So so, das ist euch unklar bei heise…

Laut Ivanov installiert sich die Angreifersoftware unter Linux, Mac OS X und Windows im Heimatverzeichnis des Anwenders und stellt sicher, dass sie beim Hochfahren des Systems gestartet wird. Unklar bleibt in der Beschreibung, wie das unter Linux ohne Root-Rechte funktionieren soll

So so, es ist euch also unklar, wie man im hintergrund mit benutzerrechten automatisch ein java-programm starten kann, wenn man es über irgendeinen exploit geschafft hat, einen linux-anwender dazu zu bringen, kohd auszuführen. Hier mal ein paar anregungen, wie man das zum beispiel machen könnte:

  1. echo "java -jar ~/.config/.fud-name.jar &" >>.bashrc¹ — Vorteil: es funkzjoniert sogar ohne grafische oberfläche; nachteil: es führt zu einer möglicherweise auffälligen verzögerung bei der nicht-grafischen anmeldung. Meine behauptung: neunzig prozent der heutigen ubuntu-nutzer haben sich noch nie ihre .bashrc angeschaut oder auch nur davon gehört, dass es so eine datei gibt und wofür sie gut sein könnte.
  2. (echo "java -jar ~/.config/.fud-name.jar &"; cat .xinitrc) >>.xinitrc — Vorteil: der start ist einmalig zusammen mit der grafischen oberfläche, und zwar egal, welche verwendet werden soll. Das bisschen zusatzaufwand, nachzuschauen, ob der botcode schon läuft, kann man sich also sparen. Bei den typischen inizjalisierungs-durchatmern heutiger desktop-umgebungen fällt die kratzende kleinigkeit auch nicht weiter auf. Meine behauptung: neunzig prozent der heutigen ubuntu-nutzer haben noch nie davon gehört, dass es eine .xinitrc gibt und wofür so eine datei gut sein könnte.
  3. Etwas (aber nicht wesentlich) komplizierter ist der aufruf von crontab -e und das einfügen einer weiteren zeile, die alle paar minuten ein skriptchen startet, das nachschaut, ob der „dienst“ schon läuft und ihn gegebenfalls startet. Dies hätte den vorteil, dass der infizierte nutzer nicht einmal angemeldet sein müsste. Meine behauptung: neunzig prozent der heutigen ubuntu-nutzer wissen gar nicht, dass es eine crontab gibt und wofür sie gut sein könnte.

Auch mit einem prozess, der „nur“ mit benutzerrechten läuft, kann man als krimineller eine menge anfangen. Auf allen ports können daten gesendet und empfangen werden. Der brauser oder das mäjhlprogramm laufen auch „nur“ mit benutzerrechten.

Es gibt natürlich noch ein paar möglichkeiten mehr, einen prozess automatisch zu starten, die allerdings nicht mehr ganz so allgemein sind. Die drei genannten wege sind die, die mir spontan einfallen, wenn ich Kasperskys aktuelle alarmsirene höre. Genau so gut möglich ist ein automatischer start mit den mitteln der verwendeten desktopumgebung.

Meine behauptung: neunzig prozent der sicherheitsprobleme sitzen vor dem monitor. (Vorgestern erst gehört: „das ist ja scheiße, wie oft du dein passwort eingeben musst, wenn du am system rumkonfigurierst. Ich brauch da nur zu klicken“. Ohne worte.) Der größte freund der kriminellen ist der leider sehr verbreitete EDV-analfabetismus der meisten kompjuter-nutzer. Heise wäre natürlich so ein laden, der ein bisschen was gegen die unkenntnis tun könnte — wenn die redaktöre dort wenigstens selbst etwas wüssten und sofort erkennen könnten, auf welche weise ein schadprozess automatisiert mit benutzerrechten gestartet werden kann. Linux ist ein bisschen sicherer als windohs, aber vieles von der zurzeit gefühlten sicherheit in linux rührt daher, dass die immer noch wenigen linux-installazjonen nicht besonders attraktiv für eine angepasste vorgehensweise sind, so dass es auch zu relativ wenigen angriffen kommt. Das könnte sich unter umständen sehr schnell ändern. Zum beispiel, weil nach Edward Snowden viele leute darüber nachdenken, ob sie nicht lieber ein „sicheres“ betriebssystem verwenden sollten. Wenn dann auch noch alle die gleiche distribuzjon nehmen, weil ihnen überall erzählt wird, dass sie so einfach sei, wird es gar noch einfacher, ein paar kriminelle kompjuter-übernahmen zu machen. (Und irgendwann werden Kaspersky und die anderen schlangenöl-verkäufer damit anfangen, softwäjhr für dumme zu verkaufen.)

Mit fröhlichem gruß in die karl-wiechert-allee. Manchmal seid ihr nahe an einer „würdigenden erwähnung“ im alarmknopf… 😉

¹Natürlich wird ein botnetz-prozess mit einem völlig unverdächtig aussehenden aufruf gestartet werden, der in einem taskmanager nicht auffällt. Ob man das ding system-config, keyboard oder security-notifier nennt, bleibt allein der fantasie der arschlöcher überlassen, die schadsoftwäjhr schreiben. Und die werden sehr schnell sehr kreativ durch ihre habgier.

2 Antworten zu “So so, das ist euch unklar bei heise…

  1. EDV-Magazine, die sich mit diesem dauerkaputten Frickelscheiß Linux nicht auskennen wollen, sind mir prinzipiell ja irgendwie doch schon sympathisch.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.