XZ Utils: Det alvorligste supply chain-angreb, der mislykkedes

Hør om hvordan angrebet på XZ Utils blev gennemført og om nogle af de interessante og bekymrende forhold omkring angrebet

Med udgangspunkt i angrebet rettet med XZ Utils sætter vi fokus på udfordringen med software supply chain-angreb, og hvordan de kan håndteres.

XZ er et datakompressionsformat, der anvendes i næsten alle udgaver af Linux, herunder kommercielle distributioner. XZ-formatet er implementeret i XZ Utils, der er et open source-bibliotek, som anvendes både som et standalone værktøj og som en komponent i meget andet software på Linux systemer.

Den 29. marts 2024 blev det opdaget, at der var blevet placeret en bagdør i distributionen af den seneste version af XZ Utils på GitHub. Bagdøren gjorde det muligt for bagmanden at få fuld administrator adgang til ramte systemer via ssh. Placeringen af en bagdør i XZ Utils kunne således have udviklet sig til et af de mest alvorlige supply chain-angreb nogensinde og potentielt have efterladt millioner af systemer åbne for angreb. At angrebet ikke lykkedes, men blev bremset i tide, skyldes en enkelt meget vågen udvikler hos Microsoft.

Efter angrebet på XZ Utils sidder vi således tilbage med flere spørgsmål end svar.

Angrebet på XZ Utils er blot det seneste i en efterhånden lang række af såkaldte software supply chain-angreb, hvor en angriber får placeret ondsindet kode i softwareprodukter, som der i øvrigt er fuld tillid til. På denne måde misbruger angriberen vores tillid til disse produkter til at gennemføre deres angreb.

På gå-hjem-mødet sætter vi fokus på, hvordan angrebet på XZ Utils blev gennemført og fortæller om nogle af de interessante og bekymrende forhold omkring angreb, bl.a. hvordan det efter en langvarig opbygning af tillid og brug af social engineering lykkedes angriberne at få adgang til XZ Utils GitHub repository, hvordan bagdøren blev implementeret, og ikke mindst hvordan den blev opdaget.

Endvidere gennemgås andre eksempler på software supply chain-angreb - herunder NotPetya-angrebet, der bl.a. ramte Maersk i 2017, og angrebet via SolarWinds i 2020.

Angrebet åbner også op for en lang række ubesvarede spørgsmål - bl.a. hvem der stod bag angrebet, hvad målet var, og hvad konsekvenser kunne have været, hvis bagdøren ikke var blevet opdaget. Endelig sættes fokus på skrøbeligheden omkring meget kritisk open source-software (OSS), samt hvad vi kan gøre, og hvorfor det er så svært at håndtere sårbarheder i open source.

Gå-hjem-mødet afsluttes med mulighed for en drøftelse af de mere langtrækkende perspektiver ved angrebet - bl.a. truslen fra software supply chain-angreb, sikkerheden omkring open source software, og hvorvidt kommerciel closed source software er mere sikker?

Vi serverer pizza undervejs.

Oplægsholder
Jacob Herbst er partner og teknisk chef (CTO) i Dubex og følger udviklingen på sikkerhedsområdet tæt. Jacob Herbst er bl.a. medlem af det Nationale Cybersikkerhedsråd, forperson for policy board for cybersikkerhed i IT-Branchen, bestyrelsesmedlem i Dansk Automationsselskab og er her ansvarlig for Netværket for industriel it-sikkerhed, samt deltager i arbejdet i Bestyrelsesforeningens Center for Cyberkompetencer. Endelig bliver Jacob Herbst brugt flittigt i medierne, bl.a. af DR, TV2, Børsen, Finans, Computerworld og Version2. Jacob Herbst er uddannet civilingeniør fra DTU med speciale i datasikkerhed og har arbejdet med cyber- og informationssikkerhed siden 1995.

Dato

Start13. aug 2024 17:30
Slut13. aug 2024 19:30

Sted

PROSA København, mødelokalet PASCAL

Vester Farimagsgade 37A

1606 København V

Se på kortRejseplan

28 ud af 42 pladser tilbage

Kontakt

Lulu kursus@prosa.dk og Ole Tange ota@prosa.dk

Bliv medlem af PROSA

Som medlem af PROSA får du en lang række fordele, som bl.a.

Gratis kurser

Juridisk rådgivning

Faglige netværk

Gode bankaftaler og forsikringer

Læs mere