"Sicher genug" ist offensichtlich genau dann erreicht, wenn ein System 100% sicher ist, oder? Vorher wird man doch wohl kaum freiwillig aufhören?!
Und andererseits wissen wir, dass dieser Zustand schon praktisch unerreichbar ist.
Noch seltsamer fände ich die Haltung, dass das System schon "zu sicher" sei... Was soll das bedeuten?
Oder schwingt bei eurer Frage schon mit, dass Sicherheit - vorallem wenn man sie blutig nachpatcht - mit Einschränkungen in der Usability verbunden sein kann?
Oder schwingt bei eurer Frage schon mit, dass Sicherheit - vorallem wenn man sie blutig nachpatcht - mit Einschränkungen in der Usability verbunden sein kann?
Das schwingt sicher mit, aber auch andere Aspekte spielen eine Rolle. Deshalb fragen wir hier nach eurer Meinung, nicht nach einer allgemeingültigen Abschätzung.
»Sicher genug« ist ein System, bei dem der Aufwand einzubrechen so groß ist, dass es sich nicht mehr lohnt. Oder anders formuliert: Wer trotzdem reinkommt, hat sich das verdient, was es dort zu holen gibt
Meiner unmaßgeblichen Meinung nach ist Linux per se sicher. Das Problem ist eigentlich, was der User im Web damit anstellt! In Zeiten von persönlichen Wanzen, Smartfone oder internetbasierende Quasselbücksen, ist die Frage eh für viele Leute unwichtig!
Von er hat gewurstet am Fr, 26. Oktober 2018 um 15:53 #
Das Ding ist ein alter, fetter Dino ohne moderne Sicherheitskonzepte ... Lokale Rechteausweitung, Usermanagement, alles so wie man es vor 40 Jahren gemacht hat und nicht für eine moderne IT-Landschaft geeignet ist ...
Wie wäre es, wenn Alternativen genannt würden? Daß Linux alte Methoden nutzt, ist als solches noch kein Qualitätskriterium. Dann wäre sogar die elektrische Energie auch veraltet, die seit mindestens 160 Jahren genutzt wird (z.B. die Glühlampe des Optikers Göbel in Nürnberg, Mitte der 1850er Jahre zur Weihnachtszeit in den Auslagen des Optikers genutzt).
Weil "Linux" (ist eigentlich nur der Linux-Kernel gemeint oder die Summe aller Distributionen?) per se sicher ist, laden wir alle paar Tage Updates und Patches herunter
Von your-IP-routing-deamon am Fr, 26. Oktober 2018 um 16:39 #
Man kann nur dazu sagen daß das nicht viel mit dem Betriebsystem zu tun hat sondern mehr mit dem, der das Betriebsystem eingerichtet hat. Alles eine Frage der Zeit und Erfahrung.
Auf Kernel/Commandline Ebene ist GNU/Linnux sicherlich ausreichend sicher.
Ob das für das Desktop-Umfeld im Bereich KDE/Plasma/Gnome gilt würd ich mit einem großen Fragezeichen versehen wollen. Immer wieder liestman von schwerwiegenden Bugs bei zumindest fragwürdigen Konfortdiensten.
so lange nicht geklärt ist, wofür Linux sicher genug sein soll.
Wenn der Betrieb eines Feld-, Wald- und Wiesen Privat PC der Maßstab sein sollte, gehört das in die Fragestellung, oder mindestens in die Erläuterung der Umfrage, hinein.
Und dann ist die Antwort selbstverständlich : ja. Sonst sähe der Viren- und Trojanerbefall ähnlich dem bei Windows-PC aus.
ist für mich der entscheidende Faktor. Aber das ist natürlich nicht verallgemeinerbar und sicher ist es richtig, dass , wenn Linux-Systeme die meistbenutzte Betriebssysteme stellen würden, auch mehr Schwachstellen zu Tage kommen würden. Unter heutigen Bedingungen kann ich nur sagen, dass ich unter Linux seit 12-13 Jahren nie mit Schadsoftware zu tun hatte. Auch nicht mit dem System, mit dem ich per Google & Co im Netz unterwegs bin. Mein subjektiver Eindruck ist zudem, dass Windows mehr offensichtliche Angriffspunkte bietet. Ich kann allerdings nichts über Windows 10 sagen. Meine Software beziehe ich über die offiziellen Paketquellen + einige wenige über inoffizielle bzw. OBS. Demgegenüber bin ich auch auf dem Mac gezwungen, auf diverse Quellen zurückzugreifen, um die Software zu beziehen, die ich brauche.
Von kamome umidori am So, 28. Oktober 2018 um 08:19 #
Ach so, dann hättest Du aber auch „nichts damit zu tun“, wenn Du mit Deinem Firefox 4 mit JavaScript und Flash auf dubiosen Websites unterwegs wärst … das wäre dann aber sogar mit Deinem Windows 98 der Fall – also ein Schwachfugargument!
Von Janko Weber am So, 28. Oktober 2018 um 12:35 #
Da darf ich mich mal einklinken...
>Ach so, dann hättest Du aber auch „nichts damit zu tun“, wenn Du mit Deinem Firefox 4 mit JavaScript und Flash auf dubiosen Websites unterwegs wärst …
Das ist für mich ein ganz wichtiger Punkt!
Probleme mit Viren und Trojanern fingen und fangen bei fast 100 Prozent aller Betroffenen erst dann an wenn sie der Mainstream-Mache der Herrenmenschen dieser Welt folgen.
Ich habe bis kurz nach der Jahrtausendwende fast 15000 Freeware-Programme für MS-Windows getestet, und Software aus dem Internet wurde damals als große Bedrohung gesehen. Die Wahrheit aber ist daß in keinen der Programme ein Virus enthalten war bzw. keines das man so nennen könnte; d.m. das ernsthaft Schaden auf meinen Rechnern verursacht hätte. Teilweise auftretende Probleme hatten eher etwas mit unbeabsichtigt enthaltenen Fehlern in der Software zu tun.
Das ein Rechner gehackt werden kann, davor kann sich keiner zu 100 Prozent sicher sein; dagegen kann man nichts tun.
Vom Patch-Wahn bin ich befreit!
Gilt nicht als längst bewiesen daß bei Mozilla mehrere Gehemdiensmitarbeiter "arbeiten" ?
Ich brauche keine Patches deren vorrangiges Ziel es ist in meinen Internet-Browser neue Backdoors für die Geheimdienste dieser Welt einzubauen. Ich nicht!
Ich habe in dem Moment etwas damit zu tun, wenn mein Windows-Rechner sich eine Syphilis einfängt, nicht mehr richtig reagiert, weil er mit anderen Dingen beschäftigt ist, oder - im schlimmsten Fall - wenn meine persönlichen Daten zerstört oder unbenutzbar werden. Das kann mit passieren, wenn ich auf dubiosen Websites unterwegs bin, was übrigens selbst beim Verfolgen von Links aus z.B. dem Heise-Forum durchaus auch überraschend passieren kann, einfach, weil ich die Möglichkeiten des Internet nutze, oder wenn ich - sei es versehentlich oder aus Unbedachtheit - auf E-Mail-Links klicke. Mit Linux-Systemen hatte ich, wie bereits mitgeteilt, noch nie mit solchen Infektionskrankheiten zu tun. Das ist keine Garantie und schon gar nicht für alle Zukunft, aber es ist eine persönliche Erfahrung.
Nein, denn wenn die Schadsoftware root Zugang erlangt, dann kann sie auch den Kernel modifizieren und sich somit komplett vor dem User verstecken. Benutzt der Hacker dann verschlüsselte Verbindungen, dann ist dem sogar kaum mit Wireshark beizukommen.
Generell gilt, ist der Eindringling erstmal drin, also das System kompromitiert, dann hilft nichts mehr außer das System komplett neu aufzusetzen. Und ob man das merkt, das hängt ganz vom Eindringling ab, was er mit der Maschine anstellt.
Ich gehe jetzt mal davon aus, dass wir beim Thema Linux von der gesamten Distribution sprechen und nicht nur den Kernel meinen und da pflücke ich mal speziell Ubuntu heraus.
Ubuntu ist bezüglich der Sicherheitspolitik schlichtweg eine Katastrophe, da ein Großteil der Pakete in universe und multiverse, trotz nach bekanntwerden der Sicherheitslücken, die in anderen Distributionen wie bspw. Debian stable nach wenigen Tagen gestopft werden, in Ubuntu selbst nach mehreren Monaten nicht gestopft werden.
Canonical verweist hier nämlich auf die Community, die soll das selber regeln, diese ist, im Gegensatz zu vielen Debian Usern aber oftmals noch unerfahren und wiegt sich somit, nach einem "apt-get update" und "apt-get dist-upgrade" in falscher Sicherheit, dass ihr System sicher sei, solange es eben keine neuen Updates über das Paketsystem gibt. Dies ist aber ein Trugschluss, weil eben in universe und multiverse die Sicherheitslücken in der Software oftmals gar nicht gefixt wird. Da sind vielfach Pakete mit Sicherheitslücken enthalten, die ab dem Freeze der LTS Version irgendwann im März des Releasejahres keine weitere Sicherheitsfixes mehr gesehen haben und vielen Ubuntuusers ist das aus obigen Gründen überhaupt nicht bewusst.
