Gefällt dir dieser Artikel?

versteckter Schadcode: gefährliche Linux Howtos

erschienen in der Kategorie Software, am 12.07.2013
Schnatterente
Die meisten Linux Nutzer kennen das, man hat irgendein Software Problem und um es zu beheben, sucht man im Internet nach Lösungen. Der Open Source Community sei Dank, findet man so auch fast immer das passende Tutorial, Howto oder einen Foren- bzw. Blogeintrag, um den Fehler zu beheben. Doch solche Anleitungen können auch gefährlich sein!

Zumeist löst man Probleme unter Linux ja mithilfe einer Konsole. Die Tutorials beinhalten oft die geeigneten Befehle, die man dann nur noch in seine Bash kopieren muss und schon ist dieser oder jener Fehler gefixt.

Doch genau hier steckt das Problem. Böswillige Tutorial-Autoren können einem auf diesem Wege auch schädlichen Code unterjubeln. Dies kann einerseits offensichtlich passieren, indem sie den Schadcode einfach mit auf die Seite schreiben (so erwischt es nur komplett ahnungslose Linuxnutzer) oder es geschieht versteckt.

Unter Zuhilfenahme kleiner HTML- bzw. CSS-Tricks kann man es erwirken, dass Nutzer auf einer Internetseite mehr Code markieren und kopieren, als sie mit dem bloßen Auge sehen können. Fügen sie diesen dann in ihr Terminal ein und führen ihn (bestenfalls auch noch als Root-Nutzer) aus, kann dies so ziemlich alle vorstellbaren Folgen haben, von der Installation eines Rootkits bis hin zur Löschung wichtiger Dateien. Für den beschriebenen Angriff benötigt man übrigens nicht mal Javascript.

Beispiel: versteckter Schadcode via Copy & Paste

Der folgende Befehl sollte eigentlich nur ein paar Informationen über den Linux-Kernel anzeigen. Kopiere ihn in eine Konsole und schau was passiert (ja, der Code ist ungefährlich).

uname > /dev/null; clear; echo -n "Hallo ";whoami|tr -d '\n'; echo '! Führe niemals irgendwelchen Code aus, den du nicht kennst!'
uname
-a

Wenn du sehen willst, was du da eigentlich kopiert hast, füge es in einen Editor deiner Wahl ein.

Sicherheit geht vor

Was lernen wir daraus? Man sollte nie irgendwelche Befehle von irgendeiner Webseite einfach so in die Konsole kopieren, denn schon beim Einfügen können sie gestartet werden, wenn man einen Zeilenumbruch mitkopiert hat. Beinhaltet der Code versteckte Befehle, ist es dann schon zu spät. Daher ist es besser die Befehle immer erst in einem Editor zu überprüfen oder sie im Zweifelsfall abzuschreiben, anstatt mit Copy & Paste zu arbeiten. Außerdem sollte man sich immer die Frage stellen, wann es wirklich sinnvoll ist, Befehle als Root auszuführen und wann diese Rechte gar nicht nötig sind.



Ergänzung: Weil die Nachfrage kam, wie das funktioniert: Der hier demonstrierte Angriffsweg ist eigentlich nicht neu und ziemlich offensichtlich. Das Vorgehen ist sehr simpel. Man fügt in den zu kopierenden, auf der Webseite gezeigten Code einfach einen Span-Tag mit den bösartigen Befehlen ein und sorgt via CSS-Formatierung dafür, dass dieser absolut und außerhalb des sichtbaren Webseitenbereichs platziert wird. Somit kopiert man den Schadcode mit, sieht ihn aber nicht. Dem Angreifer sind dabei keine Grenzen gesetzt, er kann alles ausführen, was er möchte.

Geschnatter

9 Kommentare, selbst mitschnattern << < Seite 1/2 > >>
Reiner, am 12.07.2013 um 12:56 Uhr
Wäre es nicht sinnvoller, die Browser Hersteller würden das lösen, dann müssten die User nicht umlernen. Man könnte ja beim Kopieren darauf hinweisen, dass versteckte Inhalte das dabei sind. Oder man kopiert sie gar nicht mit ...
Antwort: Aus meiner Sicht würde ich die Frage mit einem klaren Jain beantworten. Eine Meldung würde vielleicht dazu führen, dass dann beim Kopieren auf sehr vielen Webseiten dauernd Hinweise aufpoppen. Es gibt im Netz auch einige Seiten, die diese versteckten Span-Tags benutzen, um ihr Copyright in Texte einzufügen.

Außerdem denke ich, dass es noch einige andere Angriffswege gibt (sicher teilweise auch browserabhängig), mit denen man den gleichen Effekt erreichen kann.

Und ein gewisses Umlernen der Nutzer würde ich, vollkommen unabhängig von dem hier geschilderten Problem, ohnehin begrüßen. Es gibt sehr viele Linux-User, die selbst die offen sichtbaren Befehle nicht hinterfragen, sondern einfach ausführen.
Ephraim, am 12.07.2013 um 13:17 Uhr
Alles klar, also zukünftig nicht nur JavaScript sondern auch CSS abschalten. :D

Wobei, ich glaube das geht gar nicht?
Anonym, am 13.07.2013 um 12:05 Uhr
wow... fiese Nummer!
Anonym, am 14.07.2013 um 13:30 Uhr
@Ephraim
in welchem browser kann man denn css abschalten? sogar links nimmt css, um texte zu platzieren. inzw. kann man in firefox glaube schon gar kein js mehr abschalten...
Saddy, am 25.08.2013 um 01:28 Uhr
Wow, wieder was gelernt. Und ja, meine DynDNS-Adresse entstand aufgrund deines Artikels ;-)
Antwort: :)
Alexander, am 06.02.2014 um 19:05 Uhr
Interessanter "Hack".
Anonym, am 06.02.2014 um 23:09 Uhr
@Alexander: Was ist daran bitte ein Hack?