1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ransomware: Datenkidnapping nach AES…

Mal eine Frage an die nicht Windows Nutzer....

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Mal eine Frage an die nicht Windows Nutzer....

    Autor gardwin 01.02.13 - 21:50

    Kann man eigentlich bei Euch Programme runterladen und ohne besondere Rechte dafür zur haben ausführen? Denke da an sog. portable Programme.

    Habt ihr als Anwender volle Schreibrechte auf Eure eigenen Bilder und Dokumente?

    Wenn nun die Antwort ja und ja ist, könnte die Malware auch bei euch den gleichen Schaden anrichten. Denn was anderes als oben beschrieben macht die Software unter Windows auch nicht.

    Nur mal so,
    Gardwin

    Edit:
    MacOs: http://www.freesmug.org/portableapps/
    Linux: http://portablelinuxapps.org/



    1 mal bearbeitet, zuletzt am 01.02.13 21:52 durch gardwin.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor kn3rd 02.02.13 - 00:29

    Trojaner sind auch unter OS X und Linux möglich, also ein gecracktes Photoshop herunterladen ect. ... was die Windows-Welt so gefährlich macht sind Drive-By-Angriffe.

    Wenn ich mit Windows online browse oder noch schlimmer mit Windows+IE online gehe, dann kann ich mir einen Virus einfangen ohne etwas herunterladen, installieren und ausführen zu müssen, was man aber unter OS X oder Linux erst einmal machen müsste, um sich zu infizieren. Unter Windows reicht schon der Besuch einer Webseite, z.B. eines Videoportals um seinen Rechner mit Daten zu verlieren. Das sollte mit einem modernen Betriebssystem eigentlich nicht möglich sein, daher vllt. die abfälligen Äußerungen über Windows, es geht halt besser.



    1 mal bearbeitet, zuletzt am 02.02.13 00:30 durch kn3rd.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor guckenpockel 02.02.13 - 02:13

    Intelligente Rechte und iptables. Sollte es tatsächlich jemand schaffen, mir ein Exploit unterzujubeln muss er immernoch durch die Restriktionen durch und ein Rootexploit mitliefern, um an Wichtige Daten zu kommen bzw Schaden anzurichten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor Casandro 02.02.13 - 07:05

    Naja, man _kann_ einfach so Programme herunterladen, muss sie dann aber auf "ausführbar" schalten.

    Die Sicherheit liegt aber darin, dass man das eigentlich niemals machen muss. Will man ein Programm haben, so geht man in den Paketmanager und wählt es dort aus der Liste aus. Der Paketmanager kümmert sich dann auch um die Updates. (kann man auf Wunsch automatisch einspielen lassen, oder erst nach Rückfrage) Das geht übrigens auch für kommerzielle Software. In der Regel besorgt man sich den Lizenzschlüssel dann direkt vom Hersteller.

    Ist ein Programm nicht im Paketmanager verfügbar, was sehr selten ist und bei Normalmenschen wahrscheinlich gar nicht auftritt, so installiert man es in aller Regel vom Quellcode. Es ist sehr selten, dass jemand mal wirklich wie unter Windows eine Binärdatei herunterläd und installiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor WolfgangS 02.02.13 - 08:11

    kn3rd schrieb:
    --------------------------------------------------------------------------------
    > Trojaner sind auch unter OS X und Linux möglich, also ein gecracktes
    > Photoshop herunterladen ect. ... was die Windows-Welt so gefährlich macht
    > sind Drive-By-Angriffe.
    >
    > Wenn ich mit Windows online browse oder noch schlimmer mit Windows+IE
    > online gehe, dann kann ich mir einen Virus einfangen ohne etwas
    > herunterladen, installieren und ausführen zu müssen, was man aber unter OS
    > X oder Linux erst einmal machen müsste, um sich zu infizieren. Unter
    > Windows reicht schon der Besuch einer Webseite, z.B. eines Videoportals um
    > seinen Rechner mit Daten zu verlieren. Das sollte mit einem modernen
    > Betriebssystem eigentlich nicht möglich sein, daher vllt. die abfälligen
    > Äußerungen über Windows, es geht halt besser.


    sorry, aber gerade pwn2own haben gezeigt, dass so etwas mit Firefox und Safari schneller geht wie mit dem IE... OS x war am schnellsten gehackt...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor WolfgangS 02.02.13 - 08:16

    Casandro schrieb:
    --------------------------------------------------------------------------------
    > Naja, man _kann_ einfach so Programme herunterladen, muss sie dann aber auf
    > "ausführbar" schalten.
    >
    > Die Sicherheit liegt aber darin, dass man das eigentlich niemals machen
    > muss. Will man ein Programm haben, so geht man in den Paketmanager und
    > wählt es dort aus der Liste aus. Der Paketmanager kümmert sich dann auch um
    > die Updates. (kann man auf Wunsch automatisch einspielen lassen, oder erst
    > nach Rückfrage) Das geht übrigens auch für kommerzielle Software. In der
    > Regel besorgt man sich den Lizenzschlüssel dann direkt vom Hersteller.
    >
    > Ist ein Programm nicht im Paketmanager verfügbar, was sehr selten ist und
    > bei Normalmenschen wahrscheinlich gar nicht auftritt, so installiert man es
    > in aller Regel vom Quellcode. Es ist sehr selten, dass jemand mal wirklich
    > wie unter Windows eine Binärdatei herunterläd und installiert.