Da ist selbst Windows nach dem Patchday um mehrere Größenordnungen sicherer. Gut, der Vergleich mag nicht ganz fair sein, da das Windows System bzw. die Software von Microsoft nur aus einer verhältnismäßig überschaubaren Menge an Software besteht und der Rest aus 3rd Party Installationen besteht, darunter viele Open Source Installationen um die sich auch keiner mehr kümmert, während in Ubuntu universe und multiverse noch eine ganze Reihe an vielfältiger anderer Software enthalten ist, aber die Tatsache das das bei Ubuntu alles über das Paketsystem reinkommt führt eben dazu, dass sich der User in der falschen Sicherheit wiegt, dass sich irgendjemand um die Pakete des Paketsystems schon kümmert, während bei Windows jedem klar ist, dass er sich um dir 3rd Party Installationen selbst kümmern muss, wenn da neue Versionen rauskommen die diese oder jene Sicherheitslücke behoben haben.
Ubuntu ist somit nur dann sicher bzw. wird mit aktuellen Paketen gepflegt, wenn man sich allein auf die Pakete aus main beschränkt. Die wenigstens dürften das aber tun, denn schon Software wie Gimp oder wireshark ist nicht in main enthalten. Bei den Paketen in universe und multiverse hängt es wirklich davon ab, ob Einzelpersonen aus der Community diese aktiv pflegen und so manche Anwendung mit Netzwerkfunktion wird gar nicht oder nur stiefmütterlich gepflegt.
Bei Debian stable bekommt man im Gegensatz zu Ubuntu für alle Pakete Sicherheitspatches, sobald Sicherheitslücken bekannt werden. Bei Debian non-free hängt es von den Binaries ab, wenn es da neue binaries gibt, bei denen die Sicherheitslücken gestopft wurden, dann bekommt man die bei Debian ebenso aktualisiert.
Ist doch sowieso inzwischen unerheblich geworden, da bereits viele und bald alle Programme nur noch als Snap installiert werden. Diese werden entweder von den Entwicklern selbst gepflegt, was wesentlich weniger Aufwand ist als Deb Pakete zu schnüren, oder von einer wachsenden Community betreut (da sind die wohl hin, die früher Universe und Multiverse betreut haben). Zusätzlich sind Snaps sandboxed und haben nur ein Mindestmaß an Berechtigungen, irgendwo auf das System zugreifen zu dürfen. Die Probleme mit der Startzeit, dem Speicherplatz usw. werden auch immer weniger. Wozu braucht man da noch Universe und Multiverse?
Snap und Flatpak sind vom Sicherheitsaspekt ein Witz.
Und das sage ich aus Erfahrung, denn ich habe im Frühjahr 2018 bei 3 sehr bekannten Open Source Projekten für deren Windowsbinaries eine Sicherheitslücke gemeldet, weil die alle eine 3rd Party Lib mitführten die völlig veraltet war und eine bekannte Sicherheitslücke enthielt, die bereits eine CVE Nummer hatte. Die Sicherheitslückenmeldung wurde zwar dankend angenommen, aber mal schnell ne Minorversion mit neuen Binaries und der neuen Lib raushauen, dass hat keiner gemacht. Die Benutzer der Software haben also allesamt für weitere ca. 4-5 Monate diese Windowsinstaller mit dieser Sicherheitslücke von den Webseiten dieser Open Source Projekte downloaden können, denn einen Windowsinstaller mit dem Fix gab es nicht. Den Fix gab es dann erst mit dem Release der nächsten stable Version.
Es hat schlichtweg keinen der Winowsinstaller Maintainer gejuckt, da auf die schnelle die Sicherheitslücke zu stopfen. Diese Paketierer würden bei der Umfrage hier oben sicherlich die Option "kümmert mich nicht" ankreuzen.
Und damit ist klar, dass weder Snap noch Flatpak das Problem lösen werden. Bei denen ist sogar verstärkt und massiv mit veralteten Sicherheitslücken in den 3rd Party Libs zu rechnen. Das das so passieren wird, da bin ich mir sogar ziemlich sicher.
Das Sandboxfeature ist nur solange beruhigend, bis jemand kommt und da ausbricht. Bei Virtuellen Maschinen hat man bspw. schon vorgeführt, dass so etwas geht.
Sowohl Flatpaks als auch Snaps benutzen für sicherheitskritische Libs so etwas wie Frameworks als Abhängigkeit. Die bringen auch nicht jede Lib selbst mit.
Ein .deb ist nicht komplizierter als snap oder flatpack. Allein schon die trügerische Sicherheit der Sandboxes von snap und flatpack macht sie komplizierter als ein "einfaches" .deb ! Das Problem liegt wohl eher an den Maintainern der Distribution und ihren Richtlinien. Da wird so manches Paket gepatcht was bei den neuen Paketformaten den Entwicklern überlassen wird. Wer dann auf die Entwickler vertraut hat selber Schuld. Denn längst nicht jeder Entwickler einer Software macht sich sonderlich viel Gedanken über Probleme mit anderer Software im Repro der Distribution. Zumindes nicht soviel wie die ordentlichen Distributoren. Carnonical ist wohl eine Ausnahme - auf der anderen Seite haben sich viele Androd-Nutzer daran gewöhnt, daß es nicht mehr viel bedeutet, wenn Software von nur einer Quelle verteilt wird.
Katastrophe halte ich bei einem vorzugsweise als Desktop benutzten OS für maßlos übetrieben. Für hochkritische Produktionssysteme würde ich Ubuntu jetzt vielleicht nicht einsetzen, aber auch nicht unbedingt Debian.
Dass der Vergleich mit Windows, deine Punchline, unrealistisch ist, gibst du ja selber zu
Unterm Strich steht da also nur, dass Debian sicherheitstechnisch besser aufgestellt ist, weil ein größerer Softwarebestand von einer erfahreneren Community zuverlässiger mit Sicherheitspatches versorgt werden kann, als das mutmaßlich bei Ubuntu der Fall ist.
Für mich klingt das alles sehr stark nach Bauchgefühl. Quantitativ unterlegt wäre so ein Vergleich echt mal interessant. So fällt das leider nur unter Meinungsäußerung.
Katastrophe halte ich bei einem vorzugsweise als Desktop benutzten OS für maßlos übetrieben.
Ich nicht, denn es reicht in vielen Fällen ein Clientprogramm das ins Internet geht um remote angreifbar zu sein. Und ob der Rechner dann als Bitcoinminer missbraucht wird oder die Dateien verschlüsselt und man dann erpresst wird, ist ein gleichermaßen großer Schaden.
Für mich klingt das alles sehr stark nach Bauchgefühl. Quantitativ unterlegt wäre so ein Vergleich echt mal interessant. So fällt das leider nur unter Meinungsäußerung.
Gemeldete Sicherheitslücken werden leider alle mit den normalen Bugs zusammengefasst. Die findet man dann zusammengewürfelt auf https://bugs.launchpad.net/ubuntu/+bugs
Allerdings kann man die Bugs nicht nach dem Repository filtern. Da ist also main und universe usw. zusammengefasst.
Außerdem hat deren Bugtracker das Problem, dass nur die Heatanzeige Aufschluss über Pakete mit möglichen Sicherheitslücken liefern. D.h. die mit der großen Zahl und dem Feuersymbol, das sind in der Regel die Bugs die eine Sicherheitslücke enthalten könnten. Aber die kann man auch nur sortieren, aber nicht filtern. Das Feld "Importance" bewertet leider nicht nach Sicherheitslücken, sondern nach der Funktionalität der Software.
Du kannst aber gerne mal Stichprobenartig Pakete aus universe oder multiverse mit den Paketen aus Debian vergleichen, da fällt das dann schon auf.
Zum einen, was du an Szenarien aufzählst, das sind für mich keine Katastrophen. Aber mach dir nichts daraus, ich verstehe deinen Punkt.
Zum anderen, es muss nicht nur die Sicherheitslücke vorhanden sein, sondern sie muss auch ausgenutzt werden. Das ist kein Automatismus. Wir reden von einer Nische in einer Nische, in der Menge aller Internetbenutzer, die hier überhaupt als Ziel in Frage kommen.
Was den Vergleich angeht, meint quantitiv eher nicht stichprobenartig, sondern knallharte Zahlen. Wieviele Sicherheitslücken in der gleichen repräsentativen Anwendungsauswahl gepatcht bzw. in welchem Zeitraum eben nicht gepatcht worden sind. Auf Ubuntu Seite und zum Vergleich auf Seiten Debians.
Wir überlassen es wohl besser den Faktenfindern und Journalisten, einen substantiellen Vergleich zu führen
Journalisten kennen sich nicht aus, die schreiben und erzählen in der Regel nur Blödsinn. Gerade wenn es um technische Angelegenheiten geht ist das so. Denen überlässt man das Feld besser nicht.
Eine Studie durch eine Uni im Fachbereich Informatik wäre aber angemessen.
