TmoWizard's Impressum, Disclaimer & Datenschutz   
Dieses Blog ist NOFOLLOW-frei!

Werte Leserinnen und Leser,

CamAV Logonicht ganz unerwartet bringe ich hier nun einen dritten Teil zum Thema „Sicherheit am PC“! Der Überschrift nach kann man sich denken, daß es wohl einiges für mich zum Schreiben und für euch dann auch zum Lesen geben wird. SchreibersmilieAnlaß für diesen Artikel gab mir die Plattform „Blog botfrei“ mit folgender ziemlich reißerischer Meldung, die irgendwie schon BILD-Niveau hat:

Rekordmonat für Linux-Trojaner

Das klingt natürlich interessant genug für mich, um mir die Sache einmal genauer anzusehen und entsprechend zu recherchieren. Gleich mal eines vorneweg: Es kommt nichts dabei heraus, außer daß ein AV-Hersteller Geld mit seiner Software verdienen will! Aber schauen wir uns den Artikel bei „Blog botfrei“ mal genauer an, Zitat:

Schlechte Nachrichten für Linux-User: Forscher vom AV-Hersteller Dr. Web verzeichnen diesen Monat ein Rekordhoch an gefunden Infektionen für Linuxsysteme. Laut der Experten wurden alleine drei der neu entdeckten Trojaner-Varianten von einer Person erstellt.

Ach? Und wo sind dann die Berichte hierzu in entsprechenden Magazinen? Immerhin sollen ja drei dieser neuen Trojaner von ein und der selben Person sein und, wenn man dem Link im Zitat zur original Meldung folgt, zählt man dort ja immerhin sogar 9 Stück (die Links führen alle ebenfalls zu Seiten von Dr.Web):

  1. Linux.DDoS.3
  2. Linux.DDoS.22
  3. Linux.DDoS.24
  4. Linux.DnsAmp.1
  5. Linux.DnsAmp.2
  6. Linux.DnsAmp.3
  7. Linux.DnsAmp.4
  8. Linux.DnsAmp5
  9. Linux.Mrblack

Wenn man nun weiter nach dieser sagenhaften Welle sucht, dann findet man dazu genau … NICHTS! Der einzige derzeit bekannte und vor allem aktive Trojaner für Linux ist immer noch „Hand of Thieves“, welcher sich allerdings als relativ harmlos herausstellte und der wohl eine Art „Proof of Concept“ ist. Man muß ihn praktisch „von Hand“ installieren und ihm entsprechende Rechte geben, damit er überhaupt gefährlich werden kann! Trotzdem sollte man dieses Ding nicht unterschätzen, denn mit den entsprechenden Rechten kann er ein ziemliches Problem werden. Mit entsprechenden Änderungen und vor allem mit einem gekapertem Server ließe sich da mit Sicherheit auch ein „Drive-by-Download“ oder so realisieren, wie es auch unter Windows vor allem durch die ganzen GEMA-, BKA-, FBI- usw.-Trojaner bekannt ist.

 

Apropos Drive-by-Download (ist schon etwas älter):

Der BKA-Trojaner für Linux!

Da gibt es tatsächlich auch Trittbrettfahrer, die nur so tun als ob! Zitat:

Der Antiviren-Spezialist F-Secure hat einen neuen Erpressungs-Trojaner entdeckt. Es handelt sich dabei offensichtlich nicht um eine weitere Variante des bereits bekannten BKA-Trojaners sondern um eine Neuentwicklung, die bei weitem noch nicht so ausgereift ist wie das Vorbild.

Zwar sperrt auch der Browlock getaufte Trojaner den Rechner angeblich im Namen der Bundespolizei und fordert eine Betrag wie 200 Euro für dessen Freigabe. Er schaltet dabei aber nur ein Browser-Fenster in den Vollbildmodus und versucht durch diverse Tricks, den Anwender daran zu hindern, dieses Fenster zu schließen. Der BKA-Trojaner geht da deutlich raffinierter zu Werke. Außerdem ist die Lokalisierung noch mehr als schlampig; vor allem die „deutsche Version“ kann, wie der von F-Secure veröffentlichte Screenshot zeigt, nicht mal bei flüchtiger Betrachtung als echte Nachricht der Bundespolizei durchgehen.Es steht jedoch zu befürchten, dass neue, bessere Versionen von Browlock nicht lange auf sich warten lassen. Auch das Vorbild wird trotz einiger Verhaftungen durchaus weiter entwickelt und fleißig in Umlauf gebracht. Erst letzte Woche gab es eine neue Welle von BKA-Trojanern, die unter anderem versuchte, Anwender mit einem drohenden Konterfei von Angela Merkel einzuschüchtern.

