Viren, Spyware, Datenschutz 11.243 Themen, 94.695 Beiträge

News: Klaut alles

Super-Schädling entdeckt

Redaktion / 41 Antworten / Flachansicht Nickles

Symantec hat einen Super-Banktrojaner entdeckt: Der lädt eine Liste mit über 400 Banken und kann eine Man-In-The-Middle-Attacke durchführen.

Dadurch soll es dem Schädling möglich sein, Passwörter abzugreifen. Der Trojaner wird ständig verbessert, indem er täglich Updates lädt.

Er klaut FTP-, POP- sowie Web-Mail-Passwörter und wenn ihm gar nichts mehr einfällt, lenkt er die Anwender auf Pornoseiten um, um wenigstens damit Geld zu verdienen.

Symantec stuft den Schädling als "besorgniserregend" ein.

Quelle: Symantec

bei Antwort benachrichtigen
Wie meinen ? SirHenrythe3rd
@BBB triker
kA SirHenrythe3rd
xafford Data Junkey „Hi @Xafford Nemesis² Whoow. Ich habe schon einige Posts vom Xafford gelesen,...“
Optionen

Hallo Data Junkey,

Aber soo habe ich ihn noch nie erlebt ..

Scheint sich diesmal also um ein "ernztzunehmendes" Problem zu handeln...


sorry für das unfreundliche Posting... kommt leider auch mal vor, aber gerade diese ewigen Themen, die mit mehr Mytifizierung als mit sachlicher Argumentation geführt werden (und zwar aus allen Lagern) geht mir ziemlich auf den Senkel, so dass ich sie normalerweise nur noch ignoriere. Das habe ich in dem Fall nicht getan, weil hier User beteiligt sind, die ich eigentlich sehr schätze. Nun mag man mir vorwerfen, dass ich es mit sachlicher Diskussion auch nicht so ernst genommen hätte in dem Post und... ja das stimmt. Deswegen will ich nochmal versuchen es sachlicher zu formulieren und auch auf deine Frage einzugehen, so weit es mir möglich ist.

Erst einmal vorweg und nochmal sachlicher formuliert:

Die Sicherheit und die Gefährdung im Betrieb eines Servers ist in keinster Weise mit der eines Desktop-Betriebssystems zu vergleichen. Die Gefährdungspunkte eines Servers beschränken sich auf Würmer und gezielte Hacks. Hier wiederum muss man unterscheiden zwischen Würmern und Hacks, die das Grundsystem angreifen (hierzu zähle ich mal freier Weise den Netzwerkstack und Kerndienste), die Serverdienste (wie z.B. den Webserver, DNS-Server, Datenbankserver) angreifen oder Anwendungen auf dem Server angreifen (z.B. Scripte im Rahmen des Webservers).

Würmer, die das eigentliche Betriebssystem angreifen waren bisher eher selten, dann aber mit massiver Verbreitung und gab es schon sowohl für Windows, als auch für Linux oder Unix. Würmer, die Serveranwendungen angreifen waren schon häufiger, der IIS5 war hier z.B. leider kein Ruhmesblatt, aber auch Apache hat es schon betroffen. Inwiefern man dies jedoch in eine Grundsatzdebatte über das zugrundeliegende Betriebssystem einfließen lassen will dürfte maßgeblich davon abhängen, wie schnell einem sachliche Argumente ausgehen, was ebenso für Würmer auf Anwendungen (z.B. verbreitete CMS-Systeme) angeht.

Gezielte Hacks auf Server haben da schon wieder eine andere Qualität, denn sie sind individuell und wenig geeignet eine große Zahl an Systemen unter seine Kontrolle zu bringen, was eben dazu führt (wobei wir wieder beim obigen Thema sind), dass es eben keine Millionen gehackter Server im Netz gibt und das unabhängig vom Betriebssystem. Wenn man sich jedoch anschaut, wie flott bei Contests Hacker Demohacks an Webservern durchziehen der wird sich hüten einen Linux-Server als vom Grundkonzept sicherer hinzustellen... die Sicherheit steht und fällt mit der Qualität der Administration und auch hier gilt dies wieder für sämtliche Systeme.

