staging.inyokaproject.org

Thorolof schrieb:

1. Ein Notebook wird manchmal mobil eingesetzt und bewegt sich damit in verschiedenen Netzwerken. Auch solchen, die nicht als so gesichert angesehen werden dürfen.

Wie gesagt: Da sind keine Ports offen, also ist da auch nichts angreifbar. Wenn du irgendwelche Programme installierst, die Ports öffnen, z.B. sogenannte Dienste, Webserver und Ähnliches, dann kann man diese entsprechend Absichern. Unter anderem, indem man darauf nur aus bestimmten IP-Adressbereichen Zugriff gewährt. Auf einem Laptop haben solche Dienste aber eher wenig zu suchen.

2. Wenn ich mobile fremde Datenträger anflansche, kann trotz Virenscan Malware entgehen. Würde in diesem Zusammenhang tatsächlich mal so etwas wie ein Keylogger installiert, verhindert unter Umständen eine Firewall das Absenden der Daten.

Ok, lassen wir das mal als Argument gelten und stellen uns vor, dass es tatsächlich Linux-Malware gäbe, die beim Anstecken eines USB-Stick ausgeführt wird (so unwahrscheinlich das auch ist). Dann können folgende Dinge passieren:

1. Der Trojaner öffnet ein Browser und fängt an Daten über HTTP zu senden und zu empfangen. Deine Firewall lässt den Browser in Ruhe, weil du willst ja beim Surfen nicht wegen jedem Request eine Ausnahme bestätigen … hups.

2. Der Trojaner besorgt sich root-Rechte und schaltet die Firewall aus. hups.

Wenn die Schadsoftware erstmal auf deinem System ist, hast du verloren. Da hilft keine Firewall.

3. Eine Firewall kann so eingestellt werden, dass ein Port nur in eine Richtung geöffnet wird. Auch wenn grundsätzlich beide Richtungen möglich wären.

Ein Port hat auch so immer eine Richtung, wenn er denn offen wäre. Du gehst immer noch davon aus, dass da irgendwelche Ports überhaupt erstmal offen wären.

1. In der Standardinstallation sind keine Ports offen. Höchstens für die lokale Kommunikation (Loopback) auf 127.0.0.1, diese Ports sind aber harmlos weil von außen nicht sichtbar.

2. Andere Ports sind nur dann auf, wenn du Software installiert hast, die diese Ports benötigt. Dann kennt man üblicherweise Zweck und Richtung. Sowas lässt sich in der Software einstellen, ob und welche Ports zu welchem Zweck geöffnet werden.

3. Wenn du Software auf dem Rechner hast, der du nicht vertraust und die ungefragt Ports öffnet, dann hast du ein ganz anderes Problem. Nämlich, dass du so eine Software auf dein System gelassen hast.

Mich irritiert ein wenig die Vorstellung, ein Linuxsystem macht mich unverwundbar, wenn ich es nur up<to-date halte.

Unverwundbar sicher nicht, aber mich irritiert die Vorstellung, dass man mit einer Firewall plötzlich sicherer sein soll, als ohne. Es ist nur zusätzliche Konfiguration und Code der Sicherheitslücken enthalten könnte. Und du darfst nicht vergessen, Linux ist OpenSource. Die Leute, die sich mit Sicherheit auskennen, die beheben Sicherheitslücken in der Software. Bei Windows ist das anders, da kann man halt nicht einfach an den Code, da muss man sich irgendwas drumherum bauen.

Ich will gar nicht behaupten, dass Linux komplett unverwundbar ist. Keineswegs. Nur Personal Firewalls sind für mich einfach nicht hilfreich um irgendwas zu verbessern. Für mich sind Personal Firewalls eine „Lösung“ für ein kaputtes Sicherheitskonzept. Ein Placebo vielleicht, was damit man sich besser fühlt. In dem Moment, wo sie vielleicht hilfreich werden könnten, hat dein Sicherheitskonzept schon versagt. ▶ Verbessere dein Sicherheitskonzept. Wenn jemand immer über die Falte im Teppich stolpert, dann ist die Lösung kein Helm, sondern die Falte zu beseitigen.

~jug

Ich bin Jug wirklich und aufrichtig dankbar. Vieles kann ich davon gedanklich nachvollziehen. Aber: Bis ich in Ubuntu soweit bin, dass ich mein Sicherheitskonzept verbessere, werde ich sicherlich noch Zeit brauchen. Denn noch arbeite ich an dem Grundlagenverständnis. Und doch lerne ich über diese Diskussion schon einiges mehr dazu. Insofern hilft es mir auch, demnächst die wichtigen Fragen zu stellen, wenn ich zum Sicherheitskonzept komme (da ich das alles privat und nebenbei mache und auch das reale Leben noch etwas Zeit in Anspruch nimmt, mag es noch was dauern). Aber Desinteresse ist keineswegs der Grund!

Was ich an Jugs Beiträgen vor allem mag: es kommt keine Häme auf nach dem Motto: "Der hat ja gar keine Ahnung." Das schafft nicht jeder - leider. Ich gestehe gerne meine Unkenntnis in Ubuntu offen ein! Insofern übertrage ich (fälschlicherweise oder nicht) Erfahrungen aus der Windowswelt auf die Linuxwelt. Aber der Mensch ist nun mal die Summe seiner Erfahrungen *smile*.

