Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Gefahren abwehren<br />
TiTEL<br />
der Distributions-DVD, einer Heft-DVD oder<br />
der Originalseite der Entwickler. Solange Sie<br />
als <strong>Linux</strong>-Anwender keine Programme starten,<br />
die aus dunklen Quellen stammen, findet kein<br />
Virus den Weg auf Ihren Rechner.<br />
Äußerst sinnvoll sind Virenscanner für <strong>Linux</strong><br />
in gemischten Umgebungen: Läuft das<br />
Schutzprogramm auf einem Datei- oder Mailserver,<br />
der auch Windows-Clients bedient,<br />
dann schützt <strong>Linux</strong> die Windows-Rechner<br />
vor den Gefahren.<br />
Repositories<br />
Eine potenzielle Gefahr stellen Angriffe auf<br />
Repository-Server dar, bei denen der Angreifer<br />
die Kontrolle über diesen Server erlangt<br />
und Softwarepakete durch eigene Versionen<br />
ersetzt, welche dann Malware enthalten können.<br />
Wer ein auf diese Weise „infiziertes“ Repository<br />
als Paketquelle nutzt, kann sich bei<br />
Installationen aus dieser Quelle Malware auf<br />
den Rechner holen. Davor schützt allerdings<br />
die Tatsache, dass die Softwareverwaltung Sie<br />
warnt, wenn Sie versuchen, ein Paket zu installieren,<br />
das nicht <strong>mit</strong> einem bekannten<br />
Schlüssel signiert wurde (siehe Kasten Paketund<br />
Repository-Signaturen). Der Angreifer hat<br />
keinen Zugriff auf den privaten Schlüssel des<br />
Repository-Anbieters und kann da<strong>mit</strong> seine<br />
veränderten Pakete nicht als offizielle Pakete<br />
kennzeichnen.<br />
abb. 1: Bei openoffice/ Libreoffice (hier Version 3.3.2) best<strong>im</strong>men sie selbst, ob es Makros<br />
ausführen soll, und wenn ja, in welchen dateien sich die Makros befinden müssen.<br />
Führen sie Makros nur aus, wenn sie <strong>sicher</strong> sind, dass der Code unbedenklich ist.<br />
Makroviren<br />
Makroviren funktionieren ähnlich wie Viren,<br />
nur befallen sie keine Programme, sondern<br />
Dokumente. Das klappt, solange die Bearbeitungssoftware<br />
über Makro-Funktionen verfügt.<br />
Es sind durchaus Viren denkbar, die sich<br />
in OpenOffice- bzw. LibreOffice-Dateien einnisten.<br />
Allerdings warnt OpenOffice den Be-<br />
PakET- und REPosiToRy-signaTuREn<br />
Um Anwender vor veränderten Paketen zu<br />
schützen, setzen die großen Distributionen<br />
schon seit einigen Jahren auf signierte Pakete<br />
und zusätzlich auf ein signiertes Gesamtinhaltsverzeichnis<br />
des Repositories. Zum Signieren<br />
setzen sie einen privaten Schlüssel<br />
ein, der gehe<strong>im</strong> (be<strong>im</strong> Distributor) bleibt. Er ist<br />
Teil eines Schlüsselpaars, und der zugehörige<br />
öffentliche Schlüssel ist allgemein zugänglich;<br />
wenn Sie eine neue Quelle einrichten, erhalten<br />
Sie auch diesen Schlüssel.<br />
Für jedes aus dem Repo zu installierende<br />
Paket prüft Ihr Paketmanager nun nach dem<br />
Herunterladen, ob die Signatur des Pakets<br />
gültig ist; die Gesamt<strong>sicher</strong>heit des Repos<br />
folgt daraus, dass auch die Metadaten signiert<br />
sind und sich auf dieselbe Weise überprüfen<br />
lassen.<br />
Als Sicherheitslücke bleibt nun lediglich,<br />
dass Anwender sich von einem Angreifer einen<br />
zusätzlichen Schlüssel „unterjubeln“<br />
lassen und da<strong>mit</strong> dann künftig auch Pakete<br />
aus dem Repository des Angreifers akzeptieren.<br />
Be<strong>im</strong> Einbinden eines neuen Schlüssels<br />
fragt die Paketverwaltung aber <strong>im</strong>mer<br />
noch, ob das wirklich gewünscht ist.<br />
Unter Ubuntu (und Debian, Knoppix sowie<br />
weiteren Debian-basierten Distributionen)<br />
ist apt‐key das Programm, das sich um die<br />
Schlüsselverwaltung kümmert; OpenSuse<br />
hat diese Aufgaben in das Universalwerkzeug<br />
zypper integriert.<br />
Fügen Sie z. B. in Ubuntu 11.04 (Natty) das<br />
Medibuntu-Repository hinzu, indem Sie die<br />
Zeile<br />
deb http://packages.medibuntu.org/ nU<br />
atty free non‐free<br />
in die Konfigurationsdatei /etc/ apt/ sources.list<br />
eintragen und führen dan das Kommando<br />
apt‐get update<br />
aus, um die Paketliste zu aktualisieren, erhalten<br />
Sie die Fehlermeldung<br />
W: GPG‐Fehler: http://packages.medibU<br />
untu.org natty InRelease: Die folgenU<br />
nden Signaturen konnten nicht überprU<br />
üft werden, weil ihr öffentlicher ScU<br />
hlüssel nicht verfügbar ist: NO_PUBKU<br />
EY 2EBC26B60C5A2783<br />
die darauf hinweist, dass auf Ihrem System<br />
kein öffentlicher Schlüssel installiert ist, der<br />
die Echtheit der heruntergeladenen Metadaten<br />
bestätigen kann. Dasselbe passiert,<br />
wenn Sie anschließend versuchen, ein Paket<br />
aus dieser Quelle zu installieren: Es erscheint<br />
dann die folgende Warnung:<br />
$ sudo apt-get install w32codecs<br />
WARNUNG: Die folgenden Pakete könnenU<br />
nicht authentifiziert werden!<br />
w32codecs<br />
Diese Pakete ohne Überprüfung instalU<br />
lieren [j/N]?<br />
Auf diese Weise sind Sie vor unbeabsichtigter<br />
Installation von Software aus nicht vertrauenswürdigen<br />
Quellen geschützt. Zypper<br />
bietet unter OpenSuse vergleichbare Features<br />
wie APT, was das Signieren von Paketen<br />
und Repository-Metadaten angeht. Ausführliche<br />
(aber nicht leicht verständliche) Informationen<br />
bietet eine Webseite von Security-Forschern,<br />
die sich <strong>mit</strong> diesem Thema<br />
beschäftigt haben [1].<br />
Das Signierverfahren, das hier zum Einsatz<br />
kommt, ist übrigens GnuPG: Mit demselben<br />
Tool können Sie auch E-Mails signieren (und<br />
verschlüsseln), wenn Sie GnuPG installieren<br />
und in Ihr Mailprogramm integrieren.<br />
<strong>Easy<strong>Linux</strong></strong><br />
03/2011<br />
www.easylinux.de<br />
33