Wenn Du einen Linux-Server von einer Distributions-CD (respektive DVD) installierst dürftest Du, vorsichtig geschätzt, davon ausgehen mindestens 3 schwere Sicherheitslücken auf dem System zu haben, ohne Update hast Du erst einmal ein potentiell unsicheres System (und wieder: das gilt ebenso für alle anderen Systeme). Wie gefährlich diese Lücken sind hängt nun natürlich auch davon ab, wo diese Lücken sind und ob und wie dieser Teil des Systems zum Einsatz kommt. Hier ist jedoch ein Server einer höheren Gefährdung ausgeliefert, als ein Betriebsystem, da auch ein lokaler Exploit aufgrund des Grundprinzips eines Servers oft remote ausgenutzt werden kann (siehe ptrace() und Webserver). Als erstes ist also erst einmal Updaten angesagt, oder Du hoffst einfach darauf, dass dein Server in der großen Zahl der existierenden Server untergeht und deswegen nie individuell angegriffen wird.

Zu diesem Teil will ich nun mal eigenmächtig zusammenfassend sagen: Server werden im Normalfall gezielt und individuell angegriffen und selten automatisiert aufgrund der vielfältigen Systemunterschiede und unterschiedlicher Administration, was schon von Grund auf Massenhacks selten werden lässt.

Nun zu Desktopsystemen: Es gab mal Zeiten (ist schon eine Weile her), wo ein unerfahrender Linux-Nutzer nach einer "out of the box" Linuxinstallation ein offenes Scheunentor sein eigen nannte. Angefangen von einem offenen Relay (Emailserver), über einen offenen Telnetserver, einer an jedes Interface gebundenen Datenbank über Finger-Dienst, Time-Server bis hin zu frei verbindbaren X-Servern konnte man versehentlich fast alles ungewollt mitinstallieren. Da sieht bei Linux die Situation heute wesentlich besser aus. Dennoch hast Du als Anwender auch heute noch die Möglichkeit aus Unkenntnis dein System offen in die Welt zu stellen, wobei Du hier schon eine Menge an mutwilliger Handarbeit leisten musst.

Ähnlich sah es auch bei Windows aus und leider sieht es selbst heute noch so aus, denn Microsoft hat zwar grundsätzlich auch das Handwerkszeug ein Windows dicht zu bekommen, aufgrund von Bequemlichkeit (der des Anwenders) wird es schlicht ignoriert. Zwar wird dies nun versucht in Vista umzukrempeln, dieser Versuch dürfte aber mächtig nach hinten losgegangen sein, allein schon weil er so abrupt unternommen wurde, davon dass er halbherzig ist einmal abgesehen. Allein schon, wenn in Windows das vorhandene Rechtesystem sinnvoll eingesetzt worden wäre seit NT wäre viel an Sicherheitslücken nie akut geworden, denn das Rechtesystem nach Machart Microsofts ist eigentlich viel granularer als das Unix-artige (sprich, es lässt eine viel feinere Rechteabstimmung für Benutzer / Gruppen / Anwendungen zu), was aber natürlich auch viel mehr Fallstricke bietet als dies die Rechtevergabe unter Unix tut. Hinzu kommt natürlich noch, dass es Microsoft für sinnvoll erachtete, dass jeder User an senem Desktop als Administrator arbeiten solle, worauf sich dummerweise auch Software-Entwickler eingeschossen haben und ihre Software hanebüchenerweise so entworfen haben, dass diese dies voraussetzt, dies wäre vergleichbar damit, dass unter Linux jeder als root arbeitet.

Hier haben wir einen Punkt, der in der Praxis einem Schadsoftware-Ersteller einen Schritt spart, wenn seine Schadsoftware unter Windows arbeiten soll: Er bekommt idR direkt Zugang zu einem Administrationsaccount. Dies ist jedoch nicht ein grundsätzlichesSystemproblem, sondern ein gemachtes System, Windows würde es genau so ermöglichen eine saubere Account- und Rechtetrennung zu nutzen, inklusive Schutz von System und Nutzerverzeichnissen, Schutz von Registryteilen, Zugriff auf Treiber und Hardwarekonponenten, Schutz einzelner Protokolle und Schnittstellen etc.

