staging.inyokaproject.org

Hallo,

ich benutze gerne Live-Systeme von gekauften Heft-DVDs . Im Moment habe ich eine Version von: „Zorin OS Core 17.1“ (basierend auf Ubuntu 22.04).

Folgende Frage an die Experten:

Ich boote von einer DVD, beginne eine Live-Sitzung, die vorinstallierte Browser-Version ist 4 Monate alt, es besteht die Möglichkeit den Browser in der Live-Sitzung auf den letzten Stand zu aktualisieren, z.B. im Software-Center.

Jetzt angenommen, es besteht der Verdacht dass mein Netzwerk nicht 100% sicher ist, ist dann noch dieses Update des Browser in dieser Live-Sitzung quasi „sauber / sicher“? Werden die Updates über https: runtergeladen?

Wie realistisch ist es, dass man sich was einfangen kann (Malware natürlich) währen der Live-Session?

Ich weiß, dass das Ganze nur in dem Arbeitsspeicher stattfindet und nicht auf die Festplatte überspringt, und nach einem Neustart alles wieder weg ist.

Mich interessiert hier, ob in dieser Live-Session mit dem gepatchtem Browser die Internet-Verbindung zu Online-Shops/Banking einigermaßen sicher ist? Sicher meine ich meine https-Standard, Phishing einmal ausgenommen.

Ob man durch das bloße Update des Browser sich die Live-Sitzung kompromittieren kann?

Oder wäre es sicherer mit dem etwas älteren, vorinstallierten Browser zu surfen ?

Bin noch ein Anfänger in Linux, bitte daher um Verständnis meiner Unkenntnis.

Danke im Voraus Charles

Anders gefragt:

kann ich (theoretisch) ein Linux-Live-System von einer DVD booten, mich mit einem öffentlichen Netzwerk verbinden, dann den Browser updaten, um dann mit dem Browser über HTTPS-Seiten (sicher) zu arbeiten?

Charlie64 schrieb:

[…] kann ich (theoretisch) ein Linux-Live-System von einer DVD booten, mich mit einem öffentlichen Netzwerk verbinden, dann den Browser updaten, um dann mit dem Browser über HTTPS-Seiten (sicher) zu arbeiten?

Theoretisch kannst Du alles sicher machen.

Praktisch funktioniert das von Dir beschriebene Vorgehen auch und ob es sicher ist, hängt von Deinen eigenen Ansprüchen ab, was Du unter Sicherheit verstehst:

• Du bist sicher, dass die verwendete Software genau dem entspricht, was Du auf die DVD geladen hast – allerdings nur, wenn Du wirklich eine echte DVD verwendest und keinen USB-Stick mit einem DVD-Abbild und Du die Software nicht aktualisiert hast.

• Wenn Du irgendetwas aus dem Internet geladen hast, ist möglich, dass Schadsoftware ausgeführt wird. Selbst wenn Du das nicht gemacht hast, kann bereits auf der DVD gespeicherte Schadsoftware ausgeführt werden.

• Es können angeschlossene Datenspeicher dauerhaft verändert werden.

Das beschriebene Szenario ist sicherer als vieles andere und durchaus für manche Aufgaben zu empfehlen, aber absolute Sicherheit gibt es nicht.

Charlie64 schrieb:

ich benutze gerne Live-Systeme von gekauften Heft-DVDs

Ich frage mich immer, wer heute noch solche Magazine kauft und dann auch noch diese miesen DVDs einlegt.

Im Moment habe ich eine Version von: „Zorin OS Core 17.1“

...und Du fragst Dich über Sicherheit?

Die "Qualität" solcher CDs/DVDs ist berüchtigt. Sicher ist da gleich gar nichts, selbst, wenn die Software nicht hornalt wäre (sowas hat mindestens 3 Monate Vorlauf in der Herstellung). Ich habe damals auch 2 Heft-CDs gehabt, bei denen der Malware-Scanner sofort angesprungen ist - und nun kratz' das mal 'runter, pff!

Möglichkeit den Browser in der Live-Sitzung auf den letzten Stand zu aktualisieren

Der Browser ist zwar heutzutage wichtigstes Anwendungsprogramm, aber Du müßtest das gesamte System aktualisieren. In einem Live-System natürlich Jokus.

Wenn Du ausprobieren willst, nutze VMs!

Ich weiß, dass das Ganze nur in dem Arbeitsspeicher stattfindet und nicht auf die Festplatte überspringt,

So? Woher willst Du wissen, daß keiner dieser Könner irgendwelchen Mist eingebaut oder einfach Fehler gemacht hat? Klar kann man auch aus einem Live-System heraus auf andere Datenträger bzw. Partitionen schreiben. Das kannst Du gewollt, indem Du solche Partitions mountest, das können aber genauso gut auch irgendwelche vor Dir versteckte Routinen.

