Malware in gnome screensavers... - Linux en overige clients

donderdag 10 december 2009 13:33

Acties:

Topicstarter

Ik kwam zojuist de volgende links tegen. Twee keer in korte tijd is er een schadelijk script gevonden op gnome-look.org. Blijkbaar wordt er via .deb bestanden die zogenaamd screensavers of themes bevatten, schadelijke sh scripts geinstalleerd. Is dit het begin van het einde? Moeten we tegenwoordig altijd op onze hoeden zijn als we buiten de officiële repositories van onze distributie om iets proberen te installeren?

http://www.omgubuntu.co.u...reensaver-for-ubuntu.html
http://www.omgubuntu.co.u...-found-on-gnome-look.html

Natuurlijk is het *altijd* verstandig om te checken waar je mee bezig bent, maar in de praktijk is dat lang niet altijd hoe het gaat. Tot nu toe kon je redelijk wegkomen met uitspraken als "er bestaan (nagenoeg) geen linux-virussen", en kon je wel uitgaan van de goede bedoelingen van "de community". Dit zijn ongetwijfeld niet de eerste voorbeelden die dit ondermijnen, en vast niet de laatste. Zeker met snel groeiende distributies als Ubuntu wordt het steeds aantrekkelijker linux-mallware te ontwikkelen. Ik vraag me vooral af hoe ditsoort praktijken de kop ingedrukt kan worden voordat het orde van de dag wordt zoals bij Windows. Of maak ik me druk om niets?

[ Voor 42% gewijzigd door mcDavid op 10-12-2009 14:14 ]

donderdag 10 december 2009 13:36

Acties:

Snake

Los Angeles, CA, USA

mcDavid schreef op donderdag 10 december 2009 @ 13:33:
Moeten we tegenwoordig altijd op onze hoeden zijn als we buiten de officiële repositories van onze distributie om iets proberen te installeren?

Beetje foute aanname. Je moet ALTIJD voorzichtig zijn. Zo ook met Windows en ook met Mac.

[ Voor 18% gewijzigd door Snake op 10-12-2009 13:41 ]

Going for adventure, lots of sun and a convertible! | GMT-8

donderdag 10 december 2009 13:37

Acties:

nero355

ph34r my [WCG] Cows :P

Komt wat mij betreft doordat Ubuntu door iedereen zowat gebruikt wordt die weet hoe een PC aan moet

Maar... laten we hopen dat het eenmalig is

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 10 december 2009 13:38

Acties:

Kees

Serveradmin / BOFH / DoC

Ja, je moet altijd op je hoede zijn als je iets van buiten de repository installeerd, of als je iets download van een 'open' repository waar jan en alleman dingen heen kunnen uploaden.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 10 december 2009 13:39

Acties:

SinergyX

____(>^^(>0o)>____

nero355 schreef op donderdag 10 december 2009 @ 13:37:
Komt wat mij betreft doordat Ubuntu door iedereen zowat gebruikt wordt die weet hoe een PC aan moet

En wat is daar fout aan? Windows gaat dat ook goed, als Ubuntu moet worden gezien als 'alternatief' zou dit toch ook gewoon mogelijk moeten zijn?

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 10 december 2009 13:42

Acties:

MsG

Forumzwerver

Dit zijn de downsides van het mainstream worden, men vult toch wel overal het password in, in weze niet veiliger als het next klikken van UAC in Windows als men toch overal lukraak ja of "vul password hier" in.

Ik moet wel eerlijk zeggen dat ik ook niet helemaal deb's ga uitpluizen, maar dat ik gewoon de OpenTTD Deb en nog wat andere deb's gewoon dubbelklik.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

donderdag 10 december 2009 13:43

Acties:

nero355

ph34r my [WCG] Cows :P

SinergyX schreef op donderdag 10 december 2009 @ 13:39:En wat is daar fout aan? Windows gaat dat ook goed, als Ubuntu moet worden gezien als 'alternatief' zou dit toch ook gewoon mogelijk moeten zijn?

Dat gaat juist niet goed : Hoe komen we anders aan al die spyware/virus/torjan en alle andere meuk zoals spam die verstuurd word door botnets ?? Is toch echt 9 van de 10 keer een Windows PC by Jan Modaal met Kabel/ADSL verbinding

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

donderdag 10 december 2009 14:12

Acties:

gertvdijk

mcDavid schreef op donderdag 10 december 2009 @ 13:33:
Moeten we tegenwoordig altijd op onze hoeden zijn als we buiten de officiële repositories van onze distributie om iets proberen te installeren?