Gehen wir aber jetzt einmal von speziellen Fall einer Schadsoftware aus, die ein Anwender auf dem betreffenden System startet:

Es gibt jetzt zwei Möglichkeiten... der Nutzer hat Administratrenrechte oder nicht... hat er die, so steht ihm in der Regel das System offen wie ein Scheunentor... unabhängig vom zugrunde liegenden System. Hat er keine Administratorenrechte so bleibt der Schadsoftware entweder sich auf den Nutzeraccount zu beschränken, oder sie verschafft sich welche über einen lokalen Exploit, auch dies ist systemunabhängig, dabei muss es nicht einmal ein Kernel-Exploit sein, ein Privilege Escalation Exploit reicht aus. Hat die Software dann erst einmal die Rechte, so kann sie tun oder lassen was sie will.

Wo es nun ein Schadsoftware-Schreiber unter Linux grundsätzlich schwerer hätte eine Schadsoftware zu entwickeln würde mich wirklich einmal interessieren. Meiner Meinung nach beschränkt sich der Sicherheitsvorteil von Linux wirklich hauptsächlich in der erreichbaren Verbreitung einer Schadsoftware, denn selbst innerhalb verscheidener Linux-Installationen ist das eingesetzte System sehr inhomogen was Kernelversionen, Bibliotheksversionen, Dienste und installierte Anwendungen angeht, unter Windows kann man davon ausgehen dass das Prinzip one fits all zutreffend ist, was indirekt der Verbreitungsthese entspricht.

Noch eine Randbemerkung, um die Verbreitungs- und grundsätzlich-höhere-Linuxsicherheitsthese etwas ad absurdum zu führen... Rootkits sind schon ein alter Hut und seit Ewigkeiten bekannt... allerdings ursprünglich unter Unix/Linux... auf Windows kamen Rootkits erst sehr viel später "in Mode".


Was jetzt deinen speziellen Fall angeht:

Du stellst da eine ziemlich allumfassende Frage, die eigentlich eher weniger mit dem Betriebssystem zu tun hat. Du sitzt hinter einem NAT-Router, dein System kann also von Außen nicht direkt angegriffen werden, infolgedessen sind eigentlich systemunabhängige Nutzungsregeln für dich relevant, weniger die Konfiguration des Systems.

Schadsoftware kann nur auf dein System kommen, wenn Du diese auf das System holst, aufgrund fehlender von Außen erreichbarer Dienste kann sie dir nicht "appliziert" werden. Ergo gilt wie immer: Alles aktuell halten, keine aktiven Inhalte von Außen annehmen und öffnen (auch nicht im Browser / NoScript), immer verschlüsselte Verbindungen nutzen wo es möglich ist und darauf achten, wo Du welche persönlichen Informationen hinterlässt.

Jedoch ein oft vernachlässigter Punkt ist der Router und ich denke das wird in Zukunft noch ein böses Problem werden, denn wer den Router kontrolliert kontrolliert meist auch die Daten, bei Unachtsamkeit des Nutzers unter Umständen sogar HTTPS-Verbindungen. Achte darauf, dass die Firmware deines Routers immer aktuell ist, achte darauf, dass das Konfigurationsinterface nicht von Außen (via Internet) erreichbar ist und dass es mit einem guten Passwort gesichert ist. Zudem: Gehe nie auf das Konfigurationsinterface, wenn Du andere Seiten im Browser offen hast.. lösche deine Cookies nachdem Du auf dem Konfigurationsinterface warst oder auch bei anderen wichtigen Seiten. Achte bei sicheren Verbindungen immer darauf, ob das Server-Zertifikat wirklich zu dem Server passt, den Du besuchen wolltest undnicht zufällig zu einem ganz anderen Server gehört....

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
:lol: Pipone
29/8/2010...! Soulmann63