Hier gibt es netten Lesestoff über Computerviren und ihre Verbreitung. Ich habe einmal versucht, mich damit auseinanderzusetzen, ohne dabei Microsoft zu verreissen.
Viel Spass beim Lesen!
PCPO
Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge
Grossadministrator 
pco „Was zu lesen: Über Computerviren“
Tu doch bitte nicht so, als ob nur Windows von Viren betroffen sei. Siehe hier aus heise-online:
Der erste gefährliche Linux-Virus kommt
Der aktuelle ptrace-Bug im Linux-Kernel könnte ungeahnte Folgen haben und die Linux-Gemeinde einer lange gepflegten Illusion berauben: Auch wenn bereits erste Linux-Viren gesichtet wurden, gehen viele Linux-Benutzer immer noch davon aus, dass wirklich gefährliche Viren eine reine Windows-Plage sind. Sie selbst fühlen sich durch das von Haus aus sichere (Betriebs-)System quasi immun. Aber das ist ein Irrtum.
Neben der geringeren Verbreitung schützt vor allem das konsequent umgesetzte Multiuser-Konzept Linux-Rechner vor Schäden wie dem Formatieren der Festplatte. Denn im Normalfall arbeitet man als normaler Anwender am System. Selbst wenn man dabei einen Virus ausführt, kann der nur auf die Daten zugreifen, auf die man selbst Zugriffsrechte hat. Wenn ein Virus alle meine Dateien löscht, ist das zwar schlimm genug. Da ich aber die wichtigen Sachen gesichert habe, kann ich relativ schnell wieder weiterarbeiten.
Der ptrace-Bug hebelt diesen Schutzmechanismus aus; das betrifft die Mehrheit aller im Moment laufenden Linux-Systeme. Da seine Beseitigung einigen Aufwand erfordert, kann man getrost davon ausgehen, dass auch in einigen Monaten immer noch ein beträchtlicher Teil der Linux-Rechner verwundbar sein wird. Ich rede hier nicht von hoffentlich gut administrierten Servern oder Firewalls (obwohl auch da Zweifel angebracht sind), sondern von den sich mittlerweile schnell verbreitenden Desktop-Systemen mit Linux. Wer installiert heute schon noch regelmäßig auf seinem Linux-Arbeitsplatzrechner einen neuen Kernel? Vom selber Übersetzen ganz zu schweigen.
Des weiteren gibt es einen funktionierenden Demo-Exploit, der im Quellcode vorführt, wie man Befehle mit Root-Rechten ausführen kann. Da ist es nur noch ein gefährlich kleiner Schritt zu einem Virus, der nach einem falschen Mausklick die Festplatte formatiert.
Zugegeben: um das in einen Virus zu integrieren, muss man den eingebauten Shellcode ändern, was zumindest Asssembler-Kenntnisse erfordert. Wie beispielsweise Nimda eindrücklich gezeigt hat, gibt es aber immer noch Virenschreiber, die zu mehr im Stande sind, als Schädlinge mit einem Virenbaukasten und der Maus zusammenzuklicken. Und wenn der "Ruhm" winkt, als erster einen wirklich gemeingefährlichen Linux-Virus entwickelt zu haben und damit durch die Schlagzeilen zu ziehen, schlägt sich womöglich mancher gerne ein paar Nächte um die Ohren.
Auch dieser Kommentar wirft sicher wieder die Frage auf, ob ich damit nicht die falschen Leute auf falsche Ideen bringe. Die Gefahr besteht tatsächlich, doch ich betrachte sie als das kleinere Übel. Denn der erste wirklich gefährliche Linux-Schädling wird kommen -- ob mit oder ohne diesen Artikel. Und wenn nicht mit dem ptrace-Bug, dann mit einer der zukünftig auftauchenden Linux-Sicherheitslücken. Je früher dieses Wissen zum Allgemeingut wird, desto geringer wird die Überraschung -- und damit auch hoffentlich der Schaden -- ausfallen.
Wer seinen eigenen Linux-Rechner jetzt patchen möchte, kann dabei durch eigene Erfahrung auch gleich die Legende von der beim Beseitigen von Sicherheitsproblemen so viel schnelleren Linux-Gemeinde relativieren. Für den aktuellen Linux-Kernel 2.4.20 gibt es noch keinen offiziellen Patch. Lediglich Red Hat bietet bereits ein Security-Advisory an, das auf entsprechende Updates verweist. Auf den Sicherheitsseiten von SuSE, Mandrake und Debian, bleibt der Rat suchende Linuxer hingegen sich selbst überlassen.
