Kommentar: Der erste gefährliche Linux-Virus kommt

RollerChris

R.I.P.
Der aktuelle ptrace-Bug im Linux-Kernel könnte ungeahnte Folgen haben und die Linux-Gemeinde einer lange gepflegten Illusion berauben: Auch wenn bereits erste Linux-Viren gesichtet wurden, gehen viele Linux-Benutzer immer noch davon aus, dass wirklich gefährliche Viren eine reine Windows-Plage sind. Sie selbst fühlen sich durch das von Haus aus sichere (Betriebs-)System quasi immun. Aber das ist ein Irrtum.

Neben der geringeren Verbreitung schützt vor allem das konsequent umgesetzte Multiuser-Konzept Linux-Rechner vor Schäden wie dem Formatieren der Festplatte. Denn im Normalfall arbeitet man als normaler Anwender am System. Selbst wenn man dabei einen Virus ausführt, kann der nur auf die Daten zugreifen, auf die man selbst Zugriffsrechte hat. Wenn ein Virus alle meine Dateien löscht, ist das zwar schlimm genug. Da ich aber die wichtigen Sachen gesichert habe, kann ich relativ schnell wieder weiterarbeiten.

Der ptrace-Bug hebelt diesen Schutzmechanismus aus; das betrifft die Mehrheit aller im Moment laufenden Linux-Systeme. Da seine Beseitigung einigen Aufwand erfordert, kann man getrost davon ausgehen, dass auch in einigen Monaten immer noch ein beträchtlicher Teil der Linux-Rechner verwundbar sein wird. Ich rede hier nicht von hoffentlich gut administrierten Servern oder Firewalls (obwohl auch da Zweifel angebracht sind), sondern von den sich mittlerweile schnell verbreitenden Desktop-Systemen mit Linux. Wer installiert heute schon noch regelmäßig auf seinem Linux-Arbeitsplatzrechner einen neuen Kernel? Vom selber Übersetzen ganz zu schweigen.

Des weiteren gibt es einen funktionierenden Demo-Exploit, der im Quellcode vorführt, wie man Befehle mit Root-Rechten ausführen kann. Da ist es nur noch ein gefährlich kleiner Schritt zu einem Virus, der nach einem falschen Mausklick die Festplatte formatiert.

Zugegeben: um das in einen Virus zu integrieren, muss man den eingebauten Shellcode ändern, was zumindest Asssembler-Kenntnisse erfordert. Wie beispielsweise Nimda eindrücklich gezeigt hat, gibt es aber immer noch Virenschreiber, die zu mehr im Stande sind, als Schädlinge mit einem Virenbaukasten und der Maus zusammenzuklicken. Und wenn der "Ruhm" winkt, als erster einen wirklich gemeingefährlichen Linux-Virus entwickelt zu haben und damit durch die Schlagzeilen zu ziehen, schlägt sich womöglich mancher gerne ein paar Nächte um die Ohren.

Auch dieser Kommentar wirft sicher wieder die Frage auf, ob ich damit nicht die falschen Leute auf falsche Ideen bringe. Die Gefahr besteht tatsächlich, doch ich betrachte sie als das kleinere Übel. Denn der erste wirklich gefährliche Linux-Schädling wird kommen -- ob mit oder ohne diesen Artikel. Und wenn nicht mit dem ptrace-Bug, dann mit einer der zukünftig auftauchenden Linux-Sicherheitslücken. Je früher dieses Wissen zum Allgemeingut wird, desto geringer wird die Überraschung -- und damit auch hoffentlich der Schaden -- ausfallen.

Wer seinen eigenen Linux-Rechner jetzt patchen möchte, kann dabei durch eigene Erfahrung auch gleich die Legende von der beim Beseitigen von Sicherheitsproblemen so viel schnelleren Linux-Gemeinde relativieren. Für den aktuellen Linux-Kernel 2.4.20 gibt es noch keinen offiziellen Patch. Lediglich Red Hat bietet bereits ein Security-Advisory an, das auf entsprechende Updates verweist. Auf den Sicherheitsseiten von SuSE, Mandrake und Debian, bleibt der Rat suchende Linuxer hingegen sich selbst überlassen.

Natürlich wollen weder die Kernel-Maintainer noch die Distributoren voreilig einen ungetesteten Patch verbreiten. Und sorgfältige Tests brauchen eben Zeit (die man dann übrigens bei nächster Gelegenheit auch Microsoft zugestehen sollte). Es wäre jedoch trotzdem wünschenswert, dass die Distributoren auch schon vor der Freigabe eines offiziellen Patches ihren Kunden mit entsprechenden Hinweisen und Workarounds helfen. Dabei könnten sie zum Beispiel auf den in der Testphase befindlichen Patch für den Kernel 2.4.20 von Alan Cox verweisen. (Jürgen Schmidt)/ (ju/c't)
 
Naja, naja. Sicherheitslücken aufgrund von Bugs gabs schon immer und wird es auch immer geben und das natürlich auch bei Linux. Jetzt großes Aufheben um einen Virus zu machen, der noch nicht einmal geschrieben ist, finde ich ein wenig unsachlich. Die Erfahrung mit den Würmern, die Apache befallen haben, bzw. eine Sicherheitslücke bei OpenSSL ausgenutzt haben, hat gezeigt, das Linux-Nutzer eher dazu neigen Sicherheitsupdates einspielen, denn die Würmer erreichten keine nennenswerte Verbreitung (im Gegensatz zu beispielsweise Code Red auf Windows-Systemen). In wenigen Tagen gibt es gepatchte Kernel von den Distributoren und gut ist...
 
