Linux und Ich

Blog über Ubuntu, Linux, Android und IT

Lizenziert unter CC-BY-SA von Sanjay Acharya via Wikipedia

Malware in .deb Paket von gnome-look.org

| 20 Kommentare

Zur späten Stunde mache ich es sehr kurz. Auf gnome-look.org ist ein Eintrag mit einem .deb-Paket für einen vermeintlichen Bildschirmschoner aufgetaucht, der anstatt einem Bildschirmschoner eine kleine Routine für eine simple DOS-Attacke enthält. Ich gehe morgen im Laufe des Tages genauer darauf ein. Ihr könnt mittels…

$ ps aux | grep ping
user     28835  0.4  0.0   1940   800 pts/2    S+   03:05   0:00 ping -s 65507 www.mmowned.com

…überprüfen ob Ihr Euch das Ding installiert habt. Falls dieser Ping auftaucht, dann könnt Ihr via…

$ sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

alles rückgängig machen. Das Paket wurde von gnome-look.org entfernt. Es wurden auch keine Sicherheitslücken ausgenutzt. Betroffen sind nur Leute, die sich dieses Paket selber auf den Rechner geholt haben. Später mehr…

Autor: Christoph

Hallo, ich bin Christoph -- Linux-User, Blogger und pragmatischer Fan freier Software. Wie Ihr ohne Zweifel bemerkt haben solltet schreibe ich hier über Linux im Allgemeinen, Ubuntu im Speziellen, sowie Android und andere Internet-Themen. Wenn du Freude an meinen Artikel gefunden haben solltest, dann kannst du mir über Facebook, Google+ oder Twitter oder natürlich dem Blog folgen.

20 Kommentare

  1. Wer ein DEB-Paket aus nicht-offizieller Quelle installiert und zusätzlich den Autor nicht kennt, muss eigentlich immer damit rechnen, dass das Paket Schadcode enthalten kann. Aber das sollte ohnehin eine der ersten Lektionen sein, die ein PC-Nutzer und Linuxer erst recht lernt. :D

  2. Autsch, das ist böse…bin auf deine weiteren Infos gespannt!

  3. Ich hab ja drauf gewartet, dass sowas mal passiert

  4. Darauf hab ich auch gewartet. Wann gibt es ENDLICH mal eine Möglichkeit, dass Änderungen an Dateien wie /etc/profile.d oder ~/.profile.d überwacht und gemeldet werden? Das wäre das Minimum.

    Es war doch klar, dass genau so die ersten “Angriffe” auf Linux erfolgen, aber keiner will es wahr haben. Also wann wachen die Entwickler endlich auf? Die Schonzeit ist vorbei. Die Warnungen vor Fremdpaketen sind nutzlos, weil es einfach nicht jede Software in den Quellen gibt.

  5. Burli, ich würde den Ball mal flach halten. Wir reden hier mämlich vom gleichen Sicherheitsproblem das es unter Windows oder jedem OS auch gibt: Leute die Sachen installieren auf nicht vertrauenswürdigen Quellen fangen sich halt nunmal so sachen ein.

    Da habe ich kein Mitleid, und ich denke auch nicht das der Distributor hier sonderliche viele Möglichkeiten hat.

    mfg Betz Stefan

  6. @Stefan: dann dürfte Linux für die meisten ein unbrauchbares System sein. Denn es gibt einfach zu viel Software, die man NICHT aus den Ubuntuquellen installieren kann. Ich muss auch auf Software zurückgreifen, die sich nicht in den Quellen befindet.

    Zugegeben, Bildschirmschoner ist nichts lebenswichtiges und erinnert mich stark an Windows Zeiten, aber es gibt auch andere Software.

    Ist es denn so schwer, wenn die paar Autostartmöglichkeiten auf Änderungen überwacht werden? Änderungen am Dateisystem überwachen kann Linux nämlich.

  7. @burli: das löst doch das Problem nicht. In diesem Fall wurde ja ein Paket installiert. D.h. man hat einer fremden Anwendung alle Rechte der Welt eingeräumt. Wie willst du dich denn da mit einer Dateiüberwachung schützen? Das Paket hätte ja in den pre-install-hooks auch einfach mal die Überwachung ausschalten können, rootkit Techniken anwenden oder sonst was machen können. Denk daran: es wird mit root Rechten ausgeführt. Alles was den User benachrichtigen oder protokollieren könnte, kann einfach beendet werden.