    So selten ist das nicht. Installiere mal Spiele aus dem humble bundle unter Suse, fedora, Debian, slackware,.... Die einzige distri die unterstützt wird ist Ubuntu. Crossover Office gibts als Pakete aber nicht über viele Paketmanager...etc.pp.



    1 mal bearbeitet, zuletzt am 02.02.13 08:17 durch WolfgangS.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor Der Supporter 02.02.13 - 09:30

    Nur stimmt deine Aussage leider nicht. Bist du der Meinung, dass bei dem Wettbewerb die Hacker erst nach einem Startschuss losgelegt haben? Und die ganzen Hacks innert wenige Minuten programmiert haben?

    Offenbar, denn sonst würdest du nicht Dinge schreiben wie " OS x war am schnellsten gehackt.." .

    Nein, die Hackerteams haben monatelang an ihren Hacks gearbeitet, bei Wettbewerb wurden diese Hacks dann nur noch ausgeführt. Die reine Ausführungszeit des Hacks ist doch egal.

    Dazu kommt noch, inzwischen ist ML erschienen und das hat bei der Sicherheit nochmals gut zugelegt. zum Beispiel kann standardmässig nur signierte Software installiert werden. Man kann es sogar auf den Apple App Store beschränken, was das Risiko weiter minimiert.

    Und klar, kann es auf für OS X Malware geben, aber wenn man die Meldungen nur schon hier bei Golem verfolgt, dann kann man das vernachlässigen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor serra.avatar 02.02.13 - 09:38

    ist doch letztendlich scheissegal ... weder Apple noch Linux ist sicherer ... einzigst die im Vergleich zu Windows geringere Verbreitung ist ihr größter Schutz!
    Nischen rentieren nunmal nicht! Ist aber natürlich immer ein Grund sich ein sicheres System einzureden. Auch MacOS und Linux arbeiten nur mit 0 und 1 ...

    Ganz zu schweigen von den Nullen vor der Tastatur die sich für "elitär" halten ...



    2 mal bearbeitet, zuletzt am 02.02.13 09:42 durch serra.avatar.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor posix 02.02.13 - 15:09

    Immer diese alt eingesessenen Behauptungen... muss man immer alles nachplappern? Eigene Erfahrungen sammeln...

    Weder Linux noch MacOS wären deutlich anfälliger bei höherer Verbreitung.

    Der Grund liegt im Systemaufbau selbst, der Probleme die bspw. Windows hat Architektur-bedingt, bereits im Keim erstickt.
    MacOS ist genau genommen ein Mischling, es sind Codeanteile von BSD enthalten wie von anderen unixioden Systemen. Unix an sich ist eine sehr mächtige Platform, und nicht im geringsten einfach angreifbar.
    Linux ist, man könnte sagen eine Art Unix Nachbau nur in anderem Stil. Vieles gleicht sich jedoch die Konzepte unterscheiden sich je nachdem doch um einiges.
    Beide haben ihre Stärke in der Systemsicherheit, das wiederum geht aber wieder zulasten der Usability.
    MacOS ist Unix/BSD, dieser Unterbau ist in der heutigen Zeit eher schlecht geeignet um damit zu Windows aufschliessen zu können... ausser man rührt Jahre lang die Werbetrommel wie Apple, steckt Unmengen an Geld hinein damit auch ja alle Hersteller MacOS supporten und sichert sich somit die Funkionalität, mit den heutigen Gegebenheiten.
    Das btw. fehlt Linux, da es ohne Milliarden an Geldern da steht und im Grunde auch garnicht will. Ohne großflächigen Support der größten Hard/Softwarehersteller, wird es nunmal nichts mit Erfolg auf dem Desktop. Auch wenn das Ziel nobel ist und man bis heute viel aus dem Nichts erreicht hat, reicht das nunmal nicht wenn die Welt von properitärem beherrscht wird, was im Konflikt mit freier Software steht.



    2 mal bearbeitet, zuletzt am 02.02.13 15:11 durch posix.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor dirkSchaefer 02.02.13 - 20:43

    posix, ich muss dir leider gewaltig widersprechen.

    In Bezug auf Systemaufbau bzw. -architektur bei MacOS und Linux behälst du natürlich recht. Die Frage: Was hilfst das - und ich glaube darauf wollte der Fragesteller hinaus.

    1. Als gewöhnlicher Benutzer hab ich *nix-System keine Administrationsrechte. Sehr wohl habe ich (als Otto-Normal-Benutzer) die Rechte auf meine Dateien zuzugreifen. Ein gewöhnlicher Benutzer wird diese ähnlich wie bei Windows nicht extra schützen, d.h. er hat Vollzugriff auf seine Daten (kann Dokumente bearbeiten, neue Fotos hinzufügen oder alte Dateien löschen).

    2. Zugriff auf die meisten Libraries habe ich als Benutzer (indirekt über Programme) natürlich auch. Die Verschlüsselungs-API ist in *nix-Systemen nicht nur Administratoren vorbehalten.

    3. Zu guter Letzt kann der Benutzer beliebige Programme ausführen. Diese Programme werden mit denselben Rechten wie der Benutzer ausgeführt und haben schlussendlich nach (1) auch Vollzugriff auf die Daten.

