Ist Debian oder Red Hat vertrauenswürdiger?

[bk]

Kann ich Debian als vertraunswürdig einstufen, obwohl keine Firma dahinter steht und es von Freiwilligen gemacht wird, die Trojaner einschleusen könnten? Ist Red Hat vertrauenswürdiger, weil diese Firma eine funktionierende QA Abteilung hat, die Trojaner entdeckt? Bitte keinen Flamewar, sondern nur objektive Argumente.
Gruß
bk

[thorsten]

Hallo,
IMHO ist in dieser Hinsicht Debian vertrauenswürdiger, da es doch wesentlich schwieriger ist, in einer Software die von hunderten Entwicklern programmiert, getestet und der Quellcode durchgesehen wird, einen Trojaner oder ähnliches zu Verstecken. Und eine Art "Verschwörung", also das jeder seine Klappe hält über solchen Code, ist auch rel. unwahrscheinlich.

Dies alles ist bei einer Firma meiner Meinung nach wesentlich einfacher zu Verwirklichen, wenn sich hier ein MA gegen die Einschleusung eines Trojaner o.Ä. "wehren" würde droht im ja schliesslich der Verlust seines Arbeitsplatzes. Auch dies ist bei Debian nicht gegeben, da die Mitarbeit freiwillig und entgelglos ist, so das eig. keiner der Entwickler einen Nutzen vom Verschweigen eines solchen Codes hätte.

Gruß

Thorsten

[bk]

Ich dachte, dass bei Red Hat ein Trojaner eher entdeckt wird, weil es hier eine QA Abteilung gibt, die sich um das komplette System kümmern muss. Ich kann mir nicht vorstellen, dass bei Debian wirklich jede Zeile Code gegengelesen wird. Bei Debian kann doch eigentlich jeder Maintainer für ein Paket werden und hat so die volle Kontrolle darüber, wenn es nicht zufällig von jemandem überprüft wird. Wie ist das eigentlich mit den Binaries? Werden die auf einem zentralen Server automatisch erstellt, sodass niemand anderen Quellcode kompilieren kann, als der in den Quellpaketen steht?
Gruß
bk

[trinity]

Du kannst IMHO weder Red Hat vertrauen, noch Debian. Warum auch?
Du kannst nicht sicher sein, dass die bei dir installierten binaries auch den Quellen entsprechen. Zweitens besteht ja die Möglichkeit, dass irgend jemand Code/Programme hinzufügt, die von niemandem kontrolliert werden.

Andererseits kann man sagen Red Hat würde so etwas nie machen, weil:
1) Das ihrem Ruf Schaden würde (und damit einhergehende Umsatz/Gewinn einbrüche)
2) Schadenersatzansprüche in Amerika sehr teuer werden.

Man könnte jetzt aber wieder anführem, dass eben dieser Amerikanische Firmensitz den dortigen Agency´s die Möglichkeit gibt direkten Einfluss auf die enthaltenen Pakete zu nehmen. Von dem "Security" updates mal ganz zu schweigen.

Du solltest dabei auch nicht vergessen, weder Red Hat, noch die Debian Maintainer kennen den kompletten Quelltext des Kernels und aller mitausgeliferten Programme.

Wenn du also Sicherheit willst, wird die nichts anderes übrigbleiben als bei allen von Dir eingesetzten Programmen (Kernel, ls, ...) den Quelltext zu checken.

PS: Wer sagt dir, dass der Laden in dem du dein angeblich originales Red Hat gekauft hast, nicht irgendwelche Manipulationen an selbiger vorgenommen hat?
PPS: verschweisste Packungen sind kein Beweis für eine Original Distribution.

[Stormbringer]

[ironie]
.. ups .... da lag also das Problem:
ein brühmt/berüchtigter RH Mitarbeiter "maintained" ja nun einmal gewisse Linuxkernels ... das <b>muß</b> die Sicherheitslücke sein ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
[/ironie]

Nichts für Ungut, aber die Frage forderte dies heraus <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Gruß

[bk]

Welche Gefahren bestehen, wenn ich die ISOs von einem Mirror herunterlade? Sind die md5sums ausreichend?
Muss ich mich wirklich vor den amerikanischen Agencies fürchten?
Habe ich die Möglichkeit, eine komplette Distribution selbst zu kompilieren?

Gruß
bk

[Bob Gomorrha]

Bei aller Höflichkeit und gebotenem Respekt, aber die Frage drängt sich mir wirklich auf: "Bist Du paranoid?"

[thorsten]

@ bk

> Welche Gefahren bestehen, wenn ich die ISOs von einem Mirror herunterlade? Sind die md5sums ausreichend?
Die ISO's auf dem Server könnten bereits verfälschte Pakete beinhalten, ausserdem könnte während der Datenübertragung über das Internet das Image verfälscht werden. Auch die MD5Sums, die du dir herunterlädst, können verfälscht sein, sowohl direkt auf dem Server als auch auf dem Weg zu dir.

> Muss ich mich wirklich vor den amerikanischen Agencies fürchten?
Ja.

