PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux-Varianten eines fortschrittlichen Trojaners für Windows entdeckt



warumlinux
12.12.14, 04:42
Auch Linux ist nicht 100% sicher. Aber ich denke nicht annähernd vergleichbar mit Windows.
:eek:
http://www.pro-linux.de/news/1/21832/linux-varianten-eines-fortschrittlichen-trojaners-fuer-windows-entdeckt.html

DrunkenFreak
12.12.14, 09:37
Woher kommt denn diese neue Erkenntnis? Pro-Linux (http://www.pro-linux.de/news/1/6651/linux-virus-lirpa-verbreitet-sich-rasch.html) hat schon öfter über Viren berichtet...

Jemand, der andere vorgaukelt ein Linuxwissen zu haben, sollte genau dies eigentlich wissen.

naraesk
12.12.14, 10:13
Öh, der verlinkte Artikel ist allerdings ein Aprilscherz … :D
Was wohl lediglich zeigt, für wie absurd man einen Linuxvirus vor 10 Jahren hielt.

DrunkenFreak
12.12.14, 10:26
Genauso absurd, wie die Aussage, dass Linux 100% sicher sei. Denn das war Linux auch schon nicht vor 10 Jahren.

rstuby
12.12.14, 11:55
Und die Suchmaschine wirft noch andere frische Artikel zu den Stichworten "turla linux" raus.
Und wie bekomme ich jetzt heraus, ob davon welche glaubwürdig sind?

Newbie314
12.12.14, 12:22
Noch gilt:

- es gibt Linuxviren
- es gibt keinen Grund AV Software "für" Linux zu installieren

Patches einspielen, vernünftige "Firewall" Einstellungen, keine Software aus schrägen Quellen und nicht alles anklicken was blinkt reicht bisher aus.

DrunkenFreak
12.12.14, 12:51
Und die Suchmaschine wirft noch andere frische Artikel zu den Stichworten "turla linux" raus.
Und wie bekomme ich jetzt heraus, ob davon welche glaubwürdig sind?

Der Link sollte nicht bedeuten, dass die Quelle unseriös ist. Es ist nur nicht der erste Virus, auch wenn im Link nur ein Aprilscherz zu sehen ist.




Patches einspielen, vernünftige "Firewall" Einstellungen, keine Software aus schrägen Quellen und nicht alles anklicken was blinkt reicht bisher aus.

Was sollen denn vernünftige Firewall Einstellungen sein, die mich von irgendwelchen Viren oder Rootkits schützen? Wenn kein Dienst läuft, ist kein Port offen. Wenn ein Dienst läuft, will ich ihn in der Regel auch erreichen können, also muss ich die Firewall öffnen.

marce
12.12.14, 12:55
bezüglich Firewall könnte man sagen:
- muss der Server von Innen nach Außen Ports öffnen? -> kann die Kommunikations des RootKits / Trojaners / Bots mit dem ManagementHost unterbinden
- ich kenne meine Ports. Also kann ich alle anderen dicht machen. So kann dan ein Trojaner / RootKit / Bot nicht einfach durch starten eines Programms "von außen" erreicht werden - da noch die Firewall des Servers daziwschen hängt.

Grundlegend gebe ich Dir Recht, was die Diskussion über den Sinn von Firewalls angeht - aber es gibt auf jeder Seite genügend Argumente, die man auch noch betrachten kann...

nopes
12.12.14, 13:46
Tja vielleicht vertue ich mich ja, aber üblicherweise schicken Trojaner die Daten ja zu irgendwelchen Servern, dafür muss noch nicht mal ein Port auf sein.


Zum Artikel, ob es ein Scherz ist, denke eher nicht oder mein Scherzdetektor ist platt - Heise hat auch drüber berichtet: http://heise.de/-2487422. Aber wirkt für mich schon so, also ob die Entdecker einfach ein bisschen Aufmerksamkeit wollen - ist ja bestimmt gut fürs Marketing, Weihnachten steht vor der Tür - jedenfalls sind zwei gefundene Exemplare natürlich ein massiver Befall, dann noch der Umstand das der nur auf 32Bit System rennt, die ja bekanntlich gerade die 64bit System verdrängen, bei so einer akuten Lage ;)...

ThorstenHirsch
12.12.14, 13:55
Epic/Turla ist kein Scherz.
Lirpa ist ein Apilscherz, was man auch gut daran erkennt, dass Lirpa rückwärts April ist.

naraesk
12.12.14, 13:56
Nee, der prolinix Artikel vom 01.04.2014 ist ein Scherz, nicht der Turla-Artikel.

marce
12.12.14, 14:00
Scherz oder nicht Scherz - schon mal jemand auf die Idee gekommen, daß die beiden Artikel was unterschiedliches behandeln?

