Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Linux Mint: Gefälschtes Mint-Image mit Hintertür im Umlauf
- Ersteller fethomm
- Erstellt am
- Zur News: Linux Mint: Gefälschtes Mint-Image mit Hintertür im Umlauf
DaMoN1993
Commander
- Registriert
- Dez. 2006
- Beiträge
- 2.118
Angreifern ist es gelungen ein solcherart modifiziertes Image zu konstruieren, um die Webseite von Linux Mint unter ihre Kontrolle zu bringen und die Download-Links auf das manipulierte Image umzubiegen.
Dazu wurde eine Wordpress-Instanz gehackt, die dann den Zugriff auf das Verzeichnis www-data ermöglichte.
Wie genau konnte(n) der/die Hacker mit einer manipulierten ISO den Webserver hacken?
Der zweite Weg ist dabei zuverlässiger, da die Seiten von Linux Mint nicht per HTTPS ausgeliefert werden und somit die Md5-Hashes gefälscht sein könnten.
Was sollte es helfen, die Seite mit dem MD5-Hash über HTTPS auszuliefern? Weil HTTPS mir dann bestätigt, dass es auch sicher der Server ist, den der Hacker gehackt hat? Clement Lefebvre dazu:
http://blog.linuxmint.com/?p=2994&_utm_source=1-2-2#comment-124888
Doesn’t do much good to post hashes on a site that’s not served over TLS.
When will *.linuxmint.com go https only?
Edit by Clem: It’s planned and I’m hoping it’ll happen soon. Please note that this wouldn’t have helped here though. You’d be served the exact same hacked information via HTTPs.
Und weil hier gefragt wurde: Updates der Distribution sind sicher. Die Pakete sind GPG-Signiert. Nur die ISO zur erstinstallation ist betroffen. Selbst wenn Hacker Zugriff zum Repository ha(e)tten, würde das Update-Tool beim Aktualisieren eine Warnung anzeigen, dass die GPG-Signatur nicht verifiziert werden kann. Egal ob die Updates über HTTP oder HTTPS laufen.
Und meiner Meinung nach ebenfalls News-würdig: Die Hacker haben/hatten auch Zugriff auf das Forum. Angeblich steht die Datenbank zum verkauf: https://news.ycombinator.com/item?id=11143162 https://twitter.com/0xUID/status/701301535842684928
Edit: LinuxMint Blog Post zum Forum: http://blog.linuxmint.com/?p=3001
Zuletzt bearbeitet:
Trefoil80
Commodore
- Registriert
- Dez. 2009
- Beiträge
- 4.876
walker1973 schrieb:was ich Vermisse ist das mal jemand die MD5 und SHA256 Sums Postet das wäre für die User vielleicht nicht Schlecht um mal Ihre Images zu Überprüfen.
Falls jemand diese braucht habe ich die Dateien damit mal angehänkt für Mint 17.3
Hättest nicht machen brauchen...auf blog.linuxmint.com sind diese erwähnt:
"The valid signatures are below:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso"
crustenscharbap
Commodore
- Registriert
- Jan. 2008
- Beiträge
- 4.975
Danke, für die Info aber mein Linux Mint ist gottseidank clean.
Ich habe es mir vor ca 2 Wochen installiert. Als ich nach den Image im Internet gegooglet habe, kam ich auf einer Seite, die mir äußerst fragwürdig war. Da war auch so eine sehr hübche Dame und irgendwelche Werbung. Das kam mir überhaupt nicht Linux-artig vor.
Ich finde es eine unmöglich von Google, dass die nicht die Suchergebnisse auf gefälschte und korrupter Software filtern.
Andere Beispiele:
Die Links mir äußerster Vorsicht öffnen. Am Bestern unter Linux. Ich übernehme keine Verantwortung.
VLC Fake VLC richtig
Irfan View Fake IrfanView richtig
Ich bin neulich sogar auf ein gefälschtes Android gestoßen.
Ich fand es gut, dass Windows 10 von Hause aus erkennt, dass ich den gefälschen Irfan View runter geladen habe. Unter Win7 hätte ich mir 100% Malware raufgezogen. Das fällt selbst mir schwer zu erkennen, was korrupt ist.
Am Besten ist es unter Linux. Software Center öffnen => Installieren, fertig. Sicher und nicht Korrupt.
Ich habe es mir vor ca 2 Wochen installiert. Als ich nach den Image im Internet gegooglet habe, kam ich auf einer Seite, die mir äußerst fragwürdig war. Da war auch so eine sehr hübche Dame und irgendwelche Werbung. Das kam mir überhaupt nicht Linux-artig vor.