Von ubuntu-deb-user am So, 28. Oktober 2018 um 02:33 #
Ich habe beides eingesetzt, hauptsächlich Ubuntu weil ich keine Lust mehr auf diese ganze Konfigurationsakrobatik mehr hatte. Ich bezweifle auch, bloß weil eine Distribution konservativer gepflegt wird, sie automatisch sicherer sein soll. Das mag für Leute funktionieren, die nur ein paar dutzend Pakete manuell nachinstallieren.
Wer aber tatsächlich etwas weniger gängigen Kram installieren muss - was ja auf dem Desktop eher gegeben ist - der kann bei Ubuntu vielleicht auf multiverse zurückgreifen und schaut dann bei Debian in die Röhre. Ich finde es viel interessanter, wie mit dem Fall umgegangen wird, wenn mal etwas nicht von der Distribution mitgeliefert wird.
Wenn das zu kompliziert gemacht ist, dann steigt die Wahrscheinlichkeit, dass der User Abkürzungen nimmt, die dann vielleicht die Gesamtsicherheit beeinträchtigen weil es einfach mal überhaupt keine automatischen Updates mehr gibt oder beim nächsten Systemupdate die Konfiguration überschrieben wird.
Da punktet Ubuntu wiederum mit einer sehr breiten Dokumentation auf den Ubuntu-Wikis.
Das vermisse ich bei Debian und erst recht bei anderen Distributionen wie etwa Fedora. Das hat ja sogar SELinux standardmäßig aktiviert aber in Konfigurationsbeispielen wird dann doch gerne mal großzügiger als nötig der Sicherheitsmechanismus geöffnet. Vielleicht wiegen sich Nutzer dann gerne mal in falscher Sicherheit.
Daher glaube ich nicht, dass man das alles so pauschal sagen kann.
Ich bezweifle auch, bloß weil eine Distribution konservativer gepflegt wird, sie automatisch sicherer sein soll.
Das hat überhaupt nichts mit konservativer gepflegt zu tun. Die Sicherheitslücken in Paketen von Debian werden einfach viel schneller gefixt und vor allem auch überhaupt gefixt.
In Ubuntu kümmert sich im Worst Case Fall nach dem Freeze im März des Releasejahres keiner mehr um die Pakete in universe. Wenn dann im Laufe der Zeit Sicherheitslücken bekannt werden, dann werden die in Debian und vielleicht auch OpenSuse, Fedora usw. gestopft, nur eben nicht in Ubuntu, weil die Sicherheitsdisziplin der Community eine andere ist, bzw. die das nicht einmal weiß, dass die Pakete schon seit Monaten Sicherheitslücken enthalten.
Es ist also eine Frage der Disziplin, dem Sicherheitsbewusstsein und der Pflege, warum hier Debian viel besser abschneidet. Mit konservativ hat das absolut Null zu tun. Und damit geschieht das auch nicht einfach automatisch, wie du fälschlicherweise mit folgendem Satz vermutest:
sie automatisch sicherer sein soll.
Nächster Punkt:
der kann bei Ubuntu vielleicht auf multiverse zurückgreifen und schaut dann bei Debian in die Röhre.
und
Wenn das zu kompliziert gemacht ist, dann steigt die Wahrscheinlichkeit, dass der User Abkürzungen nimmt, die dann vielleicht die Gesamtsicherheit beeinträchtigen weil es einfach mal überhaupt keine automatischen Updates mehr gibt
Du meinst hier eher die PPAs. Das sind die Abkürzungen, die bei Ubuntu für gewöhnlich gewählt werden und bei Debian in dieser Form nicht vorhanden sind. Das kann bei einem verantwortungsbewussten Maintainer funktionieren, muss es aber nicht. Sicherheitstechnisch begibt man sich auf sehr dünnes Eis, eben weil das private Pakete von einer völlig unbekannten Person sind und es auch keinen zweiten Blick auf das diff durch eine weitere Person gibt. Bzw. gibt's wahrscheinlich nicht einmal eine Kette von überschaubare diffs, sondern der Einfachheit halber werden einfach die kompletten Sourcen jedesmal neu eingestellt. Da wäre also genug Potential vorhanden, um Schadcode unterzuschieben. Kontrollieren wird diese "Vollsourcen" dann mit sehr hoher Wahrscheinlichkeit keiner, er Aufwand wäre dafür selbst dann zu groß, wenn einer wollte.
In den Ubuntu Wikis wird auf die PPAs häufig verlinkt und lapidar dann darauf hingewiesen, dass man bei denen doch vorsichtig sein soll. Die meisten User werden gar nicht abschätzen können, was man sich da für ein Risiko überhaupt auf den Rechner holt. Das wird einfach abgenickt, so wie irgendwelche Sicherheitsmeldungen, die einfach weggelickt werden.
Da punktet Ubuntu wiederum mit einer sehr breiten Dokumentation auf den Ubuntu-Wikis.
Die Doku in den Ubuntu Wikis lässt sich in geschätzt 98 % aller Fälle 1:1 auf Debian anwenden, da Ubuntu nichts anderes ist, als irgendein Snapshot von Debian Sid der dann nochmal kurz vor Release von Ubuntu um Ubuntu spezifische Feinheiten erweitert wird.
Noch ein wichtiger Punkt der hier auch noch eine ganz große Rolle spielt.
Wenn du eine Sicherheitslücke von einer Software, die bei Ubuntu in universe enthalten ist, entdeckst oder die Entwickler des Projekts selber eine entdecken und du das dann an Debian und Ubuntu meldest, dann passiert folgendes:
In Debian wird deine Sicherheitsmeldung registriert und ein für das Paket zuständiger Maintainer kümmert sich darum in kürzester Zeit ein neues Paket mit einem Fix herauszubringen.
In Ubuntu passiert aber etwas anderes. Dort kriegst du eine Mail vom Ubuntu Sicherheitsteam dass man deinen Sicherheitsreport registriert hat, der kommt dann in das Bug Tracking System, also in die Akten rein und dann wirst du darauf hingewiesen, dass es sich um ein Paket aus universe handelt und das bezahlte Canonical Sicherheitsteam nicht für dieses Paket zuständig ist. Die Sicherheitslücke wird also lediglich im Bug-Tracking System registriert, es passiert weiter nichts.
Willst du haben, dass das Paket gefixt wird, dann musst du, das Paket also schon selber fixen und den diff uploaden. Hast du das getan, dann wird der diff eingepflegt und ein neues Paket gebaut, das dann im repo ausgeteilt wird. Machst du also nichts, dann bleibt die Sicherheitslücke, obwohl die Ubuntu Community bzw. das Bug Tracking System darüber Bescheid weiß, im Paket enthalten bzw. wird weiterhin das Paket mit der Sicherheitslücke verteilt. Das kann Wochen und Monate so weitergehen.
Nur wenn du ganz viel Glück hast, dann benutzen dieses Paket noch ein paar weitere die bezüglich dem Sicherheitsbedürfnis wesentlich stärker sensibilisiert sind als der Rest. Die werden dann vielleicht ein diff raushauen, wenn du es nicht machst.
Das ist der große Unterschied zwischen Debian und Ubuntu, bei letzterem ist einfach keiner zuständig, also keine konkrete Person. Das ist so ähnlich wie beim Autounfall, wo 20 Leute vorbeifahren, weil jeder denkt, der andere wird sich schon darum kümmern und dann passiert nichts, weil alle vorbeifahren.
es dürfte ausserordentlich schwer sein Schadsoftware herzustellen die übergreifend auf den verschiedenen Distris funktioniert. Im Übrigen ist natürlich auch die Verbreitung auf dem Desktop ein Faktor der in Bezug auf Sicherheit ein großer Vorteil ist. Die Anstrengung dürfte sich nur selten lohnen.
Es wird einfach die Linux Distribution mit der größten Verbreitung auf dem Desktop genommen.
Ubuntu 18.04 hat auf dem Dekstop bspw. laut Steam eine Verbreitung von ca. 30 % aller Linux Installationen. Ubuntu 16.04 hat noch 8 %. https://store.steampowered.com/hwsurvey?platform=linux
Da wird also einfach gezielt Ubuntu 18.04 LTS angegriffen und genug Angriffsfläche gibt es ja durch die universe Pakete. Da genügt es nur nach den bekannten Sicherheitslücken zu suchen und zu schauen, ob die denn in Ubuntu 18.04 LTS gefixt wurden. Ist es ein Paket aus universe, dann ist es mit hoher Wahrscheinlichkeit nicht gefixt und schon hat man dutzende Rechner die offen wie ein Scheunentor sind, natürlich gesetzt den Fall, die Lücke lässt sich auch Remote ausnutzen. Ansonsten muss man den Schadecode eben per E-Mail Anhang oder dergleichen unterschieben und hoffen, das der User die verwundbare Anwendung benutzt um sich den Anhang anzusehen.
Wie groß darf die Wahrscheinlichkeit eines Kontrollverlustes über den Rechner oder für einen Datenverlust oder Datenreichtum denn sein? 0,1%, 0,00001%? Leider nicht allgemein zu beantworten. Damit fehlt schon mal das Kriterium. Ganz zu schweigen, wie man die Wahrscheinlichkeit für ein bestimmtes System ermittelt. Die Fragestellung ist tendenziös und hat mit technischer betrachtung absolut nichts zu tun. dementsprechend tendenziös sind auch die Kommentare.
Ein System, das wie GNU/Linux, das heterogen aufgebaut ist, und zudem wenig in "home" Installationen verbreitet ist, hat zunächst mal eine geringere Angriffsfläche als aein homogenen Windows System, dessen verbreitung gleichwohl sehr viel zahlreicher ist, sowohl in Heimanwendungen als auch als Arbeitsplatz von IT unerfahrenen Personen. Dagegen ist die Wahrscheinlichkeit bei iOS wegen der geringeren Verbreitung auch geringer.
Wenn es einen trifft, ist der Schaden aber zu 100% eingetreten. Es ist und bleibt eine Wette, kein Glücksspiel, denn der Nutzer kann die Wahrscheinlichkeit beeinflußen. Ein sicheres System ist ein heruntergefahrenes system, wenn man mal von IMT o. ä. absieht, also besser dann Netz- und Netzwerkstecker ziehen. Aber dieses System ist gleichermaßen sicher wie unbrauchbar.
Das Risiko läßt sich nicht beziffern, dazu ist die Sache zu komplex und birgt zu viele Überraschungen.
Also was tun? Bekannte Sicherheitslücken, die für das System RELEVANT sind fixen. Also ein System wählen, das Fixes zeitnah bereitstellt.
Eine vernüftige Firewall Infrastruktur nutzen, und da meine ich nicht die Windows Firewall oder die der FRITZ!box.
Oder einfach mit dem Risiko leben, wenn ein Datenreichtum nicht zum Problem werden kann. Backup nutzen und Recovery machen: fertig. In vielen Fällen der kleiner Aufwand.
Wie immer lautet die Antwort: es kommt darauf an. Oder auch 42.
Desktop-Rechner betrachte ich als schon dadurch gut geschützt, dass sie keine unnötigen Dienste nach außen anbieten. Die anderen Aspekte (klare Rechte-Verwaltung, schnelle Aktualisierungen usw.) wurden ja schon ausführlich beleuchtet.
Server sind gefährdet, weil sie qua Funktion Dienste anbieten müssen. Server werden ja auch tatsächlich gehackt. Allerdings war die Schwachstelle, die einen erfolgreichen Einbruch ermöglichte, in sämtlichen mir bekannten Fällen keine Sicherheitslücke in Linux.
Die Schwachstellen waren: Konfigurationsfehler, zu schwache Passwörter (plus mangelhafter Schutz vor brute-force, was wiederum auch als Konfigurationsfehler angesehen werden kann), Sicherheitslücken in Anwendungssoftware. Hierzu zähle ich bei einem Server z.B. das CMS samt Addons, Datenbank, Shopsystem usw. Der Angriff auf Sicherheitslücken in Anwendungssoftware beruht zu 99% darauf, dass der Administrator Updates gegen bekannte Sicherheitslücken nicht eingespielt hat.
Zwei aktuelle Beispiele aus dem Neuland Bayern: -- Zitat: "Konfigurations-Anfängerfehler"
-- Zitat: "zum Teil stark veralteten Software-Komponenten"
Desktop-Rechner betrachte ich als schon dadurch gut geschützt, dass sie keine unnötigen Dienste nach außen anbieten.
Das irc Chatprogramm, die VoIP Software und der Instant Messenger wird trotzdem auf dem Desktop gestartet und schon hast du auf dem Desktoprechner einen Dienst, der remote erreichbar ist. Blöd ist es dann, wenn das verwendete irc Chatprogramm, die VoIP Software oder der IM eine oder mehrere bekannte Sicherheitslücken hat und sich niemand um das patchen kümmert.
Der Browser und das E-Mail Programm kann auch ein Einfallstor sein, wobei man denen zu Gute halten muss, dass diese, sofern es sich um verbreitete Programme handelt, in der Regel schnell gepatched werden.
Spieleclients, die gleichzeitig auch den Server stellen, können auf dem Desktop ebenfalls ein Einfallstor sein.
Gleiches gilt für P2P Clients.
Die Schwachstellen waren: Konfigurationsfehler, zu schwache Passwörter (plus mangelhafter Schutz vor brute-force, was wiederum auch als Konfigurationsfehler angesehen werden kann), Sicherheitslücken in Anwendungssoftware. Hierzu zähle ich bei einem Server z.B. das CMS samt Addons, Datenbank, Shopsystem usw. Der Angriff auf Sicherheitslücken in Anwendungssoftware beruht zu 99% darauf, dass der Administrator Updates gegen bekannte Sicherheitslücken nicht eingespielt hat.
Hier stimme ich zu. Ich habe mal Stichprobehalber vor einiger Zeit ein paar mir bekannte Internethändler mithilfe des Browsers nach deren verwendetem CMS abgesucht und stellte fest, dass viele der Händler, eine außerordentlich große Anzahl veralteter CMS Versionen einzusetzen scheint, die nach der Versionsnummernangabe auch noch eine Reihe bekannter Sicherheitslücken aufwiesen. Lediglich ob der Admin die fehlerhaften Codestellen selber fixt und die Versionsnummer lediglich nicht erhöht, das war nicht ersichtlich. In den meisten Fällen wird man aber wohl annehmen können, dass ein Admin da nicht selber Hand an den Code anlegen wird, womit dann diese Systeme alle anfällig wären.
IRC, Messenger, VoIP, Videotelefonie: Läuft bei mir nicht automatisch an. Bei mir nicht und bei keinem der x-zig Rechner mit Linux, die ich in den vergangenen Jahren eingerichtet habe. Von welcher Distribution redest du, die solche Dienste automatisch hoch fährt? P2P wird nur gestartet und läuft nur, wenn ich es aktuell brauche. Dann stoppe ich es wieder. Online-Spiele kommen auf keinem meiner Rechner vor.
Übrigens, wer irgendeinen Dienst anbieten will, muss ja auch den entsprechenden Port (oder mehrere) im Router freigeben. Wer das macht, weiß hoffentlich, was er tut. Natürlich manuell; UPnP im Router ist natürlich aus Sicherheitsgründen ausgeschaltet. Wenn ich einen Portscan von außen mache(n lasse), finde ich: nichts. Jedenfalls nichts, was ich nicht bewusst und absichtlich geöffnet hätte.
Die Anwendungs-SW mit Außenkontakt (wie Browser, Mail), die ich aktiv starte, muss natürlich stets aktuell gehalten werden. Aber auch da gilt: Selbst wenn ungepatchte Sicherheitslücken existieren, ist Linux weniger verwundbar als Windows oder macOS. Bestes Beispiel ist der unsägliche Flash-Player. In dem wurden und werden ja regelmäßig Monat für Monat unzählige Sicherheitslücken gefunden. Adobe gibt in seinen Sicherheits-Bulletins jeweils das Risiko an. Regelmäßig steht da: Sehr hohes Risiko (Prio 1) für Windows, macOS und Chrome, moderates Risiko (Prio 3) für Linux.
Von welcher Distribution redest du, die solche Dienste automatisch hoch fährt?
Ich habe nirgends geschrieben, dass sie das muss. Ich sprach von Anwendungen die die Nutzer nutzen und deswegen auch von denen gestartet werden.
Und wenn das passiert, dann kann man auch eindringen. Den IRC Client kann man im IRC Netzwerk abfragen. Bei P2P ist die IP aller beteiligten bekannt. Den IM dürften sogar einige so einrichten, das er nach dem Login in den DE automatisch gestartet wird, schließlich kann einem sonst niemand sofort erreichen, wenn der nicht läuft.
Übrigens, wer irgendeinen Dienst anbieten will, muss ja auch den entsprechenden Port (oder mehrere) im Router freigeben.
Wer die genannten Programme nutzen will, wird das tun, sofern diese entsprechende Einstellungen verlangen.
Aber auch da gilt: Selbst wenn ungepatchte Sicherheitslücken existieren, ist Linux weniger verwundbar als Windows oder macOS.
Das ist Quatsch. Eine Sicherheitslücke ist eine Sicherheitslücke und Ubuntu, worauf ich mich hauptsächlich beziehe, siehe der Kontext in den anderen Threads, ist laut diverser Statistiken die meist verwendete Linux Distribution. Also kann man da als Angreifer ansetzen.
Der Flash-Player sagt überhaupt nichts aus, solange nicht bekannt ist, nach welchen Kriterien Adobe diese Bewertungen vornimmt. Weil geht Adobe davon aus, dass Linux nur wenige benutzen und es eine Vielzahl an Distributionen gibt und bewertet deswegen das Risiko einfach geringer, dann macht dies die Erfolgsaussichten eines Angriffs auf die meist benutzte Distribution dadurch nicht geringer.
"Sicher genug" ist offensichtlich genau dann erreicht, wenn ein System 100% sicher ist, oder? Vorher wird man doch wohl kaum freiwillig aufhören?!
Und andererseits wissen wir, dass dieser Zustand schon praktisch unerreichbar ist.
Noch seltsamer fände ich die Haltung, dass das System schon "zu sicher" sei... Was soll das bedeuten?
