Bekannter IRC-Server mit Trojaner ausgeliefert

Sicherheitslücken Der bekannte und weit verbreitete IRC-Server UnrealIRCd wurde über einen langen Zeitraum mit einer Backdoor angeboten. Das teilten die Entwickler am Wochenende mit. Das Sicherheitsproblem wurde inzwischen beseitigt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie kann so etwas passieren? Aus meiner Sicht mangelnde Qualitätskontrolle!
 
@Antiheld: So wie ich das lese sind die Dateien auf Mirrors verstreut, sprich auf Server die sich deren Kontrolle entziehen. Signierte Pakete hätten das aber verhindern können, der ein oder andere der es runtergeladen hat, hätte den Key evtl. controlliert und den Fehler bemängelt. Jetzt wo es passiert ist, wird erst reagiert, so schnell wird das denen nicht mehr passieren :)
 
War da keine komple Sicherheitssuite vorinstalliert, die Alarm geschlagen hätte ? - Duck und weglauf ...
 
@AWolf: Hast du bloß die Überschrift gelesen?...
 
@klein-m: Auch der Text läßt vermuten, daß der Trojaner bis Dec. 2009 auf allen Servern von der Firma IRC ausgeliefert wurde. Angeblich seien die Server von IRC weit verbreitet, obwohl mir der Name unbekannt ist. Jetzt weiß ich, daß es sich um eine Spielerei, wie den Internet Relay Chat handelt. Nun, der WF- Text gibt das _nicht_ her.
 
@AWolf: Im Text steht in keiner Zeile, dass eine Firma mit dem Namen IRC Server (Hardware) ausliefert.
 
@AWolf: nunja der Link zum UnrealIRCd Projekt hätte aufschluss darüber geben können und vll solltest du mal den irc chat von winfuture aufsuchen ^^ auf jeden fall lässt der text auf der offiziellen homepage vermuten das die selbst nicht mal schuld daran sind "We found out that the Unreal3.2.8.1.tar.gz file on our mirrors has been replaced quite a while ago with a version with a backdoor (trojan) in it." ich denk mal für die meisten war 3.2.8.1 auch sowieso nicht wichtig genug um es zu installieren
 
@AWolf: Hallo, IRC ist ein bekanntes Protokoll und eine bekannte Anwendung, wurde also implizit durchaus in der Meldung erwähnt. Weiterhin ist es ein Kommunikationsmedium/-protokoll und keine Spielerei. Und wie bereist gechrieben wurde, steht da nichts von einer "Firma IRC". Du solltest ernsthaft darüber nachdenken, ob Du Dich weiterhin derart gründlich blamieren willst in einem IT-Forum, wenn Du doch so offensichtlich keine Ahnung von der Materie hast. MfG Drachen
 
@AWolf: Obvious Troll is Obvious
 
@AWolf: Du bekommst die goldene DAU Karte verabreicht - mit dem Zusatzeintrag "Von nicht´s ne Ahnung aber blubbern"!!!
 
Diesen "Bonuspatch" innerhalb des Servers hat die Musik- und Filmmafia dort platziert. /Verschwörungstherorie off ;-)
 
OpenSource halt. Da kann eben jeder am Quellcode rummanipulieren. Und wenn es demjenigen auch noch gelingt die Pakete auf dem Downloadserver auszutauschen kommts zu der irren Situation dass sich der Anwender sein Trojanerverseuchtes Programm auch noch selber zusammenkompiliert.
 
@DennisMoore: Trojaner mitliefern geht auch bei Closed-Source wunderbar. dazu muss man nichtmal an den Quellcode.
 
@DennisMoore: Mittels Reverse Engineering lässt sich überall rummanipulieren. Oder wie meinst du werden die ganzen Cracks hergestellt?... Denkst wohl auch, dass die Original-Exe-Dateien im Open-Source-Code vorliegen?... Komischer Versuch gegen OS zu wundern...
 