    Angenommen, ein Programm oder der auszuführende Code wäre eine Ransomware. Diese Applikation hätte natürlich Vollzugriff auf die Daten - und könnte ähnlich wie bei Windows auf die Verschlüsselungs-API des Kernels bzw. von Userspace-Programmen zurückgreifen (oder notfalls wirds in der Applikation auch mitgeliefert). Ein ähnliches Szenario wäre ohne Probleme auf OS X oder Linux denkbar.

    Aber halt: Einen Vorteil haben die beiden Systeme, der Systemkern und die Systemprogramme konnten von der Ransomware nicht modifiziert werden. Ganz ehrlich? In dem Moment ist mir das bei meinem Privat-Rechner ziemlich egal. Das wertvollste Gut sind nun mal meine privaten Daten - ob ich das System hinterher neu installieren muss oder nicht, seis drum.

    P.S. Die Punkte 1 bis 3 lassen sich natürlich gewissermaßen einschränken, aber ist das realistisch bei den Standard-Installationen aller großen Distributoren und vor allem zum normalen Arbeiten zumutbar?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor nick75 02.02.13 - 22:47

    dirkSchaefer schrieb:


    > Angenommen, ein Programm oder der auszuführende Code wäre eine Ransomware.
    > Diese Applikation hätte natürlich Vollzugriff auf die Daten - und könnte
    > ähnlich wie bei Windows auf die Verschlüsselungs-API des Kernels bzw. von
    > Userspace-Programmen zurückgreifen (oder notfalls wirds in der Applikation
    > auch mitgeliefert). Ein ähnliches Szenario wäre ohne Probleme auf OS X oder
    > Linux denkbar.
    >
    > Aber halt: Einen Vorteil haben die beiden Systeme, der Systemkern und die
    > Systemprogramme konnten von der Ransomware nicht modifiziert werden. Ganz
    > ehrlich? In dem Moment ist mir das bei meinem Privat-Rechner ziemlich egal.
    > Das wertvollste Gut sind nun mal meine privaten Daten - ob ich das System
    > hinterher neu installieren muss oder nicht, seis drum.

    Also unter Windows ist das nicht anders, in der Theorie zumindest. Der Unterschied ist natürlich, dass auch "nicht-so-versierte-Benutzer" (a.k.a. DAUs ^^) beim heimischen PC mangels echtem Admin Administrator-Rechte haben bzw. haben können (Benutzerkontensteuerung sei Dank). Oder natürlich, dass für Windows aufgrund der Nachfrage mehr elevation-of-privilege-exploits angeboten werden.
    Windows wird eben bevorzugt, da es von den meisten "unbedarften Benutzern" verwendet wird. Ich denke einfach mal, einem Debian-User einleuchtend klarzumachen, dass er, Rechte vorausgesetzt, ein Programm mit sudo ausführen "muss" deutlich schwieriger ist als bei einem durchschnittlichen Windows-User :=)

    Und wenn "ich" (TM) unter Linux so um meine Daten besorgt bin, dann habe "ich" als Standard-Internet-User keine sudo Rechte und außerdem meine wirklich wichtigen Daten unter einem anderen Account (oder gar als root) gesichert. Wenn man will und kann geht alles, egal ob Windows, Linux, MacOS, BSD oder haste-nicht-gesehen :-)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor WolfgangS 02.02.13 - 23:56

    Schon das simple chpasswd was immer mit adminrechten auf eine Datei zugreift hatte mehrere exploits, die erlaubten ein System zu übernehmen. Das war was, was wir an der Uni damals ausprobierten. Sicherheit bei einem System ist ein reines Wunschdenken...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor posix 04.02.13 - 02:04

    dirkSchaefer schrieb:
    --------------------------------------------------------------------------------
    > posix, ich muss dir leider gewaltig widersprechen.
    >
    > In Bezug auf Systemaufbau bzw. -architektur bei MacOS und Linux behälst du
    > natürlich recht. Die Frage: Was hilfst das - und ich glaube darauf wollte
    > der Fragesteller hinaus.

    ;)

    > 1. Als gewöhnlicher Benutzer hab ich *nix-System keine
    > Administrationsrechte. Sehr wohl habe ich (als Otto-Normal-Benutzer) die
    > Rechte auf meine Dateien zuzugreifen. Ein gewöhnlicher Benutzer wird diese
    > ähnlich wie bei Windows nicht extra schützen, d.h. er hat Vollzugriff auf
    > seine Daten (kann Dokumente bearbeiten, neue Fotos hinzufügen oder alte
    > Dateien löschen).

    Was ich zu verstehen geben wollte war dass das wesentliche und wichtige an diesen Systemen, stets unberührt bleibt.
    Natürlich als Normal-Nutzer hat man seine Rechte um seine Daten zu verwalten, doch wie bereits geschrieben hast, auch dort gibt es Möglichkeiten das zu verbessern.

    > 2. Zugriff auf die meisten Libraries habe ich als Benutzer (indirekt über
    > Programme) natürlich auch. Die Verschlüsselungs-API ist in *nix-Systemen
    > nicht nur Administratoren vorbehalten.

    Nur ohne Root kann diese normal relativ wenig anrichten, sollte es wirklich einen Exploit geben womit man sich der API bemächtigen könnte. Und dazu kommt noch dass man unter Unix/Linux keine Software verwenden sollte die eine unkontrollierbare Schwachstelle darstellen könnte. Unter Linux ist für solche Fälle Sudo ein zwar kritisiertes jedoch auch sehr nützliches Konzept. Der Root Account ist generell deaktiviert und nur mittels Sudo über das Nutzer-PW erhält man zeitlich begrenzt Root Rechte, für nur die Funktion die man ausüben will zu diesem Zeitpunkt. Gibt es im übrigen für alle unixioden Systeme.