Oder schwingt bei eurer Frage schon mit, dass Sicherheit - vorallem wenn man sie blutig nachpatcht - mit Einschränkungen in der Usability verbunden sein kann?
Das schwingt sicher mit, aber auch andere Aspekte spielen eine Rolle. Deshalb fragen wir hier nach eurer Meinung, nicht nach einer allgemeingültigen Abschätzung.
Was bedeutet eigentlich "sicher genug"?
Ist das so was wie "ein bisschen schwanger"?
Ja eben; ich verstehe nicht, wie etwas "sicher genug" oder gar "zu sicher" sein kann, wenn es noch nicht 100% sicher ist?!
»Sicher genug« ist ein System, bei dem der Aufwand einzubrechen so groß ist, dass es sich nicht mehr lohnt. Oder anders formuliert: Wer trotzdem reinkommt, hat sich das verdient, was es dort zu holen gibt
Meiner unmaßgeblichen Meinung nach ist Linux per se sicher.
Das Problem ist eigentlich, was der User im Web damit anstellt!
In Zeiten von persönlichen Wanzen, Smartfone oder internetbasierende Quasselbücksen, ist die Frage eh für viele Leute unwichtig!
Das Ding ist ein alter, fetter Dino ohne moderne Sicherheitskonzepte ... Lokale Rechteausweitung, Usermanagement, alles so wie man es vor 40 Jahren gemacht hat und nicht für eine moderne IT-Landschaft geeignet ist ...
Aus diesem Grund gibt es ja auch keine Linux-Systeme in sicherheitskritischen Umgebungen.
(Klick, Golem.de) Aha? Ob das so eine gute Idee ist? Ich bezeichne den Xorg jetzt einfach mal noch als Quasi-Standard.
Oh Gott!
Müssen jetzt alle Linux/BSD-User sterben?
Wer hier Sarkasmus findet darf ihn für sich behalten!
Den Sarkasmus versteht jeder, er ist nur nicht lustig
Wie wäre es, wenn Alternativen genannt würden? Daß Linux alte Methoden nutzt, ist als solches noch kein Qualitätskriterium. Dann wäre sogar die elektrische Energie auch veraltet, die seit mindestens 160 Jahren genutzt wird (z.B. die Glühlampe des Optikers Göbel in Nürnberg, Mitte der 1850er Jahre zur Weihnachtszeit in den Auslagen des Optikers genutzt).
Aha.
Weil "Linux" (ist eigentlich nur der Linux-Kernel gemeint oder die Summe aller Distributionen?) per se sicher ist, laden wir alle paar Tage Updates und Patches herunter
Meinst du etwa gegen sowas? ^^
https://www.securepatterns.com/2018/10/cve-2018-14665-xorg-x-server.html
Man kann nur dazu sagen daß das nicht viel mit dem Betriebsystem zu tun hat sondern mehr mit dem, der das Betriebsystem eingerichtet hat. Alles eine Frage der Zeit und Erfahrung.
Und auch entsprechend performant.
Das sind nunmal die Fakten !!
;)
wie der Mensch vor dem Rechner es versteht damit umzugehen.
Auf Kernel/Commandline Ebene ist GNU/Linnux sicherlich ausreichend sicher.
Ob das für das Desktop-Umfeld im Bereich KDE/Plasma/Gnome gilt würd ich mit einem großen Fragezeichen versehen wollen. Immer wieder liestman von schwerwiegenden Bugs bei zumindest fragwürdigen Konfortdiensten.
so lange nicht geklärt ist, wofür Linux sicher genug sein soll.
Wenn der Betrieb eines Feld-, Wald- und Wiesen Privat PC der Maßstab sein sollte, gehört das in die Fragestellung, oder mindestens in die Erläuterung der Umfrage, hinein.
Und dann ist die Antwort selbstverständlich : ja.
Sonst sähe der Viren- und Trojanerbefall ähnlich dem bei Windows-PC aus.
... in Xorg, bei dem die Password-Datei durch ein Logfile überschrieben wird, sage ich mal: Ich bin besorgt. Immer mal wieder.
ja, wenn 2 Leute keine Ahnung haben, der Schreiber und der Leser, dann geht die Phantasie ihren freien Lauf.
Meine Frage zu dem Quark:
Welche Distribution gestatten dem User einen X-Server-Start?
Wohl keine der Aufrufe wie Xorg, startx, init haben ein s-Bit gesetzt....
> Wohl keine der Aufrufe wie Xorg, startx, init haben ein s-Bit gesetzt....
Trottel!
-rwsr-xr-x 1 root root 12K 2018-11-01 17:06 /usr/libexec/Xorg.wrap
ist für mich der entscheidende Faktor. Aber das ist natürlich nicht verallgemeinerbar und sicher ist es richtig, dass , wenn Linux-Systeme die meistbenutzte Betriebssysteme stellen würden, auch mehr Schwachstellen zu Tage kommen würden. Unter heutigen Bedingungen kann ich nur sagen, dass ich unter Linux seit 12-13 Jahren nie mit Schadsoftware zu tun hatte. Auch nicht mit dem System, mit dem ich per Google & Co im Netz unterwegs bin. Mein subjektiver Eindruck ist zudem, dass Windows mehr offensichtliche Angriffspunkte bietet. Ich kann allerdings nichts über Windows 10 sagen. Meine Software beziehe ich über die offiziellen Paketquellen + einige wenige über inoffizielle bzw. OBS. Demgegenüber bin ich auch auf dem Mac gezwungen, auf diverse Quellen zurückzugreifen, um die Software zu beziehen, die ich brauche.
> wenn Linux-Systeme die meistbenutzte Betriebssysteme stellen würden
Das tun sie doch – mit Abstand!
> dass ich unter Linux seit 12-13 Jahren nie mit Schadsoftware zu tun hatte
Das weißt Du doch überhaupt nicht!
Dass Du davon nichts bemerkt hast, bedeutet doch nicht, dass Du damit nicht zu tun hattest.
Doch, genau das bedeutet das und genau das weiß ich, denn ich bin nicht mein PC und ich hatte nichts damit zu tun.
Ach so, dann hättest Du aber auch „nichts damit zu tun“, wenn Du mit Deinem Firefox 4 mit JavaScript und Flash auf dubiosen Websites unterwegs wärst … das wäre dann aber sogar mit Deinem Windows 98 der Fall – also ein Schwachfugargument!
Da darf ich mich mal einklinken...
>Ach so, dann hättest Du aber auch „nichts damit zu tun“, wenn Du mit Deinem Firefox 4 mit JavaScript und Flash auf dubiosen Websites unterwegs wärst …
Das ist für mich ein ganz wichtiger Punkt!
Probleme mit Viren und Trojanern fingen und fangen bei fast 100 Prozent aller Betroffenen erst dann an wenn sie der Mainstream-Mache der Herrenmenschen dieser Welt folgen.
Ich habe bis kurz nach der Jahrtausendwende fast 15000 Freeware-Programme für MS-Windows getestet, und Software aus dem Internet wurde damals als große Bedrohung gesehen. Die Wahrheit aber ist daß in keinen der Programme ein Virus enthalten war bzw. keines das man so nennen könnte; d.m. das ernsthaft Schaden auf meinen Rechnern verursacht hätte. Teilweise auftretende Probleme hatten eher etwas mit unbeabsichtigt enthaltenen Fehlern in der Software zu tun.
Das ein Rechner gehackt werden kann, davor kann sich keiner zu 100 Prozent sicher sein; dagegen kann man nichts tun.
Vom Patch-Wahn bin ich befreit!
Gilt nicht als längst bewiesen daß bei Mozilla mehrere Gehemdiensmitarbeiter "arbeiten" ?
Ich brauche keine Patches deren vorrangiges Ziel es ist in meinen Internet-Browser neue Backdoors für die Geheimdienste dieser Welt einzubauen. Ich nicht!
MfG Janko Weber
Ich habe in dem Moment etwas damit zu tun, wenn mein Windows-Rechner sich eine Syphilis einfängt, nicht mehr richtig reagiert, weil er mit anderen Dingen beschäftigt ist, oder - im schlimmsten Fall - wenn meine persönlichen Daten zerstört oder unbenutzbar werden. Das kann mit passieren, wenn ich auf dubiosen Websites unterwegs bin, was übrigens selbst beim Verfolgen von Links aus z.B. dem Heise-Forum durchaus auch überraschend passieren kann, einfach, weil ich die Möglichkeiten des Internet nutze, oder wenn ich - sei es versehentlich oder aus Unbedachtheit - auf E-Mail-Links klicke. Mit Linux-Systemen hatte ich, wie bereits mitgeteilt, noch nie mit solchen Infektionskrankheiten zu tun. Das ist keine Garantie und schon gar nicht für alle Zukunft, aber es ist eine persönliche Erfahrung.
Wer etwas von seinem System versteht, der weiß es!
Nein, denn wenn die Schadsoftware root Zugang erlangt, dann kann sie auch den Kernel modifizieren und sich somit komplett vor dem User verstecken.
Benutzt der Hacker dann verschlüsselte Verbindungen, dann ist dem sogar kaum mit Wireshark beizukommen.
