Folgenden Satz habe ich als letztes eingefügt: Jedesmal nehme ich mir vor, möglichst kurz zu antworten, um die Diskussion zu vereinfachen. Es ist mir wieder nicht gelungen, ich bitte um Verzeihung. 😉
Aber wären nur die besser geschützt, die sich besser auskennen, oder profitieren die weniger informierten mit? Eine Grippe breitet sich langsamer aus, wenn große Teile der Bevölkerung geimpft sind, und bei einer gewissen Impfdichte kommt sie zum Stillstand[...]
Genau so sehe ich das - wenn das Verhältnis günstig ist, wirkt es der Gefahr entgegen. Das Verbreitungsargument ist davon unabhängig. Aber die letzliche Gefärdung resultiert natürlich aus der "Summe" der Faktoren.
Aber Du sagst es kommt noch gar nicht zum Zuge, weil es die Viren gar nicht gibt
Richtig.
und es gäbe die Viren auch gar nicht wenn es nur Hallodries unter Linux gäbe, weil einfach das Ziel sich nicht lohnt.
Richtig.
10% Hallodries unter Windows sind immer noch mehr als alle Linuxuser zusammen.
Richtig. Von daher vermute ich, dass wir noch längere Zeit sicher sein werden.
Gerade mit Cross-Plattform-Software wie Firefox, OpenOffice, VLC könnte sich doch ein Fehler, der sich unter Windwos ausnutzen läßt, auch unter Linux ausnutzen - wenn auch anders. Wieso sollte das nicht mal jemand ausprobieren?
Unbedingt! Vielleicht probieren es auch welche aus. Da bin ich mir auch relativ sicher. Das ist auch gar nicht schlimm, wenn es aus Interesse geschieht. Ok, du meinst wahrscheinlich, dass diejenigen, die echte Angriffe für Windows starten, dies tun würden. Das kann ich nicht von der Hand weisen. Das bei den "Killerapps" - Du hast gerade eine Menge erwähnt - natürlich der Repository-Effekt in Spiel kommt, ist klar: Diese Programme werden - aufgrund ihrer starken Beliebtheit - im Distributions-Repository angeboten. Das ist ein echter Vorteil gegenüber der Windowslage.
Die Leute sind ja nicht alle gleich gepolt - wenn sich 100 sagen, dass sie damit keine Zeit verschwenden wird einer vielleicht sagen, er probiert es mal.
Gut möglich. Solange aber solche Versuche nicht aufgedeckt werden, sind sie so selten, dass man nicht von einer Epidemie und Bedrohung sprechen kann. Es könnte sie ja auch gar nicht geben. Wir können uns vielleicht darauf einigen: Es gibt eine gewisse Grauzone. Vielleicht werden bereits Exploits unter Linux von Virenschreibern getestet. Es ist aber dennoch derzeit keine echte Bedrohung. Wenn in nächster Zeit eine nennenswerte Zahl von Linux-Anwendern von einem einzelnen Angriff heimgesucht wird, dann haben wir ein Problem - ein "Programmierer" hat es richtig gut gemacht - und ich ein Argument weniger.
Zusammenfassend: Exploit-Angriffe sind unter Linux genauso möglich wie unter Windows. Dennoch gibt es derzeit keine Bedrohung. Mögliche Gründe (unvollständig?):
Bei Standardsoftware: Distributions-Repository. Lücken werden schneller und zuverlässiger auf den Nutzersystemen geschlossen, da der Vorgang zentral, einheitlich und automatisiert ist.
Heterogenität. konkrete Angriffsimplementierungen sind nicht universell einsetzbar
Verbreitung. Nutzergruppe ist wirtschaftlich uninteressant.
Die Gesamtgefärdnung ergibt sich aus der "Summe" dieser Gründe. Über die Wichtigkeit/generelle Gültigkeit sind wir wohl nicht ganz einig. Was die Wichtigkeit anbelangt wäre das kein Problem. Der Artikel müßte ja keine Wertung vornehmen.
Die vielen Softwarekram-Anbieter könnten sogar auf Open-Source-Modelle umsteigen. Das würde dennoch nichts an der schier endlosen Zahl ändern, weshalb weiterhin Binärpakete direkt von diversen Orten heruntergeladen werden würden. Das kann man nicht über ein vertrauenswürdiges Repository verwalten.
Aha - scheint ein weiterer Widerspruch zw. uns zu sein. Das Repository ist m.E. nicht vertrauenswürdig, weil es eine halbwegs große Zentrale ist, sondern weil klar ist wer dahinter steckt, und derjenige einen Ruf zu verteidigen hat.