    > 3. Zu guter Letzt kann der Benutzer beliebige Programme ausführen. Diese
    > Programme werden mit denselben Rechten wie der Benutzer ausgeführt und
    > haben schlussendlich nach (1) auch Vollzugriff auf die Daten.

    Hierfür ist Mandatory Access Control nützlich, bspw. ist SELinux in der Hinsicht ein Begriff. Jedoch weit entfernt davon für Normal-Nutzer praktikabel zu sein. Das System wäre so paranoid einschränkbar, sodass wirklich nichts mehr geht auch wenn der Nutzer oder Programme mittels Root Rechten ihr Unwesen treiben.
    Nur wie gesagt alles standardmäßig nicht vorhanden, und schon garnicht nutzbar für Nutzer die sich mit soetwas nicht auseinander setzen würden.

    > Angenommen, ein Programm oder der auszuführende Code wäre eine Ransomware.
    > Diese Applikation hätte natürlich Vollzugriff auf die Daten - und könnte
    > ähnlich wie bei Windows auf die Verschlüsselungs-API des Kernels bzw. von
    > Userspace-Programmen zurückgreifen (oder notfalls wirds in der Applikation
    > auch mitgeliefert). Ein ähnliches Szenario wäre ohne Probleme auf OS X oder
    > Linux denkbar.

    Standardmäßig wäre das schon richtig, wenn es keine zusätzlichen Absicherungen gäbe:

    -Paketverwaltung (sich keine Fremdpakete installieren)
    -Codesignierung
    -Sudo
    -SELinux (im Kernel integriert, bei Bedarf nutzbar) bzw. es gibt auch manche Distris die es bereits mit vordefinierten Regeln aktiviert haben. Der Nutzer Root wird dadurch unter eine Übergeordnete Kontrolle gestellt, kann so in seiner Macht eingeschränkt werden einfach gesagt.

    Bspw. in MacOS gibt es ja auch Schutzmechanismen die es so in Unix an sich nicht gibt bzw. die man nachträglich eingebaut hat der Sicherheit wegen.

    > Aber halt: Einen Vorteil haben die beiden Systeme, der Systemkern und die
    > Systemprogramme konnten von der Ransomware nicht modifiziert werden. Ganz
    > ehrlich? In dem Moment ist mir das bei meinem Privat-Rechner ziemlich egal.
    > Das wertvollste Gut sind nun mal meine privaten Daten - ob ich das System
    > hinterher neu installieren muss oder nicht, seis drum.

    Ist schon richtig, grundsätzlich ist es schwer Sicherheit durchzusetzen und gleichzeitig dem Nutzer nicht jegliche Freiheit zu nehmen.
    Wer völlig sicher sein will muss quasi auf sowas wie OpenBSD zurückgreifen, nur das wird kein Spass werden damit zu arbeiten.
    Was die privaten Daten angeht da hilft nur ein Lösung die Adminrechte bzw. Root unter eine fein granulierte Kontrolle stellt, und da bleibt nur SELinux und vergleichbares. Nur ist es schlicht zu extrem und enorm aufwändig, auch für erfahrene Nutzer das einzurichten.
    Muss aber auch dazu sagen dass man wirklich bedeutende Daten stets auf einer externen Festplatte halten sollte, nie auf dem Host System. Entweder die externe nur anschliessen bei Bedarf oder wenn man die Daten stetig braucht sollte man diese mit einem Schreib/PW Schutz versehen.

    > P.S. Die Punkte 1 bis 3 lassen sich natürlich gewissermaßen einschränken,
    > aber ist das realistisch bei den Standard-Installationen aller großen
    > Distributoren und vor allem zum normalen Arbeiten zumutbar?

    Stimmt schon, doch realistisch wird es nicht sein. Man hat an Vista damals gesehen wie geweint wurde wegen einem "zu restriktiven" UAC.
    Das gibt auch nur die Rechte frei für bestimmte Ressourcen und ist auch nicht vergleichbar mit granulierter Kontrolle über Dateirechte.
    Aus der Hinsicht wissen die meisten garnicht wie weit Sicherheit gehen kann, und das dass in Vista noch garnichts war.
    Solange die Leute nicht begreifen dass sie für Sicherheit den geliebten Komfort opfern müssen, ebenso das ganze Klicki-Bunti Zeug,1 Klick Installationen und mehr... solange wird das nichts werden.
    Persönlich wäre ich ohnehin dafür einen PC-Führerschein einzuführen, wer einen PC besitzt hat sich auch mit diesem auseinanderzusetzen, und ebenso mit dessen Gefahren. Wer lernunwillig ist, bekommt keinen PC verkauft und somit hat die Internetgemeinde einen dummen weniger, der ohne nachzudenken an der Kiste sitzt. Klingt hart aber jeder muss daran mitarbeiten um Sicherheit zu schaffen.



