Thema: Malware-Paket auf gnome-look.org und opendesktop.org

[SiLæncer]

Ein Bildschirmschoner auf den Art- und Themenseiten »gnome-look.org« und »opendesktop.org« entpuppte sich bei näherer Betrachtung als Malware – mittlerweile ist das Paket von den Servern verschwunden.

Einen Bildschirmschoner mit Wasserfall versprach das von dem User BlackNight5 am gestrigen Abend abgelegte Paket »app5552« auf »gnome-look.org« und »opendesktop.org« zu liefern. Wer die vermeintliche Augenweide allerdings binnen der letzten 24 Stunden herunterlud, installierte nicht ein Spaßprogramm, wie versprochen, sondern eine potentiell gefährliche Applikation.

Die als ein DEB-Paket installierte Anwendung führte ein Script aus, das auf dem heimischen Rechner unter dem Verzeichnis /usr/bin ein »Auto.bash«-Script und unter /etc/profile.d das Script »gnome.sh« installierte. Die wiederum luden weitere Teile der gescripteten Mailware aus dem Internet herunter. Unter anderem ein Script unter dem Namen »run.bash«, das wiederum unter /usr/bin abgelegt wurde.

Das Schadenspotential des Pakets blieb überschaubar. Als Schadensroutine, sofern man von solcher sprechen kann, führte das Script einen simplen ping mit einer fragmentierten Paketgröße von 64KByte aus. Offenbar, plante ein Fan des Spieles Word of Warcraft eine DoS-Attakte zu starten, die eine Seite treffen sollte, die sich vornehmlich dem Thema Exploits und private Server widmet. Wie stümperhaft der Angriff allerdings schon vorbereitet wurde zeugt nicht nur die Bauweise der Malware, sondern auch die sofortige Wirkung.

Bereits nach wenigen Stunden entfernte der kostenlose Hoster, der die nachzuladende Komponenten beherbergte die Dateien. Auch die betroffenen Seiten warfen den vermeintlichen Bildschirmschoner bereits wenige Stunden nach dem Upload von ihren Servern. Anwender, die sich allerdings in den letzten Stunden von den betroffenen Seiten einen Bildschirmschoner herunterluden, sollten im Zweifel trotz allem ihre Systeme überprüfen und notfalls die Dateien »/usr/bin/Auto.bash«, »/usr/bin/run.bash« »/etc/profile.d/gnome.sh«, »/usr/bin/index.php« sowie das Paket »app5552« entfernen.

Information: Ubuntuforums

Quelle : www.pro-linux.de

[mtron]

naja, grosse überraschung - oder "kunst" ist das nicht. kann jedes script kiddie

Grundsätzlich gilt natürlich dass nur debs aus den offiziellen ubuntu repositories sicher sind. Jegliche software aus 3rd party repos beinhaltet dieses Risiko. Also binaries natürlich nur von menschen installieren denen ihr traut.

Genau desshalb sind meine Pakete im normalfall mit meinem PGP Key signiert. ich zeichne für diese für jederman ersichtlich verantwortlich (mit meinem "bürgerlichen" Namen was mal kater - oder wars ritschie - fast erschreckt hat). Das ist ein basic sicherheitskriterium auf das man achten sollte . Von unsignierten deb's sollte man heutzutage die finger lassen!

[SiLæncer]

Das Auftauchen eines Schadprogramms in einem Theme und einem Bildschirmschoner für den Gnome-Desktop hat eine Debatte über die Sicherheit von Fremdpaketen ausgelöst.
Nachdem ein weiteres Paket mit dem kürzlich entdeckten Schadcode aufgetaucht war, begann eine Diskussion darüber, wie sich das Einschleusen schadhaften Codes unter Linux künftig verhindern lasse. Vor allem Server von Drittanbietern geraten gegenwärtig wegen ihrer laxen Sicherheitsbestimmungen ins Kreuzfeuer der Kritik.

Programmierer Mark Kretschmann vom Amarok-Projekt prescht mit einem Lösungsvorschlag vor, wie in Zukunft Softwarepakete auf Schadprogramme überprüft werden könnten. Er regt in seinem Blog die Einführung einer pflichtmäßigen Versionskontrolle (VCS) an. Software von Drittanbietern soll auf einem öffentlichen Server mit VCS abgelegt werden.

Laut Kretschmann ist Software unter Linux reell von eingeschleuster Malware bedroht, das gelte auch für KDE-Programme. Er habe dabei den Mediaplayer Amarok im Sinne, der das Ausführen von Skripts von Drittanbietern nicht nur zulässt, sondern ausdrücklich begrüßt. Die Idee einer Sandbox-Umgebung oder einer automatischen Schadcodeerkennung wurde schnell als zu kompliziert verworfen.

Der Vorschlag einer Kontrolle durch Projektmitglieder würde aus personaltechnischen Gründen nicht funktionieren, so Kretschmann. Zudem stellt sich die Frage der Verantwortung, sollte doch ein Malware-Skript durch die Kontrollen schlüpfen.

Durch die Versionskontrolle hingegen würde sich schnell herausstellen, wer den schadhaften Code in ein Paket geschleust hat und wann. Derjenige könnte dann in Zukunft vom Zugriff auf den VCS-Server ausgeschlossen werden. Zudem könnte Schadcode schnell aus sonst harmlosen Paketen entfernt werden.

Außerdem könnte auch die Anzahl verwaister Software reduziert werden. Hier geht Kretschmann von seinen Erfahrungen mit Skripts von Drittanbietern für den Mediaplayer Amarok aus. Er moniert, viele Skripts würden von ihren ursprünglichen Entwicklern nicht mehr gepflegt oder einfach von anderen übernommen und unter anderem Namen weiterentwickelt. Eine Versionskontrolle würde auch hier für einen Überblick sorgen.

Schließlich würde laut Kretschmann die Einführung einer Versionskontrolle die Qualität der eingereichten Software erhöhen. Sie würde den Programmierer dazu zwingen, eine Versionskontrollsoftware zu erlernen, etwa Subversion (SVN). Zwar sei die Software relativ einfach zu verstehen, dennoch sollen mit dieser Hürde unerfahrene Programmierer veranlasst werden, sich zunächst genauer mit der Softwareentwicklung zu beschäftigen.

Generell liegen Theme-Erweiterungen und ähnliche Software auf Servern wie gnome-look.org als gepackte Tar.gz-Archive vor. Die enthaltene Software sollte normalerweise von jedem Benutzer mit Userrechten in seinem eigenen Home-Verzeichnis entpackt werden. Damit reduziert sich der Effekt eines etwaigen Schadcodes zumindest auf Dateien im jeweiligen Home-Verzeichnis. Die Installation eines DEB- oder RPM-Pakets sollte immer aus den signierten Repositories der jeweiligen Distribution erfolgen, die sorgfältig überprüft wird.

Mit einem Blick in die Verzeichnisstruktur innerhalb eines Archivs kann zumindest ansatzweise festgestellt werden, ob ein enthaltenes Skript verdächtig ist, denn Themes oder Bildschirmschoner sollten keine Dateien in den Verzeichnissen /bin, /sbin, /usr/bin oder /usr/sbin ablegen. Dies jedoch ist kein Garantie, denn Skripts können mit den entsprechenden Rechten aus jedem Verzeichnis heraus gestartet werden.

Quelle : www.golem.de