Linux und Sicher, besser als proprietäre SW ?

[uname]

Grundsätzlich kann man ja erst mal annehmen, dass Windows und Linux gleich sicher sind. Das Problem ist dann eigentlich nur was man weiterhin mit dem System macht. Bei Windows installiert man in der Regel weitere Software aus unbekannten Quellen. Bei Linux hat man mit seiner Paketverwaltung ein recht sicheres Baukastensystem. Aber natürlich kann man sich auch bei Linux sehr schnell von seiner Paketverwaltung entfernen. Beispiele sind hier z.B. Flash oder auch das oben aufgeführte Multimedia-Zeug.

Vorteil bei Linux ist, dass man recht gut mit der Software aus der Paketverwaltung auskommen kann. Auch kann man versuchen auf "contrib" und "non-free" so weit wie möglich zu verzichten. Bei Windows muss man auch nur eine Inventur darüber machen was man so alles irgendwann mal installiert hat. Im optimalsten Fall war es gar nichts.

Sowohl die Paketverwaltung unter Linux als auch das Patchmanagement bei Windows kümmert sich darum, dass Standardsoftware aktuell gehalten wird. Gedanken muss man sich eigentlich nur um den Rest machen, der bei Linux meist weit geringer ist. Daher sehe ich Debian GNU/Linux als sicherer an.

[whisper]

Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem. Einfach weil Mcrosoft das wohl meisten lernen musste, auch zum Teil sehr schmerzhaft. Heute sind ihr System entsprechend getrimmt, was OSX und Linux praktisch noch nie mussten. Ihre Sicherheit steht überwiegend auf dem Papier. Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.

Dein Eindruck lässt sich allerdings für das Jahr 2015 nicht bestätigen
http://www.gfi.com/blog/2015s-mvps-the- ... e-players/

[uname]

Auf eine Sicherheitslücke muss noch irgendwas Sinnvolles für den Angreifer erfolgen. Was bringt also die beste Sicherheitslücke wenn am Ende die Malware nur unter Windows läuft.

http://www.talosintelligence.com/angler-exposed
https://heimdalsecurity.com/blog/exploi ... yber-crime

[ViNic]

Dein Eindruck lässt sich allerdings für das Jahr 2015 nicht bestätigen
http://www.gfi.com/blog/2015s-mvps-the- ... e-players/

Aber das Windows allgemein sicherer als Ubuntu ist

Auf diese und ähnliche Berichte nehme ich nichts mehr. Schon viel gesehen, wenn auch nicht genug. Die erste Sicherheitslücke ist nunmal der Mensch.

[schwedenmann]

Hallo


Nur mal als Denkanstoß

https://www.cvedetails.com/top-50-produ ... ?year=2016


mfg
schwedenmann

P.S.
Die Liste ist bestimmt ein fake, kann so gar nicht sein.

[uname]

Interessant. Durch den Verzicht auf Adobe Flash spare ich fast so viele Sicherheitslücken ein wie in Debian GNU/Linux vorkommen. Zudem sind die Flash-Lücken weit höher bewertet.

Ich lese lieber die Sicherheitslücken laut:

http://www.debian.org/security

... und versuche den dort genannten Programmen einfach aus den Weg zu gehen bzw. überlege mir wo das Risiko wirklich sein kann

[Liffi]

Was zählt da zu was? Ist Windows nur der Kernel und die mitgelieferten Programme? Wird da unter Debian für alle installierbaren Packages gezählt?

Zumindest letzteres klingt für mich so, wenn ich mir z.B. CVE-2016-2806 anschaue:

Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 46.0 and Firefox ESR 45.x before 45.1 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.

Ich würde jetzt z.B. nicht erwarten, dass der in der Standardinstallation dabei ist. Werden Firefox Fehler unter Windows auch zu Windows gezählt?

[hikaru]

Nur mal als Denkanstoß

https://www.cvedetails.com/top-50-produ ... ?year=2016

Gegenbeispiel mit den selben Quelldaten (CVE Score >=7 für 2016):
Debian: 69 [1]
Win10: 103 [2]
Win8.1: 95 [3]
Win7: 89 [4]
OSX: 116 [5]

passende Heise-Schlagzeile dazu:
Windows mit bis zu 50% mehr Sicherheitslücken als Linux

Fazit: Traue keiner Statistik, die du nicht selbst gefälscht hast!
Vielleicht als interessante Lektüre dazu (selbst nicht gelesen): "Lügen mit Zahlen" (ISBN: 978-3453173910)

Wer möchte ein Eis?