Und weil er einen Ruf zu verteidigen hat, wird er nicht jedwede Kramssoftware aufnehmen. Selbst wenn es OpenSource ist. Das ist ja auch heute schon so.
Wenn ich Closed-Source-Software von Fall zu Fall von Adobe, Siemens, Symantec oder wem herunterlade ist das ähnlich vertrauenswürdig, was deren Sorge um Malwarefreiheit angeht - Grenzfälle wie das Sonyrootkit mal außen vor.
Natürlich kann man bei den "Großen" davon ausgehen, dass ihre Repositories vertrauenswürdig sind. Ist doch klar, dass es in dem Mircosoft-Repository kein MalwareKrimsKrams geben wird. Aber das ist doch heute in der Windowswelt genauso?
Ich spreche von dem restlichen Durcheinander. Die unzählig kleinen Lösungen, die es in kein vertrauenswürdiges Repository schaffen. Die werden eigene Pakete direkt anbieten müssen. Und der Nutzer muss dann entscheiden/erkennen, ob er ein Programm tatsächlich von der Entwicklerseite herunterläd oder von einer gutgemachten Seite, die dann das Programm+Malware enthält.
Wie gesagt - Quellen gibt es im anderen Sinne auch für binaries, und man kann als Programmierer (die Quelle des Programms) auch Binärcode (zusätzlich zum Quellcode) anbieten - und das wird auch gemacht.
Genau davon spreche ich: Direkter Download - ohne Nutzung eines (oder einiger) zentralen Repositories. Das Paket kann vom Programmierer direkt angeboten werden. Genauso aber auch von zig Malwareschleudern. Der Anwender muss nun erkennen, was genau der gute Download ist. Ist das nicht unter Windows ein Teil des Problems?
Außer freie Software wäre überhaupt der Grund, das sich der Useranteil zugunsten von Linux verschiebt. Da ich das als Hauptvorteil von Linux sehe kann ich mir keinen anderen guten Grund für eine Verschiebung denken.
Das wäre in der Tat toll!
Malwareschreiber sind ja keine allwissenden Superhirne die alles richtig und immer das - für ihre Belange - beste machen. Die haben unterschiedliches Wissen, Fähigkeiten, Ziele, Annahmen, ... . Der eine verbirgt seinen Kram gar nicht, der nächste schlecht, der dritte gut und der vierte sehr gut. Das gibt es alles parallel, und daher sollte man nicht ein Szenario herauspicken, und sich dagegen wappnen.
Deine Argumentation beruht doch zunächst auf der Tatsache, dass ein Angriff ohne der Existenz einer Rootzone direkt perfekt zu verschleiern wäre. Damit wäre er erfolgreicher als ohne. Der Umkehrschluss ist, dass die Existenz der Rootzone also zu weniger unbemerkten Angriffen führt, da er auf einigen,wenigen Systemen entdeckt wird.
Primär hätte das erstmal nur die Auswirkung, dass der Angriff eben nur etwas uneffektiver wäre. Es gibt allerdings einen sekundären, nachgelagerten Effekt, der mir erst durch die Diskussion aufgegangen ist: Vielen Dank! 😉 Ich kann mir sogar vorstellen, das dies ein Grund ist, weshalb ein erfolgreicher Angriff sogar zwingend Root-Rechte benötigt. War Dir dieser Umstand bewußt? Hättest Du mich nicht früher drauf bringen können? 😉
Sekundär: Je schneller der Angriff nun aber entdeckt wird (egal, ob der Entdecker schaden genommen hat oder nicht), desto schneller wird er gefixt. Falls es sich nun noch um ein Repository-Programm handelt, könnten viele weitere Anwender geschützt werden, da auch der Bugfix effektiv verbreitet wird.
Ein Vorteil der Rootzone um die Ecke. 😉
Merken was? Du scheinst ja einige, sehr speziellen Angriff im Auge zu haben, die der User nicht bemerkt. Wieso merken denn User unter Windows, dass ihr Rechner befallen ist?
Angriffe tragen immer das Risiko, dass sie auf bestimmten Systemen zu seltsamen Nebeneffekten führen. Im Endeffekt zählt aber nur, dass der Code auf möglichst vielen Systemen unauffällig läuft. Je nach Art des Angriffs reicht es auch, wenn er nur eine Zeit lang unauffällig ist. "Virenschreiber" sind auch nur Programmierer. Es gibt gute, mittelmäßige und schlechte Angriffe.