Generell gilt, ist der Eindringling erstmal drin, also das System kompromitiert, dann hilft nichts mehr außer das System komplett neu aufzusetzen. Und ob man das merkt, das hängt ganz vom Eindringling ab, was er mit der Maschine anstellt.
Ich gehe jetzt mal davon aus, dass wir beim Thema Linux von der gesamten Distribution sprechen und nicht nur den Kernel meinen und da pflücke ich mal speziell Ubuntu heraus.
Ubuntu ist bezüglich der Sicherheitspolitik schlichtweg eine Katastrophe, da ein Großteil der Pakete in universe und multiverse, trotz nach bekanntwerden der Sicherheitslücken, die in anderen Distributionen wie bspw. Debian stable nach wenigen Tagen gestopft werden, in Ubuntu selbst nach mehreren Monaten nicht gestopft werden.
Canonical verweist hier nämlich auf die Community, die soll das selber regeln, diese ist, im Gegensatz zu vielen Debian Usern aber oftmals noch unerfahren und wiegt sich somit, nach einem "apt-get update" und "apt-get dist-upgrade" in falscher Sicherheit, dass ihr System sicher sei, solange es eben keine neuen Updates über das Paketsystem gibt.
Dies ist aber ein Trugschluss, weil eben in universe und multiverse die Sicherheitslücken in der Software oftmals gar nicht gefixt wird.
Da sind vielfach Pakete mit Sicherheitslücken enthalten, die ab dem Freeze der LTS Version irgendwann im März des Releasejahres keine weitere Sicherheitsfixes mehr gesehen haben und vielen Ubuntuusers ist das aus obigen Gründen überhaupt nicht bewusst.
Da ist selbst Windows nach dem Patchday um mehrere Größenordnungen sicherer. Gut, der Vergleich mag nicht ganz fair sein, da das Windows System bzw. die Software von Microsoft nur aus einer verhältnismäßig überschaubaren Menge an Software besteht und der Rest aus 3rd Party Installationen besteht, darunter viele Open Source Installationen um die sich auch keiner mehr kümmert, während in Ubuntu universe und multiverse noch eine ganze Reihe an vielfältiger anderer Software enthalten ist, aber die Tatsache das das bei Ubuntu alles über das Paketsystem reinkommt führt eben dazu, dass sich der User in der falschen Sicherheit wiegt, dass sich irgendjemand um die Pakete des Paketsystems schon kümmert, während bei Windows jedem klar ist, dass er sich um dir 3rd Party Installationen selbst kümmern muss, wenn da neue Versionen rauskommen die diese oder jene Sicherheitslücke behoben haben.
Ubuntu ist somit nur dann sicher bzw. wird mit aktuellen Paketen gepflegt, wenn man sich allein auf die Pakete aus main beschränkt. Die wenigstens dürften das aber tun, denn schon Software wie Gimp oder wireshark ist nicht in main enthalten. Bei den Paketen in universe und multiverse hängt es wirklich davon ab, ob Einzelpersonen aus der Community diese aktiv pflegen und so manche Anwendung mit Netzwerkfunktion wird gar nicht oder nur stiefmütterlich gepflegt.
Bei Debian stable bekommt man im Gegensatz zu Ubuntu für alle Pakete Sicherheitspatches, sobald Sicherheitslücken bekannt werden. Bei Debian non-free hängt es von den Binaries ab, wenn es da neue binaries gibt, bei denen die Sicherheitslücken gestopft wurden, dann bekommt man die bei Debian ebenso aktualisiert.
Ist doch sowieso inzwischen unerheblich geworden, da bereits viele und bald alle Programme nur noch als Snap installiert werden. Diese werden entweder von den Entwicklern selbst gepflegt, was wesentlich weniger Aufwand ist als Deb Pakete zu schnüren, oder von einer wachsenden Community betreut (da sind die wohl hin, die früher Universe und Multiverse betreut haben). Zusätzlich sind Snaps sandboxed und haben nur ein Mindestmaß an Berechtigungen, irgendwo auf das System zugreifen zu dürfen. Die Probleme mit der Startzeit, dem Speicherplatz usw. werden auch immer weniger. Wozu braucht man da noch Universe und Multiverse?
Snap und Flatpak sind vom Sicherheitsaspekt ein Witz.
Und das sage ich aus Erfahrung, denn ich habe im Frühjahr 2018 bei 3 sehr bekannten Open Source Projekten für deren Windowsbinaries eine Sicherheitslücke gemeldet, weil die alle eine 3rd Party Lib mitführten die völlig veraltet war und eine bekannte Sicherheitslücke enthielt, die bereits eine CVE Nummer hatte.
Die Sicherheitslückenmeldung wurde zwar dankend angenommen, aber mal schnell ne Minorversion mit neuen Binaries und der neuen Lib raushauen, dass hat keiner gemacht.
Die Benutzer der Software haben also allesamt für weitere ca. 4-5 Monate diese Windowsinstaller mit dieser Sicherheitslücke von den Webseiten dieser Open Source Projekte downloaden können, denn einen Windowsinstaller mit dem Fix gab es nicht.
Den Fix gab es dann erst mit dem Release der nächsten stable Version.
Es hat schlichtweg keinen der Winowsinstaller Maintainer gejuckt, da auf die schnelle die Sicherheitslücke zu stopfen.
Diese Paketierer würden bei der Umfrage hier oben sicherlich die Option "kümmert mich nicht" ankreuzen.
Und damit ist klar, dass weder Snap noch Flatpak das Problem lösen werden.
Bei denen ist sogar verstärkt und massiv mit veralteten Sicherheitslücken in den 3rd Party Libs zu rechnen.
Das das so passieren wird, da bin ich mir sogar ziemlich sicher.
Das Sandboxfeature ist nur solange beruhigend, bis jemand kommt und da ausbricht. Bei Virtuellen Maschinen hat man bspw. schon vorgeführt, dass so etwas geht.
Sowohl Flatpaks als auch Snaps benutzen für sicherheitskritische Libs so etwas wie Frameworks als Abhängigkeit. Die bringen auch nicht jede Lib selbst mit.
Ein .deb ist nicht komplizierter als snap oder flatpack. Allein schon die trügerische Sicherheit der Sandboxes von snap und flatpack macht sie komplizierter als ein "einfaches" .deb !
Das Problem liegt wohl eher an den Maintainern der Distribution und ihren Richtlinien. Da wird so manches Paket gepatcht was bei den neuen Paketformaten den Entwicklern überlassen wird. Wer dann auf die Entwickler vertraut hat selber Schuld. Denn längst nicht jeder Entwickler einer Software macht sich sonderlich viel Gedanken über Probleme mit anderer Software im Repro der Distribution. Zumindes nicht soviel wie die ordentlichen Distributoren.
Carnonical ist wohl eine Ausnahme - auf der anderen Seite haben sich viele Androd-Nutzer daran gewöhnt, daß es nicht mehr viel bedeutet, wenn Software von nur einer Quelle verteilt wird.
Was für ein dämlicher Vergleich von Äpfel und Birnen!!
Es ändert absolut nichts daran, dass Ubuntu sicherheitstechnisch im Vergleich zu Debian eine reine Katastrophe ist.
Katastrophe halte ich bei einem vorzugsweise als Desktop benutzten OS für maßlos übetrieben. Für hochkritische Produktionssysteme würde ich Ubuntu jetzt vielleicht nicht einsetzen, aber auch nicht unbedingt Debian.
Dass der Vergleich mit Windows, deine Punchline, unrealistisch ist, gibst du ja selber zu
Unterm Strich steht da also nur, dass Debian sicherheitstechnisch besser aufgestellt ist, weil ein größerer Softwarebestand von einer erfahreneren Community zuverlässiger mit Sicherheitspatches versorgt werden kann, als das mutmaßlich bei Ubuntu der Fall ist.
Für mich klingt das alles sehr stark nach Bauchgefühl. Quantitativ unterlegt wäre so ein Vergleich echt mal interessant. So fällt das leider nur unter Meinungsäußerung.
Und ob der Rechner dann als Bitcoinminer missbraucht wird oder die Dateien verschlüsselt und man dann erpresst wird, ist ein gleichermaßen großer Schaden.
Gemeldete Sicherheitslücken werden leider alle mit den normalen Bugs zusammengefasst.
Die findet man dann zusammengewürfelt auf
https://bugs.launchpad.net/ubuntu/+bugs
Allerdings kann man die Bugs nicht nach dem Repository filtern.
Da ist also main und universe usw. zusammengefasst.
Außerdem hat deren Bugtracker das Problem, dass nur die Heatanzeige Aufschluss über Pakete mit möglichen Sicherheitslücken liefern. D.h. die mit der großen Zahl und dem Feuersymbol, das sind in der Regel die Bugs die eine Sicherheitslücke enthalten könnten.
Aber die kann man auch nur sortieren, aber nicht filtern.
Das Feld "Importance" bewertet leider nicht nach Sicherheitslücken, sondern nach der Funktionalität der Software.
Du kannst aber gerne mal Stichprobenartig Pakete aus universe oder multiverse mit den Paketen aus Debian vergleichen, da fällt das dann schon auf.