[1] https://www.cvedetails.com/vulnerabilit ... a4e8c895ea
[2] https://www.cvedetails.com/vulnerabilit ... 9da2b1b95c
[3] https://www.cvedetails.com/vulnerabilit ... 254adb19e9
[4] https://www.cvedetails.com/vulnerabilit ... 5d5af7d8fc
[5] https://www.cvedetails.com/vulnerabilit ... 03e5b82cac

[BenutzerGa4gooPh]

Wer möchte ein Eis?

Aber kein Fisch- oder Knoblaucheis.
https://www.cvedetails.com/top-50-produ ... ?year=2016
RedHat (damit auch das bitgleiche CentOS) steht recht gut da. Wenn ich jetzt paranoid wäre ... .
Ach nö, sind ja 101 mit Score ≥ 7
https://www.cvedetails.com/vulnerabilit ... c19c6f1405
Hikaru hat den Score vlt. "politisch" gewählt?!

[DeletedUserReAsG]

Soweit ich das verstanden habe, ist es ein root-only,
das mit "Benutzerkontensteuerung" (nachträglich eingeschränktem root) und sandboxing wieder abgesichert werden soll.

Ganz im Gegenteil: jede App bekommt eine eigene UID und GID, außerdem ist mittlerweile zusätzlich noch SELinux Standard.

[novalix]

Fazit: Traue keiner Statistik, die du nicht selbst gefälscht hast!

Es geht ja nicht immer direkt um "Fälschung", wenn Statistiken manipulativ verwendet werden bzw verwendet werden sollen.
@Schwedenmann meint ja mit "Denkanstoß": Debian taucht in der Liste weit oben auf und ist deswegen wohl doch nicht so sicher. Ganz unten auf der von ihm verlinkten Seite ist dann noch mal eine Zusammenfassung der Sicherheitslücken nach Hersteller. Wenn man sich diese Zahlen anschaut und dann noch davon ausgeht, dass die CVEs bezüglich Debian wohl das gesamte Main-Repo betreffen, dann kann man leicht schließen, dass eine typische Desktop-Installation mit Debian im Gegensatz zu einer typischen Desktop-Installation mit MS, wo ja zumindest der Acrobat-Reader nicht fehlen darf, um Welten weniger Security-Advisories ausgesetzt (sicherer?) ist.
Die Zahlen sind oftmals unschuldig. Das Verstehen ist volatil.

Ein Hörnchen mit zwei Kugeln Stracciatella, per favore.

[guennid]

Ein Hörnchen mit zwei Kugeln Stracciatella, per favore.

Für mich bitte drei!

Inhaltlich möchte ich, an hikaru anknüpfend, das hier vorschlagen.

[DeletedUserReAsG]

Ein Hörnchen mit zwei Kugeln Stracciatella

Ich finde, Einhörncheneis sollte man nicht essen.

[guennid]

[hikaru]

Ich finde, Einhörncheneis sollte man nicht essen.

Was ist mit Eichhörncheneis?

[weshalb]

Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem.

Trifft sich gut. Musste am Mittwoch für Kunden zwei Rechner neu aufsetzen. Einer mit Windows 7 den Anderen mit Windows 8.1.

Beide machen seit der Installation keine Updates und wie ich sicherheitstechnisch nun weiter verfahren soll, weiß ich nicht, da sämtliche Lösungsansätze fehlschlagen. Vielleicht hast du ja einen Rat.

[rendegast]

Einer mit Windows 7 den Anderen mit Windows 8.1.

Beide machen seit der Installation keine Updates und wie ich sicherheitstechnisch nun weiter verfahren soll, weiß ich nicht, da sämtliche Lösungsansätze fehlschlagen.

Die standardmäßigen automatischen Upgrades wurden da explizit deaktiviert.
Vielleicht den Rechner aufsetzen, selbstupgradender Software den Vorzug geben oder entsprechende Verteilungslösung einrichten.
Für die Benutzer normale Accounts anlegen,
und ihnen durch PW den Admin-Account sperren,
dabei nicht den Admin-Account "Administrator" des Rescue-Startmodus vergessen.

live-Medien im Bios sperren, damit nicht chntpw zum Zuge kommen kann.

[plankton]

Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem.

Trifft sich gut. Musste am Mittwoch für Kunden zwei Rechner neu aufsetzen. Einer mit Windows 7 den Anderen mit Windows 8.1.

Beide machen seit der Installation keine Updates und wie ich sicherheitstechnisch nun weiter verfahren soll, weiß ich nicht, da sämtliche Lösungsansätze fehlschlagen. Vielleicht hast du ja einen Rat.