    2 mal bearbeitet, zuletzt am 04.02.13 02:04 durch posix.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor WolfgangS 04.02.13 - 19:35

    posix schrieb:

    > Nur ohne Root kann diese normal relativ wenig anrichten, sollte es wirklich
    > einen Exploit geben womit man sich der API bemächtigen könnte. Und dazu
    > kommt noch dass man unter Unix/Linux keine Software verwenden sollte die
    > eine unkontrollierbare Schwachstelle darstellen könnte. Unter Linux ist für
    > solche Fälle Sudo ein zwar kritisiertes jedoch auch sehr nützliches
    > Konzept. Der Root Account ist generell deaktiviert und nur mittels Sudo
    > über das Nutzer-PW erhält man zeitlich begrenzt Root Rechte, für nur die
    > Funktion die man ausüben will zu diesem Zeitpunkt. Gibt es im übrigen für
    > alle unixioden Systeme.

    nö. es gibt die Möglichkeit, das Sachen wie /usr/bin/passwd mit höheren Rechten laufen, wie der Benutzer überhaupt zur Verfügung hat. Passenderweise gibt es da seit den 80ern in Unix immer mal wieder ne Lücke drin. (man suche einfach nach exploit). Genau die Programme die erhöhten Zugriff brauchen (z.b. um in eine /etc/passwd schreiben zu können), werden gerne für exploits genommen. (Such mal nach dem s-bit). sudo macht es lustigerweise nicht anders. Um zu prüfen ob der Benutzer berechtigt ist root-Rechte zu erlangen muss auf eine mit nur mit root-Rechten zugreifbare Datei zugegriffen werden... und da sieht man, an welcher Stelle der Hebel anzusetzen ist.

    Sudo ist für den Normalnutzer extrem nervend. Microsoft machte das bei Windoes ja mit Vista mit UAC auch - was zur Folge hatte, dass viele das für lästig hielten und/oder asbschalteten. Also auf die Art klappts mit Normalbenutzern nicht.

    > > 3. Zu guter Letzt kann der Benutzer beliebige Programme ausführen. Diese
    > > Programme werden mit denselben Rechten wie der Benutzer ausgeführt und
    > > haben schlussendlich nach (1) auch Vollzugriff auf die Daten.
    >
    > Hierfür ist Mandatory Access Control nützlich, bspw. ist SELinux in der
    > Hinsicht ein Begriff. Jedoch weit entfernt davon für Normal-Nutzer
    > praktikabel zu sein. Das System wäre so paranoid einschränkbar, sodass
    > wirklich nichts mehr geht auch wenn der Nutzer oder Programme mittels Root
    > Rechten ihr Unwesen treiben.
    > Nur wie gesagt alles standardmäßig nicht vorhanden, und schon garnicht
    > nutzbar für Nutzer die sich mit soetwas nicht auseinander setzen würden.

    MAC gibts auch unter Windows.. schon etwas länger...
    Das Bell-La Padula-Modell hat schon einige Schwachstellen, stammt von 73. Gleitende Klassen hatten wieder andere und spätestens mit trusted downgrade/upgrade vertraut man weider voll und ganz auf jemand vor dem Rechner...

    Die beiden Quellen geben recht gut an, warum sich das auf breiter Anwendung nicht durchsetzt J. Biskup, and H.H. Brüggemann. The personal model of data - towards a
    privacy oriented information system. In Proc. 5th Intl. Conf. Data Engineering,
    Los Angeles, IEEE Computer Society Press, pp. 348-355, 1989.

    D.F.C. Brewer, and M.J. Nash. The chinese wall security policy. In
    Proc. IEEE Symp. on Security and Privace, Oakland, California, pp. 206-
    214, 1988.

    > > Angenommen, ein Programm oder der auszuführende Code wäre eine
    > Ransomware.
    > > Diese Applikation hätte natürlich Vollzugriff auf die Daten - und könnte
    > > ähnlich wie bei Windows auf die Verschlüsselungs-API des Kernels bzw.
    > von
    > > Userspace-Programmen zurückgreifen (oder notfalls wirds in der
    > Applikation
    > > auch mitgeliefert). Ein ähnliches Szenario wäre ohne Probleme auf OS X
    > oder
    > > Linux denkbar.
    >
    > Standardmäßig wäre das schon richtig, wenn es keine zusätzlichen
    > Absicherungen gäbe:
    >
    > -Paketverwaltung (sich keine Fremdpakete installieren)
    Und z.B: das java Update erst später bekommen, während man noch alte Lückenversionen hat. Oder manche Updates so gut wie nie.
    > -Codesignierung
    ...
    > -Sudo
    Ist selber eine Lücke...
    > -SELinux (im Kernel integriert, bei Bedarf nutzbar) bzw. es gibt auch
    > manche Distris die es bereits mit vordefinierten Regeln aktiviert haben.
    > Der Nutzer Root wird dadurch unter eine Übergeordnete Kontrolle gestellt,
    > kann so in seiner Macht eingeschränkt werden einfach gesagt.
    >
    > Bspw. in MacOS gibt es ja auch Schutzmechanismen die es so in Unix an sich
    > nicht gibt bzw. die man nachträglich eingebaut hat der Sicherheit wegen.
    Eigentlich nicht.
    > > Aber halt: Einen Vorteil haben die beiden Systeme, der Systemkern und
    > die
    > > Systemprogramme konnten von der Ransomware nicht modifiziert werden.

    root exploits. Damit hat man da den Vorteil auch nicht.

