PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Online-Durchsuchung unter Linux...



Seiten : [1] 2 3 4

RoCMe
11.03.07, 17:33
Hi!
Ich habe gerade einen Artikel bei heise über Online-Durchsuchungen gelesen.
Ich weiß natürlich, dass man auch als Linux-Nutzer nicht sicher vor sowas ist, aber beim lesen kam mir ein Gedanke:
Wenn ich hier im Forum einen artikel schreibe a la "Mein neues supertolles OpenGL-Shooter-Game" und einen Link auf ein paar rpm oder deb Pakete setze - mal ganz ehrlich, wer würde sich ansehen, was mein Code tut?

Ihr würdet vielleicht wirklich ein Spiel zu sehen bekommen, und gar nicht merken, dass sich nebenbei ein kleines anderes Programm installiert. Natürlich, habe ich dann keine root-Rechte, aber um euch zu beobachten, brauche ich die ja vielleicht auch gar nicht. Stellen, um das Programm beim Login starten zu lassen, dürfte es genug gebe, auch solche die verteckt genug sind, um nicht sofort aufzufallen.
So eingerichtet, könnte das Programm alle Dateien einsehen, die euch als normalem Benutzer zugängig wären...

Wenn ich die Daten habe, die ich brauche (z.B. alle E-Mails, die ihr in den letzen 2 Wochen empfangen habt und die Liste der bösen Videos, die ihr im letzten Monat gesehen habt sowie die Namen aller Dateien, die im aMule Incoming Verzeichnis liegen, werden diese Daten komprimiert und via http oder ftp (je nachdem...) auf meinen Server geladen.
Anschließend löscht sich das Programm amt Autstart und sonstigen Einträgen, um keine Spuren zu hinterlassen.

Im großen Stil durchgezogen, würde diese Taktik wohl ziemlich schnell auffliegen. Aber wenn ich, wie bei Online-Durchsuchungen gewollt, nur bei bestimmten Personen etwas suche, dann wäre diese Taktik doch gar nicht so abwegig - unter Windows hat jeder halbwegs vernüntig denkende Mensch einen Virenscanner, der die Autostart-Eintgräge überwacht - aber unter Linux ?

Was meint ihr, wäre das so in etwa möglich?

gruß, schönes Restwochenende,

RoCMe

bla!zilla
11.03.07, 17:36
Im Prinzip muss man erstmal so dumm sein und auf so einen Link klicken. Dann muss die Software installiert werden, und das ist bei einem RPM oder DEB nicht ohne root-Rechte möglich. Alles viel zu viel hätte-wäre-wenn.

RoCMe
11.03.07, 17:46
natürlich brauche ich zum installieren eines .deb-Paketes root-Rechte - aber da du ja unbedingt mein tolles Spiel (oder mein Stundenplanerstellungsprgoramm für gequälte Studenten, oder, oder, oder... was halt auf dich zutrifft) ausprobieren möchtest (schließlich haben ja x Leute das Programm schon himmelhoch gelobt (das die von mir dazu angehalten werden weiß jakeiner...)), installierst du es.

Klar, "muss man erst mal so dumm sein" - aber mit der richtigen Vorbereitung könnte man doch bestimmt einen Großteil der Leute hier "überzeugen" ...

PierreS
11.03.07, 17:56
Ich kann mir durchaus vorstellen, daß es kein großes Problem ist Einzelnen etwas gezielt unterzujubeln. Wenn man hier vorher genügend Informationen über das Umfeld hat, kann man wie im Artikel auch erwähnt einfach eine personalisierte Mail im Namen des Freundes verschicken.

Dummerweise bekommt man so aber nur die Ahnungslosen und somit wohl Unschuldigen. Terroristen werden hier ein Stück paranoider sein und wissen, wie man sich effektiv schützen kann.

Ich hoffe ja, daß solche Diskussionen dazu beitragen das Sicherheitsbedürfnis allgemein zu erhöhen. GPG, SSL und Co werden von der Masse doch kaum eingesetzt.

Windoofsklicker
11.03.07, 18:08
Also, wenn man mich fragen würde:

1. Den Traffic der Zielperson beim ISP eine Weile mitlesen.
-> Informationen über BS, Browser, Surfgewohnheiten herausfinden

2. Angepassten Trojaner erstellen und ...
3. ... auf regelmäßig besuchter Webseite einbetten oder per E-Mail verschicken.

Ich denke mal, bei >90% der Zielpersonen dürfte das so funktionieren.
Da können sich die Strafverfolgungsbehörden sicherlich passendes KnowHow bei den Nachrichtendiensten einkaufen. ;)

RoCMe
11.03.07, 18:11
Natürlich, aber ich hoffe mal nicht, das sich Terroristen in diesem Forum rumtreiben. Als Terrorist solte man das Internet vielleicht generell meiden ;-/

ist es eigentlich möglich, die Tastatur mitzuloggen, ohne root-Rechte?
Dann wäre ein gpg-Schutz auch nur eine Frage der Zeit, bis halt die Passphrase mal eingegeben wurde...

ThorstenHirsch
11.03.07, 18:16
Ich denke mal, bei >90% der Zielpersonen dürfte das so funktionieren.
Okay, dass Terroristen Linux nutzen ist ja eine im Heiseforum weit verbreitete Annahme wenn mal wieder gegen Linux gebasht wird. Aber dass 90% der Terroristen auch leidenschaftliche Zocker sind ist mir neu.

Windoofsklicker
11.03.07, 18:27
Was hat das mit Zocken zu tun?

RoCMe
11.03.07, 18:42
Was hat das mit Zocken zu tun?
Eventuell spielt er damit auf meine Idee an, das Sionage-Programm in ein Spiel zu verpacken...
Wie gesagt, dass war nur ein Beispiel, für einen Terroristen eignet sich vielleicht ein AddOn für google-earth (oh ha, jetzt wirds makaber...)

Hab noch mal nachgedacht - eigentlich ist das doch Blödsinn mit den rpm / deb Paketen.
Ich leg einfach den Quellcode offen - wenn das Programm umfangreich genug ist, fällt die Installationsroutine für das Programm nicht innerhalb einer gewissen Zeitspanne auf.
Den Code kann man ohne root-Rechte kompilieren und ausführen - da würde evtl. auch der sicherheitsbewusste user drauf reinfallen, wenn er das programm für sinnvoll hält...

stefan.becker
11.03.07, 19:38
Ich kann mir durchaus vorstellen, daß es kein großes Problem ist Einzelnen etwas gezielt unterzujubeln. Wenn man hier vorher genügend Informationen über das Umfeld hat, kann man wie im Artikel auch erwähnt einfach eine personalisierte Mail im Namen des Freundes verschicken.

Dummerweise bekommt man so aber nur die Ahnungslosen und somit wohl Unschuldigen. Terroristen werden hier ein Stück paranoider sein und wissen, wie man sich effektiv schützen kann.

Ich hoffe ja, daß solche Diskussionen dazu beitragen das Sicherheitsbedürfnis allgemein zu erhöhen. GPG, SSL und Co werden von der Masse doch kaum eingesetzt.

Genauso kriegst du die Verdächtigen: Den Link an 80 Millionen senden. Wer den nicht anklickt, ist Terrorist.

PierreS
11.03.07, 19:44
Das Ganze ist sogar noch einfacher: Wer nicht für die Regierung arbeitet, arbeitet gegen sie.

psy
11.03.07, 20:02
sein wir mal ehrlich...

wenn wirklich jemand aus triftigen gründen überwacht werden soll, dann wir der überwacht...
da gibts kein wenn und aber.

Haase
11.03.07, 21:12
Gibt es eigentlich unter Linux eine Firewall, die mir anzeigt bzw. fragt, ob ein Programm raus ins Internet darf und auch anzeigt was alles auf mein Rechner will? Sowas wie die Sygate Firewall unter Windows z.B.

eule
11.03.07, 21:37
Sowas wie die Sygate Firewall unter Windows z.B.
Bislang wurde Linux von derlei Schwachsinn verschont.

-hanky-
11.03.07, 22:03
Bislang wurde Linux von derlei Schwachsinn verschont.

Was ist an einer Filtermöglichkeit nach Applikation ( sofern es funktioniert! ) schwachsinnig? Oder meinst du generell "Personal Firewalls"? In letzterem Fall gebe ich dir recht, in ersterem nicht.

