Hallo! Ist es prinzipiell möglich, einen PC ohne Neuinstallation virenfrei zu bekommen und zwar so, dass man alle Veränderungen, die vom Virus getätigt wurden, tatsächlich rückgängig gemacht werden und man 100% sagen kann, dass der PC virenfrei ist? Wenn theoretisch ja, kann es ein Otto Normal EDV-Techniker aus dem Laden um die Ecke normalerweise hinbekommen? Gruß!
Guest schrieb: > Wenn theoretisch ja, kann es ein Otto Normal EDV-Techniker aus dem Laden > um die Ecke normalerweise hinbekommen? bei einigen Viren, gibt es im Internet Beschreibungen was sie machen und was sie im System verstellen. Das kann man dann recht einfach beheben. Aber bei Viren die noch andere Dinge nachladen, ist das unmöglich. Aber selbst wenn der PC Virenfrei ist, wer garantiert das sie nicht noch eine USB-Stick oder anderen Datenträgen haben der verseucht ist?
Guest schrieb: > Ist es prinzipiell möglich, einen PC ohne Neuinstallation virenfrei zu > bekommen und zwar so, dass man alle Veränderungen, die vom Virus > getätigt wurden, tatsächlich rückgängig gemacht werden und man 100% > sagen kann, dass der PC virenfrei ist? Nein. Ich versuche, in einem größeren Laden den Netzwerkverkehr zu beobachten und dadurch Malware zu erkennen. Wenn im Netz was gefunden wird geht ein Techniker raus und versucht, mit verschiedenen Virenscannern die Kiste sauber zu machen. Wenn das nicht hilft oder weiterhin Verdacht besteht: Neuinstallation. Nicht zimperlich sein! Scanner finden nicht immer alles. Wir hatten schon lustige Fälle: 1. Scanner A findet nichts 2. Scanner B findet Virus X und entfernt ihn 3. jetzt findet Scanner A Virus Y etc. Fast alle Viren laden inzwischen dynamisch Content nach. Gewissheit gibt es nur durch eine Neuinstallation.
Ja, es ist prinzipiell möglich, aber kann sehr schwierig werden, weil es solche Viren gibt die sich sehr tief im System einnisten und dann muss man sehr viel vom Betriebssystem wissen, wie es funkzioniert und besonders von der registry.Am besten ist es regelmässig ein backup von der registry zu machen, und dann wehn man Verdacht auf Vieren hat, kann man sie schnell ersetzen. Aber bei einigen Viren reicht das auch nicht.In solchen Fällen kann man ein image von der Festplatte machen wenn sie noch virenfrei ist und dann wenn ein Virus auftaucht das backup image auf die Festplatte kopieren. Das geht schneller als Neuinstallation.
Kenner schrieb: > muss > man sehr viel vom Betriebssystem wissen, wie es funkzioniert und > besonders von der registry Ziemlich allgemein formuliert. Mein Betriebssystem z.B. hat gar keine Registry.
Die ofizielle Auskunft von Microsoft dazu lautet: 'Nein' https://technet.microsoft.com/en-us/library/cc700813.aspx.
:
Bearbeitet durch User
Ich habe eine separate Partition für mein Betriebssytem, für Linux nutze ich 16GByte und für Win7 sind es 32GByte. Erst lösche ich den leeren Speicher! (unter Win7 mit CCleaner und unter XUbuntu mit einem kleinen Script) Mit dd mache ich von der Partition dann ein Image. Wenn es Probleme gibt spiele ich das Image einfach wieder hoch. Bei Windows speichere ich 1. den MBR, Bootsektor und die 100mByte Boot-Partition (liegen bei mir alle am Anfang und zusammen) in einem Image. 2. Die Windows-Partition an sich auch in einem Image. Auf meiner Daten-Partition habe ich portable Programme, meine Daten, Bilder, Unterlagen, Workspace der Programme usw. In Windows selbst (eigene Dateien) speicher ich nichts.
Won K. schrieb: > Die ofizielle Auskunft von Microsoft dazu lautet: 'Nein' > https://technet.microsoft.com/en-us/library/cc700813.aspx. "gehackt" und Virus ist aber ein kleiner Unterschied.
Peter II schrieb: > "gehackt" und Virus ist aber ein kleiner Unterschied. Yep. Viren/Trojaner sind schlimmer.
A. K. schrieb: > Yep. Viren/Trojaner sind schlimmer. jaein, Viren/Trojaner abreiten automatisch, machen also vorhersehbare dinge. Wenn man aktiv "gehackt" wird, hat man keine Ahnung was derjenige wirklich macht oder vorhat.
Tilo R. schrieb: > Wenn im Netz was gefunden wird geht ein > Techniker raus und versucht, mit verschiedenen Virenscannern die Kiste > sauber zu machen. In der Firma wird bei Infektionsverdacht ohne viel Zirkus eine automatische Neuinstallation angestossen. 2-3h später ist der PC wieder blitzblank. Der Mitarbeiter arbeitet so lange an einem freien Kollegen-PC.
:
Bearbeitet durch User
Peter II schrieb: > jaein, Viren/Trojaner abreiten automatisch, machen also vorhersehbare > dinge. ...die der Anwender aber nicht weiß und kennt, sondern nur der "Erschaffer" des Trojaners. Das Resultat ist dann doch wieder unvorhersehbar.
npn schrieb: > ...die der Anwender aber nicht weiß und kennt, sondern nur der > "Erschaffer" des Trojaners. Das Resultat ist dann doch wieder > unvorhersehbar. bei einigen Viren wurde die Analyse von Viren veröffentlicht.
Guest schrieb: > Ist es prinzipiell möglich, einen PC ohne Neuinstallation virenfrei zu > bekommen und zwar so, dass man alle Veränderungen, die vom Virus > getätigt wurden, tatsächlich rückgängig gemacht werden und man 100% > sagen kann, dass der PC virenfrei ist? > > Wenn theoretisch ja, kann es ein Otto Normal EDV-Techniker aus dem Laden > um die Ecke normalerweise hinbekommen? Kurz gesagt: nein, und nein. In der Forschung gibt es sogar Schädlinge, bei denen eine komplette Neuinstallation nicht hilft.
Peter II schrieb: > A. K. schrieb: >> Yep. Viren/Trojaner sind schlimmer. > > jaein, Viren/Trojaner abreiten automatisch, machen also vorhersehbare > dinge. Wenn man aktiv "gehackt" wird, hat man keine Ahnung was derjenige > wirklich macht oder vorhat. Nein. Moderne Schädlinge verbinden sich gerne mit einem "Command Server" und bekommen dann interaktiv von dem gesagt, was sie tun sollen.
Sheeva P. schrieb: > Nein. Moderne Schädlinge verbinden sich gerne mit einem "Command Server" > und bekommen dann interaktiv von dem gesagt, was sie tun sollen. genau das habe ich oben geschrieben: > Aber bei Viren die noch andere Dinge nachladen, ist das unmöglich.
War da nicht vor einiger Zeit so ein Skandal >äh Fall im deutschen Bundestag mit ganz ähnlicher Konstellation? Da haben wir als Steuerzahler wieder mal die "Spezialisten" dort in der Verwaltung mit unserer Arbeit füttern müssen. Gabs doch dann auch komplett neue PC´s!
Guest schrieb: > Wenn theoretisch ja, kann es ein Otto Normal EDV-Techniker aus dem Laden > um die Ecke normalerweise hinbekommen? Nicht, wenn es ein Dilettant wie dieser ist: Tilo R. schrieb: > Wenn im Netz was gefunden wird geht ein > Techniker raus und versucht, mit verschiedenen Virenscannern die Kiste > sauber zu machen. AV-Software ist in Wirklichkeit nicht geeignet, um Infektionen zu verhindern, und erst recht nicht, um sie zu beseitigen. Auch wenn Antirenhersteller dies nach wie vor behaupten, die Praxis sieht anders aus. Guest schrieb: > Ist es prinzipiell möglich, einen PC ohne Neuinstallation virenfrei zu > bekommen und zwar so, dass man alle Veränderungen, die vom Virus > getätigt wurden, tatsächlich rückgängig gemacht werden und man 100% > sagen kann, dass der PC virenfrei ist? Jein. In über 90% der Fälle ja, da die meisten Trojane recht simpel gestrickt sind. Zu ~10% nein, da einige sehr clever programmiert sind und sich nicht ohne weiteres aufspüren bzw. beseitigen lassen. Kompliziert wird es bspw., wenn der Schädling Systemdateien modifiziert oder weitreichende Änderungen im System vornimmt, die nur mit erheblichem Aufwand rückgängig gemacht werden können. Somit wird die Entscheidung zwischen Reparatur oder Neuinstallation vor allem vom Verhältnis Aufwand/Nutzen beeinflußt. Wenn die Neuinstallation aufgrund zahlreicher Programme einen ganzen Tag oder länger dauert, lohnt sich u.U. eine mehrstündige Bereinigung. Nicht aber, wenn nur Standardsoftware à la Office, Browser usw. drauf ist. Schlaue User machen regelmäßig eine Imagesicherung ihrer Festplatte und haben im Schadenfall gar keinen Streß. Wie immer ist die beste Strategie eine vernünftige Datensicherung.
Peter II schrieb: > Sheeva P. schrieb: >> Nein. Moderne Schädlinge verbinden sich gerne mit einem "Command Server" >> und bekommen dann interaktiv von dem gesagt, was sie tun sollen. > > genau das habe ich oben geschrieben: > >> Aber bei Viren die noch andere Dinge nachladen, ist das unmöglich. Du hast nicht verstanden, was ich geschrieben habe. Ich spreche nicht vom Nachladen, sondern von echter Interaktion. So wie man bereits vor zwanzig Jahren vor "Back Orifice" sitzen und den Opferrechner interaktiv mit einer Art Kommandozeile fernsteuern konnte. Natürlich kann man mit den Feature auch Code nachladen, aber vor allem kann man dem Opferrechner ganz nach Bedarf sagen, was er tun soll: Spam versenden, einen Angriff auf einen anderen Rechner durchführen, Kreditkartendaten abfangen, ... Laß' es jetzt bitte gut sein. Deine Kenntnisse über Schadcode scheinen noch aus dem letzten Jahrtausend zu stammen, als Skriptkiddies das Hauptproblem gewesen sind. Heute geht es um Bedrohungen aus dem Umfeld der organisierten Kriminalität, da ist viel Geld im Spiel und es geht um völlig andere Ziele. Ach so, Nachtrag: bei der Bekämpfung von Computerschädlingen kann und darf es keine Gutgläubigkeit geben. Die einzige korrekte und sichere Lösung ist es, bei jeder Kompromittierung des Systems vom Worst Case auszugehen, das System sofort vollständig vom Netz zu trennen, es vollständig (inklusive Bootsektor und Partitionstabellen) zu löschen, und neu zu installieren.
:
Bearbeitet durch User
Ja genau, wenn die "Spezialisten" von Bundestag nichts machen konnten, dann kann es ein Otto Normal EDV-Techniker aus dem Laden um die Ecke auch nicht.
Sheeva P. schrieb: > Laß' es jetzt bitte gut sein. Deine Kenntnisse über Schadcode scheinen > noch aus dem letzten Jahrtausend zu stammen, als Skriptkiddies das > Hauptproblem gewesen sind. Heute geht es um Bedrohungen aus dem Umfeld > der organisierten Kriminalität, da ist viel Geld im Spiel und es geht um > völlig andere Ziele. ja und, wo ist geschrieben das jemand immer die aktuellsten Viren sich installiert? Auch glaube ich nicht das bei Millionen Infizierten PCs die Hacker jeden einzeln Administrieren. Die C&C Server machen zu 99% nichts weiter als dem Virus zu sagen welche Zusatzdinge er zu installieren hat - wo wir wieder bei dem punkt sind - Viren die etwas nachladen.
Ich würde einfach ein vorheriges Systemabbild einspielen, was noch virenfrei ist, dauert bei meinem PC ~5min. Dabei wird C: komplett neu formatiert und übergebraten. Je nach Alter des Abbilds muß man dann noch aufgelaufene Updates einspielen. Ich würde ein Abbild etwa alle 6 Monate anlegen bzw. vor Änderungen/Installationen und nachdem die Änderungen erprobt sind.
Sheeva P. schrieb: > Die einzige korrekte und sichere > Lösung ist es, bei jeder Kompromittierung des Systems vom Worst Case > auszugehen, das System sofort vollständig vom Netz zu trennen, es > vollständig (inklusive Bootsektor und Partitionstabellen) zu löschen, > und neu zu installieren. Sorry. Das ist für den "Worst Case" nicht ausreichend. Bios neu flashen. Auch VGA-Bios. Alle USB-Sticks, die je an den Rechner angeschlossen waren shreddern. (Stichword "BadUSB") Bei Intel-CPUs: Mainboard shreddern (Stichwort "Management Engine") ... Und nachdem es da mal einen Legendären Hack gab: Drucker die über Netzwerk kontakt hatte, sind suspekt, IP-Telefone ebenso. Jetzt rechne den üblichen IT-ler Stundensatz dagegen. Billigste Lösung: Rechner Virenverseucht => Komplett in den Shredder. Ob der Monitor dabei mit in dem Müll wandert, ist dann auch schon nebensächlich.
>Billigste Lösung: >Rechner Virenverseucht => Komplett in den Shredder. Das ist blöd, und wenn der neue Rechner virenverseucht wird, auch schreddern?
Peter II schrieb: > Viren/Trojaner abreiten automatisch, machen also vorhersehbare > dinge. Wenn man aktiv "gehackt" wird, hat man keine Ahnung was derjenige > wirklich macht oder vorhat. Moderne Malware kann beliebige Dinge nachladen und installieren. Und arbeitet schon lange nicht mehr blindlings drauf los, sondern verwandelt den PC in einen ferngesteuerten Bot.
armer ingenieur schrieb: > Moderne Malware kann beliebige Dinge nachladen und installieren. Und > arbeitet schon lange nicht mehr blindlings drauf los, sondern verwandelt > den PC in einen ferngesteuerten Bot. genau das steht schon lange oben
Wie schon erwähnt: Nicht einmal die Admins der Regierung (u.a. Großbetriebe) kriegen ihre Rechner dicht. Selbst die Hersteller von Antiviren- Software können ihre Systeme nicht virenfrei halten. Was soll ich mich dann noch als DAU darum bemühen? Mein Internet- PC läuft unter UBUNTU und sämtliche anderen PC sind im Insel- Betrieb ohne Internetzugang. Eine Zeit lang habe ich den Internet- PC ohne Festplatte immer von einer Heise- Surfix / Bankix CD gebootet, bis mir das dann auch zu langwierig und unbequem wurde.
Ich frag mich, wie man sich bei einem Backup sicher sein kann, dass dieses noch virenfrei ist. Speziell, wenn hier manchmal das Einspielen eines Images empfohlen wird.
...ach ja, und noch etwas: Im Blöd- Markt auf der Hit-Liste der verkauften Software ist auf Platz 1 eine Antivirensoftware. Das zeigt doch, wie bescheuert inzwischen die IT- Situation ist: "Kaufen sie einen Computer, damit sie die Probleme lösen können, die sie ohne Computer garnicht hätten."
Steffen R. schrieb: > Ich frag mich, wie man sich bei einem Backup sicher sein kann, dass > dieses noch virenfrei ist. Genauso sicher, wie man sein kann, daß der Rechner vor dem Fund virenfrei war oder daß er in diesem Moment virenfrei ist. Man kann immer nur sicher sein, daß ein Virus drauf ist wenn man einen gefunden hat, sonst weiß man nur, daß man einen sucht. Aber genauso kann man sich bei Krebs nur sicher sein, wenn er diagnostiziert ist, bis dahin weiß man nur, daß es einem grad gut geht. Das sind die Ungewissheiten mit denen man leben muß und zum Glück lassen sich die Spuren eines Viruses leichter entdecken als Krebs.
Irgendwie ist doch jedes aktuelle Betriebssystem eine Art Trojaner, Virus und auch Malware in einem! Der einzige Unterschied ist doch nur, dass der User sich bewusst dafür entscheidet. D.h. bei einer Neuinstallation ist quasi der erste Virus schon drauf, dieser kann dann nur noch mit dem hauseigenen Antiviren-Tool "Format c:\" wieder restlos entfernen.
Ich glaube sogar dass Antivirensoftware-produzenten selber einige Viren in umlauf bringen, um dann ihre Software zu verkaufen. Anders kann ich mir nicht erklären woher die Hacker sowiel Wissen haben um solche kopliezierte Viren zu programieren.
Kenner schrieb: > Ich glaube sogar dass Antivirensoftware-produzenten selber einige Viren > in umlauf bringen, um dann ihre Software zu verkaufen. Anders kann ich > mir nicht erklären woher die Hacker sowiel Wissen haben um solche > kopliezierte Viren zu programieren. Ja,nehme ich auch stark an! Trotzdem kommt man ohne AV software nicht aus,denn immerhin melden sie einen Befall, den man ohne sicher nicht immer bemerken würde. Im übrigen gilt wie immer, dass Leute die wichtige Daten haben auch Datensicherung betreiben. Ich arbeite auch nur mit einer Clonezilla Copy, wärend das original im Schrank schlummert. Bei Problemen oder Befall scheiße ich gar nicht lange rum und ziehe mir wieder eine astreine Copy. Falls jemand meinen sollte woher ich annehme ,dass die astrein ist sage ich ...ich bin kein Neurotiker und weiß unter welchen Bedingungen die entstanden ist.In dieser Richtung kranke sollten keinen Internetzugang haben weil das der pure Stress sein muß, der das Leben verkürzt. Seit ich nicht mehr unter Admin surfe....ja in der Anfangszeit von Internet war ich mal so dämlich...hatte ich keinen Befall mehr. Im übrigen kann ein AV Program nur selten einen Befall verhindern. Aber bellen ist ja auch schon wichtig! Im übrigen ist ein Befall ja meistens erst dann komplett wenn es dem Virus gelingt etwas nach zu laden.Da hilft eine Firewall weil die mich immer fragt bevor eine mir unbekannte Datei ins Internet darf.E-Mail Anhänge öffne ich nur, wenn ich sicher bin dass ich sie kenne.
Won K. schrieb: > Man kann immer nur sicher sein, daß ein Virus drauf ist wenn man einen > gefunden hat, sonst weiß man nur, daß man einen sucht. Aber wenn man einen Virus gefunden hat, weiß man "genau", dass er zu einem früheren Zeitpunkt eingespielt wurde. Man weiß nur nicht, wann. Für mich ist die Situation eine andere als ohne Fund.