Dat is niet iets van tegenwoordig, maar altijd al geweest. De repo admin en andere bevoegden kunnen de source bewaken en je zoveel mogelijk beschermen tegen malware. Zelden is slechts één persoon die iets in de mainstream/stable repo commit.
Dus ja, als je buiten de repo's dingen gaat installeren moet je jezelf niet verwonderen dat er mogelijk troep in zit. Aptitude waarschuwt je dan ook meerdere malen met flink rode dialoogvensters als iets binnen de repo's niet wordt vertrouwd (GPG signing).

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 10 december 2009 14:18

Acties:

mcDavid

Topicstarter

Ik heb even de startpost wat uitgebreid. Natuurlijk weet ik dat je *altijd* op je hoeden zou moeten zijn als je je sudo-password nodig hebt, maar in de praktijk wordt toch al snel vertrouwd op de goede bedoelingen van de community.

donderdag 10 december 2009 14:27

Acties:

Joolee

Wat ik me nu vooral afvraag is waarom een screensaver installer in hemelsnaam genoeg toegang tot je systeem moet hebben om iets schadelijks te kunnen installeren.

Bij Windows heb je als sinds jaar en dag het probleem dat een scr simpelweg een renamed exe is en dus bijna alles kan, ik vind het toch wel heel appart dat Linux blijkbaar ook met zo'n probleem kampt.

donderdag 10 december 2009 14:52

Acties:

gertvdijk

Joolee schreef op donderdag 10 december 2009 @ 14:27:
Bij Windows heb je als sinds jaar en dag het probleem dat een scr simpelweg een renamed exe is en dus bijna alles kan, ik vind het toch wel heel appart dat Linux blijkbaar ook met zo'n probleem kampt.

Het is niet Linux die met een probleem kampt hier. Het is de gebruiker die klakkeloos een random gedownload .deb'je root toegang geeft op zijn pc. Dan moet je niet verwonderd zijn als het dan mis gaat. Geldt voor elk OS; het probleem is de user.
Dit is precies de reden waarom Google je met Chrome OS ook geen root toegang geeft: het beschermt je per definitie tegen dit soort malware, terwijl het je natuurlijk in je vrijheid beperkt.

[ Voor 15% gewijzigd door gertvdijk op 10-12-2009 14:53 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 10 december 2009 14:52

Acties:

Verwijderd

Joolee schreef op donderdag 10 december 2009 @ 14:27:
Wat ik me nu vooral afvraag is waarom een screensaver installer in hemelsnaam genoeg toegang tot je systeem moet hebben om iets schadelijks te kunnen installeren.

Bij Windows heb je als sinds jaar en dag het probleem dat een scr simpelweg een renamed exe is en dus bijna alles kan, ik vind het toch wel heel appart dat Linux blijkbaar ook met zo'n probleem kampt.

Er zijn voldoende root exploits beschikbaar dus ook met gewone user access kun je al prijs hebben. Daarnaast blijft het vaak ook onoplettendheid van de gebruiker. 'Ooh hij vraagt om een wachtwoord, nou dat zal hij dan wel nodig hebben.'

donderdag 10 december 2009 16:43

Acties:

neeroeter

Dit is een stukje "social engineering"..de gebruikersinput is cruciaal om dit stukje malware te installeren. Is geen enkel OS tegen opgewassen.
Dus voordat men her en der gaat roepen dat linux net zo defective-by-design is als Redmond, nee..fout. Er is hier gewoon een gebruiker die root-rechten verleent aan een .deb. Dat kan de Admin van een pak 'm beet de beurs van Tokyo ook voor elkaar krijgen mocht ie willen..

