Linux Mint gehackt: ISOs manipuliert und Foren-Datenbank geklaut

Nutzer der Linux-Distribution "Linux Mint" sollten aktuell achtsam sein. Das Entwickler-Team teilte mit, dass die Webserver des Projektes gehackt wurden. Im Zuge dessen wurden vorübergehend manipulierte ISO-Dateien ausgeliefert. mehr... Betriebssystem, Logo, Linux, Linux Mint Bildquelle: Linux Mint Betriebssystem, Logo, Linux, Linux Mint Betriebssystem, Logo, Linux, Linux Mint Linux Mint

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Soviel zu Linux ist sicher. Ha ha ha
Interessiert sich eben nur niemand dafür. Musste herzlich lachen, danke für die News.
 
@BasedGod: Was hat das jetzt mit Linux zutun? Ich lese hier nichts von einer Lücke im Linux Kernel, sondern von einer Schwachstelle in WordPress.
 
@xeno: "Im Zuge dessen wurden vorübergehend manipulierte ISO-Dateien ausgeliefert."
Da wird ja dann wohl was drauf gewesen sein...
 
@BasedGod: das hat aber immer noch nicht mit deinem 1. post zu tun Oo
 
@Mezo: Wer diese ISO Dateien runtergeladen und installiert hat, hatte dann eben Linux drauf, mit Schadware, die gleich mit installiert wurde.
Wie die Schadware reinkommt ist doch nebensächlich. Sicher ist anders.
Wo hat es also nichts mit meinem ersten Post zu tun?
 
@BasedGod: lies meinen post weiter unten, der trifft auch auf diesen post zu.
 
@Mezo: Und nochmal, Nein.
 
@BasedGod: Was hat die Sicherheit eines Betriebssystems damit zu tun, daß die Installationsquellen kompromittiert wurden? Du vergleichst hier Äpfel mit Birnen.
 
@BasedGod: Du kannst auch ein Unattended Windows-ISO mit eingebauten Torjaner/Virus bewerkstelligen. Was hat denn das mit Sicherheit zu tun, wenn im Vorfeld was manipuliert wird?.. Oh jetzt hab ich den Troll gefüttert.
 
@blume666: Ja, diese Trollfütterei passiert einem immer wieder. Ruby hat das aber auch ganz gut drauf mit der Provokation, die einen dann doch wieder zum Antworten verleitet. ;)
 
@BasedGod: Das hat aber nix mit einer "Unsicherheit von Linux" zu tun, sondern mit einem gehackten Webserver. Da nunmal jeder eine eigene ISO erstellen kann wurde die ausgetauscht - daher sollte man auch die Prüfsumme checken, die i.A. auf dem Webseite angegeben ist.
 
@BasedGod: Wer lesen kann ist klar im Vorteil: "erfolgte der Angriff über eine Sicherheitslücke im Wordpress-CMS"
Problem ist hier nicht das OS sondern die Webanwendung.
 
@SirDaemian: Siehe oben
 
@BasedGod: Und wieder nicht gelesen "So wurden beispielsweise die Download-Links der Installations-ISOs auf eine andere Adresse umgestellt. Wer sie laden wollte, bekam die Lieferung nun von einem FTP-Server in Bulgarien. "
 
@SirDaemian: Ja und? Dann war es eben ein anderer Server, es wurden trotzdem ISO's angeboten, aber eben Manipulierte.
Ändert doch nichts daran das man danach ein Linux System installiert hatte, was eben nicht sicher war. Egal aus welchem Grund.
 
@BasedGod: dir ist schon klar dass du hier absoluten blödsinn redest?
 
@Mezo: Nein?
 
@BasedGod: Nein, glaub ich auch. Du raffst es nicht oder du bist ein Troll. Beides ist uncool.
 
@Karmageddon: Es ist das Zweite. Dumm ist der nicht...
 
@BasedGod: Jetzt ist nur noch die Frage, was dieser Artikel mit der Sicherheit von Linux zu tun hat. Die Lücke ist offenbar in Wordpress.
 
@gutenmorgen1: Auch für dich, siehe oben. Zum dritten mal. Alter Schwede
 
@BasedGod: Und was macht es fuer einen Unterschied, welche Software ueber eine Wordpress Luecke kompromittiert wurde?
 
@ryzion: Es wird immer gesagt Linux sei so sicher, niemand kann Linux angreifen oder sich was einfangen.
Das ist einfach mal wieder das beste Beispiel, das es an den Haaren herbei gezogene Lügen sind.
Du kannst auf einer Linux Installation, genau so zum Opfer werden, wie auf einer Windows Installation. Der Unterschied ist nur, für Linux interessiert sich niemand, deswegen halten sich die Opfer in Maßen. (Vor allem weil es kaum DAU's benutzen)

Wäre das anders und die meisten würden Linux nutzen, was denkst du wäre dann los? Da würden sich sicher einige drüber freuen, denn es wäre um einiges leichter angreifbar. Und nein dafür muss der Kernel nicht unsicher sein oder sonst was.
Gibt genug Möglichkeiten den User zum Opfer werden zu lassen, siehe hier.
 