Natürlich wollen weder die Kernel-Maintainer noch die Distributoren voreilig einen ungetesteten Patch verbreiten. Und sorgfältige Tests brauchen eben Zeit (die man dann übrigens bei nächster Gelegenheit auch Microsoft zugestehen sollte). Es wäre jedoch trotzdem wünschenswert, dass die Distributoren auch schon vor der Freigabe eines offiziellen Patches ihren Kunden mit entsprechenden Hinweisen und Workarounds helfen. Dabei könnten sie zum Beispiel auf den in der Testphase befindlichen Patch für den Kernel 2.4.20 von Alan Cox verweisen. (Jürgen Schmidt)/ (ju/c't)
pco Nachtrag zu: „Was zu lesen: Über Computerviren“
>Tu doch bitte nicht so, als ob nur Windows von Viren betroffen sei.
Habe ich das? Der erste Virus überhaupt war für Unix.
>Der erste gefährliche Linux-Virus kommt
Für Windows gibt es derzeit über 14.000 bekannte Viren plus Subtypen. Hier herrscht wohl noch Aufholbedarf!
Je komplizierter ein System ist, desto fehleranfälliger ist es auch. Alle modernen Betriebsysteme sind sehr kompliziert. Viren nutzen ihre Fehler.
Wie man dem genannten Bericht aber auch entnehmen kann, kommt es nicht darauf an ob es einen Virus gibt, sondern wie leicht man ihn programmieren und verbreiten kann. Letztendlich ist ein weiteres Kriterium, in welchen Umgebungen der Virus läuft.
Ich bin im übrigen absolut kein Linux-Fan - ich bin Orthy-Fan ;-).
Beide Systeme, Windows und Linux, haben ihre Vor- und Nachteile und wenn mich einer fragen würde, welches das wohl sicherste Betriebsystem für seinen Arbeitsplatz ist, würde ich spontan MacOS sagen. Wenn er dann die Sache auf x86er einschränkt, denke ich spontan an BeOS und FreeBSD und wenn er dann noch eine brauchbare Bedienbarkeit und reichhaltiges Anwendungsangebot voraussetzt, dann bleibt halt nur noch Linux. Will er dann noch leichte Installation, dann verliert am Ende sogar Linux. Das liegt aber nur daran, dass MS seine Nutzer dazu erzogen hat, sich auf keinen Fall mit dem BS beschäftigen zu müssen.
Erste Regel der IT-Sicherheit (siehe Bundesanstalt für Sicherheit in der IT): IT-Sicherheit beginnt beim Anwender.
Wenn ein Windows gehackt wird, ein Virus es befällt oder ähnliches, dann ist erst der Anwender schuld, dann folgt der Administrator, dann das Betriebsystem.
So Far
PCO
Grossadministrator pco „ Tu doch bitte nicht so, als ob nur Windows von Viren betroffen sei. Habe ich...“
Apple schließt Sicherheitslücken mit Mac OS X Server 10.2.4
[Apple/Macintosh] (http://www.macnews.de/?4978) In einem technischen Artikel unter [http://docs.info.apple.com/article.html?artnum=61798] listet Apple die Sicherheits-Updates von Mac OS X Server 10.2.4 im Detail auf.
Lücken wurden in den Bereichen AFP, Samba, Sendmail und Classic-Umgebung geschlossen. Im Artikel sind auch andere Sicherheits-Updates von Apple beschrieben. :: [dre].
http://www.wdr.de/themen/computer/hardware/i_mac/sicherheit.jhtml?rubrikenstyle=computer
Mac-Welt zunehmend gefährdet
Fachleute warnen: Das Sicherheitsrisiko für Apple-Benutzer wächst
heise.de:
Apple stopft Sicherheitslücken
Apple hat nun zwei Fixes freigegeben, die kürzlich gemeldete Sicherheitslücken beheben sollen. Das Security Update 10-19-01 stopft das Loch in Mac OS X, durch das sich ein Nutzer an einer lokalen Maschine root-Rechte an an der Autorisierungsabfrage des Systems vorbei verschaffen konnte.
Also soviel zu sicherem MAC-OS, das habe ich in 3 Sekunden gefunden. Und Linux ist auch nicht besser. Aber im Unterschied zu Windows will das keiner wahrhaben, die Legenden vom ja ach so sicheren und unangreifbaren (weil nur mit Benutzerrechten arbeitendem Anwender) Linux (nur dumm, das die Lücken als erstes den Root-Zugang aktivieren) oder dem absolut sicheren MAC-OS sind unausrottbar.
