| |
 |
| libpcap und tcpdump mit Trojaner verseucht (update) |
|
|
Veröffentlicht durch tbf am Mittwoch 13. November, 15:03
Aus der traue-niemanden Abteilung
|
|
|
|
|
Auf Slashdot kann man gerade lesen, dass libpcap und tcpdump mit einem Trojaner verseucht sind. Rausgefunden hat's die Houston Linux User Group. Eine detailierte Beschreibungen des Trojaners und eine Kopie der Beschreibung stehen im Netz. Einem Slashdot-Kommentar ist zu entnehmen, dass der Trojaner seit mittlerweile einem Jahr existiert. Die Frage ist ob vor diesem Hintergrund, das Kontrollieren von Prüfsummen eine Infektion verhindert hätte. Die andere Frage: Jede Distro (ob BSD oder Linux) liefert diesen Kram mit aus. Warum ist das Problem nicht bei einem der Distributoren aufgefallen? HOAX? Kann's gerade nicht prüfen. Update von XTaran, 15:40 MEZ: Es ist defintiv kein Hoax, da ist ein Trojaner in dem 3.7.1er-Paket von tcpdump.org. Und auf deren Webseite steht noch nichts davon.
|
|
|
|
< Neuer Zaurus 2x schneller und mit CF-WLAN | Druckausgabe | Opera 7 Beta 1 für Windows > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Der Trojaner sitzt im configure-Skript und Gentoo ist eine Distribution mit ports-System, d.h. zieht sich die Sourcen direkt und compiliert sie. Die meisten anderen Distributionen werden haupsächlich in Binary-Form vertrieben, d.h. da würde es nur die Entwickler treffen oder die wenigen, die sich Source-Pakete zum selbercompilieren holen. Warum man es nicht früher entdeckt hat, obwohl es schon seit über einem Jahr drinn sein soll, ist allerdings wirklich verwunderlich.
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Zumindest Gentoo und Debian sind nicht vom Trojaner getroffen. Gentoo holt sich die Sourcen standardmässig nicht "direkt" vom Lieferanten (also hier tcpdump.org) sondern von einem Gentoo-Repository, z.B. auf ibiblio.org.
Die Sourcen wurden offenbar von Gentoo heruntergeladen und nach ibiblio kopiert bevor der Trojaner (welcher niemals seit einem Jahr drin ist; der entsprechende Poster auf Slashdot hat einfach keine Ahnung, dass man time stamps auf Dateien beliebig setzen kann) drin war.
Die Website der Houston Linux User Group (auf Slashdot erwähnt) schreibt genau dies, und listet den Gentoo-Quellcode als "sauber".
Debian macht für seine Source-Archive das gleiche (kopiert sie von den "Lieferanten" in die Debian Mirrors), und liefert hier Byte für Byte identische Quellarchive wie Gentoo. Es sind hier also auch keine Trojaner enthalten.
Dies soll nicht sagen, dass Gentoo oder Debian nie so angegriffen werden könnten - es heisst nur, dass Trojaner in Quellpaketen nicht automatisch in jeder Distribution auftauchen müssen (und deshalb die Distributoren auch nichts davon merken!).
In den mir bis jetzt bekannten Fällen wurde nie ein "brandneues" Sourcepaket identifiziert, sondern immer (absichtlich?) gewartet, bis sich die Distributoren den Source schon geholt hatten.
|
|
|
|
|
|
|
|
|
|
|
|
|
Gentoo holt sich die Sourcen standardmässig nicht "direkt" vom Lieferanten (also hier tcpdump.org) sondern von einem Gentoo-Repository, z.B. auf ibiblio.org.
Interessanterweise wird auf der Seite mit den Beschreibungen Gentoo gedankt, weil seine MD5 checks den Trojaner entdeckt hätten. (War es bei OpenSSH nicht auch ein Gentoo-System, das den Trojaner entdeckte?)
