Steel: Filezilla mit Trojaner

Moin!

Hat ja der ein oder andere viellicht noch nicht mitbekommen: Filezillaversionen mit Trojaner

Wie ich finde, ein gutes Beispiel fuer einen Grund, Software nur aus Originalquellen zu beziehen. Was aber wenn diese Originalquelle eine Datenkrake ala google ist, die man um jeden Preis vermeiden will?

Hier sehe ich das groesste Problem, bei der Appversorgung fuer Smartphones. Obwohl... Was einem da alles schon durch die Apps angetan wird... Da is'n zusaetzlicher Trojaner oder die totale Kontrolle durch eine Datenkrake doch eigentlich Wurscht?

--
Signaturen sind bloed.
  1. Mahlzeit,

    ich versteh jetzt den Zusammenhang nicht. Bei Filezilla wurde bewusst ein Trojaner eingeschleust, um Zugangsdaten abzugreifen, Google bietet eine Plattform auf der Appentwickler ihre Apps anbieten können.

    Kannst du mir bitte erklären, wo du da einen Zusammenhang siehst? Vielleicht steh ich nur aufm Schlauch.

    --
    42
    1. Moin!

      Kannst du mir bitte erklären, wo du da einen Zusammenhang siehst? Vielleicht steh ich nur aufm Schlauch.

      Es wurden Filezillaversionen manipuliert und auf anderen als der originalen Downloadseite angeboten. Das kann natuerlich immer schnell passieren, wenn man sich seine Software nicht direkt aus der Quelle, sondern von dritten holt.

      Bei Android (als Beispiel halt google, es ginge aber auch Steam oder sonst ein Anbieter - da wirds dann aber oft schon illegal) ist die Quelle in den meisten Faellen der Playstore und nichtmal die Hersteller selbst. Jetzt moechte man aber nicht dass der bloede Playstore (Steam, ...) jedes bekloppte Programm kennt das man sich installiert und greift auf die Software aus unbekannten Quellen zurueck und bekommt nen Trojaner untergeschoben.

      Man hat heutzutage fast nur noch die Wahl sich, und alles was man tut, registrieren zu lassen oder sich was schaedliches (Malware) zu fangen. Wobei das Originalprodukt ja auch schon in vielen Faellen noch viel mehr tut als das weswegen man es sich geholt hat.

      Der letzte Absatz ist extra neutral geschrieben, da sich die Entwicklung auch auf andere Bereiche als Smartphoneapps bezieht. (z.b. Smart-TVs die einfach mal alles was man macht in der Welt - sprich: Hersteller, Sendeanstalten und auch google - herumverteilen, sobald sie Netzzugang haben, obwohl keine Onlinefunktion aktiviert ist)

      Man koennt bald meinen smart heisst "Secret Malicious Application Running Technology"

      "Schoene neue Welt" aber "30 Jahre zu spaet".

      --
      Signaturen sind bloed.
      1. Hi,

        Es wurden Filezillaversionen manipuliert und auf anderen als der originalen Downloadseite angeboten. Das kann natuerlich immer schnell passieren, wenn man sich seine Software nicht direkt aus der Quelle, sondern von dritten holt.

        das ist ein Grund, warum seriöse Anbieter von Software oft auch eine MD5-Prüfsumme ihrer Archiv- oder Imagedateien angeben. Dann kann man nach dem Download erstmal überprüfen, ob es sich wirklich um das nicht manipulierte Original handelt.

        Bei Android (als Beispiel halt google, es ginge aber auch Steam oder sonst ein Anbieter - da wirds dann aber oft schon illegal)

        Wieso illegal? Was ist illegal daran, wenn ich mir Software nicht von einem Zwischenhändler, sondern direkt von der Quelle besorge?

        Man hat heutzutage fast nur noch die Wahl sich, und alles was man tut, registrieren zu lassen oder sich was schaedliches (Malware) zu fangen. Wobei das Originalprodukt ja auch schon in vielen Faellen noch viel mehr tut als das weswegen man es sich geholt hat.

        Da ist was dran. Und das ist leider keine neue Erkenntnis; das gilt beispielsweise für Windows und dessen Komponenten seit vielen Jahren, ist aber selbstverständlich nicht auf Windows beschränkt.

        Man koennt bald meinen smart heisst "Secret Malicious Application Running Technology"

        YMMD :-)

        So long,
         Martin

        --
        Die letzten Worte des Architekten:
        Mir fällt da gerade was ein...
        Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
        1. Hi!

          das ist ein Grund, warum seriöse Anbieter von Software oft auch eine MD5-Prüfsumme ihrer Archiv- oder Imagedateien angeben. Dann kann man nach dem Download erstmal überprüfen, ob es sich wirklich um das nicht manipulierte Original handelt.

          Ja. Hab ich eben schon was zu geschrieben. (Post von Martin Rettberg)

          Bei Android (als Beispiel halt google, es ginge aber auch Steam oder sonst ein Anbieter - da wirds dann aber oft schon illegal)

          Wieso illegal? Was ist illegal daran, wenn ich mir Software nicht von einem Zwischenhändler, sondern direkt von der Quelle besorge?