Steffen R. schrieb: > Aber wenn man einen Virus gefunden hat, weiß man "genau", dass er zu > einem früheren Zeitpunkt eingespielt wurde. Man weiß nur nicht, wann. meist weiß man das sogar, anhand vom Datum wenn die unerwünschten Dateien angelegt wurde.
Guest schrieb: > Ist es prinzipiell möglich, einen PC ohne Neuinstallation virenfrei zu > bekommen Ganz sicher zumindest nicht für dich. Weil: wer so fragt wie du, hat sowieso keine Ahnung. Und selbst für Leute, die durchaus wissen, was sie tun, ist das ein Problem, was so große Unsicherheiten zurücklässt, das sie i.d.R. freiwillig die Neuinstallation als sicherste Variante verwenden. Das wirklich Schlimme ist: gegen die neuesten Malware-Konstrukte hilft ja nichtmal mehr das immer zuverlässig... Dank des grenzdebilen Schwachsinns, die Grundsoftware eines PC derartig ausufern zu lassen, daß es im Endergebnis auch schon wieder ein recht komplexes OS ist. Bloß eines, für das es weder Virenscanner noch vernünftige Analysesoftware gibt... Fuck the inventors and propagators of UEFI. Kill Intel, kill Microsoft, kill Apple. Aber das ist immer noch nicht das Ende der Fahnenstange. Heutzutage kann sogar schon fast jedes Peripheriegerät Malware-Wiege sein. Vom USB-Stick über die Maus bis hin zum Monitor. Die Standards, nach denen all das Zeug mit dem Rechner kommuniziert werden immer komplexer und damit ergeben sich immer mehr ausnutzbare Lücken in den Implementierungen dieser Standards. Liest du niemals einschlägige Veröffentlichungen? Da kann dir nur schlecht werden! Die Sache läuft insgesamt ganz eindeutig gegen den Baum. Hier wären grundsätzliche konzeptionelle Änderungen nötig, aber die entsprechen in keiner Weise den Interessen der Industrie, also werden sie nicht geschehen.
So schlimm ist es nicht.Problem ist, dass die Industrie oder die Regierung selber solche Programme enwickeln um Leute auszuspähen und zu kontrolieren. Beispiel Stuxnet!
c-hater schrieb: > aber die entsprechen in > keiner Weise den Interessen der Industrie, also werden sie nicht > geschehen. Naja, vergiß mal die User nicht. Ich kenne viele, die grundsätzlich erwarten, daß alles "von selbst" geht. Wenn bei denen nach Einschieben des Sticks nicht VON SELBST die dort drauf befindlichen Bilder oder sonstiges Zeugs angezeigt werden, sind sie beleidigt. Das Gleiche gilt für die Installation von allem: immer nur nach "default", keine getrennten Partitionen, alles in Programme oder Eigene_Dateien und so. Die Mehrzahl der PC-User findet es auch ganz in Ordnung und extrem wünschenswert, "ihr" Internet überall zu haben. Wenn man denen sagt, nehmt zwei PC's, einen NUR zum Inet-Daddeln und Email machen und den anderen für alles Ernsthafte (und diesen OHNE Inet-Zugang), dann verstehen sie einen nicht. W.S.
W.S. schrieb: > Das Gleiche gilt > für die Installation von allem: immer nur nach "default", keine > getrennten Partitionen, alles in Programme oder Eigene_Dateien und so. was nicht nur Nachteile hat. Eigene_Dateien wird z.b. bei der Wiederherstellung von einen früheren Zeitpunkt anders behandelt als andere Ordner. Dort bleiben Dateien die neuer sind erhalten. Auch ist dort die Indizierung aktiv (die auch sehr sinnvoll ist wenn man sie richtig verwendet). Wenn man von den definierten "Standards" von MS abweicht muss man halt wissen man tut und nicht später auf MS schimpfen das etwas nicht so funktioniert wie gedacht.
c-hater schrieb: > Die Sache läuft insgesamt ganz eindeutig gegen den Baum. Sieh es mal positiv: Wenn man dir Mäuse abnehmen kann, indem man deinen PC verschlüsselt, dann muss man dir dafür nicht auf althergebrachte Weise eins über die Rübe geben. ;-)
Won K. schrieb: > Die ofizielle Auskunft von Microsoft dazu lautet: 'Nein' Windows selbst ist das größe Virus. Insbesondere Win 10 Holger
Man kann natürlich überall die Monster im Schrank sehen, dann darf man eben keinen PCs benutzen. Gegen versehentlich installierte Malware, vergurkte Treiber, Registry oder abgelaufene Eval-Versionen hilft jedenfalls ein Systemabbild sehr effektiv. Einen echten Virenbefall hatte ich bisher nicht.
:
Bearbeitet durch User
Peter D. schrieb: > Man kann natürlich überall die Monster im Schrank sehen, dann darf man > eben keinen PCs benutzen. > Gegen versehentlich installierte Malware, vergurkte Treiber, Registry > oder abgelaufene Eval-Versionen hilft jedenfalls ein Systemabbild sehr > effektiv. > Einen echten Virenbefall hatte ich bisher nicht. Du bist wohl so 'nen komischer Vogel, der seine Programme ehrlich kauft, statt sie von tollen Häckerseiten 'runterzuholen? ;-)
Sheeva P. schrieb: > Du bist wohl so 'nen komischer Vogel, der seine Programme ehrlich kauft, > statt sie von tollen Häckerseiten 'runterzuholen? ;-) Tja ,wenn es was für "umme" gibt da schalten sie ihr Hirn aus.Nachher wundern sich die Herrschaften dann über ungebetene Gäste auf dem PC. Es gibt nichts umsonst ,selbst wenn es nur einen Virenbefall kostet...ist das teuer genug.Im übrigen ist es vollig ok für lebenswichtige Daten einen extra PC zu benutzen der nicht online ist. In China bauen sie Sachen die bringen Trojaner gleich mit....günstig natürlich. Hab von Smartphones gelesen und USB Sticks. Da kommt Freude auf.
herbert schrieb: > In China bauen sie > Sachen die bringen Trojaner gleich mit....günstig natürlich. Das ist nicht neu. Im letzten Jahrtausend bekam eine Stadverwaltung frische, eingeschweißte!!! Disketten schon mit Virus geliefert. Ein verseuchtes Formatprogramm hat mir auch schon viel Freude bereitet ...
herbert schrieb: > Im übrigen ist es vollig ok für lebenswichtige Daten > einen extra PC zu benutzen der nicht online ist. Ja, das kann man machen, ist aber meistens ziemlich aufwändig, und diesen "Offline-Rechner" dann und wann mit Updates zu versorgen, ist auch nicht ohne. Zumal man sich verseuchte Programme ja auch über alle Datenträger einfangen kann, die man dann zum Austausch von Daten benutzen muß... Stattdessen ist es vermutlich einfacher, wenn man gleich ein Betriebssystem mit einer ausgereiften Sicherheitsarchitektur und freie Software benutzt, die man sich nicht von irgendwelchen dubiosen Quellen "besorgen" muß. ;-)
Sheeva P. schrieb: > Stattdessen ist es vermutlich einfacher, wenn man gleich ein > Betriebssystem mit einer ausgereiften Sicherheitsarchitektur und freie > Software benutzt, die man sich nicht von irgendwelchen dubiosen Quellen > "besorgen" muß. ;-) Welches wäre das denn... Das Problem sind schon lange nicht mehr die Betriebssysteme an sich, sondern die Programme, die täglich im Gebrauch sind: Textverarbeitungen, Dateibetracher, Plugins aller Arten, Email-Programme, Browser usw. usf. Ist eines davon anfällig, ist das Betriebssystem darunter irrelevant. Was nicht fehlen darf: Der Klassiker Reflections on Trusting Trust von Ken Thompson zum Thema Quelltextüberprüfung und Trojaner... http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf oder zur Frage wie es um die Sicherheit des X-Servers bestellt ist... http://theinvisiblethings.blogspot.de/2011/04/linux-security-circus-on-gui-isolation.html
Arc N. schrieb: > Sheeva P. schrieb: >> Stattdessen ist es vermutlich einfacher, wenn man gleich ein >> Betriebssystem mit einer ausgereiften Sicherheitsarchitektur und freie >> Software benutzt, die man sich nicht von irgendwelchen dubiosen Quellen >> "besorgen" muß. ;-) > > Welches wäre das denn... Das Problem sind schon lange nicht mehr die > Betriebssysteme an sich, sondern die Programme, Das Problem sitzt in den meisten Fällen vor der Tastatur. ;-) > Was nicht fehlen darf: Der Klassiker Reflections on Trusting Trust von > Ken Thompson zum Thema Quelltextüberprüfung und Trojaner... > http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf > oder zur Frage wie es um die Sicherheit des X-Servers bestellt ist... > http://theinvisiblethings.blogspot.de/2011/04/linux-security-circus-on-gui-isolation.html Bitte erspar mir diesen Unfug, die Theorie ist bekannt. Niemand, der bei klarem Verstand ist, hat je behauptet, daß es für Linux, Free-, Net- und OpenBSD keine theoretischen Bedrohungen gäbe. Aber es ist immer noch die Praxis, die zählt. In der freien Wildbahn gibt es mehrere zehntausend gefährliche Malwares für Windows. Solche für Linux, Free-, Net- und OpenBSD kannst Du an einer Hand abzählen. PS: Wer zuerst "Verbreitung" sagt, hat verloren. ;-)
Sheeva P. schrieb: > Solche für > Linux, Free-, Net- und OpenBSD kannst Du an einer Hand abzählen. Typisches Scheuklappendenken. Erstens vergißt du, daß Android-Smartphones auch ein Linux drunter haben und daß dafür sehr wohl eine nennenswerte Zahl von Schadprogrammen existiert. Zweitens vergißt du, daß der größte Teil an Webservern ebenfalls unter Linux läuft und daß diese in erheblichem Maße angegriffen werden. Und drittens hängt die Verbreitung von Malware sehr stark mit dem Marktanteil des OS zusammen. Natürlich wird kein Malwareautor Zeit damit verschwenden, Trojaner für exotische Betriebssysteme zu schreiben, die nur ein Nischendasein fristen. Erlangen diese Betriebssysteme jedoch größere Verbreitung, dann werden sie auch für Bösewichte interessant, siehe Android.
Guest schrieb: > Ist es prinzipiell möglich, einen PC ohne Neuinstallation virenfrei zu > bekommen und zwar so, dass man alle Veränderungen, die vom Virus > getätigt wurden, tatsächlich rückgängig gemacht werden und man 100% > sagen kann, dass der PC virenfrei ist? ja man muss dazu nur den Zustand vor- und nach der Vireninfektion kennen, vergleichen und den unterschied auswerten. Jede Datei die nach der infektion geändert wurde ist potentiell verdächtig und daher gesondert zu untersuchen. Für diesen Fall hat jeder halbwegs vernünftige Computerbenutzer inkrementelle Backups. Guest schrieb: > Wenn theoretisch ja, kann es ein Otto Normal EDV-Techniker aus dem Laden > um die Ecke normalerweise hinbekommen? wenn er gut ist: ja
Icke ®. schrieb: > Sheeva P. schrieb: >> Solche für Linux, Free-, Net- und OpenBSD kannst Du an einer Hand >> abzählen. > > Typisches Scheuklappendenken. Erstens vergißt du, daß > Android-Smartphones auch ein Linux drunter haben Nein, haben sie nicht. Die Basis des Kernels war ehedem mal ein Linux, das aber sehr stark verändert wurde und in vielerlei Hinsicht nichts mehr mit einem UNIX-System zu tun hat -- und das Userland erst Recht nicht. > und daß dafür sehr wohl eine nennenswerte Zahl von Schadprogrammen > existiert. Für die winzigen Bruchstücke des Linux-Kerns, die da noch drin sind? Nenn' doch bitte mal ein paar. > Zweitens vergißt du, daß der größte Teil an Webservern ebenfalls unter > Linux läuft und daß diese in erheblichem Maße angegriffen werden. Erfolgreich? Und wenn ja: was wird da angegriffen? Fehlerhafte und uralte PHP-Skripte, die von Laien installiert und seitdem nicht gewartet wurden? Super Argument. Ungefähr so, als würde ich heute ein Windows98 aufsetzen, es ungeschützt ins Internet stellen und, wenn es erfolgreich angegriffen wurde, das dann als Beleg für die Unsicherheit moderner Windows-Systeme anführen würde. Das würdest Du auch nicht ernst nehmen, oder? Letztlich kann man sich auch unter Linux und *BSD dämlich anstellen, keine Frage. Aber während man sich unter UNIXen einige Mühe geben muß, um damit eine angreifbare Situation zu schaffen, und sich zudem meist an mehreren Stellen gleichzeitig dämlich anstellen muß, reicht es unter Windows immer noch aus, nur ein einziges Mal kurz unaufmerksam zu sein, um sich einen gefährlichen Schädling einzufangen. Um es kurz zu machen: das Risiko ist unter Windows einfach viel größer, und die Auswirkungen davon lassen sich dann auch in der Praxis in aller Vielfalt bewundern. Wie viele Anfragen gab es hier im Forum wegen Linux-Schädlingen, und wie viele Anfragen wegen Windows-Malware? Dabei ist der Anteil der Linuxuser hier im Forum nach meinem Emfpinden deutlich höher als sonst üblich. > Und drittens hängt die Verbreitung von Malware sehr stark mit dem > Marktanteil des OS zusammen. ... und verloren. ;-) Erstens ist Linux sehr viel weiter verbreitet, als es die meisten Menschen sehen -- auf Webservern und Routern, die besonders lohnende Angriffsziele darstellen, ist Linux sehr viel weiter verbreitet als Windows. Aber nenn' doch mal einen erfolgreichen, verbreiteten Schädling der letzen Jahre, an den Du Dich erinnern kannst? Zweitens ist es ein Märchen, daß es Angreifern um die Verbreitung ihres Zielsystems ginge. Sonst wäre nicht der IIS, sondern der Apache das bevorzugte Ziel von Angriffen auf Webserver. Sobald die Verbreitung groß genug ist, daß der Angreifer einen Netzwerkeffekt erwarten kann, ist es ein lohnendes Ziel für ihn. Die Frage für den Angreifer ist dann nur noch, wie aufwändig und auffällig es ist, in das Ziel einzudringen, und wie hoch die Wahrscheinlichkeit einer Entdeckung ist. Drittens und letztens ist es für einen Anwender, dessen System angegriffen wird, vollkommen gleichgültig, warum er angegriffen wird. Wenn die Konten leer, die Kreditkartendaten geklaut und die Nacktbilder der Freundin den Kollegen geschickt worden sind, ist es unserem Anwender völlig wumpe, ob das nun an der Verbreitung, am miserablen Software- und Systemdesign oder woran auch immer liegt. Wetten? Und über Themen wie Monolithen vs. Module, die "Registrierungsdatenbank" und die Erkennung von Executables über die Dateinamenerweiterung -- das sind die beiden größten Konstruktionsfehler von Windows -- oder die Unart, jedes Programm mit etlichen undurchschaubaren Automatisierungslösungen zu durchseuchen, habe ich noch gar nicht gesprochen. Warum genau müssen ein Webbrowser und ein E-Mail-Programm eigentlich Zugriff auf Befehle haben, mit denen man "Laufwerke formatieren" und den Bootloader ändern kann? Man könnte angelegentlich auch mal fragen, warum es Microsoft bis heute immer noch nicht geschafft hat, so etwas wie ein Software-Repository bereitzustellen, wo auf einen einzigen Befehl hin das System und alle installierten Anwendungsprogramme aktualisiert werden, wie das unter UNIX-Systemen schon seit zwanzig Jahren üblich ist. Das würde allerdings wiederum die Frage aufwerfen, inwieweit alleine dies zu dem signifikant höheren Sicherheitsniveau von UNIX-Systemen beiträgt, das wir in der Praxis seit vielen, vielen Jahren sehen. Wir können da jetzt noch lange herumdiskutieren, aber an der schlichten Tatsache, daß man mit Linux und *BSD auch ohne Virenscanner und Personal- oder Desktop-"Firewall" sicherer unterwegs ist, als unter einem Windows mit Benutzung solcher Krücken, wirst Du nicht herumkommen. ;-)
Sheeva P. schrieb: > Die Basis des Kernels war ehedem mal ein Linux, > das aber sehr stark verändert wurde und in vielerlei Hinsicht nichts > mehr mit einem UNIX-System zu tun hat Die Basis ist nach wie vor ein Linux-Kernel und als "Linux" wurde ursprünglich eigentlich nur der Kernel bezeichnet. Inzwischen hat sich der Begriff jedoch verwässert und darauf aufbauende OS werden im allgemeinen Sprachgebrauch so bezeichnet. Wenn du also von einem "Linux" sprichst, müßtest du schon mal definieren, welche Distri, welche GUI, welche Bibliotheken usw. du meinst. >> Und drittens hängt die Verbreitung von Malware sehr stark mit dem >> Marktanteil des OS zusammen. > > ... und verloren. ;-) Gilt nicht. Du kannst keinen maßgeblichen Faktor ausschließen, nur weil es nicht in deine Argumentation paßt. Da es bei Schadsoftware längst nicht mehr um die persönliche Profilierung von Hackern geht, sondern handfeste "wirtschaftliche" Interessen krimineller Strukturen zugrunde liegen, ist die Verbreitung des Zielsystem sogar Nr.1 auf der Prioritätenliste. > Für die winzigen Bruchstücke des Linux-Kerns, die da noch drin sind? > Nenn' doch bitte mal ein paar. Oldboot.B ist z.B. einer, der den Kernel befällt. Darüberhinaus existiert für Android als bedeutend verbreitetes OS mittlerweile soviel Malware, daß sogar schon Virenscanner dafür angeboten werden. > Erfolgreich? Und wenn ja: was wird da angegriffen? Fehlerhafte und > uralte PHP-Skripte, die von Laien installiert und seitdem nicht gewartet > wurden? Tja, da müßten wir uns zunächst darüber einigen, was denn genau zum Betriebssystem gehört. Zählt nur der Kernel oder die gesamte Installation? Ich könnte genauso argumentieren, wieviele Trojaner basieren denn auf Verwundbarkeit des Windows-KERNELs? Tatsache ist, daß die allermeisten Schädlinge gar nicht Windows selbst als Einfallstor benutzen, sondern 3rd-Party Software á la Flash oder Java. Und was war mit Shellshock? Haben Laien die Bash programmiert? Oder Heartbleed? > das Risiko ist unter Windows einfach viel größer, und die Auswirkungen > davon lassen sich dann auch in der Praxis in aller Vielfalt bewundern. Ja selbstverständlich, weil Windows nunmal den größten Marktanteil hat UND entsprechend Ziel Nr.1 für Malwareprogrammierer IST. Erlangen andere Systeme ebensolche VERBREITUNG, dann rücken auch sie in den Focus, wie man bei Android deutlich sehen kann. > Zweitens ist es ein Märchen, daß es Angreifern um die Verbreitung ihres > Zielsystems ginge. Sonst wäre nicht der IIS, sondern der Apache das > bevorzugte Ziel von Angriffen auf Webserver. Link zur aktuellen Statistik? Vor paar Jahren sah es jedenfalls andersrum aus: http://www.heise.de/security/meldung/Einbrueche-in-Linux-Webserver-am-haeufigsten-Update-191083.html > Sobald die Verbreitung groß > genug ist, daß der Angreifer einen Netzwerkeffekt erwarten kann, ist es > ein lohnendes Ziel für ihn. Mein Reden. > Wie viele Anfragen gab es hier im Forum wegen Linux-Schädlingen, und wie > viele Anfragen wegen Windows-Malware? Dabei ist der Anteil der Linuxuser > hier im Forum nach meinem Emfpinden deutlich höher als sonst üblich. Wir drehen uns im Kreis. Gib Linux 50% Marktanteil und ich garantiere dir, es werden Anfragen kommen. > Erstens ist Linux sehr viel weiter verbreitet, als es die meisten > Menschen sehen -- auf Webservern und Routern, die besonders lohnende > Angriffsziele darstellen, ist Linux sehr viel weiter verbreitet als > Windows. Aber nenn' doch mal einen erfolgreichen, verbreiteten Schädling > der letzen Jahre, an den Du Dich erinnern kannst? s.o., Shellshock und Heartbleed. Letzterer nicht auf Linux beschränkt, aber auch OpenSource und gerade deswegen so frappierend, weil er trotz offener Quellen ewig nicht bemerkt wurde. Genauso wie der Fehler in der Bash. Es läßt sich nur ahnen, was bei gezielter Suche noch ausgenutzt werden könnte. > die "Registrierungsdatenbank" > und die Erkennung von Executables über die Dateinamenerweiterung -- das > sind die beiden größten Konstruktionsfehler von Windows Über .exe läßt sich streiten. Die Registry ist kein Konstruktionsfehler, sondern eine geniale Erfindung. Aber das kann man eben nicht verstehen, wenn man sich nur oberflächlich damit befaßt. > Warum genau müssen ein Webbrowser und ein E-Mail-Programm > eigentlich Zugriff auf Befehle haben, mit denen man "Laufwerke > formatieren" und den Bootloader ändern kann? Das haben sie von Haus aus nicht. Nur User, die aus Bequemlichkeit mit Adminrechten arbeiten und kräftig mitwirken. Ein "format c:" wird unter laufendem Windows außerdem scheitern, auch als Admin, während ROOT ohne weiteres und ohne Nachfrage das Linux kleinkriegt. > Man könnte angelegentlich auch mal fragen, warum es Microsoft bis heute > immer noch nicht geschafft hat, so etwas wie ein Software-Repository > bereitzustellen, wo auf einen einzigen Befehl hin das System und alle > installierten Anwendungsprogramme aktualisiert werden Weil es eben Unterschiede zwischen OpenSource und kommerzieller Software gibt und es deswegen nicht so einfach funktioniert? Aus Lizenzgründen zum Beispiel. Dabei sind die Voraussetzungen seitens Windows durchaus vorhanden, Treiber können bspw. schon lange über Windows Update aktualisiert werden. > an der schlichten > Tatsache, daß man mit Linux und *BSD auch ohne Virenscanner und > Personal- oder Desktop-"Firewall" sicherer unterwegs ist, als unter > einem Windows mit Benutzung solcher Krücken, wirst Du nicht herumkommen. Denkste. Ich selbst verwende nichts davon und bin dennoch virenfrei. Es ist sehr wohl möglich, Windows sicher zu konfigurieren und zu benutzen. Es scheitert einzig und allein an der Ignoranz und Bequemlichkeit der User. Dies habe ich in der Tat schon oft genug diskutiert und mir geht auch langsam die Lust aus.