[...] der Trojaner (welcher niemals seit einem Jahr drin ist; der entsprechende Poster auf Slashdot hat einfach keine Ahnung, dass man time stamps auf Dateien beliebig setzen kann) [...]
Die Vermutung habe ich so langsam allerdings auch.
In den mir bis jetzt bekannten Fällen wurde nie ein "brandneues" Sourcepaket identifiziert, sondern immer (absichtlich?) gewartet, bis sich die Distributoren den Source schon geholt hatten.
Mir fällt da aus dem Stehgreif nur noch die OpenSSH vor ein paar Monaten ein, die einen sehr ähnlichen Trojaner hatte. Meine Einschätzung ist, daß der Verursacher bewußt keine neuen Pakete nimmt, weil sich die Leute auf diese erstmal stürzen und man es so schneller merken würde. Auf der anderen Seite ist vermutlich damit die Verbreitung bei den Usern auch geringer.
Auch sehr interessant finde ich, daß es hier zwei Prokdukte aus dem Bereich Netzwerksicherheit getroffen hat, bzw. Produkte, die nicht jeder Otto-Normal-User von den Sourcen kompiliert. Für mich sieht das eher nach einer Art "Proof of Concept" aus. Man erwischt vor allem Profis um damit den Fällen höheres Gewicht zu geben, aber gleichzeitig auch den Schaden geringer zu halten... Man erinnere sich auch an die Kommentare von de Raadt, daß er mal einen Trojaner einbauen sollte...
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
Bisher hat es wohl immer nur "fertige" Pakete erwischt - also solche, die bereits im Tar-File zum Download bereit lagen. Aber was, wenn jemand es schafft, solche Trojaner in den originalen Source-Tree zu bekommen - also z.B. direkt in den CVS einer Projekts? Dann würden sogar alle Check-Summen stimmen und auch irgendwelche pgp/gpg Signaturen, selbst die vom Author des Software.
Auf Slashdot wird angekreidet, daß es keine solchen Signaturen auf der tcpdump Homepage gäbe - aber in einem solchen Fall wären sie eher schlecht und würden eine falsche Sicherheit vorgaukeln.
Die Frage ist also: wie schützt sich der Entwickler vor Hacks seiner Programmquellen?
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
|
|
|
|
|
|
|
... den Quellcode lesen, verstehen und den Trojaner entfernen. ;-)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Womit Du genau den Finger in die Wunde legst. Genau deshalb gibt es ja Trojaner: keiner kann mal eben einen fremden Quellcode durchsehen und verstehen, nicht nur wegen seiner Größe.
Aber irgendeine Prüfsumme oder Zertifikat sagt ja nur aus, der Code und Summe vom gleicher Quelle stammen: vom Author oder vom Hacke oder wem auch immer. Sie sagen jedoch nichts über die Qualität aus. Was, wenn der Author selbst eine Hintertür eingebaut hat? Nicht zuletzt deswegen wettern doch alle gegen M$ - so als ob eine Hintertür in z.B. Mozilla gefunden würde. Allein, dort ist die Chance höher.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
Derjenige, der tcpdump.org vom Netz genommen und seziert hat (Alan DeKok), hat auf BugTraq einen Komment ar zu den Vorgänge rund um die Veröffentlichung des Trojaners geschrieben. So wie es scheint, ist bei den Leuten von tcpdump.org keinerlei Hinweis über den Exploit angekommen, war die Zeit der Veröffentlichung arg unpassend, weil der Maintainer der Webseite zum Zeitpunkt der Voeröffentlichung grade auf einer Konferenz war und war vermutlich die Zeitspanne zwischen Benachrichtigung von tcpdump.org und der Veröffentlichung im Web und bei Slashdot aller Wahrscheinlichkeit nach verschwindend gering.
Und zum Thema "BugTraq und Incidents lesen hilft": Die Mails zu dem Thema wurden zwar bereits am Mittwoch geschrieben, sind hier aber erst am Wochenende eingetrudelt. Den Headern nach lag die Mail ca. 3 Tage bei SecurityFocus...
--
Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
|
|
|
|
|
|
