[linux-l] Re: Useablility / was 1024 bit RSA Encryption compromized

Steffen Dettmer steffen at dett.de
So Mär 31 14:30:39 CEST 2002


* Ralf Cirksena wrote on Sat, Mar 30, 2002 at 20:08 +0000:
> Am 2002-03-30 15:25 CET, schrieb Steffen Dettmer:
> 
> > Genau. Das macht aber auch schon ein ausreichend exotisches
> > PackerTool :)
> 
> Solange es so exotisch ist, daß es am Desktop-PC nicht verfügbar ist,
> schadet es auch nicht.

Wieso, in der Praix wird sowas oft schnell mal eben installiert;
und bei Win98 "darf" das jeder Sekretärin.

Das läuft ja dann so, das jemand irgentwas kriegt, das dann
gezipt oder sonstwie gepackt weiterverschickt. Aber die typische
Sekretärin macht sowas eh nicht.

>  Außerdem ist es Sinn eines jeden Virus/Tojaner... sich schnell
>  und weit zu verbreiten. Exotische Pack-Formate stehen dem im
>  Weg.

Es gibt ja mehere Arten. Hier bezog ich mich auf Viren, die sich
nicht selbst per eMail verbreiten, also keine "Würmer", sondern
sowas wie klassische .EXE Infizierer und sowas.

> > Virenscanner kann man ja auch lokal installieren. Oder lokal die
> > Systeme so bauen, daß man sich per eMail eben überhaupt keinen
> > Virus einfangen kann (ich habe nie verstanden, wieso ne
> > Outlookmail Word-Macros enthalen muß und so weiter).
> 
> Sicher. Aber das ist aus den Anwendern einfach nicht 'rauszukriegen,
> daß sie sich WORD / EXCEL / ... Dateien zumailen.

Das ist ja auch nicht das Problem. Das Problem ist ja, daß die
meiste Software nicht zwischen "getrauten" und "unsicheren"
Dokumenten unterscheidet. Wenn man Dateien, die von extern
kommen, irgendwie "taggen" könnt, und z.B. Word bei getaggten
Dateien eben keine Macros zuläßt, sondern das schlicht und
einfach nur anzeigt (was ja troz aller Word-Funktionen immernoch
der Haupteinsatzzweck ist :)), wäre das Problem geringer. Aber
AFAIK erlaubt Word nur das globale Abschalten von Macros. Und
wenn es ein Dokument (Vorlage, Kopfbogen oder sowas) gibt, was
Macros verwendet, um z.B. Adressen auszufüllen, kann man das
meist nicht abschalten. Das Problem liegt in meinen Augen eher
dadran: Word kann viel zu viel um überhaupt als eMail verschickt
zu werden (im Prinzip fast so flexibel wie ne Win-EXE). Leider
gibt es kein Word-Mail-Format (ohne Macros etc.) oder sowas, und
Word selbst kennt keine "Sicherheitszonen", also *kann* das nicht
sicher werden. 

Ist bei Linux im Prinzip genauso. Wenn jemand einen Mailclient
hätte, der z.B. vermailte .profiles immer automatisch ausführt,
würde das auch prima für Viren sein. Aber zum Glück kam noch
niemand auf so abendheuerliche Ideen. Aber das kommt bestimmt
auch noch :)

[Quoting erweitert]
> > Normalerweise sollte ein User auch nicht ausführbare Dateien
> > für andere schreiben können, damit kann ein Virus auch nicht
> > so einfach in "ein System" eindringen - er kriegt eben nur
> > EPERM.
> > Deshalb hat man auch i.d.R. unter Linux weniger solche
> > Probleme.
> 
> Weniger Probleme hat man nicht, weil sich User keine ausführbaren
> Dateien zumailen können, sondern weil sie ins "infizierte" System
> nicht tief genug eindringen können.

Genau das schrieb ich. "Dateien schreiben" meint sowas wie 
"cp ./trojaner /bin/bash", und nicht Dateien mailen.

> > Außerdem ist ein Mailserver oft mehr gefährdet als ne Workstation
> > hinter einer Firewall: 
> 
> Auch Mailserver gehören *hinter* die Firewall. Mailserver in der DMZ
> sollen nur weiterleiten.