Probier mal, zuerst die folgenden KBs manuell zu installieren:

KB2852386
KB3020369
KB3102810
KB3172605

Das hat bei der letzten Neuinstallation von Windows 7, die ich für jemanden machen musste, die Dauer der Suche nach Updates wieder auf Normalmaß beschleunigt.

--> Alles easy, intuitiv und sicher bei MS. Ist aber vermutlich eher Zermürbungstaktik, um alle zu Windows 10 zu bringen...

[owl102]

Trifft sich gut. Musste am Mittwoch für Kunden zwei Rechner neu aufsetzen. Einer mit Windows 7 den Anderen mit Windows 8.1.

Ich bin auch schon das ganze Wochenende damit beschäftigt, ein Windows 7 mit Compiler, Git, Adobe Reader, Firefox und 7zip aufzusetzen. Wenn es nicht so traurig wäre, wäre es lustig:

• Windows 7 installiert
• Es will "Windows Update" aktualisieren, mache ich.
• Rechner bootet neu. Es findet 3 Updates, die ich installiere.
• Rechner bootet neu. Es will mir Windows 10 andrehen. Nein danke. Es findet ein Update: SP1. Wird installiert.
• Rechner bootet neu. Es will (schon wieder) "Windows Update" aktualisieren, mache ich.
• Rechnet bootet neu. Es findet keine Updates mehr, wirft mir stattdessen einen Fehlercode um die Ohren, Ich google nach dem Fehlercode und erfahre: Entweder KBxxxxx (Nummer vergessen) per Hand installieren oder dem Rechner min. 4GB RAM geben. (Er hat nur 2GB RAM. Das scheint für ein nacktes Windows 7 ohne Anwendungen offensichtlich schon zu wenig, reicht ja nicht einmal zum Installieren von Updates.) Ich installiere den KB.
• Rechner bootet neu. ES findet 78 Updates, die Installation dauert eine Ewigkeit. Über 30 Updates schlagen fehl.
• Rechner bootet neu, Windows 7 ist kaputt.

Vielleicht hast du ja einen Rat.

So bin ich weitergekommen:

• Gleich Windows 7 mit integriertem SP1 installieren. Das ISO gibt es bei MS, wenn man einen Key hat, der MS genehm ist.
• Nicht nach Updates suchen lassen. Den Mist schon während der Installation abstellen.
• Die Updates aus dieser Liste manuell herunterladen und nacheinander in der richtigen Reihenfolge (nach Alter bzw. KB-Nummer) manuell installieren: https://support.microsoft.com/de-de/hel ... te-history
• Danach kann man es wagen, Windows Updates zu aktivieren. Aber nicht vorher. Am besten vorher ein Komplettbackup machen, damit man ggf. hier wieder aufsetzen kann.

Vielleicht hilft dir das weiter.

[weshalb]

Vielen Dank für die Antworten, ich arbeite das jetzt mal ab. Ich habe schon ne Menge probiert (Neuinstall war auch dabei), wobei automatische Updates abgestellt sind. Selbst ein Diagtool für W7 repariert (ich hatte noch nicht mal mehr die Chance, was kaputt zu machen) zwar was, aber danach sucht der sich trotzdem tot. Auch sämtliche Anleitungen mit extra KBxxxxxx, danach KBxyz haben nicht gefunzt. Ich werde irre.


Ich habe schon die Vermutung, dass der "Marktführer" auf Teufel komm raus sein Spybetriebssystem unter die Leute bringen möchte, denn sowas habe ich bisher noch nie erlebt. Merkwürdig ist auch, dass es auf zwei Rechnern mit verschiedenen Betriebssystemen so ist. Ach würde dass doch alles so reibungslos laufen, wie mein Debianserver....

[schwedenmann]

Hallo

@weshalb

Trifft sich gut. Musste am Mittwoch für Kunden zwei Rechner neu aufsetzen. Einer mit Windows 7 den Anderen mit Windows 8.1.

Betriftt das jetzt den Windows-Kernel, oder die Anwenderprogramme

Oder werden jetzt wieder im Streit Linux- vs- Windows Äpfel mit Birnen verglichen, ich vergaß0 Linux ist ja der Kernel, bei win ist es alles!


