Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shellshock: Immer mehr Lücken in Bash

oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: McFly 28.09.14 - 09:48

    Ich gerate mit Leuten immer aneinander wenn wir über OpenSource sprechen und dabei immer die Leute der Meinung sind das OpenSource Automatisch von Natur aus sicherer sei, da es immer irgendjemandem auffallen würde, wenn Schadcode in Applikationen enthalten wären. Und Linux ja sowieso, immer sicherer sei wie andere Betriebssysteme. Ich war schon IMMER der Auffassung, das sich niemand die Zeit nimmt (es sei denn er wird exakt hier für angesetzt), sich in irgendeinem Code widmet und darin durchwühlt, zwecks irgendwelcher Fehler oder Backdoors, oder was auch immer.

    Klar wird hier der eine oder andere wie in der Wissenschaft Entdeckungen per Zufall machen, aber eben nicht 24/7. Die Tatsache das sich jeder an diesem Code zu schaffen machen kann, verbessert die Situation nicht unbedingt ins positive. Der Beweiß? Man lese diesen Beitrag und achte auf die Nummer 20.

    Ich habe mal letztens in einer Linux Runde, einen BigBang gezündet, es ging um die Diskussion dass insgesamt gesehen die Hacks auf Webseiten, Datenklau, Schnüffeln und so weiter zugenommen hätten. Ich habe dann in die Runde geworfen "habt Ihr mal betrachtet welche Betriebssysteme das jedes mal sind?" "ist euch aufgefallen dass dieses seit der stetigen Zuname der Vergabe von zusätzlichen IPv6-Adressen auf den NIC's, exponentiell zugenommen hat?"

    Ohhhh Boy, die Hintergrundstrahlen dieser Zündung wird den echten Strahlen ziemlich gleich kommen. Die waren von 0 auf 100 in 0,nix. Ich hab dann weiter nichts mehr gesagt und zugeschaut.



    2 mal bearbeitet, zuletzt am 28.09.14 09:58 durch McFly.

  2. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: Anonymer Nutzer 28.09.14 - 10:15

    Kein Mensch schaut sich den Quellcode unbezahlt in seiner Freizeit an. Die Theorie es sei sicher, da jedem die Sources zur Verfügung stehen, ist schlichtweg Blödsinn.
    Was die Linuxer auch nicht kapieren, ist die Tatsache, dass kein Unternehmen jemals freiwillig dafür Geld ausgeben wird den Code überprüfen zu lassen.

    Einzig in der organisierten Kriminalität hat man das Geld, um Entwickler zu bezahlen, die dann explizit nach Sicherheitslücken suchen sollen, die man eben zur Internetkriminalität nutzen kann.

  3. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: gboos 28.09.14 - 10:32

    McFly schrieb:
    --------------------------------------------------------------------------------
    > Die Tatsache das sich jeder an diesem Code zu schaffen machen kann, verbessert die Situation nicht unbedingt ins positive.
    >
    > ..... es ging um die Diskussion dass insgesamt gesehen die Hacks auf Webseiten,
    > Datenklau, Schnüffeln und so weiter zugenommen hätten. Ich habe dann in die
    > Runde geworfen "habt Ihr mal betrachtet welche Betriebssysteme das jedes
    > mal sind?"

    Ich glaube ja fast Du hast da einiges in der Linux-Welt nicht verstanden.

    Kann sich doch jeder am Code zu schaffen machen, solange Du nur aus bestimmten Quellen Deine Programme installierst. Wo ist das Problem ? Wenn jemand sich nicht an dem Code zuschaffen machen kann, kann auch keiner einen Bug entdecken.

    Wenn Du einen Server wegen Apache-Problemen angreifst, ist es nicht automatisch ein Betriebssystem-(LINUX)-Problem. Genauso mit PHP. Genauso mit Wordpress. Genauso mit .... unendliche Schleife. Wenn es nunmal kaum noch WinServer etc gibt, dann werden sie wohl auch weniger angegriffen und keiner muss mehr drueber reden.

