Malware in pdf-lezer en andere packages Arch Linux ontdekt
In een pdf-lezer voor Arch Linux genaamd Acroread en twee andere packages die via de Arch User Repository werden aangeboden is malware ontdekt. De Arch User Repository (AUR) is een door de gemeenschap onderhouden repository voor Arch-gebruikers waar allerlei programma's zijn te vinden.
In het geval van de Acroread-lezer werd die niet meer actief door de ontwikkelaar beheerd. Iemand anders nam de ontwikkeling over en voegde code toe die ervoor zorgde dat de pdf-lezer kwaadaardige scripts downloadde. Na ontdekking van de aanpassing werd het account van de ontwikkelaar geschorst. Daarnaast bleken ook twee andere packages van soortgelijke kwaadaardige code te zijn voorzien, namelijk "balz" en "minergate". Van alle drie de packages zijn de schone versies teruggeplaatst in de repository.
Reacties (12)
De titel van dit artikel is niet duidelijk. Het gaat hier om de Arch User Repository zoals ook verderop in het stuk staat en niet om de software die door het officiele Arch team onderhouden wordt.
Als je de AUR gaat gebruiken word je heel duidelijk gewaarschuwd dat deze pakketten extra zijn en niet door het Arch team onderhouden worden en dat gebruik op eigen risico is.
Op diverse fora is te vinden waar je op moet letten voordat je iets uit de AUR installeert, het is geen 100% garantie.
Ik gebruik AUR software alleen als het echt niet anders kan.
Als je de AUR gaat gebruiken word je heel duidelijk gewaarschuwd dat deze pakketten extra zijn en niet door het Arch team onderhouden worden en dat gebruik op eigen risico is.
Op diverse fora is te vinden waar je op moet letten voordat je iets uit de AUR installeert, het is geen 100% garantie.
Ik gebruik AUR software alleen als het echt niet anders kan.
11-07-2018, 16:16 door
-karma4
Door linux4: De titel van dit artikel is niet duidelijk. Het gaat hier om de Arch User Repository zoals ook verderop in het stuk staat en niet om de software die door het officiele Arch team onderhouden wordt.
Inderdaad een groot verschil!
Of het nu om de ene of de andere 'repository' gaat (wat is dat toch een verschrikkelijk woord), het principe dat Linux niet bevatbaar is voor virussen (zoals het overal enthousiast geroepen wordt) heeft hiermee wel een flinke deuk gekregen.
Niet bedoeld om te bashen en ik wil ook helemaal niet zeggen dat een ander systeem beter zou zijn. Maar het is wel zo dat als je op een (Linux) forum vraagt (of via google zoekt) of er een antivirusprogramma voor Linux bestaat je altijd te horen krijgt dat dat helemaal niet nodig is want "er is niets veiliger dan Linux".
Niet bedoeld om te bashen en ik wil ook helemaal niet zeggen dat een ander systeem beter zou zijn. Maar het is wel zo dat als je op een (Linux) forum vraagt (of via google zoekt) of er een antivirusprogramma voor Linux bestaat je altijd te horen krijgt dat dat helemaal niet nodig is want "er is niets veiliger dan Linux".
Door Anoniem: Of het nu om de ene of de andere 'repository' gaat (wat is dat toch een verschrikkelijk woord), het principe dat Linux niet bevatbaar is voor virussen (zoals het overal enthousiast geroepen wordt) heeft hiermee wel een flinke deuk gekregen.
Niet bedoeld om te bashen en ik wil ook helemaal niet zeggen dat een ander systeem beter zou zijn. Maar het is wel zo dat als je op een (Linux) forum vraagt (of via google zoekt) of er een antivirusprogramma voor Linux bestaat je altijd te horen krijgt dat dat helemaal niet nodig is want "er is niets veiliger dan Linux".
