Diskussion:Trojanisches Pferd (Computerprogramm)

aus Wikipedia, der freien Enzyklopädie

Inhaltsverzeichnis 1 umfangreiche inhaltliche Überarbeitung / Quelle: wiki.hackerboard.de 2 Schutzmöglichkeiten 3 Zum Abschnitt "Die Tarnung" 4 Schutz 5 Die Geschichte

[Bearbeiten] umfangreiche inhaltliche Überarbeitung / Quelle: wiki.hackerboard.de

Der Trojaner-Artikel wurde von mir stark überarbeitet. Natürlich ist das nur ein Vorschlag. Der Text stammt aus dem oben genannten Wiki. Auch wenn das HaBo-Wiki unter einem anderen Lizenzmodell läuft als Wikipedia, sollte es keine Probleme geben, da ich der einzige Autor des Artikels bin. Ich hoffe mit meiner Überarbeitung mehr Klarheit in diese Materie bringen zu können. -- NeonZero 19. Jan 2006 (CET)

Nachtrag: Hier eine kurze Zusammenfassung der Anpassungen:

• Auflistung der Arten trojanischer Pferde.
• Die Trennlinie zwischen Backdoors, Rootkits, Computervirus und Trojanischem Pferden wird nun aufgezeigt. Es wird auch erklärt, warum Tools wie NetBus & Co Trojaner genannt werden, obwohl sie nicht in die Trojanerdefinition passen.
• Der Bereich über die Tarnungsmethoden wurde erweitert und ein Bezug zu Unix hergestellt.
• Ausbau der Schutzmöglichkeiten.
• Die Nennung des ersten Trojaners soll als Anfang für die noch fehlende geschichtliche Entwicklung der Trojaner dienen.

ES HANDELT SICH NICHT UM DAS PFERD! -- 14:28, 18. Dez. 2006 84.60.50.240

UND WAS IST ES DEINER MEINUNG NACH DANN? EIN VIRUS? UND WARUM KLEMMT DEINE SHIFT-TASTE? DAS IST ANSTECKEND! :) -- NeonZero 23:33, 18. Dez. 2006 (CET)

Nerdi hat mit mir zusammen den Artikel weiter angepasst. Für die Zusammenarbeit mit Nerdi bedanke ich mich. Mir hat die Überarbeitung des Artikels viel Spaß bereitet. -- NeonZero 07:43, 1. Jun 2006 (CEST)

[Bearbeiten] Schutzmöglichkeiten

Hier solltest du noch aufführen dass das wechseln zu Linux das Trojanerproblem langfristig beseitigt, weil der Aufbau des System es nahezu unmöglich macht (bei richtiger Benutzung + Debian Stable zu 99.9%) Malware/Viren/Trojaner einzuschmuggeln. TCPA ist nach meiner sicht keine Schutzmöglichkeit weil der Benutzer nicht selbst entscheiden kann, wen er vertraut und wem nicht. --Henry Hirsch 10:35, 14. Dez. 2006 (CET)

Sorry Henry, aber ich habe Deinen Diskussionsbeitrag erst jetzt entdeckt. Bei dem letzten Satz stimme ich Dir zu und ehrlich gesagt bekomme ich Ekelpickel wenn ich an TCPA oder dem Nachfolger TCG denke. Dieser Absatz stammt von Nerdi, wobei er bereits darauf hingewiesen hat, dass TCPA nichts bringt. Ich persönlich hätte diesen Schrott lieber gar nicht erst erwähnt, was zugegebenermaßen nicht professionell wäre. Bei TCPA scheint die Verhältnismäßigkeit zwischen Sicherheitsgewinn und Verlust einer freien Rechnernutzung nicht gegeben zu sein, weshalb eine flächendeckende Nutzung von TCPA (oder TCG) einen großen Rückschritt für die heutige Computerkultur darstellt. Aber dass darf man ja hier (in der Wikipedia) nicht so schreiben (POV).