@BasedGod: Ich wuesste nicht, dass das jemand mit Sachverstand behauptet. Aber ich gratuliere dir zu deiner Expertise was die Sicherheitsluecken saemtlicher Betriebsysteme angeht.
 
@ryzion: Danke
 
@BasedGod: Es ist aber trotzdem ein gewaltiger Unterschied, ob jemand eine ISO verändert und irgendwelchen Mist dort reinpackt, als ein fix und fertig installiertes und abgesichertes System anzugreifen. Auch in ein Windows-ISO kannste irgend einem Mist reinpacken, das heißt aber nicht, dass Windows selbst grundsätzlich unsicherer ist nur weil jemand an der ISO rumfummelt. Fakt ist, dass ein verseuchtes Image aufgrund eines Hacks einer Webseite untergeschoben wurde.
 
@BasedGod: Niemand hat Linux angegriffen oder eine Lücke ausgenutzt. Wenn man dir einen USB-Stick gibt und sagt "hier führ' mal aus!" und du das machst, ohne zu schauen, was drauf ist - selbst schuld.

Nicht umsonst werden signierte Prüfsummen herausgegeben. Wer sie nicht nutzt - so wie die Linux-Mint Entwickler - hat er nicht anders verdient. Wer Linux unsicher konfiguriert, hat ein unsicheres System.
 
@BasedGod: Du redest den allerletzten Rotz.
1. Hat das nichts mit GNU/Linux zu tun, es hat nicht einmal etwas mit den Downloadservern von Linux Mint zu tun. Hier wurde einfach in einem Wordpress-Post der Link ausgetauscht.
2. Hat nie jemand behauptet man könne Linux nicht angreifen. Es lohnt sich nur nicht so sehr hierfür Malware zu schreiben, daher ist sie seltener und zuguterletzt auch fast immer nur für eine einzige Distribution wirksam - daher lohnt es sich noch weniger. Es ist aber natürlich möglich Sicherheitslücken zu finden, diese Meldung hat aber nicht mit Linux zu tun. Es hätte auch jede andere Firma sein können, deren Link auf der Homepage zu einem Server in Bulgarien umgeschrieben wurde. Es ist bei der Sicherheitslücke nur am Text editiert worden.
3. GNU/Linux ist relativ sicher, da man keine root-Rechte vergibt. Schadsoftware jeglicher Art kann in einem ISO selbst reingekocht werden, GNU/Linux ist offen und da kann man alles reinbasteln was man will - hat auch nichts mit einem Sicherheitsrisiko zu tun.
 
@gutenmorgen1: du befindest dich hier auf WINfuture, hier wird generell immer so negativ wie möglich über linux berichtet.
 
@Mezo: [ironie]*wein* nein, nein, nein du lüüüüüüüügst. Das ist nicht waaahr. Winfuture schreibt auch positives*heul*[ironie off]
mal im ernst, ich lese hier eigentlich kaum bis gar keine Linuxnews. Gut, den titel hier find ich schon wieder reißerisch.
 
@MarcelP: "ich lese hier eigentlich kaum bis gar keine Linuxnews"

"Die ganze Welt der IT"

Irgendwas passt da nicht.
 
@daaaani: Titel hin oder her, die seite heißt WINFuture und nicht LINFuture oder ITFuture oder so. Ich weiß aber worauf du raus willst
 
@MarcelP: Gib mal www.linfuture.de in den browser ein. *g*
 
@BasedGod: Wer lesen kann, ist klar im Vorteil. Linux war hier nicht das Problem.
 
@starship: Egal wo das Problem lag. Man war nicht sicher, trotz Linux Installation, was einem so oft vorgegaukelt wird. Wie man sich infiziert hat spielt keine Rolle.
 
@BasedGod: Linuxinstallation != kompromittierte Linuxinstallation

Wenn man ein BS aus einer manipulierten Quelle installiert, ist die Installation hinterher freilich madig, das liegt dann aber kaum am BS selber.
 
@starship: Du kannst sicher sein, er WILL gar nicht lesen. Nur bashen.
 
@hcs: Ich glaubs auch fast... aber würde "bashen" nicht Linuxkenntnisse erfordern? <scnr> ;)
 
@starship: der war gut. :) Und es klingt besser also "Kornshellen". :)
 
@starship: Das würde überhaupt erstmal irgendwelche Kenntnisse erfordern. In der Tat hat er welche,.. wie man sich illegales Zeugs beschlaft.
 
