> Habe erst heute einen Bericht von tecchannel auf
> http://www.tecchannel.de/betriebssysteme/681/index.html gelesen -
> demzufolge besteht mehr als Gefahr!
Demzufolge ja. Die Wahrheit jedoch ist: der Autor ist entweder uninformiert
oder lügt. Man muß allerdings zu seiner Verteidigung anführen, daß man mit
einem solchen Lebenslauf wohl tatsächlich nur Redakteur bei techannel oder
Frittenbudenverkäufer werden kann:
,----[ http://www.tecchannel.de/impressum/mhartmann.html ]
| Mike Hartmann
| Redakteur Betriebssysteme
|
| Mike Hartmann ist für Themen rund um Betriebssysteme zuständig. Bevor er im
| August 1999 zum tecChannel stieß, wer er als Redakteur bei Computerbild,
| Networks&Communications und Highscreen Highlights tätig. Nach dem Studium der
| Informatik begann er seine redaktionelle Laufbahn bei der PC Professionell.
`----
Wir lernen also:
,----[ http://www.tecchannel.de/cgi-bin/printarticle/printarticle.pl?id=betriebssysteme/681 ]
| [tecchannel]
|
| tecchannel.de - Artikel vom 11.04.2001
|
| Report: Viren unter Linux
|
| In der Linux-Community hält sich unbeirrbar die Meinung, Linux könne
| nicht Opfer von Viren werden. Das System sei ja technisch überlegen
| und hundertprozentig sicher. Auch wenn es keiner hören will: Die
| Realität sieht anders aus.
Lüge #1: Niemend, der Ahnung von Unix/Linux hat, würde das
behaupten. Die Struktur der Benutzerrechte erlaubt es jedem Anwender,
seine eigenen Daten zu kontaminieren. Ist der Anwender dumm genug, als
Superuser zu arbeiten, kann er das gesamte System kontaminieren. Das
regelmäßige Posting "Alle Macht dem User" klärt darüber auf.
| Viren unter Linux haben sich vom belächelten Kinderschreck zur ernsten
| Gefahr entwickelt.
Beweis durch Behauptung.
| Das zunehmende Auftreten von Viren, Trojanern und Würmern unter dem
| freien Unix
Fehlinformation: Linux ist kein Unix.
| kann schon bald als Epidemie bezeichnet werden.
Lüge #2.
| Leider herrscht unter den Linux-Jüngern genauso viel
| Aufgeschlossenheit wie bei den Pestärzten im Mittelalter.
Verleumdung.
| Wie die drei chinesischen Affen schalten sie auf stumm, taub und
| blind, sobald der zum Überwesen hochstilisierte Pinguin mit den
| digitalen Krankheitserregern in Verbindung gebracht wird.
Lüge #3 (ich höre auf zu zählen): Das Thema ist an vielen Stellen
ausgiebig diskutiert worden.
| Dieser Beitrag soll mit folgenden Missverständnissen aufräumen:
|
| * Die ausführbaren Dateien (ELF-Format) von Linux sind sicher
| gegen Infektion.
Der Autor bezieht sich auf Programme, die mit Linux (lies: der Kernel,
denn mehr ist Linux nicht) nichts zu tun haben.
| * Würmer und E-Mail-Viren wie der Love-Letter sind unter Linux
| nicht möglich.
Unterstellung.
| * Linux sei so überlegen sicher, dass es keine Angriffpunkte
| bietet.
Unterstellung.
| Auf die Funktionsprinzipien der Viren geht dieser Beitrag allerdings
| nur soweit ein, wie es für das Erläutern der einzelnen Punkte wichtig
| ist. Wer hier eine Anleitung zum Bau von Viren in HowTo-Manier
| erwartet, wird enttäuscht werden.
Wir übersetzen: der Autor weiß nicht einmal ansatzweise, wovon er redet.
| Warum die Viren auf sich warten ließen
|
| Linux existiert nun schon zehn Jahre. Da stellt sich natürlich die
| berechtigte Frage, warum sich erst jetzt Viren als Gefahr für dieses System
| erweisen. Bei Systemen wie DOS oder Windows haben sich die ersten Viren
| schon nach wesentlich kürzerer Zeit eingefunden.
Linux ist ein Kernel. Die Userland-Programme, die Bestandteil einer
Linux-Distribution sind, sind meist bedeutend älter als der
durchschnittliche Microsoft Programmierer.
| Die Antwort auf diese Frage ist sehr simpel:
Hat jemand eine Frage gesehen?
| DOS und Windows waren mit einem Schlag auf dem Desktop-PC
| präsent.
Lüge. Es hat Microsoft Jahre gekostet, die anderen Betriebssysteme
flächendeckend zu verdrängen. Im universitären Bereich schon einmal gar
nicht (ich habe mit CM/VMS angefangen, es gab noch Solaris, NeXTStep,
Apple und ein paar Dos-Rechner, um die alle einen weiten Bogen machten,
weil man mit den Dingern nichts machen konnte).
| Eine Vielzahl von Anwendern konnte damit auf einen Streich erreicht
| werden. Linux hingegen führt auch heute noch auf dem Schreibtisch ein
| Schattendasein. Es hat bislang seinen Platz primär im Server-Bereich
| erobert. Die Anwenderanzahl spielt für Virenprogrammierer aber eine
| entscheidende Rolle.
Einfache Denkaufgabe... Womit erreiche ich mehr "Anwender": mit einem
infizierten Sendmail, Cache Poisoning in BIND oder einem kontaminierten
Webserver - oder mit ein paar Microsoft Windows Outlook Adressbüchern?
| Ebenso wie es eine Hacker- beziehungsweise Cracker-Szene gibt, so
| existiert auch ein Underground für Virenschöpfer. Innerhalb dieser
| Szenen existieren einzelne Gruppen, die sich auf die Fahnen
| geschrieben haben: "Welt pass' auf! Wir schreiben die besten Viren!"
| In diesen Gruppen wird reger Austausch über neue Programmiermethoden
| und Know-how betrieben, fachliche Probleme werden diskutiert und sogar
| Dokumentation und Anleitungen zum Virenbau verteilt.
Diese Szene zeichnet sich in erster Linie durch drei Dinge aus:
1. Unterdurchschnittliche Intelligenz. Ja, ich habe Logs, in denen
Script Kiddies nach einem erfolgreichen Einbruch in ein shell account
als erstes "win" tippten.
2. Realitätsverlust. Erfolgreiche, "wegweisende" Einbrüche in wichtige
Server sind noch nie durch Script Kiddies erfolgt. Mag sein, dass ein
paar 16jährige Asoziale in Unix(oide) Systeme eingebrochen sind. Mit
"Virenschöpfung" hat das exakt Null zu tun.
3. Keine Weiber. Frauen stehen auf intelligente Männer. 16jährige
Wichser sind nicht sexy. Dumme online-Redakteure übrigens auch nicht.
| Diese Gruppen sind einem Ehrencodex verpflichtet.
Diese Gruppen sind asoziale, moralisch verkommene, geistig minderbemittelte
Wichser mit der sozialen Relevanz von Erektionsstörungen. Mike Hartmann
versucht an dieser Stelle, seinen inhaltlich wertneutralen Artikel durch
die Referenzierung 'gefährlicher Untergrundbanden' einen Hauch von
Nachrichtenwert zu geben. Herr Hartmann, das ist journalistisch
unterstes Niveau. Meine Chefin hätte Ihnen diesen Artikel nicht einmal
um die Ohren gehauen, sie hätte sie entlassen.
| Als Qualitätsmerkmal eines Virus gilt die Anzahl der infizierten
| Rechner und der angerichtete Schaden. Beides schafft Aufmerksamkeit
| und damit Status in der eigenen Gruppe und dem gesamten Underground.
Frage... was ist interessanter: cr.yp.to zu knacken oder den 1001 Fehler
in Der Scheiße aus Redmond(tm) zu finden? Ein Exploit in qmail hätte
Millionen von hotmail-Usern getroffen. Warum hat keines der Mitglieder
der "Hacker- beziehungsweise Cracker-Szene" das je geschafft?
| Nun ist die Chance, einen gigantischen Schaden auf einem Windows-System
| anzurichten, das auf neunzig Prozent alles Arbeitsplatzstationen läuft,
| wesentlich größer als bei Linux, das gerade einmal vier Prozent Marktanteil
| im Desktop-Bereich hat.
Nun ist die Chance, einen gigantischen Schaden auf einem Windows-System
anzurichten, das auf neunzig Prozent alles Arbeitsplatzstationen
läuft, wesentlich größer als bei Linux, dessen Struktur Viren bei
verantwortungsvoller Administration verunmöglicht.
| Hausgemachtes Problem?
|
| Doch drängt sich die Frage auf: Warum wird Linux bei einem Marktanteil von
| vier Prozent schon jetzt befallen?
Unterstellung. Wo, Herr Hartmann, sind die Beweise? Wo sind die Viren
auf meinem System?
| Das hat im Wesentlichen zwei Gründe.
|
| Zum einen fordert eine im Aufwind befindliche Plattform wie Linux den
| Sportsgeist eines Virenprogrammierers heraus. Unter Windows kann schon fast
| jeder einen Virus programmieren, und wenn er nicht programmieren kann,
| verwendet er einen der vielen Virenbaukästen der Szene. Unter Linux ist
| noch Expertenwissen notwendig, um einen Virus ins Leben zu rufen.
| Virenbaukästen gibt es nicht und Anleitungen a la "how to build a virus"
| sind rar.
Charmante Untertreibung, Herr Hartmann. Es gibt exakt gar keine.
| Zum anderen ist die Linux-Community selbst schuld. Kaum gingen die ersten
| Systeme durch Viren in die Knie, die auf Outlook abgestimmt waren, hagelte
| es schon die ersten Statements, dass so etwas unter Linux nicht möglich
| sei. Wohlweislich: Es wurde nicht gesagt, der Love-Letter kann Linux nicht
| befallen, da hier kein VB-Script existiert. Stattdessen wurde mit vollem
| Mund verlautbart, unter Linux ist so etwas überhaupt kein Thema. Fataler
| Fehler!
Herr Hartmann verlautbart halbverstandenes Viertelwissen. Wir lernen:
die Systeme, die in die Knie gingen, waren Mailserver, die unter der
Last der eintreffenden Microsoft-Viren in die Knie gingen. Zur selben
Zeit stellten Microsoft Exchange Server ihren Dienst ganz ein.
| Virenprogrammierer reagieren teilweise wie trotzige Kinder. Wer sie
| provoziert, erreicht genau das Gegenteil. Durch diese Stellungnahmen aus
| der Linux-Gemeinde fühlten sich die Schädlingserzeuger natürlich
| herausgefordert. Nichts schafft nämlich so viel Gurustatus im Underground,
| wie das Unmögliche möglich zu machen: "Viren unter Linux sind nicht
| möglich? Beweisen wir doch das Gegenteil. BSD rulez!"
Herr Hartmann, lassen Sie mich Ihnen und ihrer Hacker- und
Cracker-Community ein einfaches, offenes Wort sagen: Eure Dummheit kotzt
mich an. Fickt Euch. Fickt Eure Uninformiertheit, Eure Lügen, Eure
Unterstellungen und Eure Fehlinformationen. Und jetzt hätte ich bitte
gerne eine trotzige Reaktion. Kinder.
| Binary-Viren sind unmöglich? - Falsch!
|
| Wer sich schon einmal die Anatomie eines EXE-Virus unter DOS angesehen hat,
| ist von seiner Einfachheit erstaunt. Ein Virus erzeugt ein neues
| Programmsegment mit seinem Sabotage-Code, hängt sich an das Ende der EXE an
| und führt sich selbst beim Start des Programms aus. Anschließend patcht er
| fleißig im Speicher umher, um sich im Speicher festzusetzen und
| beispielsweise den DOS-Funktionen-Interrupt 21h zu infizieren. Über diesen
| Interrupt 21h sorgt er dann auch für seine weitere Verbreitung.
Ich erinnere mich noch gut an einen Artikel, den ich als Antwort auf
eine Fehlinformation einer bekannten Umweltschutzorganisation über
Pilzgifte in Krokanteiern schrieb. Den Artikel habe ich selbt nicht
verstanden. Der eigentliche Inhalt kam von meiner
Lebensmittelchemikerin. Aber er klang, als wäre ich der Pilzgiftgott
persönlich. Herr Hartmann, wenn Sie kleine Kinder erschrecken wollen,
dann verkneifen Sie sich kindchensprachliche Entgleisungen wie "pachen
fleißig im Speicher umher" - lassen ebenso eindeutig auf Ihre mangelnde
Sachkompetenz wie auf die mangelnde Seriosität Ihrer Publikation
schließen.
| Unter Linux müssen diese beiden Schritte - Infektion und Verbreitung -
| ebenfalls gelöst werden. Entgegen dauerhafter Falschinformationen
| können ELF-Binaries ähnlich wie EXE-Dateien infiziert werden. Das
| Anhängen von weiteren Programmsegmenten ist kein Problem.
[19:45:05]-[Thu Nov 29]-[~]
[robin@mail1] echo "mhar...@tecchannel.de">
| tmp/tierischgefaehrlichercode
[19:45:25]-[Thu Nov 29]-[~]
[robin@mail1] cat tmp/tierischgefaehrlichercode >> /usr/sbin/sendmail
bash: /usr/sbin/sendmail: Permission denied
Herr Harmann, nehmen Sie das nicht als Kritik, aber Sie reden
unqualifizierte Scheiße.
[mehr Scheiße]
| Die Infektion durch Patchen von Binaries im Dateisystem ist also kein
| Problem unter Linux.
Lüge.
| Die Vermehrung hingegen auf den ersten Blick schon eher. Wie soll sich
| ein Linux-Virus aus einem ELF-Programm in eine zentrale Systemfunktion
| ähnlich dem DOS-Funktionen-Interrupt einhängen? Das ist zwar schwierig
| aber auch nicht unmöglich.
Wenn mal als root arbeitet, ist das tatsächlich möglich. Wo ist die
Neuigkeit, Herr Hartmann?
| Hierzu ist es nötig, die Kernel-Binaries zu patchen. Ein etwas
| umfangreiches Unterfangen, da kaum ein Kernel dem anderen gleicht. Je
| nach verwendetem Compiler, Einstellungen zur Optimierung und
| Kernelversion sieht das Binary des Kernels anders aus. Prinzipiell ist
| dieses Problem aber lösbar.
Beweis durch Behauptung. Noch einmal:
(robin@radioactive):(~)$ echo "mhar...@tecchannel.de" > | tmp/tierischgefaehrlichercode
(robin@radioactive):(~)$ cat tmp/tierischgefaehrlichercode >> | /vmlinuz-current
bash: /vmlinuz-current: Permission denied
Aber:
(root@radioactive):(~)# cp /vmlinuz-current /tmp/mhartmannhackerkernel
(root@radioactive):(~)# cat /home/robin/tmp/tierischgefaehrlichercode >> | /tmp/mhartmannhackerkernel
(root@radioactive):(~)#
Der Administrator eines Systems darf alles. WO IST DIE NEUIGKEIT, HERR
HARTMANN?
| Verbreitung per Daemon
|
| Für die Verbreitung von Viren ist es aber gar nicht notwendig, wie
| beim alten DOS vorzugehen! Die Lösung heißt: Info Daemons und
| Libraries. Wenn ein Virus einen Daemon, wie zum Beispiel sendmail,
| infizieren kann, muss er sich über seine Verbreitung keine Gedanken
| mehr machen.