Niet bedoeld om te bashen en ik wil ook helemaal niet zeggen dat een ander systeem beter zou zijn. Maar het is wel zo dat als je op een (Linux) forum vraagt (of via google zoekt) of er een antivirusprogramma voor Linux bestaat je altijd te horen krijgt dat dat helemaal niet nodig is want "er is niets veiliger dan Linux".
In principe is niks veilig, linux dus ook niet. We hebben het hier trouwens niet over virussen, maar mailware wat toegevoegt is. Da's wat anders dan virussen. Niemand beweerd volgens mij dat linux veilig is, feit is wel dat een behoorlijk deel van Internet bestaat uit linuxservers en deze dus sneller gehackt worden dan IS.
Een goede reden om, net als bij Ubuntu, ook onder Arch Linux de PDF readers altijd in een zandbak te draaien, zoals onder een AppArmor profile. Het moeilijker alternatief is SELinux toepassen, zoals onder Red Hat Enterprise het geval is.
AppArmor is een Mandatory Access Control (MAC) systeem, dat gebruik maakt van de Linux Security Modules (LSM). Dit maakt het veel moeilijker om malware exploits buiten de permissies van de gewapende PDF reader te laten uitvoeren.
https://wiki.archlinux.org/index.php/AppArmor
AppArmor is een Mandatory Access Control (MAC) systeem, dat gebruik maakt van de Linux Security Modules (LSM). Dit maakt het veel moeilijker om malware exploits buiten de permissies van de gewapende PDF reader te laten uitvoeren.
https://wiki.archlinux.org/index.php/AppArmor
12-07-2018, 13:51 door
ph-cofi
Wat het op z'n minst laat zien, is dat Linux desktop users niet (meer) blind vertrouwen kunnen hebben in de software die ze kunnen installeren. Bijvoorbeeld omdat er SW tussen zit die niet meer door een OS community wordt beheerd.
En het laat zien dat er mensen zijn die het nuttig vinden om vallen te zetten waar 5?% van 2,24?% van de wereldwijze PC's in kunnen stappen. Gewoon omdat het kan, of zou er wel degelijk belang achter zitten, bijvoorbeeld omdat deze machines bijzondere strategische toepassingen uitvoeren?
En het laat zien dat er mensen zijn die het nuttig vinden om vallen te zetten waar 5?% van 2,24?% van de wereldwijze PC's in kunnen stappen. Gewoon omdat het kan, of zou er wel degelijk belang achter zitten, bijvoorbeeld omdat deze machines bijzondere strategische toepassingen uitvoeren?
Door Anoniem: Of het nu om de ene of de andere 'repository' gaat (wat is dat toch een verschrikkelijk woord), het principe dat Linux niet bevatbaar is voor virussen (zoals het overal enthousiast geroepen wordt) heeft hiermee wel een flinke deuk gekregen.
Niet bedoeld om te bashen en ik wil ook helemaal niet zeggen dat een ander systeem beter zou zijn. Maar het is wel zo dat als je op een (Linux) forum vraagt (of via google zoekt) of er een antivirusprogramma voor Linux bestaat je altijd te horen krijgt dat dat helemaal niet nodig is want "er is niets veiliger dan Linux".
Niet bedoeld om te bashen en ik wil ook helemaal niet zeggen dat een ander systeem beter zou zijn. Maar het is wel zo dat als je op een (Linux) forum vraagt (of via google zoekt) of er een antivirusprogramma voor Linux bestaat je altijd te horen krijgt dat dat helemaal niet nodig is want "er is niets veiliger dan Linux".
Het imago van Linux heeft hiermee helemaal geen flinke deuk opgelopen. Ga je eerst verdiepen in Linux. Het zit in dit geval zo: Arch Linux (maar ook b.v. de populaire Manjaro distro) heeft een gecontroleerd pakket aan software beschikbaar en daar zit aardig wat bekende software in. Dat is altijd malware vrij. In het geval je iets niet kunt vinden kun je op eigen risico iets uit de AUR installeren. Dat zijn twee duidelijk gescheiden bronnen. De AUR staat default uit en je krijgt een heel duidelijke waarschuwing wat de risico's zijn als je toch software uit de AUR gaat installeren.
