Kodsnack

Fredrik får besök av Peter Magnusson från grannpodden Säkerhetspodcasten, som hjälper till att reda ut vad som egentligen hänt kring bakdörren i komprimeringsbiblioteket XZ. Under påsken upptäcktes en bakdörr i XZ, som hade potential att ge upphovspersonerna tillgång till maskiner som kör saker som SSH och Systemd. Bakdörren var gömd i binärfiler för testfall, byggd för att inte märkas, och allt som behövdes hade smugits in över tid efter en koordinerad kampanj där upphovspersonerna gavs maintainerbehörighet till XZ. Peter reder ut vad som hänt, framgångar och misstag från angriparnas sida, och ger en säkerhetsinsatts perspektiv på det hela. Det är fascinerande att hela aktionen skett helt i det öppna och helt dokumenterad i text - e-post, commits och så vidare. Dessutom är det intressant att spekulera över vilka som kan tänkas ligga bakom, och vad det betyder med de misstag som faktiskt gjorts i processen och koden. Och givetvis det läskiga i att överarbetade underhållare av öppen källkod kan göras till målt