@klein-m: Ob jetzt gegen open source oder nicht, letztlich zeigt der fall aber dass ein vorliegender quelltext (und nur in diesem war der trojaner enthalten) die sicherheit nicht erhöht hat, immerhin hat man den source von einer vermeintlich vertrauensvollen quelle gezogen. Das widerspricht in der summe doch ganz erheblich genau dem was os jünger oft behaupten dass der offene source die sicherheit generell erhöht - es schaute eben wie so oft schlicht keine sau mehr rein
 
@0711: Korrekt!
 
@0711: Nö, zeigt nur die Dummheit der Leute da... 1) War nur der Tarball betroffen 2) Hatten die Leute das signieren eingestellt 3) Frag ich mich ernsthaft wie jemand einen verseuchten Tarball auf den Mirror von den Leuten bekommen hat, da nur der Qelltext im Tarball betroffen war aber nicht der im CVS ... Btw. Am Ende wird sich noch rausstellen das jemand den Mirror korrumpiert hat. ^^
 
@root_tux_linux: neben dem reinen tarball wurde wohl auch das gentoo repository damit ausgeliefert. Sicher ist das signieren ein schutz den man aber ebenso bei binaries einsetzen kann und deshalb kein "exklusiver" vorteil von os ;)
 
@0711: 1) Sagte keiner dass das signieren irgendwas mit OSS oder CSS Vorteil zu tun hat. Zumindest ich ned.. Sondern nur das diese Genies auf die Sicherheit verzichtet haben 2) Was hat Gentoo damit zu tun? Jede Distro die den Tarball nutze wäre/ist betroffen. 3) Ist das genau so gut mit CSS möglich, was auch schon vorkam. 4) Aber jetzt hier das OSS Prinzip als "unsicher" dar zu stellen wie es Dennis versucht ist komplett daneben...
 
@root_tux_linux: So seh ich das nicht, und er hat es sicher auch nicht gesagt/ verallgemeinert. Wenn ich ein wenig weiter denke und beachte wo ich hier bin... bin ich mir verdammt sicher, dass es ein Seitenhieb gegen die Leute ist, welche einfach OpenSource als sicher verallgemeinern und im gleichen Moment zu Applejüngern sagen dass sie sich mit OS.X in falscher Sicherheit wiegen... :)
 
@root_tux_linux: sicher stimmt das....aber dennis macht genau das was viele linuxjünger schon länger machen...nur in die andere richtung ...das mit dem gentoo repository war lediglich ein hinweis
 
@DennisMoore: Das kann doch gar kein OpenSource sein! Sonst hätten doch unsere Cracks, die auf eben jenes schwören, den Trojaner innerhalb weniger Tage gefunden. Nein, das kann es wahrlich nicht sein... ;)
 
@DennisMoore: Dank OpenSource ist der Trojaner entdeckt worden. Bei den "Blackboxs" der CloseScources würde das Teil still weiterlaufen...
 
@Kobold-HH: Ja, und es hat nur ein halbes Jahr gedauert bis er im Quellcode(!) entdeckt wurde. Und das bei einem eher kleinen Programm. Möchte nicht wissen was man in größeren Projekten so einschleusen könnte was erst nach Jahren gefunden wird.
 
@Kobold-HH: der trojaner war aber nur in der reinen source variante und nicht in den fertigen binaries enthalten
 
@DennisMoore: Das Vollhonks immer Verallgemeinern müssen...
 
@DennisMoore: Source basierende Systeme mit entsprechendem Paketmanagment überprüfen automagisch die checksummen und noch mehr Merkmale. Da die Dateien auf den Mirrorservern manipuliert wurden, hätte die falschen Checksummen das Paketmanagment davon abgehalten, den manipulierten Sourcecode von den Mirrorservern anzunehmen. Das Paketmanagement probiert dann so lange die Quellen durch, bis es unmanipullierten Sourcecode mit den korrekten checksummen bekommt, oder aufgeben muss, weil nur noch manipuliertes zu finden ist. Zum Beispiel das Gentoo Linux System würde derartige manipulierte Tarbollen nicht annehmen, die haben ziemlich extreme Sicherheitsvorkehrungen gegen solche Manipulationsversuche getroffen.
 
@Fusselbär: du hast aber mitbekommen dass, das infizierte paket im gentoo repo war?
 
@0711: Habe bei dem OS nachgeschaut das ich selbst verwende und da ist der md5 für das distfile seit August 2009: 7b741e94e867c0a7370553fd01506c66 das heißt, das ist das Orginal und nicht der manipulierte Tarbollen. Gentoo arbeitet ähnlich, die haben ebenfalls unter anderem die Checksummen Überprüfungen in ihrem Portage System. Ach ja schnell mal bei den Gentoorianern nachgeschaut brachte es ans Licht: "The unrealircd taball in the gentoo mirrors _is_ affected but the Manifest file's signatures match the _unaffected_ tarball. This discrepancy is how the backdoor was discovered" Die haben also die manipulierte Datei entdeckt _weil_ ihr Portage System mecker gemacht hat, weil das eben genau gegen so was diese Überprüfungen eingebaut hat.
 
@Fusselbär: ...ja sie habens aufgedeckt...aber recht spät, es ist ja nicht so dass, das paket erst ne woche im gentoo repo war
 
@Fusselbär: Und was hat das jetzt mit dem downloadbaren manipulierten Sourcecodepaket zu tun? Ich seh da weit und breit kein Paketmanagement, sondern nur nen Downloadlink.
 
@DennisMoore: Das ist eben der Unterschied zwischen anständigem Softwaremanagment und dem Windows Chaos. Während bei anständigem Softwaremanagement definiert wird, was auf das System kommt und entsprechend vorher geprüft wird, regiert auf Windows das blanke Chaos, jeder saugt sich wild aus dem Internet von dubiosen Quellen irgendwas herunter, kann das nicht überprüfen und hofft bloß darauf das die Virenklingel anschlägt, die aber nur das erkennen kann, was ihr als Schadsoftware bekannt ist. Das ist das Verhältnis von Whitelist beim Paketmanagement zu Blacklist bei der Virenklingel. Bei der Größe und Vielfalt die das Internet bietet, ist es ganz klar, dass das Prinzip der Virenklingel versagen muss. Das Whitelist Prinzip bietet hingegen die größere Sicherheit. Die totale Sicherheit kann und wird es aber nie geben.
 
@BAY_B: tatsächlich fehlt eigentlich nur ein Wort, um die an einer Stelle irreführende Aussage zu korrigieren: "Wer die Datei also seitdem heruntergeladen hat und DAMIT einen IRC-Server betreibt". Wenn man wie von Dir angeregt "Client" statt "Server" einsetzt, wird es definitiv noch "falscher". MfG Drachen
 
@BAY_B: eigentlich könnte man auf den link klicken und mal nachschauen was unreal ircd eigentlich bedeutet und dann wissen das es ein irc server ist. ich versteh nicht warum hier leute sagen die news wären falsch wenn sie diese nichtmal richtig verstanden haben...
 
@DataLohr: lesen dauert zu lang. wenn einen das thema eh nicht interessiert lohnt sich das lesen also nicht, daher schnell nur nen doofen kommentar abgeben und weiter zum nächsten troll-beitrag :-D
war das hier bei winfuture nicht mal so, dass "unbekannte fachwörter" (IRC, Server, Tronajer, PC, Windows... muahaha) mal unterstrichen und erklärt waren? gibt doch extra html-tags dazu, soweit ich weiß ;-)
 
@asd: das war glaub ich auch nur werbung
 
Das ist ein Todesschuss, das ist ein Todesschuss !!!!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles