fragt man sich, warum die openSUSE-Leute immer so stolz auf ihre Firewall sind und das Fehlen derselbigen als großen Nachteil anderer Distributionen gegenüber openSUSE anprangern...
Tun sie das? Ist mir noch nicht aufgefallen. Iptables ist ja nun keine OpenSuse Erfindung, nunja die Leute vom Marketing müssen nicht zwangsweise vom Fach sein und reden tun die meistens mit den Experten auch nicht.
Was man OpenSuse aber zu gute halten muss ist, dass die Firewall schön restriktiv vorkonfiguriert ist. Wenn ich das richtig in Erinnerung habe war nur Port 22 freigeschaltet oder den musste man sogar noch während der Installation in Yast freischalten.
Ein ziemlich sinnfreier Kommentar. Denn um zu prüfen, ob openSuSE besser oder schlechter abgeschnitten hätte, hätte sie auch im Wettbewerb stehen müssen. Allein wegen der "Nichtteilnahme" darauf zu schließen, Ubuntu sei nun besser als openSuSE oder alle anderen nicht getesteten Distributionen, ist Unsinn.
Das ist nicht "schnurz", Distributionen sind nicht automatisch sicher weil sie auf dem gleichen Kernel beruhen. Falsch konfigurierte Demons, unnütz laufende Programme, veraltete Versionen und unsichere Eigenenentwicklungen können aus jedem Linux einen schweizer Käse machen. Zumal einige Distries von Haus aus Firewalls mitbringen, verschiedene Sicherheitskonzepte haben (Root User ja/nein, Sicherheitserweiterungen des Kernels...) usw.
Also wenn du wirklich glaubst es sei Sicherheitstechnisch egal welche Distrie du nutzt (hier geht es um den Originalzustand, nicht was man daraus machen kann) führst du einige User in die Irre.
(Ja, ich habe den Namen bemerkt, aber andere mögen es zu ernst nehmen und den schmu glauben)
Bei den Preisgeldern von 10000 bzw. 5000 hätte es sich durchaus auch ausgezahlt das Linux Notebook zu hacken. Nachdem das MacBook eh schon am 2. Tag vergeben war, hätte man die übrige Zeit auch nutzen können und sich nochmals 3-5 Airbooks dazu verdienen können.
Ich würde eher sagen, dass Linux diesmal verschont wurde. Zwar vertraue ich einer gereiften GNU/Linux Distribution mehr als Vista und MacOS X, aber es ist eigentlich mehr Zufall, dass Linux verschont wurde.
Man muss ja nicht gleich einen Tag nach dem Release, die neueste Version installieren. Außerdem dachte ich eher an Debian GNU/Linux, oder CentOS. Ein Ubuntu-LTS taugt sicher auch mehr als die gewöhnlichen Ubuntu-Releases.
In der Tat. Vielleicht waren da überwiegend Teilnehmer, die mehr Spaß am Knacken von Apple- und Windows- Büchsen haben.
Außerdem gibt es (in der legalen Welt der "Sicherheitsdienstleister") sicherlich mehr Leute, die sich mit Windows und Apple beschäftigen, weil da das Geld lockerer sitzt.
In der illegalen Welt der Spamversender und Identitätsklauer mag es da schon anders aussehen, aber solche Leute werden sicherlich nicht zu solchen Events fahren und da ihre Identität öffentlich machen.
Das sehe ich genau andersrum: Die armen Kerle! Da machen sie es sich einfach und müssen dann dieses seltsame unsichere System auch noch behalten.
Nun gut, sie können es ja zum Glück verkaufen oder Linux drauf installieren (vllt. zum Üben? ;)). Ansonsten helfen vllt. die 10k$ über diesen traurigen Gewinn hinweg?!
Zum Glück gibt es ja solche Wettbewerbe die der Beweis für die volle Sicherheit eines Betriebssystemes darstellen, aber was erwartet man auch von denjenigen, die den Gewinner vergöttern. Da heißt's dann wieder: War ja klar, hätt ich euch auch sagen können, etc ...
