Ubuntu Snap Store enthielt Malware

Smalltalk
Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Ubuntu Snap Store enthielt Malware

Beitrag von MSfree » 16.05.2018 10:43:05

uname hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 08:06:31
Auf dem Client ist der Virenscanner doch nur notwendig, da die Softwarequelle (das ganze Internet) nicht ordentlich gescannt werden kann.
Schadsoftware kommt ja nicht nur durch willentliches Installieren von Software auf den Rechner. Die meisten Vorfälle kommen doch wohl immer noch per Email. Nun kann man natürlich argumentieren, man solle nicht auf jeden Anhang klicken unf HTML abschalten, im täglichen Leben ist das aber völlig unrealistisch.

Es kommen nunmal auch Rechnungen und Mahnungen auf dem Rechner der Sekretärin an, und diese ist auch angewiesen, sich um Rechnungen und Mahnungen zu kümmern. Der Konflikt aus ich-darf-nicht-auf-Anhänge-klicken und verstreichen lassen der Mahnfrist ist vorprogrammiert.

Auch abschalten von HTML ist unrealistisch. Versuch mal Otto-Nomalverbraucher bezubringen, den Email-Text in HTML-Code zu lesen, oft ist nämlich gar keine ASCII-Version des Textes in der Mail vorhanden. Du wirst auch der Chefetage nicht beibringen können, daß Email form- und formatloses ASCII zu sein hat. In der Geschäftswelt müssen Formalien eingehalten werden, ein Geschäftsbrief hat auch als Email auszusehen wie aus der Textverarbeitung. Sich dagegen zu sträuben, ist ein sinn- und erfolgloses Unterfangen. HTML ist auch nicht gefährlich, gefährlich ist, daß Mailprogramme sinnloserweise Javascript ausführen können und Resourcen wie Bilder und weitere Javascripte aus dem Internet nachladen können. Für die Textformatierung braucht man nämlich kein Javascript und Bilder kann man auch direkt im Mailattachment mitliefern.

Weitere Einfallstore für Schadsoftware sind Datenträger. Wir bekommen hier regelmässig Daten im Umfang von mehreren Terabyte von Kunden. Der schnellste Weg, diese Daten zu übertragen, ist nunmal immer noch eine Festplatte oder bei "kleineren" Datensätzen ein USB-Stick.
Auch Windows versucht auf einen Store zu setzen. Debian und Ubuntu nutzen Repositories und auch Snap Store, Google Play und App Store sind Softwarequellen mit einen beschränkten Umfang von einigen Tausende Softwarepaketen.
Im Google Playstore stehen wohl inzwischen einige Millionen Anwendungen zur Verfügung. Da ständig den Überblick zu behalten, ist mindestens herausvordernd. So ist es auch nicht weiter verwunderlich, daß man fast wöchentlich Meldungen über verseuchte Software lesen kann.
Somit reicht es wenn der Hersteller (z. B. Google beim Play Store) das Virenscanning durchführt.
Was aber bei riesigen App-Stores wohl nur unvollständig passiert.
Niemand braucht einen dezentralen Virenscanner, wenn er nur aus "vertraulichen" Quellen installiert.
Wie gesagt, installieren ist nicht das einzige Einfallstor. und die Naivität der User ist grenzenlos.
Der eigene Virenscanner wird immer schlechter sein als die Bemühungen des Store-Betreibers.
Der Virenscanner beim Shopbetreiber ist nicht auf einem aktuelleren Stand wie der eigene. Der Shopbetreiber hat also keine besseren "Waffen" zur Hand. Umfangreiche Funktionstest von eingereichter Software führen die Shopbetreiber nicht durch.

Selbst Apple macht hier höchstens Stichproben. Die bestehen nur darauf, daß keine von Apple zugelassenen Toolkits zum Einsatz kommen, aber vielmer als die Ausgabe von nm testen die bei neu eingereichter Software auch nicht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Ubuntu Snap Store enthielt Malware

Beitrag von uname » 16.05.2018 10:51:42

MSfree hat geschrieben:Die meisten Vorfälle kommen doch wohl immer noch per Email
Ein ausführbarer E-Mail-Anhang ist für mich vergleichbar mit einen Download von irgendeiner nicht überprüften Internetseite. Der Unterschied ist vielleicht, dass man per E-Mail auf den Schadcode hingewiesen wird und ihn selbst beim Internetsurfen nie gefunden hätte. Somit ist der Schadcode gleich gefährlich aber über E-Mail viel wahrscheinlicher.
MSfree hat geschrieben:man solle nicht auf jeden Anhang klicken
Genau. Die Leute die auf jeden Anhang klicken brauchen einen Virenscanner. Mit Brain 1.0 kann man auf einen Virenscanner fast verzichten. Und ganz schlimm ist wenn Inhalte egal welcher Art automatisch ausgeführt werden.
MSfree hat geschrieben:und HTML abschalten
Würde auch gleich das S/MIME- und PGP-Sicherheits-Problem lösen.