Update 18:15, 15.8.13: F-Secure hat mittlerweile gegenüber heise Security bestätigt, dass der Browlock-Trojaner lediglich behauptet, er habe Dateien verschlüsselt, um seine Opfer zur Zahlung zu animieren. Tatsächliche findet keine Verschlüsselung statt. (ju)

Dieses Ding verwendet offensichtlich JavaScript (NICHT Java!), um eine Infektion des Rechners vorzutäuschen! Wenn man seinen Browser beendet und dabei den Cache leert, dann hat sich die Geschichte auch schon erledigt. Schaden entsteht dadurch keiner, es ist aber ärgerlich. Da er wie geschrieben wohl durch JavaScript realisiert wird ist er natürlich unabhängig von Browser und Betriebssystem funktionsfähig, wenn man das in dem Fall so nennen darf.

Und wieder ist es „Drive-by-Download“, funktioniert also ohne Eingriff des Nutzers! Auch hier wieder der Hinweis von oben: Ein paar Änderungen dürften genügen, um ihn richtig gefährlich werden zu lassen! Allerdings sollten Add-ons wie NoScript solche einen Angriff verhindern können, dazu wurden sie schließlich erschaffen.

 

Botnet & Rootkit!

Kommen wir nun zu einem echten Angriff auf Unix und Linux, es gibt da nämlich mindestens ein bekanntes Botnet:

Ebury-Rootkit: Zombie-Server greifen täglich eine halbe Million Rechner an

Botnet Windigo: 10.000 kompromittierte Linux-Server als Malwareschleudern

Wir haben es hier also mit einem UNIX/Linux-Botnet zu tun, welches Spam, Malware und pornographische Werbung auf Windows- und Apple-Rechnern verbreitet. Das Kuriose dabei ist allerdings, daß von den betroffenen Servern aus scheinbar keine Desktop-Linux-Rechner angegriffen werden! Da bauen die also ein immenses Netzwerk aus Linux- und UNIX-Servern auf, die Desktop-Versionen dieser Systeme ignorieren sie aber scheinbar komplett. An der Sicherheit der Systeme liegt das wohl nicht, die ist nämlich auf dem Desktop genau so gut oder schlecht wie auf den Servern!

 

Einheitlicher Login

Bei meiner Recherche zu diesem Artikel bin ich zufällig auch auf folgenden Artikel bei netzwelt.de gestoßen:

Passwort-Dschungel – Kommentar: Wir brauchen ein einheitliches Login-System

Zitat:

Facebook, Twitter, Pinterest, Tumblr, der eigene Blog, dazu PayPal, Ebay, Onlinebanking, DHL, Apple, Google – mit dem Social Web ufert die Zahl der Benutzerkonten aus. Was fehlt, ist ein einheitliches Login-System – leider beißen sich hier Komfort und Sicherheit.

Der letzte von mir hervorgehobene Satz zeigt schon auf, daß so etwas eventuell keine gute Idee ist!
Zitat:

So erlauben viele Dienste inzwischen den Login mittels Facebook-, Google- oder Twitter-Account, was natürlich mit enormen Risiken verbunden ist: Erhascht ein Datendieb eines der Passwörter, kann er auf zahlreiche Dienste zugreifen.

Tatsächlich ist es ja so, daß es bereits einen entsprechenden Dienst gibt, nämlich OpenID. Dieser wird auch von zahlreichen Unternehmen unterstützt, so daß eigentlich viele Nutzer im Internet sich mit einem einzigen Zugang auch bei den anderen Diensten anmelden können. Nicht in der Liste aufgeführt sind übrigens WordPress.com und Facebook, die allerdings ebenfalls dazu gehören!

Ich rate von diesem Dienst auf jeden Fall ab, das ist viel zu unsicher. Man stelle sich vor, man hat sich bei OpenID angemeldet und auch nur ein einziger anderer Zugang wurde geknackt, die Folgen wären fatal:

Der Angreifer hätte automatisch Zugang zu allen anderen Konten, welche mit diesem einen Dienst verbunden sind!

