Gnome: Schadsoftware in vermeintlichem Bildschirmschoner

[Snoopy]

Hi,

wer nicht regelmässig div. Seiten besucht, zur Info...

Debian-Paket mit bösartigem Code auf gnome-look.org entdeckt

In einem vermeintlichen Bildschirmschoner, der auf den Webseiten gnome-look.org und opendesktop.org zum Download angeboten wurde, sind schadhafte Bash-Skripts entdeckt worden. Das Paket wurde von den Downloadseiten bereits entfernt.
[...]

Quelle: http://www.golem.de/0912/71787.html

So viel zum Thema: Installation div. Pakete aus unbekannten Quellen bzw. von unbekannten Erstellern oder Authoren

[Blackbox]

Ich hoffe da einfach, dass dies nicht solche Dimensionen annimmt wie bei MacOS, dies ist für mich ein weiterer Grund einen Virenscanner auch auf Linux-Desktopsystemen einzusetzen auch wenn ich nichts von den benannten Seiten in mein System (bzw. nur offizielle Quellen) einbinde.
Eine kurze Debatte zum Thema Virenschutz unter Linux haben wir ja vor geraumer Zeit hier im Forum geführt.
Aber eines ist klar, je mehr Nutzer auf Linux umsteigen, desto interessanter wird es für Schadcode-Entwickler, wenn es auch nur die Coder gewisser Behörden sind.
Das checken externer Shellscripts sollte ja usus sein.

[uname]

Welcher Virenscanner sollte denn diesen "Virus" von irgendeinem Scriptkiddie erkennen? Wer nun anfängt aus Panik einen Virenscanner unter Linux zu installieren kann nur scheitern.
Unbekannte Quellen sind das Stichwort. Es war sogar wohl ein DEB-Paket. Aber ich gehe mal davon aus, dass viele Linux-Anwender gar nicht wissen, wie man ein DEB-Paket mit "ar x *.deb" und "tar xvzf ..." manuell vorher auseinanderbaut. Das Script selbst war ja wohl grausam schlecht und jeder hätte erkennen können, dass es kein Bildschirmschoner ist
Meiner Meinung nach ist der Anwender in der Pflicht, der wie bei Windows nicht jeder dahergelaufenen Fremdquelle trauen darf. Aber auch der Hoster der Fremdsoftware könnte ja versuchen den Code vorher zu überprüfen (wohl eher unwahrscheinlich).

[Blackbox]

Welcher Virenscanner sollte denn diesen "Virus" von irgendeinem Scriptkiddie erkennen? Wer nun anfängt aus Panik einen Virenscanner unter Linux zu installieren kann nur scheitern.
Unbekannte Quellen sind das Stichwort. Es war sogar wohl ein DEB-Paket. Aber ich gehe mal davon aus, dass viele Linux-Anwender gar nicht wissen, wie man ein DEB-Paket mit "ar x *.deb" und "tar xvzf ..." manuell vorher auseinanderbaut. Das Script selbst war ja wohl grausam schlecht und jeder hätte erkennen können, dass es kein Bildschirmschoner ist
Meiner Meinung nach ist der Anwender in der Pflicht, der wie bei Windows nicht jeder dahergelaufenen Fremdquelle trauen darf. Aber auch der Hoster der Fremdsoftware könnte ja versuchen den Code vorher zu überprüfen (wohl eher unwahrscheinlich).

Ich habe den Virenscanner mehr auf allgemeinen Schadcode bezogen.
Desweiteren habe ich nichts anderes geschrieben, als du !

[hikaru]

Aber ich gehe mal davon aus, dass viele Linux-Anwender gar nicht wissen, wie man ein DEB-Paket mit "ar x *.deb" und "tar xvzf ..." manuell vorher auseinanderbaut.

Das geht auch mit den grafischen Packprogrammen.

Aber auch der Hoster der Fremdsoftware könnte ja versuchen den Code vorher zu überprüfen (wohl eher unwahrscheinlich).

Sowas geht nur automatisiert. Wie willst du automatisiert feststellen, ob ein rm -f /*.* wie hier geschehen dazu gedacht ist Schaden anzurichten? Dabei werden "nur" die initrds und vmlinuz.old gelöscht, was für viele schon schlimm genug ist. Aber ehrlich gesagt wäre ich persönlich nicht darauf gekommen, automatisch zu pürfen, ob so ein abstruser Befehl abgesetzt wird. Natürlich kannst du prüfen, ob Variationen von rm / enthalten sind, aber dabei wirst du viele false positives kriegen und die Anzahl der false negatives bleibt hoch. Konsequenterweise müsstest du dann auch dd als "Schadsoftware" ausweisen, sofern es auf ein Device schreibt. Damit erschlägst du alles, was einen USB-Bootstick erstellt. Auch mit fdisk lässt sich Schindluder treiben und alles was irgendene Ausgabe erzeugt ist potentiell gefährlich wenn ich die Ausgabe in eine Datei umlenke. Dafür brauche ich nicht mal root-Rechte.

Daher bleibt realistisch betrachtet nur das:

Meiner Meinung nach ist der Anwender in der Pflicht, der wie bei Windows nicht jeder dahergelaufenen Fremdquelle trauen darf.

[Blackbox]

Ich denke auch, das Einbinden von Fremdquellen und unbekannter Software ist das eigentliche Problem.
Leider kenne ich sehr viele Anwender welche genau dies unter Ubuntu praktizieren, deswegen bin ich dazu übergegangen, den atomatisch installierten grafischen Paketinstaller gdebi vom Ubuntu-System zu entfernen, damit konnte ich Probleme mit Fremdpaketen um die Hälfte reduzieren.
Leider gibt es dann immer noch Leute die dann nachgooglen wie es trotzdem geht - und dann schreien wenn es schief läuft...
Das schönste ist ja, wenn man nachfragt, was vor dem Fehler als letztes gemacht wurde, kommt immer reflexartig "na nichts" oder ähnliche Aussagen.

[Blackbox]

Hier findet ihr eine Zusammenfassung zu den verschiedenen Angriffsmethoden und deren Häufigkeit im vergangenen Jahr