    Das Problem sitzt in so einem Fall einfach vor dem Rechner: man installiert etwas von einer fremden Quelle und gibt dem sogar Rootrechte. Zur Erinnerung: http://ikhaya.ubuntuusers.de/2006/11/20/eine-kleine-geschichte-ueber-fremde-paketquellen/

  8. Dann muss die Überwachung eben derart verankert sein, dass man sie nicht einfach so beenden kann.

    Das gleiche Script kann aber auch mit Userrechten arbeiten.

    Egal wie, ich bin der Überzeugung, dass Linux hier etwas tun muss. Sollte Linux wirklich irgendwann mal die 5 oder sogar 10% Marke überschreiten wird so etwas kommen. Und ihr könnt über Fremdpakete noch so lange predigen, dass wird keinen interessieren. Ihr könnt nicht sämtliche 0815 PC User zu Linux Experten machen, egal wie viel ihr predigt oder euch hinterher hinstellt und sagt “ich hab’s ja gesagt”.

    Ich bin auch auf Fremdpakete angewiesen, weil die entsprechenden Programme nicht in den Quellen sind. Wäre ich ausschließlich auf die Quellen angewiesen würde ich nicht weit kommen.

    Wenn die User erstmal lernen, wie man *.deb’s installiert und PPAs einbindet werden bei ausreichender Verbreitung von Linux genau solche Angriffe wie dieser kommen, nur dass dann vielleicht wirklich ein funktionierender Bildschirmschoner installiert wird. Und Linux hat dem nichts entgegenzusetzen. Dann wird es Linux genauso ergehen wie Windows.

  9. Dann muss die Überwachung eben derart verankert sein, dass man sie nicht einfach so beenden kann.

    Bitte beschäftige dich ein bißchen mit IT Sicherheit und den unixoiden Systemen. root darf alles! Wie willst du unterscheiden zwischen einem Paket das legal die Überwachung ausschaltet (e.g. Sicherheitsupdate) und einem das nicht legitim (e.g. Malware) die Überwachung ausschaltet? Wenn du dazu eine Lösung hast, dann solltest du ganz schnell noch einen Vortrag für den CCC nachreichen.

    Du kannst ein System noch so sicher machen, wie du willst. Der Faktor Mensch bleibt das Einfallstor. Wer ungeprüfte Fremdpakete/Quellen verwendet, kann sich Malware einfangen – genauso wie unter Windows oder jedem anderen System.

  10. Natürlich ist der Faktor Mensch ein entscheidender Faktor. Wenn ich mein Auto mit offener Tür und steckendem Schlüssel in einer dunklen Ecke parke kann das Auto nichts dafür, wenn es geklaut wird. Es kann auch genauso geklaut werden, wenn es abgeschlossen auf einem überwachten Parkplatz steht. Aber dann hat das Auto zumindest getan was es konnte, um zumindest einem zufällig vorbeilaufenden Ganoven das Leben so schwer wie möglich zu machen.

    Und ich wiederhole gern nochmal: für solche Geschichten braucht man KEINE root Rechte. Sowas geht auch wunderbar im Userspace. Dann ist es halt kein Bildschirmschoner sondern irgend ein banales Programm. Einmal runtergeladen und gestartet hängt es sich in ~/.profile oder ~/.config/autostart und kann munter im Hintergrund Unfug treiben.

  11. Burli, das ist doch alles kein Grund in Panik zu verfallen. Es ist IMMER möglich, dass Programme Daten löschen, die sie löschen dürfen. Ein passendes Programm hat ein 12 Jähriger im Informatikuntericht in fünf Minuten erstellt. Er muss dich nur dazu bringen es auszuführen. Da hilft dir dann kein Virenscanner und keine andere Sicherheitssoftware.

