On Mon, 2001-09-17 at 09:07, Thomas Hertweck wrote:
Bernd Brodesser wrote:
Für eine Gefahr halte ich am ehesten Trojaner. Yep.
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf. Verkleide den rm -rf / ein wenig und verpacke ihn in ein Binary. Er wird in sehr vielen Fällen erst auffallen, wenn es im Einzelfall zu spät ist ;)
Bist Du Dir sicher, dass die neuen RPMs von "k-ganz-tolles-progi", die Du Dir neulich von ftp.woauchimmer.com gezogen hast und mittels rpm installiert hast, nicht am 31.12.01 einen rm -rf / durchführen oder nicht schon deine Online-Bankingdaten per email verschickt haben? Weisst Du auch ganz sicher, dass der experimentelle 2.4.9-bla.tar.gz Kernel, oder der Binär-Treiber für deine exotische USB-HW, den Du neulich gezogen hast, nicht mit mutwilligen Bösartigkeiten versehen ist? Bist Du Dir auch ganz sicher, dass der Site von dem Du neulich die Downloads durchgeführt hast, nicht gespooft war?
wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen.
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder? Im Normalfall ja, nur ist es ja bekanntermassen eine Eigenschaft von Viren und Co. Sicherheitslücken auszunutzen.
So gab es in der Vergangenheit Bugs, z.B. in der bash und in xterm, die es jedem beliebigen User erlaubt hatten, "root" zu werden.
Ich meine, kein einfacher User kann doch im laufenden System einfach so Module laden oder entladen. Auch kein normaler User kann ins Verzeichnis /boot schreiben, oder die lilo.conf veraendern. Er kann aber auch ohne root zu sein, das System erheblich stören.
Wie stellst Du Dir das technisch vor? Siehe oben - Das Hauptrisiko ist der vertrauensselige und nachlässige SysAdmin.
Ralf