-
Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: MüllerWilly 02.08.15 - 13:11
Wenn Sicherheitslücken in einem Fork über Jahre hinweg nicht geschlossen wurden, wie kann Linux dann sicher sein? Immerhin gibt es ja abertausende Forks von tausenden Projekten.
Und wie kann das in der Zukunft weiter gehen? Immerhin dürfte ab dem heutigen Tag jeder wissen, daß man in kleineren Forks die besten Sicherheitslücken findet. Wobei, man muss sie ja nichtmal finden, es reicht ja, wenn man Updatenews des Hauptprojektes mit denen des Forks vergleicht. Natürlich erreicht man damit nur die Computer des Forks, aber immerhin. -
Re: Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: toco 02.08.15 - 13:49
Natürlich kann man alle computer danach abklappern, welche sicherheitslücken in irgendwelchen bibliotheken sind und dann versuchen diese auszunutzen. oft ist dazu aber physischer zugriff auf den rechner notwendig, so dass die vorhandenen lücken theoretischer natur bleiben...
Linux wird dadurch sicher, dass die distributoren ja entscheiden die software in der die sicherheitslücken sind nicht mehr zu verwenden.
Un in letzter instanz ist der Anwender gefragt sich über die installierten und genutzten projekte zu informieren, ob man das risiko eingehen will. -
Re: Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: Moe479 02.08.15 - 16:34
ein server-linux hat i.d.r keine von beiden bibliotheken/pakete und deren vollständigen dependencies, das ist ja einer der enormen vorteile, dass man im gegensatz zu win oder mac nur das auf sein system brigen kann/muss, was man wirklich-wirklich-wirklich benötigt, und und nicht unnötigen und ggf. verbugten schlonz mitinstallieren muss.
3 mal bearbeitet, zuletzt am 02.08.15 16:38 durch Moe479. -
Re: Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: spiderbit 02.08.15 - 18:14
teilweise machen das auch die distros die haben dann eigene bugfixes, mit in ihren paketen diese senden sie den entwicklern zu und wenn die irgendwann das "upstream" ein bauen koennen sie den patch aus dem Paket entfernen, aber ja eine Sicherheitsluecke an sich sagt erstmal wenig aus, es ist die frage wie schwer ist die luecke. und wie wird die software eingesetzt.
wie schon gesagt, fuer viele Sachen braucht man nen benutzeraccount oder noch mehr.
Dann ists noch ne Frage der verbreitung, Linux hat schon wenig desktop user, wieviel haben dann noch so ein alternativen codec installiert.
das ist aber auch freiheit erstmal bekommst du funktionalitaet, die sicherheit kannst wenns dir wichtig ist zumindest bei kleinerer software selbst testen und dann auch selbst implementieren, und das das nicht nur theorie ist sondern sich das machen laesst hab ich gelernt seit ich emacs benutze.
Wenn man dann noch guix benutzt kommt man schon ziemlich weit, klar fang nicht an kodi zu hacken aber da leite ich die remote auch nicht ins internet weiter. der windowmanager den ich verwende ist in lisp geschrieben das kann man modifizieren ohne tagelang wo rum zu kompilieren, browser(zumindest das Backend) X und kernel muss ich halt vertrauen, wobei X auch nicht ins internet geleitet wird.
wobei auch beim windowmanager sicherheit keine rolle spielt gehts auch mehr um funktionalitaet.
finds eher erstaunlich das leute flash noch benutzen, auch wenn es jede woche 50 neue bugs hat, die kennen dann vielleicht nicht alle aber die geheimdienste und vielleicht auch ein paar wenige verschwiegene Verbrecher seit jahren. Selbst wenn die bugs nicht ueber jahre hinweg bekannt und ungefixt sind, sind sie einfach durch die verbreitung der software viel fataler, man kann rootkits damit bauen die alle desktop rechner egal welches os hacken, ausserdem ist es per se schon ein rootkit da adobe da backdoors rein packen kann wie sie lustig sind oder per update service an zielrechner senden kann.
Das ist dann ganz proprietaer und ganz unsicher. (gleichzeitig auch noch instabil) -
Re: Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: gelöscht 03.08.15 - 08:35
wie, was? was hat das denn mit linux zu tun? es geht hier um eine software im userspace, da kann doch der kernel nix dafür? mal davon ab, dass es libav auch für windows gibt/gab.
-
Re: Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: gadthrawn 03.08.15 - 08:39
MüllerWilly schrieb:
--------------------------------------------------------------------------------
> Wenn Sicherheitslücken in einem Fork über Jahre hinweg nicht geschlossen
> wurden, wie kann Linux dann sicher sein? Immerhin gibt es ja abertausende
> Forks von tausenden Projekten.
Ist es nicht lustiger, dass man Leute wieder zurück in ein Projekt holen will, die gezeigt haben, dass Ihnen Bugfixing egal ist?
Und zu Sicherheit: Zufallszahlengenerator von Linux der auch Grundlage für Verschlüsselung ist, ist doch nur sicher, weil Torvalds das sagt. -
Re: Sicherheitslücken im Fork über Jahre hinweg nicht geschlossen
Autor: spiderbit 03.08.15 - 13:34
naja so einfach ist das nicht es gab mal anschuldigungen das die nasa einen teil der basis die auch in linux genutzt wird da man zufall nunmal immer aus irgendwelcher basis berechnen kann, da der computer selbst nicht von sich aus zufall generieren kann.
Das mag auch so sein das dieser Teil der Basis manipuliert ist, nun wurde aber als Antwort darauf erleutert das dies eben nur ein teil ist der als basis genommen wird, das wurde dann von den panischen Kritikern auch bestaetigt das sie sich da geirrt haben und Linus recht hat.
Wie genau das in Linux machbar ist ist schwer zu sagen, persoenlich kenn ich das man random die systemzeit in Milisekunder vor wirft wo der angreifer dann die genaue ausfuerzeit erraten muss, mauszeigerbewegungen kenn ich noch, gerade in einem Multitaskingsystem koennte ich mri auch vorstellen das man die zeit misst die bestimmte algorytmen dauern bis sie alle ausgfuehrt sind, das genau vorherzusagen bei einem modernen desktop system mit 100 aktiven prozessen stellt sich mir auch schwer bis unmoeglich vor.
Letztendlich sind aber mehrere inputwerte zum eine gleich verteilte ergebniszufallszahl zu berechnen immer besser, daher kann ein eingestreuter vorhersegbarer Wert als Basis nicht wirklich die sichere nicht vorhersehbare endsumme komprimentieren.
Was dagegen eher ein Problem ist, ob die zahl die ja dann im speicher drin ist nicht ausgelesen werden kann z.B. vom bios oder bei Smartphone vom Modem-os und das dieses z.B. wo hin sendet.
Aber dafuer kann dann Linux nix. Und ja ich schaue daher auch verstaerkt nach alternativen wie Librem und sehe bis dato alle meine Systeme nicht wirklich als sicher an.
Librem oder gute AMD Systeme koennten mittelfristig die Loesung sein. Smartphones sollte man als wanzen betrachten, aber all das ist eber ein Problem der blobs und anderen Firmwares Oses in heutiger Hardware und nicht ein Problem von Linux selbst.