Penny bekommt bald ein neues Userpic von mir ;)

Troll.jpg
 
Sie selbst fühlen sich durch das von Haus aus sichere (Betriebs-)System quasi immun.
Wer seinem $SYSTEM vertraut und nicht seinem verstand, soll Linux deinstallieren und sich zu windows verpissen.

Da ist es nur noch ein gefährlich kleiner Schritt zu einem Virus, der nach einem falschen Mausklick die Festplatte formatiert.
Ich kenne kein programm unter linux, das automatisch irgendeinen dünnschiss ausführt.

Und wenn der "Ruhm" winkt, als erster einen wirklich gemeingefährlichen Linux-Virus entwickelt zu haben...
...wäre kein Ruhm. Das ist afaik etwa der 5. Virus.

SCNR
dev
 
Es gibt ja schon seit längerer Zeit auch nette Viren-Baukästen für Linux

für die Script-Kiddies... :D
 
Der Kommentar von RollerChris ist lobenswert:

1. Könnte doch die Neigung bestehen, dieses Risiko wegen der weniger
als 100 reinen Linux-Viren zu vernachlässigen. Und zZ ist noch nicht
mal auszumachen, wie dieser Exploit ausgenutzt werden könnte, also
sind auch aktuell gehaltene Virenprüfer momentan machtlos -
daher bleibt als Abwehrstrategie nur diszipliert ausreichend Daten-
sicherungen zu schreiben.

REM Das ist schon wegen anderer Restrisiken unverzichtbar - letzte
Woche führte mein Grub-Loader nach Klick auf Suse8.1 ohne jeden
Fehlerhinweis dauerhaft nur noch zu einem schwarzen Bildschirm -
allerdings erstmalig nach sechs Monaten Linux-Nutzung. Mein Verdacht
fiel auf eine korrupte menu.lst (Win98SE war ok.) - da aber auf dem PC
weitere 90.000 Dateien in der Linux-Partition gespeichert sind, hatte
ich nicht Lust, genauer zu suchen :D - sondern habe in 15 Minuten
die letzte Wochensicherung drübergezogen und alles ist gut. :)
PS: Die Problemaufarbeitung war natürlich ein unbefriedigender
Schnellschuss - 'Hauptsache es lief wieder.' Am Wochenende habe
ich daher eine freie Partition angelegt, auf die dann künftig zwecks
Nach-Analyse eine korrupte Linux-Partition kopiert würde. An der
Linux-Partition hatte ich übrigens in den letzten beiden Wochen
(bewusst) nichts geändert.

2. Damit sich auch Linux-Viren ausbreiten können, ist ein gewisser
Nährboden an fehlendem Sicherheitsbewusstsein und risikofreudigem
Surfen notwendig - somit dürfte die Gefahr einer Massenepidemie
deutlich reduziert sein gegenüber MS-Exploits.
 
Und hier Kommentare von einem anderen Board:

Was für'n Virus, hab ich was verpaßt?
Der ptrace Bug ist natürlich etwas ... äh ... unschön. Aber wenn
auf meinem System jemand eine Shell hat, ist er ohnehin schon
eingedrungen. Daher warte ich einfach in Ruhe ab, bis ein Patch
erscheint. Dürfte ja hoffentlich nicht mehr lange dauern.
-----
Naja, für mich ist das (leider) ein neuer Tiefpunkt bei Heise. Nicht
nur daß ein "Kommentar" in den Newsticker gestellt wird - dieser ist
auch noch einfach schlecht. Der Kommentator scheint nicht viel
Ahnung zu haben - auch wenn er schon etliche Artikel über Linux
in der c't verfaßt hat. Mit seiner Story jetzt hat er weder sich
noch Heise einen Gefallen getan...
 
Zum Beheben des ptrace-Bugs hat Suse.de aktuell einen neuen Kernel bereitgestellt.
Somit dürfte dieser Bug-Fix auch bereits in Suse8.2 (Anf.April) berücksichtigt sein.
 
. Damit sich auch Linux-Viren ausbreiten können, ist ein gewisser Nährboden an fehlendem Sicherheitsbewusstsein und risikofreudigem Surfen notwendig - somit dürfte die Gefahr einer Massenepidemie deutlich reduziert sein gegenüber MS-Exploits.

...aber nur so lange, bis solche Leute wie ich auf Linux umsteigen können - wenn Linux für DAUs überhaupt jemals so einfach zu handhaben sein wird wie Windows.

So lange "nicht-Systembastler" durch die relativ komplexe Installation und Instandhaltung von der Linux Benutzung abgehalten werden, wird es wenig erfolgreiche Viren geben - mit erfolgreich meine ich: Viren die sich für längere Zeit ungehindert ausbreiten können, weil sich niemand Gedanken um die Sicherheit seines Systems gemacht hat.

Ansonsten:
Was kümmern mich (persönlich) Viren?
Seit meinem letzten Virus im Jahre 1997 - das war mein 4. überhaupt und die meisten kamen auf Diskette - hatte ich keinen einzigen mehr und selbst der hatte bei mir keinen Schaden anrichten können - trotz Windows 9x als Betriebssystem...
 
Oben