Sheeva P. schrieb: > Letztlich kann man sich auch unter Linux und *BSD dämlich anstellen, > keine Frage. Aber während man sich unter UNIXen einige Mühe geben muß, > um damit eine angreifbare Situation zu schaffen, und sich zudem meist an > mehreren Stellen gleichzeitig dämlich anstellen muß, reicht es unter > Windows immer noch aus, nur ein einziges Mal kurz unaufmerksam zu sein, > um sich einen gefährlichen Schädling einzufangen. Das mag zwar aufgrund der (hier bitte das verbotene Wort einsetzen) so sein, dass es weniger Angriffe auf bspw. Linux-basierte Systeme gibt. Sicherer sind diese damit allerdings nicht, da s.o. das Problem die auf dem System laufenden Programme sind, nicht (mehr) das OS an sich. Wenn der Browser, Mail-Client, Dateibetrachter, die Textverarbeitung eine Lücke haben, ist das OS darunter irrelevant und der Anwender kann noch so aufmerksam sein. Dem Angreifer bieten sich dieselben Möglichkeiten. > Erstens ist Linux sehr viel weiter verbreitet, als es die meisten > Menschen sehen -- auf Webservern und Routern, die besonders lohnende > Angriffsziele darstellen, ist Linux sehr viel weiter verbreitet als > Windows. Aber nenn' doch mal einen erfolgreichen, verbreiteten Schädling > der letzen Jahre, an den Du Dich erinnern kannst? Linux-Router-Botnetze http://www.linux-magazin.de/NEWS/Psyb0t-greift-Linux-Router-an oder http://www.heise.de/ct/ausgabe/2013-21-Hinter-den-Kulissen-eines-Router-Botnets-2313886.html oder http://www.pro-linux.de/news/1/22365/moose-ein-wurm-befaellt-linux-router.html oder https://www.stateoftheinternet.com/resources-web-security-threat-advisories-2015-xor-ddos-attacks-linux-botnet-malware-removal-ddos-mitigation-yara-snort.html oder http://www.heise.de/security/meldung/Virus-oder-Impfstoff-WiFatch-befaellt-Router-und-schuetzt-vor-Malware-2837158.html usw. usf. > Warum genau müssen ein Webbrowser und ein E-Mail-Programm > eigentlich Zugriff auf Befehle haben, mit denen man "Laufwerke > formatieren" und den Bootloader ändern kann? Haben sie nicht bzw. nur wenn der Anwender mal wieder als Root unterwegs ist oder mehrere Lücken zusammen kommen (lokale Rechteausweitung + Remote Code Execution z.B. im Browser oder dessen Plugins). Letzteres ist auch unter div. *nix möglich. Ersteres tatsächlich fast ausschließlich unter Windows. > Man könnte angelegentlich auch mal fragen, warum es Microsoft bis heute > immer noch nicht geschafft hat, so etwas wie ein Software-Repository > bereitzustellen, wo auf einen einzigen Befehl hin das System und alle > installierten Anwendungsprogramme aktualisiert werden, wie das unter > UNIX-Systemen schon seit zwanzig Jahren üblich ist. Das würde allerdings > wiederum die Frage aufwerfen, inwieweit alleine dies zu dem signifikant > höheren Sicherheitsniveau von UNIX-Systemen beiträgt, das wir in der > Praxis seit vielen, vielen Jahren sehen. Da kommt ein bisschen was zusammen. U.a.: - MS müsste erst mal alle Hersteller mit ins Boot holen (bei Treibern und einem der größten Sicherheitslöcher Flash tun sie es) - MS hat einen Haufen an Legacy-Code/Systemen/Anwendungen zu pflegen -> langsamere Reaktion auf Lücken - MS hat früher den Fehler gemacht das OS an die Macken der Programme anzupassen (was z.T. auch den Erfolg durch Kompatibilität erklärt) und nicht die Hersteller zum Nachsitzen gezwungen - MS hat, auch wenn's lange gedauert hat, mit Win10 OneGet 1) eine mögliche Lösung ausgerollt 1) http://blogs.technet.com/b/packagemanagement/archive/2015/04/29/introducing-packagemanagement-in-windows-10.aspx
Icke ®. schrieb: > Die Basis ist nach wie vor ein Linux-Kernel und als "Linux" wurde > ursprünglich eigentlich nur der Kernel bezeichnet. Die Basis ist kein Linux-Kernel, sondern eine von Google sehr deutlich veränderte Version davon. Deswegen heißt das Produkt auch "Android" und nicht Linux. Android benutzt einen eigenen Kernel, ein eigenes Userland, und nicht einmal die GNU C-Library. Zu behaupten, Android sei ein Linux-System, nur weil es vielleicht zwei bis vier Prozent seines Systemcodes mit Linux gemein hat, zeigt eigentlich schon, daß es Dir nicht um eine seriöse Analyse oder eine sachliche Diskussion zu gehen scheint. > Du kannst keinen maßgeblichen Faktor ausschließen, nur weil > es nicht in deine Argumentation paßt. Ich schließe eine unmaßgebliche Schutzbehauptung aus, weil sie sachlich Unsinn ist. Hast Du die Begründung nicht gelesen oder nicht verstanden? >> Für die winzigen Bruchstücke des Linux-Kerns, die da noch drin sind? >> Nenn' doch bitte mal ein paar. > > Oldboot.B ist z.B. einer, der den Kernel befällt. Nein, und nein. Nein, Oldboot.{A,B} befällt nicht den Kernel, weder den von Android, und noch viel weniger den von Linux. Und nein, tatsächlich infiziert er nicht den Kernel, sondern Androids "system_server", den es (oh Wunder) unter Linux nicht gibt. > s.o., Shellshock und Heartbleed. Letzterer nicht auf Linux beschränkt, > aber auch OpenSource und gerade deswegen so frappierend, weil er trotz > offener Quellen ewig nicht bemerkt wurde. Genauso wie der Fehler in der > Bash. Es läßt sich nur ahnen, was bei gezielter Suche noch ausgenutzt > werden könnte. Da hast Du ausnahmsweise sogar mal Recht, jedenfalls teilweise. Tatsache ist nämlich, daß Heartbleed nur gefunden wurde, gerade weil es sich bei OpenSSL um OpenSource-Software handelt. Was meinst Du wohl, wie viele ähnliche Fehler sich seit Jahren in ClosedSource-Code befinden, die nie (oder nur von den bösen Jungs) gefunden werden, weil solcher Code nicht unabhängig auditiert werden kann? Shellshock ist übrigens auch nicht auf Linux beschränkt, aber ein sehr schlimmer und vor allem lange unentdeckter Fehler. Auch da stellt sich allerdings die Frage, wie viele solcher Fehler noch unentdeckt sind -- jedoch stellt sich auch diese Frage keineswegs exklusiv für Linux, UNIX, oder OpenSource, sondern für kommerzielle Software genauso. Auch Windows ist nicht gefeit davor, wie ein Blick in seine Sicherheitshistorie zeigt. > Über .exe läßt sich streiten. Die Registry ist kein Konstruktionsfehler, > sondern eine geniale Erfindung. Aber das kann man eben nicht verstehen, > wenn man sich nur oberflächlich damit befaßt. Genau: weil ich gar keine Ahnung habe, hat Microsoft mir so ein Papier ausgestellt, auf dem ich als "Microsoft Certified Systems Engineer" bezeichnet werde. ;-) Du kannst es drehen und wenden, wie Du willst: eine weder dokumentierte, noch kommentierte Konfigurationsdatei (ja, es sind eigentlich zwei...), in welcher statische, dynamische und flüchtige Konfigurationsdaten von System und Anwendungen gemeinsam, aber ohne übergreifendes Konzept wild verteilt werden, und die sich nicht über Systemgrenzen hinweg verwenden läßt, ist und bleibt ein schwerer Designfehler. >> Warum genau müssen ein Webbrowser und ein E-Mail-Programm >> eigentlich Zugriff auf Befehle haben, mit denen man "Laufwerke >> formatieren" und den Bootloader ändern kann? > > Das haben sie von Haus aus nicht. Doch, haben sie. Daß die Berechtigungen solche Befehle im Normalfall verhindern, ändert nichts daran, daß diese Befehle ein Bestandteil der betreffenden Programme sind. Und wenn die Berechtigungen aus irgendeinem Grunde einmal versagen, ist es vorbei. >> Man könnte angelegentlich auch mal fragen, warum es Microsoft bis heute >> immer noch nicht geschafft hat, so etwas wie ein Software-Repository >> bereitzustellen, wo auf einen einzigen Befehl hin das System und alle >> installierten Anwendungsprogramme aktualisiert werden > > Weil es eben Unterschiede zwischen OpenSource und kommerzieller Software > gibt und es deswegen nicht so einfach funktioniert? Aus Lizenzgründen > zum Beispiel. Dabei sind die Voraussetzungen seitens Windows durchaus > vorhanden, Treiber können bspw. schon lange über Windows Update > aktualisiert werden. Man hätte so etwas längst auch für Anwendungen, oder es wenigstens seinen ISV-Kunden anbieten können. Schließlich ist es auch unter UNIXen gar kein Problem, mehrere Paketquellen zu benutzen, und dabei vollautomatisch oder manuell die Abhängigkeiten und ggf. Versionskonflikte aufzulösen. >> an der schlichten >> Tatsache, daß man mit Linux und *BSD auch ohne Virenscanner und >> Personal- oder Desktop-"Firewall" sicherer unterwegs ist, als unter >> einem Windows mit Benutzung solcher Krücken, wirst Du nicht herumkommen. > > Denkste. Ich selbst verwende nichts davon und bin dennoch virenfrei. Klar, Du bist die Referenz und hast die Definitionsmacht inne. Millionen verseuchter Windows-Rechner widersprechen Dir allerdings deutlich genug.
Arc N. schrieb: > Sheeva P. schrieb: >> Letztlich kann man sich auch unter Linux und *BSD dämlich anstellen, >> keine Frage. [...] Darauf kommen wir gleich noch zurück... > Das mag zwar aufgrund der (hier bitte das verbotene Wort einsetzen) so > sein, dass es weniger Angriffe auf bspw. Linux-basierte Systeme gibt. > Sicherer sind diese damit allerdings nicht, da s.o. das Problem die auf > dem System laufenden Programme sind, [...] Dem Angreifer bieten sich > dieselben Möglichkeiten. Eben nicht. Selbst wenn Du es schaffen solltest, mir über den Firefox eine unerwünschte Malware-Datei unterzujubeln, so ist diese noch lange nicht ausführbar, während sie unter Windows nur einen passenden Dateinamen, also die richtige Dateinamenerweiterung haben muß. Um die Datei also auf meinem Linux ausführen zu können, braucht der Angreifer bei mir mindestens noch einen Zwischenschritt mehr, nämlich das Setzen des Executable-Bits. Dieser kleine Zwischenschritt macht es dem Angreifer deutlich schwerer. Zumal der Angreifer die Malware einfach nur in das richtige Verzeichnis schieben muß, damit Windows es beim nächsten Start automatisch ausführt: entweder ins Autostart-Verzeichnis des betreffenden Benutzers, oder ein wenig subtiler in jenes von "all users" ("shell:common startup" unter Windows10, IIRC). > Linux-Router-Botnetze > http://www.linux-magazin.de/NEWS/Psyb0t-greift-Linux-Router-an > oder > http://www.heise.de/ct/ausgabe/2013-21-Hinter-den-Kulissen-eines-Router-Botnets-2313886.html > oder > http://www.pro-linux.de/news/1/22365/moose-ein-wurm-befaellt-linux-router.html > oder > https://www.stateoftheinternet.com/resources-web-security-threat-advisories-2015-xor-ddos-attacks-linux-botnet-malware-removal-ddos-mitigation-yara-snort.html > oder > http://www.heise.de/security/meldung/Virus-oder-Impfstoff-WiFatch-befaellt-Router-und-schuetzt-vor-Malware-2837158.html > usw. usf. Jede einzelne dieser Malwares benutzt als Einfallstor schwache Passworte in Verbindung mit einem bescheuerten Konfigurationsfehler, nämlich der Aktivierung von Telnet-, SSH-, oder HTTP-Diensten zum Internet hin. Das heißt, der Anwender muß nicht nur ein schwaches Paßwort gewählt haben, sondern auch bewußt und aktiv seine Routerkonfiguration zum Internet hin geöffnet haben. Wie gesagt: niemand hat je bezweifelt, daß man sich auch auf einem Linux- oder UNIX-System dämlich anstellen kann. Wenn Du ein Windows mit schwachen Passwörtern und aktiviertem Remote-Zugang ins Internet hängst, würde kein denkender Mensch der Welt es als Windows-Problem ansehen, wenn das System gecrackt wird. Ganz genau so bescheuert ist es natürlich, solche Probleme Linux anzudichten.
Sheeva P. schrieb: > Eben nicht. Selbst wenn Du es schaffen solltest, mir über den Firefox > eine unerwünschte Malware-Datei unterzujubeln, so ist diese noch lange > nicht ausführbar, während sie unter Windows nur einen passenden > Dateinamen, also die richtige Dateinamenerweiterung haben muß. Um die > Datei also auf meinem Linux ausführen zu können, braucht der Angreifer > bei mir mindestens noch einen Zwischenschritt mehr, nämlich das Setzen > des Executable-Bits. Dieser kleine Zwischenschritt macht es dem > Angreifer deutlich schwerer. ?!? Wir reden hier von den heute üblichen Infektionswegen, die keine weiteren Interaktionen des Nutzers benötigen. Beispiel Browser und eine Use-After-Free, Buffer Overflow etc. pp Lücke die zu Remote Code Execution genutzt werden kann dazu der übliche Drive-By-Download. D.h. der Nutzer surft auf eine Seite und bekommt von dieser direkt oder durch die Werbung darauf HTML oder JavaScript ausgeliefert, welches die Lücke auslöst/ausnutzt und dem Angreifer ermöglicht beliebigen Code im Kontext und mit den Rechten des Browsers auszuführen. Während der läuft. Da gibt es keine Zwischenschritte wie Anhang speichern und doppelklicken und womöglich (unter Windows) noch UAC wegklicken o.ä., sondern der Code läuft direkt beim Besuch der Webseite im Prozess des Browsers und kann dann in aller Ruhe alles weitere erledigen, sich verbreiten, versuchen sich irgendwo tiefer im System einzunisten > Jede einzelne dieser Malwares benutzt als Einfallstor schwache Passworte > in Verbindung mit einem bescheuerten Konfigurationsfehler, nämlich der > Aktivierung von Telnet-, SSH-, oder HTTP-Diensten zum Internet hin. Das > heißt, der Anwender muß nicht nur ein schwaches Paßwort gewählt haben, > sondern auch bewußt und aktiv seine Routerkonfiguration zum Internet hin > geöffnet haben. Das oben schon gesagte: Die Anwendungen sind das Problem, nicht so sehr das OS... Bei Zwangsroutern hat der Nutzer z.T. keine Möglichkeit die Konfiguration zu ändern, geschweige denn das Teil upzudaten...
Arc N. schrieb: > ?!? Wir reden hier von den heute üblichen Infektionswegen, die keine > weiteren Interaktionen des Nutzers benötigen. > Beispiel Browser und eine Use-After-Free, Buffer Overflow etc. pp Lücke > die zu Remote Code Execution genutzt werden kann dazu der übliche > Drive-By-Download. > D.h. der Nutzer surft auf eine Seite und bekommt von dieser direkt oder > durch die Werbung darauf HTML oder JavaScript ausgeliefert, welches die > Lücke auslöst/ausnutzt und dem Angreifer ermöglicht beliebigen Code im > Kontext und mit den Rechten des Browsers auszuführen. Während der läuft. Und dann kann dieser Code genau was? Meine Browser-History lesen? Wow. > Da gibt es keine Zwischenschritte wie Anhang speichern und doppelklicken > und womöglich (unter Windows) noch UAC wegklicken o.ä., sondern der Code > läuft direkt beim Besuch der Webseite im Prozess des Browsers und kann > dann in aller Ruhe alles weitere erledigen, sich verbreiten, versuchen > sich irgendwo tiefer im System einzunisten Wie soll das denn praktisch gehen? >> Jede einzelne dieser Malwares benutzt als Einfallstor schwache Passworte >> in Verbindung mit einem bescheuerten Konfigurationsfehler > > Das oben schon gesagte: Die Anwendungen sind das Problem, nicht so sehr > das OS... Bei schwachen Passworten?
Sheeva P. schrieb: > Die Basis ist kein Linux-Kernel, sondern eine von Google sehr deutlich > veränderte Version davon. Haarspalterei. Ob nun modifiziert oder nicht, die BASIS ist ein Linux-Kernel: http://www.android-user.de/android-kernel-tuning-teil-1-die-grundlagen-erklaert-vier-kernel-im-detail "Android verfügt über keinen eigenen Kernel, sondern benutzt einen leicht modifizierten Linux-Kernel als Grundlage." > Zu behaupten, Android sei ein > Linux-System, nur weil es vielleicht zwei bis vier Prozent seines > Systemcodes mit Linux gemein hat, zeigt eigentlich schon, daß es Dir > nicht um eine seriöse Analyse oder eine sachliche Diskussion zu gehen > scheint. Das Kompliment gebe ich zurück. Was wolltest du mit dieser Aussage suggerieren? Sheeva P. schrieb: > Aber es ist immer noch die Praxis, die zählt. In der freien Wildbahn > gibt es mehrere zehntausend gefährliche Malwares für Windows. Solche für > Linux, Free-, Net- und OpenBSD kannst Du an einer Hand abzählen. Doch wohl, daß *nix-artige Betriebssysteme per se sicherer sind als Windows, oder? Ob Android nun ein Linux-System ist oder nicht, bleibt eine Frage der Definition. Fakt ist jedoch, es handelt sich zweifelsfrei um ein unixoides System. Fakt ist auch, daß mittlerweile eine beträchtliche Anzahl Malware dafür existiert: http://forensics.spreitzenbarth.de/android-malware/ Das paßt aber nicht in deine Philosophie und deshalb hehauptest du jetzt, Android hätte gar nichts mit Linux zu tun. Sheeva P. schrieb: > Ich schließe eine unmaßgebliche Schutzbehauptung aus, weil sie sachlich > Unsinn ist. Hast Du die Begründung nicht gelesen oder nicht verstanden? Welche Begründung? Sheeva P. schrieb: > PS: Wer zuerst "Verbreitung" sagt, hat verloren. ;-) Ich sehe darin nur den Versuch, von vornherein jeglichen Ansatz zu unterbinden, daß es einen Zusammenhang zwischen der Verbreitung, oder nenne es meinetwegen "Marktanteil", eines OS und der Anzahl dafür im Umlauf befindlichen Schadsoftware gibt. Dieser Zusammenhang ist jedoch am Beispiel Android glasklar zu erkennen. Sheeva P. schrieb: > Tatsache > ist nämlich, daß Heartbleed nur gefunden wurde, gerade weil es sich bei > OpenSSL um OpenSource-Software handelt. Nur funktioniert das Auditing offensichtlich nicht ausreichend, sonst wäre der Bug nicht so spät bemerkt worden. Ob bei weniger sicherheitskritischen Anwendungen der Quellcode überhaupt von irgendjemandem geprüft wird, fragt sich auch noch. Die Schattenseite offener Sourcen ist außerdem, daß sie es den Gegenspielern leichter machen, Schwachstellen zu finden. > Genau: weil ich gar keine Ahnung habe, hat Microsoft mir so ein Papier > ausgestellt, auf dem ich als "Microsoft Certified Systems Engineer" > bezeichnet werde. ;-) Und hat es was genützt? Entweder stammt der Wisch aus dem letzten Jahrtausend oder du hast den Prüfungsstoff nur auswendig gelernt, nie praktisch angewendet und zeitnah vergessen. Anders ist nicht zu erklären, daß du die Bedeutung der Registry als mächtiges Werkzeug zentraler Administration nicht begreifst oder nicht wahrhaben willst. Dieser Kommentar bekräftigt die Annahme noch zusätzlich: > Du kannst es drehen und wenden, wie Du willst: eine weder dokumentierte, > noch kommentierte Konfigurationsdatei (ja, es sind eigentlich zwei...), > in welcher statische, dynamische und flüchtige Konfigurationsdaten von > System und Anwendungen gemeinsam, aber ohne übergreifendes Konzept wild > verteilt werden, und die sich nicht über Systemgrenzen hinweg verwenden > läßt, ist und bleibt ein schwerer Designfehler. Wenn es keine Dokumentation gibt, wie ist es Softwareherstellern möglich, die Registry für ihre eigenen Programme zu nutzen? Mühsames Reverse Engineering? Daß eine Kommentierung direkt in der Registry, die keine menschenlesbare Textdatei, sondern eine Datenbank ist, weder vorgesehen noch möglich ist, verstehst du ebensowenig wie du die Tatsache außen vor läßt, daß in den Gruppenrichtlinieneditoren eine ausführliche Kommentierung stattfindet. Apropos "wild verteilt", nur weil Config-Dateien unter Linux klartextlesbar sind, vereinfacht sich die Administration keineswegs. Du mußt erstmal rausfinden, welche der 100e Dateien zuständig und wo sie zu finden ist. Oft sind diese mehrfach vorhanden oder nicht da, wo man sie erwartet, also welche davon zieht denn nun? Dann wühlst du dich durch zig Seiten lange Parameter-Orgien und mußt genauso erst verstehen, was diese bewirken. Den Gruppenrichtlinieneditor empfinde ich in dieser Beziehung als um Größenordnungen übersichtlicher und du mußt auch gar nicht wissen, wo in der Registry der zugehörige Eintrag liegt. > Daß die Berechtigungen solche Befehle im Normalfall > verhindern, ändert nichts daran, daß diese Befehle ein Bestandteil der > betreffenden Programme sind. Von "Bestandteil" kann keine Rede sein. Es besteht allenfalls die Möglichkeit, über ActiveX o.ä. entsprechende Befehle auszuführen. Dies wiederum läßt sich durch entsprechende Sicherheitseinstellungen verhindern. Wenn jemand die Sicherheit zugunsten der Bequemlichkeit einschränkt, muß er eben auch mit der Gefahr leben. Sheeva P. schrieb: > Klar, Du bist die Referenz und hast die Definitionsmacht inne. Ich weiß, daß ein sicheres Arbeiten mit Windows durchaus möglich ist und das dies nicht mal kompliziert sein muß. Und wenn man es so will, nutze ich diese Erfahrungen als Referenz bei der Betreuung von Kundennetzen. Daß es trotz zahlreicher Bedrohungen dort keine ernsthaften Schäden gibt, ist mir Beweis genug, daß ich richtig liege. > Millionen > verseuchter Windows-Rechner widersprechen Dir allerdings deutlich genug. Ich sehe keinen Widerspruch, denn um Größenordnungen mehr Windows-Rechner sind nicht infiziert. Wenn man deiner Argumentation folgt, müßte aber so gut wie jeder betroffen sein.
Sheeva P. schrieb: >> D.h. der Nutzer surft auf eine Seite und bekommt von dieser direkt oder >> durch die Werbung darauf HTML oder JavaScript ausgeliefert, welches die >> Lücke auslöst/ausnutzt und dem Angreifer ermöglicht beliebigen Code im >> Kontext und mit den Rechten des Browsers auszuführen. Während der läuft. > > Und dann kann dieser Code genau was? Meine Browser-History lesen? Wow. Das zwar auch ansonsten allerdings das was Browser oder andere Programme auch können: Alles (wenn eine lokale Rechteerweiterung hinzukommt, ansonsten "nur" das, was die Rechte des Browsers hergeben). Wie das gehen soll? Bspw. einen Buffer-Overflow im Browser ausnutzen. Heute aufgrund von NX-Bit und ASLR nicht mehr so simpel auszunutzen wie z.B. hier http://www.linuxfocus.org/Deutsch/March2001/article183.shtml vorgeführt, aber nichtsdestotrotz machbar. Stichworte u.a.: Return-Oriented-Programming http://crypto.stanford.edu/~blynn/rop/ Return-To-Libc http://css.csail.mit.edu/6.858/2014/readings/return-to-libc.pdf Return-To-Plt https://sploitfun.wordpress.com/2015/05/08/bypassing-aslr-part-i/ ASLR bypassing z.B. auf 64-Bit Linuxen http://hmarco.org/cyber-security/attacks/bypass64bitsASLRLinux/offset2lib-attack.html Ergebnis ist am Ende, dass beliebiger x86/x86-Code ausgeführt wird.
Icke ®. schrieb: > Sheeva P. schrieb: >> Aber es ist immer noch die Praxis, die zählt. In der freien Wildbahn >> gibt es mehrere zehntausend gefährliche Malwares für Windows. Solche für >> Linux, Free-, Net- und OpenBSD kannst Du an einer Hand abzählen. > > Doch wohl, daß *nix-artige Betriebssysteme per se sicherer sind als > Windows, oder? Welchen Teil von "es ist immer noch die Praxis, die zählt" hast Du denn immer noch nicht verstanden? > Sheeva P. schrieb: >> Ich schließe eine unmaßgebliche Schutzbehauptung aus, weil sie sachlich >> Unsinn ist. Hast Du die Begründung nicht gelesen oder nicht verstanden? > > Welche Begründung? Lern Lesen. > Wenn es keine Dokumentation gibt, wie ist es Softwareherstellern > möglich, die Registry für ihre eigenen Programme zu nutzen? Mühsames > Reverse Engineering? Weitgehend ja. Eine ganze Zeitschriftenindustrie lebt davon, jeden Monat "x geheime Windows-Funktionen", "y streng geheime Hackertricks" und "z Funktionen, die Microsoft Ihnen vorenthalten hat" zu "enttarnen". > Daß eine Kommentierung direkt in der Registry, die > keine menschenlesbare Textdatei, sondern eine Datenbank ist, weder > vorgesehen noch möglich ist, Du meinst, daß Microsoft nicht dazu imstande gewesen wäre, ein Feld für Kommnentare in seine "Datenbank" einzubauen? Das würde meine Vermutungen über die Kompetenz von deren Systemarchitekten allerdings bestätigen. > Von "Bestandteil" kann keine Rede sein. Es besteht allenfalls die > Möglichkeit, über ActiveX o.ä. entsprechende Befehle auszuführen. Dies > wiederum läßt sich durch entsprechende Sicherheitseinstellungen > verhindern. Genau das hatte ich bereits gesagt, wie gesagt: Lesen bildet. Und wenn diese "Sicherheitseinstellungen" versagen, hast Du verloren. Das ist in den letzten Jahren viel zu oft passiert. Du kannst hier herum schwafeln und mir die Worte im Mund verdrehen, wie Du willst: Ausgangspunkt des Thread ist ein Anwender, dessen Windows offenbar von einem Schädling heimgesucht wurde. Mit Linux wär das nicht passiert.
Sheeva P. schrieb: > Ausgangspunkt des Thread ist ein Anwender, dessen Windows > offenbar von einem Schädling heimgesucht wurde. Mit Linux wär das nicht > passiert. Ehrlich gemeinte Frage: Wie würde ein durchschnittlicher Linuxanwender überhaupt merken, dass einer der wenigen Viren/Malware zugeschlagen hat? Meinetwegen war er selbst Schuld an der Misere und nicht das OS. Und meinetwegen (mangels besseren Wissens) beschränke ich meine Frage auf die folgende Malware: https://de.wikipedia.org/wiki/Liste_von_Linux-Malware
Sheeva P. schrieb: > Welchen Teil von "es ist immer noch die Praxis, die zählt" hast Du denn > immer noch nicht verstanden? Wenn deine Praxis darin besteht, nicht ins Konzept passende Tatsachen konsequent zu ignorieren, dann verstehe ich sie tatsächlich nicht. Von wegen... Sheeva P. schrieb: > Solche für > Linux, Free-, Net- und OpenBSD kannst Du an einer Hand abzählen. ...und: Sheeva P. schrieb: > Mit Linux wär das nicht passiert. siehe u.a.: http://blog.botfrei.de/2014/05/rekordmonat-fuer-linux-trojaner http://www.zdnet.de/88219238/dr-web-entdeckt-multifunktionalen-linux-trojaner http://www.heise.de/security/meldung/Erster-Banking-Trojaner-fuer-Linux-analysiert-1943718.html Die Praxis sieht nämlich anders aus als in deiner Traumwelt. Sheeva P. schrieb: > Weitgehend ja. Eine ganze Zeitschriftenindustrie lebt davon, jeden Monat > "x geheime Windows-Funktionen", "y streng geheime Hackertricks" und "z > Funktionen, die Microsoft Ihnen vorenthalten hat" zu "enttarnen". ... > Du meinst, daß Microsoft nicht dazu imstande gewesen wäre, ein Feld für > Kommnentare in seine "Datenbank" einzubauen? Du WILLST es nicht verstehen. Das Konzept der Registry-Datenbank sieht NICHT vor, daß jeder halbwissende Honk manuell darin rumeditiert (auch wenn es mit REGEDIT möglich ist). In keiner Datenbank ist dies üblich. Die Registry wird entweder über Funktionsaufrufe von System oder Software gelesen und beschrieben oder mit Hilfe gut kommentierter Richtlinieneditoren bearbeitet. Eine Kommentierung direkt in der Datenbank ist somit gar nicht notwendig und außerdem kontraproduktiv, weil sie diese nur unnötig aufblähen und die Zugriffe verlangsamen würde. Viele Windows-Probleme rühren übrigens daher, daß User mit dem Registryeditor oder sogenannten "Optimierern" und "Cleanern" rummurksen, ohne zu wissen, was sie eigentlich tun. Davon abgesehen gibt es selbstverständlich Dokumentation. Grundlegende Funktions- und Befehlübersicht z.B. hier: https://msdn.microsoft.com/en-us/library/ms724880%28v=vs.85%29.aspx Details zu den einzelnen Schlüsseln und Werten kann es natürlich nicht global geben, die sind in den jeweiligen Beschreibungen der APIs usw. zu finden. > Das würde meine Vermutungen > über die Kompetenz von deren Systemarchitekten allerdings bestätigen. Wer im Glashaus sitzt.... > Und wenn > diese "Sicherheitseinstellungen" versagen, hast Du verloren. Das ist in > den letzten Jahren viel zu oft passiert. In den letzten Jahren ist auch viel passiert, weil OpenSource Autoren ihre Arbeit nicht richtig gemacht haben. Bekanntlich mit weit schwerwiegenderen Folgen. Es steht max 1:1 > Mit Linux wär das nicht passiert. Muß man nicht weiter kommentieren...