Onder Win is/was nou juist het punt dat die rechten niet nodig zijn/waren. Een site bezoeken en slechts kijken kan/kon al voldoende zijn. De huidige tijd en verleden tijd hebben van doen met het feit dat ik niet meer op de hoogte ben van de huidige security van Windows

Hoeft ook niet meer.

donderdag 10 december 2009 16:50

Acties:

SinergyX

____(>^^(>0o)>____

nero355 schreef op donderdag 10 december 2009 @ 13:43:
Dat gaat juist niet goed : Hoe komen we anders aan al die spyware/virus/torjan en alle andere meuk zoals spam die verstuurd word door botnets ?? Is toch echt 9 van de 10 keer een Windows PC by Jan Modaal met Kabel/ADSL verbinding

Ik bedoel het ook anders: hij lijkt erop te sturen dat Ubuntu niet door 'dummies' gebruikt mag worden, hoe kan je het dan ooit een 'volwaardig alternatief' noemen? Ik mag aannemen dat een beetje virusscanner op linux dit toch ook weet tegen te houden, zoals het gross bij windows 'problemen' veelal richting mensen zit zonder enkele vorm van scanner/beveiliging. (chrome OS noem ik danwel een alternatief, maar zeker niet volwaardig).

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 10 december 2009 16:55

Acties:

gertvdijk

SinergyX schreef op donderdag 10 december 2009 @ 16:50:
Ik bedoel het ook anders: hij lijkt erop te sturen dat Ubuntu niet door 'dummies' gebruikt mag worden, hoe kan je het dan ooit een 'volwaardig alternatief' noemen?

Dat was dan ook geen punt dat een spijker op z'n kop sloeg. Juist dummies worden gestimuleerd dingen uit de repo te installeren en behoren nooit zelf een .deb'je te gaan installeren.

SinergyX schreef op donderdag 10 december 2009 @ 16:50:
Ik mag aannemen dat een beetje virusscanner op linux dit toch ook weet tegen te houden

O mijn god, dan krijg je dus een 'virusscanner' die gaat gillen als ie een scirptje tegenkomt met 'rm -f ...' of een simpele wget, terwijl dit juist scripting is. Dit ga je niet eenvoudig labelen of herkennen zoals exploitscripts dat wel te doen zijn aan heel specifieke kenmerken. Dit is geen exploit, maar gewoon user error en geen enkele virusscanner hoeft daar wat mij betreft tegen te waken.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 10 december 2009 17:39

Acties:

jayvol09

Als er goeie feedback mogelijkheden per package zijn die alarm slaan dan wordt de rest bespaard, ervanuitgaande dat ze de feedback eerst lezen voordat ze downloaden...

[ Voor 26% gewijzigd door jayvol09 op 10-12-2009 17:40 ]

"Between the weak and the strong one it is the freedom which oppresses and the law that liberates" [Jean Jacques Rousseau]

donderdag 10 december 2009 17:44

Acties:

gertvdijk

jayvol09 schreef op donderdag 10 december 2009 @ 17:39:
Als er goeie feedback mogelijkheden per package zijn die alarm slaan dan wordt de rest bespaard, ervanuitgaande dat ze de feedback eerst lezen voordat ze downloaden...

Dat alarm slaan zou naar de repo admin moeten, die dan de package kan verwijderen uit de repo. Wat bedoel jij nou? Dat je een soort comment kan zetten in je repo per package die iedereen kan zien? Zoiets als in de Google Market? Dat is geen beveiliging en mijns inziens ook geen oplossing.
Maar goed, dat was helemaal niet de aanleiding van de discussie, aangezien TS iets volledig buiten de repo's op z'n systeem installeert.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 10 december 2009 18:36

Acties:

jayvol09

Nou t helpt wel degelijk bij torrent sites. Bv. via apt-get een commentlist naar boven kunt halen voor een package

"Between the weak and the strong one it is the freedom which oppresses and the law that liberates" [Jean Jacques Rousseau]

donderdag 10 december 2009 19:05

Acties:

mcDavid

Topicstarter

jayvol09 schreef op donderdag 10 december 2009 @ 17:39:
Als er goeie feedback mogelijkheden per package zijn die alarm slaan dan wordt de rest bespaard, ervanuitgaande dat ze de feedback eerst lezen voordat ze downloaden...

In zekere zin is dat hier ook gebeurd. Op het ubuntu-forum is te lezen dat mensen direct een abuse-mailtje naar de verspreidende website hebben gestuurd, waarna de desbetreffende bestanden ook redelijk snel verdwenen waren...