    VG Mike

  4. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: bstea 28.09.14 - 10:51

    Wenn Apache überwiegend auf Linux Gurken läuft und von Bezahlfirmen vertrieben wird, kann man erwarten, dass die den Code vertrauen, der da läuft.
    Und mal ehrlich wieviel MacOS Büchsen werden als Server betrieben und stellen ein Risiko für uns dar?
    Wie auch bei OpenSSL ist das mir ein Rätsel wie so elementare Software einsetzt wenn man mit weniger bloatigen besser fahren könnte.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  5. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: twothe 28.09.14 - 10:55

    Erinnert mich daran wie wir mal zum Spaß den Apache durch ne Static Code Analysis gejagt haben. Danach haben wir auf nen anderen Server umgeschwenkt, da haben sich einem ja die Fußnägel aufgerollt bei den Bugs.

  6. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: smurfy 28.09.14 - 11:22

    ronlol schrieb:
    --------------------------------------------------------------------------------

    > Was die Linuxer auch nicht kapieren, ist die Tatsache, dass kein
    > Unternehmen jemals freiwillig dafür Geld ausgeben wird den Code überprüfen
    > zu lassen.
    >
    > Einzig in der organisierten Kriminalität hat man das Geld, um Entwickler zu
    > bezahlen, die dann explizit nach Sicherheitslücken suchen sollen, die man
    > eben zur Internetkriminalität nutzen kann.

    Das ist Unsinn. Alleine der Umstand dass Microsoft sich mit Geld an einem Sicherheits-Audit von u.a. OpenSSL beteiligt, zeigt das du mit deiner Behauptung falsch liegst. Und es gibt etliche weitere Firmen die Geld dazu ausgeben, und zwar nicht nur für OpenSSL.

  7. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: pythoneer 28.09.14 - 11:35

    Wenn ich Apache auf ein Windowssystem installiere, wird dann Windows auf einmal scheiße und ist es die Schuld von Windows, dass da jetzt Apache drauf läuft? Was sind denn das für dämliche Argumente?

  8. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: smurfy 28.09.14 - 11:44

    Und welchen Server verwendet ihr dann und wie war der Test dort?
    Auf diese Frage hin wolltest du übrigens das letzte mal schon nicht antworten...[forum.golem.de].
    Vielleicht wärst du ja dieses mal so Nett.

  9. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: Wander 28.09.14 - 11:53

    ronlol schrieb:
    --------------------------------------------------------------------------------
    > Kein Mensch schaut sich den Quellcode unbezahlt in seiner Freizeit an. Die
    > Theorie es sei sicher, da jedem die Sources zur Verfügung stehen, ist
    > schlichtweg Blödsinn.

    Ich schaue mir von zwei freien Software-Projekten eigentlich jeden Commit unbezahlt an, hinzu kommen ein paar weitere bei denen ich nur die Entwicklung einiger Teilbereiche verfolge und natuerlich lese ich wegen Recherchen, Weiterbildung, udgl. auch vielen fremden Code unterschiedlichster Projekte. Wenn ich dabei auf Fehler stoße (wie schon oft geschehen) werden sie entweder von mir gemeldet oder selbst behoben wenn ich mich dazu imstande sehe.

    Somit sehe ich deine Behauptung als widerlegt an.

    > Was die Linuxer auch nicht kapieren, ist die Tatsache, dass kein
    > Unternehmen jemals freiwillig dafür Geld ausgeben wird den Code überprüfen
    > zu lassen.

    Hast du die Reaktionen of den OpenSSL-Bug nicht mitbekommen? Dort sind innerhalb kuerzester Zeit mehrere Millionen Dollar fuer einen Audit zusammengekommen, Geldgeber waren u.A.: Microsoft, Intel, Google, Amazon, IBM, Cisco.

    > Einzig in der organisierten Kriminalität hat man das Geld, um Entwickler zu
    > bezahlen, die dann explizit nach Sicherheitslücken suchen sollen, die man
    > eben zur Internetkriminalität nutzen kann.