Der Scherz-Artikel verweist und einen Lipra-Virus, die aktuellen auf Turla. Ja, beides hat 5 Buchstaben und endeet mit einem A.

... und letzerer ist durchaus real.

marce
12.12.14, 14:00
3 Doofe, ein Gedanke.

rstuby
12.12.14, 14:07
Vielleicht denke ich da zu laienhaft, aber meiner Ansicht nach ist es so: Sobald auch nur ein schädliches Programm bekannt ist, das auf Linuxsystemen in freier Wildbahn auftritt, wäre auch ein Schutzprogramm sinnvoll, mit dem man den Schädling suchen und entferten könnte. Was natürlich nicht heißt, dass die VORHANDENEN AV-Programme für Linux sinnvoll sind.

marce
12.12.14, 14:10
Auch wenn es keine Linux-Viren gäbe, sind Virenscanner für Linuxsysteme sinnvoll.

Newbie314
12.12.14, 14:11
"Kein Dienst der läuft" fällt für mich auch unter "vernünftige Firewalleinstellungen". Ebenso dass man Dienste nur im LAN anbietet die dann über WAN nicht erreichbar sind etc...

nopes
12.12.14, 14:37
Oh man, jetzt schnall ich das erst, hat den zweiten Link gar nicht war genommen :)

rstuby
12.12.14, 19:25
marce, aber nicht für Leute, die nur auf ihren Linux-Desk- oder Laptopsystemen arbeiten wollen.

marce
12.12.14, 19:55
Die sollen also ggf. Viren in Dateien an ihre Bekannten mit Windows-System einfach weiterleiten, so sie die zufällig von anderen Bekannten z.B. mal per Mail bekommen?
Oder verseuchte USB Sticks nicht erkennen und ggf. ohne Gefahr die darauf enthaltenen Dateien sicher herunterkopieren können?

rstuby
12.12.14, 20:10
Einzelne Dateien kann man bei Virustotal prüfen und verseuchte Sticks erkennt man auch so.

marce
12.12.14, 20:22
Echt? Steht das drauf?

So oder so - "einzelne Dateien" - muss man machen. Manuell. Da nehme ich ggf. doch eher eine Variante, die das automatisch macht. Faulheit und so.

rstuby
12.12.14, 20:33
Und dafür verlangsamst du dein System mit einem Echtzeitscanner? Also wenn sich das bei dir lohnt, dann bist du aber keiner von denen, die nur auf ihrem Linuxsystem arbeiten wollen, sondern gehörst zu denen, die regelmäßig Dateien mit Windowssystemen austauschen.

Auf einem verseuchten Stick ist zumindest schon mal eine Autorun.inf drauf. Da kann man dann den Besitzer fragen, ob irgendwas automatisch abgespielt werden SOLL, wenn der Stick eingesteckt wird. Wenn ja, ist es natürlich nicht mehr so eindeutig.

Newbie314
12.12.14, 21:48
Marce, da sind wir mal unterschiedlicher Meinung.

Ich hatte zwischendurch auch AV Scanner auf der Linux Kiste, aber nie als "Echtzeitscanner" sondern eh nur "on - demand", und da sind upload Seiten zum Scannen vollkommen ausreichend. (Ich verwende meist www.jotti.org)

Begründung: Dateien die Windows Nutzer gefährden können können (zumindest bisher) nur per Mail auf den Rechner kommen. Da meine Mailanbieter aber AV Scanner betreiben brauche ich keinen. Erst wenn ich mir per "drive-by" etwas einfangen kann was mir Dateien für Windows Nutzer verseucht würde ich mir auch für die Linux Kiste einen Echtzeitscanner beschaffen. Dateien vom USB Stick werden selten ausgetauscht und stammen nur aus vertrauenswürdigen bzw. bereits gescanten Umgebungen.

Daher habe ich kein AV Programm auf der Linux Kiste installiert. Ich werde allerdings die Sicherheitsnachrichten weiter verfolgen, allerdings eher in Bezug auf Android (da sind Scanner mangels Heuristik und Verhaltenserkennung aber bisher wenig effektiv).

scorpius
13.12.14, 00:45
- es gibt keinen Grund AV Software "für" Linux zu installieren

Doch, den gibt es.

Dono
15.12.14, 09:40
Auweia .... das Thema ist ja echt 90er. Selbst ich kann irgendwie einen Trojaner schreiben. Am Ende ist es nur ein Programmm, dass irgendwie installiert werden muss und möglichst nicht gefunden werden will. So wie der Bundestrojaner. CDU sei Dank.