Zum einen, was du an Szenarien aufzählst, das sind für mich keine Katastrophen. Aber mach dir nichts daraus, ich verstehe deinen Punkt.
Zum anderen, es muss nicht nur die Sicherheitslücke vorhanden sein, sondern sie muss auch ausgenutzt werden. Das ist kein Automatismus. Wir reden von einer Nische in einer Nische, in der Menge aller Internetbenutzer, die hier überhaupt als Ziel in Frage kommen.
Was den Vergleich angeht, meint quantitiv eher nicht stichprobenartig, sondern knallharte Zahlen. Wieviele Sicherheitslücken in der gleichen repräsentativen Anwendungsauswahl gepatcht bzw. in welchem Zeitraum eben nicht gepatcht worden sind. Auf Ubuntu Seite und zum Vergleich auf Seiten Debians.
Wir überlassen es wohl besser den Faktenfindern und Journalisten, einen substantiellen Vergleich zu führen
Journalisten kennen sich nicht aus, die schreiben und erzählen in der Regel nur Blödsinn.
Gerade wenn es um technische Angelegenheiten geht ist das so.
Denen überlässt man das Feld besser nicht.
Eine Studie durch eine Uni im Fachbereich Informatik wäre aber angemessen.
Ich habe beides eingesetzt, hauptsächlich Ubuntu weil ich keine Lust mehr auf diese ganze Konfigurationsakrobatik mehr hatte. Ich bezweifle auch, bloß weil eine Distribution konservativer gepflegt wird, sie automatisch sicherer sein soll. Das mag für Leute funktionieren, die nur ein paar dutzend Pakete manuell nachinstallieren.
Wer aber tatsächlich etwas weniger gängigen Kram installieren muss - was ja auf dem Desktop eher gegeben ist - der kann bei Ubuntu vielleicht auf multiverse zurückgreifen und schaut dann bei Debian in die Röhre. Ich finde es viel interessanter, wie mit dem Fall umgegangen wird, wenn mal etwas nicht von der Distribution mitgeliefert wird.
Wenn das zu kompliziert gemacht ist, dann steigt die Wahrscheinlichkeit, dass der User Abkürzungen nimmt, die dann vielleicht die Gesamtsicherheit beeinträchtigen weil es einfach mal überhaupt keine automatischen Updates mehr gibt oder beim nächsten Systemupdate die Konfiguration überschrieben wird.
Da punktet Ubuntu wiederum mit einer sehr breiten Dokumentation auf den Ubuntu-Wikis.
Das vermisse ich bei Debian und erst recht bei anderen Distributionen wie etwa Fedora. Das hat ja sogar SELinux standardmäßig aktiviert aber in Konfigurationsbeispielen wird dann doch gerne mal großzügiger als nötig der Sicherheitsmechanismus geöffnet. Vielleicht wiegen sich Nutzer dann gerne mal in falscher Sicherheit.
Daher glaube ich nicht, dass man das alles so pauschal sagen kann.
In Ubuntu kümmert sich im Worst Case Fall nach dem Freeze im März des Releasejahres keiner mehr um die Pakete in universe. Wenn dann im Laufe der Zeit Sicherheitslücken bekannt werden, dann werden die in Debian und vielleicht auch OpenSuse, Fedora usw. gestopft, nur eben nicht in Ubuntu, weil die Sicherheitsdisziplin der Community eine andere ist, bzw. die das nicht einmal weiß, dass die Pakete schon seit Monaten Sicherheitslücken enthalten.
Es ist also eine Frage der Disziplin, dem Sicherheitsbewusstsein und der Pflege, warum hier Debian viel besser abschneidet. Mit konservativ hat das absolut Null zu tun.
Und damit geschieht das auch nicht einfach automatisch, wie du fälschlicherweise mit folgendem Satz vermutest:
Nächster Punkt:
undDu meinst hier eher die PPAs.
Das sind die Abkürzungen, die bei Ubuntu für gewöhnlich gewählt werden und bei Debian in dieser Form nicht vorhanden sind.
Das kann bei einem verantwortungsbewussten Maintainer funktionieren, muss es aber nicht. Sicherheitstechnisch begibt man sich auf sehr dünnes Eis, eben weil das private Pakete von einer völlig unbekannten Person sind und es auch keinen zweiten Blick auf das diff durch eine weitere Person gibt.
Bzw. gibt's wahrscheinlich nicht einmal eine Kette von überschaubare diffs, sondern der Einfachheit halber werden einfach die kompletten Sourcen jedesmal neu eingestellt. Da wäre also genug Potential vorhanden, um Schadcode unterzuschieben.
Kontrollieren wird diese "Vollsourcen" dann mit sehr hoher Wahrscheinlichkeit keiner, er Aufwand wäre dafür selbst dann zu groß, wenn einer wollte.
In den Ubuntu Wikis wird auf die PPAs häufig verlinkt und lapidar dann darauf hingewiesen, dass man bei denen doch vorsichtig sein soll.
Die Doku in den Ubuntu Wikis lässt sich in geschätzt 98 % aller Fälle 1:1 auf Debian anwenden, da Ubuntu nichts anderes ist, als irgendein Snapshot von Debian Sid der dann nochmal kurz vor Release von Ubuntu um Ubuntu spezifische Feinheiten erweitert wird.Die meisten User werden gar nicht abschätzen können, was man sich da für ein Risiko überhaupt auf den Rechner holt. Das wird einfach abgenickt, so wie irgendwelche Sicherheitsmeldungen, die einfach weggelickt werden.
Noch ein wichtiger Punkt der hier auch noch eine ganz große Rolle spielt.
Wenn du eine Sicherheitslücke von einer Software, die bei Ubuntu in universe enthalten ist, entdeckst oder die Entwickler des Projekts selber eine entdecken und du das dann an Debian und Ubuntu meldest, dann passiert folgendes:
In Debian wird deine Sicherheitsmeldung registriert und ein für das Paket zuständiger Maintainer kümmert sich darum in kürzester Zeit ein neues Paket mit einem Fix herauszubringen.
In Ubuntu passiert aber etwas anderes.
Dort kriegst du eine Mail vom Ubuntu Sicherheitsteam dass man deinen Sicherheitsreport registriert hat, der kommt dann in das Bug Tracking System, also in die Akten rein und dann wirst du darauf hingewiesen, dass es sich um ein Paket aus universe handelt und das bezahlte Canonical Sicherheitsteam nicht für dieses Paket zuständig ist.
Die Sicherheitslücke wird also lediglich im Bug-Tracking System registriert, es passiert weiter nichts.
Willst du haben, dass das Paket gefixt wird, dann musst du, das Paket also schon selber fixen und den diff uploaden. Hast du das getan, dann wird der diff eingepflegt und ein neues Paket gebaut, das dann im repo ausgeteilt wird.
Machst du also nichts, dann bleibt die Sicherheitslücke, obwohl die Ubuntu Community bzw. das Bug Tracking System darüber Bescheid weiß, im Paket enthalten bzw. wird weiterhin das Paket mit der Sicherheitslücke verteilt. Das kann Wochen und Monate so weitergehen.
Nur wenn du ganz viel Glück hast, dann benutzen dieses Paket noch ein paar weitere die bezüglich dem Sicherheitsbedürfnis wesentlich stärker sensibilisiert sind als der Rest. Die werden dann vielleicht ein diff raushauen, wenn du es nicht machst.
Das ist der große Unterschied zwischen Debian und Ubuntu, bei letzterem ist einfach keiner zuständig, also keine konkrete Person.
Das ist so ähnlich wie beim Autounfall, wo 20 Leute vorbeifahren, weil jeder denkt, der andere wird sich schon darum kümmern und dann passiert nichts, weil alle vorbeifahren.
Dem kann ich absolut nicht zustimmen. Benutze zwar vielleicht andere Software, aber du hattest dich ja auch auf keine bezogen
Alle kritischen Updates kamen bei Linux umgehend. Kaum bei Heise gelesen, schon lag das Update an.
Wie jüngst in Thunderbird
Bei 3th -Party Software muss jeder selbst entscheiden, welchen PPA-Entwickler zu vertrauen ist.
Solch Fake-Updates mit eingebauten Trojaner, das ist eben etwas aus der Windows-Welt
Thunderbird ist Teil von main.
Und Linux ist nicht nur Ubuntu.
Wenn du dich also nicht auskennst, dann wird es Zeit, dass du dich informierst.
es dürfte ausserordentlich schwer sein Schadsoftware herzustellen die übergreifend auf den verschiedenen Distris funktioniert. Im Übrigen ist natürlich auch die Verbreitung auf dem Desktop ein Faktor der in Bezug auf Sicherheit ein großer Vorteil ist. Die Anstrengung dürfte sich nur selten lohnen.
Es wird einfach die Linux Distribution mit der größten Verbreitung auf dem Desktop genommen.
Ubuntu 18.04 hat auf dem Dekstop bspw. laut Steam eine Verbreitung von ca. 30 % aller Linux Installationen.