    Auch diese Behauptung sehe ich in Hinblick auf z.B. den erwaehnten OpenSSL-Audit als widerlegt an.

  10. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: bstea 28.09.14 - 11:58

    Es gibt auch soviele Apache Server mit Windows hier draußen. Glaubst du den Mist den du hier verzapfst wirklich?

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  11. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: pythoneer 28.09.14 - 12:08

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Es gibt auch soviele Apache Server mit Windows hier draußen.

    Wer hat das behauptet?

    > Glaubst du den Mist den du hier verzapfst wirklich?

    Von was redest du? Ist das überhaupt eine Antwort auf meine Frage? Ich sehe da nämlich keinen Zusammenhang, außer in der Baumansicht, vielleicht hast du dich einfach verklickt – Eine sinnvolle Antwort auf meine Frage ist das nämlich nicht.

  12. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: twothe 28.09.14 - 12:08

    smurfy schrieb:
    --------------------------------------------------------------------------------
    > Und welchen Server verwendet ihr dann und wie war der Test dort?
    > Vielleicht wärst du ja dieses mal so Nett.

    Wir haben für unser Projekt nach ausführlichen Tests tatsächlich einen eigenen (sehr simplen) HTTP Server in Qt geschrieben. Da wir nur statische Bilder ausgeliefert haben, war das völlig ausreichend, und dank einem non-blocking IO Konzept mit background-executoren (nach Java Vorbild) war das Ding nicht nur sicher, sondern auch rasend schnell. Leider hilft dir das vermutlich wenig, daher hatte ich das letzte mal nicht geantwortet. ;)

    Ich hab nicht mehr alle Apache Bugs im Kopf, ist ja auch schon ein paar Jahre her, aber was noch in Erinnerung geblieben ist war die hohe Anzahl an Thread-Lock issues, die auch nach manueller Prüfung tatsächlich existieren (existierten?), was ziemlich eindeutig ausnutzbar war um mindestens den Server in einen deadlock zu bringen. Mal abgesehen davon, dass das threading System in Apache mal mehr als outdated ist.

  13. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: smurfy 28.09.14 - 12:59

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Wir haben für unser Projekt nach ausführlichen Tests tatsächlich einen
    > eigenen (sehr simplen) HTTP Server in Qt geschrieben. Da wir nur statische
    > Bilder ausgeliefert haben, war das völlig ausreichend, und dank einem
    > non-blocking IO Konzept mit background-executoren (nach Java Vorbild) war
    > das Ding nicht nur sicher, sondern auch rasend schnell. Leider hilft dir
    > das vermutlich wenig, daher hatte ich das letzte mal nicht geantwortet. ;)

    Einen eigenen HTTP-Server zu schreiben mag für eurer Projekt Sinnvoll gewesen sein, wenn es wirklich nur zur Auslieferung von Dateien/Bildern dienen soll. Sobald es aber komplexer wird, müsst auch ihr zu einem der etablierten System greifen, da sich sonst die Entwicklungskosten für eure Projekte sicherlich nicht rechnen, mal von der Entwicklungszeit und der Sicherheit ganz abgesehen. Und auf welchen würdet ihr da zurückgreifen?

    > Ich hab nicht mehr alle Apache Bugs im Kopf, ist ja auch schon ein paar
    > Jahre her, aber was noch in Erinnerung geblieben ist war die hohe Anzahl an
    > Thread-Lock issues, die auch nach manueller Prüfung tatsächlich existieren
    > (existierten?), was ziemlich eindeutig ausnutzbar war um mindestens den
    > Server in einen deadlock zu bringen. Mal abgesehen davon, dass das
    > threading System in Apache mal mehr als outdated ist.

