Hacker infiltrierten Update-Prozess der Ask.com-Toolbar

    • Als Beispiel:
      Unter Windows kann ich zum Beispiel Dateisignaturen überprüfen lassen. Alles was valide von Microsoft signiert ist, kann ich bei einer Malwareprüfung schon mal im Prinzip als infiziert ausschließen.
      Ist eine Datei nicht mehr valide signiert, erhalte ich aus der Rückmeldung der API bereits Hinweise darauf, warum das so ist und erhalte also da schon Hinweise auf Malwarebefall.

      Unter Linux sehe ich im Augenblick solche Möglichkeiten nicht (ich habe mich aber auch noch nicht großartig damit beschäftigt.
      Gibt es solche Möglichkeiten nicht, hat man bei einer wirklichen Malwareanalyse eine Flut an Daten und keine richtige Möglichkeit, Sachen des Betriebssystems auszuschließen.
      Hat man keine Möglichkeit, etwas sicher auszuschließen, kann sich Malware im Prinzip überall versteckt halten - in jedem regulären Prozess.
      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Kater schrieb:

      Was aber anders ist, ist das die Sicherheitslücken in der Regel schneller geschlossen werden.
      So?Sieben Jahre alte Lücke im Linux-Kernel erlaubt Rechteausweitung

      Die Lücke war nicht der Öffentlichkeit 7 Jahre bekannt sondern dem Kernel-Sicherheitsteam. Also war die Lücke im Prinzip nicht bekannt.

      AHT schrieb:


      Kater schrieb:

      Aber es gibt unter Systemanalyse-und-Netzwerksicherheit eine Liste von Anwendungen um Einbrüche festzustellen.
      Ok. Mit welchem dieser Tools kann man genau zum Beispiel feststellen, welche Codes (Librarys) von welcher Firma ein Prozess genau ausführt?Mit welchem dieser Tools lässt sich genau feststellen, welche Betriebssystemlibrary (vom Betriebssystem mitgelieferter und von einem Betriebssystemprozess geladener Code) sich noch im Originalzustand befindet (also wie von der Firma ausgeliefert) und ob welche verändert wurden?
      Ich bin nur Anwender: So wie ich das mal gelesen habe werden mit rkhunter MD5 hashes erzeugt die dann mit anderen Systemen verglichen werden.

      Wie gesagt bin nur Anwender, wenn dich das Thema interessiert kannst du unter forum.ubuntuusers.de/forum/sicherheit (Registrierung erforderlich) nachfragen.
    • Kater schrieb:

      Die Lücke war nicht der Öffentlichkeit 7 Jahre bekannt sondern dem Kernel-Sicherheitsteam. Also war die Lücke im Prinzip nicht bekannt.
      Da hast Du aber eine falsche Vorstellung von Malwareautoren. Die warten nicht, bis über eine Lücke in der Zeitung berichtet wird, die klopfen das System sebst auf Lücken ab und veröffentlichen dann ihre Erkenntnisse auf keinen Fall sondern nutzen die so lange es geht.

      Gruß Volkmar
    • Kater schrieb:

      Ich bin nur Anwender: So wie ich das mal gelesen habe werden mit rkhunter MD5 hashes erzeugt die dann mit anderen Systemen verglichen werden.
      Rkhunter tut da scheinbar nicht viel mehr, als eine Antvirenlösung unter Windows (wenn ich das richtig verstanden habe). Ein wirklicher Ansatz, nach dem man wirklich effektiv nach unbekannter Malware forschen kann, fehlt mir da unter Linux bislang.
      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Ein wirklicher Ansatz, nach dem man wirklich effektiv nach unbekannter Malware forschen kann, fehlt mir da unter Linux bislang.
      Nun ja Linux hat ja auch Repositorys aus denen Software über eine Paketverwaltung installiert werden kann, soll heißen geprüfte Software. Ich fühl mich da als Laie ganz gut aufgehoben.

      Volkmar schrieb:

      Da hast Du aber eine falsche Vorstellung von Malwareautoren. Die warten nicht, bis über eine Lücke in der Zeitung berichtet wird, die klopfen das System sebst auf Lücken ab und veröffentlichen dann ihre Erkenntnisse auf keinen Fall sondern nutzen die so lange es geht.
      Das ist mir klar. 0-Days gibt es aber glaube ich für Windows sicher mehr als für Linux wegen der Verbreitung.

      Schöne Diskussion im Übrigen. :top:
    • Kater schrieb:

      Nun ja Linux hat ja auch Repositorys aus denen Software über eine Paketverwaltung installiert werden kann, soll heißen geprüfte Software.
      Und wie stellst du sicher, dass nachträglich nichts verändert wurde?
      Wenn du dir mal unsere Vorgehensweisen hier ansiehst, wenn wir nach unbekannter Malware suchen, sind wir uns da in der Regel sehr sicher, was Malware ist und was nicht - per Augenmaß.
      Wie machst du das unter Linux?
      Wie schließt du da Sachen aus? Prüfst du alle ausführbaren Dateien des Rechners per MD5 im Netz???

      Selbst bei Google und Apple kann man sich in den Stores Malware ziehen. Bei einem System, auf dem 7 Jahre lang Rechteerhöhung möglich gewesen ist, geht das eventuell sogar beim Surfen.
      Wenn du zum Beispiel in einen Prozess geladen Librarys überprüfst, wie kannst du sehen, ob die Library in den Prozess gehört oder nicht?
      Wenn du dir eine Prozessliste unter Linux ansiehst - wie stellst du fest, welcher Prozess zu Malware gehört und welcher nicht?

      Ich muss gestehen, dass ich mich mit der Sache noch nicht großartig beschäftigt habe - ich habe im Augenblick aber eher den Eindruck, dass unbekannte Malware auf einem Linuxsystem extrem lange unentdeckt bleiben könnte. Wer sollte die denn finden? Und wie genau???
      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Kater schrieb:

      Nun ja Linux hat ja auch Repositorys aus denen Software über eine Paketverwaltung installiert werden kann, soll heißen geprüfte Software.
      Und wie stellst du sicher, dass nachträglich nichts verändert wurde?
      Zunächst vertraue ich Canonical der Firma hinter Ubuntu, sowohl das sie nicht in bösartiger Absicht die Quellen verändern und auch das sie alles tun um einen Einbruch zu verhindern.

      Die Paket-Repositories werden mit Pretty_Good_Privacy was du vielleicht von verschlüsselten e-mails kennst.
      Wie machst du das unter Linux?

      Gar nicht ich vertraue darauf das andere ihren Job vernünftig machen.
      Zu deinen weiteren technischen fragen hab ich oben bereits forum.ubuntuusers.de/forum/sicherheit verlinkt.
      Selbst bei Google und Apple kann man sich in den Stores Malware ziehen. Bei einem System, auf dem 7 Jahre lang Rechteerhöhung möglich gewesen ist, geht das eventuell sogar beim Surfen.
      Für einen Verschlüsselungstrojaner zum Beispiel braucht man überhaupt keine erhöhten Rechte. Aber Unter Linux müssen Dateien die ausgeführt werden sollen erst ausführbar gemacht werden.
      (Wer sollte die denn finden? Und wie genau???)
      Falls du darauf mal eine Antwort erhältst würde ich mich über Aufklärung freuen.