Ich habe die Statistik nur las 2objektives" statement in den Ring geworfen, denn solche Aussagen "open source ist sicher, da jeder den Code lesen kann, oder "sinn gemäß "Programme aus den repos sind sicherer" sind nat. bullshit, weil die Realität eine andere ist. Eine Infrastruktur wie unetr Linux üblich (finde ich super und ist ein k,o.-Argument gegen Win), aber es ist kein Sicherheitsargument. Ich möchte den maintainer sehen, der bei großen, bis sehrt großen Projekten den kompletten Quellcode überblickt und auf Sicherlücken abgeklopft hat


mfg
schwedenman

[DeletedUserReAsG]

Ich möchte den maintainer sehen, der bei großen, bis sehrt großen Projekten den kompletten Quellcode überblickt und auf Sicherlücken abgeklopft hat

Die Sache ist: bei OSS ist’s immerhin möglich, und wenn auch nur jemand Teile des Codes überfliegt, ist die Wahrscheinlichkeit, dass ein Fehler auffällt, schon mal deutlich höher als bei CSS – wo das nämlich gar nicht erst möglich ist. Und gerade bei großen oder sehr großen Projekten schauen doch oft genug mehrere Leute drüber.

Und dann war da noch die Sache, mit der Fehlerbehebung und den Patches, die ein recht bekannter, größerer Betriebssystemhersteller selbst bei bereits aktiv ausgenutzten Fehlern teils mit erheblicher Verzögerung zur Verfügung stellte, während bei den größeren offenen Projekten in der Regel zeitnah mit Patches zu rechnen ist. Zudem ist dort das Ganze im Normalfall auch noch hübsch transparent dokumentiert, was bei gewissen geschlossenen Sachen ja nun nicht unbedingt die Regel ist.

Ich bleibe dabei: nur, weil Fehler vor einem versteckt werden, kann man nicht davon ausgehen, dass es weniger davon gibt. Natürlich kann man ebensowenig davon ausgehen, dass offener Code automatisch weniger Fehler aufweisen würde.

ich vergaß0 Linux ist ja der Kernel, bei win ist es alles!

In der Tat. Windows ist ein integriertes Produkt aus Kernel und Oberfläche und einigen Programmen, und wird aus einer Hand in einem, nicht zerlegbaren, Stück geliefert, wohingegen Linux nunmal nur der Kernel ist und ein gebrauchsfertiges Linuxsystem eine breit gefächerte Zusammenstellung aus hunderten verschiedenen Quellen, wodurch unterm Strich erheblich mehr Leute jeweils weniger Code zu pflegen haben. Ausnahmen bestätigen die Regel.

[uname]

Wie ich geschrieben habe, kommt es am Ende darauf an was der Angreifer aus der Sicherheitslücke macht. Exploit-Kits wie Angler suche ich bei Linux immer noch vergeblich. Bei Windows nutzt man die Gießkanne, bei Linux wird tropfenweise angegriffen und meistens muss man auch noch selbst nachhelfen, damit der Angriff funktioniert.

[whisper]

Und dann war da noch die Sache, mit der Fehlerbehebung und den Patches, die ein recht bekannter, größerer Betriebssystemhersteller selbst bei bereits aktiv ausgenutzten Fehlern teils mit erheblicher Verzögerung zur Verfügung stellte, während bei den größeren offenen Projekten in der Regel zeitnah mit Patches zu rechnen ist. Zudem ist dort das Ganze im Normalfall auch noch hübsch transparent dokumentiert, was bei gewissen geschlossenen Sachen ja nun nicht unbedingt die Regel ist.

Ich bleibe dabei: nur, weil Fehler vor einem versteckt werden, kann man nicht davon ausgehen, dass es weniger davon gibt. Natürlich kann man ebensowenig davon ausgehen, dass offener Code automatisch weniger Fehler aufweisen würde.

Das entspricht genau meiner Meinung.
Auf meinem Rootserver habe ich bereits einige Male erfolgreiche Angriffe gehabt. Die waren immer erfolgreich, weil das betroffene Produkt nicht auf den aktuellen Sicherheitsstand gewesen ist.
Das ist nämlich auf noch ein Punkt.
Man muß auch als Anwender dafür sorgen, dass man Sicherheitsupdates auch zeitnah durchführt.
Bei Linux ist das ganz einfach, bei Win und Mac ist man immer auf einen Patchday angewiesen, weil die normalerweise immer einige Fälle sammeln.
Und dann gibt es auch noch Anwender die mit ihrem Win PC kaum mal ein Update durchführen, weil "ich mache doch fast nix damit, nur mal eMail und Web"

[Lord_Carlos]

Und dann gibt es auch noch Anwender die mit ihrem Win PC kaum mal ein Update durchführen, weil "ich mache doch fast nix damit, nur mal eMail und Web"

Das geht ja nicht mehr mit Win 10 home.