TomL

Re: Ubuntu Snap Store enthielt Malware

Beitrag von TomL » 16.05.2018 10:57:38

@MSFree

Was mich mal interessieren würde, ist ein Vergleich der Anzahl berechtigter Personen. Wie viel Leute sind grob geschätzt berechtigt, Änderungen am/im Debian-Repo durchzuführen? Wie viel Leute sind ebenso grob geschätzt berechtigt, downloadbare Apps im Google-App-Store zu platzieren? Hast du dafür vielleicht eine Einschätzung, oder meinetwegen auch nur ne begründete Meinung?

Vielleicht lassen sich daraus Ideen über die Anzahl/ Verteilung subversiver Interessen ableiten.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Ubuntu Snap Store enthielt Malware

Beitrag von MSfree » 16.05.2018 12:06:36

TomL hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 10:57:38
Wie viel Leute sind grob geschätzt berechtigt, Änderungen am/im Debian-Repo durchzuführen? Wie viel Leute sind ebenso grob geschätzt berechtigt, downloadbare Apps im Google-App-Store zu platzieren? Hast du dafür vielleicht eine Einschätzung, oder meinetwegen auch nur ne begründete Meinung?
Ich habe mir bisher nicht die Mühe gemacht, die Größe des Debian Maintainerteams herauszufinden, die Zahl findet man aber sicher irgendwo, wenn man lange genug danach gräbt. Die Größe des Teams muß aber beträchtlich sein. Es gibt alleine 3 Distros, die noch unter Wartung sind, dazu kommen Testing und SID. In jedem Bereich liegen rund 50000 Softwarepakete für 9 offizielle Architekturen. Das summiert sich auf grob 2.3 Millionen Pakete. Es gibt wohl an die 100 Maintainer, die Pakete in die Repositories stellen dürfen. Bei einer Arbeitslast von 23000 Pakete pro Maintainer kann man sich selbst ausmalen, wie gründlich die Prüfung dabei sein kann. Eine automatisierte Prüfunf ist auch nichts anderes als was ein Virenscanner machen würde, also nicht zuverlässig. Diese 100 sind also wieder von der Zuverlässigkeit anderer abhängig, die die Prüfung stattdessen durchführen. Alles in allem würde ich da schon eine Zahl, die in die paar Tausend geht, für nicht unrealistisch halten.

Beim Google Playstore habe ich gar keine Vorstellung, wie das läuft. Die habe rund 3 Millionen Apps in ihrem Store und wie das Prüfverfahren dort aussieht, weiß ich nicht. Besonders streng scheint es ja nicht zu sein, wenn beim letzten Test von Heise von 100 Taschenlampen-Apps keine einzige sauber war.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Ubuntu Snap Store enthielt Malware

Beitrag von hikaru » 16.05.2018 12:34:31

MSfree hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 12:06:36
Ich habe mir bisher nicht die Mühe gemacht, die Größe des Debian Maintainerteams herauszufinden, die Zahl findet man aber sicher irgendwo, wenn man lange genug danach gräbt.
Ja, gibt es irgerndwo. Ich weiß nur nicht mehr wo.
MSfree hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 12:06:36
Es gibt wohl an die 100 Maintainer, die Pakete in die Repositories stellen dürfen.
Soweit ich mich erinnere, fehlt da eine Null. Ich weiß allerdings nicht mehr, ob die 1000 nur Maintainer oder auch Developer und sonstiges Gedöns waren.
MSfree hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 12:06:36
Bei einer Arbeitslast von 23000 Pakete pro Maintainer kann man sich selbst ausmalen, wie gründlich die Prüfung dabei sein kann.
Falls meine Erinnerung richtig ist, dann kannst du hier also eine Null streichen. Aber das verbessert die Sache nur unwesentlich.

Unabhängig davon ist aber fraglich, was diese Metrik taugt. Aus Maintainersicht sind eher Quellcodepakete interessant, man müsste also die betrachten. Wenn im Median ein Quellpaket zu einem Binärpaket wird, dann ändert das natürlich nichts. Wenn aber ein Quellpaket zu 10 Binärpaketen wird, dann ändert das die Sache durchaus. Die Wahrheit liegt vermutlich irgendwo in der Mitte.