    Bei der hohen Verbreitung von Apache müssten all die Fehler aber doch schon längst ausgenutzt werden. Ich bin seit 9 Jahren als Web-Entwickler tätig (hauptsächlich JEE, aber auch PHP), und habe im laufe der Zeit bis auf den IIS alle gängigen Server kennengelernt. Mir sind beim Apache aber nur wenige Probleme untergekommen. Wenn Sicherheitslücken ausgenutzt werden, dann sind es in den meisten Fällen die darauf laufenden Anwendungen (PHP, SQL-Injection, XSS) oder schlecht konfigurierte Server. Und um erkennen zu können ob und wie die Systeme der Kunden angegriffen werden, haben wir von Tripwire bis Snort so einiges eingesetzt. Es ist natürlich auch möglich dass wir die Angriffe auf Apache selbst einfach nur nicht erkannt haben, das will ich nicht auschließen. Die Probleme mit Apache selbst sind aber über die Jahre überschaubar gewesen. Apache ist nicht der schnellste, bietet aber doch die meiste funktionalität.



    1 mal bearbeitet, zuletzt am 28.09.14 13:04 durch smurfy.

  14. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: twothe 28.09.14 - 13:36

    Es gab letztens erst einen schwerwiegenden Apache Fehler in der Stable Version die seit gefühlt einem Jahrhundert verwendet wird. Es hatte wohl bis dahin nur niemand geguckt. Genau so wie bei Bash.

    Ich weiß nicht welchen Server ich verwenden würde, wenn ich müsste, da es so weit bisher nicht gekommen ist. Das Ergebnis unserer Analyse war nur, dass der Name Apache gleichzusetzen ist mit "Riesen Haufen Mist", denn auch andere größere Projekte sind bei der Codeanalyse mit unzähligen Fehler durch gerasselt. Mein persönlicher Rat ist daher um alles wo Apache drauf steht einen riesen Bogen zu machen, es kann nur besser werden.

  15. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: pythoneer 28.09.14 - 13:58

    Ich würde ja zu gerne mal euren Code sehen, um zu sehen wie man guten Code schreibt, aber der ist sicher nicht öffentlich verfügbar oder?

  16. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: Hege 28.09.14 - 19:01

    > einen eigenen (sehr simplen) HTTP Server in Qt geschrieben.

    Ähm, kurze frage. Ihr habt einen HTTP Server in Qt geschrieben? Meinst du damit jetzt die Bibliothek die man mit diversen Sprachen zum Programmieren von grafischen Benutzeroberflächen benutzen kann?

    Vielleicht bin ich einfach nur zu dämlich, aber kannst du mir erklären wie ihr das gemacht habt?
    Ich benutze für meine Python Programme Qt (PyQt) für die Oberfläche, aber wie kann man "in Qt" Programmieren?

    Kann mir das jemand sagen? Gibts eine Sprache die genauso heist? Meinst du vielleicht QML (obwohl ich nicht verstehe, wieso man einen Webserver in QML schreiben sollte)?

  17. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: furburlong 28.09.14 - 19:40

    McFly schrieb:
    --------------------------------------------------------------------------------
    > Ich war schon IMMER der
    > Auffassung, das sich niemand die Zeit nimmt (es sei denn er wird exakt hier
    > für angesetzt), sich in irgendeinem Code widmet und darin durchwühlt,
    > zwecks irgendwelcher Fehler oder Backdoors, oder was auch immer.

    Damit liegst du falsch. Natürlich gibt es Leute, die das hobbymäßig machen. Aber das heißt ja nicht automatisch, dass sie alles finden...



    1 mal bearbeitet, zuletzt am 28.09.14 19:42 durch furburlong.

  18. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: bstea 28.09.14 - 19:44

    QT ist ein Framework mit eigenen Sprachfeatures. Binding wie die zu Python nutzen davon nur die GUI Sachen.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  19. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: SelfEsteem 28.09.14 - 19:45