  12. Schreibe ich Chinesisch? Schreibe ich hier von irgendwas so radikalem und offensichtlichem wie Dateien löschen?

    Ich rede davon, dass es kein Problem ist, ein Programm heimlich in den Autostart im Userspace zu hängen, welches ohne Probleme unbemerkt z.B. das Adressbuch von Thunderbird durchsuchen und verschicken kann. Oder einfach Spam an die gefundenen Adressen versendet.

    Ich hab deshalb keine Panik, weil ich zumindest halbwegs weiß, was ich tut. Aber ihr könnt das nicht von der breiten Masse erwarten. Microsoft musste diese Lektion lernen, Linux wird sie noch lernen, wenn sich die Einstellung nicht ändert.

  13. @burli: Jede Software, die du mit Root-Rechten installierst, kann alles mögliche installieren. Egal ob du nun irgendwelche Verzeichnisse überwachst oder nicht. (Wenn du das möchtest, beschäftige dich doch mal mit Tripwire und/oder AIDE. Allerdings macht das einen Haufen Mehrarbeit, weil nach jedem regulären Update natürlich eine ganze Reihe Prüfsummen nicht mehr stimmen.)

    Die Verallgemeinerung “Fremdquellen sind böse, benutze sie nicht” ist aber etwas missverständlich. Wenn man es genau nimmt, sind die Ubuntu-Repos auch bloß eine Quelle wie jede andere, aber offensichtlich vertraut man denen als Ubuntu-Benutzer. Genauso musst du eben bei anderen Repos entscheiden, ob du den Betreibern vertraust oder nicht. Es geht also nicht darum, Fremdquellen ja oder nein, sondern darum welche Fremdquellen vertrauenswürdig sind, weil sie bspw. von den Autoren einer Software selbst oder einer bekannten, respektablen Persönlichkeit gepflegt werden, und welche nicht, weil sie irgendeinem Hans oder Franz gehören oder im Extremfall komplett anonymen Upload erlauben.

  14. Langsam, langsam. Es besteht ein ganz wesentlicher Unterschied zwischen Unix-ähnlichen und Windowssystem, nämlich der, dass es noch keinem gelungen ist, einen Virus zu schreiben, der sich selbst verbreitet, sprich selbständig am Zielsystem installiert unter Ausnützung von Sicherheitslücken, ibs. in der Rechteverwaltung und an der Netzschnittstelle. Das ist eine Besonderheit von Windows!

    Ein Linux-Schadprogramm ist zwar ein Schadprogramm, aber kein Virus. Es ist darauf angewiesen, dass es der Benutzer manuell installiert, selbst wenn dies unbewusst erfolgt. Schon deshalb sind Linux-Schadprogramme, unabhängig von einer möglichen weiten Verbreitung von Linux, für Schadprogrammschreiber relativ unattraktiv, weil sie unter Windows mit demselben Aufwand ungleich mehr erreichen können.

    So dumm sind User nämlich auch nicht, dass sie, wenn sie ein Email bekommen, rufen: “Hurra, ein .deb-Paket! Das muss ich gleich mal mit sudo installieren!”

  15. Ich geb euch ja Recht, wenn man *.deb Pakete installieren will. Das ist schon schlimm genug, dass hier Tür und Tor offen stehen.

    Aber ich rede von Software, die NICHT installiert wird. Ich habe z.B. zu Testzwecken Thunderbird 3 runtergeladen. Einfach das Archiv nach ~/thunderbird entpacken und dort ausführen. Alles OHNE Rootrechte. Kein sudo make install, sudo dpkg oder ähnliches. Ich muss Thunderbird noch nichtmal ausführbar machen. Nach dem Entpacken ist alles fertig. Nur noch anklicken. Braucht nichmal eine Konsole

    Wenn jetzt irgend einer auf die Idee kommt, an Thunderbird eine kleine Wanze anzuhängen, die sich in ~/.profile oder ähnliches hängt und deren Binaries irgendwo in ~/.trallala/hastenichgesehen versteckt sind hab ich ein Problem.

    Und es gibt nichts, was das verhindert. Hätte ich es auf Linux abgesehen wäre das mein erstes Einfallstor.