Wieso gibt es da Prozesse die Rootrechte zu erlangen trachten? Viele versuchen es nicht - mag sein - aber wieso soll man denen, die es versuchen, die Sache leicht machen?
(Nachtrag: Der sekundäre Effekt wurde mir erst später klar..., nachfolgendes ist aber trotzdem gültig. Es ist sozusagen der automatisierte Entdecker: AV-Lösung) Unter Windows gibt es etablierte AV-Software, die im Rootkontext läuft. Ich habe gehört, dass zunächst unbekannte Angriffe versuchen, die AV-Lösung auszuschalten bzw. zu manipulieren, um auch nach Bereitstellung von Signaturupdates weiterexistieren zu können. Das dürfte in der Regel für BotNets interessant sein. Auch Angriffe nach Art des "BKA-Viruses" brauchen das, um sich einigermaßen gut festsetzen zu können. Ich halte fest: Rootrechte sind auch interessant, wenn AV-Lösungen eingesetzt werden bzw. der Angriff gerade eben nicht unentdeckt bleiben soll (wenn er auch nicht als solcher erkannt werden will).
AV-Lösungen führen aber auch zu einem Dilema: Sie verhindern, dass immer die gleiche Generation von Angriffen verwendet wird, da sie diese erkennen. Damit fördern sie aber indirekt auch die Entstehung neuer Varianten. Aus einer statischen Situation wird halt ein Katz- und Maus Spiel. An dem übrigens gut verdient wird... (gewagte Theorie?)
Somit ziehe ich meine Aussage "Root-kontext hat keinen Sicherheitsgewinn" zurück. Begrenzt auf ein einzelnes System hat das meiner Meinung nach zwar nach wie vor Gültigkeit, nicht aber im Zusammenhang mit der Gemeinschaft. Einen Hauptgrund für die geringere Bedrohung unter Linux mag ich daraus aber noch nicht ableiten.
Haus mit Haustür und Safe
Ein Vergleich, der etwas hinkt. Du beschreibst hier unterschiedlich stark gesichtere Zonen. Ok, auf einem Computer gibt es die Userzone und die Rootzone. Die Userzone ist geschützt, da es ja immerhin einiges an Aufwand kostet, nur diese zu erreichen (z.B. Exploit). Das war die Haustüre, oder? Ist es aber nicht so, dass alle interessanten Daten auschließlich in dieser Zone liegen? Der Safe (Rootzone) ist sozusagen immer leer. In Ausnahmefällen mag das nicht zutreffen.
Ordentlich mit sudo umgehen verhindert viele denkbare Angriffe nicht, aber gegen manche Angriffe ist es hilfreich. Wichtiger ist eine verschlossene Haustüre, also hier: Software aus vertrauenswürdigen Quellen beziehen, Misstrauen bei Mailanhängen und bei verlockenden Angeboten von Fremden.
Mein Credo! (btw: wenn wir schon beim Thema "ordentlich" sind: Du meinst /usr/bin/sudo, oder? 😉 )
Wenn der Artikel auch auf gezielte, exakt geplante Angriffe auf individuelle Systeme eingehen soll,
Was hat das damit zu tun?
Gegen gezielte Angriffe kann man sich kaum schützen, selbst wenn man gesundes Verständnis im Bereich Sicherheit hat. Hier ist das Ziel ja nicht, ein statistisches Mindestmaß zu erfüllen, sondern auf Teufel komm raus auf ein bestimmtes System zu kommen. Da muss also ein bestimmter Antrieb vorhanden sein. Spionage zum Beispiel. Einhaltung von "Sicherheitsregeln" mag hier eine zeitlang schützen, wird den Angreifer aber nicht aufhalten. Zugegeben: Unsere Zielgruppe ist davon eher nicht betroffen. Im Umkehrschluss ist aber unsere Zielguppe dann nur der Massenbedrohung ausgesetzt. Einzelfälle bestätigen die Regel. Vielleicht diesen Aspekt in einem Nebensatz anreißen.
Wenn Du von mir Software beziehst dann kann das ebenso vertrauenswürdig sein, wie wenn Du sie von Canonical beziehst. 😉
Gegen Dich kann Canonical einpacken. Du bist ein geschätztes Urgestein hier auf ubuntuusers und genießt mittlerweile mein volles Vertrauen!
Deine Gliederung finde ich eigentlich ganz gut. Ich glaube nur, dass es sich nicht gut in einen Artikel formulieren läßt. Aber als "Verhaltenskodex" finde ich es perfekt. Oder man nimmt die grobe Gliederung für einen Artikel, und schließt diesen dann mit der ausführlichen Beispielsammlung ab?