Von apfel schmeckt besser! am Mo, 31. März 2008 um 21:38 #
foto1 man beachte insbesondere den kommentar unter dem foto. und natrülich auch das foto selbst. zumindest die hardware scheint ja was zu taugen...
interessant ist warum die ganzen sicherheitsexperten das system bevorzugen, dass am schnellsten "geknackt" wurde. man werfe auch einen blick hierrauf: foto2 und natürlich die zeile oberhalb des bildes. um mal ehrlich zu sein: was hat safari mit os x und flash mit vista zu tun? sieht wohl so aus, als ob die sicherheitslücke eher ein programm sei.
Am 1. Tag wurden Lücken am System selbst angegriffen (TCP/IP Stack, ...), hier hätte es 20k$ gegeben, alle Systeme hielten stand. Am 2. Tag wurden Lücken in vorinstallierten Programmen angegriffen (Safari, IE, ...), hier fiel der Mac durch Safari, es gab 10k$. Am 3. Tag wurden Lücken in zusätzlich installierter Software angegriffen. Hier kam Vista mit Flash zu Fall. Es gab 5k$
Stimmt auch nicht, siehe: http://chaosradio.ccc.de/cre069.html http://chaosradio.ccc.de/24c3_m4v_2303.html http://events.ccc.de/congress/2007/Fahrplan/events/2303.en.html (hier das pdf zum video)
Das hat nichts zu sagen - für die "Open Group" gilt sogar Windows Vista als "UNIX"... Hauptsache, es findet sich jemand, der für den Namen zahlt - dafür werden dann auch schon mal die Bewertungskriterien geändert...
Naja, "ein UNIX zu sein" so wie es die Open Group durch ihre Rentenzahlung ausformuliert, heisst erstmal gar nichts... Wenn ich mir die UNIX-Derivate so anschauen, dann machen sehr viele Linux Distributionen eine deutlich bessere Falle... Die einen Unix-Systeme wie z.B. IBM AIX sind dermassen verbastelt, dass es jedem Unix oder Linux Admin graut, mit diesem auch nur ansatzweise arbeiten zu müssen... Einzige wirkliche Alternative zu einer Linux Distribution wäre höchsten noch Solaris...
"Mac OS X ist UNIX, weil es dem UNIX 03 Standard enstpricht. Außerdem ist Mac OS X voll POSIX-kompatibel. Linux entspricht nicht dem UNIX 03 Standard und Linux ist auch nicht vollständig POSIX-kompatibel. Linux ist proprietär, indem es sich stattdessen an einen eigenen Standard, die "Linux Standard Base", hält.!"
Mal wieder vollkommener Blödsinn... MacOS X ist hauptsächlich UNIX konform, weil Apple dafür bezahlt (wurde hier bereits mehrfach erwähnt). MacOS X ist hauptsächlich POSIX konform, weil Apple dafür bezahlt. Die dafür geforderten Spezifikationen einzuhalten ist bei gängigen Bloatsystemen kein Kunststück und wird somit auch von vielen Linuxdistributionen weitestgehend erfüllt. Linux ist nicht proprietär und hält sich nicht an die LSB. Tatsächlich hat die "Linux Standard Base" herzlich wenig mit Linux, also dem Kernel selbst zu tun. Das Hauptaugenmerk dieser Arbeitsgruppe liegt wie bei POSIX am drumherum, also den mitgelieferten Werkzeugen, Standardpfaden etcpp. Sich nicht an irgendwelche anderweitigen Standards zu halten macht ein Programm selbstverständlich nicht proprietär. Freie Software wie Linux kann der Definition nach als Antonym schlichtweg nicht proprietär sein. Aus juristischer Sicht wären gar eher Standards wie POSIX proprietär, reicht es nicht alleine aus sich an deren Vorgaben zu halten - es müssen für die geschützte Bezeichung gar Lizenzgebühren abgeführt werden. Um noch einmal auf die LSB zurückzukommen: Wie erwähnt betrifft diese in erster Linie nicht den Kernel, zudem aber halten sich glücklicherweise selbst nicht alle Linuxdistributionen an die teils mehr als engstirnigen und schlichtweg störenden Vorgaben der LSB.
Gerade den Ballast von übertriebenen Vorgaben der gängigen Standards loszuwerden ist ein unschätzbarer Vorteil von Linux und dem Distributionsprinzip.