    @Gerald: stimmt schon, es ist erheblich schwieriger, dass sich klassische Viren unter Linux automatisch installieren. Aber wem es noch nicht aufgefallen ist: unter Windows ist dieser “klassische” Virus auch kaum noch zu finden. Hier sind die Einfallstore vor allem Webseiten und Javascript. Und dagegen ist auch Linux nicht geschützt. Die Webseite kann vielleicht keine Rootkits im System installieren, aber im Userspace verstecken ist mit der passenden Sicherheitslücke kein Problem.

    Und dann gibt es immer noch der klassische Mailanhang. Er muss nichtmal automatisch gestartet werden. Es gibt genug User, die den öffnen und starten werden. Es gibt ja inzwischen Möglichkeiten, Javascript in Bildern und Videos zu verstecken. Es muss sich nur einer die Mühe machen und nach passenden Sicherheitslücken suchen, wenn die überhaupt nötig sind.

  16. @Burli: Und von wo hast du Thunderbird runtergeladen? Von der offiziellen Seite oder irgendwo von warez.ru? Wer sollte denn die “Wanze” dort einbringen?

  17. Och komm, du weißt genau, wie ich es meine. Thunderbird war jetzt nur ein Beispiel dafür, dass man ein Programm ohne Root Rechte auf dem Rechner “installieren” und ausführen kann. Das kann jedes beliebige Programm sein, auch aus einer “vermeintlich” vertrauenswürdigen Quelle.

    Anderes Beispiel: Der Adblock Programmierer bekommt einen Anfall von Machthunger und Größenwahn und programmiert sein millionenfach installiertes Addon so, dass es im Userspace einen Trojaner installiert, der sich automatisch in ~/.profile (oder anderswo, gibt ja noch mehr) einhängt. Nach einem Update von Adblock hat man sich den Trojaner eingefangen. Nach 2-3 Tagen macht er die Änderung rückgängig und beim nächsten Update sind alle Spuren verschwunden.

    Jaaa, ich weiß. Fremdquellen und vertrauenswürdig blablabla. Fakt ist, es geht! Und Linux tut nichts dagegen außer immer die gleiche Leier zu predigen, dabei wäre die Überwachung aller Autostartmöglichkeiten im Userspace nun wirklich kein Problem.

    Fehlt euch die Phantasie? Oder hattet ihr noch nie Support mit DAUs? Selbst ein erfahrener und alles andere als dummer Informatiker hat sich vor ein paar Monaten einen Windows Schädling eingefangen, trotz aller Vorsicht und Kenntnis. Was glaubt ihr passiert, wenn mal 80% der Linux User unter die Kategorie DAU fallen? Da könnt ihr warnen und predigen bis euch der Arsch blutet. Die Warnungen verhallen im Hintergrundrauschen des Internet

  18. Bin leider erst etwas später dazu gekommen das Thema auszuarbeiten. Das hier sollte nur die Info ins Netz bekommen. Ich bitte Euch hier weiterzudiskutieren.

  19. @burli: ich hab mir sogar schon mal einen Bot auf einem meiner Linuxsysteme eingefangen. Wo lag das Problem? PEBCAK

    Natürlich kann und wird es Programme geben, die die menschliche Schwachstelle ausnutzen (was anderes ist es ja nicht). Davor schützen? Nahezu unmöglich. Wie man auf so einen “Angriff” reagieren wird, hat man an der openSSL Schwachstelle gesehen. Es werden “Reinigungspakete” nachgeschoben werden. Soetwas kann man auch als Signaturen von Virenscannern ansehen.

    Aktuell gibt es dafür aber schlicht keinen Bedarf. Heuristiken sind eine ganz tolle Idee für ein freies und offenes System, da der Angreifer sich schön anschauen kann, worauf die Heuristik abzielt und es leicht umgehen kann. Das funktioniert nicht.

  20. Pingback: Gastbeitrag: Über Linux, Windows und Mac OS X

Hinterlasse eine Antwort

Auf Linux und Ich darf anonym kommentiert werden. Die Felder für Name und E-Mail-Adresse dürfen beim Eintragen eures Kommentars leer bleiben. Ich freue mich aber über jeden Kommentar, zu dem der Autor mit seinem Namen steht.