          Mit Illegal meine ich, daß Steam oft der einzige Anbieter von Software ist. Ich sehe einen Unterschied zu einer kostenlosen App oder einem Vollpreisspiel, daß man, wenn man es anderswo besorgt, nicht beim Hersteller bezahlt. Das Wörtchen 'oft' soll sagen, daß es natürlich ausnahmen gibt. Hab auch schon das ein oder andere Steam Spiel legal im Laden gekauft und um Steam herum installiert. Bin mir aber fast sicher, daß das nicht mehr geht.

          Klar kann man evtl. Irgendwo nen Crack bekommen, aber da sind wir ja schon wieder bei Malware und Trojanern.

          Man koennt bald meinen smart heisst "Secret Malicious Application Running Technology"

          YMMD :-)

          Immerhin was... ;)

          --
          Signaturen sind bloed.
      2. હેલો

        Man hat heutzutage fast nur noch die Wahl sich, und alles was man tut, registrieren zu lassen oder sich was schaedliches (Malware) zu fangen. Wobei das Originalprodukt ja auch schon in vielen Faellen noch viel mehr tut als das weswegen man es sich geholt hat.

        Es besteht ja auch die möglichkeit, dass einige Apps direkt aus den Büros der Geheimdienste stammen. Denen traue ich alles zu.

        બાય

        --
         .
        ..:
  2. Hi!

    Wie ich finde, ein gutes Beispiel fuer einen Grund, Software nur aus Originalquellen zu beziehen.

    Solange man die Checksum des Programms mit der auf der Originalseite vergleicht, sollte man meiner Meinung nach weiterhin von Mirrors saugen. So entlastet man den/die Server des Projekts und hat bessere Chancen, eine Kompromittierung zu erkennen.
    Besser ist natürlich, wenn man sich bei einem persönlichen Besuch den PGP-Key des Entwicklers geben lässt und ihn darum bittet, dass er seine Releases in Zukunft digital signiert.

    Da is'n zusaetzlicher Trojaner oder die totale Kontrolle durch eine Datenkrake doch eigentlich Wurscht?

    Der Unterschied ist, dass einem bei der ganzen Datensammelei eventuell in Zukunft mal geschadet werden könnte – bei einem Trojaner ist das fast sicher.

    \0

    1. Moin!

      Wie ich finde, ein gutes Beispiel fuer einen Grund, Software nur aus Originalquellen zu beziehen.

      Solange man die Checksum des Programms mit der auf der Originalseite vergleicht, sollte man meiner Meinung nach weiterhin von Mirrors saugen.

      Und da hab ich entweder was verpasst oder ich verstehe es einfach nicht. Ich weiß was ne Checksumme ist. Aber 90% meiner Bekannten tun das nicht. Zumal man auch noch ein extra Tool installieren muss, oder hab ich was übersehen? Nicht mal ich kontrolliere das regelmäßig, weil ich erstmal suchen muss ob und wo ich grad n Tool hab, das sie mir anzeigt, weil ichs zu selten brauche.

      Nette Kontrolle so ne Checksumme, aber total überflüssig für 08/15 Anwender weil sie damit nichts anfangen können.

      --
      Signaturen sind bloed.
      1. Hallo

        Wie ich finde, ein gutes Beispiel fuer einen Grund, Software nur aus Originalquellen zu beziehen.

        Solange man die Checksum des Programms mit der auf der Originalseite vergleicht, sollte man meiner Meinung nach weiterhin von Mirrors saugen.

        Und da hab ich entweder was verpasst oder ich verstehe es einfach nicht. Ich weiß was ne Checksumme ist. Aber 90% meiner Bekannten tun das nicht. Zumal man auch noch ein extra Tool installieren muss, oder hab ich was übersehen? …

        Das kommt ja auf's Betriebssystem an.

        Nette Kontrolle so ne Checksumme, aber total überflüssig für 08/15 Anwender weil sie damit nichts anfangen können.

        Ich möchte zudem zu bedenken geben, dass die meisten die Prüfsumme nicht nur nicht prüfen, sondern die wenigen, die es tun, den Vergleich eher mit einer auf der Downloadseite angegebenen Summe durchführen und nicht mit der auf der Originalseite. Als Anbieter von Malware würde ich mich genau darauf verlassen und eine zu meiner Version passende Prüfsumme bereitstellen.

        Tschö, Auge

        --
        Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
        Terry Pratchett, "Wachen! Wachen!"
        ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
        Veranstaltungsdatenbank Vdb 0.3
        1. Hi!

          Ich möchte zudem zu bedenken geben, dass die meisten die Prüfsumme nicht nur nicht prüfen, sondern die wenigen, die es tun, den Vergleich eher mit einer auf der Downloadseite angegebenen Summe durchführen und nicht mit der auf der Originalseite. Als Anbieter von Malware würde ich mich genau darauf verlassen und eine zu meiner Version passende Prüfsumme bereitstellen.

          Guter Hinweis. Dann waer man aber sowieso auf der Herstellerseite und kann gleich dort runterladen.

          --
          Signaturen sind bloed.