Meine Befürchtung: Es wird bald einen Erpressungstrojaner für Desktop Linux geben

In diesem Jahr haben Erpressungstrojaner meiner Meinung nach die potentiell unerwünschten Programme als Bedrohung Nummer 1 für reine Computer-Anwender abgelöst. Erpressungstrojaner sind eine immense Gefahr für Windows-Anwender, fast täglich werden neue Varianten, bessere Verschlüsselungen, andere Verbreitungswege publiziert. Ich rechne damit, dass bei der derzeitigen Flut von Linux-Neulingen, die vor Windows 10 fliehen, bald auch Erpressungstrojaner den Weg ins Linux-Ökosystem finden werden, da diese Neulinge eine lukrative Zielgruppe bilden.

Wie in früheren Beiträgen bereits dargelegt, halte ich Virenscanner für Linux für wenig sinnvoll; ihre Schutzwirkung ist zweifelhaft und bisher ist praktisch keine Schadsoftware für Desktop-Linux (im Unterschied zu Servern) bekannt.

Trotzdem sehe ich gerade zurzeit auch unter Desktop-Linux ein Potential für Erpressungstrojaner, die momentan anderswo ungeahnte Erfolge erzielen. Erpressungstrojaner verschlüsseln auf befallenen Systemen die persönlichen Daten des Benutzers oder gar das gesamte System und verlangen dann ein Lösegeld in Bitcoin. Dadurch, dass manche Benutzer den Ausweg der Zahlung tatsächlich wählen, wird das Geschäftsmodell erst tauglich. Wie heise.de berichtet, hat zum Beispiel der manuell auf anfälligen Systemen installierte Erpressungstrojaner Samsa bereits 115.000 US-Dollar erwirtschaftet.

Wie anfällig ist Linux auf dem Desktop?

Die meisten der üblichen Sicherheitslücken, die zur Installation von Erpressungstrojanern verwendet werden, betreffen nur Windows. Vor allem ist da die Verwendung von MS Office-Makros zu nennen. Aber die im Prinzip auch sehr anfälligen Techniken Flash und Java existieren ebenso auf Linux wie auch die üblichen Browserkomponenten wie JavaScript. Es ist nicht undenkbar, dass ein Angriff über diese Kanäle stattfinden könnte.

Sehr unwahrscheinlich ist hingegen, dass ein Virenscanner dagegen schützt. Schadsoftwareentwickler lassen ihre Programme je Version nur noch für sehr kurze Zeiträume auf die Allgemeinheit los, so dass sie längst nicht mehr aktiv sind, wenn die Hersteller von Antivirensoftware die Möglichkeit erstmalig bekommen, eine Signatur für die Erkennung zu entwickeln. Aufgrund dieser und anderer Einschränkungen ist das Konzept Virenscanner für Linux untauglich.

Anders als die meisten anderen Schadprogramme braucht sich ein Erpressungstrojaner nicht tief ins System einzugraben, um der Entdeckung oder Löschung zu entgehen. Seine einzige Aufgabe ist es, wichtige Daten zu verschlüsseln, die dem aktuellen Benutzer gehören, wozu er keine administrativen Rechte benötigt. Danach braucht er sich auch nicht zu verstecken, sondern gibt sich sogar klar zu erkennen, denn er muss ja die Erpresserbotschaft an den Mann bringen. An diesem Punkt ist es bereits nicht mehr relevant, ob der Trojaner als solcher entfernt wird. Das Ziel ist bereits erreicht.

Dies kann der Erpressungstrojaner grundsätzlich mit Bordmitteln erledigen, die dem einfachen Benutzer zur Verfügung stehen. Verschlüsselungsroutinen sind im Linux-System enthalten, z.B. gpg und openssl. Es würde also im Prinzip ausreichen, ein Skript zu schreiben, das diese Techniken benutzt, um alle Dokumente im home-Verzeichnis des Benutzers zu verschlüsseln. Dazu eine Routine, die ein zufälliges Passwort für die Verschlüsselung ermittelt und dieses an den Verteiler der Schadsoftware sendet, und fertig ist ein primitiver, aber voraussichtlich effektiver Verschlüsselungstrojaner.

Der eigentlich schwierige Teil ist, den Anwender dazu zu bringen, dieses Skript zu starten. Hier, nehme ich an, liegt der Ansatzpunkt für die Zukunft: Unbedarfte Neulinge, die von Windows zu Linux wechseln und ihre meist ohnehin mageren EDV-Kenntnisse auf Linux projizieren und mit der Erwartungshaltung des Windows-Benutzers agieren.