Ubuntu 16.04 hat noch 8 %.
https://store.steampowered.com/hwsurvey?platform=linux
Da wird also einfach gezielt Ubuntu 18.04 LTS angegriffen und genug Angriffsfläche gibt es ja durch die universe Pakete. Da genügt es nur nach den bekannten Sicherheitslücken zu suchen und zu schauen, ob die denn in Ubuntu 18.04 LTS gefixt wurden. Ist es ein Paket aus universe, dann ist es mit hoher Wahrscheinlichkeit nicht gefixt und schon hat man dutzende Rechner die offen wie ein Scheunentor sind, natürlich gesetzt den Fall, die Lücke lässt sich auch Remote ausnutzen.
Ansonsten muss man den Schadecode eben per E-Mail Anhang oder dergleichen unterschieben und hoffen, das der User die verwundbare Anwendung benutzt um sich den Anhang anzusehen.
Siehe der Thread weiter oben.
Und nenne aus den vorhandenen Bugs mal eines, mit welchen du per Remote angreifen willst.
Allgemeine Angaben habe ich schon genannt.
Da es immer Sicherheitslücken geben wird, ist es eine ewige Baustelle!
Wie bei jeden anderen Betriebssystem auch ...
Wie groß darf die Wahrscheinlichkeit eines Kontrollverlustes über den Rechner oder für einen Datenverlust oder Datenreichtum denn sein? 0,1%, 0,00001%? Leider nicht allgemein zu beantworten. Damit fehlt schon mal das Kriterium. Ganz zu schweigen, wie man die Wahrscheinlichkeit für ein bestimmtes System ermittelt. Die Fragestellung ist tendenziös und hat mit technischer betrachtung absolut nichts zu tun. dementsprechend tendenziös sind auch die Kommentare.
Ein System, das wie GNU/Linux, das heterogen aufgebaut ist, und zudem wenig in "home" Installationen verbreitet ist, hat zunächst mal eine geringere Angriffsfläche als aein homogenen Windows System, dessen verbreitung gleichwohl sehr viel zahlreicher ist, sowohl in Heimanwendungen als auch als Arbeitsplatz von IT unerfahrenen Personen. Dagegen ist die Wahrscheinlichkeit bei iOS wegen der geringeren Verbreitung auch geringer.
Wenn es einen trifft, ist der Schaden aber zu 100% eingetreten. Es ist und bleibt eine Wette, kein Glücksspiel, denn der Nutzer kann die Wahrscheinlichkeit beeinflußen. Ein sicheres System ist ein heruntergefahrenes system, wenn man mal von IMT o. ä. absieht, also besser dann Netz- und Netzwerkstecker ziehen. Aber dieses System ist gleichermaßen sicher wie unbrauchbar.
Das Risiko läßt sich nicht beziffern, dazu ist die Sache zu komplex und birgt zu viele Überraschungen.
Also was tun? Bekannte Sicherheitslücken, die für das System RELEVANT sind fixen. Also ein System wählen, das Fixes zeitnah bereitstellt.
Eine vernüftige Firewall Infrastruktur nutzen, und da meine ich nicht die Windows Firewall oder die der FRITZ!box.
Oder einfach mit dem Risiko leben, wenn ein Datenreichtum nicht zum Problem werden kann. Backup nutzen und Recovery machen: fertig. In vielen Fällen der kleiner Aufwand.
Wie immer lautet die Antwort: es kommt darauf an. Oder auch 42.
Desktop-Rechner betrachte ich als schon dadurch gut geschützt, dass sie keine unnötigen Dienste nach außen anbieten. Die anderen Aspekte (klare Rechte-Verwaltung, schnelle Aktualisierungen usw.) wurden ja schon ausführlich beleuchtet.
Server sind gefährdet, weil sie qua Funktion Dienste anbieten müssen. Server werden ja auch tatsächlich gehackt.
Allerdings war die Schwachstelle, die einen erfolgreichen Einbruch ermöglichte, in sämtlichen mir bekannten Fällen keine Sicherheitslücke in Linux.
Die Schwachstellen waren: Konfigurationsfehler, zu schwache Passwörter (plus mangelhafter Schutz vor brute-force, was wiederum auch als Konfigurationsfehler angesehen werden kann), Sicherheitslücken in Anwendungssoftware. Hierzu zähle ich bei einem Server z.B. das CMS samt Addons, Datenbank, Shopsystem usw. Der Angriff auf Sicherheitslücken in Anwendungssoftware beruht zu 99% darauf, dass der Administrator Updates gegen bekannte Sicherheitslücken nicht eingespielt hat.
Zwei aktuelle Beispiele aus dem Neuland Bayern:
-- Zitat: "Konfigurations-Anfängerfehler"
-- Zitat: "zum Teil stark veralteten Software-Komponenten"
Das irc Chatprogramm, die VoIP Software und der Instant Messenger wird trotzdem auf dem Desktop gestartet und schon hast du auf dem Desktoprechner einen Dienst, der remote erreichbar ist.
Blöd ist es dann, wenn das verwendete irc Chatprogramm, die VoIP Software oder der IM eine oder mehrere bekannte Sicherheitslücken hat und sich niemand um das patchen kümmert.
Der Browser und das E-Mail Programm kann auch ein Einfallstor sein, wobei man denen zu Gute halten muss, dass diese, sofern es sich um verbreitete Programme handelt, in der Regel schnell gepatched werden.
Spieleclients, die gleichzeitig auch den Server stellen, können auf dem Desktop ebenfalls ein Einfallstor sein.
Gleiches gilt für P2P Clients.
Hier stimme ich zu.
Ich habe mal Stichprobehalber vor einiger Zeit ein paar mir bekannte Internethändler mithilfe des Browsers nach deren verwendetem CMS abgesucht und stellte fest, dass viele der Händler, eine außerordentlich große Anzahl veralteter CMS Versionen einzusetzen scheint, die nach der Versionsnummernangabe auch noch eine Reihe bekannter Sicherheitslücken aufwiesen.
Lediglich ob der Admin die fehlerhaften Codestellen selber fixt und die Versionsnummer lediglich nicht erhöht, das war nicht ersichtlich. In den meisten Fällen wird man aber wohl annehmen können, dass ein Admin da nicht selber Hand an den Code anlegen wird, womit dann diese Systeme alle anfällig wären.
IRC, Messenger, VoIP, Videotelefonie: Läuft bei mir nicht automatisch an. Bei mir nicht und bei keinem der x-zig Rechner mit Linux, die ich in den vergangenen Jahren eingerichtet habe. Von welcher Distribution redest du, die solche Dienste automatisch hoch fährt?
P2P wird nur gestartet und läuft nur, wenn ich es aktuell brauche. Dann stoppe ich es wieder. Online-Spiele kommen auf keinem meiner Rechner vor.
Übrigens, wer irgendeinen Dienst anbieten will, muss ja auch den entsprechenden Port (oder mehrere) im Router freigeben. Wer das macht, weiß hoffentlich, was er tut. Natürlich manuell; UPnP im Router ist natürlich aus Sicherheitsgründen ausgeschaltet.
Wenn ich einen Portscan von außen mache(n lasse), finde ich: nichts. Jedenfalls nichts, was ich nicht bewusst und absichtlich geöffnet hätte.
Die Anwendungs-SW mit Außenkontakt (wie Browser, Mail), die ich aktiv starte, muss natürlich stets aktuell gehalten werden. Aber auch da gilt: Selbst wenn ungepatchte Sicherheitslücken existieren, ist Linux weniger verwundbar als Windows oder macOS.
Bestes Beispiel ist der unsägliche Flash-Player. In dem wurden und werden ja regelmäßig Monat für Monat unzählige Sicherheitslücken gefunden. Adobe gibt in seinen Sicherheits-Bulletins jeweils das Risiko an. Regelmäßig steht da: Sehr hohes Risiko (Prio 1) für Windows, macOS und Chrome, moderates Risiko (Prio 3) für Linux.
Ich habe nirgends geschrieben, dass sie das muss. Ich sprach von Anwendungen die die Nutzer nutzen und deswegen auch von denen gestartet werden.
Und wenn das passiert, dann kann man auch eindringen.
Den IRC Client kann man im IRC Netzwerk abfragen.
Bei P2P ist die IP aller beteiligten bekannt.
Den IM dürften sogar einige so einrichten, das er nach dem Login in den DE automatisch gestartet wird, schließlich kann einem sonst niemand sofort erreichen, wenn der nicht läuft.
Wer die genannten Programme nutzen will, wird das tun, sofern diese entsprechende Einstellungen verlangen.
Das ist Quatsch. Eine Sicherheitslücke ist eine Sicherheitslücke und Ubuntu, worauf ich mich hauptsächlich beziehe, siehe der Kontext in den anderen Threads, ist laut diverser Statistiken die meist verwendete Linux Distribution.Also kann man da als Angreifer ansetzen.
Der Flash-Player sagt überhaupt nichts aus, solange nicht bekannt ist, nach welchen Kriterien Adobe diese Bewertungen vornimmt.
Weil geht Adobe davon aus, dass Linux nur wenige benutzen und es eine Vielzahl an Distributionen gibt und bewertet deswegen das Risiko einfach geringer, dann macht dies die Erfolgsaussichten eines Angriffs auf die meist benutzte Distribution dadurch nicht geringer.