Ich seh da kein Problem, sofern nicht hunderte Hacker auf dich angesetzt sind bist du mit deiner Option sehr sicher unterwegs. Solange du nicht absichtlich dummes Zeug machst. Aber ein aktuelles System das du immer wieder mal updatest ist sicher genug, da brauchst du keine Live Sachen. Außerdem hast du bei der Bank ja 2 Faktor Login.

Danke Euch für die Antworten.

Kurz noch eine Frage:

habe doch überlegt ein Live-System mit einem, bereits vorinstallierten 5 Monate altem, ungepatchtem Browser zu benutzen.

Dieser "alte" Browser hat folgende Tests bestanden:

www.browseraudit.com

www.howsmyssl.com

Was meint Ihr?

Danke & Gruß Charles

Hallo nochmal,

folgende neue Entwicklung bei mir:

habe aus Spass die Heft-DVD von "Linux-Welt XXL 2/2024" zuerst mit Windows Defender gescannt: 1 positive Meldung.

Desinfec't Boot Scan der besagten DVD meldet nichts.

Bei Virustotal: 8 von 61 (darunter Bitdefender und GData) melden den Fund von "Trojan.Linux.XZBackdoor.W".

Das Virus wurde auf der DVD unter "Image-Dateien/gparted-live-1.6.0-1-amd64.iso" gefunden.

Bin eher Laie, und jetzt nicht so bewandert in der Materie mit dieser "XZ-Leck unter Linux"-Thematik.

Habe bislang die besagte DVD als Live-Session (mit Linux Mint 21.3) benutzt beim Online-shopping.

Ist mein System jetzt kompromittiert ? Muss ich mir Sorgen machen?

Danke im Voraus Charles

Charlie64 schrieb:

Bei Virustotal: 8 von 61 (darunter Bitdefender und GData) melden den Fund von "Trojan.Linux.XZBackdoor.W".

Das Virus wurde auf der DVD unter "Image-Dateien/gparted-live-1.6.0-1-amd64.iso" gefunden.

Da hat das "LinuxWelt XXL 2/2024" Blättchen wohl einen Trojaner als Heftbeilage eingetütet. ¯\_(ツ)_/¯

• https://9to5linux.com/gparted-live-is-now-patched-against-the-xz-backdoor-powered-by-linux-kernel-6-7

• https://sourceforge.net/p/gparted/mailman/gparted-devel/?viewmonth=202404

Habe zur Zeit die XZ-Version : "xz-utils 5.2.5-2ubuntu1 amd64" installiert auf meinem System.

Probleme soll es geben bei Versionen "Xz-utils versions 5.6.0 and 5.6.1".

Da der Virusfund gemeldet wurde, die XZ-Versionen aber nicht problematisch sein sollen, geht die Sache in Ordnung, oder muss ich die Festplatte formatieren und ein neues System aufsetzen?

Da ich die besagte DVD zuerst auf einem Windows-Rechner scannte, wird Windows von dem Virus tangiert?

Danke und Gruß Charles

Lese dir mal den Thread durch, und versuche zu verstehen wie die xz Backdoor arbeiten sollte:

• https://forum.ubuntuusers.de/topic/kompromittiertes-paket-mit-backdoor-in-arch-de/

Daraus, und aus dem, was Du mit der Heft-DVD gemacht hast, kannst Du dann ableiten, inwieweit, oder ob Du überhaupt betroffen bist.

Die gparted-live-1.6.0-1-amd64.iso beinhaltet jedenfalls die mit der Backdoor versehenen xz-utils, das lässt sich im Terminal so angucken:

curl -Ls 'https://sourceforge.net/projects/gparted/files/gparted-live-stable/1.6.0-1/source/gparted-live-src-1.6.0-1-amd64.debian.contents/download' | grep 'xz-utils'

... und alle Pakete, aus denen gparted-live erstellt wurde, sind mit tar.xz gepackt:

curl -Ls 'https://sourceforge.net/projects/gparted/files/gparted-live-stable/1.6.0-1/source/gparted-live-src-1.6.0-1-amd64.debian.contents/download'

Die xz Backdoor braucht den SSH-Server (sshd) und Linux, bei dem dann das Linux Sandbox Feature ausgenutzt wird. Im Abschnitt Sandbox sieht man die unterschiedliche Verarbeitung, ja nach dem, was für ein System:

• https://git.tukaani.org/?p=xz.git;a=blob_plain;f=CMakeLists.txt;hb=HEAD

Deswegen funktioniert die xz Backdoor auf FreeBSD mit Capsicum und OpenBSD mit Pledge nicht, sondern nur auf Linux mit Landlock als Sandbox Verfahren. OpenSSH nutzt Sandboxing und Privilege Separation. Die xz Backdoor prüft ausgiebig, dass sie auch wirklich Linux trifft:

• https://research.swtch.com/xz-script

• Die Geschichte vereinfacht und grafisch aufbereitet

Hallo,

habe mir den Thread reingezogen, verstehe allerdings nicht alle Punkte. Die Materie ist mir zu hoch teilweise,

Ich geb's auf und möchte nicht noch weiter Deine kostbare Zeit vergeuden. 😀

Vielleicht kannst Du einem Amateur, noch kurz helfen? ❓

Konkret interessiert mich das:

Auf der DVD waren Images von LinuxMint (sid), ZorinOS und die betroffene GParted-Live-Version.

