>b's weblog

News. Journal. Whatever.

Rüstungsexporte: Deutschland liefert über Umwege weiter nach Saudi-ArabienVom Friedensnobelpreis zum Kriegstreiber

Die NZZ leistet sich eine dicke Zeitungsente und fällt auf Marketinggefasel rein

Sie schreibt:

Versteckte Angriffe auf Linux-Server

Gleich mehrere auf dem Netzwerkprotokoll SSH basierende Malware-Familien bedrohen Web-Server mit Linux-Betriebssystem.

Experten des europäischen Sicherheitsspezialisten Eset haben 21 Familien von Schadsoftware entdeckt, über die Cyberkriminelle sich unbemerkt Zugang zu Linux-Systemen verschaffen. Fast alle Schädlinge ermöglichen das Stehlen von Login-Daten sowie das unbemerkte Einrichten einer Hintertür.

Die Malware-Familien basieren als «Backdoor»-Varianten auf der portablen Version von OpenSSH, dem Netzwerkprotokoll, mit dem Computer, Server und andere Linux-Geräte über verschlüsselte Verbindungen ferngesteuert zusammengeschlossen und verwaltet werden.

Das ist eine Falschmeldung. Das Missverständnis stammt wohl aus der reisserischen Darstellung von “Eset” selbst. Denn die haben keinen einzigen neuen Angriff weder aufs SSH-Protokoll noch auf die OpenSSH-Implementierung entdeckt. Sondern die haben sich angeschaut, bei Computern, auf denen bereits bekannte Schadsoftware läuft, welche Malware nistet sich dann mit ihrer Backdoor (vergleichsweise harmlos) in den sshd ein (und nicht z.B. in den httpd oder den smtpd, was genauso relevant gewesen wäre). Harmlos deshalb, weil mans dann leicht entdecken kann: man braucht ja nur die Software mit der aus einem Originalpaket zu vergleichen. Klevere Malware setzt ihre Backdoor in den Kernel oder noch kleverer in den Hypervisor und in einen Ring ab -1. Das bleibt jedoch bei der “Eset”-Studie genauso unerwähnt, wie jene Studie auch höchst fragwürdige Aussagen an anderer Stelle enthält: so sei z.B. ein Problem, dass der Quellcode von OpenSSH öffentlich verfügbar sei (das Gegenteil ist der Fall, das ermöglicht mehr Sicherheit und nicht weniger); als Tipp zur Mitigation wird u.a. gegeben, dass man keinen root-Zugriff per Passwort per SSH geben soll – was wiederum mit den beschriebenen Backdoors nicht viel zu tun hat, denn die können ja nur gesetzt werden, wenn die Malware bereits als root läuft.

Alles in allem: ein reisserischer Schrieb von “Eset”, der ihre Arbeit dadurch entwertet, dass sie Dinge behaupten, die sie nicht liefern. Und eine Zeitung, die drauf reinfällt, und prompt eine Ente berichtet. Schade eigentlich. Denn das Anschauen, wie bekannte Malware genau ihre Backdoors setzt, ist sinnvolle Arbeit, von der die Fachwelt profitieren kann. Sich dabei auf OpenSSH-Implementierungen zu konzentrieren, ist willkürlich aber legitim. Wenn jetzt noch einer eine Studie jeweils zu bekannten httpd und smtpd vorlegt (und zu imapd, etc.), dann bekommt man eine Übersicht, was auserhalb der Rootkits gerade so in der Malware-Welt läuft. Ist natürlich für die breite Masse weniger interessant als das unwahre “wir haben OpenSSH-Lücken entdeckt”, klar.