    > Ganz
    > > ehrlich? In dem Moment ist mir das bei meinem Privat-Rechner ziemlich
    > egal.
    > > Das wertvollste Gut sind nun mal meine privaten Daten - ob ich das
    > System
    > > hinterher neu installieren muss oder nicht, seis drum.
    >
    > Ist schon richtig, grundsätzlich ist es schwer Sicherheit durchzusetzen und
    > gleichzeitig dem Nutzer nicht jegliche Freiheit zu nehmen.
    > Wer völlig sicher sein will muss quasi auf sowas wie OpenBSD zurückgreifen,
    > nur das wird kein Spass werden damit zu arbeiten.

    Auch da nur wenn der Nutzer sich einschränkt udn ständig aktualisiert.

    > Stimmt schon, doch realistisch wird es nicht sein. Man hat an Vista damals
    > gesehen wie geweint wurde wegen einem "zu restriktiven" UAC.
    > Das gibt auch nur die Rechte frei für bestimmte Ressourcen und ist auch
    > nicht vergleichbar mit granulierter Kontrolle über Dateirechte.

    Die Kontrolle über Dateirechte sind in Windows noch älter, nur es nutzt kaum jemand. (Klick mal mit rechts auf eine Datei...)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor k@rsten 04.02.13 - 22:45

    Sicherheit:

    Windows < Mac OS X < Linux

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor posix 06.02.13 - 03:56

    WolfgangS schrieb:
    --------------------------------------------------------------------------------
    > nö. es gibt die Möglichkeit, das Sachen wie /usr/bin/passwd mit höheren
    > Rechten laufen, wie der Benutzer überhaupt zur Verfügung hat.
    > Passenderweise gibt es da seit den 80ern in Unix immer mal wieder ne Lücke
    > drin. (man suche einfach nach exploit). Genau die Programme die erhöhten
    > Zugriff brauchen (z.b. um in eine /etc/passwd schreiben zu können), werden
    > gerne für exploits genommen. (Such mal nach dem s-bit). sudo macht es
    > lustigerweise nicht anders. Um zu prüfen ob der Benutzer berechtigt ist
    > root-Rechte zu erlangen muss auf eine mit nur mit root-Rechten zugreifbare
    > Datei zugegriffen werden... und da sieht man, an welcher Stelle der Hebel
    > anzusetzen ist.

    Wäre dies so einfach zu bewerkstelligen wäre es schon lange passiert, sitzen nicht weniger als Millionen daran inkl. echter Entwicker und Experten.
    Nur eine Frage der Zeit ob und wie Lösungen gefunden werden.

    > Sudo ist für den Normalnutzer extrem nervend. Microsoft machte das bei
    > Windows ja mit Vista mit UAC auch - was zur Folge hatte, dass viele das für
    > lästig hielten und/oder asbschalteten. Also auf die Art klappts mit
    > Normalbenutzern nicht.

    Nervend? Nö, kein bischen man muss sich lediglich damit arrangieren und wer das nicht kann soll eben weiterhin als Admin via Windows online gehen. Auch ist das normale Konzept von jeweils Root/User Account im Wechsel, akzeptabel wenn auch nicht so komfortabel wie Sudo.
    Nun was der User davon hält sollte in Punkto Sicherheit zweitrangig sein. Das Vista Konzept war gut und restriktiv, diese Heulsusen weltweit hätten sich mit der Zeit schon angepasst. Windows hätte als meist genutztes System die Macht gehabt Leute zum Umdenken zu bewegen, man hätte dies konsequent weiterführen sollen ohne locker zu lassen. In Win7 ist UAC schon garnicht mehr zu gebrauchen, ist nur noch mehr Schein als sein.

    > MAC gibts auch unter Windows.. schon etwas länger...
    > Das Bell-La Padula-Modell hat schon einige Schwachstellen, stammt von 73.
    > Gleitende Klassen hatten wieder andere und spätestens mit trusted
    > downgrade/upgrade vertraut man weider voll und ganz auf jemand vor dem
    > Rechner...
    >
    > Die beiden Quellen geben recht gut an, warum sich das auf breiter Anwendung
    > nicht durchsetzt J. Biskup, and H.H. Brüggemann. The personal model of data
    > - towards a
    > privacy oriented information system. In Proc. 5th Intl. Conf. Data
    > Engineering,
    > Los Angeles, IEEE Computer Society Press, pp. 348-355, 1989.
    >
    > D.F.C. Brewer, and M.J. Nash. The chinese wall security policy. In
    > Proc. IEEE Symp. on Security and Privace, Oakland, California, pp. 206-
    > 214, 1988.

    MAC unter Windows wäre undenkbar, MAC bedeutet schon ein restriktives System zu haben. Windows hingegen ist erfolgreich bei der Mehrheit weil nunmal immer alles lief ohne Einschränkungen, die Leute verlieren durch diese offene Haltung jeglichen Sinn für Sicherheit am PC.

    > > -Sudo
    > Ist selber eine Lücke...

    Man kann auch alles schwarz malen nicht wahr?

    > Eigentlich nicht.

    Informieren...
    SELinux verfügt wie beschrieben über diese Funkionalität, ist nicht grundlos direkter Bestandteil des Kernels und steht somit über allem anderen. Seit nicht all zu langer Zeit existieren auch zum ersten Mal voll kompatible GUIs um SELinux auf relativ angenehme Art und Weise zu konfigurieren.
    Somit sollten auch nicht Experten in der Lage sein ihr System abzusichern wie auch exakte Regeln zu erstellen, für einzelne Programme. Alle Daten die man hat kann man selbst vor Root schützen, sollte das erforderlich sein.
    Auch das über MacOS trifft zu, Apple hat über Jahre den BSD Unterbau enorm verändert und erweitert. Ohne diese Tweaks wäre MacOS garnicht nutzbar so wie das heute der Fall ist. BSD ist in der Grundform alles andere als das was man Nutzerfreundlich nennt, für heutige Verhältnisse.

