Super-GAU bei LinuxMint.com: Website führte zu Backdoor-verseuchtem Installations-ISO, Forums-Datenbank entwendet

21. Februar 2016

Linux hat einen exzellenten Ruf, wenn es um die Systemsicherheit geht, auch wenn die glibc schon mal gravierende Fehler enthält und Heise-Autoren mit dem Thema Überlegenheit von Linux bei Sicherheitsaspekten regelrechte Shitstorms auslösen können.

Doch das nützt alles nichts, wenn die installierte Distribution an sich bereits Schadsoftware enthält. Genau das ist manchen Linuxanwendern nun passiert, die sich am gestrigen Samstag, den 20.2.2015, die Cinnamon-Version über die Linux-Mint-Seite heruntergeladen und installiert haben. Die Webseite war gehackt worden und verlinkte statt auf das korrekte ISO auf eine mit einer Backdoor versehene, gefälschte Version, die Kriminelle zuvor erstellt hatten.

Offenbar nur der Link zu Linux Mint 17.3 mit Cinnamon-Desktop führte zu der gefälschten Version, wer das entsprechende ISO über einen direkten Link zu linuxmint.com heruntergeladen hatte, war nicht betroffen, ebenso waren die Links zu anderen Linux-Mint-Versionen (KDE, XFCE …) und andere Releases als 17.3 wohl einwandfrei. Auch wer die Distribution über Torrents bezog, war nicht gefährdet. Auch die Aktualisierung eines bestehenden Systems bedeutete keine Gefahr. Die Hacker konzentrierten sich auf die aktuelle Standardversion von Linux Mint, um die Schadversion unter die Leute zu bringen.

Das Linux-Mint-Team fordert alle Anwender der betroffenen Version auf, das heruntergeladene ISO zu löschen, gebrannte DVDs zu vernichten und damit beladene USB-Sticks zu formatieren. Ist die modifizierte Distribution bereits installiert worden, sollten persönliche Daten gesichert, die Festplatte formatiert und sämtliche wichtigen Passwörter dringend geändert werden, insbesondere jene für E-Mail-Konten.

Das Beispiel zeigt, dass kein Grund besteht, sich über Windows-Nutzer lustig zu machen, die am Telefon vermeintlichen Microsoft-Mitarbeitern, die den Rechner “reparieren” wollen, ihre Systemdaten durchgeben, und sich am Ende wundern, warum das Girokonto leergeräumt ist. Bei den betroffenen Mint-Usern brauchte niemand anzurufen – die ungewollte Fernwartung war quasi von Haus aus schon dabei, wenn man nicht genau aufpasste, wie das Ziel aussah, von der die Datei heruntergeladen wurde. Auch Linux wird nicht automatisch von Cyberkriminellen verschont.

Neben der Downloadseite wurde auch die Datenbank des Linux-Mint-Forums angegriffen und kopiert. E-Mail-Adressen, Passwörter, Beiträge, PNs und alle weiteren privaten Informationen, die Nutzer z. B. in ihren Profilen angegeben haben, befinden sich nun in der Hand der Hacker. Auch diesbezüglich wird dringend zu einer Änderung der persönlichen Passwörter geraten.

Die Hauptseiten des Linux-Mint-Projekts sind derzeit offline und werden auf weitere Manipulationen hin untersucht.


aus der Kategorie: / Tratsch / Distributionen

---

Kommentare

Den Download von einer offiziellen (leider gehackten) Webseite mit der freiwilligen Herausgabe von Passworten am Telefon zu vergleichen ist mehr als gewagt. Da liegen ja wohl Welten dazwischen.

— Joe Murphy · 22. Februar 2016, 09:40

Da liegen ja wohl Welten dazwischen.
Wirklich? Der Unterschied ist lediglich Unachtsamkeit gegenüber Unbekümmertheit. Und das Ergebnis ist dasselbe.

Pinguinzubehör · 22. Februar 2016, 11:02

“Unachtsamkeit”, ja vielleicht. Aber wer überprüft die den MD5-Hash vor der Installation, wenn das ISO von der offizellen Website geladen wurde? Das ist ungefährt so, als wenn du gerade Geld von der Bank holst und überprüfst, ob nicht gefälschte Banknoten dabei sind.

Und wenn die Hacker den Hash auf der Website auch angepasst haben, passt er dann sogar!

Nein, die Schuld liegt hier zu 99 % bei den Webadministratoren von Linux Mint. Vor allem, wenn ich lese, dass Passwörter gespeichert werden. Das tut man nämlich nicht, nicht mal verschlüsselt. Man errechnet aus User-Id und Passwort eine Passphrase, und mit dieser überprüft man die Richtigkeit der Eingabe. Wird die Passphrase entwendet, kann damit niemand auf User-Id und Passwort rückrechnen. Mit der Passphrase selbst wiederum kann man nicht einloggen.

— Gerald · 22. Februar 2016, 14:48

Puhh, ist ja ganz schön toxic hier.

Ich persönlich finde auch, dass es ein GAU ist und der Fehler ganz klar bei den Admins von Linux Mint zu suchen ist.

Ich arbeite jetzt 8 Jahre mit Linux und habe noch nie den MD5 Hash der ISO überprüft. Trotzdem würde ich mich nicht als fahrlässig bezeichnen.

Man sollte schon darauf vertrauen können, dass die offiziellen Links alle clean sind. Wenn wir jetzt jeden Download auf Malware überprüfen, dann macht das Internet so langsam keinen Spaß mehr.

Justmy2cents.

Thomas · 22. Februar 2016, 23:09

https://duckduckgo.com/html/?q=linux%20mint%20cinnamon%20hash%20md5 ;-)
Klar, nur dass dir DuckDuckGo dann nicht die Hash von der Mint-ISO angiebt, sonder den md5-Hash vom Text “linux mint cinnamon hash”, der tatsächlich “91e74d88a761d5dc31dfb1c08d02d17f” ist, wie DuckDuckGo sagt…

— · 23. Februar 2016, 20:52

Hallo Leute, kommt mal wider runter, das erste was man als mint-user der sich im Forum registriert hat, ist sein Paßwort ändern! Zum Glück ist es bei mir schon eine Weile her, das ich mir eine ISO herunter geladen habe.

— detlef · 22. März 2016, 16:55

(anonymes Kommentieren möglich,
es gibt keine Pflichtfelder!)
Textile-Hilfe für Formatierungen
 

Datenschutzhinweis: Durch das Absenden werden die angegebenen Daten dauerhaft in einer Datenbank gespeichert und veröffentlicht. In der Datenbank wird zudem die beim Zugriff verwendete IP-Adresse sowie der Zeitpunkt des Zugriffs gespeichert. Weitere Hinweise zum Datenschutz