Login
Newsletter
Werbung

Thema: Malware-Paket auf gnome-look.org und opendesktop.org

52 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von anonymous am Mi, 9. Dezember 2009 um 22:22 #
... und schau mir gerade von solchen Seiten noch so jedes kleines "Hilfs-Installationsscript" an bzw. entpacke Dateien manuell ins entsprechende Verzeichnis. Eine gnome.sh oder run.bash wäre mir mehr als suspekt gewesen.

Auch unter Linux ist man _nicht_ sicher. Punktaus.

[
| Versenden | Drucken ]
0
Von ... am Mi, 9. Dezember 2009 um 23:30 #
Ich frage mich gerade, wie man auf solchen Seiten mehr Sicherheit schaffen könnte. Es wäre doch möglich nurnoch GPG-signierte Pakete anzunehmen, mit der Zusatzeinschränkung, dass der Key von einer bestimmten Stelle zertifiziert worden sein muss. Auch mit CACert ginge sowas

Das würde zumindest teilweise eine zusätzliche Sicherheit geben (ausser der private Key wurde geklaut).

[
| Versenden | Drucken ]
  • 0
    Von Hä? am Do, 10. Dezember 2009 um 00:21 #
    Und was soll das in dem Fall bringen? Damit stellst du nur sicher, dass das Paket nicht verändert wurde. Ob der Code schädlich ist oder nicht, müsste davor ja noch irgendjemand kontrollieren.
    [
    | Versenden | Drucken ]
    • 0
      Von zettberlin am Do, 10. Dezember 2009 um 00:37 #
      > müsste davor ja noch irgendjemand kontrollieren.

      Sehe ich genauso und zwar *jemand* nicht *etwas*. Solche Seiten wie gnome-look oder auch die Mozilla-Addons sind eben leider automatisch zusammengebaute Sammelsurien, in denen ganz offensichtlich höchst selten ein verantwortlicher HomoSapiensSapiens auch mal ein paar der angebotenen Sachen testet.

      Geht eben nicht alles automatisch vorprogrammiert. In vielen Fällen wäre mir eine Auswahl aus 2-300 einzeln getesteten Paketen lieber als Sammlungen mit 2000+ Einträgen, in denen jede Menge Spreu neben ein bisschen Weizen herumliegt.

      [
      | Versenden | Drucken ]
      • 0
        Von blurbs am Do, 10. Dezember 2009 um 02:12 #
        ihr habts nicht verstanden jungs. das ziel ist, nur signierte pakete anzunehmen. dementsprechend koennte bei eventueller malware direkt auf den urheber geschlossen werden koennen. klingt eigentlich ganz gut, aber das problem mit den gestohlenen private keys ist glaub ich groesser als du denkst. immerhin reicht es einen beliebigen key zu benutzen, und die CA hat keine moeglichkeit gestohlene keys irgendwie aus dem verkehr zu ziehen. man kann also annehmen dass ein solcher key fuer leute in einschlaegigen kreisen einfach zu bekommen ist.
        [
        | Versenden | Drucken ]
        • 0
          Von zettberlin am Do, 10. Dezember 2009 um 09:09 #
          >ihr habts nicht verstanden jungs. das ziel ist, nur signierte pakete anzunehmen.

          Das Ziel von wem? Wer sagt das? Und warum?

          Eine Signatur sagt wenig aus, wenn das Paket und der Autor nicht von Menschen auf Vertrauenswürdigkeit geprüft werden. Von einer gut gepflegten Seite, auf der jedes Paket von wenigstens einem kompetenten Tester ausprobiert wurde, stellt eine Signatur einen zusätzlichen Schutz dar. Die Signatur alleine ist heutzutage praktisch wertlos.

          Eine Seite mit 1000+ Paketen muss einen hauptamtlichen Admin haben, der zwei bezahlte Assistenten und 2 Dutzend vertrauenswürdige Ehrenamtliche an der Seite hat. Wenn das nicht geht, muss man eben kleinere Brötchen backen: 50-60 geprüfte, wirklich gute Pakete sind besser als wahllos alles, was bei 3 nicht auf dem Baum ist.

          [
          | Versenden | Drucken ]
        0
        Von pinky am Do, 10. Dezember 2009 um 10:18 #
        >Solche Seiten wie gnome-look oder auch die Mozilla-Addons sind eben leider automatisch zusammengebaute Sammelsurien, in denen ganz offensichtlich höchst selten ein verantwortlicher HomoSapiensSapiens auch mal ein paar der angebotenen Sachen testet.

        Hier sehe ich auch das Problem. Besonders bei den Mozilla-Addons halte ich das für sehr kritisch, da diese eben auf der offiziellen Domain liegen und daher für den Anwender auch erstmal "offiziell" wirken. Das erste mal wird man dann schon verschreckt, wenn man beim Installieren die Meldung bekommt, dass es kein gültiges Zertifikat hat ("Huch, das Addon kommt doch direkt von mozilla").

        Bei gnome-look (sollte) weiß dagegen jeder, dass es keine offizielle Seite ist und dementsprechend vorsichtig sollte man auch mit den Paketen umgehen. Ich habe mir da z.B. genau aus diesem Grund bisher nur tar.gz Pakete gezogen. Die entpacke ich dann in den entsprechenden Theme-Ordner und kann sicher sein, dass sonst nichts installiert wurde.

        Offizielle Seiten wie z.B. die Mozilla Addons sollten hier aber durchaus etwas mehr aufpassen was sie ihren "Kunden" (irgendwie ja auch in ihrem Namen) so anbieten.

        [
        | Versenden | Drucken ]
        0
        Von User am Do, 10. Dezember 2009 um 17:42 #
        RICHTIGSTELLUNG: Firefox-Addons werden vor der Veröffentlichung (auch vor jedem kleinen Update) von einem offiziellen AMO-Editor begutachtet und ggf. abgewiesen. Es stimmt also nicht, dass dort niemand die Erweiterungen testet! Das natürlich mal was übersehen wird kann natürlich immer mal passieren, aber mir ist solch ein Fall nicht bekannt.
        [
        | Versenden | Drucken ]
      0
      Von irgendwer am Do, 10. Dezember 2009 um 08:48 #
      Direkt verhinderst du so natürlich keine Malware. Jeder kann weiterhin beliebige Malware hochladen. Was du allerdings sicherstellst, ist die Nachvollziehbarkeit, wer was hochgeladen hat. Denn wer überhaupt was hochladen will, muss sich einen Schlüssel besorgen, für den er sich ausweisen muss. Das schreckt potentielle Bösewichte ab und sorgt so für weniger Malware.

      Ja nachdem, wie die CA die Schlüssel vergibt, kann die Hürde das zu umgehen niedriger (es genügt eine gültige Emailadresse) oder höher (man muss sich den Schlüssel persönlich mit Ausweisdokumenten abholen) liegen. Ersteres brächte gar keine Sicherheit, letzteres würde >90% der Uploader verschrecken. Die beste Lösung liegt wohl irgendwo dazwischen.

      Ganz verhindern kann man zwar so nichts. Wer sich müht, anonym an einen Schlüssel zu kommen, hat schon gewonnen. Aber solch stümperhafte Versuche würden wohl auf jeden Fall verhindert. (bzw. derjenige wird wenigstens am Ende gefasst)

      [
      | Versenden | Drucken ]
    0
    Von Kinch am Do, 10. Dezember 2009 um 08:58 #
    Und welcher Autor hätte Lust nur zum Uploaden auf Gnome-look.org sich nen zertifizierten Schlüsseln zu besorgen? Am besten noch mit Ladungsfähiger-Adresse damit er im Zweifel angezeigt werden kann?
    [
    | Versenden | Drucken ]
    0
    Von skamster am Do, 10. Dezember 2009 um 10:08 #
    wenn man apt-get nutzt, wird die quelle schon per gpg geprüft..
    und die packete, welche sich auf den offenen servern befinden, sind meist doppelt und dreifach geprüft, also seh ich das problem in dem punkt nicht ganz.. ich würde es auch mühsam finden, wenn man für jedes einzelpacket, das man sich runterlädt, ne internetverbindung braucht.. bei einzelnen deb's sollte man vorsichtig sein oder's sein lassen. aber wie viele, ganz normale benutzer laden sich solche deb's überhaupt? ich kann nur von mir reden, aber es tut's niemand in der familie, die freundin macht's nicht und diverse kollegen wissen auch nicht, wie und haben auch kein bedürfnis danach.
    die, die wissen, wie's geht, können's auch einfach schnell entpacken.. ;)
    [
    | Versenden | Drucken ]
0
Von pff am Do, 10. Dezember 2009 um 00:13 #
Das kann doch schon aus Prinzip nicht funktionieren, bei der Verbreitung.
[
| Versenden | Drucken ]
0
Von Unfundisi am Do, 10. Dezember 2009 um 00:28 #
Ist das Ware zum Malen?

Schadsoftware. Das ist besser für die Ohren.

[
| Versenden | Drucken ]
  • 0
    Von panzi am Do, 10. Dezember 2009 um 01:04 #
    Hab ich mir auch gedacht.
    [
    | Versenden | Drucken ]
    • 0
      Von Lurchi am Do, 10. Dezember 2009 um 09:08 #
      Also wenn schon, dann "Schadprogramm". Oder?
      [
      | Versenden | Drucken ]
      0
      Von Du Guter am Do, 10. Dezember 2009 um 09:10 #
      Malware ist zwar ein bekanntes Synonym, aber der Kalauer lagt mir auch auf dem Keyboard

      ach, diese Fremdwörter .-)

      [
      | Versenden | Drucken ]
      • 0
        Von me am Do, 10. Dezember 2009 um 18:56 #
        Ist aber auf jeden Fall ein blödes Synonym, da es auch synonym für Ware zum Malen steht.
        [
        | Versenden | Drucken ]
0
Von RPR am Do, 10. Dezember 2009 um 01:18 #
wie das Paket auf den Server gekommen ist; ich mein, da ist doch normalerweise ein Repository-Verantwortlicher, der so was vorher prüft, oder?
[
| Versenden | Drucken ]
0
Von Early Osterhase am Do, 10. Dezember 2009 um 06:55 #
> Ein Bildschirmschoner [...] entpuppte sich bei näherer Betrachtung als Malware

Beim Lesen dieses ersten Satzes dachte ich an ein *jpg oder ähnliches das mit shellcode irgendein kaputtes Programm aufmacht. Aber "installierbarer" Bildschirmschoner? Ich mein, ein Code der Animationen ausgiebt ist defacto kein Bildschirmschoner. Irgendwie komm ich nicht drauf wozo man sich hier überhaupt eine installierbare Software auf eie Installation bügelt.

[
| Versenden | Drucken ]
  • 0
    Von fuffy am Do, 10. Dezember 2009 um 08:40 #
    > Ich mein, ein Code der Animationen ausgiebt ist defacto kein Bildschirmschoner.

    Bildschirmschoner sind eigentlich immer ausführbare Programme. Auch xscreensaver, xfishtank und Co. gehören dazu.

    [
    | Versenden | Drucken ]
    • 0
      Von zettberlin am Do, 10. Dezember 2009 um 09:15 #
      Aber stimmt schon: solche Gimmicks sollten eigentlich nie Systemweit installiert werden. Ist für Browseraddons ja auch nicht erforderlich.
      Den Nutzer für solche Spielerein dazu zu provozieren, per sudo root zu werden, ist absolut verantwortungslos.
      [
      | Versenden | Drucken ]
      • 0
        Von Flying Circus am Do, 10. Dezember 2009 um 15:14 #
        Den Nutzer für solche Spielerein dazu zu provozieren, per sudo root zu werden, ist absolut verantwortungslos.

        Ja. Im obigen Fall allerdings steckte ja System im Wahnsinn. ;-)

        [
        | Versenden | Drucken ]
mehr Lol
0
Von Oha am Do, 10. Dezember 2009 um 07:45 #
/usr/bin/index.php

Diese benamung spricht wieder Bände...

...php ist einfach als Sprache so eine gute Umsetzung, das selbst das letzt Skriptkiddie dessen Namen in die Welt trägt.

Klasse!

[
| Versenden | Drucken ]
  • 0
    Von konsch am Do, 10. Dezember 2009 um 08:49 #
    Ein wenig Stumpfsinn am Morgen vertreibt Kummer und Sorgen.

    Und was die versuchte DoS-Attacke angeht...
    Ich verstehe die Motivation hinter der Aktion nicht so ganz. Hat sich dieser Fanatiker gedacht: "Die solle' schwitze' unn verregge, isch hab' dafür bezaaahlt!" ... ? Oder war es vll. eine höhere Moral, die über dem Ganzen steht? Fragen über Fragen...

    Liebe Grüße,
    Konsch

    [
    | Versenden | Drucken ]
    0
    Von zettberlin am Do, 10. Dezember 2009 um 09:22 #
    >...php ist einfach als Sprache so eine gute Umsetzung

    Abgesehen davon, dass /usr/bin/index.php wirklich die groteskeste Datei ist, die ich mir in /usr/bin/ vorstellen kann, verstehe ich den Rest der Bemerkung nicht ganz.

    Weil man mit PHP per Aufruf von Systemprogrammen Schaden stiften kann, ist PHP schlecht umgesetzt? Was ist dann mit Perl? Abschaffen?

    Viel Spass noch...

    [
    | Versenden | Drucken ]
    • 0
      Von Alex am Do, 10. Dezember 2009 um 10:08 #
      Perl is ja noch OK, aber dieses blöde Bash.
      [
      | Versenden | Drucken ]
      • 0
        Von zettberlin am Do, 10. Dezember 2009 um 10:42 #
        >aber dieses blöde Bash.

        muahhahaha -hrr hrr - };-]

        Genau!! Lasst uns fordern, dass alles alles so sicher ist, dass es gar nichts böses tun kann. Die EU-Kommision möge beschließen:

        Kettensägen dürfen sich nicht dazu eignen, ihren Nutzern oder deren Kollegen die zarte Haut zu ritzen. Denkbar wäre eine mit TCP umgesetzte Zwangsbremsfunktion bei nichtzertifiziertem Nutzungsverhalten und selbstverständlich dürfen die Ketten nicht mehr mit geschliffenen Stahlzähnen bestückt sein sondern nur noch mit TÜV-geprüften Weichgummi-Bürstchen.

        [
        | Versenden | Drucken ]
mehr ...
0
Von Zanghar am Do, 10. Dezember 2009 um 11:07 #
>> Wie stümperhaft der Angriff allerdings schon vorbereitet wurde,
>> zeigt nicht nur die Bauweise der Malware

Genau. Vertrauen sie ihren atomaren Erstschlag nicht irgendjemanden an, sondern uns, denn nur wir von LinderSoft machen aus Schadsoftware Schadhardware mit der Durchschlags- und Zerstörungskraft vierer Hiroshima-Bomben. Der patentierte Baader-Linder-Wirkstoffkomplex sorgt für den nötigen Bums. Dank des Lavendelduftes wird ihnen nicht nur Hören und Sehen vergehen, Nein, auch wird ihre Nase Augen machen.

Also: Wenn (Computer-)Krieg, dann LinderSoft!