Die besondere Gefährdung Windows-geschädigter Linux-Neulinge

Seit ich den eingangs erwähnten Artikel über Linux-Virenscanner am 31. Mai 2015 veröffentlicht habe, gilt ein knappes Drittel aller Seitenaufrufe eben diesem Artikel (ca. 31% von über 15.000 Seitenaufrufen). In den letzten 90 Tagen (längster wählbarer Zeitraum) finden sich in der Auflistung der Suchbegriffe in der Google Search Console unter den 50 meistgeklickten Suchbegriffen, die auf meine Webseite geführt haben, nur 17 Suchbegriffe, die nicht das Thema „Linuxviren“ aufgreifen.

Das zeigt mir, dass in beachtlichem Umfang Interesse an Linux geweckt wurde. Ich vermute, dass dies an allgemeiner Unzufriedenheit mit Windows 10, der Art, wie Microsoft es in den Markt zu drücken versucht, und dem in den Medien stark übertriebenen Datenhunger des Systems liegt. Es zeigt aber auch, dass diese Windows-Flüchter ihre Erwartungshaltung mitbringen und wissen wollen, ob Virenscanner für Linux notwendig sind und welche es gibt.

Die Frage als solche ist verständlich, aber die wichtigste Information, die ein Linux-Neuling lernen und beherzigen sollte, ist die, dass unter Linux die größte Sicherheitslücke nicht der Browser ist oder das System oder Office-Makros oder Flash oder Java: es ist der Anwender selbst.

Computeranwender tun grundsätzlich viel zu wenig für ihre Bildung. Wir haben Führerscheine für Autos und Ausbildungsplätze für Straßenkehrer, aber kaum jemand investiert Zeit, Geld und Hirnschmalz darin, das komplexeste Werkzeug, das Menschen je erdacht haben, zu erlernen.

Ex-Windowsanwender wissen nicht, dass Windows-Programme unter Linux nicht laufen, und dass Schadsoftware für Windows auch nichts anderes ist als ein Windowsprogramm. Da behaupten sogenannte Fachzeitschriften halbgaren Unsinn wie „Weil aber viele Linux-Systeme mit Windows-Rechnern vernetzt sind, genügt es einem Trojaner, auf dem Linux-System zu schlummern und darauf zu warten, ein Windows-System infizieren zu können.“ Als wäre der Trojaner ein allmächtiges Genieprogramm, das gleichzeitig unter Linux und Windows funktioniert. Dabei ist im Gegenteil Schadsoftware häufig das Produkt eines günstig zu erwerbenden Baukastensystems, und längst nicht jedes damit hergestellte Produkt gelangt überhaupt zur Marktreife, geschweige denn zu lukrativer Verbreitung.

Windowsanwender sind es aber gewohnt, Freeware, Shareware und Raubkopien aus allem möglichen Quellen im Internet herunterzuladen. Dabei lassen sie sich auch nicht davon abbringen, Softwareportale zu benutzen, die im Fahrwasser der kostenlosen Software ganz offiziell unbedarfte Anwender mit unerwünschten Werbeprogrammen ausstatten, die nebenbei gerne das Internet unbrauchbar machen.

Diese Klientel wird sicher auch leicht dazu zu bringen sein, Software aus anderen Quellen als dem distributionseigenen Repositorium herunterzuladen. Es muss nur jemand eine Firefox- oder Libre Office-Variante für Linux anpreisen, die irgendwelche tollen Zusatzfunktionen verspricht, und die Linuxneulinge werden sich darauf stürzen wie Fliegen auf den Kuhfladen. Mit einem solchen Programm, downloadbar über Webseiten, angepriesen in sozialen Netzwerken oder angehängt an E-Mails und mit einer hilfreichen Installationsanweisung dürfte es ein Kinderspiel sein, die Linuxrechner der Windows-Flüchtlinge mit einem Erpressungstrojaner zu verseuchen. Und davor wird sie kein Virenscanner schützen, und auch die Linux-eigenen Sicherheitsmechanismen greifen nicht.

Sollten Sie, lieber Leser, also zu den vielen Linux-Neulingen gehören, dann bleiben Ihnen zwei Dinge: lernen Sie zunächst, wie man ein Datenbackup sinnvoll anfertigt, damit im Ernstfall Ihre Daten auf einem separaten Datenträger in Sicherheit sind. Und lernen Sie darüber hinaus dann alles über Linux, was Sie können. Vergessen Sie, was Sie von Windows zu wissen glauben. Nur dann wird Linux auch für Sie dauerhaft ein sicherer Hafen bleiben.