Ja, aber so eine Firewall macht kein System vollautomatisch
sicher. Und ein Mailserver erlaubt i.d.R. Dinge wie SMTP, die
u.U. auch wieder ausgenutzt werden können. Oft können User auch
ne Shell aufmachen usw. u.U. kann man auch über IMAP nette
Angriffe konstruieren. Und eine Firewall kann IMAP ja gerade eben
nicht blocken, weil ja dann keiner mehr von zu Hause aus Mail
lesen kann... Na ja, usw.

Jedenfalls kann man ein System in der DMZ viel leichter
angreifen, als eine Workstation, die man überhaupt nicht
connecten kann. Dazu muß man ja eben erstmal was in der DMZ
hacken.

> > Mailserver haben oft etliches an komplexer, vom Inet aus
> > erreichbarer Software am Laufen, viele User etc, und sind oft
> > schwerer zu updaten (wegen dem "Risiko", falls ein update nicht
> > funktioniert).
> 
> Kein Admin sollte aus diesen Gründen auf Sicherheits-Updates
> verzichten.

Ja, sollte er natürlich nicht, aber in der Praxis passiert sowas
eben öfter mal. Es geht ja darum, meherere "redundante"
Sicherheitsmechanismen zu haben. Man macht schließlich immer
Fehler. 

Die Frage ist ja weniger, was im besten Fall minimal passieren
kann, sondern was im schlechten Fall maximal passieren kann. Und
im schlechten Fall hat ein update eben mal nicht funktioniert
oder wurde vergessen usw.
 
> > Aber das Problem mit verschlüsselten eMails halte ich auch für
> > geringer, da ein Virus nicht so ohne weiteres den Key des
> > Empfängers kennt. 
> 
> Das muß er auch nicht. Wenn ein (entfernter) Benutzer seinen MUA so
> konfiguriert hat, daß er Mail immer verschlüsselt und ein Virus den
> MUA zur Verbreitung nutzt, kommt der Virus verschlüsselt.

Na gut, selbst wenn die ganzen Keys da sind usw., kommt man ja
nur zu:

> > Und wenn ein verschlüsselter Virus kommt, ist Benutzer-Interaktion
> > von nöten, weil der Entschlüssel-Schlüssel ja Passphrase geschützt
> > ist, da fällt er dann auch eher auf. 
> 
> Das ist ja gerade das Hauptproblem. Der Durchschnitts-BüroPCbenutzer
> klickt doch auch im Jahre 2 nach "I Love You" auf alles, was er in
> seiner Mail findet :-(

Ich hoffe mal, daß bei verschlüsselten Dateien eben nicht sofort
eine passende Anwendung geöffnet wird. Na ja, in der Praxis ist
das natürlich egal, weil das WORD Doc dann sowieso mit WORD
geöffnet werden muß, und der Virus sich wiedermal freuen kann.

Hier hilft aber eben nur sowohl gute lokale
Sicherheitseinstellungen (User dürfen eben nicht in \WINNT
schreiben) und ein guter Virenscanner.

> > Text anzeigt, sieht man dann einen Virus auch nur im Quellcode, ohne
> > das er was tun kann :)
> 
> Prima, ein MUA mit Disassembler ;-)

Na ja, kenn ich von mutt ganz gut: kommt ein sowieso-Attachment,
und man erblickt plötzlich ganz merkwürdigen VirtualBasic Code
oder sowas :)

Aber mal was anderes, was hier gerade paßt. Ein Virenscanner holt
sich ja i.d.R. per FTP oder HTTP die Signature-Updates. Also muß
ein Hacker auch "nur" einen passenden DNS-Server hacken, oder ein
Session-Hijacking machen oder so, um gefakte signatures
einzustreuen. Soweit mir bekannt, wird hier weder HTTPS SSL/TLS
mit direkter Zertifikatsprüfung verwendet, noch werden die Files
digital signiert. Was meint ihr dazu?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.



Mehr Informationen über die Mailingliste linux-l