In zekere zin zou je dus kunnen zeggen dat de community wederom zijn werk gedaan heeft. Echter in dit geval niet snel genoeg om te voorkomen dat een aantal mensen toch de desbetreffende .debs hebben uitgevoerd.

donderdag 10 december 2009 22:55

Acties:

Joshua

De gebruiker blijft altijd de zwakste schakel, voordat je het weet heb je ook sites ala virusscanner voor Windows maar dan voor Ubuntu waar ze je ook proberen over te halen om hun "anti virus" te installeren wat in feite gewoon malware is. Aangezien iedereen .deb bestanden kan maken zou me het niet verbazen als er dus binnekort nog meer van dit soort meldingen komen (hetzelfde geldt ook voor bijvoorbeeld Mac OSX).

[ Voor 4% gewijzigd door Joshua op 10-12-2009 22:55 ]

vrijdag 11 december 2009 00:09

Acties:

gertvdijk

@jayvol09: Je hebt niet begrepen hoe een repo en het package management in Debian/Ubuntu werkt. Met apt-get haal je iets uit de repo en met een torrent niet.

@Joshua: maar niet iedereen kan de packages signen zodat ze worden vertrouwd door het package management system.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 11 december 2009 00:44

Acties:

jayvol09

maakt niet uit, het idee kan nog steeds toegepast worden, ik begreep t denk wel hoor^^

"Between the weak and the strong one it is the freedom which oppresses and the law that liberates" [Jean Jacques Rousseau]

vrijdag 11 december 2009 00:47

Acties:

gertvdijk

jayvol09 schreef op vrijdag 11 december 2009 @ 00:44:
maakt niet uit, het idee kan nog steeds toegepast worden, ik begreep t denk wel hoor^^

Je idee kan helemaal niet toegepast worden. Als iemand moedwillig malware in een package stopt dan is het commentaar erbij (in de package) toch ook gesaboteerd? En als je het commentaar ergens vanaf het internet moet halen, hoe onderscheid je dan alle packages die je random van het internet kan downloaden in de door jouw geschetste situatie? Een md5sum voor elk package is ook beetje doelloos dweilen met de kraan open; je past 1 bitje aan in de package en je md5sum is anders.
Het is gewoon onmogelijk om betrouwbaar commentaar te geven over packages als de bron ervan onbekend is, behalve dat je kan zeggen dat hij niet is gesigned door een door jouw vertrouwde signer. Dat is het systeem wat nu in de repo's wordt toegepast. Van de mensen/admins die toegang hebben tot het uploaden van packages in de repo moet je zijn public key toevoegen aan de APT-keyring zodat je kan controleren of hij ook daadwerkelijk precies dat pakketje heeft gesigned.

[ Voor 21% gewijzigd door gertvdijk op 11-12-2009 00:50 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 11 december 2009 00:54

Acties:

jayvol09

t hoeft toch niet in de package te zitten, wie zou dat nou weer doen

apt-get comm [opmerking] [package] #voegt een comment toe aan de commentlist die met een package op een of andere manier gelinked is.
apt-get chkcomm [package] # geeft de lijst met comments die bij een package horen
zoiets

zal het package system misschien voor moeten worden aangepast maarja
dan hebje mss nog filters en vertrouwde moderators

[ Voor 6% gewijzigd door jayvol09 op 11-12-2009 00:55 ]

"Between the weak and the strong one it is the freedom which oppresses and the law that liberates" [Jean Jacques Rousseau]

vrijdag 11 december 2009 02:01

Acties:

gertvdijk

jayvol09 schreef op vrijdag 11 december 2009 @ 00:54:
t hoeft toch niet in de package te zitten, wie zou dat nou weer doen
apt-get comm [opmerking] [package] #voegt een comment toe aan de commentlist die met een package op een of andere manier gelinked is.
apt-get chkcomm [package] # geeft de lijst met comments die bij een package horen
zoiets zal het package system misschien voor moeten worden aangepast maarja
dan hebje mss nog filters en vertrouwde moderators

Met apt-get haal je een package uit de repo! Die is gesigned en door meerdere mensen gecheckt. Dat heeft dus totaal geen invloed op het installeren van .deb's die je van een willekeurige site zelf downloadt

Oftewel: lezen is moeilijk.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 11 december 2009 03:14

Acties:

Verwijderd

Ik heb even de titel van je topic gefixt. Mallware klinkt als iets dat je in een winkelcentrum koopt.