Re: Virus in Linux?

On Thu, 27 Aug 2009, Peter Köhlmann wrote:

Hallo Peter,

Henning Hucke wrote:

On Mon, 24 Aug 2009, Martin Schmitz wrote:

Peter Köhlmann wrote:
[...]
Da, wo es sicherheitsrelevante Unterschiede gibt, ist Windows haushoch
überlegen.

Theoretisch.

Nicht einmal das

doch theoretisch!

[...]
Insofern ist es schon heutzutage eher ein User- als ein Technik-Problem.

Bei Windows *ist* es ein Technik-Problem. Diese Schwachköpfe bei MS
bringen es nicht auf die Reihe, Sicherheitsmechanismen einzubauen, die die
Benutzer nicht unsinnig gängeln und bei anderen OS seit Jahrzehnten
Standard sind

Du hast IMHO den wesentlichen Aspekt missverstanden.

Sicherheit ist nicht das, was der User sieht, sondern das, was er am besten gerade nicht "sieht": Zum Beispiel sowas wie "jails!" unter BSD (?) oder gerade "selinux" unter Linux oder eben "<wie auch immer das heißt>" unter Windows.
In diesen Systemen laufen die Prozesse nicht einfach mit bestimmten User- Rechten, können aber ansonsten mit entsprechenden anderen Prozessen kommunizieren und beliebige Files auf die ein oder andere Weise anfassen oder gar ausführen, für die sie entsprechende User-Rechte besitzen, sondern der Kernel führt für die Prozesse - im Zweifelsfall nicht mal für diese sichtbare - Sicherheitsattribute mit, anhand derer er recht feingranular entscheiden kann, wer was anfassen und/oder wer mit wem insbesondere in welcher Richtung Daten austauschen darf.

Wie die Jahre gezeigt haben, bringt bereits das Arbeiten als Nicht-Admin/ Root-User einen ganzen Batzen Sicherheit. Wem das - beispielsweise auf einer Workstation - reicht, der kann es bei zum Beispiel Linux dabei belassen. Wem das nicht reicht - beispielsweise auf einem "Internet- Server" -, der kann zumindest kritische Server-Prozesse (Samba, Apache, bis zu einem gewissen Grad NFS, etc. pp.) mit selinux in einer Art Sandbox einschließen, aus der man selbst über Exploits nur sehr schwer heraus kommt - und ist damit dann (mindestens) so sicher wie Windows, kann sich aber diese Sachen bei "normalen" User-Prozessen auf entsprechenden Servern auch sparen und verbraucht dadurch entsprechend weniger Resourcen.

Wie es halt oftmals ist: Mit Unixen ist man auch in diesem Bereich
deutlich *flexibler* als unter Windows, muß aber im Zweifelsfall auch
mehr Ahnung haben...

[...]
Und spätestens mit
konfiguriertem selinux-module ist Linux - wenn überhaupt - kaum
unsicherer als Windows.

Soll das ein Scherz sein?

Nein, soll es nicht.

Peter, es war *noch nie* eine gute Idee, einfach mit dem Hammer drauf zu hauen (hier: Windows), ohne überhaupt ins Detail zu gehen.
Die _interne_ Sicherheitsarchitektur von Windows ist seit - AFAIR - späten NT-Versionen "selinux" vergleichbar, wurde aber dadurch ad absurdum geführt, dass Hinz und Kunz mit praktisch allen Rechten ausgestattet waren. Das ist mit einer Burg vergleichbar, an deren Eingang man niemanden kontrolliert und nie die Tore schließt und die Zugbrücke nie hoch zieht; da können die Mauern noch so dick sein...
Aus diesem Grund waren Unixe lange Zeit _effektiv_ sicherer als Windows, weil die User mit deutlich eingeschränkten Rechten arbeiten, insbesondere üblicherweise keine Systemrelevanten Dateien verändern können.
Seit Windows XP gilt das _so_ nicht mehr.

Das neuere Windows-Versionen dem User vom System in bestimmte Situationen, abhängig von einer statistischen Auswertung von Antworten auf die Frage, wie "sicher" er sich bei einer bestimmten Aktion ist, höhere Rechte ein- räumen lassen und ihn mit den Nachfragen so sehr nerven, dass er wieder auf die alte Weise arbeitet, ändert nichts an der unterliegenden Archi- tektur...

MfG Henning Hucke
--
Alle unsere Unixkisten wurden hingestellt und laufen. Bei Windows läuft
vor allem der Mensch, der versuchen darf, das Zeug in Gang zu halten.
[Jens Dittmar in dca]
.

Relevant Pages

  • Re: WinXP offen wie ein Scheunentor?
    ... Ich meinte damit, dass viele der bei DSL-Zugängen eingesetzten NAT-Router bereits von ihrem Aufbau her unsicher sind, weil die meist vorhandenen NAT-Helper prinzipbedingt die Umgehung einer vermeintlichen "Sicherheit" ermöglichen. ... Deshalb ist der Windows Paketfilter mitnichten "security through obscurity", sondern NAT - wenn man es als "Sicherheitsfeature" betrachtet. ... Netzwerkverbindungen deaktivieren, allerdings erhöhen Sie damit das Risiko, dass die Sicherheit des Computers beeinträchtigt wird." ...
    (de.comp.security.misc)
  • Re: Patch Day November 2005
    ... ich meinte aber mit sicherheit bei hardwarefirewall nicht eine Homewall ... >> dieses Problem mit dem Browser Netcape zu lösen. ... zumal manch ein Router aus dem Consumer ... > Schadsoftware zur Installation per Windows Update bereit. ...
    (microsoft.public.de.security.heimanwender)
  • Re: SP2 erste Sicherheitsmängel- Panikmache von Heise?
    ... bei mir wird sie beim Start automatisch von Windows geladen ... wenn ich im Explorer eine URL in die ... diese dll benötigt. ... Den Kompromiss zwischen Sicherheit und Usability muss jeder ...
    (microsoft.public.de.german.windowsxp.sonstiges)
  • Re: Patch Day November 2005
    ... > dieses Problem mit dem Browser Netcape zu lösen. ... Schadsoftware zur Installation per Windows Update bereit. ... mit Sicherheit keinen "Trojaner mit herunter" ziehen. ...
    (microsoft.public.de.security.heimanwender)
  • Bessere IT-Security Lösung als wer Bastelt mit Patch Day Juli 2006 von Michael H. Fischer
    ... Barracuda IM Firewall mit verschlüsseltem Instant-Messaging-Server ... Eine Art Konfigurationsfehler in den WLAN-Funktionen von Windows ist nun ... Advanced Encryption Standard. ... Sicherheit durch starke Einbußen bei der Geschwindigkeit erkauft werden. ...
    (microsoft.public.de.security.netzwerk.sicherheit)