Aber auch das ist eigentlich Milchmädchenrechnung, denn Maintainer werden nicht mit der Gießkanne über das Repo verteilt. Manche Pakete kriegen viel Aufmerksamkeit, manche wenig. Es gibt kompetente Maintainer und Inkompetente. Es gibt trivial zu wartende Pakete und nahezu Unbeherrschbare. Auch die Vertrauenswürdigkeit von Upstream variiert je nach Paket.

Vielleicht kann ja Randall Munroe mal einen Diagramm zum Debianrepo mit den Achsen Maintainerkompetenz, Paketkomplexität und Upstreamvertrauenswürdigkeit machen und da dann die Quellpakete einsortieren. Insbesondere die Gegenüberstellung von Firefox und Chromium würde mich hier interessieren. ;)

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Ubuntu Snap Store enthielt Malware

Beitrag von MSfree » 16.05.2018 13:27:51

hikaru hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 12:34:31
[Soweit ich mich erinnere, fehlt da eine Null. Ich weiß allerdings nicht mehr, ob die 1000 nur Maintainer oder auch Developer und sonstiges Gedöns waren.
Die Graphik ganz unten auf dieser Seite zeigt ca. 90 Maintainer:
https://wiki.debian.org/DebianMaintainer
Keine Ahnung, wie aktuell das letztlich ist.

Aber, das sind die Leute, die das Repository befüllen dürfen. Wieviele denen zuarbeiten, geht daraus nicht hervor.
Vielleicht kann ja Randall Munroe mal einen Diagramm zum Debianrepo mit den Achsen Maintainerkompetenz, Paketkomplexität und Upstreamvertrauenswürdigkeit machen und da dann die Quellpakete einsortieren. Insbesondere die Gegenüberstellung von Firefox und Chromium würde mich hier interessieren. ;)
Kannst ihm ja mal 'ne email schreiben :mrgreen: :THX:

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Ubuntu Snap Store enthielt Malware

Beitrag von novalix » 16.05.2018 15:07:47

MSfree hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 13:27:51
hikaru hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 12:34:31
[Soweit ich mich erinnere, fehlt da eine Null. Ich weiß allerdings nicht mehr, ob die 1000 nur Maintainer oder auch Developer und sonstiges Gedöns waren.
Es sind Developer (DD). Die Zahl ist seit etlichen Jahren recht konstant .ca 1000. Debian Maintainer (DM) ist eine vergleichsweise neue Statuskategorie (.ca 10 Jahre alt), die mit weniger Lern- und Prüfungsaufwand erreicht werden kann. In der Umgangssprache sind beide Kategorien "Maintainer".
MSfree hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 13:27:51
Die Graphik ganz unten auf dieser Seite zeigt ca. 90 Maintainer:
https://wiki.debian.org/DebianMaintainer
Keine Ahnung, wie aktuell das letztlich ist.
Nicht sehr aktuell, wie Du aus dem Link zum Changelog erlesen kannst.
MSfree hat geschrieben: ↑ zum Beitrag ↑
16.05.2018 13:27:51
Aber, das sind die Leute, die das Repository befüllen dürfen. Wieviele denen zuarbeiten, geht daraus nicht hervor.
Das hier ist aktueller und umfassender: https://nm.debian.org/public/stats

Insgesamt ist die Situation, @hikaru hat das ja schon sinnvoll eingeschränkt, weniger dramatisch als Du in Deinem ersten Ansatz überschlagen hast. Das heißt natürlich nicht, dass es keinerlei Probleme (im Sinne von einzelnen Ereignissen) bzw. auch strukturelle Probleme gibt.
Ein wichtiges strukturelles Problem hat @hikaru schon angerissen:
Der Bedarf an gutem Personal ist hoch. Das ist allerdings zum einen nicht so leicht zu finden und zum Anderen auch nicht so leicht einzubinden.
Der DM-Status ist eine bislang recht gut funktionierende Maßnahme, um mehr Leute an das Projekt heranzuführen.
Bei Software-Paketen wie chromium mit seiner reinen Code-Fülle aber auch mit seinem sehr idiomatischen Build-Prozess, könntest Du locker noch fünf zusätzliche Maintainer ins Team hohlen und wärst wahrscheinlich immer noch "unterbesetzt".
Was die Datenintegrität im Debian-Repository im Vergleich zu den App-Stores angeht, liegen da Welten zwischen. Aber das Web of Trust, was Debian versucht aufzubauen und zu implementieren, wird natürlich auch nie "hundertprozentig sicher" sein.

Edith hat noch nen Quote-Fehler rausgelötet.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Antworten