Sendmail ist ein daemon? Herr Hartmann, Sie reden erneut Scheiße.
| Daemons bieten außerdem ein wahres Paradies für spätere
| Hacker-Attacken. Hier wären die Info X11-Displaymanager, wie xdm, kdm
| oder gdm,
Herr Hartmann, xdm et al. sind keine Displaymanager.
| aber auch syslogd selbst zu nennen.
Der Kernellogger...
,----
| (root@radioactive):(~)# cat /etc/syslog.conf | grep -v ^#
| *.info;mail.none;news.none;authpriv.none /var/log/messages
| authpriv.* /var/log/secure
| mail.* /var/log/maillog
| lpr.* /var/log/lpr.log
| *.emerg *
| uucp,news.crit /var/log/spooler
| local7.* /var/log/boot.log
| news.=crit /var/log/news/news.crit
| news.=err /var/log/news/news.err
| news.notice /var/log/news/news.notice
`----
| Wozu Passwörter cracken, wenn sie beim Eintippen im Klartext erkannt
| werden können.
Wo, Herr Hartmann, sehen Sie dort oben Paßwörter?
Wir erinnern uns: wir brauchen root-Rechte, um diese Modifikationen
vorzunehmen. Woraum nehme ich nicht direkt sniffit o.ä.?
| Außerdem ist es möglich, dass der Virus direkt die Binaries im Dateisystem
| infiziert. Sollte es ihm außerdem gelingen, Libraries, wie etwa die
| C-Library, zu infizieren, sitzt er ohnehin in jedem dynamisch gelinkten
| Programm.
Herr Hartmann spinnt seine Legende weiter. Der Ausgangspunkt ist immer
noch falsch. Herr Hartmann redet Scheiße.
| Spätestens seitdem Win32/linux.Winux sein Unwesen parallel
| unter Windows und Linux treibt, ist klar:
... daß Mike Hartmann ein Lügner ist?[1]
| Unter Linux können ELF-Programme infiziert werden. Es darf hier
| jedoch nicht vergessen werden, dass dieser Virus höchst wahrscheinlich
| noch ein "proof of concept" ist. Er soll also zeigen, dass es
| prinzipiell geht.
Eben noch treibt er sein Unwesen, schon ist er Vaporware.
| Noch ist das Zukunftsmusik, da kein Virus nach diesem Prinzip wirklich
| relevant geworden ist. Es ist jedoch erschreckend, dass sich in der Szene
| bereits "Prototypen" solcher Viren und konkrete Anleitungen mit Beispielen
| finden.
Ich kann als PoC lückenlos nachweisen, dass ich Gott bin. Auf die Knie, Wurm!
| E-Mail-Viren sind unmöglich? - Falsch!
|
| Würmer unter Linux sind keine Fiktion mehr. Einige Wellen verursachte in
| der Fachpresse der externer Link Ramen Worm, der Red Hat Linux befiehl. Der
| Wurm nutzt Sicherheitslücken in rpc.statd und wu-ftpd aus. Einmal im System
| angelangt, sendet er E-Mails an zwei webbasierte Mail-Accounts und startet
| die Suche nach neuen Opfern. Bei der Suche nach weiteren Rechnern, die
| infiziert werden können, reduziert er die Internet-Bandbreite des
| infizierten Systems enorm. Darin liegt auch sein hauptsächlicher Schaden.
Das ist korrekt. Welcher Admin mit Hirn setzt rpc.statd oder wu-ftpd
ein? Genauer: welcher Admin mit Hirn setzt RedHat Linux ein?
| Der seit Ende Februar vornehmlich in USA aufgetretene Wurm externer Link
| Lion ist hier schon etwas gefährlicher. Er ersetzt verschiedene
| Systemdienste, um seine Verbreitung zu sichern und seine Existenz zu
| verschleiern. Sehr problematisch ist, dass er login ebenfalls ersetzt.
| Damit werden Passwörter ausspioniert und diverse Hintertüren eingerichtet.
,----[ http://www.sans.org/y2k/lion.htm ]
| Lion is a new worm, that is very similar to the Ramen worm. However,
| this worm is much more dangerous and should be taken seriously. It
| infects Linux machines with the BIND DNS server running. It is known to
| infect BIND version(s) 8.2, 8.2-P1, 8.2.1, 8.2.2-Px. BIND 8.2.3-REL and
| BIND 9 are not vulnerable. The BIND vulnerability is the TSIG
| vulnerability that was reported back on January 29, 2001.
`----
BIND. Welcher normale Mensch setzt BIND ein? Bind ist ein stinkender
Haufen Scheiße. Aber wo ist die Neuigkeit? http://cr.yp.to/djbdns.html
existiert, und wer ihn nicht einsetzt, verdient nichts anderes als Lion.
| Von E-Mail-Viren in der Manier von "I LOVE YOU" und "Anna Kournikowa"
| wurde Linux bislang noch verschont. Doch: E-Mail-Viren sind nicht nur
| auf Outlook Express und Windows beschränkt. Wer kmail, Netscape oder
| auch Mozilla genauer unter die Lupe nimmt, wird dort das selbe Prinzip
| wie bei Outlook Express vorfinden. Auf eine Anlage geklickt, wird
| diese automatisch geöffnet. Dies öffnet Viren & Co. Tür und Tor.
Das ist prinzipiell richtig, faktisch jedoch falsch. Binaries werden -
anders als unter Microsoft Windows - nicht direkt ausgeführt. MIME
exploits existier(t)en. /etc/mailcap und pine waren eine wunderbare
Sache. Schade, dass Herrn Hartmann das Hintergrundwissen fehlt, um auf
reale Gefahren hinzuweisen:
http://www.packetstormsecurity.com/9902-exploits/pine4.10-remote.txt
| Wer sich schon einmal mit der Makrosprache StarBasic von StarOffice befasst
| hat, wird sich gefragt haben: Wo ist der Unterschied zu VBA von MS Office?
| - Kein allzu großer! Auch hier können Markoviren programmiert werden.
Korrekt. Erlange ich dadurch root-Rechte? Nein. Relevanz dieses
Hinweises: Null.
| Linux ist überlegen sicher? - Falsch!
|
| Die Meinung "Linux ist sicher, weil Linux Linux ist" ist weit
| verbreitet an der philosophisch geprägten Front zwischen Windows- und
| Linux-Anhängern. Tatsächlich ist Linux ein System, das sehr auf
| Sicherheit getrimmt werden kann. Patches sind schnell verfügbar und
| mit dem entsprechenden Know-how sogar selbst programmierbar. Doch das
| bedarf eines gewissen Aufwands.
Ein Satz von folgenloser Richtigkeit.
| Würmer wie der "Ramen Worm" und "Lion" zeigen, dass auch Linux
| Sicherheitslücken hat und diese gezielt ausgenutzt werden können. Patches
| sind zwar schnell verfügbar, aber bis dahin verursachen Sabotage-Programme
| erst einmal Schaden.
Ein weiterer Satz von folgenloser Richtigkeit. Es drängt sich der
Verdacht auf, dass Herr Hartmann nach Zeilen bezahlt wird.
| Leider sind Systeme wie OpenBSD, die schon bei der Programmierung auf
| Sicherheit getrimmt werden, die Ausnahme.
Ach, Herr Hartmann... http://www.de.openbsd.org/security.html will
nicht nur gelesen, sondern auch verstanden werden. BIND 8 und 9 sind in
den ports, und ich kann meine OpenBSDs ebenso schnell wie nachhaltig
unsicher machen, wenn ich ein unfähiger Admin bin. Eben schnell und
nachhaltig, wie ich Linux sicher machen kann.
| Bei der Programmierung von Linux wurde auf Sicherheitsaspekte ebenso
| wenig oder genauso viel Wert gelegt, wie bei Windows, UNIX oder DOS.
Beweis durch Behauptung.
| Programmierer sind eben nur in den seltensten Fällen
| Sicherheitsexperten. Und jede Eventualität können sie schon gar nicht
| voraussehen.
http://cr.yp.to/qmail/guarantee.html wollen auch Sie, Herr Hartmann,
einmal lesen und verstehen. Das hat mit Linux oder anderen
Betriebssystemen nichts zu tun sondern ist eine Frage der Fähigkeit
der Programmierer. DJB ist möglicherweise nicht einmal ein besserer
Programmierer als Venema - er hat nur sicheres Programmieren
verstanden.
| Abgesehen von Konfigurationsfehlern gibt es genügend andere Angriffspunkte.
| Eine beliebte Möglichkeit zum Angriff auf ein Unix-System ist der Buffer
| Overflow. Häufig achten Programmierer nicht darauf, dass bestimmte
| Pufferlängen nicht überschritten werden können (wu-ftpd und sendmail lassen
| grüßen).
Neuigkeiten, Herr Hartmann, wir wollen Neuigkeiten! Aleph One's "Smashing
The Stack For Fun And Profit-Phrack, Vol 7, Issue 49, File 14 of 16" ist
vermutlich älter als Sie.
| Angriffspunkt Buffer Overflow
[sendmüll exploit]
| Was hat das mit Viren zu tun? - Daemons wie sendmail werden als "root"
| ausgeführt.
1. Sendmail ist kein daemon.
2. Mein SMTP Server wird *nicht* als root ausgeführt.
[HalbverDAUtes über buffer overflows]
| Dieser Mechanismus ist natürlich für Virenprogrammierer wie für Hacker
| gleichermaßen interessant. root-Rechte sind für einen Virus Gold wert. Für
| ELF-Binaries sind sie die Grundvoraussetzung, um andere Dateien im System
| zu patchen und so zu infizieren.
Und wo, Herr Hartmann, sind diese Viren?
| Doch gerade das egg/sendmail-Beispiel zeigt noch etwas anderes. Die
| Grenze zwischen Hacker- und Virenangriff ist hier fließend. Es genügt
| in diesem Fall voll und ganz eine E-Mail zu empfangen, um das System
| zu infizieren. Der Anwender muss nicht auf etwas klicken, um den
| Virus ins System zu bringen. Es reicht vollkommen aus, dass er seine
| E-Mails abruft.
So, Herr Hartmann, jetzt reicht es dann doch wohl, oder? Sie sind
entweder komplett inkompetent, sturzbetrunken, dumm wie Scheiße oder werden
von interessierter Seite dafür bezahlt, Lügen zu verbreiten. Noch einmal
ganz langsam für Sie:
(robin@radioactive):(~)$ cat tmp/tierischgefaehrlichercode >> /vmlinuz-current
bash: /vmlinuz-current: Permission denied
Solange die darunterliegenden Programme nicht unsauber programmiert
sind, kann ein User kein Unix kompromittieren. Aber: Menschen schreiben
Programme, Menschen machen Fehler - und so haben Programme Fehler. Es
ist selbstverständlich denkbar (vgl. Proof of Concept) einen Virus zu
schreiben, der sich einen buffer overflow oder eine andere
Sicherheitslücke in einem Programm zunutze mache. Aber was, Herr
Hartmann, hat das mit Linux zu tun? Und wenn Sie denn über Linux reden
wollen: wie soll ein solcher Virus einen Kernel befallen, der auf einem
read-only medium residiert?
| Fazit: Die Gefahr ist real!
Die Gefahr, dass ich bei weiterer Lektüre diser Melange von Lügen,
Unterstellungen, Dummheit und Scheiße kotzen muß? Die ist in der Tat
sehr real.
| Zweifelsohne ist die Viren-Gefahr auch für Linux vorhanden.
Zweifelsohne ist die Gefahr, dass uns allen der Himmel auf den Kopf
fällt, vorhanden.
| Sollte Linux weiter an Popularität gewinnen und auch im
| Desktop-Bereich nennenswerte Marktanteile erobern, wird es um die
| Artenvielfalt von Linux-Viren nicht schlecht bestellt sein.
Statt 4 wird es 8 geben?
| Da hilft dann auch die Scheuklappentechnik mit Sätzen wie "Hacker
| sabotieren kein Hacker-System" nichts mehr.
Unterstellung. Faktisch richtig ist, dass Unix(oide) Systeme Zeit ihres
Bestehens angegriffen und mehr als einmal ausgehebelt wurden. Die
ersten Schadprogramme für Unix gab es, als Bill Gates gerade Laufen
lernte.
| Die Linux-Distributoren wären gut damit beraten, die Virengefahr ernst
| zu nehmen. Wer sich als Sicherheitsexperte die Techniken zum
| automatischen Update via Internet einmal näher ansieht, wird vor
| Schrecken schaudern. Die Update-Mechanismen laden Viren und Trojaner
| ja förmlich ein. Die Authentifizierung des Server ist dürftig,
| Zertifizierungen der Server wäre angebracht.
,----[ man rpm ]
| Verifying a package compares information about the installed
| files in the package with information about the files taken from
| the original package and stored in the rpm database. Among other
| things, verifying compares the size, MD5 sum, permissions, type,
| owner and group of each file. Any discrepencies are displayed.
| The package specification options are the same as for package
| querying.
`----
,----[ man debsums ]
| debsums will check if the indicated packages were installed with
| checksums. If so then the checksums will be compared against the
| currently installed files. The package can either be a filename
| of a .deb archive in which case the checksums are age and
| compared or an installed package name. extracted from that pack
`----
Herr Hartmann, das war wohl leider wieder Scheiße.
| Auch den contrib-Verzeichnissen sollte nicht unbedingt getraut werden. Zu
| bedenken ist, dass die darin enthaltenen Packages von anderen Benutzern
| hochgeladen wurden. Wer weiß schon, wer das war?
Ich nicht. Ich kann nämlich nicht programmieren. Aber lesen. Z.B. die
deutlichen Warnhinweise in den contrib Verzeichnissen aller mir
bekannten FTP Server.
| Für Linux müssen inzwischen die gleichen Grundsätze wie für Windows gelten:
| * Nicht allem trauen, was im Internet zum Download angeboten
| wird.
Ach!
| * Nicht alle E-Mail-Anlagen blind öffnen.
Warum nicht?
| * Fremden Dokumenten mit Makrosprachen, wie StarOffice-Dateien,
| misstrauen.
FUD. http://www.attrition.org/~jericho/works/security/fud.html
| Linux ist genauso anfällig wie andere Systeme. Jetzt heißt es endlich
| aufwachen. Nur eine erkannte Gefahr ist eine gebannte Gefahr!
`----
Und zum Abschluß versucht Herr Hartmann, seiner nichtswürdigen Existenz
durch Panikmache eine Rechtfertigung zu geben. Nein, Herr Hartmann, so
wird das nichts: Sie können keine argumentative Kette mit Scheiße
beginnen und hoffen, daß am Ende Ge^Hold daraus wird.
> ps. mich würden Eure Kommentare bezügl. des tecchannels berichtes
> interessieren (real/übertrieben ...)?