Ich finde es eine unmöglich von Google, dass die nicht die Suchergebnisse auf gefälschte und korrupter Software filtern.
Andere Beispiele:
Die Links mir äußerster Vorsicht öffnen. Am Bestern unter Linux. Ich übernehme keine Verantwortung.
VLC Fake VLC richtig
Irfan View Fake IrfanView richtig
Ich bin neulich sogar auf ein gefälschtes Android gestoßen.
Ich fand es gut, dass Windows 10 von Hause aus erkennt, dass ich den gefälschen Irfan View runter geladen habe. Unter Win7 hätte ich mir 100% Malware raufgezogen. Das fällt selbst mir schwer zu erkennen, was korrupt ist.
Am Besten ist es unter Linux. Software Center öffnen => Installieren, fertig. Sicher und nicht Korrupt.
Zuletzt bearbeitet:
C
computerfrust
Gast
Da lobe ich mir die alternative Suchmaschine duckduckgo. Dort steht an den Ergebnissen dran "Official Site", so dass man weiß, dass es kein Fake ist.
- Registriert
- Okt. 2012
- Beiträge
- 2.597
DaMoN1993 schrieb:Wie genau konnte(n) der/die Hacker mit einer manipulierten ISO den Webserver hacken?
Das ist etwas merkwürdig ausgedrückt, da hast Du Recht. Der Webserver wurde natürlich nicht mit dem gefälschten Image gahacked.
Termy schrieb:der effektivste Angriffsvektor ist immernoch der User
An der Stelle bietet Linux aber gegenüber Windows mehr nativen Schutz (wenn man von absoluten DAUs mal absieht) davor, einen Schädling tief ins System zu bekommen - klar ist aber auch, dass auch Linux angreifbar ist, wenn jemand bei jeder Abfrage ohne nachzudenken Root-Rechte verteilt ^^
Dass hier jetzt der DL einer Distri korrumpiert wurde ist natürlich schon bitter (und - hoffentlich - ist es schwerer, die Windows-Update-Server anzugreifen), aber zum einen höre ich da jetzt zum ersten mal von und zum anderen muss man ja sagen, dass die Reaktionszeit positiv schnell ist
was schliesst denn aus, das es bei linux weniger daus gibt wie bei windows? ich denke da nur an leute die z.b. einfach auf einen link klicken, obwohl der offensichtlich nicht von whats app ist(z.b. alleine die adresse war schon offensichtlich falsch)^^
Mr.Seymour Buds
Commodore
- Registriert
- Feb. 2012
- Beiträge
- 4.334
feidl74,
die DAUs sind zwar gleichverteilt, aber der weltweit verbreitete Schadcode ist nicht gleichverteilt. Der ist zu 99% für Windows.
die DAUs sind zwar gleichverteilt, aber der weltweit verbreitete Schadcode ist nicht gleichverteilt. Der ist zu 99% für Windows.
Jesterfox
Legende
- Registriert
- März 2009
- Beiträge
- 44.484
computerfrust schrieb:Dort steht an den Ergebnissen dran "Official Site", so dass man weiß, dass es kein Fake ist.
Blöd nur das es die "official Site" war die gehackt wurde und das manipulierte Image zum Download anbot...
Das ganze Zeigt aber das es auf Open Source Angriffsvektoren gibt mit denen man im ersten Moment nicht rechnet. Es gab ja auch schon Fälle von manipuliertem Sourcecode in der Sourceverwaltung. Man sollte immer Wachsam sein und die Augen offen halten...
Termy
Commodore
- Registriert
- Mai 2007
- Beiträge
- 4.960
feidl74 schrieb:was schliesst denn aus, das es bei linux weniger daus gibt wie bei windows? ich denke da nur an leute die z.b. einfach auf einen link klicken, obwohl der offensichtlich nicht von whats app ist(z.b. alleine die adresse war schon offensichtlich falsch)^^
Das meinte ich nicht, aber wenn eben ein DAU auf einen Link klickt kann die Malware nicht machen was sie will - ausser der DAU gibt auch noch das root-passwort bei der Abfrage ein
Natürlich gibt es auch DAUs die dann einfach das Passwort eingeben, aber Leuten, die vielleicht nicht Technik-Affin aber zumindest nicht völlig verblödet sind sollte dann doch was spanisch vorkommen, wenn "einfach so" ne Root-Abfrage kommt ^^
C
computerfrust
Gast
Ich weiß, das war nicht als Antwort auf den Artikel gedacht, sondern auf den Beitrag von crustenscharbap, der Google erwähnt hatte.Jesterfox schrieb:Blöd nur das es die "official Site" war die gehackt wurde und das manipulierte Image zum Download anbot...
