Es ist eine äußerst unschöne Geschichte: Skype ermöglicht unter Debian die komplette Übernahme des Systems durch Microsoft. Ist ein privater Key bekannt, ließe sich das System manipulieren oder Malware einschließen. Man sollte also auf die Installation von Skype verzichten oder dieses in einem isolierten Container installieren.
Anzeige
Die Information dümpelt bereits einige Tage bei mir herum. Ich bin auf seclist.org auf den entsprechenden Sicherheitshinweis Skype Debian package: allows complete machine takeover for Microsoft gestoßen. Enrico Weigelt, Metux IT Consult, beschreibt dort bereits am 25. September 2018 den als kritisch anzusehenden Fehler. Das Problem beschreibt er folgendermaßen:
The Skype debian packege for Skype (even when not installed via their
offical repo) automatically installs apt configuration that adds
Microsoft's apt repo to the system's package sources.That way, Microsoft (or anybody holding their repo's private key)
can easily inject malicious packages via regular update and replace
distro packages w/ their own manipulated ones.
Das Microsoft apt repo wird zu den Paket-Quellen des Systems hinzugefügt. Damit kann Microsoft, oder jeder, der deren privaten Schlüssel für das repo kennt, die Pakete der Distribution austauschen und Malware einschleusen. Eine Sachlage, die einfach nicht tolerierbar ist.
Enrico Weigelt schlägt dann auch folgerichtig vor, dass Microsoft alle apt-Konfigurationsmaterialien aus .deb entfernen. Bis Microsoft reagiert hat, können Nutzer von Debian nur folgendes machen:
a) Die Skype apt config (sources.list Eintrag und den Microsoft apt Key) sofort nach der Installation entfernen.
Anzeige
b) Oder das Skype-Paket, vor der Installation auf eine Produktiv-Maschine, entpacken und dann manuell (ohne die apt config) neu packen
c) Oder Apt-Pinning verwenden, um Microsofts Repo auf das Paket 'skypeforlinux' zu begrenzen.
c) Das Paket nur in einem isolierten Container installieren
Die letzte Alternative wäre, auf Skype unter Debian zu verzichten. Auf keinen Fall darf die z.B. in diesem Artikel angegebene Vorgehensweise verwendet werden. Details sind auf seclists.org nachzulesen. Das Ganze ist übrigens nicht der erste Fall, wie man hier nachlesen kann.
Anzeige
Ich bin ja nun kein völliger Linux-Crack, daher mal ganz dumm gefragt: das gilt doch für jegliche zusätzlichen Repositories, die man einrichtet, oder? Jedes dieser zusätzlich eingerichteten, inoffiziellen Repositories kann doch dazu genutzt werden, Software aufs System zu bringen und es damit zu kompromittieren.
Geht es jetzt also eigentlich nur darum, dass Skype sein Repository dort bei der Installation von sich aus einträgt?
Gilt zumindest für Programme die nicht direkt unter und für Debian entwickelt werden, da diese meist mit erhöhten rechten installiert werden müssen wodurch dies schnell nach hinten losgehen kann.
Aber wer installiert unter Debian schon Skype das kann man auch genauso gut und sicherer im Browser ausführen.
Dürfte so zutreffen.
Völlig korrekt, externe Repositories sind prinzipiell ein Risiko.
Es ist Sinnvoll abzuwägen ob der Autor bzw. die Quelle vertrauenswürdig ist.
Mir erschließt sich nur eins nicht.
Wenn man von Microsoft weg ist, wofür jeder sicher seine persönlichen Gründe hat, warum lässt man MS durch die Hintertür wieder auf sein System?
MS-PPA's kommen mir jedenfalls nicht auf's System.
Ja, es geht darum, dass Skype sein Repository von sich aus einträgt.
Skype wird als .deb Package angeboten. Installiere ich ein .deb Package gehe ich normalerweise davon aus, dass nur die in dem Package vorhandene Software installiert wird. Möchte ich die Software aktualisieren, lade ich mir ein neueres .deb Package herunter und installiere es darüber. Das gleiche Verfahren wie unter Windows also.
Alternativ kann ich aber für externe Software auch ein externes repository (ppa = Personal Package Archive) einbinden. Dabei trage ich das repository in der Datei sources.list ein und registriere den Schlüssel. Das mache ich aber nur, wenn ich der Paketquelle wirklich vertraue. Dann kann ich die Software mit apt install installieren und mit apt upgrade aktualisieren.
Das sind die Standardverfahren. Installiert man ein .deb Package als root, wird alles ausgeführt, was im Installationsskript steht und das ist natürlich ein Unsicherheitsfaktor „by design". Daher geht die Entwicklung dahin, externe Programme als Flatpacks oder snaps zu installieren.
Momentan überschneidet sich halt vieles Linux unter Windows, Windows unter Android und jetzt auch noch Windows Apps für Debian das dies zuweilen nicht gut gehen kann ist vorauszusehen.
Was ich auch nie verstehen konnte das sich Leute ein Apple Mac kaufen über Windows her hetzen und neben her mit Outlook Mails versendet und mit Microsoft Office Dokumente erstellen.
Genauso werde ich nicht verstehen können wie Jemand Linux installiert und dann so eine Software wie Skype verwenden möchte, aber es überschneidet sich halt alles und jeder möchte auf des anderen Plattform noch etwas hinzu verdienen.
Ich warte nur auf den Augenblick darauf das Microsoft wieder aufs neue Plant Android Apps unter Windows zu ermöglichen.
Das hat einen guten Grund:
Bsp. will man Apple als Betriebssystem, aber MS Office als Office Programm.
Es gibt Leute, die sind zufrieden mit dem Radio/Cd im Auto, andere kaufen sich was von einem Drittanbieter.
Man will es einfach so.
Andere wollen einfach nur Apple, nur Linux oder nur MS.
Hallöchen zusammen!
Wer Skype unter einem Debian-Derivat wie *buntu nicht für Videochat sondern nur für Text verwendet, der kann sich ja mal mein folgendes Tutorial ansehen:
https://www.tmowizard.eu/wordpress/2018/03/17/seamonkey-tutorial-chatzilla-mit-bitlbee-als-multimessenger-ein-sicherer-chat-teil-3/
Aber auch hier gilt, daß man dafür natürlich eine Fremdquelle benötigt! Es ist nun mal eine Tatsache, daß bei diesen Systeme zum Teil völlig veraltete und mit weit offenen und auch öffentlich bekannten Sicherheitslücken verwendet. Selbst sicherheitskritische Software wie ClamAV bekommen öfter mal auch über Jahre hinweg kein Update, so daß diese nicht mit neueren Signaturen arbeiten können.
Es ist praktisch unmöglich, daß man mit Debian-Derivaten ohne PPAs ein sicheres System hat. Was nützt mir das angeblich sichere Linux, wenn die verwendete Software mehr Löcher hat wie ein schweizer Käse oder gar Produkte von Adobe?
Ich habe bei mir auf meinem Kubuntu inzwischen über 60 Fremdquellen integriert, damit die verwendete Software aktuell ist oder auch, weil sie gar nicht in den offiziellen Paketen gar nicht erst vorhanden ist. Wenn man solche Software aber z. B. für seine tägliche Arbet benötigt, dann hat man gar keine andere Wahl.
…
Oh, habe ich gerade richtig im Radio gehört? Google schließt Google+?