    McFly schrieb:
    --------------------------------------------------------------------------------
    > Ich gerate mit Leuten immer aneinander wenn wir über OpenSource sprechen
    > und dabei immer die Leute der Meinung sind das OpenSource Automatisch von
    > Natur aus sicherer sei, da es immer irgendjemandem auffallen würde, wenn
    > Schadcode in Applikationen enthalten wären. Und Linux ja sowieso, immer
    > sicherer sei wie andere Betriebssysteme. Ich war schon IMMER der
    > Auffassung, das sich niemand die Zeit nimmt (es sei denn er wird exakt hier
    > für angesetzt), sich in irgendeinem Code widmet und darin durchwühlt,
    > zwecks irgendwelcher Fehler oder Backdoors, oder was auch immer.
    >
    > Klar wird hier der eine oder andere wie in der Wissenschaft Entdeckungen
    > per Zufall machen, aber eben nicht 24/7. Die Tatsache das sich jeder an
    > diesem Code zu schaffen machen kann, verbessert die Situation nicht
    > unbedingt ins positive. Der Beweiß? Man lese diesen Beitrag und achte auf
    > die Nummer 20.
    >
    > Ich habe mal letztens in einer Linux Runde, einen BigBang gezündet, es ging
    > um die Diskussion dass insgesamt gesehen die Hacks auf Webseiten,
    > Datenklau, Schnüffeln und so weiter zugenommen hätten. Ich habe dann in die
    > Runde geworfen "habt Ihr mal betrachtet welche Betriebssysteme das jedes
    > mal sind?" "ist euch aufgefallen dass dieses seit der stetigen Zuname der
    > Vergabe von zusätzlichen IPv6-Adressen auf den NIC's, exponentiell
    > zugenommen hat?"
    >
    > Ohhhh Boy, die Hintergrundstrahlen dieser Zündung wird den echten Strahlen
    > ziemlich gleich kommen. Die waren von 0 auf 100 in 0,nix. Ich hab dann
    > weiter nichts mehr gesagt und zugeschaut.

    Du trollst also deine Freunde? Das sagt insgesamt mehr über dich als über deine Freunde aus ...

  20. Re: oohh man das gibt in meinem umfeld wieder Diskussionen, vorallem die Linuxer

    Autor: twothe 28.09.14 - 20:12

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Ich würde ja zu gerne mal euren Code sehen, um zu sehen wie man guten Code
    > schreibt, aber der ist sicher nicht öffentlich verfügbar oder?

    Ich weiß nicht ob das als Beispiel für guten Code taugt, aber zumindest ist die Static Code Analysis und die Praxis recht zufrieden. ;)
    Leider ist das als berufliche Arbeit Eigentum der Firma und damit nicht frei verfügbar.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Putzmeister Holding GmbH über KKC Berater Personalberatung, Aichtal
  2. Computacenter AG & Co. oHG, Erfurt, Kerpen
  3. Computacenter AG & Co. oHG, Erfurt
  4. Stromnetz Hamburg GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 3,74€
  3. 1,12€
  4. 4,19€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

  1. Elektroauto: Audi will E-Tron GT erst Ende 2020 bauen
    Elektroauto
    Audi will E-Tron GT erst Ende 2020 bauen

    Audi hat mit dem Bau einer Fabrik für seine erste große Elektroauto-Limousine E-Tron GT begonnen. Ab Ende 2020 soll das Auto im Werk Böllinger Höfe in Heilbronn entstehen. Es nutzt den Antriebsstrang des Porsche Taycan.

  2. Tracking: Google und Facebook tracken auch auf vielen Pornoseiten
    Tracking
    Google und Facebook tracken auch auf vielen Pornoseiten

    Forscher haben mehr als 22.000 Pornowebseiten auf Trackingdienste untersucht - und dort auch Google und Facebook gefunden. Diese geben jedoch an, die Daten nicht zu verwenden.

  3. Quartalsbericht: Microsofts Cloud-Geschäft steigert Rekordumsatz
    Quartalsbericht
    Microsofts Cloud-Geschäft steigert Rekordumsatz

    Microsoft hat in einem Quartal über 13,2 Milliarden US-Dollar Gewinn gemacht. Der Cloud-Bereich macht ein Drittel des Umsatzes aus.


  1. 07:55

  2. 07:30

  3. 22:38

  4. 17:40

  5. 17:09

  6. 16:30

  7. 16:10

  8. 15:45