> Habe ich die Möglichkeit, eine komplette Distribution selbst zu kompilieren?
Ja,(indem du deine eigene Distri entwickelst) allerdings musst du dann auch jedes Paket, dass du compilierst, dir quellcodemäßig anschauen, es verstehen und sichergehen, dass kein Trojaner oder ähnliches in diesem ist.

Gruß

Thorsten

[bk]

Gibt es einen realistischen Mittelweg, den ich als sicherheitsbewusster Linux Anwender (und nicht Entwickler, der den ganzen Code lesen kann) gehen kann? Wie versucht ihr, eine möglichst hohe Sicherheit zu erreichen?

Gruß
bk

[bethor]

Gruß,

bk, wirklich ein Kernproblem in heutiger Technologieabhängigkeit und keineswegs als paranoid zu bezeichnen (hey bob <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> ).

Es gibt schon seit einiger Zeit das LFS-Project, welches den Prozess der Erstellung eines kompletten Linux-Systems aus Quellcode darlegt.

Mein Tip, suche nach den "offiziellen" Entwicklerquellen (soweit bekannt). Sind public keys oder hashes vorhanden, prüfe sie auf Korrektheit. Schicke emails an die Autoren mit der nachdrücklichen Bitte auf Integration von Signaturen bei Fehlen dieser. Programmierer mit guten Intentionen und sauberem Code sind zumeist auch bereit auf solche Anfragen zu reagieren. Das bietet zwar keine Garantie ist aber allemal besser als Quell-Pakete ohne Signatur, denn sollte eine backdoor oder eine andere Systemanomalie im Code integiert sein, bekommt der Entwickler sicherlich Erklärungsnöte und erhält Mißkredit in der OS-Gemeinschaft. Zurück zur Erstellung des eigenen Linux. Erstellen kannst du dir dein System dann aus einem Live-Filesystem einer anerkannten Distribution bspw. SuSE. Dir und mir ist natürlich klar, das dieses ganze Bemühen um ein sicheres Basissystem steht und fällt mit der Vertrauenswürdigkeit der am Erstellungsprozeß beteiligten Quellen und Entwicklungstools wie gcc, den autotools, perl, yacc, etc. aber leider unvermeidbar, es sei denn du hast Zeit, Lust und Kompetenz dir in den nächsten zwei, drei Jahren auf einer artfremden Architektur per Cross-Compile ein eigenes Betriebssystem zu programmieren <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">. Alleine versteht sich!

Das Buch zum Erstellen eines linux aus Quellen findet sich unter

http://www.linuxfromscratch.org/view/cvs/

PS: Es ist bei einigen Paketen wirklich schwer, die "offizielle" Quelle zu finden und solltest du die Lust verlieren allen Quellen auf den Grund zu gehen, trößte dich, ich konnte meine eigens auferlegten Anforderungen auch nicht gerecht werden und einige Pakete sind vom ftp-Server des LFS benutzt worden. Wenn dir das alles dann doch zuviel erscheint dann schau dir mal OpenBSD an, vor allem die Philosophie die hinter dem Projekt steht. Aber sei gewarnt, OpenBSD bietet nicht alle Programme die du vielleicht von Linux und FreeBSD gewohnt bist. Das Augenmerk liegt auf der Verwendung als Server-System. Wenn du Lynx magst, ist OpenBSD aber sicher dein Freund...

[trinity]

@bethor
OpenBSD hat genau die gleichen Probleme im Hinblick auf Vertrauenswürdigkeit wie Linux.

[bethor]

Hallo Lutz,
prinzipiell jede Verwendung von Computer-System beruht auf Vertrauensbasis, OpenBSD kann da keine Ausnahme sein. Diesen Vorschuß an Vertrauen kann man durch Inforamtion und positives Feedback der Nutzer untermauern; nicht mehr und auch nicht weniger. Am Beispiel OpenBSD kann man das verdeutlichen. Eine der Kernpunkte von OpenBSD ist das Auditing aller systemkritischen Komponenten auf Sicherheitsrisiken. Und "Five years without a remote hole in the default install", ist zwar der Aufmacher der OpenBSD-Site, Leute anderer Betriebssysteme würden aber sicherlich liebend gern, diesen Slogan ad Absurdum führen. Entwickler und Projektleiter Theo de Raadt sagt sinngemäß, derjenige der es schafft OpenBSD in der Standard-Installation zu kompromittieren würde berühmt. Weiterhin zeichnet sich das Team um OpenBSD für die Entwicklung von OpenSSH verantwortlich, was weithin aus sicherheitstechnischer Sicht auf Anerkennung stößt. Ein dritter Punkt sind die Häufigkeiten von auftretenden Kompromittierungen. Defacements (z. B. attrition.org oder das ehemalige alldas.de) als ein kleiner Teil von Systemeinbrüchen dokumentiert, wo welche Betriebssysteme ihre Stärken haben.

Klar ist, dass es keine wirkliche Sicherheit gibt, nur man kann einiges tun um die Wahrscheinlichkeit der Anfälligkeit zu verringern. Sicherheit ist halt kein Zustand sondern ein Prozeß, für den bei dem einen oder anderen mehr oder weniger Aufwand betrieben wird.

Gruß