Ich kann den anderen Kommentatoren nur zustimmen: Wenn überhaupt noch ein aktuelles UNIX ähnlich brauchbar ist wie Linux ist es Solaris. Den Rest will wirklich niemand mehr verwenden.
Momentmal.... Warum hat Flash unter Linux nicht die selbe Lücke? (oder haben die etwa ein 64bit Ubuntu genommen und Flash nicht installiert bekommen? )
Die Sicherheislücke kann z.B. im Betriebssystem abhängigen Code liegen. Es kann sein dass es diesen Bug auch unter Linux gibt, aber dieser unter Linux nicht dazu führt dass man aus der Sandbox ausbrechen kann. ...
Möglichkeiten gibt es viele, wenn der Bug veröffentlicht wird, werden wir es wissen.
Vista wurde gehackt, weil Flash darauf lief. Das sollte auch Linuxnutzern schwer zu denken geben.
Debian hat ja vor kurzem die Notbremse gezogen und Flash aus Etch herausgeworfen: http://www.debian.org/News/2008/20080217 Unter "Wichtige Änderungen" steht hier u.a.: "Flashplugin-nonfree wurde entfernt (...), da wir hierzu keine Quellen haben und keine Sicherheitsunterstützung bekommen. Aus Sicherheitsgründen empfehlen wir Ihnen, sofort jede Version von Flashplugin-nonfree und alle verbleibenen Dateien des Flash-Players von Adobe zu entfernen. (...)"
Das hätte der Vista-Installateur einmal vor dem Hackerwettbewerb lesen sollen ... :-) So schnell kann's gehen.
Bei Ubuntu ist out of the box keine remote-login Technik eingeschaltet. SSH läuft nicht als Daemon, FTP und SAMBA müssen auch erst eingerichtet werden. Wie sollte man also ein Ubuntu via Netzwerk cracken? Oder war auch erlaubt, sich vor dem Opfer hinzusetzen und mit Fehlbedienung von Browser oder sonstwelchen Progs Root zu werden?
> Am ersten Tag des Wettbewerbs war den Teilnehmern nur der Angriff über das Netzwerk auf das Betriebssystem an sich möglich.
Das ist nicht sehr konkret, oder? Das heisst eigentlich nur, dass die Rechner irgendwie an ein LAN angeschlossen waren - und dann? Telnet? FTP? oder was?
> gaaaaanz langsam;)
Kannst Du einem debilen Zombie wie mir vielleicht die Stelle im Artikel zeigen, an der steht, was für Zugang die Angreifer konkret zu den Zielrechnern hatten?
Den Leuten wurde am letzten Tag freigestellt, über welche Anwendung sie einbrechen, d.h also irgenteine populäre Anwendung von Drittherstellern. Welche genau das waren wird doch erst nachdem die OS/Programm Entwickler informiert wurden, veröffentlicht. Also geduldig sein. Das wissen halt nur die, die dabei waren. Deswegen ist die Frage doch eher überfällig gewesen...
> Bei Ubuntu ist out of the box keine remote-login Technik eingeschaltet.
Also der TCP/IP-Stack ist schon komplex genug, um darin Fehler zu vermuten. Sowas wie ein "Ping of Death" schlummert vielleicht immer noch in manch einem System.
Es bedarf nicht immer einer kaputten FTP-Implementierung, um in einen Rechner einzubrechen. Auch die Schichten darunter sind nur Software...
> Sowas wie ein "Ping of Death" schlummert vielleicht immer noch...
OK - aber ein Ping of Death ist simples Denial of service - man kann eigentlich nicht sagen, dass jemand ein Schiff gekapert hat, wenn er es nur versenkt hat.
Worauf ich hinaus will: kann der Nutzer sich vor echter in Besitznahme durch einen entfernten Angreifer absichern, indem er/sie auf einen Dienst für remote login verzichtet oder liefert der beschriebene Test Hinweise darauf, dass man ein Unxoides Betriebsystem wie MacOSX auch zum Beispiel durch manipulierte Flash-Filmchen via Browser cracken kann....
gehört schon - aber immer nur in Form von schwammigem Verschwörergeblaber, aus dem nicht hervorgeht, wie das praktisch abläuft. Ich mache im Nebel folgende schemenhafte Fakten aus:
Ping schickt statt harmloser ICMP-Pakete manipulierte Daten, die zunächst den Speicherbereich, in dem Ping arbeitet, überlaufen lässt. Laut:
http://de.wikipedia.org/wiki/Ping_of_Death
bewirkt das aber nur, dass der angegriffene Rechner abstürzt (nicht schön, aber nicht das gleiche wie eine Übernahme).