@BasedGod: Also wenn ich einen Panzer kaufe, der bereits beim Herstellungsprozess eine integrierte Bombe verpasst bekommen hat, die zufälligerweise durch meinen Feind auslösbar ist, wer hat dann Schuld?

Ist der Panzer generell unsicher, weil er bereits von der Planung her Sicherheitslücken aufweist oder ist der Hersteller schuld, weil während der Herstellung jemand eine Bombe verbauen konnte?
 
@BasedGod: Das ganze ist hier kein Linux-Problem, denn hier wurde das Installationsmedium (ISO-Datei) manipuliert. Das ganze kann mit jedem Betriebssystem passieren, das man als ISO herunterladen kann.

Das hätte auch Microsoft mit Ihren Windows-ISO's passieren können.
 
@BasedGod: Selten so einen schwachsinnigen Kommentar in einem IT-News Forum gesehen.. Entweder hast Du nur die Überschrift gelesen oder generell ein Problem mit Linux, aber wie die Vorredner schon zu Genüge erwähnt haben war nicht Linux das Problem!
Wenn Du Dir ein Windows Image bei Microsoft herunterladen möchtest, aber jemand den Downloadlink durch eine Sicherheitslücke von der Internetseite auf seinen eigenen FTP Server umgeleitet hat und Du dann ein manipuliertes Image herunterlädst & installierst, ist dann auch Windows unsicher?
- Nein, das Problem war lediglich die Homepage, bzw. das die dort hinterlegten Downloadlinks geändert werden konnten!
 
In welches Loch der Knabe von Heise jetzt wohl krabbelt... http://tinyurl.com/glysqbe Und was der wohl glaubt, was passiert, wenn Linux auf 90% der Rechner weltweit läuft...
 
@sneak72: Es wäre eine Sache, wenn es geschafft worden wäre, Mint per Softwareupdate zu manipulieren, aber das Problem wurde von einem CMS verursacht und das auch nur für einen begrenzten Zeitraum. So etwas kann nun einmal passieren und ist kein Linux-exklusives Problem.
 
@gutenmorgen1: wf hat eben mal wieder ganze arbeit mit dem titel geleistet ;)
 
@Mezo: Ist aber kein Problem, wenn man den ganzen Text durchliest. BaseGod verweigert das ja Konsequent. Die Überschrift reicht ihm. :)
 
@hcs: Typische Linux User, aber mir vorwerfen ich verschließe die Augen. Dabei macht ihr das doch schon immer und führt es hier gekonnt fort. Gratulation.
 
@BasedGod: Du hast null Ahnung :) Macht ja auch nichts. Aber wer von der Technik keine Ahnung hat, sollte sich vielleicht vom PC-Service seines Vertrauens helfen lassen. So wie meine Oma, die ist etwa auf dem gleichen Verständnis-Level wie du.
 
@BasedGod: Du bist doch auch Linux-User ... weißt es bloß noch nicht
 
@Der_da: Wenn dann nur aufm Smartphone, wenn man es so sehen will. :P
Will hier auch nichts anderes höher loben, jeder hier weiß wie ich aktuell zu Microsoft stehe, dennoch ist Linux eben kein Stück besser. Nimmt sich nichts, was das angeht.
 
@BasedGod: Was hat dir die GNU/Linux-Gemeinde denn heute wieder böses angetan? Sch geweigert ein Frontend zu schreiben, damit für dich durch Haken setzen ein Wert von TRUE auf FALSE geändert wird in einer Textdatei, damit du dich damit nicht auseinandersetzen brauchst? Böses Linux!
 
@otzepo: Linux ist nicht böse. Linux ist sehr freundlich - nur sehr wählerisch bei der Freundes-Wahl :) :D
 
@notepad.exe: :)

Warum fällt mir dazu gerade dieses Video ein?
https://www.youtube.com/watch?v=ZA2kqAIOoZM
 
@sneak72: Die Kommentarfunktion von Heise ist sowas von unbrauchbar. Die verschachteln alles damit Sie mehr klicks generieren. Furchtbar.
 
Interessant wäre jetzt, ob auch die Pfade zu den Quellen der Updates verändert wurden, sprich: könnte man sich die Schadsoftware auch per Update aus dem laufenden System heraus einfangen bzw eingefangen haben? Die sind zwar in der Installation hinterlegt, lassen sich ja aber theoretisch serverseitig umleiten.
 
@starship: Die repositorys sind signiert und den schlüssel muss man vertauen, so einfach ist das nicht.
 
@starship: Es wurde nur auf der Homepage der Link zum Download geändert. Die Angreifer konnten nur in Wordpress den Text editieren. Das hat nichts mit den Servern oder dem Anbieter zu tun, es ist nur eine Sicherheitslücke in Wordpress gewesen. Heute werden fast alle Homepages mit solchen Apps zur Verfügung gestellt und es hätte jeden treffen können.
Ob die nun ihr Wordpress nicht auf dem neusten Stand hatten und daher die Lücke vorhanden war steht auf einem anderen Blatt (und nicht im Artikel).

Das vom bulgarischen Server bereitgestellte Installationsmedium kann alles beinhalten, im Prinzip auch die Insiderpreview von Windows 10. ;)
 
Hab mir das da mal angeschaut. Sieht irgendwie seltsam aus. MD5-Summen zur Prüfung? Wo das doch schon vor 10 oder so Jahren geknackt wurde? ISOs und Prüfsummen auf demselben Server? Keine Signaturen (pgp oder auch nur andere, längere Hashes)? Kein HTTPs?

Kopfkratz.

Das war wohl auch so ein bißchen ein Fall von Vorführen. Frei nach dem Motto, so offen wie das steht muß man ja einbrechen.

Einbrechen kann natürlich immer passieren, aber so ein richtiges Sicherheitskonzept re: Webserver und Distribution scheint man bei denen auch nicht zu haben.
 
@RalphS: Ist doch alles egal in dem Fall.
Auch wenn die Homepage auf unterschiedliche Server verweist, beide Links wären umgeschrieben worden. Sichere Hashes auch egal, es geht nur darum um zu schauen ob der Download erfolgreich war. Wozu verschlüsselt, es geht nur um das Bereitstellen vom Installationsmedium von einem FTP-Server.
 
@otzepo: Und genau diese Denke ist der Grund, warum sowas passiert. Das ist ein Netz; da sind Sender und Empfänger gleichermaßen für die Kontrolle zuständig.

Wer ein ISO Image fälscht und den Hash so manipulieren kann, daß der Originalhash aufs manipulierte Image paßt, hat sich erfolgreich aus der Schlinge gezogen.

HTTPs verschlüsselt nicht nur, sondern authentifiert und identifiziert. Wenn der Empfänger dann nicht prüft, ob die Quelle die richtige ist, ist das blöd...aber, dann ist der Anbieter raus.

Heutzutage ist jede poplige Windowsanwendung per AuthentiCode signiert und hier reden wir von einer ganzen Betriebsumgebung. Ich glaub da darf man mit ein bißchen Rechtfertigung etwas mehr als einen simplen Broadcast ("ich schick das raus, mir doch egal was damit passiert) erwarten.

Andererseits braucht es halt solche Tritte, damit sich was tut. Ohne Schmerz lernt der Mensch nicht.
 
@RalphS: Die Verteilung erfolgt doch einfach über FTP-Server auf denen alles liegt.
https://ftp.heanet.ie/mirrors/linuxmint.com/stable/17.3/
da ist zum Beispiel dieser Mirror. https ist es, ISOs liegen da und die Prüfsummen sind nicht zur Echtheitsbestimmung sondern um den vollständigen Download zu verifizieren.

Anders machen es die Unis auch nicht
https://ftp.fau.de/fedora/linux/releases/23/Workstation/x86_64/iso/
 
@otzepo: Ha - Danke für den Link. Hast Du da auch reingeschaut?

Vermutlich nicht, denn dann hättest Du gemerkt, daß die CHECKSUMS Datei pgp-signiert ist und damit die Hashes gegen Veränderung gesichert sind.

Das macht nicht jeder, das stimmt natürlich, aber nur weil es "viele" ähnlich halten, macht es die Situation nicht besser (eher schlimmer).

- Nach Deiner Argumentation wäre es übrigens sinnvoller, CRC zu verwenden. Das geht sehr viel schneller zu berechnen als MD5 oder SHA und man müßte sich auch die Frage gefallen lassen, warum heutzutage Dateien zunehmend per SHA256-Prüfsumme zu verifizieren sind und nicht per MD2 oder sonstwas.
 
@RalphS: Hattest du dann auf dem bulgarischen Server das manipulierte ISO mit den Checksummen angeschaut und dich über veraltete Verfahren beschwert?
Denn das was ich gepostet habe sind offizielle Downloads von Mint und Fedora...
 
Die müssen den Webadmin feuern.
 
Gehashte Passwörter kann man nicht entschlüsseln... Das geht schon wegen der One-Wayness von Hashfunktionen nicht.
 
@Windowze: wenn man den MD5-Hash von 123456 kennt weiß man bei dem Hash, dass es sich um 123456 handelt. "Entschlüsseln" ist nicht korrekt ausgedrückt, aber abgleichen kann man Hashes.
 
@otzepo: Jo... das habe ich nicht bestritten. Kollisionen finden ist immer möglich. Aber "entschlüsseln" war halt der falsche Ausdruck
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles