Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 8. Januar 2016, 08:17

Software

Linux.Encoder: Das Laster der fehlerhaften Kryptografie

Der mittlerweile in der dritten Generation nun vorliegende Ransomware »Linux.Encoder« kann immer noch kaum Schrecken unter Linux verbreiten – Gründe dafür sind eine stümperhafte Programmierung und Fehler bei der Implementierung der kryptografischen Funktionen.

Mirko Lindner

Über zwei Monate ist es her, dass auch unter dem freien Betriebssystem eine Schadsoftware bekannt wurde, die das Ziel hatte, die Nutzer des Systems zu erpressen. »Linux.Encoder«, so der Name, ist ein Verschlüsselungstrojaner, dessen Funktionsweise an »CryptoLocker« unter Windows erinnert. Der Schädling lädt nach dem Start fehlende Komponenten aus dem Internet herunter und startet sein Treiben, indem er Dateien verschlüsselt.

Dass es sich bei der Anwendung allerdings um eine relativ harmlose Software handelte, wurde bereits kurz nach der Freigabe bekannt. Spätestens aber, als Sicherheitsforscher die Software auseinandernahmen und es analysierten, wurde klar, dass »Linux.Encoder« nicht zu den Sternstunden der Programmierarbeit gehört. So nutzte die Software unter anderem den Timestamp als Seed für die Erstellung der Schlüssel, sodass die befallenen Systeme problemlos entschlüsselt werden konnten. Doch auch die zweite Generation des Schädlings glänzte nicht durch Raffinesse, sodass sie durch einen Nachfolger abgelöst werden musste.

Nun müssen die Angreifer allerdings wiederholt lernen, dass das Schreiben von kryptografischen Implementierungen nicht einfach ist. Nachdem sie in der zweiten Generation fälschlicherweise srand() nutzten, haben sie in der aktuellen Generation vergessen, bei der Erstellung des AES-256-Schlüssels korrekt die Hashes zu generieren. Auch hier ist es deshalb wieder möglich, die so verschlüsselten Dateien zu rekonstruieren – zur Freude der Betroffenen und zum Leidwesen der Erpresser.

Bei aller Freude sollte aber immer noch nicht vergessen werden, das Linux.Encoder diverse Systeme befallen hat. Bei einer korrekten Funktion hätten etliche Anwender unter Umständen erpresst werden können. So wurden laut Aussage von Bitdefender bis heute über 600 Server von dem Schädling befallen. Als Vertriebsweg dienen teils schon länger bekannte Sicherheitslücken, wie beispielsweise die des Magento-Shopsystems. Administratoren, die einen Befall verhindern wollen, sind deshalb auch unter Linux vor dem Einspielen von Sicherheitsupdates nicht befreit.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung