Login
Newsletter
Werbung

Thema: Malware im Arch-User-Repositorium AUR gefunden

33 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Bill Tür am Di, 10. Juli 2018 um 09:43 #

Zwei weitere Pakete waren in gleicher Weise kompromittiert.
Welche waren das?

0
Von Josef Hahn am Di, 10. Juli 2018 um 10:46 #

Warum kann ich auf dem Desktop immernoch nicht feingranulierter Privilegien erteilen? Android deutet die Idee ja ganz schön an - aber natürlich kann das sogar noch etwas feingranularer (etwa im Dateisystem oder bezügl. Peripherie) sein.

Dann wären diese Probleme technisch deutlich eingedämmt, wenn nicht sogar gelöst.

Ansonsten wird es wohl immer so bleiben, dass eine Softwarequelle relevanten Ausmaßes auch niemals 100% vertrauenswürdig ist, oder?

  • 0
    Von Nachfrager am Di, 10. Juli 2018 um 11:03 #

    Ist diese feingranulare Privilegieneinteilung nicht mittels SELinux (Red Hat) bzw. AppArmor (SUSE, Ubuntu) möglich?

    Soweit ich es verstehe, hat aktuell nur Niemand Lust, ausgefeilte Regelsätze zu entwickeln, da es ziemlich mühsam ist.

    • 0
      Von Josef Hahn am Di, 10. Juli 2018 um 11:52 #

      ... dann ist es also noch nicht möglich.

      Ich kann mir schon vorstellen, dass das Ziel mit SELinux (und ein bisschen nettem GUI/CLI) erreichbar wären. Aber da gehören dann die Regelsätze dazu. Ich will die hier nicht austüfteln müssen. Ich will nur klicken auf "Programm X darf GPS, Programm Y darf ins Internet, Programm Z darf an die Fotosammlung"...

      Ein Sicherheitsfeature, dessen Einrichtung stunden- oder tagesweise Zeit kostet, kann akademisch interessant sein, hilft aber der Userbasis i.d.R. nicht.

    0
    Von hoschi am Di, 10. Juli 2018 um 12:33 #

    Das gibt es schon:
    Flatpak

    Historisch wir das so auf Computern nicht gemacht. Stattdessen haben wir verschiedene Benutzer und Gruppen unter Unix, die zur vollständigenTrennung dienen. Genau diese Trennung fehlt Android und auch iOS komplett, weil es aber meist nur einen Nutzer gibt wurde hier von Beginn an der Ansatz mit Privilegien gewählt. Mit Flatpak werden wir das zunehmend auch auf Computern sehen.

    Abgesehen davon, gibt es noch viel mächtigere Werkzeuge:
    Control Groups, die Basis von Docker.

    Und dann noch weitere Systeme, wie das genannte SELinux.


    PS: Leider wird das mit den Privilegien von den Nutzern unter Android und iOS praktisch nicht angenommen, siehe Totalzugriff für WhatsApp. Das ohne Kontakte, gar nicht die Eröffnung von Konversationen erlaubt.

    • 0
      Von Verfluchtnochmal-05995bd7b am Di, 10. Juli 2018 um 15:16 #

      Schmarren, unter Anroid gibt es mehr als einen Benutzer, jede App läuft unter einem anderen, deswegen macht es auch nur bedingt Spass eine SD-Card mit ext4 zu formatieren weil App x ohne manuelles rumgewusel keinen Zugriff auf Dateien/Fotos/Videos von App y hat

      0
      Von Josef Hahn am Di, 10. Juli 2018 um 16:30 #

      Ich habe nicht den Eindruck, dass das so verbreitet ist, dass man das wirklich als Lösung bezeichnen kann. Ich habe mal ein Flatpak gebaut; das war das einzige Flatpak, das ich je installiert habe. Sobald Flatpak 'das Paketformat' für Linux ist, muss ich mich dann sowieso mal nach einem anderen OS umgucken. Flatpak ist eine Keule, die gelegentlich ganz praktisch ist; aber als primäres Paketformat doch eher ein trauriges Eingeständnis.

      PS: Naja, wer's nicht annimmt, hat nachher auch keinen Schutz zu erwarten. Dieses WhatsApp kenne ich nur vom Hörensagen; aber ich glaube, wer das installiert, hat nicht nur auf technischer Ebene allerhand Privilegien abgetreten. Was das angeht, kann man eigentlich nur auf Darwinismus hoffen.

      0
      Von Micha244 am Di, 10. Juli 2018 um 16:37 #

      Nun dann wären da noch ACLs und Posix Capailities - Features, die viel zu selten besprochen und genutzt werden.

      Wer will kann auch gehärtete Kernel oder Distributionen verwenden. Z.B. versucht man die Ansätze von Docker auf normale Distributionen/Anwendungsprogramme zu übertragen.

      Virtualisierung (KVM & Co.) ist überhaupt eine gute Methode, so kann man damit die Möglichkeiten der gekapselten Programme gut steuern (auch mal schnell den Netzwerkzugang abdrehen, wenn nötig etc.).

    0
    Von Unerkannt am Di, 10. Juli 2018 um 17:22 #

    Ich finde das einfache Sicherheitskonzept eigentlich ganz gut. Der Ansatz von Android für jede Anwendung einen anderen Benutzer einzurichten fände ich am Desktop etwas übertrieben. Wer gerne etwas mehr Trennung haben möchte, der kann ja einfach zwei Benutzer für sich anlegen, die keine Rechte an Dateien des anderen haben. Macht nur keiner, weil jeder zu faul ist.

    Alternativ könnte man auch zu so etwas wie Firefail greifen.

0
Von Pazifist am Mi, 11. Juli 2018 um 06:36 #

Bei der Malware die neulich im Snapstore gefunden wurde, haben alle rumgebrüllt, dass es ja klar ist, dass sowas nur bei einem Canonical Produkt vorkommen kann. Jetzt fragen alle nach einem besseren Sicherheitssystem wie App-Berechtigungen ... wie es die bei Snaps schon gibt?
*duckundweg*

  • 0
    Von Nein am Mi, 11. Juli 2018 um 10:09 #

    alle
    Nein
    rumgebrüllt
    Nein
    nur bei einem Canonical Produkt
    Nein

    Diejenigen, die damals vom Leder gezogen haben, waren mit Sicherheit ähnlich plumpe Trolle wie Du.

    0
    Von Gitstompha am Mi, 11. Juli 2018 um 14:27 #

    Jetzt fragen alle nach einem besseren Sicherheitssystem wie App-Berechtigungen ... wie es die bei Snaps schon gibt?

    Gibt mehrere Lösungen, nicht nur Snap. Bringt Linux auch schon sehr lange mit, werden halt nur nicht als Default eingerichtet.

    • 0
      Von )Holger H.( am Do, 12. Juli 2018 um 13:32 #

      Gibt mehrere Lösungen, nicht nur Snap.

      Zumal »snap« wieder einmal eine Canonical Totgeburt ist, weil sich (fast) alle anderen Distributionen längst für Flatpak entschieden haben.
      Wenn man berücksichtigt, wie groß, oder eben klein - je nach Blickwinkel - die Menge der Nutzer ist, die dieser Technologie ihr Vertrauen schenken wollen.

Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung