Und wie stellst du sicher, dass du dir unter Linux ebenfalls keinen Schadcode einhandelst? Liest du dir bei jedem Programm den Quelltext durch und kompilierst dieses erst danach selbst?
Sobald du irgendwelche Pakete bzw. Binärprogramme unter Linux installierst bzw. einsetzt, musst du irgendjemand Vertrauen schenken. Und in Normalfall kennst du keinen der Paket-Maintainer der eingesetzten Distribution.
> Und wie stellst du sicher, dass du dir unter Linux ebenfalls keinen Schadcode einhandelst?
Was würde wohl aus einem Distributor werden, der so manipulierte Pakete in seinem Repo herausgeben würde? Meinst Du nicht, dass es ein gewisses Risiko gibt, dass einer von ein paar Zehntausend Nutzern paranoid genug ist, jedes installierte Paket zu checken? Oder auch nur aus Langeweile ausgerechnet das Paket, das den Trojaner enthält...
Mal in der Wohnung vorbeischauen, wenn $ZIEL nicht zu Hause ist (darf ja im Rahmen dieser Trojanergeschichte, wenn ich mich recht erinnere), dann # yum install /media/USB-Stick/Trojaner.rpm --nogpgcheck und schon ist ein vorhandenes Paket ersetzt oder ein neues im System installiert.
Oder was noch weniger Spuren hinterläßt: /bin/bash gegen ein anderes Binary ausgetauscht. Fertig.
Und wie stellst du sicher, dass du dir unter Linux ebenfalls keinen Schadcode einhandelst? Liest du dir bei jedem Programm den Quelltext durch und kompilierst dieses erst danach selbst?
Sobald du irgendwelche Pakete bzw. Binärprogramme unter Linux installierst bzw. einsetzt, musst du irgendjemand Vertrauen schenken. Und in Normalfall kennst du keinen der Paket-Maintainer der eingesetzten Distribution.
> Und wie stellst du sicher, dass du dir unter Linux ebenfalls keinen Schadcode einhandelst?
Was würde wohl aus einem Distributor werden, der so manipulierte Pakete in seinem Repo herausgeben würde? Meinst Du nicht, dass es ein gewisses Risiko gibt, dass einer von ein paar Zehntausend Nutzern paranoid genug ist, jedes installierte Paket zu checken? Oder auch nur aus Langeweile ausgerechnet das Paket, das den Trojaner enthält...
Mal in der Wohnung vorbeischauen, wenn $ZIEL nicht zu Hause ist (darf ja im Rahmen dieser Trojanergeschichte, wenn ich mich recht erinnere), dann
# yum install /media/USB-Stick/Trojaner.rpm --nogpgcheck
und schon ist ein vorhandenes Paket ersetzt oder ein neues im System installiert.
Oder was noch weniger Spuren hinterläßt: /bin/bash gegen ein anderes Binary ausgetauscht. Fertig.
In meine Wohnung einzubrechen ist sehr gefährlich, weil da überall Sprengfallen versteckt sind ;-).
Das Vertrauen fängt schon beim Installieren von Linux an, und nicht nur bei der Installation von Paketen.