So so, das ist euch unklar bei heise…

Laut Ivanov installiert sich die Angreifersoftware unter Linux, Mac OS X und Windows im Heimatverzeichnis des Anwenders und stellt sicher, dass sie beim Hochfahren des Systems gestartet wird. Unklar bleibt in der Beschreibung, wie das unter Linux ohne Root-Rechte funktionieren soll

So so, es ist euch also unklar, wie man im hintergrund mit benutzerrechten automatisch ein java-programm starten kann, wenn man es über irgendeinen exploit geschafft hat, einen linux-anwender dazu zu bringen, kohd auszuführen. Hier mal ein paar anregungen, wie man das zum beispiel machen könnte:

  1. echo "java -jar ~/.config/.fud-name.jar &" >>.bashrc¹ — Vorteil: es funkzjoniert sogar ohne grafische oberfläche; nachteil: es führt zu einer möglicherweise auffälligen verzögerung bei der nicht-grafischen anmeldung. Meine behauptung: neunzig prozent der heutigen ubuntu-nutzer haben sich noch nie ihre .bashrc angeschaut oder auch nur davon gehört, dass es so eine datei gibt und wofür sie gut sein könnte.
  2. (echo "java -jar ~/.config/.fud-name.jar &"; cat .xinitrc) >>.xinitrc — Vorteil: der start ist einmalig zusammen mit der grafischen oberfläche, und zwar egal, welche verwendet werden soll. Das bisschen zusatzaufwand, nachzuschauen, ob der botcode schon läuft, kann man sich also sparen. Bei den typischen inizjalisierungs-durchatmern heutiger desktop-umgebungen fällt die kratzende kleinigkeit auch nicht weiter auf. Meine behauptung: neunzig prozent der heutigen ubuntu-nutzer haben noch nie davon gehört, dass es eine .xinitrc gibt und wofür so eine datei gut sein könnte.
  3. Etwas (aber nicht wesentlich) komplizierter ist der aufruf von crontab -e und das einfügen einer weiteren zeile, die alle paar minuten ein skriptchen startet, das nachschaut, ob der „dienst“ schon läuft und ihn gegebenfalls startet. Dies hätte den vorteil, dass der infizierte nutzer nicht einmal angemeldet sein müsste. Meine behauptung: neunzig prozent der heutigen ubuntu-nutzer wissen gar nicht, dass es eine crontab gibt und wofür sie gut sein könnte.

Auch mit einem prozess, der „nur“ mit benutzerrechten läuft, kann man als krimineller eine menge anfangen. Auf allen ports können daten gesendet und empfangen werden. Der brauser oder das mäjhlprogramm laufen auch „nur“ mit benutzerrechten.

Es gibt natürlich noch ein paar möglichkeiten mehr, einen prozess automatisch zu starten, die allerdings nicht mehr ganz so allgemein sind. Die drei genannten wege sind die, die mir spontan einfallen, wenn ich Kasperskys aktuelle alarmsirene höre. Genau so gut möglich ist ein automatischer start mit den mitteln der verwendeten desktopumgebung.

Meine behauptung: neunzig prozent der sicherheitsprobleme sitzen vor dem monitor. (Vorgestern erst gehört: „das ist ja scheiße, wie oft du dein passwort eingeben musst, wenn du am system rumkonfigurierst. Ich brauch da nur zu klicken“. Ohne worte.) Der größte freund der kriminellen ist der leider sehr verbreitete EDV-analfabetismus der meisten kompjuter-nutzer. Heise wäre natürlich so ein laden, der ein bisschen was gegen die unkenntnis tun könnte — wenn die redaktöre dort wenigstens selbst etwas wüssten und sofort erkennen könnten, auf welche weise ein schadprozess automatisiert mit benutzerrechten gestartet werden kann. Linux ist ein bisschen sicherer als windohs, aber vieles von der zurzeit gefühlten sicherheit in linux rührt daher, dass die immer noch wenigen linux-installazjonen nicht besonders attraktiv für eine angepasste vorgehensweise sind, so dass es auch zu relativ wenigen angriffen kommt. Das könnte sich unter umständen sehr schnell ändern. Zum beispiel, weil nach Edward Snowden viele leute darüber nachdenken, ob sie nicht lieber ein „sicheres“ betriebssystem verwenden sollten. Wenn dann auch noch alle die gleiche distribuzjon nehmen, weil ihnen überall erzählt wird, dass sie so einfach sei, wird es gar noch einfacher, ein paar kriminelle kompjuter-übernahmen zu machen. (Und irgendwann werden Kaspersky und die anderen schlangenöl-verkäufer damit anfangen, softwäjhr für dumme zu verkaufen.)