Weder noch. Der Autor ist:
[_] uninformiert
[_] inkompetent
[_] ein Lügner
[_] ein Heuchler
[_] ein Scharlatan
[_] macht blind Panik
[_] dumm
[_] häßlich
[x] all of the above und darum nicht der Rede wert
Footnotes:
[1] http://www.tecchannel.de/news/20010328/thema20010328-4049.html
,----
| Virus für Windows und Linux
| 28.03.2001 10:50:59
| Als Proof-of-Concept sieht Antivirenhersteller Symantec den W32.Winux-Virus an.
| Er infiziert Windows- und Linux-Systeme gleichermaßen, kann sich aber nicht
| fortpflanzen und wurde bislang in freier Wildbahn nicht gesichtet.
`----
Robin S. Socha wrote:
> [xpost 2 de.comp.security.misc]
> * Gerhard Fuehrer <ger...@lion.cc> writes:
>
>>Habe erst heute einen Bericht von tecchannel auf
>>http://www.tecchannel.de/betriebssysteme/681/index.html gelesen -
>>demzufolge besteht mehr als Gefahr!
>>
> Demzufolge ja. Die Wahrheit jedoch ist: der Autor ist entweder uninformiert
> oder lügt.
Und so weiter...
Du solltest um diese Zeit keine Mails schreiben. Fast alles, was Du da
zum besten gibst, läßt sich auf "Verleumdung", "Lüge", "Unterstellung",
"Scheiße", "Beweis durch Behauptung" zusammenfassen.
Die wenigen Fakten, die Du aufführst, sind wohl auch eher nicht das
Gelbe vom Ei, sprich: keine. Beispiel:
[...]
> Die
> ersten Schadprogramme für Unix gab es, als Bill Gates gerade Laufen
> lernte.
Es scheint also tatsächlich so zu sein:
> [_] uninformiert
> [_] inkompetent
> [_] ein Lügner
> [_] ein Heuchler
> [_] ein Scharlatan
> [_] macht blind Panik
> [_] dumm
> [_] häßlich
> [x] all of the above und darum nicht der Rede wert
Ganz schön viel Mühe dafür <eg>.
Farvel, Udo
>Du solltest um diese Zeit keine Mails schreiben. Fast alles, was Du da
>zum besten gibst, läßt sich auf "Verleumdung", "Lüge", "Unterstellung",
>"Scheiße", "Beweis durch Behauptung" zusammenfassen.
>Die wenigen Fakten, die Du aufführst, sind wohl auch eher nicht das
>Gelbe vom Ei, sprich: keine. Beispiel:
[...]
Nanana. Robins Posting war das einzige, was den heutigen Tag nicht
ganz so elend hat anfangen lassen. Wenngleich ein anderes Schimpfwort
anstatt "Scheisse" gelegentlich fuer die Abwechslung angenehm gewesen
waere, aber ich will mich mal nicht allzusehr beschweren.
fup2p, Gruss Urs...
> Du solltest um diese Zeit keine Mails schreiben.
Wovon redetst Du?
> Fast alles, was Du da zum besten gibst, läßt sich auf "Verleumdung",
> "Lüge", "Unterstellung", "Scheiße", "Beweis durch Behauptung"
> zusammenfassen.
Und ist bis zum Beweis des Gegenteils, den Du sicherlich gleich
antreten wirst, korrekt.
> Die wenigen Fakten, die Du aufführst, sind wohl auch eher nicht das
> Gelbe vom Ei, sprich: keine. Beispiel:
Nein, Udo, da hast Du etwas falsch verstanden. Tip: Der Idioten-Bait
hat drei Buchstaben und fängt mit X an. Im übrigen erwarte ich
sehnsüchtig Deine Mail, mit der ich diese SuSE 7.3 r00t3. Für einen
Profi wie Dich ja offensichtlich kein Problem. Sollte Dir das nicht
gelingen, bist Du sicherlich damit einverstanden, dass man Dich auch
weiterhin Breitmaulschwätzer nennt, oder?
Ein "Beweis durch Behauptung" war noch nie korrekt - auch, wenn kein
Gegenbeispiel bekannt ist.
Behauptung: jede gerade Zahl >= 4 ist als Summe von genau zwei Primzahlen
darstellbar.
Oder auch:
Behauptung: diese Behauptung ist falsch.
Ich behaupte, dass diese richtig ist. Du kannst mir nicht beweisen, dass
sie falsch sei, ohne dass ich deinen Beweis für nichtig erklären kann, da
er sich selbst widerspricht. Ich dir nicht, dass sie war sei. Du behauptest
das Gegenteil. Dann sind sowohl die Aussage als auch deren Gegenteil "durch
Behauptung bewiesen" => Widerspruch!
--
2.4.5 in arch/i386/boot/bbootsect.s(116):
High doesn't hurt. Low does.
Robin S. Socha wrote:
> Udo Zaydowicz <u...@zaydowicz.de> wrote:
>
>>Du solltest um diese Zeit keine Mails schreiben.
>
> Wovon redetst Du?
Von Zeit, Mail und Schreiben, weiter unten von der Qualität Deines
Beitrages.
>>Fast alles, was Du da zum besten gibst, läßt sich auf "Verleumdung",
>>"Lüge", "Unterstellung", "Scheiße", "Beweis durch Behauptung"
>>zusammenfassen.
>>
> Und ist bis zum Beweis des Gegenteils, den Du sicherlich gleich
> antreten wirst, korrekt.
Du bist lustig. Wieso sollte ich beweisen, daß Deine Aussagen falsch
sind? Es genügt (mir) völlig, zu behaupten, daß Du keine Beweise für
Deine Aussagen hast.
Und daß Du keine hast, die meisten Deiner Aussagen also genau das sind,
was ich oben geschrieben habe, wird in den nachfolgenden wenigen (von
vielen möglichen) Beispielen deutlich.
Ich behaupte gerne das Gegenteil, wenn Du mir schlüssig 'beweist', daß
Du mit Deinen Aussagen Recht hast, bzw. meine Kritik an den Aussagen
falsch ist.
1. --------------------------------------------------------------------
Demzufolge ja. Die Wahrheit jedoch ist: der Autor ist entweder
uninformiert oder lügt. Man muß allerdings zu seiner Verteidigung
anführen, daß man mit einem solchen Lebenslauf wohl tatsächlich nur
Redakteur bei techannel oder Frittenbudenverkäufer werden kann:
--------------------------------------------------------------------
Beweise?
2. --------------------------------------------------------------------
Diese Szene zeichnet sich in erster Linie durch drei Dinge aus:
1. Unterdurchschnittliche Intelligenz.
[...]
2. Realitätsverlust.
[...]
3. Keine Weiber.
--------------------------------------------------------------------
Beweise?
3. --------------------------------------------------------------------
Diese Gruppen sind asoziale, moralisch verkommene, geistig
minderbemittelte Wichser mit der sozialen Relevanz von Erektionsstörungen.
--------------------------------------------------------------------
Beweise?
4. --------------------------------------------------------------------
Nun ist die Chance, einen gigantischen Schaden auf einem Windows-System
anzurichten, das auf neunzig Prozent alles Arbeitsplatzstationen
läuft, wesentlich größer als bei Linux, dessen Struktur Viren bei
verantwortungsvoller Administration verunmöglicht.
--------------------------------------------------------------------
Vergleich der Verbreitung eines nicht näher spezifizierten BS mit der
vage beschriebenen Qualität der Administration eines Systems. Genauso
falsch/richtig ist die Behauptung:
Nun ist die Chance, einen gigantischen Schaden auf einem Linux-System
anzurichten, das auf zehn Prozent aller Arbeitsplatzstationen
läuft, wesentlich größer als bei Windows, dessen Struktur Viren bei
verantwortungsvoller Administration verunmöglicht.
4. --------------------------------------------------------------------
| Doch drängt sich die Frage auf: Warum wird Linux bei einem Marktanteil
von vier Prozent schon jetzt befallen?
Unterstellung. Wo, Herr Hartmann, sind die Beweise? Wo sind die Viren
auf meinem System?
--------------------------------------------------------------------
Die Tatsache (?), daß es auf Deinem System keine Viren gibt, ist
keinesfalls ein Beleg dafür, daß es auf vergleichbaren Systemen keine
Viren gibt bzw. geben kann - zumal Du ja etwas weiter oben implizierst,
daß Viren nur bei verantwortungsvoller Administration unmöglich sind.
5. --------------------------------------------------------------------
| Virenbaukästen gibt es nicht und Anleitungen a la "how to build a
virus" sind rar.
Charmante Untertreibung, Herr Hartmann. Es gibt exakt gar keine.
--------------------------------------------------------------------
Ist eigentlich eine Wiederholung der Art 'Argumentation' aus 4.. Nur
weil Du keine kennst, heißt das noch lange nicht, daß es "gar keine"
gibt. Ansonsten gilt hier natürlich auch noch "Beweis durch Behauptung".
Und damit Deine weniger wortreichen Erwiderungen nicht zu kurz kommen:
6. --------------------------------------------------------------------
| kann schon bald als Epidemie bezeichnet werden.
Lüge #2.
--------------------------------------------------------------------
Beweis durch Behauptung. Und berücksichtig das "schon bald" noch nicht
einmal...
Genügt das erst einmal?
>>Die wenigen Fakten, die Du aufführst, sind wohl auch eher nicht das
>>Gelbe vom Ei, sprich: keine. Beispiel:
>>
> Nein, Udo, da hast Du etwas falsch verstanden.
So wird es bestimmt sein.
Naja, zumindest habe ich aber genug verstanden um z.B. ganz gelassen zu
behaupten, daß Deine als Beipiel aufgeführte (und natürlich nicht mehr
von Dir zitierte) Behauptung (Gates - Unix) - um mit Deinen Worten zu
sprechen - eine Lüge, Scheiße und nur Ausdruck der Unkenntnis des
Verfassers ist.
[...]
> Im übrigen erwarte ich
> sehnsüchtig Deine Mail, mit der ich diese SuSE 7.3 r00t3.
Sobald ich herausgefunden habe, was für eine Mail Du von mir erwartest,
werde ich mir überlegen, ob wir hier Godot mitspielen lassen.
> Für einen
> Profi wie Dich ja offensichtlich kein Problem.
Auch mal ein kleiner Tipp von mir und zugleich Eindruck von der Welt auf
der anderen Seite Deines Tellerrandes: Man braucht kein Linux-, SuSE 7.3
r00t3-Fachmann zu sein, um faule Eier am Gestank zu erkennen.
> Sollte Dir das nicht
> gelingen, bist Du sicherlich damit einverstanden, dass man Dich auch
> weiterhin Breitmaulschwätzer nennt, oder?
Mich interessiert es nicht als was Du mich bezeichnest. Allerdings werde
ich mir angesichts der o.a. Beispiele Deiner Argumentationskunst ein
zufriedenes Grinsen nicht verkneifen können, wenn ich gerade von Dir so
genannt werde <bg>.
Farvel, Udo
> Es genügt (mir) völlig, zu behaupten, daß Du keine Beweise für
> Deine Aussagen hast.
Udo, Du hast da wieder einmal etwas missverstanden. Herr Hartmann hat
eine Argumentationskette, die davon ausgeht, dass es funktionierende,
in der realen Welt existierende Viren gibt. Das ist die zentrale
Behauptung seines Artikels. Wenn diese Behauptung falsch ist, ist sein
Artikel falsch, weil bereits das erste Glied seiner Kette kaputt ist.
Statt Dich in Vulgärsophistik zu ergehen, belege bitte Herrn Hartmanns
Aussage. Solange Du sie nicht beweisen kannst, steht meine Behauptung,
dass Herr Hartmann (bewusst oder unbewusst - ich sage bewusst) die
Unwahrheit behauptet.
>> Im übrigen erwarte ich sehnsüchtig Deine Mail, mit der ich diese
>> SuSE 7.3 r00t3.
>
> Sobald ich herausgefunden habe, was für eine Mail Du von mir erwartest,
> werde ich mir überlegen, ob wir hier Godot mitspielen lassen.
Die von Herrn Hartmann behauptete Virenmail, mit der ich ein Linux
durch Lesen derselben r00t3. Du scheinst ja ebenso wie Herr Hartmann
der Überzeugung zu sein, dass eine solche Mail existiert.
Guido Hennecke wrote:
[...]
> Und bitte auf _welche_ Mail von Robin beziehst Du dich denn?
Es gibt unter dem o.a. Betreff genau eine Mail, äh, einen Beitrag von
Robin, auf den sich mein Reply beziehen kann.
Bitte besorge Dir einen Newsreader, mit dem man Threads verfolgen bzw.
wenigstens Beiträge speichern kann.
> Und das Du Robins Argumente nicht verstehst, ist nun wirklich nicht
> Robins Schuld.
Mehr als die Hälfte seiner Argumente sehen so aus:
- der Autor ist entweder uninformiert oder lügt. Man muß allerdings zu
seiner Verteidigung anführen, daß man mit einem solchen Lebenslauf wohl
tatsächlich nur Redakteur bei techannel oder Frittenbudenverkäufer
werden kann:
- Beweis durch Behauptung.
- Lüge #2.
- Verleumdung.
- Lüge #3 (ich höre auf zu zählen): Das Thema ist an vielen Stellen
ausgiebig diskutiert worden.
- Unterstellung.
- Unterstellung.
- Diese Szene zeichnet sich in erster Linie durch drei Dinge aus:
(Unterdurchschnittliche Intelligenz. Realitätsverlust. Keine Weiber.)
- Diese Gruppen sind asoziale, moralisch verkommene, geistig
minderbemittelte Wichser mit der sozialen Relevanz von Erektionsstörungen.
Etc.
Ja, und es ist tatsächlich nicht seine Schuld, daß ich diese 'Argumente'
nicht verstehe bzw. akzeptiere.
> F'up2poster
Fast wäre mir das hier beliebte Wort "Lernresistenz" rausgerutscht...
Farvel, Udo
Robin S. Socha wrote:
> Udo Zaydowicz <u...@zaydowicz.de> wrote:
[...]
>>Es genügt (mir) völlig, zu behaupten, daß Du keine Beweise für
>>Deine Aussagen hast.
>>
> Udo, Du hast da wieder einmal etwas missverstanden.
Ja, natürlich.
> Herr Hartmann hat
> eine Argumentationskette, die davon ausgeht, dass es funktionierende,
> in der realen Welt existierende Viren gibt. Das ist die zentrale
> Behauptung seines Artikels.
Genau das sehe ich anders. Ich halte das für seine Kernaussage, was er
in der 'Einleitung' schreibt (siehe Aufzählung):
'Linux ist nicht per se so sicher, daß es auf einem Linux-System keine
Angriffspunkte für Viren etc. bietet, und daß diese unter Linux
dementsprechend doch möglich sind.' Und wenn ich Deinen Beitrag richtig
verstanden habe, dann räumst Du das ja auch ein.
Damit argumentiert er, darüber informiert er.
> Wenn diese Behauptung falsch ist, ist sein
> Artikel falsch, weil bereits das erste Glied seiner Kette kaputt ist.
Jein.
