Linux-Malware-Attacke löst Diskussion um Sicherheit aus
Nachdem ein weiteres Paket(öffnet im neuen Fenster) mit dem kürzlich entdeckten Schadcode aufgetaucht war, begann eine Diskussion darüber, wie sich das Einschleusen schadhaften Codes unter Linux künftig verhindern lasse. Vor allem Server von Drittanbietern geraten gegenwärtig wegen ihrer laxen Sicherheitsbestimmungen ins Kreuzfeuer der Kritik.
Programmierer Mark Kretschmann vom Amarok-Projekt prescht mit einem Lösungsvorschlag vor, wie in Zukunft Softwarepakete auf Schadprogramme überprüft werden könnten. Er regt in seinem Blog(öffnet im neuen Fenster) die Einführung einer pflichtmäßigen Versionskontrolle (VCS) an. Software von Drittanbietern soll auf einem öffentlichen Server mit VCS abgelegt werden.
Laut Kretschmann ist Software unter Linux reell von eingeschleuster Malware bedroht, das gelte auch für KDE-Programme. Er habe dabei den Mediaplayer Amarok im Sinne, der das Ausführen von Skripts von Drittanbietern nicht nur zulässt, sondern ausdrücklich begrüßt. Die Idee einer Sandbox-Umgebung oder einer automatischen Schadcodeerkennung wurde schnell als zu kompliziert verworfen.
Der Vorschlag einer Kontrolle durch Projektmitglieder würde aus personaltechnischen Gründen nicht funktionieren, so Kretschmann. Zudem stellt sich die Frage der Verantwortung, sollte doch ein Malware-Skript durch die Kontrollen schlüpfen.
Durch die Versionskontrolle hingegen würde sich schnell herausstellen, wer den schadhaften Code in ein Paket geschleust hat und wann. Derjenige könnte dann in Zukunft vom Zugriff auf den VCS-Server ausgeschlossen werden. Zudem könnte Schadcode schnell aus sonst harmlosen Paketen entfernt werden.
Außerdem könnte auch die Anzahl verwaister Software reduziert werden. Hier geht Kretschmann von seinen Erfahrungen mit Skripts von Drittanbietern für den Mediaplayer Amarok aus. Er moniert, viele Skripts würden von ihren ursprünglichen Entwicklern nicht mehr gepflegt oder einfach von anderen übernommen und unter anderem Namen weiterentwickelt. Eine Versionskontrolle würde auch hier für einen Überblick sorgen.
Schließlich würde laut Kretschmann die Einführung einer Versionskontrolle die Qualität der eingereichten Software erhöhen. Sie würde den Programmierer dazu zwingen, eine Versionskontrollsoftware zu erlernen, etwa Subversion (SVN)(öffnet im neuen Fenster). Zwar sei die Software relativ einfach zu verstehen, dennoch sollen mit dieser Hürde unerfahrene Programmierer veranlasst werden, sich zunächst genauer mit der Softwareentwicklung zu beschäftigen.
Generell liegen Theme-Erweiterungen und ähnliche Software auf Servern wie gnome-look.org(öffnet im neuen Fenster) als gepackte Tar.gz-Archive vor. Die enthaltene Software sollte normalerweise von jedem Benutzer mit Userrechten in seinem eigenen Home-Verzeichnis entpackt werden. Damit reduziert sich der Effekt eines etwaigen Schadcodes zumindest auf Dateien im jeweiligen Home-Verzeichnis. Die Installation eines DEB- oder RPM-Pakets sollte immer aus den signierten Repositories der jeweiligen Distribution erfolgen, die sorgfältig überprüft wird.
Mit einem Blick in die Verzeichnisstruktur innerhalb eines Archivs kann zumindest ansatzweise festgestellt werden, ob ein enthaltenes Skript verdächtig ist, denn Themes oder Bildschirmschoner sollten keine Dateien in den Verzeichnissen /bin, /sbin, /usr/bin oder /usr/sbin ablegen. Dies jedoch ist kein Garantie, denn Skripts können mit den entsprechenden Rechten aus jedem Verzeichnis heraus gestartet werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.