Und nun komme mir ja niemand mit dem ePerso, sonst springe ich in den Monitor durch die Leitung und erschlage die betreffende Person eigenhändig! Eine bessere Überwachungsmaßnahme kann sich unsere Regierung ja gar nicht wünschen:

  1. Vorratsdatenspeicherung! (VDS) (noch nicht, aber bald!)
  2. Totale Videoüberwachung, sehr bald wohl mit
  3. Gesichtserkennung und mit
  4. Gedankenscanner! – Ja, der ist tatsächlich in Arbeit!
  5. Automatische Nummernschilderkennung! (über das Verkehrsleitsystem und/oder die Videoüberwachung bzw. das Mautsystem)
  6. Standortüberwachung bzw. Personenortung durch Handy/Smartphone!
  7. Ständige Überprüfung der E-Mails mit der SINA-Box!
  8. Der StaSi-Trojaner, damit der Computer auch gleich noch manipuliert werden kann!
  9. Bestandsdatenauskunft durch Polizei und Geheimdienste!
  10. Funkzellenüberwachung, aber garantiert nicht nur in Sachsen!

Hier sind also unabhängige Leute gefragt, am Besten wohl Open Source! Eine ID-Karte mit passendem Lesegerät, deren Herstellung vollkommen transparent und auch der Quellcode öffentlich ist. Alles andere ist als unsicher zu betrachten, da man in der heutigen Zeit keinem Unternehmen und schon gar nicht dem eigenen Staat trauen kann!

Ein solches Verfahren wäre durchaus praktisch, da man sich ja mit der ID-Karte identifiziert und das Paßwort im eigenen Gerät gespeichert wäre, nicht irgendwo auf irgend einem Server! Datendiebstahl würde dadurch massivst erschwert werden, daß ginge dann nur noch durch direkte Bedrohung der entsprechenden Person.

 

Linux statt Windows!

Im vorigen Teil dieser Artikelserie habe ich ja darauf hingewiesen, daß Brian Dye, der Vize-Präsident von Symantec die AV-Software für tot erklärt hat. Nun bin ich bei der Recherche zu dem jetzigen Artikel auf eine weitere, ähnliche Meinung gestoßen:

Antivirus-Pionier empfiehlt Linux

Zitat:

Wie der britische Antivirus-Experte Dr. Alan Solomon in seinem Blog schreibt, halte er bereits seit geraumer Zeit die Prävention vor Schädlingen mittels einer Antivirus-Software für gescheitert.

Ja, macht ihr nur weiter so! Irgend wann wird dann ClamAV wohl der beste Virenscanner sein, da ihr den Kampf aufgegeben habt! Wie wichtig AV-Software auch auf einem Linux-System ist, das habe ich hier auf meinem Castle ja wohl oft genug betont. Dieser Artikel hier und natürlich mein entsprechendes Tutorial sprechen da ganz eindeutig eine andere Sprache, ihr kommt einfach mit dieser neuen Situation nicht mehr klar! Ein Virus für Linux und UNIX wie weiter oben erwähnt? Oh Graus, das kostet ja Geld, damit man die eigene Software ebenfalls auf diese Systeme portieren kann! Tja, das hättet ihr euch doch etwas früher überlegen müßen.

 

Virenscanner und Linux!

Nun komme ich an einen Punkt, bei dem ich liebend gerne im Viereck springe! MotzrotsmilieImmer und immer wieder lese ich folgende Falschmeldung in den verschiedensten Foren:

AV-Software scannt nur nach Windows-Schadware!

Das ist natürlich falsch, und zwar komplett! Jeder mir bekannte Virenscanner führt eine Liste von Viren, nach denen er sucht und ich kenne keinen, in dem nicht auch die bekannten Viren für Linux, UNIX und Apple vorhanden sind. Jeder Virenscanner scannt nach jeder Schadware, das Betriebssystem ist denen aber sowas von scheißegal! Schaut euch doch mal die entsprechenden Listen an, fast jeder Scanner bietet euch die Möglichkeit dafür.

Mich würde echt einmal interessieren, wer diesen absolut hirnrissigen Gedanken in die Welt gesetzt hat. Betreffende Person muß bei der Hirnverteilung wohl in der Zombie-Abteilung gewesen sein, dort benötigt man solch ein seltsames schwabbliges Teil aus grauen Zellen nämlich nicht. Auch wenn es für Linux, UNIX und Apple bei Weitem nicht so viel Schadware wie für Windows gibt, die Scanner erkennen sie trotzdem.

 

Mein Fazit:

Auch wenn ihr wie ich mit Linux unterwegs seid, ein Virenscanner gehört auf euer System! Es kann wirklich jeden treffen, denkt einmal an Mac OS X, iOS und Android! Die basieren ebenfalls auf BSD/Linux/UNIX, aber dafür gibt es ja gar niemals nicht irgend welche Schadware, ich schwöre!