Fast alle Linux-Installationen unsicher
http://www.tecchannel.de/news/20020312/thema20020312-6952.html
12.03.2002 18:51:52
Eine Sicherheitslücke in der Linux-Library "Zlib" betrifft fast alle existierenden Linux-Installationen, meinen amerikanische Sicherheitsexperten. Zlib ist für das Entpacken von Dateien zuständig.
Wie die Computerwoche berichtet, greifen verschiedene Compiler und Entwicklungstools auf die Bibliotheksdatei zu, aber auch der Webbrowser von Mozilla oder "X11", das Basissystem zur Darstellung grafischer Benutzerführungen. Der Fehler verursacht einen Speicherüberlauf, den Angreifer dazu ausnutzen können, um unberechtigten Zugriff auf betroffene Rechner zu erlangen, erklärt Mark Cox, Leiter der Forschungsabteilung von Red Hat. Der Linux-Distributor hat bereits einen Patch bereitgestellt, ebenso wie Suse.
Bislang sei die Lücke noch nicht von Hackern entdeckt worden, so Dave Wreski, Chef der Opensource-Sicherheitsfirma Guardian Digital. Er empfiehlt Linux-Anwendern jedoch, verfügbare Patches möglichst schnell einzuspielen, da mit Angriffen auf die verwundbaren Systeme schon bald zu rechnen sei. (Computerwoche/ala)
Rootkits: Angriff auf Linux
Wenn Cracker sich unbefugt Zugang zu Systemen verschaffen, geht man im allgemeinen davon aus, dass sie auf dem System auch Spuren hinterlassen. Doch mit installiertem Rootkit fehlen genau diese Anzeichen. Im Worst-Case-Szenario missbraucht ein Hacker ein Produktionssystem wochenlang für kriminelle Zwecke. Rootkits zählen mittlerweile zur Standardausstattung eines jeden Crackers: Diese Programme haben den Zweck, dem Eindringling den Zugriff auf das kompromittierte System so lange wie möglich zu erhalten, ohne das es dem Systemadministrator auffällt. Einige Rootkits sind mittlerweile sowohl weit verbreitet als auch leicht zu bedienen, wie zum Beispiel t0rnkit.
Es gibt grundsätzlich 2 unterschiedliche Ansätze für Rootkits, die Systemintegrität zu untergraben: Ältere und harmlosere Rootkits ersetzen beziehungsweise verändern Systembefehle und Sicherheitsprogramme, während die modernen Varianten direkt den Kernel manipulieren, indem sie Systemcalls wie open() oder read() einsetzen.
Ein Beispiel für die erste Variante ist t0rnkit, ein weit verbreitetes Rootkit für Unix und Linux. Es ersetzt unter anderem die Programme du, find, ifconfig, login, netstat, ps, sz und top. Ruft der Systemadministrator diese Befehle auf, zeigen sie die normalen Informationen an – außer denen, die über eine versteckte Konfigurationsdatei (z. B. /dev/.hidden/psconf) ausgeklammert sind. Andere Befehle wie login ersetzt t0rnkit durch Varianten des Befehls, die bei Verbindungen von bestimmten IP-Adressen kein Passwort mehr verlangen, und dem Eindringling Root-Rechte gewähren, aber nichts in Log-Dateien schreiben.
Interessanterweise haben alle Programme bei t0rnkit eine Größe von 31336 Byte. Ein t0rnkit-versuchtes System findet ein fähiger Systemadministrator natürlich schnell; die geänderten Dateigrößen springen beinahe ins Auge.
Das ebenfalls weit verbreitete adore läst sich schon nicht mehr so einfach entdecken. Es tarnt sich als ladbares Kernel-Modul (LKM) und ersetzt dabei Systemaufrufe wie open() und ändert damit das Verhalten von Programmen, ohne diese selbst auszutauschen.
Adore und andere LKM-Rootkits funktionieren natürlich nur dann, wenn der Kernel für dynamische Moduleinbindung kompiliert ist und lässt sich so durch Entfernen der Module auch relativ einfach wieder loswerden.
