Category Archives: Linux

Neuer User-Land RootKit aufgetaucht

Posted on by

Trend Micro hat einen neuen RootKit für Linux auf Basis von 686, x64 und ARM entdeckt und analysiert. Der Bericht ist ganz interessant und jedem nur zu empfehlen. Das RootKit wurde Umbreon getauft, da sich der RootKit-Author bei der Namensfindung im Pokemon Umfeld bedient hat.

Kurz zusammengefaßt hat das RootKit folgende Eigenschaften:

Es läuft im Usermodus, also ohne Kernelmodule
es erlaubt einen Backdoorzugang u.a. per SSH/FTP zum System, den man nur beim Zugriff sieht,es filtert Ausgaben von Programm geschickt, so daß seine Existenz nicht mit Bordmitteln aufzudecken ist,
es filtert den Netzwerktraffic der Backdoors aus, so daß ein Tcpdump das nicht anzeigen würde,
und es patched so ziemlich jede wichtige Funktion der Libc Bibliothek.

Es kann daher nur mit einer LiveCD entfernt werden.

Finden kann man es durch ein spezielles Testprogramm, daß die Funktionen der LibC Bibliothek umgeht und direkt mit dem Kernel spricht. Damit das nicht zu einfach ist, erweitert das RootKit seine Dateien mit zufälligen Zeichenfolgen, die, wenn sie dem User auffallen, es verraten, was der RootKit dem Benutzer gegenüber erfolgreich verschleiert, aber eine automatisierte Suche mit einem Testtool erschwert.

Trend Micro hat auch gleich noch eine Anleitung veröffentlicht, wie man das Kit wieder los wird. Da es in erster Linie manuell installiert wird, also der Hacker Zugang zum System hat, ist es vergleichsweise schwer ein System zu infizieren, wenn man seinen Rechner nicht unbeaufsichtigt rumstehen hat und alle Updates einspielt. Auf das Nicht-Ausführen von per Email ankommenden Dateien, brauche ich ja meine Leser nicht extra hinzuweisen.

Eine Anmerkung: Seit wir in der Firma die Schranken für unfreiwillig zugeschickte ZIP / Docx usw. Dateien hochgezogen haben, verhungern bei uns die Spamanalysten 😀

Richard Stallman: „Laß mich Dich anonym bezahlen“

Posted on by

In einem Interview mit dem Guardian aus Großbritannien, hat Dr. Richard Stallmann, für ein anonymes Bezahlsystem geworben, das unter der Leitung von GNU entstehen soll. Statt Ihre Kunden zu Überwachen und mit Werbepopups zu nerven, sollten die Zeitungsverleger, denn um die geht es im Artikel, ihre Kunden einfach anonym bezahlen lassen, wenn sie einen Artikel lesen möchten.

Das gewünschte System heißt GNU Taler.{komplett falsche Infos wurden entfernt}

Dr. Stallmann geht soweit, daß das Bezahlsystem wirklich so anonym ist, daß man als Verleger auch  nicht tracken könnte, wer welchen Artikel gelesen hat. Bleibt nur die Frage, wer wacht über diesen PayAnbieter ?

 

Google Chrome löscht sich selbst per Update

Posted on by

„Google ist dumm, wie Esel ist schlau“ würde unser Lieblings-Pseudo-Osteuropäer sagen, denn Google selbst hat Chrome per Update auf allen RPM basierten Linuxservern unabsichtlich entfernt.

Grund war ein falsch zusammengebautes RPM im Google Repository. Die Datei /usr/bin/google-chrome-stable fehlte im Update vom 2. September 2016 einfach. Lustigerweise ist das ausgerechnet die wichtigste 😉

Sep 02 09:11:48 INFO Upgraded: google-chrome-stable-53.0.2785.89-1.x86_64
Sep 02 09:11:49 INFO Cleanup: google-chrome-stable-52.0.2743.116-1.x86_64

# rpm -ql google-chrome-stable

/opt/google/chrome/xdg-mime
/opt/google/chrome/xdg-settings
/usr/bin/google-chrome
/usr/share/applications/google-chrome.desktop
/usr/share/gnome-control-center/default-apps/google-chrome.xml
/usr/share/man/man1/google-chrome.1

Mit dem heutigen Update google-chrome-stable-53.0.2785.92-1.x86_64.rpm kam die Datei dann wieder auf die Computer drauf 🙂

Ursache für den Fehler dürfte eine neue Directoyhierarchie sein, die aus dem Binary einen Link gemacht hat:

0 lrwxrwxrwx. 1 root root   31  3. Sep 20:54 /usr/bin/google-chrome -> /etc/alternatives/google-chrome
0 lrwxrwxrwx. 1 root root   29  3. Sep 20:54 /etc/alternatives/google-chrome -> /usr/bin/google-chrome-stable
0 lrwxrwxrwx. 1 root root   32  2. Sep 01:20 /usr/bin/google-chrome-stable -> /opt/google/chrome/google-chrome
4 -rwxr-xr-x. 1 root root 2112  2. Sep 01:20 /opt/google/chrome/google-chrome

Update: 6.9..2016

Heute kam dann der Grund für das wohl überhastete Update :

Am 1. 9. 2016 gab es Advisories für Chrom und Chromium, die eine echt krasse Sicherheitslücke im Browser offenbaren:

Mehrere Schwachstellen in Google Chrome vor Version 53.0.2785.89 auf Windows,
Mac OS X und Linux Systemen ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen
von Sicherheitsvorkehrungen, Darstellen falscher Informationen, Durchführen
von Cross-Site-Scripting (XSS)-, Universal-Cross-Site-Scripting (UXSS)- und
Denial-of-Service (DoS)-Angriffen sowie weitere nicht spezifizierte Angriffe.

In dem Licht betrachtet, könnte es auch Absicht gewesen sein, die Browser zu deaktivieren und die User zu schützen.