Mit Linux Datendiebstahl im großen Stil möglich?
-
Ich frage mich, wann der Tag kommt, an dem jemand eine neue Linux Distribution herausbringt.
Dabei kann er sie auch von Debian & Co ableiten und dann nur modifizieren.Und die Binärpakete dann so modifiziert, dass sie nach einiger Nutzungszeit nach Hause telefonieren und alle Passwörter usw. weitergeben.
Es wird ja genug Linuxer geben, die eine neue Distri gleich ausprobieren.
Und nicht alle dürften, das nur in einer VM machen.
Es dürfte genug geben, die gleich damit anfangen und die Distri im normalen Alltag einsetzen und dann natürlich alle ihre PW verraten.
-
Und, warum braucht man dafür Linux? Warum kann man nicht eine angepasste Firefox Version machen, dann erwischt man auch gleich die Windows Nutzer.
-
Weil sich niemand Firefox von einer Wald und Wiesen Webseite downläd.
Eine Linux Distribution aber, mit eigener Domain, die überall in der Linux Community groß angekündigt wird, ist ein ganz anderes Kaliber und das verschiedene Linux Distributionen ausprobiert werden, dass ist eine Tatsache.
Firefox läd man sich nur direkt von mozilla.org oder von vertrauenswürdigen Seiten wie chip.de, heise.de etc.
-
...
-
Swordfish schrieb:
Wann kommt der Tag? schrieb:
Weil sich niemand Firefox von einer Wald und Wiesen Webseite downläd.
Schon schon, ich kenn' solch' Leut'.
Also ich nicht und bestenfalls laden die sich Firefox von der Webseite der Computerbild.
Es macht ja auch keinen Sinn, Firefox von woanders herzuholen, weil selbst bei der Google suche, eine der seriösen Seiten wie chip.de, download.com usw. an der obersten Stelle steht.
-
Wer soll sich den eine Wald und Wiesen Distribution herunterladen?
-
...
-
Swordfish schrieb:
Early adopters
Exakt, genau die und dass sind dann oftmals keine Laien, sondern Computerinteressierte die sich dafür interessieren, was es in der Linux Welt so neues gibt.
Darunter gehören dann auch erfahrene User und das ist das größte Dilemma, wenn selbst diese reinfliegen.Manche von denen werden vielleicht die Distri erst in einer VM testen, das ist schon möglich, aber wenn sie auch nur Browsen und z.B. sich in einer ihrer diversen IT Foren mit ihrem Account einloggen ist es schon zu spät.
-
Wann kommt der Tag? schrieb:
Exakt, genau die und dass sind dann oftmals keine Laien, sondern Computerinteressierte die sich dafür interessieren, was es in der Linux Welt so neues gibt.
Solche Leute interessieren sich aber nur dafür, wenn der ganze Prozess offen ist.
Also Skripte um die Distri zu erstellen, der Quellcode für die Distri, etc.
Ist das nicht da, interessiert sich kein Vogel dafür.
Ist das da, merkt man ziemlich schnell, dass da etwas nicht stimmt (und sei es, weil die sha1sum anders ist). Mit der Strategie kriegt man vielleicht 10, wenns gut kommt 100 Passwörter raus, aber der Aufwand dafür ist enorm.Es gibt einfachere und effektivere Möglichkeiten, an Passwörter zu kommen.
-
earlybirdy schrieb:
Wann kommt der Tag? schrieb:
Exakt, genau die und dass sind dann oftmals keine Laien, sondern Computerinteressierte die sich dafür interessieren, was es in der Linux Welt so neues gibt.
Solche Leute interessieren sich aber nur dafür, wenn der ganze Prozess offen ist.
Also Skripte um die Distri zu erstellen, der Quellcode für die Distri, etc.
Ist das nicht da, interessiert sich kein Vogel dafür.Den Quellcode legt man natürlich bei, aber wer macht sich wohl die Mühe den durchzusuchen?
Außerdem könnte man auch Quellcode beilegen und trotzdem ein ganz anderes Binary ausgeben, dass auf modifiziertem Quellcode basiert.
Das merkt auf die schnelle kein Mensch.Ist das da, merkt man ziemlich schnell, dass da etwas nicht stimmt (und sei es, weil die sha1sum anders ist). Mit der Strategie kriegt man vielleicht 10, wenns gut kommt 100 Passwörter raus, aber der Aufwand dafür ist enorm.
Also ich kann mir schon vorstellen, das so ne neue Distri von > 10000 Personen ausprobiert wird. Insbesondere gilt dies, wenn sie was neues oder besseres zu bieten hat.
-
Der Quellcode interessiert natürlich keinen, so eine komplette Distri sind wahrscheinlich über 100 Mio Zeilen Code, die wird sich kein Mensch anschauen.
Aber es ist jetzt auch nicht so einfach, einfach so irgendwo eine infizierte Distri abzulegen und darauf zu hoffen, dass Tausende User die runterladen und ausprobieren. Dazu muss die schon irgendwas bieten und halbwegs bekannt werden, z.B. durch Besprechungen in entsprechenden Foren oder Zeitschriften. Und dann wird sich doch jemand den Traffic anschauen und feststellen, dass da was nicht passt und das ganze fliegt ziemlich schnell auf. Ich finde, der Aufwand lohnt sich überhaupt nicht, da fährt man mit irgendwelchen 0day Exploits für den IE oder Firefox viel besser.
-
ich finde das szenario garnicht so unglaubwürdig und bin ebenfalls der meinung, dass man damit viele pcs verseuchen könnte.
der aufwand könnte sich auch in grenzen halten in dem man eine distri für eine bestimmte zielgruppe zusammenstellt. also alle interessanten tools für diese gruppe von leuten (z.b. programmierer, netzwerkheinis, admins u.s.w.) zusammenstellt und eine attraktive default-konfiguration zusammenbaut.
dazu noch ein wenig andere open-source software reinpacken, die man in anderen distris nicht so oft findet und das ganze attraktiv anpreisen.gibts alles schon. dutzendfach. trotzdem gibt es distris wie sand am meer und werden auch alle fleißig verwendet.
-
allein schon weil eine linux distribution nie einen relevanten marktanteil bekommt ist dieser ansatz voll für die katze.
unabhängig von der undurchführbarkeit.
-
Mechanics schrieb:
Der Quellcode interessiert natürlich keinen, so eine komplette Distri sind wahrscheinlich über 100 Mio Zeilen Code, die wird sich kein Mensch anschauen.
Weshalb es auch
diffodergit loggibt.
Grüssli
-
Einfach die Finger von diesen OpenSource frickelein lassen und das Problem ist gelöst.
Windows > All
-
Microsoft schrieb:
Einfach die Finger von diesen OpenSource frickelein lassen und das Problem ist gelöst.
Windows > All
Windows, ist das nicht das OS vom Weltmarktführer?