ThorstenHirsch
15.12.14, 14:04
Das Thema hat sich in den letzten Jahren weiterentwickelt ...und leider überhaupt nicht zum Guten hin. Der Aspekt "sich keine Viren einfangen" mag vielleicht aus den 90ern sein und wird mehr schlecht als recht mit (personal) Firewalls/AV-Scannern bekämpft; da habe ich auch sehr lange gedacht, was interessiert's mich, ich hab' ja Linux. Aber heute sieht die Sache viel schlimmer aus und betrifft uns auch schon lange, denn was waren immer unsere Hauptargumente dafür, dass man sich unter Linux keine Sorgen machen muss?

- "Linux-User ist kein root, also kann nicht viel passieren." Doch, wenn alle Daten deines Users weg sind, ist das nicht weniger schlimm.
- "Unter Linux installiert man Software nur aus vetrauenswürdigen Quellen (z.B. Distributor)." Das funktioniert genau so lange wie die Quelle vertrauenswürdig ist. Aber wer garantiert mir, dass beim Distributor nicht eingebrochen wurde? Wäre Sony eine Repo-Quelle könnte jetzt jedes Script-Kiddie Softwarepakete signieren, die anschließend meine Distribution als vertrauenswürdig ansieht.
- "Linux hat einen so geringen Marktanteil, da lohnt sich ein Virus nicht." Doch, insbesondere da Linux einen so hohen Marktanteil bei Servern hat und ich somit an die wirklich interessanten (Geschäfts-) Daten herankomme.

Aber das ist noch nicht alles. Mit der Diversifizierung der Geräte muss ich ja längst nicht mehr nur auf meinen PC/Laptop aufpassen, sondern auch auf alle anderen Geräte:

- Android ist wohl das leichteste Ziel unter den großen Smartphone-/Tablet-Systemen; der Linux-Kernel hilft nicht weiter, wenn der Userspace offen ist wie ein Scheunentor und es nicht mal einen vernünftigen Update-Pfad gibt, den Hersteller wenigstens 2 oder 3 Jahre zügig mit Updates versorgen (z. B. ist ein System-Update auf Android 4.4 nicht zügig, wenn es erst 12 Monate nach dessen Release ausgerollt wird)
- Router und NAS-Systeme sind ebenfalls angreifbar; insbesondere bekannte Hersteller wie D-Link und AVM konnte man im vergangenen Jahr immer wieder mit Sicherheitsproblemen in den Schlagzeilen finden

Und spätestens seit Snowden wissen wir von weiteren Gefahren:

- Hab' ich meinen Router bei Cisco gekauft? Oh jee, hoffentlich hat ihn die NSA nicht mit zusätzlicher Software bestückt.
- Gleiches kann bei anderen Herstellern von Netzwerktechnik geschehen sein.
- Bin ich vielleicht Ziel eines Geheimdienstes geworden, der mein Laptop mit einem individualisierten Virus bestückt hat?
- Bin ich vielleicht Ziel einer Hacker-Organisation geworden, die nach 0-day-Exploits sucht um sie anschließend an Geheimdienste zu verkaufen?

-> Ihr seht, alle Argumente, dass man sich als Linuxer auf die faule Haut legen kann, sind dahin. Heute muss man alle Geräte im Netz betrachten, unabhängig davon, ob sie von einem Linux-Kernel angetrieben werden oder nicht. Dabei stellt sich nicht mehr nur die Frage, wie ich ein Eindringen verhindern kann (denn dieser Kampf ist verloren; das lässt sich schlicht und ergreifend nicht mehr ausschließen), sondern vor allem auch "Wie begrenze ich den Schaden, wenn es passiert ist?".

Newbie314
16.12.14, 09:20
Stimmt auffallend, vor allem in Bezug auf Android.

Ob die Installation eines AV Scanners (gerade bei Android bisher nur signaturbasiert) da hilft bezweifle ich- zumal ich mich in letzter Zeit beim Kauf von AV SW für Windows PCs öfter mal über die Hersteller geärgert habe. Die AV Programme werden den Scareware Teilen vor denen sie eigentlich schützen wollen immer ähnlicher, und es wird auch immer schwieriger eine Jahresversion zu kaufen ohne dass einem ein Abo untergejubelt wird.


Die Zeiten "bezahlen, runterladen, installieren, ein Jahr Ruhe" scheinen vorbei zu sein, bei den AV Herstellern haben wohl die Marketing-Fuzzis das Kommando übernommen. (Abo Modelle die einem untergejubelt werden, "Messaging Dienste" im Echtzeitscanner die man erst abstellen muss, Schwierigkeiten das "Nur AV Scan Produkt" zu finden und nicht ausversehen die "150% Internet-Total-Security-Rundum Pakete" zu bestellen.... nervig.