Dann ist erst einmal nur die Grundaussage seines Artikels, von mir aus
der Schluß, den er daraus zieht, falsch. Dennoch können aber einzelne
Aussagen durchaus richtig sein. Und viele Aussagen waren IMO richtig und
wurden von Dir trotz des Versuches nicht erfolgreich widerlegt.
> Statt Dich in Vulgärsophistik zu ergehen,
Nettes Wort für die sachlichen Erläuterungen, daß und warum einige
Deiner Behauptungen für die Tonne waren ;-))
> belege bitte Herrn Hartmanns
> Aussage.
Die Aussage gemäß Deiner Interpretation seines Artikels werde ich sicher
nicht belegen (können), da Du Dich für mich zu sehr auf Viren only
festgelegt hast. Er beschränkt sich in seinem Artikel aber eben nicht
nur auf Viren.
Die Aussage gemäß meiner Interpretation belege ich durch ein Zitat aus
Deinem ersten Beitrag in diesem Thread:
-----------------------------------------------------------------------
Lüge #1: Niemend, der Ahnung von Unix/Linux hat, würde das
behaupten. Die Struktur der Benutzerrechte erlaubt es jedem Anwender,
seine eigenen Daten zu kontaminieren. Ist der Anwender dumm genug, als
Superuser zu arbeiten, kann er das gesamte System kontaminieren. Das
regelmäßige Posting "Alle Macht dem User" klärt darüber auf.
-----------------------------------------------------------------------
> Solange Du sie nicht beweisen kannst,
Sorry, es ist eher müßig zu versuchen, jemanden davon mit Beweisen zu
überzeugen, daß seine *Interpretation* eines Artikels falsch ist.
> steht meine Behauptung,
> dass Herr Hartmann (bewusst oder unbewusst - ich sage bewusst) die
> Unwahrheit behauptet.
In meinen Augen war das Ziel seines Artikel, den Linux-geneigten Leser
zu provozieren. Das ist ihm gelungen ;-)
Daß er bewußt oder unbewußt die Unwahrheit sagt, sehe ich im großen und
Ganzen nicht. Ich sehe maximal den einen oder anderen Fehler.
[...]
> Die von Herrn Hartmann behauptete Virenmail, mit der ich ein Linux
> durch Lesen derselben r00t3. Du scheinst ja ebenso wie Herr Hartmann
> der Überzeugung zu sein, dass eine solche Mail existiert.
Wie soll ich dieser Überzeugung sein, wenn ich noch nicht einmal weiß,
was das ist <eg>.
Ich bin aber der Überzeugung, und sehe mich durch eine schnelle
Recherche im Internet und - bezogen auf die Konsorten - durch Dich
bestätigt, daß Viren und Konsorten unter Linux möglich sind.
Farvel, Udo
> Sorry, es ist eher müßig zu versuchen, jemanden davon mit Beweisen zu
> überzeugen, daß seine *Interpretation* eines Artikels falsch ist.
|Das zunehmende Auftreten von Viren, Trojanern und Würmern unter dem
|freien Unix kann schon bald als Epidemie bezeichnet werden.
Welchen Teil dieses Satzes verstehst Du nicht, Udo? Und wo sind Deine
unumstößlichen Beweise für diese Epedemie? Wenn Du nicht endlich mit
diesen Beweisen aufwartest, statt Dich in nebulösen Sophismen zu
ergehen... den Rest kennst Du ja.
> In meinen Augen war das Ziel seines Artikel, den Linux-geneigten Leser
> zu provozieren. Das ist ihm gelungen ;-)
Nein, das ist ihm nicht gelungen. Ich fühle mich durch diesen Artikel
nicht provoziert, weil ich Linux-geneigt bin (ganz im Gegenteil)
sondern weil er schlampig recherchiert und in seiner Mischung aus
Unwissen, Halbwissen und Unterstellungen insgesamt als eine Lüge zu
bezeichnen ist.
> Daß er bewußt oder unbewußt die Unwahrheit sagt, sehe ich im großen und
> Ganzen nicht. Ich sehe maximal den einen oder anderen Fehler.
Hartmann und Du haben nicht verstanden, was ein Virus und was ein Wurm
ist. Dir als in der EDV dilettierendem Hobbyisten ist das nachzusehen.
Ihm nicht. Hartmann sagt "es gibt Viren" und belegt diese Behauptung
mit Würmern. Dummheit, mangelnde Sachkenntnis oder Lüge?
> Ich bin aber der Überzeugung, und sehe mich durch eine schnelle
> Recherche im Internet und - bezogen auf die Konsorten - durch Dich
> bestätigt, daß Viren und Konsorten unter Linux möglich sind.
Würmer. Ja. Viren nein. Bist Du sicher, dass Du weisst, wovon Du
redest, Udo?
Robin S. Socha wrote:
> Udo Zaydowicz <u...@zaydowicz.de> wrote:
>>Robin S. Socha wrote:
>
>>Sorry, es ist eher müßig zu versuchen, jemanden davon mit Beweisen zu
>>überzeugen, daß seine *Interpretation* eines Artikels falsch ist.
>>
> |Das zunehmende Auftreten von Viren, Trojanern und Würmern unter dem
> |freien Unix kann schon bald als Epidemie bezeichnet werden.
>
> Welchen Teil dieses Satzes verstehst Du nicht, Udo?
Dazu fallen mir nur 3 Gegenfragen und eine Feststellung/Bitte ein:
1. Welchen Teil des nachfolgenden Satzes aus meinem Beitrag hast Du
nicht verstanden? "Ich sehe maximal den einen oder anderen Fehler"
2. Willst Du wirklich ernsthaft ausdiskutieren, was ein Dritter unter
"schon bald" versteht?
3. Willst Du wirklich über persönliche Interpretationen streiten?
Suche Dir ein besseres Beispiel aus.
> Und wo sind Deine
> unumstößlichen Beweise für diese Epedemie?
Ich habe keine, weil ich keine Notwendigkeit dafür sehe, nach welchen zu
suchen. Warum auch, noch nicht einmal der Autor sieht eine Epedemie. Ist
sein Satz wirklich so schwer zu verstehen?!
> Wenn Du nicht endlich mit
> diesen Beweisen aufwartest,
Wir sind noch lange nicht soweit, über meine Beweise (für was
eigentlich?) zu reden. Damit können wir anfangen, wenn Du endlich mal
Butter zu dem Großteil Deiner Fische aus dem ersten Beitrag tust. Viel
Spaß dabei ;-)
> statt Dich in nebulösen Sophismen zu
> ergehen... den Rest kennst Du ja.
Ja. 10+ Jahre in Usenet und vergleichbaren Foren haben mich die
Erfahrung machen lassen, daß Leute, die argumentativ nicht weiterkommen,
weil sie sich wie z.B. Du verrannt haben, weil ihnen die wenigen
Argumente ausgeben oder weil sie nicht in der Lage sind, auf Argumente
anderer einzugehen, beim derzeitigen Stand der Diskussion häufig nur
noch ein-, zweimal etwas schreiben, meist zunehmend unter der
Gürtellinie, um sich dann mit einem 'Idiot', 'Plonk' oder einer ähnlich
sinnfreien Bemerkung aus der Diskussion zurückziehen ;-)
[...]
> Hartmann und Du haben nicht verstanden, was ein Virus und was ein Wurm
> ist.
Nein. Und genau aus diesem Grund differenziere ich an diversen Stellen
zwischen Viren und anderen Gefahren und verweise sogar noch darauf.
Und noch einmal, ihm geht es doch nicht ausschließlich um Viren, es geht
ihm IMO darum, daß , ach, lese es einfach in meiner Mail nach.
> Dir als in der EDV dilettierendem Hobbyisten ist das nachzusehen.
Hihi, Du bist ev. schon eine Mail weiter als oben angedeutet ;-)
Im übrigen unterliegst Du auch hier einer Fehleinschätzung: Ich bin noch
nicht einmal ein Hobbyist in der EDV. Ich nutze meinen Computer nur als
Hilfsmittel um u.a. mit Leuten wie Dir erbauende Diskussionen zu führen.
[...]
> Würmer. Ja. Viren nein. Bist Du sicher, dass Du weisst, wovon Du
> redest, Udo?
Ja, Du hast es gerade bestätigt.
Farvel, Udo
>> |Das zunehmende Auftreten von Viren, Trojanern und Würmern unter dem
>> |freien Unix kann schon bald als Epidemie bezeichnet werden.
>> Welchen Teil dieses Satzes verstehst Du nicht, Udo?
> 2. Willst Du wirklich ernsthaft ausdiskutieren, was ein Dritter unter
> "schon bald" versteht?
Nicht mit jemandem, dem elementare Zusammenhänge der deutschen
Grammtik unvertraut sind. Anders als von Dir irrtümlicherweise
angenommen heißt "schon bald" im obigen Zusammenhang nicht "in Bälde"
sondern "beinahe".
> Im übrigen unterliegst Du auch hier einer Fehleinschätzung: Ich bin
> noch nicht einmal ein Hobbyist in der EDV. Ich nutze meinen Computer
> nur als Hilfsmittel um u.a. mit Leuten wie Dir erbauende
> Diskussionen zu führen.
Udo, Du bist ein einer technischen Newsgroup. Wenn Du das Bedürfnis
hast, Diskussionen zu führen, dann tu das woanders.
Robin S. Socha wrote:
> Udo Zaydowicz <u...@zaydowicz.de> wrote:
>>Robin S. Socha wrote:
[...]
>>2. Willst Du wirklich ernsthaft ausdiskutieren, was ein Dritter unter
>>"schon bald" versteht?
>>
> Nicht mit jemandem, dem elementare Zusammenhänge der deutschen
> Grammtik unvertraut sind. Anders als von Dir irrtümlicherweise
> angenommen heißt "schon bald" im obigen Zusammenhang nicht "in Bälde"
> sondern "beinahe".
Wie kommst Du eigentlich darauf, daß ich sein "schon bald" mit "in
Bälde" und nicht mit "beinahe" interpretiere?
Meine Beiträge liefern, wenn überhaupt, nur einen Hinweis darauf, daß
ich "beinahe" meine: "noch nicht einmal der Autor sieht eine Epedemie".
Im übrigen hat zum einen die Interpretation der betreffenden Worte des
Satzes mit Grammatik im üblichen Sinne nichts zu tun, und zum anderen
sind grundsätzlich beide Intepretationen möglich und es kann nur der
Autor allein wissen, welche richtig ist. Hast Du ihn gefragt oder ist
das wieder nur ein "Beweis durch Behauptung"?
[...]
>>Im übrigen unterliegst Du auch hier einer Fehleinschätzung: Ich bin
>>noch nicht einmal ein Hobbyist in der EDV. Ich nutze meinen Computer
>>nur als Hilfsmittel um u.a. mit Leuten wie Dir erbauende
>>Diskussionen zu führen.
>>
> Udo, Du bist ein einer technischen Newsgroup. Wenn Du das Bedürfnis
> hast, Diskussionen zu führen, dann tu das woanders.
Ich lag mit meiner Einschätzung Deines Tellers offensichtlich richtig
<g>. Ich verstehe aber trotzdem 2 Dinge nicht:
1. Warum soll ich das woanders machen, wenn ich den auf dieses Thema (um
was ging es eigentlich noch mal?) bezogenen Teil meines Bedürfnisses
dank Leuten wie Dir hier stillen kann?
2. Was hat mein Status als 'Nicht-Hobbyist in EDV-Dingen' mit der
Empfehlung zu tun, keine technische Newsgroup zu nutzen?
Oder muß ich das gar nicht verstehen, weil das schon die in meiner
letzten Mail 'vorhergesagte' abschließende sinnfreie Bemerkung war?
Obwohl mich Antworten darauf ja schon interessieren würden, mache ich es
Dir einfach(er), falls es diese nicht war: EOT.
Sollten wider Erwarten von Dir mal Argumente oder ein Eingehen auf
Argumente kommen, dann können wir gerne weitermachen - natürlich auch
auf hochtechnischem Niveau <eg>.
Farvel, Udo
/Das/ kann $USER auch machen, wenn ruth es nicht schon vorher gemacht
hat ;-)
> Sendmail ist ein daemon?
Ja, einer den es zu exorzieren gilt ;-)
> Herr Hartmann, xdm et al. sind keine Displaymanager.
,----[ man xdm ]-
| xdm - X Display Manager [...]
`----
>| infiziert. Sollte es ihm außerdem gelingen, Libraries, wie etwa die
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>| C-Library, zu infizieren, sitzt er ohnehin in jedem dynamisch gelinkten
>| Programm.
> Herr Hartmann spinnt seine Legende weiter. Der Ausgangspunkt ist immer
> noch falsch. Herr Hartmann redet Scheiße.
Nein, an der Stelle mal ausnahmsweise nicht. Die unterstrichene Passage
rettet ihn formal ;-)
> BIND. Welcher normale Mensch setzt BIND ein? Bind ist ein stinkender
> Haufen Scheiße. Aber wo ist die Neuigkeit? http://cr.yp.to/djbdns.html
> existiert, und wer ihn nicht einsetzt, verdient nichts anderes als Lion.
Auch djbdns ist nicht die Antwort auf alle Fragen (mehr sag ich dazu
aber nicht mehr, die Diskussion gab es hier schon oft genug).
> Das ist prinzipiell richtig, faktisch jedoch falsch. Binaries werden -
> anders als unter Microsoft Windows - nicht direkt ausgeführt.
Ich sage nur mutt und shar (OK, ist kein Binary, aber läuft aufs selbe
hinaus).
> ,----[ man rpm ]
>| Verifying a package compares information about the installed
>| files in the package with information about the files taken from
>| the original package and stored in the rpm database. Among other
>| things, verifying compares the size, MD5 sum, permissions, type,
>| owner and group of each file. Any discrepencies are displayed.
>| The package specification options are the same as for package
>| querying.
> `----
> ,----[ man debsums ]
>| debsums will check if the indicated packages were installed with
>| checksums. If so then the checksums will be compared against the
>| currently installed files. The package can either be a filename
>| of a .deb archive in which case the checksums are age and
>| compared or an installed package name. extracted from that pack
> `----
Das überprüft beides nur, daß die Dateien auf dem System zum Paket
passen (und vergleicht dabei auch noch mit einer Datenbank, der man auf
einem kompromittierten System i.d.R. auch nicht mehr trauen darf ->
wertlos), nicht aber, ob das Paket auch das ist, das es vorgibt zu sein.
RPMs können allerdings PGP-signiert werden, bei Debian geht das bisher
nur mit Sourcepackages (separate Signaturen kann man natürlich jederzeit
auf den Server packen, Ximian macht das z.B., nur können die nicht
automatisch von apt-get überprüft werden (die Signaturen von
Sourcepackages aber auch nicht...)).
> Ich nicht. Ich kann nämlich nicht programmieren. Aber lesen. Z.B. die
> deutlichen Warnhinweise in den contrib Verzeichnissen aller mir
> bekannten FTP Server.
Bei dem, was in vielen contrib-Verzeichnissen so rumfleucht, muss man eh
erst den Code lesen und verstehen, um festzustellen, ob und wie man es
gebrauchen kann :-P
>| * Nicht alle E-Mail-Anlagen blind öffnen.
> Warum nicht?
<scnr>Weil es i.d.R. Spam ist?</>
Andreas
--
Andreas Ferber - dev/consulting GmbH - Bielefeld, FRG
---------------------------------------------------------
+49 521 1365800 - a...@devcon.net - www.devcon.net
Das ist eine Frage der Konfiguration. Ich erinnere hier mal an die beiden
Linux-Würmer Anfang/Mitte des Jahres.
Für Linux(bzw. einer konkreten Distribution) gibt es wie man bei
securityfocus nachlesen kann sehr viele Sicherheitslücken, genau wie bei
jedem anderen OS. Aber bei Linux gibt es wenigstens innerhalb kürzester Zeit
eine Lösung und es wird nichts vertuscht.
Beweis am Beispiel der Viren: Anzahl der Win-Viren ca. 50000; Anzahl
linuxspez. Viren <10. Das liegt einmal an der wesentlich größeren
Marktdominanz von Win-Systemen und zweitens daran das die meisten
Virenprogrammierer lieber leicht zu infizierende Systeme als Ziel wählen,
also nicht per se Linux... ;-)
[Gequirlten Mist, wie immer]
Robin, wie kannst du dich über Tecchannel aufregen, aber Udo nicht
geplonkt haben? Der ist doch mindestens auf dem gleichen Niveau
unterwegs! Während Tecchannel mit dem Unterschied zwischen Segment und
Code kämpft, ist Udo mit dem Unterschied zwischen Mail und News
überfordert.
über solche Leute lacht man kurz und heftig und plonkt sie.
In der Nicht-Print-Version steht da unter dem Titel: "VON OLIVER MÜLLER".
Das legt die Vermutung nahe, daß die Lügen von Oliver Müller kommen und
Herr Hartmann lediglich der zuständige Redakteur ist, der seine
Sorgfaltspflicht sträflich vernachlässigt hat, aber nicht
notwendigerweise selber ein Lügner sein muß.
> | Eine Vielzahl von Anwendern konnte damit auf einen Streich erreicht
> | werden. Linux hingegen führt auch heute noch auf dem Schreibtisch ein
> | Schattendasein. Es hat bislang seinen Platz primär im Server-Bereich
> | erobert. Die Anwenderanzahl spielt für Virenprogrammierer aber eine
> | entscheidende Rolle.
> Einfache Denkaufgabe... Womit erreiche ich mehr "Anwender": mit einem
> infizierten Sendmail, Cache Poisoning in BIND oder einem kontaminierten
> Webserver - oder mit ein paar Microsoft Windows Outlook Adressbüchern?
Das kannst du ihm nicht anlasten. Das hat doch Microsoft in ihren
Propaganda-Unterlagen so stehen, das muß also wahr sein. Journalisten
sind zwar angehalten, unvertrauenswürdige Behauptungen zu prüfen, aber
Marktführer und Monopolisten sagen grundsätzlich die Wahrheit. Genau
wie Regierungen. Wußtest du das nicht?
[Die Viren-Szene]
> Diese Szene zeichnet sich in erster Linie durch drei Dinge aus:
> 1. Unterdurchschnittliche Intelligenz. Ja, ich habe Logs, in denen
> Script Kiddies nach einem erfolgreichen Einbruch in ein shell account
> als erstes "win" tippten.
Script Kiddies und Virenschreiber sind andere Szenen, meiner Ansicht
nach sogar größtenteils disjunkte.
Es gibt hochintelligente Virenschreiber, keine Frage.
Aber die sind schon lange pubertiert und haben jetzt richtige Jobs.
Was da heute so in der Virenszene rumkraucht ist nur noch erbärmlich.
VBScript, daß ich nicht lache! Kein Wunder, daß sich da die meisten
ernstzunehmenden Virenautoren peinlich berührt zurückgezogen haben.
> | Als Qualitätsmerkmal eines Virus gilt die Anzahl der infizierten
> | Rechner und der angerichtete Schaden. Beides schafft Aufmerksamkeit
> | und damit Status in der eigenen Gruppe und dem gesamten Underground.
> Frage... was ist interessanter: cr.yp.to zu knacken oder den 1001 Fehler
> in Der Scheiße aus Redmond(tm) zu finden? Ein Exploit in qmail hätte
> Millionen von hotmail-Usern getroffen. Warum hat keines der Mitglieder
> der "Hacker- beziehungsweise Cracker-Szene" das je geschafft?
Er sprach von einem Virus, nicht von einem Exploit.
Und natürlich ist für Viren nicht relevant, wie viel Schaden sie
erzeugen, sondern was für technische Eigenschaften sie hatten. Früher
gab es richtige polymorphe Viren, und ein Virus war besonders cool, der
hat sich direkt im Filesystem versteckt, indem er hinter Dateien noch
ein paar Cluster alloziert hat und sich da reinschrieb.
Die meisten Viren haben überhaupt keine Schadensroutine. Das ist sogar
heute noch so. Der Artikel erzählt also absoluten Unsinn, da hast du
schon Recht, aber aus anderen Gründen als du sie hier bringst ;)
> | Unter Linux ist
> | noch Expertenwissen notwendig, um einen Virus ins Leben zu rufen.
> | Virenbaukästen gibt es nicht und Anleitungen a la "how to build a virus"
> | sind rar.
> Charmante Untertreibung, Herr Hartmann. Es gibt exakt gar keine.
Es gibt eine Beschreibung davon, wie man ELF-Dateien infizieren kann.
Das kommt dem schon ziemlich nahe.
> | Virenprogrammierer reagieren teilweise wie trotzige Kinder. Wer sie
> | provoziert, erreicht genau das Gegenteil. Durch diese Stellungnahmen aus
> | der Linux-Gemeinde fühlten sich die Schädlingserzeuger natürlich
> | herausgefordert. Nichts schafft nämlich so viel Gurustatus im Underground,
> | wie das Unmögliche möglich zu machen: "Viren unter Linux sind nicht
> | möglich? Beweisen wir doch das Gegenteil. BSD rulez!"
> Herr Hartmann, lassen Sie mich Ihnen und ihrer Hacker- und
> Cracker-Community ein einfaches, offenes Wort sagen: Eure Dummheit kotzt
> mich an. Fickt Euch. Fickt Eure Uninformiertheit, Eure Lügen, Eure
> Unterstellungen und Eure Fehlinformationen. Und jetzt hätte ich bitte
> gerne eine trotzige Reaktion. Kinder.
Das ist keine angemessene Reaktion. Der Autor des Artikels hat schon
versucht, sich zu informieren, hat aber die Informationen nicht
gegengecheckt. Warum auch, Tecchannel kommt von IDG. Die sind auch
schuld an Computerwoche. Tecchannel ist offensichtlich der Versuch, die
Zielgruppe der Computerwoche auf den Massenmarkt zu vergrößern, und zwar
so richtig Low-End. Gut, nicht ganz so Low-End wie die PC-Welt
(muhahaha), d.h. es soll schon ein bißchen Kompetenzsimulation betrieben
werden. Wo soll in dem Verlag, der für die Katastrophe "Computerwoche"
verantwortlich ist, realistisch gesehen wohlrecherchierter Inhalt her
kommen? Na klar: der wird genau so erfunden oder wörtlich aus
Presseerklärungen abgeschrieben wie bei der Computerwoche.
> | Binary-Viren sind unmöglich? - Falsch!
Und hier sieht man, daß der Autor auf eine umfangreiche Unibildung
zurückgreifen kann. Er versucht sich an einer schon geradezu sokratisch
anmutenden Dialektik in seinen Zwischentiteln! Offensichtlich haben sie
für einen arbeitslosen Physiker kein Geld gehabt und mußten deshalb auf
einen arbeitslosen Germanisten oder Philosophen ausweichen. Daß der
fachlich nicht viel reißen kann ist ihnen sicher auch selber klar. Aber
du siehst ja, ihr Name wird im Usenet erwähnt, also war der Artikel
erfolgreich.
Denn der Tecchannel soll ja nicht Geld über Zeitungsverkauf verdienen,
sondern er soll die Namen Tecchannel und IDG in Umlauf bringen, damit
IDG mehr Kohle für die Werbung nehmen kann. Die Ware, um die es geht,
ist die Werbung und sie wird mit der Zielgruppe gekauft. In diesem Fall
geht es offensichtlich nicht um die gebildeten Intellektuellen sondern
eher um die illiteraten Massen.
> | Wer sich schon einmal die Anatomie eines EXE-Virus unter DOS angesehen hat,
> | ist von seiner Einfachheit erstaunt. Ein Virus erzeugt ein neues
> | Programmsegment mit seinem Sabotage-Code, hängt sich an das Ende der EXE an
> | und führt sich selbst beim Start des Programms aus. Anschließend patcht er
> | fleißig im Speicher umher, um sich im Speicher festzusetzen und
> | beispielsweise den DOS-Funktionen-Interrupt 21h zu infizieren. Über diesen
> | Interrupt 21h sorgt er dann auch für seine weitere Verbreitung.
> Ich erinnere mich noch gut an einen Artikel, den ich als Antwort auf
> eine Fehlinformation einer bekannten Umweltschutzorganisation über
> Pilzgifte in Krokanteiern schrieb. Den Artikel habe ich selbt nicht
> verstanden. Der eigentliche Inhalt kam von meiner
> Lebensmittelchemikerin. Aber er klang, als wäre ich der Pilzgiftgott
> persönlich. Herr Hartmann, wenn Sie kleine Kinder erschrecken wollen,
> dann verkneifen Sie sich kindchensprachliche Entgleisungen wie "pachen
> fleißig im Speicher umher" - lassen ebenso eindeutig auf Ihre mangelnde
> Sachkompetenz wie auf die mangelnde Seriosität Ihrer Publikation
> schließen.
Lustigerweise ist das nicht weit von der Wahrheit entfernt. Der Autor
hat also tatsächlich aus vierter Hand Wissen von jemandem erhalten, der
schon mal einen DOS-Virus gesehen hat. Beim Versuch, das
umzuformulieren (Plagiate vertuscht man in der Grundschule, indem man
Sätze umstellt und Synonyme sucht), hat er sich leider ein paar
Schnitzer geleistet, die ihn als Scharlatan entlarven. Das passiert
schon mal. Ein Segment ist ein Begriff aus der x86-Speicherverwaltung,
der bei EXE-Dateien noch am ehesten in der Relokationstabelle
wiederzufinden ist, und so wie er das hier gebraucht, ist völlig klar,
daß er nur Bahnhof versteht.
> | Unter Linux müssen diese beiden Schritte - Infektion und Verbreitung -
> | ebenfalls gelöst werden. Entgegen dauerhafter Falschinformationen
> | können ELF-Binaries ähnlich wie EXE-Dateien infiziert werden. Das
> | Anhängen von weiteren Programmsegmenten ist kein Problem.
Unter Linux wird der Speicher nicht in Segmenten verwaltet (abgesehen
von den HIMEM-Patches).
> | Die Infektion durch Patchen von Binaries im Dateisystem ist also kein
> | Problem unter Linux.
> Lüge.
Ich würde gerne mal sehen, wie der Autor oder sein Experte einen Virus
programmiert.
> | Die Vermehrung hingegen auf den ersten Blick schon eher. Wie soll sich
> | ein Linux-Virus aus einem ELF-Programm in eine zentrale Systemfunktion
> | ähnlich dem DOS-Funktionen-Interrupt einhängen? Das ist zwar schwierig
> | aber auch nicht unmöglich.
> Wenn mal als root arbeitet, ist das tatsächlich möglich. Wo ist die
> Neuigkeit, Herr Hartmann?
Es ist auch als Nicht-Root möglich. man ptrace.
> | Hierzu ist es nötig, die Kernel-Binaries zu patchen.
Das ist wirklich grotesk.
> | Daemons bieten außerdem ein wahres Paradies für spätere
> | Hacker-Attacken. Hier wären die Info X11-Displaymanager, wie xdm, kdm
> | oder gdm,
> Herr Hartmann, xdm et al. sind keine Displaymanager.
$ man xdm | grep xdm | head -1
xdm - X Display Manager with support for XDMCP, host
$
Doch. Nur - was haben "Hacker-Attacken" mit Viren zu tun?
Meint er, daß der Virus eine Hintertür hinterlassen soll?
Eben war noch von Infektions- und Verbreitungsmethoden die Rede, und
plötzlich kommt er mit xdm?
> | Wozu Passwörter cracken, wenn sie beim Eintippen im Klartext erkannt
> | werden können.
> Wo, Herr Hartmann, sehen Sie dort oben Paßwörter?
> Wir erinnern uns: wir brauchen root-Rechte, um diese Modifikationen
> vorzunehmen. Woraum nehme ich nicht direkt sniffit o.ä.?
Der Autor kennt das halt nur von Windows mit den Benutzerrechten.
> Es drängt sich der Verdacht auf, dass Herr Hartmann nach Zeilen
> bezahlt wird.
Tecchannel kann mehr Werbung einblenden, wenn der Aetikel lang ist.
> | Leider sind Systeme wie OpenBSD, die schon bei der Programmierung auf
> | Sicherheit getrimmt werden, die Ausnahme.
> Ach, Herr Hartmann... http://www.de.openbsd.org/security.html will
> nicht nur gelesen, sondern auch verstanden werden. BIND 8 und 9 sind in
> den ports, und ich kann meine OpenBSDs ebenso schnell wie nachhaltig
> unsicher machen, wenn ich ein unfähiger Admin bin. Eben schnell und
> nachhaltig, wie ich Linux sicher machen kann.
Nun bläst er endlich mal in dein Horn und es gefällt dir auch nicht?
Dir kann man es aber auch wirklich nicht Recht machen... ;)
Wenn ich das schon sehe, OpenBSD konsequent auf Sicherheit getrimmt,
"bei der Programmierung", hahaha. OpenBSD zeichnet sich nicht durch die
Programmierung aus, sondern durch die Sicherheitspatches. Ein paar mehr
Treiber, ein bißchen auditing, ein neuer Paketfilter (mit alter
Syntax)... an OpenBSD ist nicht viel innovativ. Der Kern stinkt noch
genau so widerlich wie bei NetBSD. Der Default-MTA ist sendmail, der
Default-DNS-Server BIND. Mehr muß man zu dem System nicht sagen.
> | Bei der Programmierung von Linux wurde auf Sicherheitsaspekte ebenso
> | wenig oder genauso viel Wert gelegt, wie bei Windows, UNIX oder DOS.
> Beweis durch Behauptung.
Wie man an den Capabilities sieht, ist das Gegenteil der Fall.
Trotzdem ist die Methodik auch bei Linux schlecht.
Leidet gibt es keine benutzbare Alternative.
> DJB ist möglicherweise nicht einmal ein besserer Programmierer als
> Venema -
Doch. Ein _deutlich_ besserer.
> | Doch gerade das egg/sendmail-Beispiel zeigt noch etwas anderes. Die
> | Grenze zwischen Hacker- und Virenangriff ist hier fließend. Es genügt
> | in diesem Fall voll und ganz eine E-Mail zu empfangen, um das System
> | zu infizieren. Der Anwender muss nicht auf etwas klicken, um den
> | Virus ins System zu bringen. Es reicht vollkommen aus, dass er seine
> | E-Mails abruft.