baizon
Commander
- Registriert
- Juni 2007
- Beiträge
- 2.084
@SkittlesEater
Wieso sollten sie. Es ist (oder sollte) Standard sein, dass der/die Admin(s) es immer machen. Wie gesagt, es wurde schon vor langer Zeit gewarnt (2013). Mint ist da noch schlampig in Bezug auf Sicherheit gewesen, was der Hauptgrund für dieses Desaster war. Debian gibt es so lange und dort passiert nichts.
Wieso sollten sie. Es ist (oder sollte) Standard sein, dass der/die Admin(s) es immer machen. Wie gesagt, es wurde schon vor langer Zeit gewarnt (2013). Mint ist da noch schlampig in Bezug auf Sicherheit gewesen, was der Hauptgrund für dieses Desaster war. Debian gibt es so lange und dort passiert nichts.
TrueAzrael
Commodore
- Registriert
- Nov. 2007
- Beiträge
- 4.652
Termy schrieb:Das meinte ich nicht, aber wenn eben ein DAU auf einen Link klickt kann die Malware nicht machen was sie will - ausser der DAU gibt auch noch das root-passwort bei der Abfrage ein
Natürlich gibt es auch DAUs die dann einfach das Passwort eingeben, aber Leuten, die vielleicht nicht Technik-Affin aber zumindest nicht völlig verblödet sind sollte dann doch was spanisch vorkommen, wenn "einfach so" ne Root-Abfrage kommt ^^
Und wenn du unter Windows die UAC-Admin-Abfrage bekommst nicht? Sowohl bei Linux als auch Windows brauchst du Adminrechte für den meisten Schadcode und bei beiden Systemen bekommst du diese Rechte nur über die Abfrage, sofern keine Lücken im System sind und die gibt es auch auf beiden Systemen.
- Registriert
- Okt. 2012
- Beiträge
- 2.597
Artikel-Update: Nicht nur ein Image von Linux Mint wurde kompromittiert, auch das Forum unter forums.linuxmint.com ist betroffen. Anwender mit einem Konto dort werden automatisch zum Ändern ihres Passworts aufgefordert werden, sobald das Forum wieder online ist. Wer das Passwort für das Mint-Forum noch an anderer Stelle nutzt, sollte dringend auch dort das Passwort ändern.
Die Datenbank des Forums wurde bereits gestern für 85 US-Dollar zum Kauf angeboten. Den Einbrechern fiel das gesamte Forum mit Namen, E-Mail-Adressen, verschlüsselten Passwörtern, Profilen und privaten Nachrichten in die Hände.
Die Datenbank des Forums wurde bereits gestern für 85 US-Dollar zum Kauf angeboten. Den Einbrechern fiel das gesamte Forum mit Namen, E-Mail-Adressen, verschlüsselten Passwörtern, Profilen und privaten Nachrichten in die Hände.
F
franzerich
Gast
Oh Shrek oh Graus... warum muss das jemand der Mint Community antun? Als ob es nicht andere Ziele gäbe, wo sie Leute ärgern könnten...
Sennox
Commander
- Registriert
- Mai 2008
- Beiträge
- 2.565
fethomm schrieb:Artikel-Update: Die Datenbank des Forums wurde bereits gestern für 85 US-Dollar zum Kauf angeboten...
Nur 85 USD?
Weiß hier jemand ob das ein "gewöhnlicher Kurs" dafür ist und sich über die Menge rentiert oder werden die Mint Forenuser einfach als so wertlos erachtet?
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.289
Trefoil80 schrieb:Ich stelle mir noch gerade eine andere Frage: Wie stellt MintUpdate sicher, dass während einer Aktualisierung kein Schadcode in mein vorher sauberes System eingeschleust wird?
Werden die Updates über https ausgeliefert? Werden die Hashes automatisiert überprüft?
Pakete werden mit PGP signiert. Solange die Private Keys nicht auf dem Webserver liegen (ich hoffe mal nicht) kann da nichts passieren.
DiamondLucy
Cadet 4th Year
- Registriert
- Aug. 2011
- Beiträge
- 82
erst die images und jetzt das forum, ist mint schon "zu" beliebt um es gleich zu attackieren
doof für die user des forums und für alle die das manipulierte image installiert haben.
doof für die user des forums und für alle die das manipulierte image installiert haben.