Nun kann ich mir vorstellen, dass man mit Ping auch Pakete schicken kann, die Maschinencode enthalten, der dann beim Überlaufen Speicherbereiche erreicht, in denen das System den Code (zum Beispiel als Remoteshell) ausführt - und? Richtig geraten?
>>schonmal was davon gehört das man mit einer DoS attacke auch unvorhergesehenen code ausführen kann mit einem buffer overflow over ähnlichem?
*LOL* Wie der Name Denial of Service schon sagt, geht es darum lediglich den Server daran zu hindern seine Arbeit zu verrichten. Sobald man code ausführen kann, ist das kein DoS mehr sondern ein remote root exploit etc.
Also nicht so viel Blabla sondern nochmal die Grundlagen lernen.
Von romantic gorilla am Mo, 31. März 2008 um 19:36 #
> konnte durch eine Lücke in Apples Browser Safari das MacBook Air und 10.000 Dollar gewinnen. [...] > erfolgreichen Angriff auf Windows nutzen, der dem Team zusätzlich zum Fujitsu-Laptop 5.000 Dollar einbrachte.
dann haben die trolle also recht: mit linux kann man kein geld verdienen
Das größte Sicherheitsloch ist immer noch der user - und sicher kann man jedes System machen - auch Windows mit ein bisserl gutem Willen und Verstand. Was macht denn eigentlich euer BIOS - habt ihr da den Quellcode ?
Nur das Linux-System blieb unangetastet - wie sich nun zeigt, ist das sogar wörtlich zu nehmen. Denn es gab einfach keinen Versuch, das Sony-Notebook mit Ubuntu zu hacken.
...welches sich Ubuntu nannte.
Was man OpenSuse aber zu gute halten muss ist, dass die Firewall schön restriktiv vorkonfiguriert ist. Wenn ich das richtig in Erinnerung habe war nur Port 22 freigeschaltet oder den musste man sogar noch während der Installation in Yast freischalten.
Was im Prinzip völlig schnurz ist, weil das Konzept bei allen das gleiche ist.
Zumal einige Distries von Haus aus Firewalls mitbringen, verschiedene Sicherheitskonzepte haben (Root User ja/nein, Sicherheitserweiterungen des Kernels...) usw.
Also wenn du wirklich glaubst es sei Sicherheitstechnisch egal welche Distrie du nutzt (hier geht es um den Originalzustand, nicht was man daraus machen kann) führst du einige User in die Irre.
(Ja, ich habe den Namen bemerkt, aber andere mögen es zu ernst nehmen und den schmu glauben)
Bei den Preisgeldern von 10000 bzw. 5000 hätte es sich durchaus auch ausgezahlt das Linux Notebook zu hacken. Nachdem das MacBook eh schon am 2. Tag vergeben war, hätte man die übrige Zeit auch nutzen können und sich nochmals 3-5 Airbooks dazu verdienen können.
Außerdem gibt es (in der legalen Welt der "Sicherheitsdienstleister") sicherlich mehr Leute, die sich mit Windows und Apple beschäftigen, weil da das Geld lockerer sitzt.
In der illegalen Welt der Spamversender und Identitätsklauer mag es da schon anders aussehen, aber solche Leute werden sicherlich nicht zu solchen Events fahren und da ihre Identität öffentlich machen.
Also ein Apple-Fan würde sagen: Die wollten alle das tolle MacBook und deswegen wurde das als erstes geknackt.
Nun gut, sie können es ja zum Glück verkaufen oder Linux drauf installieren (vllt. zum Üben? ;)). Ansonsten helfen vllt. die 10k$ über diesen traurigen Gewinn hinweg?!
man beachte insbesondere den kommentar unter dem foto. und natrülich auch das foto selbst.
zumindest die hardware scheint ja was zu taugen...
interessant ist warum die ganzen sicherheitsexperten das system bevorzugen, dass am schnellsten "geknackt" wurde. man werfe auch einen blick hierrauf:
foto2
und natürlich die zeile oberhalb des bildes.
um mal ehrlich zu sein: was hat safari mit os x und flash mit vista zu tun? sieht wohl so aus, als ob die sicherheitslücke eher ein programm sei.
Am 2. Tag wurden Lücken in vorinstallierten Programmen angegriffen (Safari, IE, ...), hier fiel der Mac durch Safari, es gab 10k$.
Am 3. Tag wurden Lücken in zusätzlich installierter Software angegriffen. Hier kam Vista mit Flash zu Fall. Es gab 5k$
http://chaosradio.ccc.de/cre069.html
http://chaosradio.ccc.de/24c3_m4v_2303.html
http://events.ccc.de/congress/2007/Fahrplan/events/2303.en.html (hier das pdf zum video)
http://www.opengroup.org/comm/press/19-2-nov07.htm
Unix macht doch sexy, nicht gewusst? ;>
http://osx.realmacmark.de/osx_xnu.php
MacOS X ist hauptsächlich UNIX konform, weil Apple dafür bezahlt (wurde hier bereits mehrfach erwähnt). MacOS X ist hauptsächlich POSIX konform, weil Apple dafür bezahlt.
Die dafür geforderten Spezifikationen einzuhalten ist bei gängigen Bloatsystemen kein Kunststück und wird somit auch von vielen Linuxdistributionen weitestgehend erfüllt.
Linux ist nicht proprietär und hält sich nicht an die LSB. Tatsächlich hat die "Linux Standard Base" herzlich wenig mit Linux, also dem Kernel selbst zu tun. Das Hauptaugenmerk dieser Arbeitsgruppe liegt wie bei POSIX am drumherum, also den mitgelieferten Werkzeugen, Standardpfaden etcpp.
Sich nicht an irgendwelche anderweitigen Standards zu halten macht ein Programm selbstverständlich nicht proprietär. Freie Software wie Linux kann der Definition nach als Antonym schlichtweg nicht proprietär sein.
Aus juristischer Sicht wären gar eher Standards wie POSIX proprietär, reicht es nicht alleine aus sich an deren Vorgaben zu halten - es müssen für die geschützte Bezeichung gar Lizenzgebühren abgeführt werden.
Um noch einmal auf die LSB zurückzukommen: Wie erwähnt betrifft diese in erster Linie nicht den Kernel, zudem aber halten sich glücklicherweise selbst nicht alle Linuxdistributionen an die teils mehr als engstirnigen und schlichtweg störenden Vorgaben der LSB.
Gerade den Ballast von übertriebenen Vorgaben der gängigen Standards loszuwerden ist ein unschätzbarer Vorteil von Linux und dem Distributionsprinzip.
Ich kann den anderen Kommentatoren nur zustimmen: Wenn überhaupt noch ein aktuelles UNIX ähnlich brauchbar ist wie Linux ist es Solaris. Den Rest will wirklich niemand mehr verwenden.
Grüße von einem Non-LSB-Linux-User
und auf die kommt es an!
Der Rest, ob Unix oder nicht, ob Mach-Kernel oder Irgendwas-Kernel, ob 64 oder 65 Bit,
ist eher akademischer Natur.
Soll die Luzy doch ihre Zeit damit verschwenden...
Wahrscheinlich hat Flash unter Linux die selbe Lücke, allerdings gibt es dafuer noch keinen fertigen Exploit.
> (oder haben die etwa ein 64bit Ubuntu genommen und Flash nicht installiert bekommen?:-) )
Kann auch sein.
Funktioniert einwandfrei...
Soviel dazu...
Die Sicherheislücke kann z.B. im Betriebssystem abhängigen Code liegen. Es kann sein dass es diesen Bug auch unter Linux gibt, aber dieser unter Linux nicht dazu führt dass man aus der Sandbox ausbrechen kann. ...
Möglichkeiten gibt es viele, wenn der Bug veröffentlicht wird, werden wir es wissen.
Das sollte auch Linuxnutzern schwer zu denken geben.