    > root exploits. Damit hat man da den Vorteil auch nicht.

    Beantwortest und korrigierst du gerne selbst deine Aussagen? Sehr seltsam.
    Auch hier ein Root Exploit muss erstmal existieren, was allein schon schwer ist sowas auszunutzen. Es gab schon viele als kritisch markierte Lücken die im nachhinein im Nichts verloffen sind, da sie nur in Verbindung mit anderen Schwachstellen funktioniert hätten die es nicht gab.

    > Auch da nur wenn der Nutzer sich einschränkt udn ständig aktualisiert.

    Sagte ich bereits nur Einschränkung hilft.

    > Die Kontrolle über Dateirechte sind in Windows noch älter, nur es nutzt
    > kaum jemand. (Klick mal mit rechts auf eine Datei...)

    Nun UAC gibt nur das Recht auf Ressourcen frei dort findet keine Kontrolle einzelner Dateirechte statt, es geht stehts um übergeordnete Rechte auf eine Ressource zugreifen zu dürfen. Hätte man im übrigen auch anders machen sollen.
    Die Dateirechte via Rechtsklick sind nichts neues, aber seit Vista/7 äusserst idiotisch zu handhaben seit UAC die Hand über alles hält. Man hat nur eine Chance die Dateirechte fürs System selbst zu bestimmen, indem man UAC abschaltet.
    Kann auch nicht Sinn der Sache sein etwas nützliches komplizierter zu machen...



    1 mal bearbeitet, zuletzt am 06.02.13 03:57 durch posix.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor WolfgangS 06.02.13 - 09:11

    zu dem Schwachstellen nicht geben: Erkläre mal warum der meist gezackte Webserver Apache ist, warum selbst das Debian repository mindestens 2mal gehackt wurde (wurde ja von "Experten" und nicht von Normalnutzern eingerichtet und warum man Linuxbotnetze mieten kann... wenn das angeblich so sicher ist. 2011 wurde Kernel.org repository gehackt, 2012 wieder... Sicherheit unter Linux ist nur eine Illusion. Es gibt hunderte Beispiele für Hacks und Exploits, aber es interessiert niemand, sonst wäre ja das Sicherheitsmantra in Gefahr...

    P.s. Die Aussage zu UAC und Dateitechten ist quatsch, wenn ich heut Abend Zeit gab Erläuterung, sonst erst mal weiterarbeiten.



    1 mal bearbeitet, zuletzt am 06.02.13 09:16 durch WolfgangS.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor WolfgangS 06.02.13 - 09:23

    Noch ein p.s. bzgl deines Nutzernamens. Schafft Windows 100% Posix-Kompatibilität, so schafft es kaum eine Linuxdistri Posix- Kompatibel zu sein. Aber wie Papst Torvalds sagte: da gibt es gute - nicht näher genannte - Gründe für.



    1 mal bearbeitet, zuletzt am 06.02.13 09:25 durch WolfgangS.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: Mal eine Frage an die nicht Windows Nutzer....

    Autor posix 07.02.13 - 02:27

    WolfgangS schrieb:
    --------------------------------------------------------------------------------
    > zu dem Schwachstellen nicht geben: Erkläre mal warum der meist gezackte
    > Webserver Apache ist, warum selbst das Debian repository mindestens 2mal
    > gehackt wurde (wurde ja von "Experten" und nicht von Normalnutzern
    > eingerichtet und warum man Linuxbotnetze mieten kann... wenn das angeblich
    > so sicher ist. 2011 wurde Kernel.org repository gehackt, 2012 wieder...
    > Sicherheit unter Linux ist nur eine Illusion. Es gibt hunderte Beispiele
    > für Hacks und Exploits, aber es interessiert niemand, sonst wäre ja das
    > Sicherheitsmantra in Gefahr...
    >
    > P.s. Die Aussage zu UAC und Dateitechten ist quatsch, wenn ich heut Abend
    > Zeit gab Erläuterung, sonst erst mal weiterarbeiten.

    Die Sachlage ist hier relativ einfach, Apache ist nur ein Programm oder besser gesagt Teil jeder Distribution, die man so kennt. Somit ist Apache darauf angewiesen dass das System entsprechend abgesichert ist um die Serverfunkionen aufrecht zu erhalten.
    Ist dies nicht der Fall, werden Hacks möglich. Im übrigen sind die meisten Server relativ kostengünstig aufgesetzt, nicht überall besteht erhöhte Priorität sich eine Festung errichten zu müssen.
    Auch was das Kernel Repository betrifft nicht, dafür existieren rund um die Uhr Backups. Ein Hack ist allein aufgrund der strikten Regelungen sinnlos, selbst wenn dies erfolgreich gelungen ist. Selbst wenn von aussen Datensätze manipuliert werden, werden all diese Daten mit Backups überschrieben, und werden nicht im geringsten in Umlauf kommen.
    Was auch bereits erwähnt wurde ist die Sachlage zu der SELinux Erweiterung, die bisher kaum Anwendung fand überall aufgrund der Komplexität, und des enormen Aufwands der betrieben werden müsste um dies zu konfigurieren.
    Da sich das geändert hat mittels inzwischen weit fortgestrittener GUIs dafür, wäre es deutlich einfacher einen Apache Server entsprechend abzusichern, der nicht mehr fallen wird.
    Ein erfolgreicher Angriff setzt immer einen Root-Exploit vorraus, das ist das Problem.
    Wenn jedoch Root bei aktivem SELinux, nicht mehr die Kontrolle hat sieht die Sachlage völlig anders aus. Root kann dermaßen weit beschnitten werden dass nach wie vor die wichtigen Funktionen aufrechterhalten bleiben, jedoch nichts anderes erlaubt ist.
    Ist SELinux aktiviert und entsprechend eingerichtet für Webservices, dann ist ein Übergriff dieser auf das System nahezu unmöglich. SELinux isoliert alle Bereiche voneinander, sprich wird der Apache Dienst angegriffen mittels eines Exploits dann verläuft der Angriff im Nichts, da Root kurz gesagt dort nichts mehr zu melden hat.