Icke ®. schrieb: > Sheeva P. schrieb: >> Solche für >> Linux, Free-, Net- und OpenBSD kannst Du an einer Hand abzählen. > [...] > siehe u.a.: > http://blog.botfrei.de/2014/05/rekordmonat-fuer-linux-trojaner > http://www.zdnet.de/88219238/dr-web-entdeckt-multifunktionalen-linux-trojaner > http://www.heise.de/security/meldung/Erster-Banking-Trojaner-fuer-Linux-analysiert-1943718.html Das sind 3, in Worten: drei. Also ich kann das an einer Hand abzählen. Du nicht? Ok, unter Windows muß man dazu erstmal "Hand" installieren, den Rechner neu starten, "Hand" starten, die Fehlermeldungen wegklicken und dann die Lizenznummern für jeden einzelnen Finger eingeben, ... ;-) > Sheeva P. schrieb: >> Du meinst, daß Microsoft nicht dazu imstande gewesen wäre, ein Feld für >> Kommnentare in seine "Datenbank" einzubauen? > > Du WILLST es nicht verstehen. Das Konzept der Registry-Datenbank sieht > NICHT vor, daß jeder halbwissende Honk manuell darin rumeditiert (auch > wenn es mit REGEDIT möglich ist). Hoffentlich erschüttert es Deine kleine Welt nicht allzu sehr, wenn ich Dir sage, daß es Benutzer und Entwickler gibt, die sich nicht von ihrem Betrübssystem und dessen Hersteller bevormunden lassen wollen. Außerdem beißt sich Deine Nebelkerze in den eigenen Schwanz. Denn wenn die Registry anständig dokumentiert wäre, dann wäre Dein Honk kein unwissender Honk mehr, sondern ein wissender. Deshalb führt also erst das Fehlen einer vollständigen Dokumentation (bei gleichzeitigem Angebot eines Werzeugs zum Editieren) dazu, daß Unwissende damit herumhantieren und -experimentieren. Daß dabei mitunter recht abenteuerliche "Ratschläge" heraus kommen, kannst Du in jedem Zeitschriftenhandel bewundern: je bunter desto huch. > In keiner Datenbank ist dies üblich. Dann müssen die Entwickler von PostgreSQL, Oracle, DB2 und sogar MySQL ja wohl verrückt sein, daß sie eigens den COMMENT-Befehl eingebaut haben und obendrein diverse Datenbank-Frontends mitliefern, mit denen man direkt SQL-Statements absetzen und Schemata und Daten manipulieren kann. Genau dasselbe gilt auch für alle mir bekannten LDAP-Server, inklusive Active Directory. Aber das hat Microsaft ja auch nicht selbst entwickelt. Schau, ich weiß nicht, warum Du das hier machst, mir die Worte im Mund herumdrehst und meine Argumente ignorierst. Vielleicht bist Du ja so ein "Microsoft Most Valuable Professional" und bekommst Vergünstigungen dafür, vielleicht bist Du auch nur ein Windows-Nutzer, der sich und seine Kunden von der Richtigkeit seiner Wahl überzeugen muß, vielleicht war Linux oder ein anderes UNIX auch gemein zu Dir und hat Dich überfordert. Schließlich wissen wir ja, daß UNIX sehr benutzerfreundlich, bei der Wahl der Freunde jedoch ziemlich wählerisch ist. Letztendlich ist es mir aber gleichgültig, warum Du Dich so verhälst und Deinen Frust an mir abarbeitest. Tatsächlich werden Windows-Desktops viel häufiger angegriffen als Linux- und *BSD-Desktops. Bei Windows-Desktops sind die Angreifer viel häufiger erfolgreich als bei Linux- und *BSD-Desktops. Die Folgen von erfolgreichen Angriffen sind bei Windows-Desktops meist erheblich gravierender als bei Linux- und *BSD-Desktops. Man kann zwar (übrigens auch sachlich) darüber diskutieren, was die Gründe für diese Statistik sind. Dennoch ändert das rein gar nichts an der statistischen Evidenz, und davon kannst Du weder mit miesen Tricks, noch mit pseudonaiven Wortklaubereien, und auch nicht mit persönlichen Angriffen ablenken. Wer sich heute für einen Linux- oder *BSD-Desktop entscheidet, lebt damit signifikant weniger unsicher als mit einem Windows. Das mag nur für heute gelten und morgen eventuell wieder anders aussehen, wer kann schon in die Zukunft blicken. Aber heute ist es einfach so, obs Dir gefällt oder nicht. Ob Du Dich damit abfinden kannst oder nicht, ist nicht mein Problem.
Wenn man die in Flamewar-Threads wie diesem gesteckte Energie irgendwie nutzen könnte, zum Heizen oder zur Beleuchtung, dann dürfte man mindestens ein weiteres Kernkraftwerk abschalten können.
Angehängte Dateien:
-
Reg_lesen.JPG
23 KB
Sheeva P. schrieb: > Außerdem beißt sich Deine Nebelkerze in den eigenen Schwanz. Denn wenn > die Registry anständig dokumentiert wäre, dann wäre Dein Honk kein Reg konnte man schon im letzten Jahrtausend nachlesen. isbn 3-7723-6784-4 Das hilft Dir aber wenig eine Nadel im Heuhaufen zu suchen. Frische HD mit gepatchtem System ist die schnellste, saubere Lösung SOFERN nicht noch andere Sachen infiziert wurden.
oszi40 schrieb: > Sheeva P. schrieb: >> Außerdem beißt sich Deine Nebelkerze in den eigenen Schwanz. Denn wenn >> die Registry anständig dokumentiert wäre, dann wäre Dein Honk kein > > Reg konnte man schon im letzten Jahrtausend nachlesen. isbn > 3-7723-6784-4 Entschuldige bitte, aber dieses und ähnliche Werke sind genau jene "recht abenteuerlichen "Ratschläge"", von denen ich oben spreche. Sowas ist das Ergebnis des von mir oben kritisierten, daß "Unwissende damit herumhantieren und -experimentieren". Gerade der Franzis-Verlag -- dessen Publikationen zu Elektronikthemen ich durchaus schätze -- hat sich im Computerbereich keinen besseren Namen gemacht als weiland Data Becker. Gibt es da etwas von Microsofts hauseigenem Verlag Microsoft Press? Oder eine Dokumentation, idealerweise offiziell autorisiert oder wenigstens von den Leuten, die das Ding entwickelt haben?
Sheeva P. schrieb: > Gibt es da etwas von Microsofts hauseigenem Verlag Microsoft Press? Kannst Du jetzt gerne mal suchen. Bisher habe ich dort die wenigsten nützlichen Bücher gefunden (obwohl ich ein kleines Regal voller MS-Curriculum stehen habe). http://www.gidf.de/buch%20microsoft%20registry
Sheeva P. schrieb: > Kurz gesagt: nein, und nein. In der Forschung gibt es sogar Schädlinge, > bei denen eine komplette Neuinstallation nicht hilft. Sicher gibt es immer Viren die sich nicht so einfach entfernen lassen, aber oft sind es doch recht alte Viren und von außen lässt sich da oft was mit ner Knoppix oder ähnlichen Systemen machen. In letzter Zeit ist ja mal ein Virus (ich weiß den Namen nicht mehr) gefunden worden, der von keinem bisherigen Virenscanner erkannt wurde und den Virus zu entfernen wäre auch sehr schwer gewesen. Die Bequemlichkeit selbst ein Bios Update so einspielen zu können, erkaufen wir uns halt mit einem riesigen Sichereitsverlust.
F. F. schrieb: > der von keinem bisherigen Virenscanner erkannt wurde Das ist normal. Er muß ja erst ausreichend verbreitet sein bevor sich das Geschäft für die Hersteller lohnt oder überhaupt einer ihn als Schädling bemerkt. Ein Schädling auf der Schach-CD wurde auch erst nach Jahren vom Virenscanner erkannt...
Mal ganz ehrlich jetzt, was kostet heute ein Festplatte auf der man eine taufrische Installation als Grundlage für alle Eventualitäten bereitstellen kann? Wenn einige, die hier ellenlange Postings verfasset haben in dieser Zeit produktiv gearbeitet hätten ,dann könnte man davon locker drei kaufen. Betriebssystem ist Privatsache.Der eine mag eine ruhige Frau der ander bevorzugt lebendigere Naturen. Auch das was nervt ist Privatsache, jeder hat eine andere "Nervschwelle"oder sieht bei Problemen eine persönliche Herausforderung. Vollig ok, aber über diese Privasache zu streiten ist doch ein Laufrad für Goldhamster ...ohne Ausgang. Ich danke bei dieser Gelegenheit auch meinem Psychotherapeuten.
Und wie hoch ist das Verhältnis einer fremden Installation zu einer eigenen in Bezug auf Virenbefall. Sagen wir mal 1 : 1. Ich habe kein Problem gehabt, von einem Laptop mit abgeschmierter Grafikkarte ein Vista übenommen zu haben. Zwei Scanner und Spybot - Search & Destroy drübergejagt, ich fühle mich da nicht unsicherer als bei meinen eigenen Installationen. Das man ausgehorcht wird, daran ist man doch gewöhnt.
Sheeva P. schrieb: > Das sind 3, in Worten: drei. Also ich kann das an einer Hand abzählen. > Du nicht? Ich sags doch, du siehst nur das, was du sehen willst. Diesen Link... http://blog.botfrei.de/2014/05/rekordmonat-fuer-linux-trojaner/#SID21850_1_tgl ...wolltest du wohl nicht sehen. > daß es Benutzer und Entwickler gibt, die sich nicht von ihrem > Betrübssystem und dessen Hersteller bevormunden lassen wollen. Ja, die gibt es. Und oft ist es deren Software, die rumzickt, eben weil der renitente Coderevoluzzer sich nicht an die Vorgaben hält. Aber geschimpft wird natürlich auf das "Scheiß Windows". > Denn wenn > die Registry anständig dokumentiert wäre, dann wäre Dein Honk kein > unwissender Honk mehr, sondern ein wissender. Auch wenn du das gebetsmühlenartig ewig wiederholst, die Behauptung, es gäbe keine Dokumentation für die Registry ist FALSCH. Die Software- und Treiberentwickler kommen auch ohne Kommentare wunderbar zurecht. Vielleicht, weil sie die Techpapers gelesen haben? Deine Forderung nach Kommentierung ist genauso absurd, als würde man einen Autohersteller verpflichten wollen, an jedes Schräubchen im Motorraum einen Zettel mit ausführlicher Beschreibung der Funktion ranzuhängen. Nur weil jemand einen Maulschlüssel halten kann, heißt das noch lange nicht, daß er ohne tiefgründiges Wissen einen Motor erfolgreich reparieren kann. > Dann müssen die Entwickler von PostgreSQL, Oracle, DB2 und sogar MySQL > ja wohl verrückt sein, daß sie eigens den COMMENT-Befehl eingebaut haben > und obendrein diverse Datenbank-Frontends mitliefern, mit denen man > direkt SQL-Statements absetzen und Schemata und Daten manipulieren kann. Und wer macht das? Editiert Lieschen Müller händisch in diesen Datenbanken oder sind es Leute, die auch ohne Spickzettel wissen, was sie tun? > vielleicht bist Du auch nur ein Windows-Nutzer, der sich und > seine Kunden von der Richtigkeit seiner Wahl überzeugen muß > vielleicht bist Du auch nur ein Windows-Nutzer, der sich und > seine Kunden von der Richtigkeit seiner Wahl überzeugen muß, vielleicht > war Linux oder ein anderes UNIX auch gemein zu Dir und hat Dich > überfordert. Schließlich wissen wir ja, daß UNIX sehr > benutzerfreundlich, bei der Wahl der Freunde jedoch ziemlich wählerisch > ist. In der Tat, Linux ist seit Jahrzehnten auf einem unaufhaltsamen Siegeszug. Weil es so benutzerfreundlich und leicht zu handhaben ist, hat es auf seinem atemberaubenden Vormarsch bereits sagenhafte einskommanochwas Prozent der Desktops erobert. Nein, Linux war nie gemein zu mir, es wollte immer nur mein Freund sein. Hätte ich ihm die Treue gehalten, könnte ich immer noch viel Zeit mit ihm verbringen, die ich dann den Kunden berechne. Das Kribbeln im Bauch beim Eintippen ellenlanger Kommandos oder auf der never ending quest for drivers fehlt mir. Windows ist viel zu kurz angebunden und will alles mit ein paar schnöden Mausklicks erledigt haben. Da kommt doch kein technoides Feeling auf und das bißchen Zeit lohnt gar nicht abzurechnen. > Tatsächlich werden Windows-Desktops viel häufiger angegriffen als Linux- > und *BSD-Desktops. Ja logisch. Aber nicht weil unixoide Systeme schwerer zu hacken wären, sondern weil es sich aufgrund der Marktanteile für Kriminelle nicht lohnt. Die Exploits werden für Geld verkauft und da macht es "betriebswirtschaftlich" keinen Sinn, welche zu kaufen, mit denen nur wenige User zu erreichen sind. Mac-User behaupten auch oft, ihr (unixoides) System wäre nicht anfällig gegen Hacking, die Schwarzhüte sehen das anders: http://www.heise.de/security/meldung/Pwn2own-Fazit-Mac-hacken-macht-Spass-Windows-ist-harte-Arbeit-208604.html Warum Linux bei Hacking-Wettbewerben selten ein Ziel ist: http://www.internetnews.com/skerner/2011/03/why-pwn2own-doesnt-target-linu.html Die Gründe sind die gleichen, weshalb Linux auf dem Desktop niemals in die Puschen kommen wird. Keine einheitliche Plattform, stattdessen unzählige Distributionen und Konfigurationen. Pausenlos wird irgendwo gestritten und geforked. Das ist keine brauchbare Basis für professionelle Soft- und Hardwareentwickler und erst recht nicht für den breiten Einsatz als Windows-Surrogat. > Bei Windows-Desktops sind die Angreifer viel häufiger > erfolgreich als bei Linux- und *BSD-Desktops. Die Folgen von > erfolgreichen Angriffen sind bei Windows-Desktops meist erheblich > gravierender als bei Linux- und *BSD-Desktops. > Man kann zwar (übrigens > auch sachlich) darüber diskutieren, was die Gründe für diese Statistik > sind. Dennoch ändert das rein gar nichts an der statistischen Evidenz, Ich vermisse eine Angabe der Quelle, auf die du dich beziehst. Oder fällt das in die Rubrik "weiß doch jeder"? > Wer sich heute für einen Linux- oder *BSD-Desktop entscheidet, lebt > damit signifikant weniger unsicher als mit einem Windows. Nein, das stimmt eben nicht: http://winfuture.de/news,85968.html Unabhängig von den OS-spezifischen Schwachstellen führt der Weg zum erfolgreichen Angriff vor allem über Anwendungssoftware, an erster Stelle Browser und deren Plugins, sowie Nachlässigkeiten des Users. Der größte Sicherheitsgewinn resultiert aus dem Verzicht auf bekannt anfällige Software sowie Downloads aus fragwürdigen Quellen, konsequentes Arbeiten unter eingeschränkten Konten und Änderung des Nutzerverhaltens zugunsten der Sicherheit statt Bequemlichkeit. Das läßt sich alles prima auch unter Windows erreichen, der i.d.R. für Normalanwender mit viel Streß verbundene Wechsel des Betriebssystems ist dafür nicht erforderlich.
Icke ®. schrieb: > Sheeva P. schrieb: >> Das sind 3, in Worten: drei. Also ich kann das an einer Hand abzählen. >> Du nicht? > > Ich sags doch, du siehst nur das, was du sehen willst. Diesen Link... > > http://blog.botfrei.de/2014/05/rekordmonat-fuer-linux-trojaner/#SID21850_1_tgl > > ...wolltest du wohl nicht sehen. Nachdem der Artikel vollkommen unspezifisch ist, von einem Hersteller einer Antiviren-Software stammt und direkt rechts daneben die Werbung eines weiteren Antiviren-Softwareherstellers prangt, hatte ich ihn nicht sonderlich ernst genommen. Genausowenig übrigens wie die Menschen, die unter dem Artikel ihre Kommentare gepostet haben. Aber weil es Dir so wichtig zu sein scheint, habe ich mir die Sache noch einmal genauer angeschaut, und je mehr ich sehe, desto lächerlicher wird die ganze Veranstaltung. Bei dem Antivirus-Hersteller "Dr. Web", der den Artikel verfaßt hat, gibt es Informationen zu ganzen drei (in Worten: 3!) Viren für Linux, aber zu keinem einzigen dieser Schädlinge gibt es auch nur den leisesten Hauch einer seriösen Information -- insbesondere nicht über einen Angriffs- und Infektionspfad, mit der die "Schädlinge" ein Linux kompromittieren und infizieren könnten. Stattdessen gehen all die reißerischen Meldungen von einem trojanischen Pferd aus, welches bereits auf dem Zielsystem aktiv ist. Wie bitte? Geht's noch? Entschuldige bitte, aber das ist an Lächerlichkeit tatsächlich kaum noch zu überbieten. Denn _wenn ich bereits einen aktiven Schädling auf meinem System habe, dann ist das Kind bereits in den Brunnen gefallen!_ Aber wie dieser Schädling auf mein System kommen und aktiviert werden soll, dazu schweigen sich Deine tolle Webseite und die von dort verlinkten Webseiten seltsamerweise alle vornehm aus. Was beschreiben diese Leute da? Eine Art manuelles Trojanisches Pferd, das man selbst herunterladen, abspeichern, ausführbar machen und ausführen muß? Wo zum Henker ist da die Bedrohung? Spannenderweise beziehen sich auch alle Internet-Quellen, die einen der von "Dr. Web" angeblich identifizierten Schädlinge erwähnen, sich dabei auf ebendiese Quelle "Dr. Web". Sonst scheint niemand auf der Welt die Dinger, von denen "Dr. Web" berichtet, jemals gesehen zu haben. Trommeln gehört ja bekanntlich zum Geschäft, aber das ist gar so plump, daß einen höchstens das Mitleid überkommen kann. >> Tatsächlich werden Windows-Desktops viel häufiger angegriffen als Linux- >> und *BSD-Desktops. > > Ja logisch. Aber nicht weil unixoide Systeme schwerer zu hacken wären Doch, genau deswegen. Es ist nämlich schwierig, einem Anwender einen Schädling zu schicken und ihn dazu zu bringen, diesen auszuführen. Dazu muß das Opfer unter UNIXen die Datei erst a) abspeichern, b) ausführbar machen, und sie dann c) auch noch ausführen. Jedem halbwegs denkenden Menschen sollte klar sein, daß es viel einfacher ist, den Anwender dazu zu bringen, einfach nur auf einen Link zu klicken, worauf das System anhand der Dateinamenerweiterung entscheidet, das Ziel auszuführen. Daß neuere Systeme noch einmal nachfragen "wollen Sie das wirklich ausführen" ist zweifellos eine Verbesserung, bei einem System, dessen Nutzer einen erheblichen Teil ihrer Zeit mit dem Wegklicken von Fehler- und anderen Meldungen zubringen, aber auch nicht ganz unproblematisch. Denn hier stiehlt sich letztlich der Hersteller aus Verantwortung und Haftung, während die Nutzer mit der Meldungsflut alleine gelassen und damit regelmäßig überfordert sind. > Die Gründe sind die gleichen, weshalb Linux auf dem Desktop niemals in > die Puschen kommen wird. Keine einheitliche Plattform, stattdessen > unzählige Distributionen und Konfigurationen. Auch das -- die Abwesenheit einer Monokultur -- gehört unzweifelhaft mit zu den vielen großen und kleinen Aspekten, die Linux sicherer machen als den großen Platzhirsch. Schon Siebtkläßler lernen im Erdkundeunterricht, daß Monokulturen nun einmal anfällig für Schädlinge sind. > Das ist keine brauchbare Basis für professionelle Soft- und > Hardwareentwickler und erst recht nicht für den breiten Einsatz als > Windows-Surrogat. Genau, deswegen entwickeln nur unprofessionelle Klitschen wie Oracle, IBM, Google und Microsoft für diese Plattform. Microsoft selbst hat sogar eine eigene Linux-Distribution für seine Azure-Plattform entwickelt... Laß' gut sein, Du verstrickst Dich nur immer weiter. Langsam werden Deine Fehler so offensichtlich, daß es gar keinen Spaß mehr macht. ;-)
Sheeva P. schrieb: > Sonst scheint niemand auf der Welt die > Dinger, von denen "Dr. Web" berichtet, jemals gesehen zu haben. OK, dann eben noch andere Quellen: https://en.wikipedia.org/wiki/Linux_malware#Threats https://help.ubuntu.com/community/Linuxvirus Ich füge der Liste die Rowhammer-Attacke hinzu, die ausschließlich unter Linux funktioniert und keine Rootrechte benötigt (aber welche erlangt). Und noch ein paar zweite Meinungen: https://blogs.sophos.com/2015/03/26/dont-believe-these-four-myths-about-linux-security/ http://www.digitaltrends.com/computing/decrypt-os-security-showdown/ http://www.esecurityplanet.com/trends/article.php/3933491/Is-Linux-Really-More-Secure-than-Windows.htm > Es ist nämlich schwierig, einem Anwender einen Schädling zu schicken und > ihn dazu zu bringen, diesen auszuführen. Dazu muß das Opfer unter UNIXen > die Datei erst a) abspeichern, b) ausführbar machen, und sie dann c) > auch noch ausführen. Denkste, es geht ohne b) (auch das follow up lesen): http://www.geekzone.co.nz/foobar/6229 a) und c) sind unter Windows ebenfalls erforderlich, da bspw. Outlook und Outlook Express in der Default-Einstellung schon seit über 10 Jahren das Starten ausführbarer Anhänge nicht zulassen. > bei einem System, dessen > Nutzer einen erheblichen Teil ihrer Zeit mit dem Wegklicken von Fehler- > und anderen Meldungen zubringen Noch so ein Klischee, das in der Praxis nur auf vergurkte Systeme zutrifft oder von ohnehin kaum nützlichen 3rd-Party Security-Lösungen verursacht wird. > Auch das -- die Abwesenheit einer Monokultur -- gehört unzweifelhaft mit > zu den vielen großen und kleinen Aspekten, die Linux sicherer machen als > den großen Platzhirsch. Security through Obscurity funktioniert nicht wirklich und die Vielfalt hat eben auch gravierende Nachteile. > Genau, deswegen entwickeln nur unprofessionelle Klitschen wie Oracle, > IBM, Google und Microsoft für diese Plattform. Microsoft selbst hat > sogar eine eigene Linux-Distribution für seine Azure-Plattform > entwickelt... Ich rede von Software, die sich unabhängig von der Distribution out-of-the-box installieren und betreiben läßt. Das ist aber nicht so einfach, da sich die Distris nicht mal auf ein einheitliches Paketmanagement einigen können. Es gibt eben nicht DAS Linux, sondern der Softwarehersteller sieht sich mit einer Unzahl möglicher Szenarien konfrontiert und müßte mehrere Zweige pflegen. Das kostet Zeit, Geld und bringt erhöhtes Fehlerrisiko mit sich. Deswegen gibt es nur wenige kommerzielle Anbieter, die Linux unterstützen. Und wenn, dann auch nur auf ausgesuchten Distributionen. SAP supported z.B. derzeit nur drei Distris... http://scn.sap.com/docs/DOC-8760 ...bei denen der Support allerdings nicht für lau ist. Die DATEV beantwortete Linuxanfragen vor vielen Jahren so: http://www.golem.de/0310/28273.html Ein paar der Argumente darin mögen nicht oder nicht mehr zutreffen, aber im Wesentlichen haben sie recht. Und die sinngemäß gleichen Antworten bekommt von den meisten Anbietern kommerzieller Software. > daß es gar keinen Spaß mehr macht. dito
Sheeva P. schrieb: >> Ja logisch. Aber nicht weil unixoide Systeme schwerer zu hacken wären > > Doch, genau deswegen. > > Es ist nämlich schwierig, einem Anwender einen Schädling zu schicken und > ihn dazu zu bringen, diesen auszuführen. Dazu muß das Opfer unter UNIXen > die Datei erst a) abspeichern, b) ausführbar machen, und sie dann c) > auch noch ausführen. Und zum letzten Mal: Der Angreifer muss weder den Schadcode in eine Datei verpacken, noch muss das Opfer eine Datei abspeichern, noch diese ausführbar machen oder diese dann starten. Es reicht wenn das Opfer mit seinem Browser (welcher mal wieder eine Sicherheitslücke hat) auf eine Webseite geht, die Schadcode ausliefert oder mit seinem Mailprogramm (welches mal wieder eine Sicherheitslücke hat) eine Mail anzeigt, die passenden Schadcode enthält oder z.B. mit dem PDF-Viewer (im Browser) ein verseuchtes PDF ansieht oder Flash nutzt oder Java usw. usf. Einfach mal die Grundlagen dazu ansehen: Speicherlayout, Heap, Stack, Buffer Overflows, Use-After-Free usw. usf.
Icke ®. schrieb: > OK, dann eben noch andere Quellen: Noch mehr Quatsch? Nee, danke. Du kannst Dir und mir Deine Quellen bitte ersparen. Ich habe wirklich keine Lust, mich durch das halbe Internet zu klicken, um dann wieder auf dreiste Dummheiten wie Deine vorherige Quelle "Dr. Web" zu stoßen. Das war zwar einmal ganz witzig, aber der Spaßfaktor nutzt sich danach ziemlich schnell ab. Klar: für jemanden, der sein Geld mit den Unzulänglichkeiten von Windows verdient, geht es dabei um die Geschäftsgrundlage: ob die Kunden sich von Microsoft ab- und weniger unsicherer Software zuwenden, oder ob Microsoft endlich damit anfängt, die Unzulänglichkeiten seiner Produkte zu beheben, ist in jedem Falle schlecht fürs Geschäft. Sophos, Norton, Kaspersky und Konsorten würden nicht im Traum daran denken, Windows Unzulänglichkeiten zu benennen oder gar deren Behebung zu fordern... Die wollen doch nicht den Ast absägen, auf dem sie sitzen -- und dasselbe gilt natürlich auch für die ganzen bunten Windows-"Fach"zeitschriften. Fakt ist: Windows-Anwender werden häufig, oft erfolgreich und meist mit gravierenden Folgen angegriffen, Linux- und *BSD-Nutzer nicht. Dafür gibt es Gründe, welche nicht verschwinden werden, nur weil Du sie partout nicht verstehen und nicht akzeptieren willst. > a) und c) sind unter Windows ebenfalls erforderlich, da bspw. Outlook > und Outlook Express in der Default-Einstellung schon seit über 10 Jahren > das Starten ausführbarer Anhänge nicht zulassen. Du willst es einfach nicht raffen. Es geht nicht um die Quelle, ob das Outlook, OE oder irgend eine Third-Party-Software ist: es ist und bleibt einfach bescheuert, ausführbare Programme am Dateinamen zu erkennen. Der Schritt b), also das Ausführbarmachen der Datei, ist ein signifikanter Schritt, der die Sicherheit des Anwenders erhöht. Die Heterogenität, daß verschiedene Linux-Distributoren unterschiedliche Compilerversionen und sogar leicht unterschiedliche Verzeichnisstrukturen nutzen, macht es für den Angreifer ebenfalls schwieriger, und erhöht somit die Sicherheit. Das hat übrigens nichts mit "Security by Obscurity" zu tun, sondern vielmehr mit "Security by Varianz". Auch UNIX' Modulphilophie spielt dabei eine gewichtige Rolle. Denn es ist nun einmal ein gewaltiger Unterschied für den Angreifer, ob er nur einen winzigen Prozeß kapern, oder sich in einem großen Monolithen einnisten und breitmachen kann. Außerdem sind Monolithen natürlich komplexer als kleine Module, was die Fehlerwahrscheinlichkeit und damit auch die Anfälligkeit für Sicherheitslücken zwangsläufig erhöht. Es sind diese vielen großen und kleinen, theoretischen und praktischen Fundamente, aus denen Linux und die BSDs ein umfassendes, in der Praxis sehr schwer zu überwindendes Gesamtsicherheitkonzept entwickeln. Es ist nicht unüberwindbar, das ist keine Frage und hat auch niemand behauptet, aber für einen Angreifer wird es viel schwieriger, diese vielen kleinen und großen Hürden zu überwinden und das System zu kompromittieren. All das sieht man sogar noch viel deutlicher, wenn man die Sache einmal aus Sicht eines Angreifers betrachtet. Alles, was es für den Angreifer schwieriger macht und zusätzliche Schritte von ihm erfordert, alles, was die Wahrscheinlichkeit seiner Entdeckung erhöht, sowie alles, was die Rückverfolgung des Angriffs zum Angreifer erleichtert, sind Schritte in Richtung einer höheren Sicherheit. Und moderne Sicherheitssysteme wie AppArmor oder SELinux, die heute in den meisten Linuxen arbeiten, sind dabei noch nicht einmal erwähnt.
Sheeva P. schrieb: > Du willst es einfach nicht raffen. Es geht nicht um die Quelle, ob das > Outlook, OE oder irgend eine Third-Party-Software ist: es ist und bleibt > einfach bescheuert, ausführbare Programme am Dateinamen zu erkennen. Der > Schritt b), also das Ausführbarmachen der Datei, ist ein signifikanter > Schritt, der die Sicherheit des Anwenders erhöht. und was machen die Linux-Datei Manager wenn du auf eine .dep oder eine .jar Datei klickst? Nur weil Linux Dateien nicht direkt ausführt, ist das doch keine Sicherheit. > Auch UNIX' Modulphilophie spielt dabei eine gewichtige Rolle. Denn es > ist nun einmal ein gewaltiger Unterschied für den Angreifer, ob er nur > einen winzigen Prozeß kapern, oder sich in einem großen Monolithen > einnisten und breitmachen kann. Linux mit seinen "root darf" alles ist nun auch nicht wirklich die große Sicherheit. Nicht ohne Grund gibt es dinge sie SE-Linux. Es gibt einfach zu viele Gründe das ein Prozesse als Root laufen muss, weil man keine einzel Rechte vergeben kann. (ports < 1024 öffnen). Bei Windows kann man so ziemlich jedes Recht manuell vergeben, damit gibt es sehr wenig Gründe das ein Dienst als "admin" läuft. Leider gibt es viele Fremdsoftware die davon nicht gebrauch machen. > Die Heterogenität, daß verschiedene Linux-Distributoren unterschiedliche > Compilerversionen und sogar leicht unterschiedliche > Verzeichnisstrukturen nutzen, macht es für den Angreifer ebenfalls > schwieriger, und erhöht somit die Sicherheit. Das hat übrigens nichts > mit "Security by Obscurity" zu tun, sondern vielmehr mit "Security by > Varianz". alles Unixe haben so eine mächtige Shell, da kann man den Virus sogar als Shell-Script schreiben - das läuft dann auf allen unix Systemen. Ist am ende einfacher als Binärcode auszuliefern. Dazu kommt noch, das auf Linux Systemen oft ein Compiler vorhanden - für die Sicherheit ist das auch nicht so toll.
Arc N. schrieb: > Und zum letzten Mal: Der Angreifer muss weder den Schadcode in eine > Datei verpacken, noch muss das Opfer eine Datei abspeichern, noch diese > ausführbar machen oder diese dann starten. Ok, fangen wir mit den Basics an. Also, zunächst einmal muß ein Angreifer auf seinem Ziel unkontrollierten Code ausführen können, richtig? > Es reicht wenn das Opfer mit seinem Browser (welcher mal wieder eine > Sicherheitslücke hat) auf eine Webseite geht, die Schadcode ausliefert So weit die Theorie. Entsprechende Angriffe aus der Praxis kenne ich nur gegen den Internet Explorer, üblicherweise im Zusammenhang mit Microsofts Scripting-Technologien wie ActiveX, VBScript et alumni. Genau das habe ich gemeint, als ich darauf hinwies, daß es keine gute Idee ist, wenn Webbrowser und E-Mail-Programme über Befehle verfügen, mit denen sich tief ins System eingreifen läßt, beispielsweise um ein Dateisystem zu "formatieren". Unser Mitdiskutant "Icke" hat mir dann erklärt, daß das gar nicht gehen würde. Warum hast Du ihm denn da nicht widersprochen? Unter Linux beschränken sich die im Webbrowser ausführbaren Codes ohnehin nur auf ECMAScript, das in einer Sandbox läuft und dazu keine Befehle zum direkten Zugriff auf das System kennt. Das "Gefährlichste", was ich in dem Bereich bisher gesehen habe, ist eine Endlosschleife um alert(). > oder mit seinem Mailprogramm (welches mal wieder eine Sicherheitslücke > hat) eine Mail anzeigt, die passenden Schadcode enthält Das weiß ich wohl, aber auch das kann laut unserem Mitdiskutanten "Icke" gar nicht passieren. Da solltet Ihr Euch vielleicht mal abstimmen. ;-) > oder z.B. mit dem PDF-Viewer (im Browser) ein verseuchtes PDF ansieht > oder Flash nutzt oder Java usw. usf. Auch dann muß der Angriffsvektor zum Ziel passen. Erfolgreiche Angriffe nach diesem Muster sind mir bisher nur gegen Windows-Systeme bekannt. > Einfach mal die Grundlagen dazu ansehen: Speicherlayout, Heap, Stack, > Buffer Overflows, Use-After-Free usw. usf. Been there, done that, got the shirt. Gerade deswegen weiß ich ja, daß der Angriffsvektor ziemlich präzise zum Ziel passen muß. Sonst passiert nämlich entweder gar nichts, oder der Zielprozeß wird vom Betriebssystem mit einer Illegal Instruction oder einem Segmentation Fault einfach beendet. In diesem Zusammenhang ist es übrigens nicht die schlechteste Idee, die Grundlage nicht nur angesehen, sondern auch mal ausgetestet zu haben. ;-)
Angehängte Dateien:
-
dep_datei.png
27 KB
Peter II schrieb: > Sheeva P. schrieb: >> Du willst es einfach nicht raffen. Es geht nicht um die Quelle, ob das >> Outlook, OE oder irgend eine Third-Party-Software ist: es ist und bleibt >> einfach bescheuert, ausführbare Programme am Dateinamen zu erkennen. Der >> Schritt b), also das Ausführbarmachen der Datei, ist ein signifikanter >> Schritt, der die Sicherheit des Anwenders erhöht. > > und was machen die Linux-Datei Manager wenn du auf eine .dep oder eine > .jar Datei klickst? Bei einer .dep-Datei passiert das, was Du im Anhang siehst. Bei einer .jar-Datei wirft mein Dateimanager eine Fehlermeldung: "The file '/pfad/datei.jar' is not marked as executable. If this was downloaded or copied from an untrusted source, it may be dangerous to run. For more details, read about the executable bit." > Nur weil Linux Dateien nicht direkt ausführt, ist das doch keine > Sicherheit. Nein, das ist keine Sicherheit, aber es erhöht sie, weil es die Sache für den Angreifer ein bisschen schwerer macht. > Linux mit seinen "root darf" alles ist nun auch nicht wirklich die große > Sicherheit. Nicht ohne Grund gibt es dinge sie SE-Linux. Es gibt einfach > zu viele Gründe das ein Prozesse als Root laufen muss, weil man keine > einzel Rechte vergeben kann. (ports < 1024 öffnen). Wohlerzogene Prozesse machen das, was Privilegien erfordert, und droppen danach ihre Privilegien durch ein setgroups(2) + setreuid(2) (oder unter *BSD setgroups(2) + seteuid(2) + setuid(2)). Wenn Du ein System richtig dichtklöppeln willst, ist SELinux eine gute Hilfe, aber ich persönlich bevorzuge RSBAC. Nicht nur, weil ich Amon Ott persönlich kenne und seine enorme Kompetenz sehr schätze. > Bei Windows kann man so ziemlich jedes Recht manuell vergeben, Unter Linux kann man das mit ACLs, SELinux und RSBAC auch, wenn man will und Bedarf hat. Abgesehen davon ist das ja auch einer der Kritikpunkte an Windows' Sicherheitsmodell: das es so kompliziert ist, daß es nur äußerst selten benutzt wird. Darüber haben sich Microsofts eigene Angestellte bei der Umstellung der Hotmail-Server von FreeBSD und Solaris auf Windows2000 beklagt, wenn ich mich recht entsinne. Was nutzt einem eine kugelsichere Weste, wenn sie im Schrank hängt? > alles Unixe haben so eine mächtige Shell, da kann man den Virus sogar > als Shell-Script schreiben - das läuft dann auf allen unix Systemen. Ist > am ende einfacher als Binärcode auszuliefern. Aber dazu muß man den Schädling doch erst einmal auf dem Zielsystem zur Ausführung bringen, also: erfolgreich ins Zielsystem eingedrungen sein. > Dazu kommt noch, das auf Linux Systemen oft ein Compiler vorhanden - für > die Sicherheit ist das auch nicht so toll. Auch das ist in der Theorie nicht ganz falsch, aber in der Praxis habe ich noch keinen Angreifer gesehen (und auch nicht von einem gehört), der seine Angriffswerkzeuge erstmal auf das Ziel lädt und dort kompiliert. Zumal ja auch in diesem Fall gilt: zunächst einmal muß der Angreifer erfolgreich in das Zielsystem eindringen, bevor er das tun kann. Aber wenn der Angreifer in das Zielsystem eingedrungen ist, ist es doch bereits zu spät!
:
Bearbeitet durch User
Mag sein, dass der Unterbau bei Linux möglicherweise sicherer ist. Ich bin davon überzeugt, dass bei mehr normalen Anwendern auf Desktop Systemen auch die vielen Dialog und Beschränkungen durch den Anwender aufgehoben werden. Klar ist das der Mensch vor dem Bildschirm, der sein System öffnet. Aber so ist es auch auf dem Windowssystem. Aktuell sind eher die Anwendungen auf Linux-Servern, die zum Angriffsziel werden und Probleme verursachen. Möglicherweise nicht für den Systembetreiber, aber für dessen Anwender. http://www.heise.de/newsticker/meldung/Tausende-Magento-Shops-greifen-ihre-Kunden-an-2850132.html
Sheeva P. schrieb: > Schritt b), also das Ausführbarmachen der Datei, ist ein signifikanter > Schritt, der die Sicherheit des Anwenders erhöht. Daß b) gar nicht notwendig ist, wurde bereits bewiesen: Icke ®. schrieb: > Denkste, es geht ohne b) (auch das follow up lesen): > > http://www.geekzone.co.nz/foobar/6229 Aber das ignorierst du genauso wie alles, was nicht in deine heile Linux-Welt paßt. Wahrscheinlich hast du es noch nicht mal gelesen. Zum Glück kommen nicht alle Linux-User mit solch hochgradig bornierter Fanboy-Mentalität daher. Die Profis wissen sehr genau, daß auch Linux vielfältig verwundbar ist und mit größerer Verbreitung für Angreifer interessanter würde. Sie scheuen sich auch nicht, dies zuzugeben. Realismus macht die Computerwelt sicherer, nicht blindes Vertrauen in vermeintlich per se sichere Systeme. An dieser Stelle ist die Diskussion für mich beendet, schade um die Zeit. Ich hoffe nur, daß die Mitleser sich ihr eigenes Bild machen.
Sheeva P. schrieb: > So weit die Theorie. Entsprechende Angriffe aus der Praxis kenne ich nur > gegen den Internet Explorer, üblicherweise im Zusammenhang mit > Microsofts Scripting-Technologien wie ActiveX, VBScript et alumni. Das ist keine Theorie, sondern gängige Praxis. Einfach mal nach RCE (Remote Code Execution) und Firefox, Chrome, Safari (sollte alle gängigen Web Engines abdecken) usw. suchen > Unser Mitdiskutant "Icke" hat mir dann > erklärt, daß das gar nicht gehen würde. Warum hast Du ihm denn da nicht > widersprochen? Weil ich schlicht nicht alle Posts/Details gelesen habe. > Unter Linux beschränken sich die im Webbrowser ausführbaren Codes > ohnehin nur auf ECMAScript, das in einer Sandbox läuft und dazu keine > Befehle zum direkten Zugriff auf das System kennt. Das "Gefährlichste", > was ich in dem Bereich bisher gesehen habe, ist eine Endlosschleife um > alert(). Suche: JavaScript CVE oder Firefox CVE oder ... Auf die schnelle CVE-2015-0817 Firefox https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/ "flaw in Mozilla's implementation of typed array bounds checking in JavaScript just-in-time compilation (JIT) and its management of bounds checking for heap access. This flaw can be leveraged into the reading and writing of memory allowing for arbitary code execution on the local system." Zur Erklärung: Webseite liefert passendes JavaScript aus, Browser überprüft nicht richtig, JS kann beliebig im Speicher des Browsers herumfuhrwerken -> d.h. beliebigen Maschinencode zur Ausführung bringen, der mit den Rechten des Browsers läuft -> Vollzugriff auf die Daten des Benutzers. CVE-2014-3188 Chrome "Google Chrome ... do not properly handle the interaction of IPC and Google V8, which allows remote attackers to execute arbitrary code via vectors involving JSON data,..." http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3188 Zu beiden gibt/gab (da mittlerweile gepatch) funktionierende Exploits... Zudem darf ECMAScript mittlerweile etwas mehr z.B. aufs Dateisystem zugreifen: File API http://www.w3.org/TR/file-upload/ "System-sensitive files (e.g. files in /usr/bin, password files, and other native operating system executables) typically should not be exposed to web content, ..." > Gerade deswegen weiß ich ja, daß der Angriffsvektor ziemlich präzise zum > Ziel passen muß. Sonst passiert nämlich entweder gar nichts, oder der > Zielprozeß wird vom Betriebssystem mit einer Illegal Instruction oder > einem Segmentation Fault einfach beendet. In diesem Zusammenhang ist es > übrigens nicht die schlechteste Idee, die Grundlage nicht nur angesehen, > sondern auch mal ausgetestet zu haben. ;-) Dito Been There, Done That... Das es einfach ist, habe ich (siehe irgendwo oben im Thread) nicht behauptet. Früher war's deutlich einfacher...
Icke ®. schrieb: >> http://www.geekzone.co.nz/foobar/6229 > > Aber das ignorierst du genauso wie alles, was nicht in deine heile > Linux-Welt paßt. Wahrscheinlich hast du es noch nicht mal gelesen. Ich habe es vor allem ausprobiert. Und siehe da: "Access to ' "/pfad/datei.desktop" ' denied, not owned by root, executable flag not set." Offenbar besteht zumindest der KDE-Launcher darauf, daß entweder das Execute-Bit gesetzt ist, oder die Datei "root" gehört. > Die Profis wissen sehr genau, daß auch Linux vielfältig verwundbar ist Das war aber gar nicht Gegenstand der Diskussion, denn in der ging es expressis verbis nicht um theoretische Betrachtungen. Daß es diese theoretische Bedrohung gibt, habe ich mit keinem Wort bestritten. Aber auch wenn Du immer wieder hartnäckig versucht hast, die Diskussion in diese Richtung abzulenken, ging es hier ganz ausdrücklich nicht um die Theorie, sondern um die Praxis. Und diese Praxis zeichnet nunmal ein eindeutiges Bild: es sind vornehmlich die Nutzer von Windows, die zum Opfer von erfolgreichen Angriffen werden. Wir war das mit "alles ignorieren, was nicht in Deine heile [...]-Welt paßt"? Dieses Kompliment muß ich Dir leider ungeöffnet zurückgeben. > Realismus macht die Computerwelt sicherer, nicht blindes Vertrauen in > vermeintlich per se sichere Systeme. Richtig. Und die praktische Realität ist (und wird auf absehbare Zeit wohl auch bleiben), daß Linux- und BSD-Anwender weniger oft erfolgreich angegriffen werden als Windows-Nutzer. Das heißt, daß die Gefahr, zum Opfer eines Angriffs zu werden, weniger groß ist, wenn man Linux statt Windows benutzt. Für Anwender ist nur das relevant. > An dieser Stelle ist die Diskussion für mich beendet, schade um die > Zeit. Ich hoffe nur, daß die Mitleser sich ihr eigenes Bild machen. Das hoffe ich auch, CU.
Icke ®. schrieb: > An dieser Stelle ist die Diskussion für mich beendet, schade um die > Zeit. Ich hoffe nur, daß die Mitleser sich ihr eigenes Bild machen. Jeder richtige Unix-User weiss, dass die Sicherheit bei Unix auf toenernen Fuessen steht. Aber Linux-Fanboys waren da schon immer speziell - die Diskussionen haben sich in den letzten 20 Jahren 0 veraendert. Kein Wunder, sind sie in der Unix-Welt eher unbeliebt - auch wenn sie heute in der Mehrheit sind.
Arc N. schrieb: > CVE-2015-0817 Firefox > CVE-2014-3188 Chrome Soweit ich weiß, laufen Firefox und Chrome aber doch auch unter Windows, weshalb diese Gefahr für alle Beteiligten dieselbe ist. Davon abgesehen unterstützen moderne Betriebssysteme Techniken wie ASLR und das NX-Bit -- Windows allerdings IIRC nur mit einigen Einschränkungen -- und das müßte unser Angreifer dann auch erstmal überwinden. > Zudem darf ECMAScript mittlerweile etwas mehr z.B. aufs Dateisystem > zugreifen: File API > http://www.w3.org/TR/file-upload/ > "System-sensitive files (e.g. files in /usr/bin, password files, and > other native operating system executables) typically should not be > exposed to web content, ..." Das läuft a) innerhalb der Sandbox und gegeneinander gekapselt, b) wird der Benutzer gefragt ob der Browser Daten in der Sandbox ablegen darf und c) muß ein Angreifer, der diese Sicherheitsmechanismen erfolgreich umgehen konnte, dann immer noch die Permissions des Dateisystems umgehen, um damit sensible Daten abgreifen zu können. > Dito Been There, Done That... Das es einfach ist, habe ich (siehe > irgendwo oben im Thread) nicht behauptet. Früher war's deutlich > einfacher... Ja. Und an dieser Stelle man muß auch Microsoft loben, daß sie endlich etwas dagegen tun -- Halbgares wie das Malicious Software Removal Tool, Proaktives wie den Windows-Firewall, und Architektonisches mit dem Ausbau von GUI-Funktionen aus dem Systemkern ab Win7 sowie eine eingeschränkte ASLR und die eingeschränkte Nutzung des NX-Bit. Trotzdem ist die Gefahr, zum Opfer eines erfolgreichen Angriffs zu werden, unter Windows leider immernoch deutlich größer als unter Linux oder *BSD.
xXx schrieb: > Jeder richtige Unix-User weiss, dass die Sicherheit bei Unix auf > toenernen Fuessen steht. Das tut sie überall. Trotzdem gibt es graduelle Unterschiede, deren praktische Auswirkungen der Gegenstand dieser Debatte waren.
Sheeva P. schrieb: > Proaktives wie den Windows-Firewall was findest du an ihr schlecht, sie lässt keine unerwünschten Verbindungen von Außen zu. Und bis jetzt gab es keine "Löcher" dir mir bekannt sind. > Das läuft a) innerhalb der Sandbox und gegeneinander gekapselt, genau wie bei Java, und Acrobat. Beides wurde gehackt.
Peter II schrieb: > Sheeva P. schrieb: >> Proaktives wie den Windows-Firewall > > was findest du an ihr schlecht, sie lässt keine unerwünschten > Verbindungen von Außen zu. Und bis jetzt gab es keine "Löcher" dir mir > bekannt sind. Habe ich geschrieben, daß ich sie schlecht finde? Ich glaube nicht. Obwohl ich gegenüber dem Windows-"Firewall" natürlich dieselben theoretischen Vorbehalte habe wie gegen alle derartigen Programme. 1.) handelt es sich dabei nicht um einen Firewall, denn ein Firewall wäre ein Konzept zur Trennung von Netzen und liefe daher nicht auf einem Host, auf dem Benutzer interaktiv arbeiten, 2.) schützt die Windows-"Firewall" höchstens nur vor den Folgen von Fehlern in der Konfiguration, vor denen man bei korrekter Konfiguration niemanden schützen müßte, 3.) wird Software, die aufgrund ihrer hohen Komplexität zu Unsicherheiten neigt, durch Hinzufügen von zusätzlicher Komplexität nicht sicherer, 4.) verführt so etwas die Benutzer dazu, weniger genau aufzupassen (das Verhalten bezeichnet die Psycholgie als "Risikokompensation"), 5.) verführen solche Werkzeuge ihre Anwender häufig dazu, ihr System komplett "zuzunageln", was leider regelmäßig dazu führt, daß sich ihr Netzwerkstack nicht mehr standardkonform verhält, und 6.) schützen sie lediglich vor Angriffen auf den Netzwerkstack des Betriebssystems, aber nicht vor Angriffen auf die Anwendungs- oder erwünschte Serverprogramme. Das sind aber alles Erwägungen, die solche Werkzeuge ganz grundsätzlich in Frage stellen, nicht nur den Windows-"Firewall". In der Praxis ist es wohl besser, einen Windows-"Firewall" zu benutzen, als Anwendern zuzumuten, ihr System dauerhaft korrekt zu konfigurieren. Aber da scheiden sich bis heute die Geister in der Sicherheitscommunity.
Sheeva P. schrieb: > Habe ich geschrieben, daß ich sie schlecht finde? dann hast du nicht deutlich gesagt was du meinst. > 1.) handelt es sich dabei nicht um einen Firewall, denn ein Firewall > wäre ein Konzept zur Trennung von Netzen und liefe daher nicht auf einem > Host, auf dem Benutzer interaktiv arbeiten, ein Firewall ist ein Packetfilter, wo er läuft spiel keine rolle > 2.) schützt die Windows-"Firewall" höchstens nur vor den Folgen von > Fehlern in der Konfiguration, vor denen man bei korrekter Konfiguration > niemanden schützen müßte, nein, denn die meisten PC haben nur eine Netzwerkschnittstelle. Und dort will man im Lokalem netzt auch Datei und andere Dinge machen. Damit braucht man eine Software die Entscheidet was von "Internet" zulässig ist und was von Lokal zulässig ist - das macht die Firwall > 3.) wird Software, die aufgrund ihrer hohen Komplexität zu > Unsicherheiten neigt, durch Hinzufügen von zusätzlicher Komplexität > nicht sicherer, richtig, aber bringt es etwas und hat bis jetzt noch keine zusätzlichen schaden angerichtet. > 6.) schützen sie lediglich vor Angriffen auf den Netzwerkstack des > Betriebssystems, aber nicht vor Angriffen auf die Anwendungs- oder > erwünschte Serverprogramme. doch genau das macht sie, damit ist die "Dateifreigabe" nicht aus dem Internet erreichbar und damit "sicher" geht meist gar nicht anders, wenn man nur eine Netzwerk Schnittstelle hat.
Peter II schrieb: > Sheeva P. schrieb: >> 1.) handelt es sich dabei nicht um einen Firewall, denn ein Firewall >> wäre ein Konzept zur Trennung von Netzen und liefe daher nicht auf einem >> Host, auf dem Benutzer interaktiv arbeiten, > ein Firewall ist ein Packetfilter, wo er läuft spiel keine rolle Ein Firewall ist nicht unbedingt ein Paketfilter. Auch ein Proxy-Firewall, wie er gemeinhin zwischen einer DMZ und einem internen Netzwerk benutzt wird, ist ein Firewall, der auf einer höheren Netzwerkschicht arbeitet. Wie gesagt: ein Firewall ist ein Konzept, um Netze zu trennen, zulässige Kommunikation zuzulassen, nichtzulässige Kommunikation zu unterbinden und beides zu loggen. Insofern sind "Personal" oder "Desktop Firewalls" keine Firewalls. Siehe dazu auch die Aussagen von Felix "fefe" von Leitner unter [1] und die de.comp.security.firewall FAQ unter [2]. >> 2.) schützt die Windows-"Firewall" höchstens nur vor den Folgen von >> Fehlern in der Konfiguration, vor denen man bei korrekter Konfiguration >> niemanden schützen müßte, > nein, denn die meisten PC haben nur eine Netzwerkschnittstelle. Und dort > will man im Lokalem netzt auch Datei und andere Dinge machen. Damit > braucht man eine Software die Entscheidet was von "Internet" zulässig > ist und was von Lokal zulässig ist - das macht die Firwall Das können alle ernsthaften Serverprogramme schon selbst, und benötigen dazu keinen "Personal Firewall". Zudem kann ein "Personal Firewall" nicht wirklich gut zwischen Zugriffen aus dem Internet und lokalen Zugriffen unterscheiden, denn in den meisten Netzwerken wird heutzutage über SNAT auf das Internet zugegriffen. Die Rechner des internen Netzwerk können deswegen ohnehin nicht vom Internet aus adressiert werden. Die einzige Möglichkeit, dies zu umgehen, ist die Einrichtung von DNAT auf dem SNAT-Gateway (auch als "Portfreigabe" oder "Portweiterleitung" bekannt). Aber wenn man solche Kommunikation unterbinden will, kann man einfach auf die Einrichtung von DNAT auf dem Gateway verzichten. Übrigens haben PCs, die mit einem Netzwerk verbunden sind, mindestens zwei Netzwerkschnittstellen, nämlich die mit dem Netzwerk verbundene sowie "localhost" (127.0.0.1). >> 3.) wird Software, die aufgrund ihrer hohen Komplexität zu >> Unsicherheiten neigt, durch Hinzufügen von zusätzlicher Komplexität >> nicht sicherer, > richtig, aber bringt es etwas und hat bis jetzt noch keine zusätzlichen > schaden angerichtet. Zu Zeiten von "Black Ice Defender" und Co. hat es leider mehrere Vorfälle gegeben, in denen ausgerechnet der "Desktop Firewall" das Einfallstor für Angreifer gewesen ist. In anderen Szenarien haben Angreifer lediglich den Backend-Prozess des "Personal Firewall" abgeschossen, das Bedienfrontend hingegen weiterlaufen lassen, so daß sich der Anwender sich sicher fühlte, in Wirklichkeit aber mit heruntergelassener Hose dastand. Vor solchen und ähnlichen Angriffsvektoren ist auch der Windows Firewall nicht gefeit, auch wenn bisher noch nichts bekannt geworden ist. >> 6.) schützen sie lediglich vor Angriffen auf den Netzwerkstack des >> Betriebssystems, aber nicht vor Angriffen auf die Anwendungs- oder >> erwünschte Serverprogramme. > doch genau das macht sie, damit ist die "Dateifreigabe" nicht aus dem > Internet erreichbar und damit "sicher" Dank SNAT kann der Rechner im internen Netzwerk ohnehin meistens nicht aus dem Internet adressiert -- und damit auch nicht kontaktiert -- werden. Das von Dir beschriebene Problem tritt sich also ausschließlich dann auf, wenn Dein Rechner direkt am Internet hängt -- aber dann gibt es natürlich auch kein lokales Netzwerk, und Dateifreigaben sind dann völlig zwecklos. In diesem Szenario wäre es daher besser, den Dateifreigabedienst zu stoppen, anstatt einen Dienst zu starten, den man ohnehin nicht benutzen kann, und Zugriffe darauf dann über eine Paketfiltersoftware zu verhindern. > geht meist gar nicht anders, wenn man nur eine Netzwerk Schnittstelle > hat. Unter Linux und anderen UNIX-Systemen kann man solchen Servern (und natürlich auch dem Samba-Server für das CIFS-Protokoll) präzise sagen, von welchen Hosts Verbindungen akzeptiert werden sollen (bei Samba mit den Direktiven "hosts allow" und "hosts deny"). Wenn ich mich recht entsinne, kennen Windows-Dateiserver ähnliche Konfigurationsmöglichkeiten -- genau wie jede andere ernsthafte Serversoftware. Wer seinen Host und sein Netzwerk richtig konfiguriert, braucht keinen "Personal Firewall". Auch nicht unter Windows. [1] http://www.fefe.de/pffaq/ [2] http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Felix Leitner und Lutz Donnerhacke als Argumentverstaerker. Na, da ist ja wirklich jede Diskussion sinnlos...
Sheeva P. schrieb: > Unter Linux und anderen UNIX-Systemen kann man solchen Servern (und > natürlich auch dem Samba-Server für das CIFS-Protokoll) präzise sagen, > von welchen Hosts Verbindungen akzeptiert werden sollen (bei Samba mit > den Direktiven "hosts allow" und "hosts deny"). Wenn ich mich recht > entsinne, kennen Windows-Dateiserver ähnliche > Konfigurationsmöglichkeiten -- genau wie jede andere ernsthafte > Serversoftware. und was hilft das dann gegen Sicherheitslücken im Samba? Genau das war ja das Problem bei Windows - das die Dateifreigaben Sicherheitslücken hatte. > Dank SNAT kann der Rechner im internen Netzwerk ohnehin meistens nicht > aus dem Internet adressiert -- und damit auch nicht kontaktiert -- > werden. Das von Dir beschriebene Problem tritt sich also ausschließlich > dann auf, wenn Dein Rechner direkt am Internet hängt -- aber dann gibt > es natürlich auch kein lokales Netzwerk, und Dateifreigaben sind dann > völlig zwecklos. nein, in Unis ist es teilweise üblich das die PC öffentliche IPs bekommen. Und auch dort hilft die Firewall, weil sie das "Lokalen netzt" vom Internet unterscheiden kann.
Spricht was dagegen, diesen Thread in "Der Große Windows ./. Linux-Flame-Thread" umzubenennen? Mit dem eigentlichen Thema hat die Diskussion seit gefühlten 2000 Postings nichts mehr zu tun.
Peter II schrieb: > und was hilft das dann gegen Sicherheitslücken im Samba? Wenn der Server die Verbindung bereits nach dem accept(2) beendet, wird es für den Angreifer sehr schwierig, die Sicherheitslücke auszunutzen. Es sei denn, die Sicherheitslücke befände sich in dem relativ überschaubaren Teil der Software, der für den Verbindungsaufbau zuständig ist. Ansonsten macht ein korrekt konfigurierter Server schlicht die Verbindung zu, und beendet damit einen Angriff bereits, bevor er überhaupt angefangen hat. > Genau das war ja das Problem bei Windows - das die Dateifreigaben > Sicherheitslücken hatte. Entschuldige, aber jetzt wird es wirklich abwegig. Bei Sicherheitslücken in einer Serversoftware gibt es nur genau zwei (2) Möglichkeiten, mit dem Problem umzugehen: die erste und bessere Möglichkeit ist natürlich, die Sicherheitslücke zu beheben oder den Hersteller dazu zu bringen, das zu machen. Die zweite ist, die betreffende Software nicht mehr zu benutzen und sich eine Alternative zu suchen, mindestens, bis das Problem behoben worden ist und die Software wieder benutzt werden kann. Einen Paketfilter aufzusetzen und die Sicherheitslücke somit nur gegenüber ausgewählten Computern zu exponieren, ist keine Option. Denn schließlich ist es längst kein Geheimnis mehr, daß 80 % der Angriffe auf Unternehmens- und Behördeninfrastrukturen nicht von außen, sondern von innen kommen. > nein, in Unis ist es teilweise üblich das die PC öffentliche IPs > bekommen. Selbst wenn es sowas heute noch geben sollte -- sowas habe ich lange nicht mehr gesehen oder gehört --, werden Computer in Unis von einem zentralen, professionell administrierten Richtigen Firewall(tm) geschützt, sonst wird das wohl schon mit dem Anschluß ans DFN schwierig. Die brauchen jedenfalls ganz sicher keinen "Personal Firewall". > Und auch dort hilft die Firewall, weil sie das "Lokalen netzt" vom > Internet unterscheiden kann. Ja, aber das macht nicht eine "Personal Firewall", sondern der zentrale Richtige Firewall (tm) der Universität. Denk' alleine mal an den Aufwand, "Personal Firewalls" auf hunderte oder tausende Rechner zu deployen. Das macht doch kein Mensch, der noch halbwegs bei Verstand ist. Davon abgesehen sind ein paar Uni-Rechner mit exotischen Konfigurationen sicherlich kein allgemeingültiger Maßstab, oder?
Rufus Τ. F. schrieb: > Spricht was dagegen, diesen Thread in > "Der Große Windows ./. Linux-Flame-Thread" umzubenennen? Also sooo groß ist der jetzt aber auch wieder nicht. ;-)
Sheeva P. schrieb: > Soweit ich weiß, laufen Firefox und Chrome aber doch auch unter Windows, > weshalb diese Gefahr für alle Beteiligten dieselbe ist. Davon abgesehen > unterstützen moderne Betriebssysteme Techniken wie ASLR und das NX-Bit > -- Windows allerdings IIRC nur mit einigen Einschränkungen Windows unterstützt beides vollständig... Mit EMET gibt es ein Tool mit dem das auch mit Gewalt durchgesetzt werden kann, egal ob die Anwendung will oder nicht... Das sollte MS eigentlich per Default mitinstallieren und einschalten. Nur wäre dann das Geschrei wahrscheinlich wieder riesig, weil dann irgendein (weitverbreiteter) Müll nicht mehr funktioniert. > -- und das > müßte unser Angreifer dann auch erstmal überwinden. Steht schon weiter oben... Alle diese Techniken können überwunden werden. Copy und Paste von oben zu einigen der nötigen Techniken Return-Oriented-Programming http://crypto.stanford.edu/~blynn/rop/ Return-To-Libc http://css.csail.mit.edu/6.858/2014/readings/retur... Return-To-Plt https://sploitfun.wordpress.com/2015/05/08/bypassi... ASLR bypassing z.B. auf 64-Bit Linuxen http://hmarco.org/cyber-security/attacks/bypass64b... > Das läuft a) innerhalb der Sandbox und gegeneinander gekapselt, b) wird > der Benutzer gefragt ob der Browser Daten in der Sandbox ablegen darf > und c) muß ein Angreifer, der diese Sicherheitsmechanismen erfolgreich > umgehen konnte, dann immer noch die Permissions des Dateisystems > umgehen, um damit sensible Daten abgreifen zu können. Das Problem mit diesen ganzen Libs/HTML-Funktionen ist, dass sie die Angriffsfläche erhöhen. Hat die Sandbox auch nur eine Kleinigkeit/Spezialität/Sonderfall vergessen, kann das entsprechend unangenehme Folgen haben.
Sheeva P. schrieb: > Peter II schrieb: >> und was hilft das dann gegen Sicherheitslücken im Samba? > > Wenn der Server die Verbindung bereits nach dem accept(2) beendet, wird > es für den Angreifer sehr schwierig, die Sicherheitslücke auszunutzen. hoffst du das es so gemacht wird. Das aber die Einträge sogar je Freigabe gemacht werden, erfolgt sogar noch viel mehr bevor die Verbindung getrennt wird. Ich lasse sogar auf Linux Server iptables laufen, um einfach die Sicherheit zu haben das nur die Ports die ich will von außen erreichbar sind. Es passiert viel zu schnell das eine Software einen Port öffnet. > Einen Paketfilter aufzusetzen und die Sicherheitslücke somit nur > gegenüber ausgewählten Computern zu exponieren, ist keine Option. doch, er bietet eine zusätzliche Sicherheit. > nein, in Unis ist es teilweise üblich das die PC öffentliche IPs > bekommen. Selbst wenn es so etwas heute noch geben sollte -- sowas habe ich lange nicht mehr gesehen oder gehört --, werden Computer in Unis von einem zentralen, professionell administrierten Richtigen Firewall(tm) es soll Studenten mit eigenen Laptops geben. > > Und auch dort hilft die Firewall, weil sie das "Lokalen netzt" vom > > Internet unterscheiden kann. > Ja, aber das macht nicht eine "Personal Firewall", sondern der zentrale > Richtige Firewall (tm) der Universität. und dann muss jeder zu Admin rennen weil er von außen ein offenen Port braucht? Du denkst viel zu sehr in deinen kleinen perfekten Umgebung! Mit Ipv6 wird es wieder sehr wahrscheinlich, das jeder PC vom Internet erreichbar ist. Und eine Zentrale Firewall ist nicht überall sinnvoll einzusetzen. Hier hilft eine Lokale Firewall als zusätzlicher Schutz.
Arc N. schrieb: > Sheeva P. schrieb: >> Soweit ich weiß, laufen Firefox und Chrome aber doch auch unter Windows, >> weshalb diese Gefahr für alle Beteiligten dieselbe ist. Davon abgesehen >> unterstützen moderne Betriebssysteme Techniken wie ASLR und das NX-Bit >> -- Windows allerdings IIRC nur mit einigen Einschränkungen > > Windows unterstützt beides vollständig... In den Default-Einstellungen soll NX nur für kritische Windows-Dienste und ASLR nur für spezifisch dagegen gelinkte Binaries eingeschaltet sein. Man kann ASLR wohl durch manuelles Setzen eines Wertes in der Registry global aktivieren, aber... ich sag's mal so: für Otto Normalbenutzer sollte das eigentlich beides aktiviert sein. > Das Problem mit diesen ganzen Libs/HTML-Funktionen ist, dass sie die > Angriffsfläche erhöhen. Hat die Sandbox auch nur eine > Kleinigkeit/Spezialität/Sonderfall vergessen, kann das entsprechend > unangenehme Folgen haben. True.
@Rufus Τ. Firefly (rufus) Am besten die beiden Teile trennen in "Windows gegen Linux" und "PC virenfrei ohne Neuinstallation?" ;)
Peter II schrieb: > Ich lasse sogar auf Linux Server iptables laufen, um einfach die > Sicherheit zu haben das nur die Ports die ich will von außen erreichbar > sind. Meine Linux- und UNIX-Server müssen gewissen Standards genügen, zum Beispiel HIPAA und / oder PCI-DSS, und werden deswegen regelmäßig mit Sicherheitsaudits und Penetrationstests überprüft. Sie befinden sich selbstverständlich in einem eigenen Netzwerksegment und hinter einem ausgesprochen restriktiv konfigurierten Richtigen Firewall, und darüber hinaus wird ihr Zustand fortlaufend mit Monitoring-Werkzeugen überwacht. Mein Arbeitgeber und ich halten das für die einzige und professionelle Möglichkeit. Sie implementiert die BSI-Empfehlungen zum IT-Grundschutz, entspricht den anerkannten Regeln der Technik, und ist zum Teil sogar gesetzlich vorgeschrieben, etwa wenn personenbezogene Daten nach BDSG verarbeitet werden oder solche, die HIPAA unterliegen. Wenn Du mit Netfilter besser schläfst, dann mach das doch. Leichtsinnig wäre es nur, auf einen vorgeschalteten Richtigen Firewall zu verzichten und stattdessen nur auf Netfilter zu setzen. > Es passiert viel zu schnell das eine Software einen Port öffnet. Bei mir nicht. Deswegen habe ich die Dokumentation der Software gelesen und sie in einer abgesicherten Umgebung getestet, bevor ich daran denke, sie produktiv einzusetzen. Wo möglich schaue ich sogar meistens noch in den Sourcecode. Wenn ich befürchte, daß eine Software Dinge tut, die ich nicht will, dann schaue ich mich nach einer Alternative um, die tut, was ich will. > und dann muss jeder zu Admin rennen weil er von außen ein offenen Port > braucht? Ja, verdammt! So funktioniert Netzwerksicherheit. Nur so!
Sheeva P. schrieb: > Wenn Du mit Netfilter besser schläfst, dann mach das doch. Leichtsinnig > wäre es nur, auf einen vorgeschalteten Richtigen Firewall zu verzichten > und stattdessen nur auf Netfilter zu setzen. ich habe gar keine Möglichkeit eine externe Firewall aufzusetzen. (gemieteter root Server) Wie schon geschrieben, du geht von Idealen Bedingungen aus, die in der Praxis aber recht selten sind. > Meine Linux- und UNIX-Server müssen gewissen Standards genügen, zum > Beispiel HIPAA und / oder PCI-DSS, und werden deswegen regelmäßig mit > Sicherheitsaudits und Penetrationstests überprüft. und das gibt dir Sicherheit? Damit wird nur auf bekannte Schwachstellen geprüft und nichts mehr. Warum bleiben wohl Sicherheitslücken so lange unendeckt wenn man sie so "einfach" prüfen kann? Ist bestimmt so hilfreich für ein TÜV-Siegel bei Webshops. > > und dann muss jeder zu Admin rennen weil er von außen ein offenen Port > > braucht? >Ja, verdammt! So funktioniert Netzwerksicherheit. Nur so! ja, unter idealen Bedingungen, aber nicht im echten leben.
Peter II schrieb: > Sheeva P. schrieb: >> Wenn Du mit Netfilter besser schläfst, dann mach das doch. Leichtsinnig >> wäre es nur, auf einen vorgeschalteten Richtigen Firewall zu verzichten >> und stattdessen nur auf Netfilter zu setzen. > > ich habe gar keine Möglichkeit eine externe Firewall aufzusetzen. > (gemieteter root Server) Bei einem seriösen Hoster kann man natürlich auch einen Richtigen Firewall mieten, kostet nur ein paar Euro mehr. Daß es immer noch Hoster gibt, die sowas durch entsprechende Billigstangebote Vorschub leisten, halte ich für einen schweren Verstoß gegen ihre Fürsorgepflicht. Und wenn so ein ungeschützter Server mal gekapert und dann beispielsweise zur Verbreitung von strafbaren oder urheberrechlich geschütztem Inhalten benutzt wird, möchte ich nicht in der Haut des Verantwortlichen stecken. > Wie schon geschrieben, du geht von Idealen Bedingungen aus, die in der > Praxis aber recht selten sind. Bisher ist mir noch kein einziges seriöses Unternehmen untergekommen, das das anders handhabt. Aber meine Kunden sind auch nur unbedeutende Krauter ohne Ahnung von der Materie, deswegen auch HIPAA und PCI-DSS... ;-) >> Meine Linux- und UNIX-Server müssen gewissen Standards genügen, zum >> Beispiel HIPAA und / oder PCI-DSS, und werden deswegen regelmäßig mit >> Sicherheitsaudits und Penetrationstests überprüft. > und das gibt dir Sicherheit? Damit wird nur auf bekannte Schwachstellen > geprüft und nichts mehr. Warum bleiben wohl Sicherheitslücken so lange > unendeckt wenn man sie so "einfach" prüfen kann? Du hast noch kein Sicherheitsaudit erlebt, oder? Sonst würdest Du nämlich nicht so einen Unsinn reden. >> > und dann muss jeder zu Admin rennen weil er von außen ein offenen Port >> > braucht? >>Ja, verdammt! So funktioniert Netzwerksicherheit. Nur so! > ja, unter idealen Bedingungen, aber nicht im echten leben. Dann lebe ich zum Glück im falschen Leben. An der Sicherheit sparen ist in meinem Leben jedenfalls weder professionell, noch seriös.
Sheeva P. schrieb: > Bei einem seriösen Hoster kann man natürlich auch einen Richtigen > Firewall mieten, kostet nur ein paar Euro mehr. Daß es immer noch Hoster > gibt, die sowas durch entsprechende Billigstangebote Vorschub leisten, > halte ich für einen schweren Verstoß gegen ihre Fürsorgepflicht. scheinbar sehen das Leute die bei Hetzner, 1&1, Strato usw. Server mieten etwas anders. > Und wenn so ein ungeschützter Server mal gekapert und dann > beispielsweise zur Verbreitung von strafbaren oder urheberrechlich > geschütztem Inhalten benutzt wird, möchte ich nicht in der Haut des > Verantwortlichen stecken. Da Port 80(443) auf den meisten Webserver freigeschaltet ist, hilft die Firewall überhaupt nicht weiter wenn dort illegale dinge abgelegt werden. > Du hast noch kein Sicherheitsaudit erlebt, oder? Sonst würdest Du > nämlich nicht so einen Unsinn reden. doch (keine Ahnung nach welchem Standard) und aus dem Grund halte nichts davon. https://www.verbraucher-sicher-online.de/news/tuev-siegel-sfer-shopping-in-der-kritik Firmen denken halt sie sind "Sicher" wenn es jemand externes geprüft hat.
Peter II schrieb: > Sheeva P. schrieb: >> Bei einem seriösen Hoster kann man natürlich auch einen Richtigen >> Firewall mieten, kostet nur ein paar Euro mehr. Daß es immer noch Hoster >> gibt, die sowas durch entsprechende Billigstangebote Vorschub leisten, >> halte ich für einen schweren Verstoß gegen ihre Fürsorgepflicht. > > scheinbar sehen das Leute die bei Hetzner, 1&1, Strato usw. Server > mieten etwas anders. Und das ist jetzt mein Problem, weil? Diese Rechtsauffassung können sie ja gerne vertreten, bis sie ihnen ein Gericht um die Ohren haut. Danach geht dann, wie in solchen Fällen mittlerweile üblich, wieder die große Nummer mit dem Heulen und Zähneklappern los. ;-) >> Und wenn so ein ungeschützter Server mal gekapert und dann >> beispielsweise zur Verbreitung von strafbaren oder urheberrechlich >> geschütztem Inhalten benutzt wird, möchte ich nicht in der Haut des >> Verantwortlichen stecken. > Da Port 80(443) auf den meisten Webserver freigeschaltet ist, hilft die > Firewall überhaupt nicht weiter wenn dort illegale dinge abgelegt > werden. Im Zweifelsfall lege ich dem Gericht die Ergebnisse meiner letzten Audits vor und beweise damit, daß ich alles Mögliche, Vernünftige und Zumutbare getan habe, um meine Systeme zu schützen. Dann muß ich gar nicht darlegen, warum ich elementarste Grundregeln der IT-Sicherheit mißachtet, und meine Server nicht nach den anerkannten Regeln der Technik abgesichert habe. >> Du hast noch kein Sicherheitsaudit erlebt, oder? Sonst würdest Du >> nämlich nicht so einen Unsinn reden. > doch (keine Ahnung nach welchem Standard) und aus dem Grund halte nichts > davon. Sei nicht böse, aber das "keine Ahnung" scheint mir dabei wirklich das Kernproblem zu sein. Sicherheitsstandards sind für einen IT-Betrieb mit professionellem Anspruch äußerst sinnvoll, werden häufig von Kunden mit professionellen Ansprüchen gefordert und sind, wie schon gesagt, unter bestimmten Voraussetzungen sogar gesetzlich vorgeschrieben. Und wenn Du wirklich schon mal an einem Sicherheitsaudit teilgenommen hättest, dann würdest Du Dich garantiert daran erinnern, nach welchem Standard dieser durchgeführt worden ist. > Firmen denken halt sie sind "Sicher" wenn es jemand externes geprüft > hat. Nö, die externe Prüfung dient nur der Dokumentation gegenüber den Kunden und Dritten, zum Beispiel gegenüber einem Gericht. Aber die Organisation, Dokumentation und Umsetzung der Maßnahmen, die zum erfolgreichen Bestehen eines Audits notwendig sind, steigern die Sicherheit der Infrastruktur und ihrer organisatorischen Abläufe ganz erheblich. Für den Betreiber von ein paar Billig-Webservern mag das vielleicht alles nicht so wichtig sein, aber im professionellen Umfeld kommt man um solche Dinge einfach nicht herum, schon weil Kunden mit eigener IT-Kompetenz sie nicht nur voraussetzen, sondern auch vertraglich vorschreiben -- und weil manchmal sogar der Gesetzgeber darauf besteht.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.