Aber auch mit einem statischen Kernel ist man gegen Rootkits nicht gefeit: Das Kernel Intrusion System (KIS) von optyx dürfte momentan eines der gefährlichsten und modernsten Programme zur Untergrabung der Systemintegrität sein: Anstatt eigene, manipulierte Kernel-Funktionen bereitzustellen, schreibt es schlicht direkt in den RAM-Speicher des Systems und modifiziert so die Ausgabe von Programmen. Hiergegen kann sich der Administrator mit Boardmitteln von Linux nicht mehr verteidigen, da der Schreibzugriff auf /dev/kmem fester Bestandteil des Kernels ist. Es gibt zwar auch dafür Abhilfen( www.grsecurity.net) , allerdings sollte man die Dokumentation vorher sorgfältig lesen, da es vorkommen kann, das nach dem Patch das System nicht mehr einwandfrei funktioniert.
Wer ist betroffen?
Prinzipiell besteht für alle Betriebssysteme die Gefahr, durch ein Rootkit verseucht zu werden. Die meisten Rootkits gibt es heutzutage de facto für Linux, das allgemein wenig Schutz gegen Manipulationen vom Root-Account bietet. Aber auch für Solaris oder BSD gibt es mittlerweile funktionierende Rootkits. Auch Windows NT/XP bleiben nicht verschont. Allerdings spielen Windows-Rootkits bislang eine eher untergeordnete Rolle.
Maßnahmen
Ein einfache Strategie, um unbefugte Änderungen ausfindig zu machen, ist die Aufzeichnung von kryptografischen Checksummen auf einem Nur-Lese-Datenträger wie CD-ROM. Leider verlassen sich die Prüfprogramme auf die (vom Rootkit manipulierten) Betriebssystemaufrufe. Eine minimalistische Maßnahem wäre es, keine reiber oder featurs des Kernels als Module zu übersetzen und den Modul-Support im Kernle völlig zu deaktivieren. Diese Maßnahme macht das Einfügen JEGLICHER Kernel-Module unmöglich, mit allen anderen damit verbundenen Nachteilen.
Im Mail Transfer Agent (MTA) von Sendmail hat Internet Security Systems (ISS) einen gefährlichen Buffer Overflow entdeckt. Die Schwachstelle erlaubt Angreifern, ohne spezifische Kenntnisse des Ziel-Systems Root-Rechte auf den Mail-Servern zu erlangen. 50 bis 75 Prozent des gesamten E-Mail-Verkehrs im Internet werden über Sendmail abgewickelt. Betroffen sind laut ISS alle kommerziellen Versionen sowie die Open-Source-Varianten von 5.79 bis 8.12.7. In einem Webinar erläutern die ISS-Experten der X-Force, wie und wann sie die Lücke entdeckt haben, stellen Analysen für potenziell betroffene Systeme vor und geben Schutzstrategien an die Hand. Informationen dazu stehen auf der ISS-Webseite unter http://www.iss.net/issEn/delivery/prdetail.jsp?type=&oid=21961 zur Verfügung.
Intrusion Detection System hat selbst ein Security-Leck
Auf einen weiteren Buffer Overflow sind die Spezialisten der X-Force beim Open Source Intrusion Detection System (IDS) Snort gestoßen. Angreifer können demnach beliebigen Code auf einem Sensor ausführen. Betroffen sind die Versionen 1.8 bis einschließlich der aktuellen (Stand: 3. März 2003).
Sicherheitslücke in Linux-DHCP-Routinen
DHCP, die dynamische Verwaltung von IP-Nummern in Netzwerken, ist unter anderem in den Linux-Distributionen von BSD, SuSE, Red Hat und Debian unsicher.
20.01.2003 - Das Internet Software Consortium (ISC) hat bei einem Test seiner Software mehrere Sicherheitslücken im DHCP-Daemon entdeckt. Weil dieser in verschiedenen Linux-Distributionen verwendet wird, sind all diese Linux-Varianten angreifbar.
Durch Ausnutzung der Lücken ist es Angreifern möglich, jeden beliebigen Code unter der Benutzerkennung auszuführen, unter welcher dhcpd läuft – dies ist in der Regel „root“, der alles darf..
Systeme mit ISC DHCPD ab Version 3.0 bis Version 3.0.1RC10 sind davon betroffen. Die Fehlerbehandlungsroutine der minires-Bibliothek, die vom Unix-Tool NSUPDATE genutzt wird, um dynamische Aktualisierungen des DNS-Systems durchzuführen, ist der eigentliche Knackpunkt.