Du schreibst, dass Linux Deiner Meinung nach das Trojanerproblem beseitigt. Kannst Du bitte einmal näher erläutern, wie Du das meinst? -- NeonZero 23:33, 18. Dez. 2006 (CET)

Der Artikel über Computerviren hat das schon ganz gut gemacht Computervirus#Gef.C3.A4hrdungsgrad_unterschiedlicher_Betriebssysteme. Da kannst du dir anschauen was ich meine. Ich benutze seit dem Aufkommen von Rootkits ausschlieslich Linux und habe seitdem keine Probleme mehr mit Trojanern, Viren und Virenscannern. Spreche also aus Erfahrung. Vielleicht können wir ja auch in meinen oder deinen Namespace anfangen einen Ideen-Artikel zu diesen Thema zu konstruieren (also Quasi ein Sandkasten wo wir den Dingen Form geben können). --Henry Hirsch 14:24, 24. Dez. 2006 (CET)

Ich habe den Beitrag gelesen und fand dort keine Erklärung wie "Linux das Trojanerproblem langfristig beseitigt". Die Aussage dass Windows-Systeme heute die weiteste Verbreitung haben und daher beliebt für Malwareautoren sind, lässt sich sicher auch auf den Trojaner anwenden. Mit zunehmender Beliebtheit von Linux wird das allerdings kaum so bleiben, weshalb ein Tipp a la „nutzt Linux und ihr seid sicher vor Malware“ eine schädliche Wirkung hätte, da sich der Anwender dann in einer Sicherheit wiegt, die es nicht gibt. Denn Linux ist kein Sorglospacket und steht durchaus im Visier von Malwareprogrammierern, wodurch sich z.B. im Jahresvergleich 2004 / 2005 eine Verdopplung von Schadprogrammen für Linux ergab. Ein weiterer Teil des von Dir erwähnten Abschnitts bezieht sich auf die Rechteverwaltung. Ohne Frage ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt, sobald jemand unter einem Admin- oder root-Account den Trojaner ausführt, weshalb das im Trojaner-Artikel unter "Die Schadroutine" auch erwähnt wird. Das trifft allerdings für beide Systeme gleichermaßen zu. Auch schränkt dies lediglich die Manipulationsmöglichkeiten eines Trojaners ein (wie gesagt, auf beiden Systemen gleichermaßen), kann jedoch nicht verhindern, dass es (Trojaner-) Programme gibt, die eine geheime Komponente beinhalten und somit Dinge tun, von denen der Anwender nichts weiß. Das Trojanerproblem wird dadurch also keinesfalls "langfristig beseitigt".

Auf Dein vorgeblich malwarefreies Linuxsystem bezogen: Meinst Du ernsthaft, dass es keine Rootkits für Linux gibt und das Du Dir nun keine Gedanken mehr über Malware machen musst, nur weil Du Linux verwendest? Übrigens gibt es Rootkits für Unix-Systeme seit den 1980er Jahren, was auf Deine Aussage gemünzt bedeutet, dass Du seit wenigstens 25 Jahren kein Windows einsetzt. Hey, damals gab es weder Windows, noch Linux. :) -- NeonZero 16:05, 2. Jan. 2007 (CET)

Ich möchte ebenfalls darauf hinweisen, dass die Artikel zu Computersicherheit dem neutralen Standpunkt verpflichtet sind, und, obwohl die Linux-Gemeinde der Wikipedia-Gemeinde aufgrund des "freie Software"-Gedankens nahe steht, Linux hier trotz einiger sicherlich vorhandener Vorzüge nicht als Allheilmittel dargestellt werden wird. Eine Formulierung wie "langfristig beseitigen" ist meines Erachtens ausgeschlossen. Ob ein Abschnitt mit Bezug zur Rechteverwaltung des OS wie beim Computervirus nötig ist, möchte ich nicht entscheiden, mir erscheint es aber eher so, als ob man in sämtlichen Artikeln das gleiche schriebe... lg ↗ nerdi disk. \ bewerten 17:10, 2. Jan. 2007 (CET)

