Stell dir mal vor…

Stell dir mal vor, du bietest den leuten einen webbrauser an, der kein HTTP mehr kann… tja, ähm, wisst schon, wegen der sicherheit:

So sei es denkbar, unsicheren Webseiten weiterhin CSS und andere Rendering-Funktionen zu erlauben, aber den Zugriff auf neue Hardwarefunktionen zu beschränken

Hej, mozilla-projekt: ihr habt schon mitbekommen, dass sogar irgendwelche 08/15-spämmer, die sich ihr adressmaterial für identitätsmissbräuche beschaffen, dafür seit über einem jahr auch TLS-zertifikate verwenden. Weil auch ihr den leuten immer sagt, dieses schlösschen da im brauser, das sagt nicht „verschlüsselte verbindung, die kein dritter aus dem internetz mitlesen kann“, sondern „sicherheit“ und „du kannst dieser webseit eines völlig unbekannten, der sich mithilfe einer missbrauchten identität ein TLS-zertifikat besorgt hat, vertrauen, ja, so sehr vertrauen, dass diese webseit direkt auf teile der hardwäjhr deines kompjuter zugreifen darf“.

Mozilla-projekt: auch ihr arbeitet den kriminellen mit solchen scheißideen zu und ihr verschafft der organisierten kriminalität ihre einkünfte. Das ist dumm. Und TLS ist schon lange hoffnungslos kaputt.

Endlich! Botnetze aus linux-sörvern!

Aber wie es das perlskript, das eine kleine hintertür aufmacht schafft, sich bei der infekzjon in die crontab einzutragen, bleibt offen. Das kann kein einfaches sicherheitsloch in wördpress oder joomla sein, wie golem mutmaßelt. Denn ein PHP-skript für so eine webseit läuft — wenn da nicht jemand ziemlich fatal konfiguriert hat — mit den rechten des websörvers unter dem technischen benutzer www-data, der im dateisystem fast gar nichts dürfen sollte.

Wenn da nicht ein ganz übler fehler vorliegt, dann ist davon auszugehen, dass jemand mindestens mit normalen benutzerrechten diese schadsoftware selbst installiert. Was ich aus anderen kwellen als bei golem lese — danke, kwalitätsjornalismus — sieht so aus, als würden vollidjoten, die sich ein spämmskript für linux runterladen, gleich ein paar hintertürchen aufgemacht (seite 18 und 19 im verlinkten PDF). Finde ich ja im prinzip eine prächtige idee, aber nur, wenn man darüber nicht spämmt, sondern dem kriminellen, asozjalen vollidjoten seinen scheißsörver plattmacht. 👿

Sollte sich das als der einzige infekzjonsweg erweisen, besteht für die meisten menschen keine gefahr. Es kann aber auf gar keinen fall schaden, sich mal anzuschauen, was in der crontab drinsteht — und wenn man schon dabei ist, gleich mal einen blick in die verzeichnisse /etc/cron.d, /etc/cron.monthly, /etc/cron.weekly, /etc/cron.daily, /etc/cron.hourly zu werfen — früher war alles einfacher! — und auch mal in der /var/spool/cron/crontabs nachzuschauen, ob eine verdächtige zeile in der crontab eines anderen benutzers ist… na ja, was erzähle ich, der übliche kram eben!

(Dass ich dabei ganz nebenbei in den ruinen ein paar antike buffer einer älteren exim-versjon gefunden habe, die sich mit fast 450 MB breitschultrig auf die festplatte stellten und auf die seit 2009 nicht mehr zugegriffen wurde, ist ein anderes tema. Löschen ist immer noch der billigste festplattenspeicher. Man räumt viel zu selten richtig auf…)