Die Installation eines Patches, der bei der Sicherheitsorganisation CERT verfügbar ist, schafft ebenso Abhilfe wie ein Update auf ISC DHCPD 3.0pl2 oder 3.0.1RC11. (mk)
http://www.vnunet.de/pc-pro/news_facts/detail.asp?ArticleID=6621
usw usw usw
pco Grossadministrator „Apple schließt Sicherheitslücken mit Mac OS X Server 10.2.4 Apple/Macintosh...“
Nun, da würde ich sagen, da benutzen wir in nächster Zeit wieder Papier und Bleistift. Dazu das Feuerzeug Deletion-Kit. Absolut Virensicher.
Tut mir leid, aber so lange Microsoft den Windows-Server mit aktiviertem ActiveX verkauft, kann man sie nicht ernst nehmen. Ich selber arbeite recht häufig auf Wn2kS und muss sagen, dass ich von der leichten Administrierbarkeit überzeugt bin.
Ebenso bin ich davon überzeugt, dass die Linux-Gemeinde nur meckert, da sie es leider nicht schaffen, ein Win2kS mit seinen Gruppenrichtlinien richtig einzurichten. So etwas wie ADS kann man im Linux auch mal konfigurieren - unter einigen Wochen geht da nix.
Die MCSE-Lehrgänge haben ihre Daseinsberechtigung. Wenn man sich nämlich auskennt, bekommt man jedes Windows sicher.
Weiterhin kapier ich nicht, worüber Du Dich so aufregst. Es gibt nun mal kein System, welches nicht auf kurz oder lang gehackt würde. Dass Windows hier im Nachteil ist, da es sehr weit verbreitet ist und somit ein gutes Ziel, ist schon klar.
Windows hat eine Reihe weiterer Nachteile, die es an sich von IT-Sicherheitsgedanken her disqualifizieren. Aber alle diese Nachteile treten nur ein, wenn der Anwender Unfug macht. SCHULUNG!
Windows gewinnt dadurch, dass es ein populäres Arbeitsplatzsystem ist, es verliert aber auch aus diesem Grund.
Ich bin mir sicher eine Linux-Gemeinde wäre einem Benutzeransturm nicht gewachsen und würde selber ebenfalls einigen Mist produzieren.
Ähnlich ist es bei Mac.
Schliessen möchte ich mal so: Du hast mir nicht zughört oder mich nicht verstanden. Ich habe im Viren-Report nichts gegen Windows gesagt, ich gebe nur für Windows die Anleitung es Virensicherer zu machen.
Des weiteren habe ich Dich schon darauf hingewiesen, dass es nicht die Lücke ist, sondern die Gefahr, dass diese genutzt wird.
Und letztendlich würde ich nie einem BS die Schuld geben, sondern immer dem Anwender. Denn wenn der vorsichtig ist, braucht er nicht einmal einen Virenscanner.
Wenn Du nun weiter der Meinung bist, ich würde hier auf irgendwem herumhacken, dann kann man Dich davon wohl auch nicht abbringen. Bis dahin
*plonk*
PCO
Grossadministrator pco „Nun, da würde ich sagen, da benutzen wir in nächster Zeit wieder Papier und...“
Nicht gegen Windows?
Zitat:
Windows98 ist wie der Scheisshaufen der Betriebsysteme (man muss es mal so ausdrücken), der ...
Das Microsoft Betriebsystem hält einen Virus nicht auf. Es gibt keine Limits, alles ist möglich
WindowsNT-basierende Systeme haben zwar nach wie vor die Sicherheitslücke Internet-Explorer, lassen aber nicht jeden Virus an sich heran kommen. Das Verändern des Bootsektors z.B. ist sehr schwierig, das Windows dies merken würde. Das Rechtesystem erlaubt dem normalen Benutzer auch das installieren von Software und den Eingriff in bestimmte Systembereiche nicht. Leider ist auch WindowsNT/2000/XP nicht perfekt und sauber programmiert. Das Sicherheitsystem ist ein Sieb welches derzeit von Microsoft zugepatcht wird.
MacOS gilt als sicher. 1996 gab es 36 bekannte Viren (Für den PC waren es schon damals über 8.000!). Es geht nicht um die Verbreitung eines Betriebsystems, sondern um die Wahrscheinlichkeit einer Infektion und diese geht beim Mac gegen Null!
Für Linux sind zwar bereits mehr Viren bekannt, jedoch ist deren Programmierung sehr aufwändig und zuweilen wird die Sicherheitslücke durch die Community sehr schnell geschlossen, so dass es auch keinen Spass macht, hier einen Virus zu schaffen. Selten überlebt ein Linux-Virus länger als ein halbes Jahr. (mein kommentar hat dir genau dazu das gegenteil bewiesen!)