Ein großer Schutzfaktor bei Linux ist (noch?) die immer noch deutlich geringere Verbreitung gegenüber Windows. Mit Windows werden die meisten User groß und arbeiten im Beruf zumeist an Windowsrechnern. Ob sinnvoll oder nicht steht auf einem anderen Blatt. Wäre die Verteilung zwischen den Betriebssystemen anders herum, würde mehr linuxfähige Malware existieren als Windows-Schadsoftware. Auch das Open-Konzept macht Linux weniger anfällig und reaktionsschneller. Aber daraus leite ich nicht sofort ein falsches Sicherheitsgefühl ab. Was wann und wie durch Updates sicher gemacht werden muss, ist immer noch das Wissen von zumindest fortgeschrittenen Usern, wenn nicht gar Spezialisten. Das ist in Linux nicht anders als in Windows. Aber die wirkliche Masse der User gehört eher zu dem Lager: der Computer soll funktionieren für den Alltag, wo ich ihn brauche.

Ich kann mir denken, dass mit dem Auslaufen von XP wieder eine neue (kleine oder große) Gruppen von Usern erneut zu Linux finden (ich beispielsweise gehöre dazu). Ich persönlich würde es sogar begrüßen, wenn es mehr werden (trotz Unkenntnis über Linux, speziell hier bei Ubuntu).

Thorolof schrieb:

3. Eine Firewall kann so eingestellt werden, dass ein Port nur in eine Richtung geöffnet wird. Auch wenn grundsätzlich beide Richtungen möglich wären.

Nein, ein TCP/UDP Port ist eine Bidirektionale Verbindung. Die Annahme das böse Dinge nur in eine Richtung durchkommen ist falsch. Ein einmal geöffneter Port (z.B. nach TCP/443) ist für die Firewall eine Blackbox. Sobald man nach 80/443 Verbinden darf (ausgehend) kann man so ziemlich alles damit machen. Da der Browser die Freigabe hat zu machen ist das auch der schwächste Angriffspunkt. Immer wieder gerne gesehen das Dreamteam aus Flash, Java und dem Adobe Reader.

Zunehmende Verbreitung von SSL Verschlüsselung nimmt der Firewall/Virenscanner auch die Erkennungsmöglichkeiten. Gleichzeitig haben auch einige große Hersteller von Virenscannern in den letzten Wochen mehr oder weniger Zugegeben das die eigenen Dienste den Angriffe nichtmal mehr im Ansatz was entgegen zu setzen haben.

4. Eine Firewall vermag einen Könner und Profi-Häcker sicherlich nicht auf Dauer abzuwehren, aber die weitaus meisten Hacks erfolgen auch nicht von Profis.

Script Kiddies die 2014 noch SSH Server abklappern sind erbärmlich, lästig, aber nur bei einer akuten noch nicht geschlossenen Lücke auch gefährlich. Profi Hacker sind auch nicht dein Problem, dein Problem sind Drive-By-Downloads, XSS und einige andere grausame Dinge (wie der Sourceforge Installer für Filezilla).

Mich irritiert ein wenig die Vorstellung, ein Linuxsystem macht mich unverwundbar, wenn ich es nur up<to-date halte.

Das ist nichtmal Linux spezifisch, denn Angriffe Zielen heute für Botnetze auf große Installationszahlen ab. Und da geht das per Browser, Flash-Plugin oder Java deutlich einfacher und schneller als sich mit einem SSH Dienst auseinanderzusetzen. Heutige Angriffe nutzen eigentlich fast durchgehend folgende Dinge aus:

1. Veraltete Software die Dinge von überall abrufen kann (Browser)

2. Software die eigentlich nicht gebraucht wird

3. Software die als Administrator läuft

4. Veraltete Webanwendungen die niemand aktuell hält (Wordpress, phpmyadmin, …)

5. Unsichere Konfiguration von Serverdiensten

Thorolof schrieb:

Ein großer Schutzfaktor bei Linux ist (noch?) die immer noch deutlich geringere Verbreitung gegenüber Windows.

Eigene Erfahrung sagt eher:

1. Linux hat Paketverwaltung, wenn aktualisiert wird ist sämtliche Software aktuell.

2. Windows hat seit Vista mit der UAC massiv aufgeholt und deutlich weniger Probleme als noch XP oder früher.

3. Größtes Problem bei Windows ist sämtliche Software aktuell zu halten, nicht aktuelle Software ▶ Angriffspunkt made easy.

Wäre die Verteilung zwischen den Betriebssystemen anders herum, würde mehr linuxfähige Malware existieren als Windows-Schadsoftware.

Android hat eine Vergleichbare Installationsbasis, dort sehen wir meine Thesen bestätigt:

1. Menschen die aus unseriösen Quellen Software installieren (Warez, Nicht-Market-Dinge als Quelle zugelassen)

2. Nicht mehr aktuelle/sichere Version des Betriebssystems (Android 2.3...)

Bei Android verlagert sich vor allem das Problem mit der aktuellen Version von Android direkt zum Hardwarehersteller. Beim PC (Windows) liegt das Problem idr. beim unerfahrenen Anwender der nicht weiß (oder wissen kann) wo man überall Dinge aktualisieren muss.

mfg Stefan Betz