Sorry, musste sein :)

[
| Versenden | Drucken ]
0
Von magister am Do, 10. Dezember 2009 um 12:28 #
Ich kann als normaler user nichts ins /usr/bin schreiben.
Das geht doch mit meinen Rechten unter Linux normalerweise gar nicht und das ist auch richtig so.
Wozu diese Aufregung, Linux sei unsicher??
Weil ein paar Leute die Rechte umkonfigurieren, so was bewußt zulassen und sich dann über die Folgen wundern?
Ich kann doch bei einem Auto nicht die Bremse ausbauen und dann über die Marke schimpfen, wenn das Auto nicht bremst!

M.f.G.

[
| Versenden | Drucken ]
  • 0
    Von LH am Do, 10. Dezember 2009 um 13:03 #
    Man installier deb-packages für gewöhnlich als Root

    Zum anderen hat das hier fast keine Bedeutung, das Problem würde genauso auftretten wenn er es anstat nach /usr/bin eben nach /home/myusername/ gepackt hätte. Das ist völlig irrelevant wo die Schadscripte liegen in diesem Fall, da sie ja nicht darauf ausgelegt waren als Systembestandteil zu gelten, sondern einfach ausgeführt werden sollten und einen Server anpingen sollten.

    [
    | Versenden | Drucken ]
0
Von mvpd am Do, 10. Dezember 2009 um 14:03 #
Nur so am Rande:
Ist es denn mit KDE4 nicht sogar möglich, sich neuestes "Eye-Candy" von kde-look .org direkt aus den KDE4-Systemeinstellungen heraus herunterzuladen?
Siehe u.a. hier:
http://wiki.ubuntuusers.de/KDE_Aussehen
(letzter Satz)
http://wiki.ubuntuusers.de/Plasma/KDE_Arbeitsfläche
Könnte so nicht z.B. Schadsoftware eindringen, die z.B. das eigene home-Directory löscht?
Dieser "Malware"-Vorfall wäre vielleicht ein Grund, diese kde-look.org-Integration in KDE4 wieder herauszunehmen.
[
| Versenden | Drucken ]
  • 0
    Von lala_chen am Do, 10. Dezember 2009 um 15:21 #
    >Könnte so nicht z.B. Schadsoftware eindringen, die z.B. das eigene home-Directory löscht?
    Dieser "Malware"-Vorfall wäre vielleicht ein Grund, diese kde-look.org-Integration in KDE4 wieder herauszunehmen.

    Natürlich würde das gehen, sollte heute aber eigentlich jedem klar sein.
    Sicherheit ist immer auch Vertrauenssache, egal welches System eingesetzt wird.

    Durch die Integration hast du nicht weniger Sicherheit als wenn du es manuell runterlädst und "installierst". Ist also insofern egal.

    [
    | Versenden | Drucken ]
    • 0
      Von taudorinon am Do, 10. Dezember 2009 um 17:04 #
      Ergänzend sollte man erwähnen das KDE die Installation nicht über die Paketverwaltung handhabt (wie in obigem Fall geschehen) sondern die Dateien auf Benutzerebene im Home-Verzeichnis ablegt.

      Ist natürlich auch nicht 100% sicher, aber es geschieht ohne root-Rechte.

      [
      | Versenden | Drucken ]
      0
      Von mvpd am Do, 10. Dezember 2009 um 18:02 #
      So egal finde ich das nicht, da genau das vielen Nutzern nicht sofort klar ist.
      Wenn man nicht genau hinsieht, könnte man auch glauben, dass sich die zusätzlichen Themes u.ä. schon in einem anderen Ordner auf der eigenen Festplatte befinden oder vielleicht direkt vom vertrauenswürdigen Distributor selbst stammen.
      Zumindest eine Warnung, dass beim Klicken eines "O.K."-Buttons nunmehr Inhalte aus einer nicht als vertrauenswürdig einzustufenden Quelle heruntergeladen und installiert werden, sollte man vor den tatsächlichen Download schalten.
      Ubuntu etwa warnt immer vor Fremdquellen und hier wird eine solche Fremdquelle dann einfach kommentarlos fast schon als Automatismus eingebaut.
      Ich finde, dass wird etwas zu lax gehandhabt.
      [
      | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung