Software::Netzwerk
UnrealIRCd: Fehler im System
Wie die oft beschworene und als gegeben angenommene Sicherheit eines Linux-Systems ausgehebelt werden kann, zeigt der Fall von UnrealIRCd. Das Projekt vertrieb über ein halbes Jahr lang einen Trojaner, ohne dass die Mitglieder oder Anwender es gemerkt haben. Ein Kommentar.
Fragt man Dell, so ist Linux sicher. Die Anwender des Systems wissen das ohnehin und verweisen oftmals auf die kaum vorhandenen Viren unter Linux. Erscheint doch ein Schädling, so gleicht er einem Kuriosum, schaffte es der Entwickler doch, diverse Hürden und Sicherheiten von Linux umzugehen.
Dass Angreifer unter Linux nicht direkt jedes einzelne System anzugreifen brauchen, zeigt der Fall UnrealIRCd. Wie die Administratoren des beliebten Daemons am Wochenende bekannt gaben, versteckte sich in den Quellen bereits seit November des vergangenen Jahres ein Trojaner, der es dem Angreifer ermöglichte, Kommandos unter den Rechten des Daemons zu starten. Bemerkt wurde das veränderte Paket, das auch von zahlreichen Mirror-Servern erhältlich war, allerdings erst jetzt – über ein halbes Jahr nach der ursprünglichen Änderung.
Damit sich der Vorfall nicht wiederholen kann, wollen die Entwickler nun ihre Veröffentlichungen mittels PGP/GPG signieren. Darüber hinaus soll nun die Hauptseite vom Rest des Projektes isoliert werden. Als weitere Maßnahmen kündigten die Verantwortlichen die Einrichtung eines Einbrucherkennungssystems und weitere Schutzmechanismen an. Das dürfte sicherlich reichen, was allerdings bleibt, ist der fade Geschmack des sorglosen Umgangs mit Dateien.
Ungeachtet des entstandenen Imageschadens für das Projekt zeigt der Fall auf eindrucksvolle Art und Weise, wie unbekümmert Administratoren, Entwickler und Anwender mit Daten umgehen. Als gottgegeben wird angenommen, dass die Quellen eines Projektes schon dem entsprechen, was es verspricht. Es wird heruntergeladen, compiliert und ausgeführt. Kaum ein Anwender macht sich die Mühe, heruntergeladene Dateien mittels eines Virusscanners zu überprüfen. Von einem so oft beschworenen kollektiven Review der Quellen gar nicht zu reden. Denn der Fall UnrealIRCd belegt vor allem die These, dass in der Regel nur ein kleiner Kreis die Quellen wirklich kennt. Ein Anwender nutzt und kontrolliert sie kaum.
Exemplarisch an dem Fall ist auch der sorglose Umgang mit Dateien in vielen, auch bekannten, Projekten und gar Distributionen. Die Überprüfung der Integrität eines Pakets mittels Checksummen scheint sich immer noch nicht bei allen Verantwortlichen herumgesprochen zu haben. Auch die integrale Prüfung der vertriebenen Pakete ist, wie der Fall von UnrealIRCd zeigt, nicht überall angekommen. Von Systemen, die einen Einbruch erkennen können, kann man wohl nur träumen, wenn schon so elementare Mechanismen nicht eingesetzt werden.
Es ist sicherlich falsch, nun auf UnrealIRCd einzudreschen. Vielmehr sollte der Vorfall für unzählige Projekte ein Ansporn sein, sich mit der eigenen Sicherheit auseinander zu setzen. Es hätte genauso andere Projekte treffen können, die auf dieselbe Art und Weise ihre Quellen vertreiben, wie es einst UnrealIRCd tat – ungeprüft und ungeschützt. Der Vorfall sollte auch für manche Anwender ein Weckruf sein, denn es ist eine trügerische Sicherheit, die oftmals den Alltag von Linux-Anwendern beherrscht. Das vielzitierte Mantra, nachdem man unter Linux von jeglichen Viren- oder Backdoor-Angriffen geschützt sei, mag zwar im Kern stimmen, gilt aber nur so lange, wie Entwickler und Anwender die grundlegenden Sicherheitsaspekte beachten. Der automatisierte Reflex »Ich habe Linux. Bei mir gibt es keine Viren« ist unsinnig und führt vor allem bei Neulingen oftmals zu der falschen Annahme, dass unter Linux jegliche Regeln des Umgangs mit Software außer Kraft gesetzt werden können.
Doch auch unter Linux gilt das, worüber sich manche Anwender bei Windows amüsieren. Auch hier gilt die Maxime des Wissens und der Überprüfung. Wie einst Lenin sagte, ist Vertrauen gut, Kontrolle aber besser. Denn auch Linux ist vor Schädlingen nicht sicher. Sobald Sorglosigkeit und ein fehlgeleitetes Sicherheitsgefühl den Alltag beherrschen, wird auch Linux das Ziel massiver Angriffe werden.