-hanky-

eule
11.03.07, 22:35
Was ist an einer Filtermöglichkeit nach Applikation ( sofern es funktioniert! ) schwachsinnig?

Sofern es funktioniert, genau das ist ja der Punkt.
Filtern nach Applikation funtioniert nur, wenn diese Applikationen auch mitspielen. Das wird der "Bundestrojaner" z.B. kaum machen. Die PF versprechen sowas zwar, lassen sich aber umgehen.


Oder meinst du generell "Personal Firewalls"?

Die halte ich von der Technik her fuer kaputt und von den Marketingversprechen her fuer Beschiss am Kunden.

fuffy
11.03.07, 22:51
Hi!


Was ist an einer Filtermöglichkeit nach Applikation ( sofern es funktioniert! ) schwachsinnig?
Es funktioniert eben nicht. Ich würde z.B. GNU Wget freigeben, da ich dieses Tool für Downloads größerer Dateien verwende. Schon könnte jedes beliebige böse Programm via "system(wget ...)" mit dem Internet kommunizieren.

Gruß
fuffy

-hanky-
12.03.07, 09:35
Hi!


Es funktioniert eben nicht. Ich würde z.B. GNU Wget freigeben, da ich dieses Tool für Downloads größerer Dateien verwende. Schon könnte jedes beliebige böse Programm via "system(wget ...)" mit dem Internet kommunizieren.

Gruß
fuffy

Ich sagte ja, falls es funktioniert/funktionieren würde. Das Prinzip ist nämlich nicht schlecht, die bisherige Umsetzung schon.

-hanky-

Windoofsklicker
12.03.07, 11:36
Mal ganz abgesehen davon, dass die meisten Anwender sowieso nicht in der Lage sind, zwischen einem Angriff oder gewollten Traffic zu unterscheiden.

craano
12.03.07, 11:41
Mal ganz abgesehen davon, dass die meisten Anwender sowieso nicht in der Lage sind, zwischen einem Angriff oder gewollten Traffic zu unterscheiden.
Das soll ja die Personal Firewall / Application Firewall machen, deswegen brauchen wir die ja so dringend! :D

RoCMe
12.03.07, 12:14
Hi!
Ich würde z.B. GNU Wget freigeben, da ich dieses Tool für Downloads größerer Dateien verwende. Schon könnte jedes beliebige böse Programm via "system(wget ...)" mit dem Internet kommunizieren.

Gruß
fuffy

Man könnte eventuell wget erlauben, Daten aus dem Netz zu beziehen, aber verbieten, welche zu senden. Aber das wird schwierig, weil ich muss ja erstmal mitteilen, dass ich Daten haben will (und welche!!!).

Deswegen denke ich auch, dass man mit dieser Technik nicht weiterkommt.
Wobei ich den Ansatz gar nicht schlecht finde :-(

gruß

Painkiller
12.03.07, 12:59
Dazu mal ein Fall aus dem Jahre 2002 als "sendmail" schadhaften Code enthielt, vom 28. September bis zum 06. Oktober.

http://www.cert.org/advisories/CA-2002-28.html

Das ist zwar schon einige Zeit her, zeigt aber das soetwas generell moeglich ist.

fuffy
12.03.07, 13:13
Man könnte eventuell wget erlauben, Daten aus dem Netz zu beziehen, aber verbieten, welche zu senden.
Wie meinst du das genau? Auf jeder Schicht werden sowohl Daten gesendet als auch empfangen. Irgendwie musst du z.B. dem Webserver mitteilen, welche Seite/Datei du gerne hättest.
Ein Beispiel aus der realen Windows-Welt: http://home.arcor.de/nhb/pf-umgehen.html#Browser

Gruß
fuffy

NIghtmareJOker
12.03.07, 13:43
Falls es noch wen interessiert:
Es gibt GUIs für IPtables. Diese kommen der Desktop-FW schon sehr nahe.
Firestarter: http://www.fs-security.com/
KMyFirewall:
http://kmyfirewall.sourceforge.net/

Noch was zu dem "wie kommt der schafhafte Code auf den PC".
Laut diversen Internetseiten wäre eine Möglichkeit folgende:
Die Benutzer laden ein Programm oder Datei runter die Sie kennen bzw.
deren Quelle Sie für vertrauenswürdig halten. Beim ISP sollen dann Rechner vom
Polizei stehen. Die Rechner fügen dann an den Download schadhaften Code an und so soll angeblich dann ein Trojaner auf den PC kommen ohne das jemand etwas merkt.
Ich bin der Meinung das kann nur bedingt funktionieren. Jede gute Distribution
signiert ihre Pakete, da kann man also nicht einfach was anhängen...
Für viele weiter Programme/Iso-Datien etc. existieren passende Md5/sha Checksummen. Die Checksummen zur Laufzeit neu berechen und dem User zu übermitteln dürfte wohl nur mit sehr sehr viel Rechenleistung möglich sein.
Wenn man sich die Sourcen lädt und nicht die Binärdatein, dann geht das ganze erst Recht nicht.

-hanky-
12.03.07, 14:11
Sofern es funktioniert, genau das ist ja der Punkt.
Filtern nach Applikation funtioniert nur, wenn diese Applikationen auch mitspielen. Das wird der "Bundestrojaner" z.B. kaum machen. Die PF versprechen sowas zwar, lassen sich aber umgehen.


Ja, das ist klar dass der Bundestrojaner nicht einfach so mitspielt ;)

Was ich relativ sinnvoll fände ( sofern es denn umsetzbar wäre - ich kenne mich in der Richtung nicht wirklich aus ) wäre eine Technik ähnlich der MD5-Prüfsummen. D.h. die Firewall filtert nicht nach dem Namen des Programms ( welches sich ja auf einfachste Art und Weise umgehen lässt, siehe Post von fuffy ) sondern anhand einer "Prüfsumme" des Programms.

Wie gesagt - ob so etwas möglich wäre kann ich nicht beurteilen. Auch nicht wie aufwändig so etwas wäre.

Gesetzt den Fall eine solche Firewall würde funktionieren könnte man die Angriffsfläche für einen "Bundestrojaner" aber zumindest ( deutlich ) verringern.



Die halte ich von der Technik her fuer kaputt und von den Marketingversprechen her fuer Beschiss am Kunden.

Da stimme ich dir zu. Besonders nach dem ich den Videovortrag des CCC zu dem Thema gesehen habe ;)

-hanky-

Guitar
12.03.07, 14:42
Da stimme ich dir zu. Besonders nach dem ich den Videovortrag des CCC zu dem Thema gesehen habe ;)
Hi,
der würde mich interessieren, hast du vielleicht einen Link dazu?

Gruß
Guitar

-hanky-
12.03.07, 14:56
Hi,
der würde mich interessieren, hast du vielleicht einen Link dazu?

Gruß
Guitar

Hi,

müsste entweder [1] oder [2] sein ( vermutlich [1] ).

-hanky-

[1] http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls
[2] http://www.ulm.ccc.de/ChaosSeminar/2005/01_%28Un%29Sicheres_Windows_am_Heim-PC

fuffy
12.03.07, 15:11
D.h. die Firewall filtert nicht nach dem Namen des Programms ( welches sich ja auf einfachste Art und Weise umgehen lässt, siehe Post von fuffy ) sondern anhand einer "Prüfsumme" des Programms.
In dem Beispiel wäre selbst die Prüfsumme egal, da die Prüfsumme von /usr/bin/wget ja gleich bleibt. Es wird einfach nur dessen ohnehin verhandene Funktionalität missbraucht, genauso wie der RealPlayer unter Windows über den Standardbrowser nach Hause telefoniert.

Gruß
fuffy

Guitar
12.03.07, 20:39
@ -hanky-:
Danke für die Links, werde ich mir mal anschauen.

Übrigens: bin ja neu hier im Forum (und auch Linux-Neuling), und mir gefällt es hier sehr gut, ich konnte schon eine Menge über Linux lernen :)

caspartroy
13.03.07, 15:57
Im Prinzip ist es schon möglich, den Zugriff auf Ressourcen. z.B. Netzwerk, zu beschränken, wenn auch nicht mit iptables. Mit SELinux sollte das möglich sein.