1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Linux-Desktops brauchen…

Bei Ubuntu ist man root, ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Bei Ubuntu ist man root, ...

    Autor: kaymvoit 02.08.17 - 15:09

    ... sobald man den Userspace des Hauptbenutzers infiziert hat. Danach ist es nur noch eine Frage der Zeit, bis man für ein Update das sudo-Passwort abfangen kann.
    Der Desktop bräuchte dringend eine gesicherte Inputumgebung für sowas, auf die der sonstige Kontext des users keinen Zugriff hat.

  2. Re: Bei Ubuntu ist man root, ...

    Autor: Nachtschatten 02.08.17 - 19:40

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > ... sobald man den Userspace des Hauptbenutzers infiziert hat. Danach ist
    > es nur noch eine Frage der Zeit, bis man für ein Update das sudo-Passwort
    > abfangen kann.
    > Der Desktop bräuchte dringend eine gesicherte Inputumgebung für sowas, auf
    > die der sonstige Kontext des users keinen Zugriff hat.
    Mögliche Gegenmaßnahmen?

  3. Re: Bei Ubuntu ist man root, ...

    Autor: Anonymer Nutzer 02.08.17 - 20:02

    das gibt es durchaus mit wayland.

  4. Re: Bei Ubuntu ist man root, ...

    Autor: icked 02.08.17 - 21:34

    Gegenmaßnahme 1: Strg+Alt+F1 (oder F2, ... F6), alle Befehle mit sudo nur dort ausführen (z.B. sudo apt-get update && apt-get upgrade)

    Gegenmaßnahme 2: Wayland einsetzen. Am einfachsten aktuelles Fedora mit Gnome nehmen oder KDE-Neon-dev (Wayland da noch beta, und muss meines Wissens explizit aktiviert werden). Wayland sollte aber auch schon mit dem nächstem Ubuntu Release kommen.

  5. Re: Bei Ubuntu ist man root, ...

    Autor: lear 03.08.17 - 08:50

    Bessere Eingabeboxen sichern sich exklusiven Zugriff per XGrabKeyboard - 100% Sicherheit bietet das aber nicht, aber es gibt Möglichkeiten XQueryKeymap (Hauptproblem) ins Leere laufen zu lassen. Problematisch ist auch, wenn der Displayserver im Userkontext läuft (ptrace)

    Und auch hier Vorsicht vor dem "seligmachenden" Wayland: ein Selbstläufer ist das keinesfalls; schon gar nicht bei den ggw. immer wieder auftretenden libinput bugs (wo die Eingabe dann einfach mal an alle VTs gleichzeitig geht)
    Die Architektur entspricht eher dem keyboard grab als Standard und was wayland an Schlankheit bietet, gleichen dei zunehmend übefrachteten Compositor wieder aus :-(
    (Vermutlich nur eine Frage der Zeit, bis einer das keyboard polling implementiert)


    Eine generelle Strategie gegen keylogger ist burying - die Anwendung generiert einfach einen Wust an falschen Eingaben (auf Kernelebene, alles andere bringt nichts) und filtert sie wieder heraus. Der logger hat dann alle wesentlichen Tastaturanschläge in der richtigen Reihenfolge ... mit ein paar tausend zufälligen dazwischen ;-)
    (Auch dabei sind die Details wichtig, weil Menschen die Passworteingabe zeitlich halbwegs reproduzierbar hinkriegen werden, was die Mustersuche erleichtert)

  6. Re: Bei Ubuntu ist man root, ...

    Autor: Nachtschatten 03.08.17 - 11:26

    lear schrieb:
    --------------------------------------------------------------------------------
    > Bessere Eingabeboxen sichern sich exklusiven Zugriff per XGrabKeyboard -
    > 100% Sicherheit bietet das aber nicht, aber es gibt Möglichkeiten
    > XQueryKeymap (Hauptproblem) ins Leere laufen zu lassen. Problematisch ist
    > auch, wenn der Displayserver im Userkontext läuft (ptrace)
    >
    > Und auch hier Vorsicht vor dem "seligmachenden" Wayland: ein Selbstläufer
    > ist das keinesfalls; schon gar nicht bei den ggw. immer wieder auftretenden
    > libinput bugs (wo die Eingabe dann einfach mal an alle VTs gleichzeitig
    > geht)
    > Die Architektur entspricht eher dem keyboard grab als Standard und was
    > wayland an Schlankheit bietet, gleichen dei zunehmend übefrachteten
    > Compositor wieder aus :-(
    > (Vermutlich nur eine Frage der Zeit, bis einer das keyboard polling
    > implementiert)
    >
    > Eine generelle Strategie gegen keylogger ist burying - die Anwendung
    > generiert einfach einen Wust an falschen Eingaben (auf Kernelebene, alles
    > andere bringt nichts) und filtert sie wieder heraus. Der logger hat dann
    > alle wesentlichen Tastaturanschläge in der richtigen Reihenfolge ... mit
    > ein paar tausend zufälligen dazwischen ;-)
    > (Auch dabei sind die Details wichtig, weil Menschen die Passworteingabe
    > zeitlich halbwegs reproduzierbar hinkriegen werden, was die Mustersuche
    > erleichtert)
    Kann man nicht die .desktop dateien die (z.B. bei Unity) in der linken Leiste sind ändern? Sodass nicht das echte terminal sondern ein terminal mit keyloggern gesatartet wird?