Leute, schaltet mal euer Gehirn ein. Es wird wirklich Zeit, daß man euch von eurem Irrglauben befreit! Ihr lebt in einer Traumwelt, die eure Rechner innerhalb von Bruchteilen einer Sekunde in Malware- und Spamschleudern verwandeln kann. Das Betriebssystem spielt dabei nur eine Nebenrolle wie ein einfacher Soldat in einer Schlacht mit zigtausend Soldaten, es ist nichts weiter wie Kanonenfutter!

Wie schon mehrmals hier auf meinem Castle möchte ich euch folgende 2 Punkte dringendst nahelegen:

  1. Für SeaMonkey, Thunderbird und Firefox unter Linux mein Tutorial und
  2. ein vernünftiges Sicherheitskonzept!

Außerdem möchte ich euch (ebenfalls zum wiederholten mal) folgendes mit auf den Weg geben:

Es gibt kein sicheres System!

Wenn ihr das endlich irgendwann begriffen habt, dann, aber wirklich erst dann ist euer System sicherer wie jemals zuvor.

 

Viele Grüße nun aus speziell gehärteten Stahlbetonkammern von TmoWizard’s Castle zu Augusta Vindelicorum

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 Sicherheit am PC III: Von Nicht-Trojanern, Viren, Paßwörtern und Linux! von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Über TmoWizard

Ich blogge hier aus Spaß am Schreiben über verschiedene Themen, wobei es auf meinem Castle kein Hauptthema gibt. Es kommt immer darauf an, was denn so gerade Sache ist. Nebenbei läuft hier die Rockantenne dazu, denn bekanntlich geht ja mit Musik alles besser! ;-) Ansonsten lese ich gerne irgendwelche Romane, wobei hier neben Fantasy und Horror auch Science-Fiction, Krimis und Western nicht fehlen dürfen! Ach ja: Trotz meinem Alter lese ich immer wieder Asterix, wobei mir leider ein Album fehlt. Alles weiter über mich kann man hier im Internet finden ... naja, zumindest ein bißchen was. Ein Magier wird niemals alle seine Geheimnisse preisgeben, geht ja mal gar nicht! :-D

3 Kommentare zum Artikel

  • Andreas Schier (11 Kommentare) sagt:
    Hallo

    Ich verwende zusätzlich zu ClamAV noch
    Linux Malware Detect von dieser Seite:
    https://www.rfxn.com/projects/linux-malware-detect/

    Diese Software benutzt ein vorhandenes ClamAV
    als zweiten Scanner.
    Die Software verfügt nicht über eine GUI und wird
    komplett über die Shell bedient.

    ClamAv ist nicht schlechter als die Produkte
    von anderen Herstellern, genau wie MS Security Essentials.
    Gegenüber den sehr umfangreichen AV-Software der
    Konkurrenz haben diese Produkte mehrere Vorteile:

    -wenig Fehlalarme
    -geringe Systembelastung
    -keine Adware/Toolbars

    Unter MS Windows kann es zu starken Performance Einbußen durch AV Software kommen, z.B. wenn zeitgleich
    mit CAD Software gearbeitet wird:
    http://inventorfaq.blogspot.de/2012/11/virenscanner-und-performance.html

    Auf der Seite http://www.iron-city.de gibt es auch einige Anleitungen zur sicheren Konfiguration von Seamonkey, Firefox und Thunderbird.

    Zitat:
    „Es gibt kein sicheres System!“

    Das sicherste System ist ein ausgeschalteter Rechner
    ohne Boot-Laufwerk

    MfG
    Andreas

  • Virianer (1 Kommentare) sagt:
    Ohne antiviruslösung sollte man nicht ins netz gehen, da stimm ich dir zu. Allerdings bin ich auch bei Linux sehr vorsichtig geworden. Mir ist schon 2x schadsoftware untergekommen durchs reine surfen. Einmal übers flash plugin und das andere mal weiss ich nicht woher. Auf jeden fall nur beim browsen mit Firefox ohne dateien zu öffnen
  • Dean (1 Kommentare) sagt:
    wachgerüttelt sag ich da nur… ich war benütze linux ubuntu und war dem irrglauben erlegen… das es wenige Viren gibt.

    werd mir also doch was runterladen!!

    Danke für die Info

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst diese HTML Tags und Attribute nutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Hier sind auch Kommentarlinks nofollow frei!