Wenn man Beispielsweise eine vertrauenswürdige Debian Quelle verwendet, kann man davon ausgehen das die Software überprüft wurde. Also kann man doch sehr davon ausgehen, das wenn der Benutzer nicht von unbekannten Quellen binaries herunterlädt der Rechner gut vor infektion geschützt ist. Die Trennung von Systemverwalter und Benutzer verhindert zudem dass ein Trojaner wirklich schaden anrichten kann. --87.176.213.27 22:37, 3. Jan. 2007 (CET)

Wird eine Software aus einer vertrauenswürdigen Quelle benutzt, so ist selbstverständlich auch das Risiko geringer, dass man sich eine Malware einfängt. Oder per Zitat aus dem Trojaner-Artikel formuliert: „Den einzig wirkungsvollen Schutz vor Trojanischen Pferden bietet der Verzicht auf die Benutzung von Programmen aus unbekannten oder unsicheren Quellen.“ Das ist jedoch unabhängig vom verwendeten Betriebssystem. Klar ist das Risiko einer unentdeckten Malwarefunktionalität bei Open-Source-Produkten geringer, obgleich man diese Möglichkeit aufgrund der Komplexität der Sourcen auch hier nicht ausschließen kann. Geradezu gefährlich ist die weit verbreitete Mentalität a la „den Code wird schon mal einer überprüft haben“. Dagegen spricht, dass zahlreiche Sicherheitslücken schon seit Jahren bestanden, ehe sie entdeckt wurden. Und selbst bei vollkommen neu geschriebenen Emulationen wurden bestehende Sicherheitslücken der Originalsoftware inklusive der Trojanerfeatures einfach „mitkopiert“ (siehe z.B. wmf-Leck bei Open Office). Ich bin ein großer Fan von Open-Source-Produkten, aber auch sie stellen keine Sorglospakete dar.

Deine Aussage, dass ein vernünftiges Rechtesystem die Möglichkeiten der Schadroutine eines Trojaners minimiert, ist korrekt und gilt auch hier für beide Betriebsysteme gleichermaßen (das wurde weiter oben bereits diskutiert). -- NeonZero 00:04, 4. Jan. 2007 (CET)

[Bearbeiten] Zum Abschnitt "Die Tarnung"

Bis zu diesem Teil hat mir der Artikel recht gut gefallen. Aber hier fangen die Ungenauigkeiten an: Ein Trojanisches Pferd installiert sich (gemäß der Definition weiter oben) üblicherweise nicht unter fremden Programmnamen wie ls, ps oder explorer.exe, da es vom Anwender in der Regel freiwillig aufgerufen wird. Es ist ja gerade der Zweck dieser Art von Programmen, einerseits eine sinnvolle, gewünschte Funktionalität bereitzustellen, andererseits aber auch eine unerwünschte, meist schadhafte Funktion zu haben, die währenddessen ausgeführt wird. --RolandIllig 05:12, 20. Dez. 2006 (CET)

Hallo Roland. Hier ein Zitat aus dem Artikel, welches Deine Frage hoffentlich beantwortet: Charakteristik: Trojanische Pferde [...] sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen. Übrigens stellen auch die von Dir aufgelisteten Programme durchaus eine nützliche Funktionalität zur Verfügung. Sie listen noch immer Dateinamen und Prozesse auf, etc. (sonst würde ein Austausch der Programme durch den Trojaner ja schließlich auffallen), nur dass sie im Unterschied zu den Originalprogrammen noch eine andere (geheime) Funktionalität aufweisen. -- NeonZero 08:44, 21. Dez. 2006 (CET)

Nachtrag: Ich denke ich habe Dich falsch verstanden. Der einleitende Satz aus dem fraglichen Abschnitt war missverständlich formuliert. Er wurde entsprechend angepasst. Ich hoffe es ist so besser. -- NeonZero 08:55, 21. Dez. 2006 (CET)