Der Autor kommt offensichtlich aus einem Paralleluniversum, in dem man
seine Mail mit sendmail abruft. Dort heißt "send" dann sicherlich auch
"abrufen", weil sonst würde das ja keinen Sinn machen.
Aber sogar bei sendmail ist es eine Weile her, daß ein Buffer Overflow
remote exploitbar war.
> Herr Hartmann, das war wohl leider wieder Scheiße.
Nein. Digitale Signaturen finden nicht statt, obwohl RPM sie
unterstützen würde. Debian kriegt vor lauter Policy-Diskussionen,
Autoren-Abnerven und Dateien-dem-neuesten-Filesystem-Standard-Angleichen
sowieso nichts produktives gebacken und schaffen das seit Jahren nicht.
Felix
Felix von Leitner wrote:
[...]
> [Gequirlten Mist, wie immer]
[...]
> über solche Leute lacht man kurz und heftig und plonkt sie.
Tja, Felix, hier verdeutlichst Du mal wieder, wo Dein Hauptproblem
liegt: Du urteilst über Dinge, die Du mindestens nicht kennst.
Oder plonk-st Du am Ende gar nicht <eg>?
Farvel, Udo
> [xpost 2 de.comp.security.misc]
> * Gerhard Fuehrer <ger...@lion.cc> writes:
>
>> Habe erst heute einen Bericht von tecchannel auf
>> http://www.tecchannel.de/betriebssysteme/681/index.html gelesen -
>> demzufolge besteht mehr als Gefahr!
>
> Demzufolge ja. Die Wahrheit jedoch ist: der Autor ist entweder
> uninformiert oder lügt. Man muß allerdings zu seiner Verteidigung
> anführen, daß man mit einem solchen Lebenslauf wohl tatsächlich nur
> Redakteur bei techannel oder Frittenbudenverkäufer werden kann:
>
Hi,
also ehrlich - hätte mir nicht gedacht, dass ich mit meinem Hinweis eine
derartige "Diskussion" breittrete - die eher in Streit ausartet!
Fakt war eigentlich dass ich Eure Meinung dazu hören wollte:
Dies wäre doch in ein paar kurzen Sätzen abzuklären, keinesfalls wollte ich
eine derartige Zerpflügung des Artikels!
Egal - nach persönlichen Gesprächen hab ich mir inzwischen ein Bild gemacht
-> mein email-Verkehr läuft weiterhin über fetchmail/sendmail +
eingebundenem AvMailgate (was sicherlich KEIN Fehler ist), weiters werde
ich wie in meiner bisherigen Win-Internet-Laufbahn die selben
Vorsichtsmassnahmen weiterführen und hoffe dass hier kein Streit weiterer
Streit mehr entbrennt!
grüsse Gerdsch
--
MOFF. - http://linz.orf.at/moff/
Wer hier nicht den Verstand verliert, hat keinen ;-)
> > | Unter Linux ist
> > | noch Expertenwissen notwendig, um einen Virus ins Leben zu rufen.
> > | Virenbaukästen gibt es nicht und Anleitungen a la "how to build a virus"
> > | sind rar.
> > Charmante Untertreibung, Herr Hartmann. Es gibt exakt gar keine.
>
> Es gibt eine Beschreibung davon, wie man ELF-Dateien infizieren kann.
> Das kommt dem schon ziemlich nahe.
Naja, es gibt mehrere Texte, die verschiedene Infektionsmethodee
aufzeigen. Allerdings sind die Veroeffentlichungen in 29A meistens nur
eine Repro von dem, was schon mal frueher veroeffentlicht wurde.
> > | Unter Linux müssen diese beiden Schritte - Infektion und Verbreitung -
> > | ebenfalls gelöst werden. Entgegen dauerhafter Falschinformationen
> > | können ELF-Binaries ähnlich wie EXE-Dateien infiziert werden. Das
> > | Anhängen von weiteren Programmsegmenten ist kein Problem.
>
> Unter Linux wird der Speicher nicht in Segmenten verwaltet (abgesehen
> von den HIMEM-Patches).
Wir reden doch nicht hier vom Hauptspeicher, sondern von Segmenten von
ELF-Programmen. Ich denke er meinte damit die Infektionsmethode von
Linux.Siilov. Wer eine Suchmaschine bedienen kann, findet auch den
Source, alle anderen bleibt ja noch
http://www.avp.ch/avpve/newexe/unix/siilov.stm. Ich wurde die
Infektionsmethode aber nicht mit EXE-Dateien vergleichen, sondern mit
PE/NE-Files unter Win32/Win16.
Die meisten (alle?) bisher bekannten Infketions- und sonstige Techniken
(polymorph, stealth et al) lassen sich m.E. auch unter Linux & Co
realisieren.
cheers, Rainer
--
Rainer Link | Member of Virus Help Munich (www.vhm.haitec.de)
li...@suse.de | Member of AMaViS Development Team (amavis.org)
rainer.w3.to | OpenAntiVirus Project (www.openantivirus.org)
Nur wenn der Infektionsprozess schreibrechte auf die Binaries hat.
Das ist in der Unix Welt schon seit _JAHRZEHNTEN_ bekannt, und nun wirklich
ein Uralter Hut mit einem Bart, der von hier bis nach Timbuktu reicht.
Warum gibt es dann keine Unix-viren in freier Wildbahn?
(ich rede hier von Viren, nicht von Wuermern - das hat dieser Author schon
mal straeflicherweise nicht auseinanderhalten koennen.)
Das fuer Viren notwendige grundlegende Betriebskonzept existiert bei
Unix und Linux schlichtweg nicht.
Jor
--
J...@lrz.fh-muenchen.de
"This World is about to be Destroyed!"
Die hat er unter Linux nicht mehr und nicht weniger als unter Windows.
Man kann unter Linux sicherlich genausoviel Dau user mit root finden als
unter Windows mit Administrator.
Gruss
Bernd
> Rainer Link <li...@foo.fh-furtwangen.de> wrote:
> >Die meisten (alle?) bisher bekannten Infketions- und sonstige Techniken
> >(polymorph, stealth et al) lassen sich m.E. auch unter Linux & Co
> >realisieren.
>
> Nur wenn der Infektionsprozess schreibrechte auf die Binaries hat.
Natuerlich. Das hat o.g. Aussage impliziert ;-)
> Das ist in der Unix Welt schon seit _JAHRZEHNTEN_ bekannt, und nun wirklich
> ein Uralter Hut mit einem Bart, der von hier bis nach Timbuktu reicht.
Jo, spaetestens seit Fred Cohen ;-) Und Linux/Bliss ist auch schon in
die Jahre gekommen.
> Warum gibt es dann keine Unix-viren in freier Wildbahn?
Mich interessiert die Technolgie, etwa Infektionsmethoden. Ob das Ding
sich verbreitet oder nicht ist mir relativ egal. Oder kannst Du aus
meinem Posting herauslesen, dass ich damit ausdruecken wollte, dass
Linux-Viren (ja, ich kenne den Unterschied zwischen Viren, Wuermer,
Trojanisches Pferd, Logische Bombe et al) verbreitet sind? Ich kann mich
nur daran erinneren, dass jemand in ner ML (NG?) geschrieben habe, er
haette sich Linux.Telf.8000 eingefangen. Ob das nun so war oder nicht,
kann ich nicht beurteilen. In der ITW-Liste ist IIRC noch nie ein
Linux-Virus aufgelistet worden; aber ueber die ITW-Liste hat sich ja
Vess schon mal ausfuehrlichst "ausgelassen" ;-)
Meine Aussage war, dass es
a) mehr oder minder umfangreiche Anleitungen gibt und
b) eigentlich alles bekannte sich wiederholt. Stealth & Polymorphismus,
dass man aus DOSen-Zeiten kennt, wurde bei Win32 und auch bei
Makro-Viren (wieder) realisiert.
Mehr nicht. Von Panik oder dass das alles Neu sei, habe ich nichts
geschrieben. Das hast Du rein-interpretiert :-)
cheers, Rainer
--
Rainer Link | Student of Computer Networking
li...@suse.de | University of Applied Sciences, Furtwangen, Germany
rainer.w3.to | http://www.computer-networking.de/
Aha. Hast du den ELF-Standard gelesen? Offensichtlich nicht, sonst
wüßtest du, was ein ELF-Segment ist: eine Menge von Sections.
Typischerweise hat ein ELF Binary zwei Segmente: eines für .text und
rodata, eines für .data und .bss. Erläutere mir bitte mal eben, wie
das Hinzufügen eines weiteren Segmentes mit Code darin dafür sorgt, daß
dieser Code ausgeführt wird. Richtig: gar nicht.
> Die meisten (alle?) bisher bekannten Infketions- und sonstige Techniken
> (polymorph, stealth et al) lassen sich m.E. auch unter Linux & Co
> realisieren.
Gut, daß du auf dem Gebiet nicht nur eine anerkannte Autorität bist,
sondern auch weltweiten Ruf aus Linux-, Elf- und Viren-Koriphäe genießt
und daher deine Aussage außerordentliches Vertrauen genießen... NOT.
Höhö, Stealth-Viren, höhö. Komisch, daß solche "oh Mann ist das alles
schlimm, wir werden alle sterben" Aussagen immer von Leuten kommen, die
einem ihren Antiviren-Bullshit andrehen wollen :-(
Felix
Ah, aber Du bist es, ja ?! :-)
Du solltest mal aufhoeren, Leuten immer irgendwas "unterstellen" zu
wollen. Und welches Vertrauen meine Aussagen geniessen, darf/soll/kann
doch bitte jeder Leser hier selber entscheiden, oder etwa nicht? :-)
> Höhö, Stealth-Viren, höhö. Komisch, daß solche "oh Mann ist das alles
> schlimm, wir werden alle sterben" Aussagen immer von Leuten kommen, die
Hallo? Wo habe ich bitte sowas auch nur ansatzweise geschrieben?
> einem ihren Antiviren-Bullshit andrehen wollen :-(
Wo habe ich hier jemand irgendwas angedreht? Bzw. zeigt mir das Posting,
wo ich jemals jemanden irgendwas angedreht habe. Wenn jemand eine Frage
zu AMaViS hat, dann versuche ich so gut wie ich kann, ihm zu helfen.
Nennst Du das bereites "andrehen"? Lars und ich haben bisher noch
niemend AMaViS aufgeschwaetzt/angedreht oder wie auch immer Du das
bezeichnen willst. Und README.scanners im AMaViS Package hast Du auch
noch nie gelesen. Und selbst, wenn ich jemand AMaViS andrehen wollte,
ich haette nichts davon, weil die AMaViS Entwickler nichts davon haben,
wenn z.B. ein ISP seine Kunden fuer einen "Virenscan-Service" blechen
laesst. Und eine Aussage "detects all virus past, present and future"
wie mal das Product Invircible (sp?) beworben wurde bzw. womit
MessageLabs im Moment wirbt, wirst Du bei AMaViS auch nie finden. So,
what? Du musst es ja nicht benutzen.
Anway, es wird so langsam OT.
Ja, zumindest für technische Details.
Dumm nur, dsa der Administrator unter Windos den "." ganz vorne im
executeable-Suchpfad hat, unter unix genau garnicht.
C:\temp\> dir
DEBUG: DIR-virus aktiviert - starte cmd-intarnal dir routine:
Volume in drive C is NEWC
Volume Serial Number is 1B5B-1BDD
Directory of C:\TEMP
. <DIR> 11-28-99 9:52p .
.. <DIR> 11-28-99 9:52p ..
OTHER-~1 312,728 06-30-99 7:50a Other-Stuff
DIR EXE 12,887 12-02-01 6:38p dir.exe
2 file(s) 325,615 bytes
2 dir(s) 420,184,064 bytes free
/tmp# ls -al
drwxrwxrwt 4 root root 4096 Dec 3 09:43 .
drwxr-xr-x 20 root root 4096 Sep 4 05:08 ..
drwx------ 2 root root 4096 Nov 29 10:14 .ta
drwxr-xr-x 2 root root 16384 Jun 15 14:58 lost+found
drwxr-xr-x 1 joe luser 98 Dec 3 09:34 ls
Das ist nur eine von vielen vielen design-flaws von Windows (allen versionen)
(convenience over security)
Juergen
> Dumm nur, dsa der Administrator unter Windos den "." ganz vorne
> im executeable-Suchpfad hat, unter unix genau garnicht.
> Das ist nur eine von vielen vielen design-flaws von Windows
> (allen versionen) (convenience over security)
Ich kann die Aussage gerade nicht ganz nachvollziehen, wo hier das Problem
liegt. Hier ist die detaillierte Beschreibung in welcher Reihenfolge Windows
die Directories beim Starten eines Prozesses durchsucht:
1. The directory from which the application loaded.
2. The current directory for the parent process.
3a. Windows 95/98/Me: The Windows system directory. Use the
GetSystemDirectory function to get the path of this directory.
3b. Windows NT/2000/XP: The 32-bit Windows system directory. Use the
GetSystemDirectory function to get the path of this directory. The name of
this directory is System32.
3c. Windows NT/2000/XP: The 16-bit Windows system directory. There is no
function that obtains the path of this directory, but it is searched. The
name of this directory is System.
4. The Windows directory. Use the GetWindowsDirectory function to get the
path of this directory.
5. The directories that are listed in the PATH environment variable.
Der Suchpfad ist das letzte aller durchsuchten Verzeichnisse und es gibt
keinen Hinweiß darauf, daß es beim User oder beim Administrator
unterschiedlich behandelt wird.
mfg
Eugen
lu...@iks-jena.de (Lutz Donnerhacke) schryb:
> >> Gut, daß du auf dem Gebiet nicht nur eine anerkannte Autorität bist,
> >> sondern auch weltweiten Ruf aus Linux-, Elf- und Viren-Koriphäe genießt
> >> und daher deine Aussage außerordentliches Vertrauen genießen... NOT.
> >
> >Ah, aber Du bist es, ja ?! :-)
>
> Ja, zumindest für technische Details.
Das Große und Ganze, das Alles und Jedes,
die Wahrheit an und für sich - fehlt.
Leidnerfelix, möchtest Du Meisenkaiser werden?
Eure allseits geliebte Meisenkaiserin.
- --
Hürbine von Pleuselspink <meisenk...@nym.alias.net>
2. Stopelritter entgörnter Schwarte: Juergen Klingforth
Hürchiv: http://www.faberman.de/huerbine.php
-----BEGIN PGP SIGNATURE-----
Version: N/A
iQEVAwUBPAulwEhmCLLvNpl7AQHVzQf/fULLIBfApZpmOfypTNd9RtwW/wt8lVZL
fdRrwP1ZAIPL+hnpN/Az5YNACS7AHPc9lyD0jXM2jUVBb3NorXLhXFlORE/DeXCg
fsfK3clz8u1iGoS2xzkTTq0IS4ZM9Bukq3h4hzY/DFB8SAfnemxRqn3W8b0AkfMQ
icFjfDACU4FL8ckN9VXk4WlcWFVEqRzvOjNHetAZD7hrttpHZxKzND7Zf+Aq8oVR
YkWAweOglbqGjGl3Pd+hfnltu91/VfE7WvOg1xsg55Iy3o9po781nw2ZhPgIv5qJ
k2xcJBOU0sMPgf7Gx5BPs2lVff9wyPsmfQRVx13ONMKTTKx6nb6Rag==
=AYXc
-----END PGP SIGNATURE-----
> Juergen P. Meier <J...@lrz.fh-muenchen.de> wrote:
> > Nur wenn der Infektionsprozess schreibrechte auf die Binaries hat.
>
> Die hat er unter Linux nicht mehr und nicht weniger als unter Windows.
s/Windows/WindowsNT&Co/
> Man kann unter Linux sicherlich genausoviel Dau user mit root finden als
> unter Windows mit Administrator.
Allerdings darf man als Nicht-Administrator unter eTNe immer noch mehr
als unter Linux:
~$ mkdir /usr/test
mkdir: cannot create directory `/usr/test': Permission denied
<redirect stdin/stout/stderr to/from finger mode=gedächtnis>
c:\Programme> mkdir test
c:\Programme> cd test
c:\Programme\test
wobei allerdings c:\Programme nicht im Path steht. Aber jedenfalls darf
man ziemlich viel Müll installieren, und man darf (gerade ausprobiert)
in HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Current Version\Run neue
Einträge anlegen.
Gruß, Frank
Wen interessiert das? Mache ich hier hochtrabende Ansagen wie "die
ganzen schlimmen Infektionsmethoden ließen sich auch unter Linux
durchführen" aka "Linux ist verloren, die Viren kommen!1!!"? Nein.
Aber wenn du wissen willst, wie ich mich mit Viren, Linux und ELF
auskenne, frage google.
> Du solltest mal aufhoeren, Leuten immer irgendwas "unterstellen" zu
> wollen. Und welches Vertrauen meine Aussagen geniessen, darf/soll/kann
> doch bitte jeder Leser hier selber entscheiden, oder etwa nicht? :-)
Klar. Man möge nur in deine Signature schauen, um sich zu
vergegenwärtigen, welches Interesse du daran haben könntest, Viren-Panik
unter Linux-Usern zu schüren.
> > Höhö, Stealth-Viren, höhö. Komisch, daß solche "oh Mann ist das alles
> > schlimm, wir werden alle sterben" Aussagen immer von Leuten kommen, die
> Hallo? Wo habe ich bitte sowas auch nur ansatzweise geschrieben?
Na wie sonst soll man die Behauptung "die ganzen Virenmethoden von DOS
gehen auch unter Linux" denn verstehen, wenn in der Signature steht, daß
du zufällig auch Lösungen gegen Viren anbietest?!
Wach mal auf, Mann!
> > einem ihren Antiviren-Bullshit andrehen wollen :-(
> Wo habe ich hier jemand irgendwas angedreht?
Wenn du Oma Herta erzählst, daß Viren ihre Daten unter Linux bedrohen,
und weiter unten fallen läßt, daß du Antiviren entwickelst, dann ist das
genau das, was ich angedeutet habe: Werbung. Nicht nur das, es ist auch
noch FUD-Werbung, weil du versuchst, ein unklares Bedrohungsgefühl zu
erzeugen, das die Leute zu unbedachten Handlungen wie der Installation
deiner SOfTwArE führt. Das ist erbärmlich und du solltest dich schämen.
Es ist an der Stelle völlig nebensächlich, ob du für deine T00lz Kohle
haben willst oder nicht.
Felix
--
Although Unix is more reliable, Redman said,
NT may become more reliable with time.
--http://www.gcn.com/archives/gcn/1998/july13/cov2.htm
The official excuse why the Navy uses Windows on their "smart ships"
Meinst du das hier: "li...@suse.de"?
^^^^
SCNR
--
2.4.5 in kernel/signal.c(1042):
Note the silly behaviour of SIGCHLD.
DAUs können das unter (fast?) jedem Unix in /etc/profile o.ä. schreiben.
Nur wird das normalerweise nicht gemacht.
Was du meinst: unter Linux kann man selbst bestimmen, wann '.' durchsucht
wird. Unter Windows nicht, da es implizit als erstes im PATH steht.
> C:\temp\> dir
> DEBUG: DIR-virus aktiviert - starte cmd-intarnal dir routine:
>
> Volume in drive C is NEWC
> Volume Serial Number is 1B5B-1BDD
> Directory of C:\TEMP
>
> . <DIR> 11-28-99 9:52p .
> .. <DIR> 11-28-99 9:52p ..
> OTHER-~1 312,728 06-30-99 7:50a Other-Stuff
> DIR EXE 12,887 12-02-01 6:38p dir.exe
> 2 file(s) 325,615 bytes
> 2 dir(s) 420,184,064 bytes free
[...]
> Das ist nur eine von vielen vielen design-flaws von Windows (allen versionen)
Autsch. Bei Win9x und ME (also den WinDOSen) ist das nicht der Fall, da
'dir' ein internes Kommando war und immer Priorität vor externen Programmen
hatte. Dem scheint bei Win2k (cmd.exe) wohl nicht mehr so zu sein...
andererseits muss man 9x und ME ja auch nicht als Windows, sondern nur
als WinDOS bezeichnen, zumal sie keine Rechteverwaltung bieten und dadurch
besonders anfällig sind.
Sinnvoller wäre es gewesen, auch Kommandos wie xcopy in cmd.exe
mit reinzunehmen, um eben genau solche Sachen zu verhindern.
--
#!/usr/bin/perl -- Forget the express prospect!#Which was the original text?
use LWP'Simple;use URI'Escape;print"e> ";<STDIN>=~/(.*)/;for(en_de=>'de_en')
{get("http://babelfish.altavista.com/tr?doit=done&tt=urltext&lp=$_&urltext="
.uri_escape$1)=~/(?:d bgcolor=white|q")>(.*?)</s;print"$1 - (c)babelfish\n"}
> Wen interessiert das? Mache ich hier hochtrabende Ansagen wie "die
> ganzen schlimmen Infektionsmethoden ließen sich auch unter Linux
> durchführen" aka "Linux ist verloren, die Viren kommen!1!!"? Nein.
Du interpretierst schon wieder Sachen rein, die ich nicht so gesagt
habe. Fakt ist, dass Sachen wie Stealth und Polymorphismus auch unter
WordBasic/VBA realisiert wurden. Und ich sehe keinen Grund, warum sowas
nicht auch unter Linux & Unix / whatever realisierbar ist. Das ist meine
Meinung. Du musst mit mir hier ja nicht uebereinstimmen. Von "Linux ist
verloren, die Viren kommen" habe ich noch nie etwas gesagt. Du darfst
gerne groups.google & Co bemuehen, um zu sehen, dass ich noch nie so
eine Aussage gemacht habe bzw. vor einer Panikmache gewarnt habe. Aber
bitte sei so nett und bemuehe Dich, meine Postings objektiv zu lesen.
Danke.
> Aber wenn du wissen willst, wie ich mich mit Viren, Linux und ELF
> auskenne, frage google.
Habe ich Dir Kompetenz abgesprochen? Sind wir hier in einem
persoenlichen Wettstreit?
> > Du solltest mal aufhoeren, Leuten immer irgendwas "unterstellen" zu
> > wollen. Und welches Vertrauen meine Aussagen geniessen, darf/soll/kann
> > doch bitte jeder Leser hier selber entscheiden, oder etwa nicht? :-)
>
> Klar. Man möge nur in deine Signature schauen, um sich zu
> vergegenwärtigen, welches Interesse du daran haben könntest, Viren-Panik
> unter Linux-Usern zu schüren.
Die VHM hilft Usern _ehrenamtlich_ bei Virenproblemen. AMaViS wird von
den AMaViS Entwicklern in Ihrer Freizeit mehr oder minder "just for fun"
entwickelt. Und AMaViS adressiert die Linux-Viren-Problematik ueberhaupt
nicht! OpenAntiVirus.org ist ein non-kommerzielles Projekt, so arbeite
ich z.B. an samba-vscan ebenfalls in meiner Freizeit. Genauso wie Kurt
an PatternFinder / ScannerDaemon.
Wir haben _nie_ eine Viren-Panik geschuert, werden dies auch _nie_ tun!
So, und jetzt erzaehle mir mal, welches Interesse ich daran haette, eine
Panik zu schueren? Was haette ich denn davon? Ausser vielleicht hoeherer
Download-Zahlen und ggf. ein paar mehr "Dankeschoen"-Mails ;-) Und wir
zwingen niemand dazu, unsere Software zu benutzen.
> > > Höhö, Stealth-Viren, höhö. Komisch, daß solche "oh Mann ist das alles
> > > schlimm, wir werden alle sterben" Aussagen immer von Leuten kommen, die
> > Hallo? Wo habe ich bitte sowas auch nur ansatzweise geschrieben?
>
> Na wie sonst soll man die Behauptung "die ganzen Virenmethoden von DOS
> gehen auch unter Linux" denn verstehen, wenn in der Signature steht, daß
Ich gehe einfach mal davon aus, dass es _technisch_ machbar ist. Mehr
habe ich damit nicht gesagt.
> du zufällig auch Lösungen gegen Viren anbietest?!
Mit AMaViS und samba-vscan verdienen hoechtens die kommerziellen
AV-Hersteller, aber nicht ich bzw. der Rest der AMaViS / OAV Crew! Der
vollstaendigkeit halber sei erwaehnt, dass meine Entwicklunsarbeit fuer
AMaViS seit einiger Zeit teilweise von einem Linux-Distributor
gesponsort wird. Und? Hast Du jemals Hype-PR a la "AMaViS schuetzt sie
zuverlaessig vor <insert-your-virus/worm-here> gesehen"? Wir versuchen
eine halbwegs brauchbare Loesung fuer Leute zu entwicklen, die - aus
welchen Gruenden auch immer - der Meinung sind dass das, was wir
dazusammenbasteln, fuer sie nuetzlich ist :-) Ist das neuerdings etwas,
wofuer man sich schaemen muss?
> Wach mal auf, Mann!
Hmm, vielleicht sollte ich aufhoeren, mitten in der Nacht an samba-vscan
zu entwickeln, damit es mit samba 3.0 alpha0 tut bzw. Feature-Requests
zu implementieren. Dann waere ich vielleicht mal wach. Aber will ich das
wirklich ?! ;-)
> > > einem ihren Antiviren-Bullshit andrehen wollen :-(
> > Wo habe ich hier jemand irgendwas angedreht?
>
> Wenn du Oma Herta erzählst, daß Viren ihre Daten unter Linux bedrohen,
> und weiter unten fallen läßt, daß du Antiviren entwickelst, dann ist das
AMaViS ist kein AV-Software im eigentlichen Sinne. Und wer hat gesagt,
dass AMaViS entwickelt wurde, um vor Linux-Viren zu schuetzen, nur weil
es unter Linux/Unix laeuft?!? Wurde es nicht. Punkt. Das gleiche gilt
fuer PatternFinder / ScannerDaemon.
> genau das, was ich angedeutet habe: Werbung. Nicht nur das, es ist auch
> noch FUD-Werbung, weil du versuchst, ein unklares Bedrohungsgefühl zu
> erzeugen, das die Leute zu unbedachten Handlungen wie der Installation
> deiner SOfTwArE führt. Das ist erbärmlich und du solltest dich schämen.
> Es ist an der Stelle völlig nebensächlich, ob du für deine T00lz Kohle
> haben willst oder nicht.
Wenn Du das so siehst, bitte. Wegen Signature, die wechselt zwischen
zwei Varianten, wie Du siehst, wenn Du meine Postings in diesem Thread
nochmal liest ;-) Allerdings ist der Randomizer vielleicht noch
optimierungswuerdig ;-)
Fefe, ich unterstelle Dir doch auch nicht, Du wuerdest glibc schlecht
machen, nur weil Du an dietlibc arbeitest.
> Allerdings darf man als Nicht-Administrator unter eTNe immer noch mehr
> als unter Linux:
>
> ~$ mkdir /usr/test
> mkdir: cannot create directory `/usr/test': Permission denied
>
> <redirect stdin/stout/stderr to/from finger mode=gedächtnis>
> c:\Programme> mkdir test
> c:\Programme> cd test
> c:\Programme\test
Man kann bei WinNT/2k auch Rechte vegeben, schonmal davon
gehört? ;-)
http://cert.uni-stuttgart.de/ms.php Punkt 2-5
> wobei allerdings c:\Programme nicht im Path steht.
Richtig, aber das darf ein User scheinbar ändern. Ob das aber
ein um-melden zum Admin üerlebt, will ich jetzt nicht probieren.
> Aber jedenfalls darf
> man ziemlich viel Müll installieren, und man darf (gerade ausprobiert)
> in HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Current Version\Run neue
> Einträge anlegen.
Man kann auch dafür entsprechende Rechte vergeben bzw. nehmen.
mfG Paul
> > Hier ist die detaillierte Beschreibung in welcher Reihenfolge
> > Windows die Directories beim Starten eines Prozesses durchsucht:
>
> Nein, es geht darum, wo das OS Befehle sucht. Wenn man als Superuser
> unterwegs ist, dann sollte das aktuelle Arbeitsverzeichnis nicht im
> Suchpfad stehen. Warum nicht? Beispiel:
> su -c "cd /tmp && ls /usr/bin"
>
> Dummerweise hat aber der User heinz ein Skript namens ls in /tmp
> abgelegt, welches "rm -rf /" ausführt...
Gerade unter W2K probiert: in \temp eine dir.bat angelegt, nach \temp
gewechselt, dir aufgerufen - es wird _nicht_ dir.bat ausgeführt, sondern
das richtige Kommando. Wohl aber unixlike .\dir.
Wahrscheinlich ist dir ein builtin, das von cmd.exe vor allen externen
Befehlen ausgeführt wird.
Rainer
> C:\temp\> dir
> DEBUG: DIR-virus aktiviert - starte cmd-intarnal dir routine:
>
> Volume in drive C is NEWC
> Volume Serial Number is 1B5B-1BDD
> Directory of C:\TEMP
>
> . <DIR> 11-28-99 9:52p .
> .. <DIR> 11-28-99 9:52p ..
> OTHER-~1 312,728 06-30-99 7:50a Other-Stuff
> DIR EXE 12,887 12-02-01 6:38p dir.exe
> 2 file(s) 325,615 bytes
> 2 dir(s) 420,184,064 bytes free
Bei Dir ist irgendwas anders.
C:\WINNT>path
PATH=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem
C:\WINNT>copy notepad.exe dir.exe
1 Datei(en) kopiert.
C:\WINNT>cd..
C:\>dir
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 006B-F57F
Verzeichnis von C:\
18.10.2001 21:16 <DIR> Dokumente und
Einstellungen 25.11.2001 21:16 <DIR> Programme
03.12.2001 19:07 <DIR> Temp
03.12.2001 21:42 <DIR> WINNT
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 11.219.705.856 Bytes frei
C:\>cd winnt
C:\WINNT>dir
Datenträger in Laufwerk C: hat keine Bezeichnung.
Datenträgernummer: 006B-F57F
Verzeichnis von C:\WINNT
03.12.2001 21:42 <DIR> .
03.12.2001 21:42 <DIR> ..
10.12.1999 13:00 51.472 dir.exe
[...]
75 Datei(en) 4.409.483 Bytes
28 Verzeichnis(se), 11.219.705.856 Bytes frei
C:\WINNT>dir.exe
startet notepad
mfG Paul
Nun mach hier mal keine fadenscheinigen Ausflüchte. Du hast hier so
getan, als ginge von Viren für Linux eine Bedrohung aus, weil
traditionelle Features von Viren, die Signatur-Erkennung von Antiviren
scheitern lassen, deiner Ansicht nach auch unter Linux realisierbar
seien.
Und du bist Hersteller einer Antivirus-Wrappersoftware und eines
Antivirus, hast also ein direktes Interesse daran, Leute dazu zu
bringen, dein Produkt einzusetzen.
Das ist unredlich, da gibt es nichts zu deuteln. Ob du jetzt konkret
gesagt hast "Viren werden eure Erstgeborenen töten, wenn ihr nicht meine
Software benutzt" oder ob das subtiler stattfindet ist irrelevant.
Schleichwerbung ist Werbung. Da gibt es nichts zu diskutieren. Dein
Winden hier ist noch erbärmlicher als die bloße Tatsache, daß es
überhaupt Anlaß zu diesem Teilthread gibt.
> > Aber wenn du wissen willst, wie ich mich mit Viren, Linux und ELF
> > auskenne, frage google.
> Habe ich Dir Kompetenz abgesprochen? Sind wir hier in einem
> persoenlichen Wettstreit?
Ich zitiere:
> Gut, daß du auf dem Gebiet nicht nur eine anerkannte Autorität bist,
> sondern auch weltweiten Ruf aus Linux-, Elf- und Viren-Koriphäe
> genießt und daher deine Aussage außerordentliches Vertrauen
> genießen... NOT.
Ah, aber Du bist es, ja ?! :-)
Die Antwort ist also: Ja.
> > Klar. Man möge nur in deine Signature schauen, um sich zu
> > vergegenwärtigen, welches Interesse du daran haben könntest, Viren-Panik
> > unter Linux-Usern zu schüren.
> Die VHM hilft Usern _ehrenamtlich_ bei Virenproblemen. AMaViS wird von
> den AMaViS Entwicklern in Ihrer Freizeit mehr oder minder "just for fun"
> entwickelt. Und AMaViS adressiert die Linux-Viren-Problematik ueberhaupt
> nicht! OpenAntiVirus.org ist ein non-kommerzielles Projekt, so arbeite
> ich z.B. an samba-vscan ebenfalls in meiner Freizeit. Genauso wie Kurt
> an PatternFinder / ScannerDaemon.
Und? Wenn du bei Symantec mal nachfragst, wie viel Kohle die mit ihren
Antiviren machen, dann ist das auch nicht viel. Das machen sie, um
einen besseren Namen zu kriegen, damit man ihnen ihre inkompetente
Sicherheitsberatung abkauft.
Welche Hintergedanken du hast interessiert mich nicht. Fakt ist, daß du
hier Werbung für eine Software machst, indem du versuchst, eine diffuse
Gefahr herbeizureden, und dich selbst schnell als Experte für die
Beseitigung des "Problems" darstellst. Immerhin bist du ja Experte
genug, das "Problem" vor allem anderen messerscharf erkannt zu haben...
> > Na wie sonst soll man die Behauptung "die ganzen Virenmethoden von DOS
> > gehen auch unter Linux" denn verstehen, wenn in der Signature steht, daß
> Ich gehe einfach mal davon aus, dass es _technisch_ machbar ist. Mehr
> habe ich damit nicht gesagt.
Tolle Argumentation. Wenn morgen bekannt würde, daß Amavis als
DDoS-Tool benutzt werden könnte, würde daraus deiner Meinung nach auch
nichts weiter folgen oder wie?
> > du zufällig auch Lösungen gegen Viren anbietest?!
> Mit AMaViS und samba-vscan verdienen hoechtens die kommerziellen
> AV-Hersteller, aber nicht ich bzw. der Rest der AMaViS / OAV Crew! Der
> vollstaendigkeit halber sei erwaehnt, dass meine Entwicklunsarbeit fuer
> AMaViS seit einiger Zeit teilweise von einem Linux-Distributor
> gesponsort wird. Und? Hast Du jemals Hype-PR a la "AMaViS schuetzt sie
> zuverlaessig vor <insert-your-virus/worm-here> gesehen"? Wir versuchen
> eine halbwegs brauchbare Loesung fuer Leute zu entwicklen, die - aus
> welchen Gruenden auch immer - der Meinung sind dass das, was wir
> dazusammenbasteln, fuer sie nuetzlich ist :-) Ist das neuerdings etwas,
> wofuer man sich schaemen muss?
Für Software? Nein. Für das Herbeibeschwören diffuser Gefahrenquellen,
für die man selbst zufällig die Lösung vertreibt? Ja.
> > > > einem ihren Antiviren-Bullshit andrehen wollen :-(
> > > Wo habe ich hier jemand irgendwas angedreht?
> > Wenn du Oma Herta erzählst, daß Viren ihre Daten unter Linux bedrohen,
> > und weiter unten fallen läßt, daß du Antiviren entwickelst, dann ist das
> AMaViS ist kein AV-Software im eigentlichen Sinne. Und wer hat gesagt,
> dass AMaViS entwickelt wurde, um vor Linux-Viren zu schuetzen, nur weil
> es unter Linux/Unix laeuft?!? Wurde es nicht. Punkt. Das gleiche gilt
> fuer PatternFinder / ScannerDaemon.
Behauptest du hier gerade, daß Amavis prinzipbedingt nur Windows-Viren
erkennen kann?
> Fefe, ich unterstelle Dir doch auch nicht, Du wuerdest glibc schlecht
> machen, nur weil Du an dietlibc arbeitest.
Ich finde glibc schlecht, das ist kein Geheimnis.
Aber ich erzähle Leuten nicht, daß ihre Daten verloren gehen können,
wenn sie glibc verwenden.
Felix
[cut]
> > Habe ich Dir Kompetenz abgesprochen? Sind wir hier in einem
> > persoenlichen Wettstreit?
>
> Ich zitiere:
[cut]
> Ah, aber Du bist es, ja ?! :-)
>
> Die Antwort ist also: Ja.
Mind the Smiley! Egal, ich ziehe diesen Satz zurueck. Im Nachhinhein
betrachtet koennte dieser Satz als persoenlicher Angriff gegen Dich
gewertet werden und das war nicht beabsichtigt.
[cut]
> > AMaViS ist kein AV-Software im eigentlichen Sinne. Und wer hat gesagt,
> > dass AMaViS entwickelt wurde, um vor Linux-Viren zu schuetzen, nur weil
> > es unter Linux/Unix laeuft?!? Wurde es nicht. Punkt. Das gleiche gilt
> > fuer PatternFinder / ScannerDaemon.
>
> Behauptest du hier gerade, daß Amavis prinzipbedingt nur Windows-Viren
> erkennen kann?
Nein, das behaupte ich nicht. Und, um genau zu sein, AMaViS an sich
findet ueberhaupt keinen Virus, weil es nur eine Art Interface zwischen
MTA und einem Virenscanner ist.
> > Fefe, ich unterstelle Dir doch auch nicht, Du wuerdest glibc schlecht
> > machen, nur weil Du an dietlibc arbeitest.
>
> Ich finde glibc schlecht, das ist kein Geheimnis.
> Aber ich erzähle Leuten nicht, daß ihre Daten verloren gehen können,
> wenn sie glibc verwenden.
Ich erzaehle Leute nicht, dass unter Linux einen Virenschwemme zu
erwarten ist. Ich erzaehle Leuten nicht, dass sie ohne AMaViS in einer
(Linux-)Virenschwemme untergehen und auch nicht, dass ihre Daten
verloren gehen koennten.
Zusammengefasst:
a) ich habe behauptet, dass es z.Z. einige proof-of-concept-Viren fuer
Linux gibt, die verschiedene Infektionsmethoden implementieren. Das ist
Fakt. Den Source-Code und entsprechende Texte gibts im Internet.
b) ich habe behauptet, dass Stealth/Polymorphismus und aehnliches, das
bereits von DOS-Viren bekannt ist,
in Win32- und auch Makro-Viren wieder realisiert wurde. Auch das ist
Fakt.
c) meiner persoenlichen Meinung nach, wird es frueher oder spaeter auch
proof-of-concept-Viren geben, die unter b) gesagtes implementieren. Das
mag eintreffen oder auch nicht. Man mag sich meiner Meinung anschliessen
oder auch nicht.
Thread closed. Es moege sich bitte jeder seine eigene Meinung bilden.
Wenn mir jemand diese mitteilen moechte oder sonstiger Diskussionsbedarf
besteht, dann bitte _nur_ per Mail. Danke.
cheers, Rainer
--
>> Dumm nur, dsa der Administrator unter Windos den "." ganz vorne
>> im executeable-Suchpfad hat, unter unix genau garnicht.
>> Das ist nur eine von vielen vielen design-flaws von Windows
>> (allen versionen) (convenience over security)
> Ich kann die Aussage gerade nicht ganz nachvollziehen, wo hier das Problem
> liegt. Hier ist die detaillierte Beschreibung in welcher Reihenfolge Windows
> die Directories beim Starten eines Prozesses durchsucht:
>
> 1. The directory from which the application loaded.
> 2. The current directory for the parent process.
>
> Der Suchpfad ist das letzte aller durchsuchten Verzeichnisse und es gibt
> keinen Hinweiß darauf, daß es beim User oder beim Administrator
> unterschiedlich behandelt wird.
Welchen Teil von 1 und 2 hast du nicht verstanden?
Sebastian
--
Dieser Artikel ging an folgende Newsgroups: de.comp.security.misc
Er wurde am Dienstag, dem 04. Dezember im Jahre des Herrn 2001 verfaßt.
> Hi Juergen,
>
> > Dumm nur, dsa der Administrator unter Windos den "." ganz vorne
> > im executeable-Suchpfad hat, unter unix genau garnicht.
>
> > Das ist nur eine von vielen vielen design-flaws von Windows
> > (allen versionen) (convenience over security)
>
> Ich kann die Aussage gerade nicht ganz nachvollziehen, wo hier das Problem
> liegt. Hier ist die detaillierte Beschreibung in welcher Reihenfolge Windows
> die Directories beim Starten eines Prozesses durchsucht:
>
> 1. The directory from which the application loaded.
>
> 2. The current directory for the parent process.
>
[...]
> 5. The directories that are listed in the PATH environment variable.
>
> Der Suchpfad ist das letzte aller durchsuchten Verzeichnisse und es gibt
> keinen Hinweiß darauf, daß es beim User oder beim Administrator
> unterschiedlich behandelt wird.
Der effektive Pfad ist die ganze von dir angegebene Liste, und darin ist
eben das Arbeitsverzeichnis ganz vorne. Und in diesem kann
möglicherweise jeder, zumindest aber der unvorsichtige User selbst
beliebige Dateien ablegen.
Unter UNIX (sofern vernünftig konfiguriert) müssen dagegen die binaries
in /[s]bin und /usr/[s]bin verändert werden, um root ein fremdes
Programm unterzuschieben. MAW: Das System muss kompromittiert sein,
während unter Windows User Access ausreicht.
Gruß, Frank
> "Frank Fürst" <ffr...@rz.uni-potsdam.de> schrieb...
>
[...]
> Man kann bei WinNT/2k auch Rechte vegeben, schonmal davon
> gehört? ;-)
Ja, aber in der Standardkonfiguration bei NT hat der User immer noch zu
viele Schreibrechte. Und ich zweifle, dass das bei Win2K oder XP
wesentlich anders sein soll.
> > wobei allerdings c:\Programme nicht im Path steht.
>
> Richtig, aber das darf ein User scheinbar ändern. Ob das aber
> ein um-melden zum Admin üerlebt, will ich jetzt nicht probieren.
Nein, der user darf nur seinen User-Path ändern; den System-Path kann
nur der Admin ändern.
> > Aber jedenfalls darf
> > man ziemlich viel Müll installieren, und man darf (gerade ausprobiert)
> > in HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Current Version\Run neue
> > Einträge anlegen.
>
> Man kann auch dafür entsprechende Rechte vergeben bzw. nehmen.
Und irgendwann geht dann nichts mehr. Vielleicht ist in den 2500 Seiten
Technische Referenz ja dokumentiert, was man verbieten kann, ohne die
Benutzbarkeit zu beschränken. Wenn man die aber nicht hat, dann ist man
auf Trial-and-Error angewiesen und erfährt noch nicht mal sauber, woran
es liegt, wenn etwas schief geht.
Gruß, Frank
> Paul Muster <paul....@gmx.net> schrieb:
>
> > "Frank Fürst" <ffr...@rz.uni-potsdam.de> schrieb...
> >
> [...]
> > Man kann bei WinNT/2k auch Rechte vegeben, schonmal davon
> > gehört? ;-)
>
> Ja, aber in der Standardkonfiguration bei NT hat der User immer noch zu
> viele Schreibrechte. Und ich zweifle, dass das bei Win2K oder XP
> wesentlich anders sein soll.
Ich muss mich korrigieren: Normalerweise. Heute morgen hatte ich ein
c:\temp voller Dateien, die auch der Administrator nicht löschen durfte,
auch für den "Sicherheit"-Dialog, in dem man die Berechtigungen ansehen
und ändern kann, gab es einen "Zugriff verweigert"-Fehler.
Nach einem
>rm *.tmp
rm: Der Befehl ist nicht vorhanden oder falsch geschrieben
> del *.tmp
>
waren sie aber weg. So viel zum Thema Zuverlässigkeit und Stabilität der
Klicki-Bunti-Tools.
Gruß, Frank
Das ist unter Win2k mit NTFS und Standardeinstellungen
nicht möglich.
> wobei allerdings c:\Programme nicht im Path steht.
irrelevant
> Aber jedenfalls darf man ziemlich viel Müll installieren,
> und man darf (gerade ausprobiert) in HKEY\LOCAL_MACHINE\
> SOFTWARE\Microsoft\Current Version\Run neue Einträge anlegen.
Unter NT4 ja, unter Win2k nein.
ciao
- JP -
Vielleicht ist er im Debug-Modus hochgefahren. (?)
Das wäre dann ein fauler Trick ;)
ciao
- JP -
ACK
> Und ich zweifle, dass das bei Win2K oder XP
> wesentlich anders sein soll.
Dann hast du nie mit Win2k gearbeitet. (False authority Syndrome?)
HAND
- JP -
Nicht wirklich. Aber ich habe gehört, dass an der Fakultät ein
CIP-Pool-Betreuer wochenlang daran gearbeitet hat, den normalen Usern
auf den Pool-Rechnern das CD-Brennen zu erlauben (wofür immer das gut
sein soll, die Brenner waren eingebaut).
Schön, wenn es sich verändert hat.
Gruß, Frank