Debian hat ja vor kurzem die Notbremse gezogen und Flash aus Etch herausgeworfen:
http://www.debian.org/News/2008/20080217
Unter "Wichtige Änderungen" steht hier u.a.:
"Flashplugin-nonfree wurde entfernt (...), da wir hierzu keine Quellen haben und keine Sicherheitsunterstützung bekommen. Aus Sicherheitsgründen empfehlen wir Ihnen, sofort jede Version von Flashplugin-nonfree und alle verbleibenen Dateien des Flash-Players von Adobe zu entfernen. (...)"
Das hätte der Vista-Installateur einmal vor dem Hackerwettbewerb lesen sollen ... :-)
So schnell kann's gehen.
Wie sollte man also ein Ubuntu via Netzwerk cracken?
Oder war auch erlaubt, sich vor dem Opfer hinzusetzen und mit Fehlbedienung von Browser oder sonstwelchen Progs Root zu werden?
Das ist nicht sehr konkret, oder? Das heisst eigentlich nur, dass die Rechner irgendwie an ein LAN angeschlossen waren - und dann? Telnet? FTP? oder was?
> gaaaaanz langsam;)
Kannst Du einem debilen Zombie wie mir vielleicht die Stelle im Artikel zeigen, an der steht, was für Zugang die Angreifer konkret zu den Zielrechnern hatten?
Also der TCP/IP-Stack ist schon komplex genug, um darin Fehler zu vermuten. Sowas wie ein "Ping of Death" schlummert vielleicht immer noch in manch einem System.
Es bedarf nicht immer einer kaputten FTP-Implementierung, um in einen Rechner einzubrechen. Auch die Schichten darunter sind nur Software...
OK - aber ein Ping of Death ist simples Denial of service - man kann eigentlich nicht sagen, dass jemand ein Schiff gekapert hat, wenn er es nur versenkt hat.
Worauf ich hinaus will:
kann der Nutzer sich vor echter in Besitznahme durch einen entfernten Angreifer absichern, indem er/sie auf einen Dienst für remote login verzichtet oder liefert der beschriebene Test Hinweise darauf, dass man ein Unxoides Betriebsystem wie MacOSX auch zum Beispiel durch manipulierte Flash-Filmchen via Browser cracken kann....
gehört schon - aber immer nur in Form von schwammigem Verschwörergeblaber, aus dem nicht hervorgeht, wie das praktisch abläuft. Ich mache im Nebel folgende schemenhafte Fakten aus:
Ping schickt statt harmloser ICMP-Pakete manipulierte Daten, die zunächst den Speicherbereich, in dem Ping arbeitet, überlaufen lässt. Laut:
http://de.wikipedia.org/wiki/Ping_of_Death
bewirkt das aber nur, dass der angegriffene Rechner abstürzt (nicht schön, aber nicht das gleiche wie eine Übernahme).
Nun kann ich mir vorstellen, dass man mit Ping auch Pakete schicken kann, die Maschinencode enthalten, der dann beim Überlaufen Speicherbereiche erreicht, in denen das System den Code (zum Beispiel als Remoteshell) ausführt - und? Richtig geraten?
*LOL* Wie der Name Denial of Service schon sagt, geht es darum lediglich den Server daran zu hindern seine Arbeit zu verrichten.
Sobald man code ausführen kann, ist das kein DoS mehr sondern ein remote root exploit etc.
Also nicht so viel Blabla sondern nochmal die Grundlagen lernen.
http://www.jamendo.com/de/album/19430
> erfolgreichen Angriff auf Windows nutzen, der dem Team zusätzlich zum Fujitsu-Laptop 5.000 Dollar einbrachte.
dann haben die trolle also recht: mit linux kann man kein geld verdienen
Und die volle Kontrolle über den Rechner bekommt man damit auch nicht
sicher kann man jedes System machen - auch Windows mit ein bisserl
gutem Willen und Verstand.
Was macht denn eigentlich euer BIOS - habt ihr da den Quellcode ?
Nur das Linux-System blieb unangetastet - wie sich nun zeigt, ist das sogar wörtlich zu nehmen. Denn es gab einfach keinen Versuch, das Sony-Notebook mit Ubuntu zu hacken.