    Das einzige Problem besteht immer darin es einzusetzen. SELinux wird in Fachkreisen nicht ohne Grund als "Overkill" bezeichnet, auch wenn es desöfteren als das beste Tool/Framework gehandelt wird um MACLs anzuwenden/zu implementieren. Es war bisher schlicht zu unrentabel, zu komplex es zu nutzen. Auch mit GUIs ist es nur etwas für absolute Profis die sich alleine nur um SELinux kümmern, und sonst um nichts.

    Genau deshalb weil diese Funktionalität im Kernel nicht "einfach" zu nutzen ist, darum ist Linux angreifbar. Die meisten verzichten lieber darauf als sich das anzutun.
    Keiner sagt Linux wäre unantastbar, doch wäre SELinux alltagstauglich für alle Bereiche dann wäre es das mit hoher Warscheinlichkeit.

    WolfgangS schrieb:
    --------------------------------------------------------------------------------
    > Noch ein p.s. bzgl deines Nutzernamens. Schafft Windows 100%
    > Posix-Kompatibilität, so schafft es kaum eine Linuxdistri Posix- Kompatibel
    > zu sein. Aber wie Papst Torvalds sagte: da gibt es gute - nicht näher
    > genannte - Gründe für.

    Der Name ist zwar unbedeutend aber gut. Wozu sollte Linux denn Posix-kompatibel sein, bzw. vollständig? Der Sinn eines anderen Systems besteht darin, Grundlegendes "anders" zu machen. Vorhandenes auf eigene Weise umzusetzen, auch wenn dies bedeutet von Standards abzuweichen.
    Offenbar wird es niemals verstanden werden dass Linux nie ein Ersatz für irgendetwas sein sollte. Es ist nur eine Alternative die im übrigen äusserst gut funkioniert "ohne" 100%ig Posix-kompatibel zu sein

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


IMHO: Microsoft kauft sich einen Markt mit Klötzchen
IMHO
Microsoft kauft sich einen Markt mit Klötzchen
  1. Minecraft Microsoft kauft Mojang
  2. Minecraft Microsoft will offenbar Mojang kaufen
  3. Minecraft New-Gen-Klötzchenwelt mit 1080p und 60 fps

Netflix-Start in Deutschland: Der Kampf um den Video-on-Demand-Markt
Netflix-Start in Deutschland
Der Kampf um den Video-on-Demand-Markt

DDR-Hackerfilm Zwei schräge Vögel: Mit Erotik und Kybernetik ins perfekte Chaos
DDR-Hackerfilm Zwei schräge Vögel
Mit Erotik und Kybernetik ins perfekte Chaos
  1. Miraisens Virtuelle Objekte werden ertastbar
  2. Autodesk Pteromys konstruiert Papiergleiter am Computer

  1. Apples iOS 8 im Test: Das mittelmäßigste Release aller Zeiten
    Apples iOS 8 im Test
    Das mittelmäßigste Release aller Zeiten

    Apple hat iOS 8 veröffentlicht. Auf den ersten Blick sind erstaunlich wenige Änderungen zu sehen. Die Integration von Mobilbetriebssystem und dem Rechnersystem sieht vielversprechend aus, allerdings befinden sich viele iOS-zu-OS-X-Verbindungen noch im Betastatus.

  2. Online-Handel: Bei externen Händlern mit Amazon-Konto einkaufen
    Online-Handel
    Bei externen Händlern mit Amazon-Konto einkaufen

    Das Online-Shoppen soll einfacher werden: Erste Online-Händler haben Amazons neue Zahlungsmöglichkeit in ihre Shops integriert. Kunden zahlen damit über ihr Amazon-Konto und müssen kein weiteres anlegen.

  3. Digitale Verwaltung 2020: E-Mail soll Briefe und Amtsbesuche ersetzen
    Digitale Verwaltung 2020
    E-Mail soll Briefe und Amtsbesuche ersetzen

    Die Bundesregierung hat das Programm Digitale Verwaltung 2020 und einen Aktionsplan zu Open Data beschlossen. Geplant sind unter anderem der flächendeckende Ausbau von De-Mail, der Online-Antrag für ein Führungszeugnis und die elektronische An- und Abmeldung von Autos.


  1. 19:24

  2. 18:28

  3. 18:24

  4. 16:11

  5. 15:56

  6. 15:06

  7. 14:29

  8. 14:19