OpenSuse vs Linux-Banking-Trojaner
Guten Abend OpenSuse User-Liste Vgl. dazu folgenden Artikel: heise.de/open -> 7-Tage-News -> Linux-Banking-Trojaner in freier Wildbahn gesichtet oder via URL http://www.heise.de/open/meldung/Linux-Banking-Trojaner-in-freier-Wildbahn-g... Gibt es eine möglichkeit sich zu schützen bzw. ist OpenSuse davon auch betroffen? Wie kann man z.B. einen Mail-Attachment (z.B. ein PDF) prüfen? Gruss Joerg -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 9. August 2013 20:36 schrieb "Jörg Kühne" <joerg.kuehne@gmx.net>:
Gibt es eine möglichkeit sich zu schützen bzw. ist OpenSuse davon auch betroffen? Wie kann man z.B. einen Mail-Attachment (z.B. ein PDF) prüfen?
"der Benutzer muss ihn selbst installieren, indem er beispielsweise ein Mail-Attachment ohne nähere Prüfung ausführt oder Programmpakete aus anderen Quellen als den Repositories seiner Distribution installiert" Du führst PDFs aus? Nein? Warum hast Du dann Angst? Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Jörg! Am 09.08.2013 um 20:56 Uhr schrieb Martin Schröder:
Am 9. August 2013 20:36 schrieb "Jörg Kühne" <joerg.kuehne@gmx.net>:
Gibt es eine möglichkeit sich zu schützen bzw. ist OpenSuse davon auch betroffen? Wie kann man z.B. einen Mail-Attachment (z.B. ein PDF) prüfen?
"der Benutzer muss ihn selbst installieren, indem er beispielsweise ein Mail-Attachment ohne nähere Prüfung ausführt oder Programmpakete aus anderen Quellen als den Repositories seiner Distribution installiert"
Man kann das auch so zusammenfassen: Schalte deinen Verstand aus - dann bist du gefährdet. cu Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 9. August 2013 22:51 schrieb Peter Geerds <linux@himmelsgetrei.de>:
Schalte deinen Verstand aus - dann bist du gefährdet.
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos? Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 9. August 2013, 22:53:50 schrieb Martin Schröder:
Am 9. August 2013 22:51 schrieb Peter Geerds <linux@himmelsgetrei.de>:
Schalte deinen Verstand aus - dann bist du gefährdet.
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen. Alles andere wäre auch eher schwierig, dann bräuchte jeder Paketverwalter einen eigenen Schlüssel und du müsstest jedem Paketverwalter vertrauen, dass er die Pakete vorher sorgfältig auf Schadsoftware geprüft hat etc. In der Praxis sieht es aber doch eher so aus, dass der Paketverwalter einfach die Quellen nicht und diese zu einem Paket zusammenschnürt ohne vorher jede Zeile des Codes auf Sinn und Zweck zu prüfen, letzteres wäre auch garnicht machbar. Die Verantwortung liegt hier bei den Projekten selbst. -- Viele Grüße, Michael
Am 10. August 2013 10:37 schrieb Michael Skiba <mailinglist@michael-skiba.de>:
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen.
Und wie handhabt das System Schlüsselwechsel? Gar nicht. Praktisch kann man als Anwender die Keys nur blind absegnen - und sie garantieren nur, daß die Pakete mit _diesen_ Keys unterschrieben sind. Das ist aber ziemlich sinnlos, weil Dir ein Angreifer jederzeit einen neuen Schlüssel unterschieben kann. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Samstag, 10. August 2013, 13:27:36 schrieb Martin Schröder:
Am 10. August 2013 10:37 schrieb Michael Skiba <mailinglist@michael- skiba.de>:
Ja. Aber: Da wir hier über OpenSUSE reden: Warum gibt's kein vernünftiges Web of Trust für die PGP-Schlüssel der Repos?
Weil's bei den Repo-Schlüsseln nicht um ein Web-of-Trust geht, sondern darum die Integrität der heruntergeladenen Dateien zu prüfen.
Und wie handhabt das System Schlüsselwechsel? Gar nicht. Praktisch kann man als Anwender die Keys nur blind absegnen - und sie garantieren nur, daß die Pakete mit _diesen_ Keys unterschrieben sind. Das ist aber ziemlich sinnlos, weil Dir ein Angreifer jederzeit einen neuen Schlüssel unterschieben kann. Womit die Integrität der neuen Daten immer noch (bzw. wieder) gewährleistet ist :-)
-- Grüße, Michael
participants (4)
-
"Jörg Kühne"
-
Martin Schröder
-
Michael Skiba
-
Peter Geerds