Am Fre, 2002-06-28 um 23.59 schrieb Thorsten Haude:
Moin,
* Ralf Corsepius
[02-06-26 08:52]: Dass, es nahezu eine Trivialität ist, einen Trojaner zu schreiben, der dein System schädigt muss ja wohl nicht extra erwähnt werden. ;) Nichtmal das stimmt so. Der Trojaner wird nicht als root ausgeführt, kann also nur begrenzten Schaden anrichten.
1. Für einen einzelnen Otto-Normalo kann der Schaden eines non-root laufenden Viruses durchaus ausareichen ("Hilfe meine Diss.,. Buchhaltung ist weg, Ich habe nicht 20 Stunden mit 0190-XXXXX telefoniert, Nein, ich habe keinen Spam verschickt. Was, von mir liegen 2000 Seiten auf dem Drucker ???") 2. Ein Virus/Trojaner kann auch ohne root-Rechte hinreichend grossen Schaden ausrichten (z.B. gespeicherte Daten ausspionieren, Mail versenden, ein Produktssystem im Laufzeitverhalten schädigen usw.) 3. Es ist eine Eigenheit von Trojanern Sicherheitslücken auszunutzen. Wenn es eine Sicherheitslücke gibt, die es erlaubt root-Rechte zu bekommen, kann der Trojaner sie ausnutzen. Ein fiktives Szenario: Ein Trojaner, verpackt in ein RPM. Von Dir aufgrund der Empfehlung eines Freundes als Beta-Trial-Version eines XXXMB/$$$$-closed-source-Kommerztools aus dem Netz gezogen. In dessen RPM-Spec wurde derartiges verwendet: %files /usr/bin/tuwas %post /usr/bin/tuwas --install %preun /usr/bin/tuwas --deinstall tuwas funktioniert augenscheinlich, doch spioniert es im Hintergrund in deinem System Userdaten aus. Der Phantasie sind kaum Grenzen gesetzt, was dabei alles angestellt werden. tuwas --deinstall klinkt einen cron/at-job mit Schadfunktion in Dein System ein, der Schaden anrichtet, nachdem tuwas deinstalliert wurde. => rpm -U wird in der Regel als Root ausgeführt. => tuwas --deinstall wird als Root ausgeführt. So, ... bist Du Dir sicher, dass der Site von dem das RPM, das Du kürzlich gezogen hast, nicht gespooft war? Hast Du wirklich die Signaturen des RPMs geprüft? Ach ja, stimmt, letzte Woche hattest Du Probleme auf deinen üblichen Mirror von ftp.suse.com zuzugreifen ... Ach ja, stimmt auch, megacool-2.0.i386.rpm ist von ElWeirdo-Soft und ist von rublia@mafia.ru signiert. Doch hast Du auch verfiziert, das die Signatur vertrauenswürdig ist? Der GPG-Key ist von lira@camora.it und dollari@chicago.com signiert :) usw. usf. Ralf