Habe nur das Mint als "Live" gestartet und ein paar Einkäufe und Banking online gemacht.

Das ganze ist jetzt kein Weltuntergang für mich, aber es würde mich von der technischen Seite interessieren, ob die besagte Mint-Live-Session irgendwie gefährdet war.

Wie gesagt: das GParted-Live auf der DVD habe ich zu keiner Zeit gestartet.

Danke für Deine Unterstützung ☺

Charles

In sid war die xz Backdoor mal kurzfristig hinein geraten. Ob die auch auf der DVD im Image von LinuxMint (sid) enthalten ist? Wer weiß? ¯\_(ツ)_/¯

Wer die DVD in der Hand hat, kann das aber leicht selbst festellen, in dem die xz Version abgefragt wird, im Terminal:

xz --version

Falls es noch nicht klar geworden sein sollte, ohne einen laufenden SSH-Server (sshd) kann die Backdoor nicht backdooren. Wenn ps kein sshd findet, dann läuft der SSH-Server nicht:

ps aux | grep sshd | grep -v grep

Ein laufender sshd würde dann in etwa solch eine Ausgabe erscheinen lassen:

root       15054  0.2  0.1  12540  8520 ?        Ss   12:57   0:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

Mittels systemctl lässt sich solch ein sshd auch ein- oder ausschalten, vorausgesetzt der SSH-Server ist überhaupt installiert.
Auf Ubuntu für den Desktop ist der SSH-Server per default nicht installiert.

kB schrieb:

… ob es sicher ist, hängt von Deinen eigenen Ansprüchen ab, was Du unter Sicherheit verstehst:

Charlie64,
soweit ich das sehe, hast du bislang nicht definiert, was du unter sicher verstehst.

Auch gibst du mal Mint 21.3, mal Mint (sid) an. Was soll das letztere sein? Eine LMDE auf Basis von sid? Das gibt es zumindest nicht offiziell. Wer hat das gebastelt?

Ich bewerte die Nutzung eines Live-Systems, das jederzeit ohne eine Passwortabfrage erweitere Rechte erlangen kann, für so unsicher, dass ich meine Installationen stets offline durchführe. Gerade wenn die Veröffentlichung schon ein paar Monate her ist. (Ja, daily-builds gibt es auch, aber das führt zu weit vom Thema weg).

Und ich frage mich, warum man für Banking glaubt irgendeine Extrawurst braten zu müssen. Misstraust du deiner Bank? Dann wechsle die. Misstraust du deinem Betriebssystem? Dann wechsle das. Misstraust du beidem, führe die Bankgeschäfte offline – sofern du eine Bank in deiner Nähe findest, die das noch anbietet und du dir die Mehrkosten leisten kannst. (Blöder Wandel der Zeiten, ich weiß!)

Gerade für's Banking vertraue ich eher einem voll aktualisierten Betriebssystem (und dazu muss es installiert sein). Das steht zudem in den AGB meiner Bank. Wenn etwas passieren sollte, hätte ich mit einem Livesystem die A…karte. Soll das Banking von dem übrigen Netzkram getrennt sein, lege ich einen weiteren Benutzer an. (Wenn die Installation ab 21.04 ist, musst man nichts weiter unternehmen. – Sofern es ein Ubuntu ist.)

jm2c

@trollsportverein

bin die von Dir genannten Schritte durchgangen, scheint alles in Ordnung zu sein mit dem Mint auf der DVD: die xz-Version ist nicht 5.6.0 / 5.6.1, ein SSH-Server läuft auch nicht im Hintergrund.

Vielen Dank für die Unterstützung 👍

@fleet_street:

die besagte Distribution ist: Linux Mint 21.3 Edge (sid), veröffentlicht von LinuxWelt XXL vom Redakteur Herr David Wolski .

Danke für Deine Tipps, da gibt es noch viel zu lernen in Sachen Sicherheit bei mir.

Sehr beeindruckend das Level an Kompetenz in diesem Forum von Usern wie Euch.

Viele Grüße Charles

...Linux Mint 21.3 Edge (sid) ...

Das ist ein Mint auf Ubuntu-Basis mit HWE-Kernel. Hat mit sid und debian (fast) nichts zu tun. Steht da wirklich "sid" dabei?