Om het met Windows 10 te vergelijken: alleen software uit de Windows Store is gecontroleerd en veilig. Elk ander extern pakket is dat niet! Zul je eerst moeten nagaan of het uit betrouwbare bron komt. Iets wat je bij de AUR ook kunt doen.
Door ph-cofi: Wat het op z'n minst laat zien, is dat Linux desktop users niet (meer) blind vertrouwen kunnen hebben in de software die ze kunnen installeren. Bijvoorbeeld omdat er SW tussen zit die niet meer door een OS community wordt beheerd.
En het laat zien dat er mensen zijn die het nuttig vinden om vallen te zetten waar 5?% van 2,24?% van de wereldwijze PC's in kunnen stappen. Gewoon omdat het kan, of zou er wel degelijk belang achter zitten, bijvoorbeeld omdat deze machines bijzondere strategische toepassingen uitvoeren?
En het laat zien dat er mensen zijn die het nuttig vinden om vallen te zetten waar 5?% van 2,24?% van de wereldwijze PC's in kunnen stappen. Gewoon omdat het kan, of zou er wel degelijk belang achter zitten, bijvoorbeeld omdat deze machines bijzondere strategische toepassingen uitvoeren?
Zie mijn reactie hierboven. Linux desktop gebruikers kunnen blind vertrouwen op de software van de OS community. Software daarbuiten moet je altijd controleren maar dat kan nooit per ongeluk gemengd worden met community software.
Door Anoniem: Een goede reden om, net als bij Ubuntu, ook onder Arch Linux de PDF readers altijd in een zandbak te draaien, zoals onder een AppArmor profile. Het moeilijker alternatief is SELinux toepassen, zoals onder Red Hat Enterprise het geval is.
AppArmor is een Mandatory Access Control (MAC) systeem, dat gebruik maakt van de Linux Security Modules (LSM). Dit maakt het veel moeilijker om malware exploits buiten de permissies van de gewapende PDF reader te laten uitvoeren.
https://wiki.archlinux.org/index.php/AppArmor
AppArmor is een Mandatory Access Control (MAC) systeem, dat gebruik maakt van de Linux Security Modules (LSM). Dit maakt het veel moeilijker om malware exploits buiten de permissies van de gewapende PDF reader te laten uitvoeren.
https://wiki.archlinux.org/index.php/AppArmor
Er is bij Arch linux (en ook bij andere distro's) geen enkele reden een PDF reader als acroread te installeren terwijl er prima PDF lezers zijn die door community onderhouden worden, zoals Evince (en Bookworm voor ePub). De meeste distro's installeren dat standaard al tijdens de OS installatie. Geen zandbakken nodig.
Door Anoniem: Of het nu om de ene of de andere 'repository' gaat (wat is dat toch een verschrikkelijk woord),
Los van dat ik een woord dat zoiets als "opslagplaats" of "depot" betekent niet verschrikkelijk vind, maakt het wel degelijk uit of je een goed gecontroleerde of een slecht gecontroleerde bron gebruikt. het principe dat Linux niet bevatbaar is voor virussen (zoals het overal enthousiast geroepen wordt) heeft hiermee wel een flinke deuk gekregen.
Ik zou het geen principe noemen, we hebben het niet over fundamentele onmogelijkheden. Software maken is mensenwerk, het is geen magie. Het is wel zo dat de kans op malware in officiële repositories van betrouwbare distributies zeer klein is. De kans dat er iets misgaat wordt vanzelfsprekend groter als je een minder betrouwbare bron gebruikt.Die betrouwbaarheid kan zo hoog zijn dat je vermoedelijk nooit mee gaat maken dat het misgaat. Ik heb in de 18 jaar dat ik Debian stable als mijn primaire besturingssysteem gebruik op diverse computers nog geen malware meegemaakt, althans niet dat ik heb gemerkt (en ik draai wel de nodige tools om dat te helpen controleren). Desondanks vind ik dit een te absolute formulering:
Door linux4: Linux desktop gebruikers kunnen blind vertrouwen op de software van de OS community. Software
Ja, dat de praktijk uitwijst dat het bijzonder goed gaat klopt, maar je laat het klinken alsof het die fundamentele onmogelijkheid is die het nou net niet is. Ik vermoed dat dat soort formuleringen precies is waarom mensen als die Anoniem op wie jij ook redeneerde het beeld krijgen dat er iets van een sokkel is gevallen hiermee. Als je een beeld verspreidt van een soort magisch onschendbare perfectie dan leg je de lat zo hoog dat de kleinste imperfectie, of zelfs schijn van imperfectie meteen je geloofwaardigheid onderuit haalt.Door Anoniem:
Die betrouwbaarheid kan zo hoog zijn dat je vermoedelijk nooit mee gaat maken dat het misgaat. Ik heb in de 18 jaar dat ik Debian stable als mijn primaire besturingssysteem gebruik op diverse computers nog geen malware meegemaakt, althans niet dat ik heb gemerkt (en ik draai wel de nodige tools om dat te helpen controleren). Desondanks vind ik dit een te absolute formulering:
Door Anoniem: Of het nu om de ene of de andere 'repository' gaat (wat is dat toch een verschrikkelijk woord),
Los van dat ik een woord dat zoiets als "opslagplaats" of "depot" betekent niet verschrikkelijk vind, maakt het wel degelijk uit of je een goed gecontroleerde of een slecht gecontroleerde bron gebruikt. het principe dat Linux niet bevatbaar is voor virussen (zoals het overal enthousiast geroepen wordt) heeft hiermee wel een flinke deuk gekregen.
Ik zou het geen principe noemen, we hebben het niet over fundamentele onmogelijkheden. Software maken is mensenwerk, het is geen magie. Het is wel zo dat de kans op malware in officiële repositories van betrouwbare distributies zeer klein is. De kans dat er iets misgaat wordt vanzelfsprekend groter als je een minder betrouwbare bron gebruikt.Die betrouwbaarheid kan zo hoog zijn dat je vermoedelijk nooit mee gaat maken dat het misgaat. Ik heb in de 18 jaar dat ik Debian stable als mijn primaire besturingssysteem gebruik op diverse computers nog geen malware meegemaakt, althans niet dat ik heb gemerkt (en ik draai wel de nodige tools om dat te helpen controleren). Desondanks vind ik dit een te absolute formulering:
Door linux4: Linux desktop gebruikers kunnen blind vertrouwen op de software van de OS community. Software
Ja, dat de praktijk uitwijst dat het bijzonder goed gaat klopt, maar je laat het klinken alsof het die fundamentele onmogelijkheid is die het nou net niet is. Ik vermoed dat dat soort formuleringen precies is waarom mensen als die Anoniem op wie jij ook redeneerde het beeld krijgen dat er iets van een sokkel is gevallen hiermee. Als je een beeld verspreidt van een soort magisch onschendbare perfectie dan leg je de lat zo hoog dat de kleinste imperfectie, of zelfs schijn van imperfectie meteen je geloofwaardigheid onderuit haalt.Ja ik was inderdaad wel iets te stellig met mijn bewering dat je er blind op kunt vertrouwen. Iets te scherpe reactie van mij op het "van zijn voetstuk vallen" denk ik.
Opslagplaats is een mooi Nederlands woord voor Repository. Dat laatste is gewoon een normaal Engels woord, weet niet wat er zo verschrikkelijk aan is. Bij Windows noemen ze het een App Store o.i.d. wat ook wel klopt want daar moet je soms betalen, bij Linux is altijd alles gratis.
P.S. Play Store vind ik ook een vreemde benaming.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