Mit fröhlichem gruß in die karl-wiechert-allee. Manchmal seid ihr nahe an einer „würdigenden erwähnung“ im alarmknopf… 😉

¹Natürlich wird ein botnetz-prozess mit einem völlig unverdächtig aussehenden aufruf gestartet werden, der in einem taskmanager nicht auffällt. Ob man das ding system-config, keyboard oder security-notifier nennt, bleibt allein der fantasie der arschlöcher überlassen, die schadsoftwäjhr schreiben. Und die werden sehr schnell sehr kreativ durch ihre habgier.

Strafanzeige des tages

Constanze Kurz vom Chaos Computer Club (CCC) hat angekündigt, namentlich Mitglieder der Bundesregierung und Chefs deutscher Geheimdienste wegen heimlicher Agententätigkeit und Beihilfe zur umfassenden Netzspionage der NSA anzuzeigen

Na, da wird sich der generalbundesanwalt aber viel text einfallen lassen müssen, um diese anzeige abzuwimmeln… oder glaubt hier noch jemand an diese „gleichheit vor dem gesetz“? Nee, die arschlöcher aus der classe politique sind gleicher! Und das wird vermutlich alles sein, was dabei herauskommt. Unterdessen sitzt ein drittel der leute in der JVA hannover wegen „schwarzfahrens“ ein. (Kein witz.)

S/M des tages

Der britische Geheimdienst GCHQ überwacht soziale Netzwerke wie Facebook, Youtube und Twitter, um gesellschaftliche Entwicklungen wie etwa Proteste vorherzusagen […] Demnach nutzen die Briten ihren Zugang zu Glasfaserkabeln, um auszuwerten, wo sich Menschen für bestimmte Medien interessieren und was daraus folgen könnte

Und auch weiterhin viel spaß mit fratzenbuch und zwitscherchen, die ja so praktische „p’litische‘ werkzeuge für die kommunikazjon und die agitazjon sind, und mit dem so praktischen juhtjuhbb, dieser videoträckingwanze guhgells!

Kleines brüllerchen im text: guhgell, die größte datensammel- und träckingwanze des internetzes, ist SCHOCKIERT darüber, dass auch noch jemand anders ihre nutzer mitüberwacht.

Hej, guhgell: die staaten machen nur mit größerem aufwand nach, was du ihnen als dein geschäftsmodell vorgemacht hast: totale ausspähung von internetz-nutzern. Also spar dir deine empörung, stell dich in die ecke, schäm dich und komm mal zur besinnung! Oder willst du wie ein dieb wirken, die sich nach einem einbruch über diesen fiesen, kriminellen anderen dieb aufregt, der ihm schon alles weggeklaut hat. :mrgreen:

Wer tor benutzt, sucht eh schon lieber mit 3g2upl4pq6kufc4m.onion.

Opera…

Opera, der ehemalige brauchbare brauser, hat offenbar die entwicklung einer linux-versjon seiner 08/15-krohm-variante aufgegeben. Meine profetie: die werden voll auf die wischofone und wischopädds zielen und in nicht mehr allzuferner zukunft mit dem fratzenbuch kooperieren, vielleicht sogar einen speziellen „fratzenbuch-brauser“ machen. Denn das ist etwas, was der akzjengesellschaft ohne seriöses geschäftsmodell namens fratzenbuch noch ein bisschen abgeht: ein brauser, den sie selbst unter kontrolle haben, so wie guhgell das mit seinem krohm gemacht hat. Jetzt besser und fratzenbuch und so. Aber wie gesagt: Ich höre da nur gras waxen. Es kann natürlich auch sein, dass bei der gesamten geschäftsführung von Opera die gehirne eingeschrumpelt sind und dass die gar kein mittelfristiges geschäftliches ziel haben, mit niemandem in irgendwelchen klandestinen verhandlungen stehen und deshalb den „neuen“ opera-brauser einmal mal eben zum vergnügen so verhunzt haben.

An linuxern hätte das fratzenbuch jedenfalls kein ausgeprägtes interesse, da sich unter denen eine beachtliche schnittstelle mit menschen findet, die sich ein paar gedanken um ihre privatsfäre machen. Es würde sich wirtschaftlich nicht lohnen, die zu bedienen.

Der otter brauser ist leider noch ein bisschen alfa. Das kann sich aber ändern.