[Bearbeiten] Schutz

Frage: Wo kommt dieser Satz im letzten Abschnitt her, und soll der wirklich da bleiben? "Wird ein bereits installiertes Trojanisches Pferd erkannt, so ist es ratsam, die Bereinigung des Systems über die Einspielung des letzten „sauberen“ Abbildes der Festplatte (Image) vorzunehmen, da ein Softwareprodukt (z. B. Virenscanner) diese Aufgabe nur bedingt zuverlässig erledigen kann." Ich finde "installiertes Trojanisches P." seltsam, und das mit dem Image erst recht.↗ nerdi disk. \ bewerten 17:22, 2. Jan. 2007 (CET)

Es gibt auch Trojanische Pferde die sich selbst im System installieren oder durch einen anderen Trojaner installiert wurden. Unter Windows werden z.B. der Explorer oder andere Komponenten des Systems gerne durch Trojaner ersetzt. Vielleicht kannst Du es besser formulieren. Die Aussage soll einfach die sein: Wird ein Trojaner auf einem frisch eingelegten Datenträger von einem Malwarescanner erkannt, >>bevor<< er ausgeführt wird, so ist die schützende Wirkung recht gut. Wurde der Trojaner aber auf dem System auch nur ein einziges Mal gestartet, so kann er sich selbst oder eine andere Malware dort installieren und das System derart manipulieren, dass er nicht mehr zuverlässig entfernt werden kann. Auch kann niemand mit Gewissheit sagen, welche Schadsoftware der installierende Trojaner tatsächlich installiert hat (auch kein Virenscanner, selbst wenn er die Sig des Trojaner kennt, denn die sagt nicht über seine Version aus – siehe Rootkit-Technik bzw. modifizierte Malware, die der Trojaner installierten kann und der Scanner nicht findet). Ein wie auch immer infiziertes System lässt sich daher nur dann auf eine sichere Weise bereinigen, wenn es neu aufgesetzt wird. Das lässt sich mit einem „sauberen Plattenimage“ realisieren, nicht aber mit der Bereinigungsfunktion des Malwarescanners. -- NeonZero 18:16, 2. Jan. 2007 (CET)

Okay, das mit dem installieren habe ich nicht bereits als sich überall verstecken aufgefasst, dann stimmts natürlich. ↗ nerdi disk. \ bewerten 18:42, 2. Jan. 2007 (CET)

Man sollte den Teil mit dem Image weglassen. Viele können nicht mit Sicherheit sagen, wann der Virus in das System gelangt ist und daher auch nicht mit Sicherheit sagen, ob das Image sauber ist. Ein erfahrener Anwender wird, wenn man von Neuinstallation sprechen würde, automatisch selbst an sein Image denken, wenn er denn eines erstellt hat. Neo23x0 00:48, 4. Jan. 2007 (CET)

Ein guter Einwand. Ganz sicher können wir in dem Artikel kein Sicherheitskonzept ausführlich darlegen, weil das den Rahmen sprengt, aber auf die technischen Möglichkeiten sollten wir aufmerksam machen. Was wäre also die Alternative? Sagen wir dem Anwender, er soll ruhig weiter die Bereinigungssoftware verwenden? Damit lassen wir ihn in den Irrglauben, dass er die Malware damit restlos beseitigen kann. Oder sagen wir ihm, dass er sein System generell neu aufsetzen soll, sobald eine Malware darauf gefunden wird? Ich schätze mal, dass er spätestens nach dem zweiten Vorfall wieder auf die Bereinigungssoftware zurückgreifen wird, da die ständige Neuinstallation zeitraubend ist. Stattdessen könnten wir ihn auch gleich darauf hinweisen, dass es so etwas wie Plattenimages gibt, die ihm das Leben diesbezüglich stark vereinfachen. Zu vermitteln wie er damit umgeht, muss meiner Meinung nach nicht Bestandteil des Trojanerartikels sein. Der Hinweis sollte lediglich dazu dienen, um sich weiter zu informieren. -- NeonZero 01:37, 4. Jan. 2007 (CET)

[Bearbeiten] Die Geschichte

Vielleicht sollte man erwähnen, das der Hacker Karl Koch, 1985 dieses Programm benannte.

Da würde ich gerne zunächst die Richtigkeit der These durch eine Quelle belegt wissen. ↗ nerdi disk. \ bewerten 19:51, 31. Jan. 2007 (CET)