  7. Re: Bei Ubuntu ist man root, ...

    Autor: icked 03.08.17 - 12:38

    Nachtschatten schrieb:

    > Kann man nicht die .desktop dateien die (z.B. bei Unity) in der linken
    > Leiste sind ändern? Sodass nicht das echte terminal sondern ein terminal
    > mit keyloggern gesatartet wird?

    Das geht sicher auch unter Wayland.

    Was man sonst noch tun könnte: Zwei Benutzerkonten mit zwei verschiedenen Passwörtern anlegen, von denen eines nur für administrative Aufgaben benutzt wird, so wie damals unter Windows XP :) Zwischen verschiedenen Benutzern isoliert auch X11, insofern müsste man nicht auf Wayland warten. Sicherheitshalber die Schreibrechte in /home/user überprüfen.



    1 mal bearbeitet, zuletzt am 03.08.17 12:49 durch icked.

  8. Re: Bei Ubuntu ist man root, ...

    Autor: lear 03.08.17 - 12:58

    Das wäre ein klassischer Trojaner und hat nichts mehr mit Eingabesicherheit zu tun.

    Gegen Trojaner sichert man sich aber relativ einfach, indem /home noexec gemounted wird und die Script-Interpreter die Ausführung ohne x-bit oder aus unzuverlässigen Pfaden verweigern (die Falle hier ist, wenn irgendwas ausführbahres rumlungert, dem man eine beliebigen Pfad zum sourcen unterschieben kann)

  9. Re: Bei Ubuntu ist man root, ...

    Autor: icked 03.08.17 - 13:14

    lear schrieb:
    --------------------------------------------------------------------------------
    > Gegen Trojaner sichert man sich aber relativ einfach, indem /home noexec
    > gemounted wird und die Script-Interpreter die Ausführung ohne x-bit oder
    > aus unzuverlässigen Pfaden verweigern (die Falle hier ist, wenn irgendwas
    > ausführbahres rumlungert, dem man eine beliebigen Pfad zum sourcen
    > unterschieben kann)

    noexec ist besser als nichts, aber allzu sicher fühlen sollte man sich damit nicht (wie du auch selbst sagst):
    python /home/user/trojaner.py zum Beispiel funktioniert immer

  10. Re: Bei Ubuntu ist man root, ...

    Autor: lear 03.08.17 - 14:54

    icked schrieb:
    --------------------------------------------------------------------------------
    > python /home/user/trojaner.py zum Beispiel funktioniert immer

    > lear schrieb:
    > ---------------------------------------------------------------------------
    > > und die Script-Interpreter die Ausführung ohne x-bit oder aus unzuverlässigen Pfaden verweigern

    :-P
    Ob insbes. python das ootb kann, weiß ich aber so nicht.
    Grundsätzlich geht das nach kurzem Eingriff in den interpreter Quellcode aber natürlich immer ;-)
    Haarig wird es, wenn ein script irgendwas sourcen will, was es nicht soll - wg. "was es nicht soll™"; da bleibt dann echt nur die whitelist.

  11. Re: Bei Ubuntu ist man root, ...

    Autor: Teebecher 03.08.17 - 17:33

    Nachtschatten schrieb:
    --------------------------------------------------------------------------------
    > kaymvoit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... sobald man den Userspace des Hauptbenutzers infiziert hat. Danach
    > ist
    > > es nur noch eine Frage der Zeit, bis man für ein Update das sudo-Passwort
    >
    > > abfangen kann.
    > > Der Desktop bräuchte dringend eine gesicherte Inputumgebung für sowas,
    > auf
    > > die der sonstige Kontext des users keinen Zugriff hat.
    > Mögliche Gegenmaßnahmen?
    Root Account aktivieren.
    Administrative Sachen per ssh von einer 2. Kiste aus machen.

    Oder auf einer Text-Console als root einloggen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Method Park Holding AG, Erlangen
  2. Hays AG, Berlin
  3. Bundeskriminalamt, Wiesbaden
  4. Sanofi-Aventis Deutschland GmbH, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-58%) 16,99€
  2. 4,32€
  3. 20,49€
  4. (-66%) 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

  1. Half-Life: Testspieler schaffen 2 bis 3 Stunden Alyx am Stück
    Half-Life
    Testspieler schaffen 2 bis 3 Stunden Alyx am Stück

    Virtual Reality kann anstrengend sein, das nur für VR geplante Half-Life Alyx soll aber Spaß machen - so viel, dass sich Spieler im Versuchslabor länger damit beschäftigen als vom Entwickler erwartet. Valve hat noch ein paar weitere neue Informationen zum Gameplay veröffentlicht.

  2. Soziales Netzwerk: Medienanstalt geht wegen Pornografie gegen Twitter vor
    Soziales Netzwerk
    Medienanstalt geht wegen Pornografie gegen Twitter vor

    Laut der Medienanstalt Hamburg/Schleswig-Holstein macht sich Twitter strafbar, indem es Profile nicht sperrt oder löscht, die pornografisches Material verbreiten. Ein entsprechendes Verfahren ist eingeleitet worden, es drohen ein Bußgeld und eine Untersagung.

  3. The Eliminator: Forza Horizon 4 bekommt Battle-Royale-Modus
    The Eliminator
    Forza Horizon 4 bekommt Battle-Royale-Modus

    Bis zu 72 Fahrer können an einem neuen Battle-Royale-Modus namens The Eliminator teilnehmen, den Microsoft kostenlos für das Rennspiel Forza Horizon 4 anbietet. Einzige Regel: möglichst lange überleben.


  1. 17:28

  2. 16:54

  3. 16:26

  4. 16:03

  5. 15:17

  6. 15:00

  7. 14:42

  8. 14:18