
Übrigens: Was die Sache mit dem Init-Prozess angeht, gab's gerade ein überaschendes Update:
www.linux-magazin.de/news/sysv-init-3-09-bietet-zwei-groessere-neuerungen/
Es hat schon seine Gründe, warum ich auf Distros stehe, die nicht auf dem monopolen SystemD aufsetzen (was ein ganz anderes Thema ist).
Summasumarum brauchen wir Strukturen, die kontrollieren, dass solch elementare Bibliotheken und Programme (inkl. OpenSSH) nicht kaputtgehen können (Ja, das kostet zunächst Geld, aber spart am Ende wohl auch dieses). In wie fern diese aber auch helfen gegen das - hier wohl erfolgreich praktizierte - Social Hacking, ist natürlich fraglich. Das Spamaufkommen in meinem Posteingang zeigt, wie potenziell erfolgreich solche Angriffsszenarien heute immer noch sind. Man sollte doch meinen, dass die Leute inzwischen gelernt haben, nicht mehr auf solche Versuche hereinzufallen. Obwohl: wenn ich mir die jährliche Liste der beklopptesten Passwörter ansehe, dann wundert mich nichts mehr. Und dennoch würde ich doch vermuten, dass die Distros Bauenden sich nicht so einfach austricksen lassen.
Das alles ist ziemlich erschreckend.
