Linux und Sicher, besser als proprietäre SW ?

[schwedenmann]

Hallo


http://www.heise.de/newsticker/meldung/ ... 89774.html


Hier mal wieder ein Beispiel, das Linux doch nicht so sicher ist, wie von geeks behauptet wird.


mfg
schwedenmann

[DeletedUserReAsG]

Wenn du mal aufmerksam durch dieses Forum liest, wirst du feststellen, dass kaum jemand behauptet, dass Linux so sicher und fehlerfrei wäre, dass gar nichts passieren könnte.

Die aktualisierten Pakete sind verfügbar, btw..

[schwedenmann]

Hallo


@niemand

Wenn du mal aufmerksam durch dieses Forum liest, wirst du feststellen, dass kaum jemand behauptet, dass Linux so sicher und fehlerfrei wäre, dass gar nichts passieren könnte.

Genau diesen Eindruck habe ich nicht.

Linux ist das goldene Kalb, besser, sicherer als andere SW, hier wird teilweise sehr ideologisch, und wenig rational argumentiert. z.B. Opensource ist perse besser, da der Quellcode offenliegt uind jeder ihn einsehen kann (Genau genommen ist das eine große Schwäche, jeder Hacker, IT-Spezi kann die SW analysieren und eine exploit entwicklen). Das obige Beispiel zeigt genau das Gegenteil und gstreamer ist ja wohl kein großes Projekt mit mehreren Millionen Codezeilen , sollte also von den maintainer, so sie den Quzellcode durchforsten machbar sein, sit heir aber wohl nicht geschehen, auch von anderen nciht, war wohl nichts mit "kann jeder untersuchen"

mfg
schwedenmann

[DeletedUserReAsG]

Genau diesen Eindruck habe ich nicht.

Ich bitte um Belege. Es gibt durchaus Leute, die so argumentieren, aber das ist weder die Mehrheit, noch die Regel.

Dass jede Software Fehler enthalten kann, ist kein zu großes Geheimnis. Und ja, bei OSS besteht immerhin die Möglichkeit, dass jemand über den Code schaut und den Fehler sieht, während das bei Closed Source gar nicht erst passieren kann. Daraus abzuleiten, dass das auch in jedem Fall passiert, wäre in der Tat ziemlich naiv. Und zu glauben, wenn bei Closed Source keiner die Fehler durch Blick in den Code finden kann, kann sie auch keiner überhaupt finden und ausnutzen, wäre ebenso naiv. So, wie kleine Kinder, welche die Augen zumachen und meinen, man könnte sie dann auch nicht mehr sehen

Aber wolltest du eigentlich irgendwas mitteilen, oder geht’s nur um Fisch?

[weshalb]

Genau diesen Eindruck habe ich nicht.

Ich definiere Sicherheit inzwischen zusätzlich so, dass meine persönlichen Daten sicher sind. Ob die nun gehakt oder "legitim" nicht nachzuvollziehbar verschwinden, ist mir dabei Wurst, siehe Windows 10 oder Android. Im Moment werkel ich desktopseitig noch mit Windows 7 ( 8.1 umher, da ich mich an viele Programmen einfach zu sehr gewöhnt habe. Das dürfte nach Supportende anders sein.

Für mich ist schon alleine deshalb Linux das sicherere System.

[MSfree]

Hallo

http://www.heise.de/newsticker/meldung/ ... 89774.html
Hier mal wieder ein Beispiel, das Linux doch nicht so sicher ist, wie von geeks behauptet wird.

Hier mal wieder ein Beispiel, daß manche Zeitgenossen völlig unreflektiert irgendwelche Heise-Panikmeldungen wiedergeben.

Ich lese da Tracker, Bad Plugins, Chrome. Das ist alles nicht Linux (Linux ist der Name des Kernels und nicht der Desktopumgebung) sondern Anwendungsprogramme, die unter Windows den gleichen Fehler auslösen würden.

Davon abgesehen, halte ich diese Tracker und Filesystemwatcher sowieso für überflüssig und gefährlich. Auch unter Windows führt die automatische Thumbnailgenerieung regelmässig zu Problemen und lasten Rechner bis zur Unbenutzbarkeit aus und BSODs hatte ich dadurch auch schon unter Win7/10. Wir empfehlen unseren Anwendern in großer roter Schrift auf der ersten Handbuchseite, diesen Ramsch abzuschalten und auf meinen Linuxrechnern ist sowas gar nicht erst installiert.

[Lord_Carlos]

Linux wird umgangssprachlich gerne mal fuer das ganze Ökosystem rund um den Kernel benutzt Das sollte man sich nicht so zu herzen nehmen.

[owl102]

Linux wird umgangssprachlich gerne mal fuer das ganze Ökosystem rund um den Kernel benutzt Das sollte man sich nicht so zu herzen nehmen.

Das birgt aber ein sprachliches Problem. Ich entwickele eine shitty Anwendung für Linux, irgendeine blöde Distribution kommt auf die Idee, die in ihr Repository zu übernehmen, und schon ist "Linux unsicher"?

Was haben wir hier: Fedora Workstation hat per default gstreamer1-plugins-bad-free installiert. Dies birgt ein indirektes Problem, welches man durch Installation von Fremdsoftware aus einem Fremdrepository (wie z.B. Google Chrome) ausnutzen kann. Das ganze ist lediglich ein Problem im Userspace, denn der Tracker läuft nicht mit root-, sondern Benutzerrechten,

Und schon ist "Linux gehackt"?

Für mich läuft das mehr unter "Äschi bätschi, auch euch kann man etwas untermogeln", was aber nie zur Diskussion stand. Wer weiß, was viele von uns alleine mit der Installation von Adobe Flash an Sicherheitslücken auf den Rechner gebracht haben.

[TuxPeter]

Ich sehe das recht grundsätzlich:
Linux und sein Open-Source-Umfeld erlauben mir grundsätzlich, Herr meines Rechners zu bleiben.
Closed Source erlaubt mir das grundsätzlich nicht.

[MSfree]

BTW: Der Vergleich zu Windows hinkt IMHO alleine schon deswegen gewaltig.

Das sehe ich nicht so.

Das eigentlich Fehler liegt in der Thumbnailgenerierung, die der Tracker auslöst und dazu ein Bad-Plugin verwendet. Die Beteiligung von Chrome ist eigentlich nur indirekt, weil Chrome automatisch den Download einer manipulierten Mediendatei in ein Standardverzeichnis anstößt, was vom Tracker erkannt wird und zur Thumbnailgenerierung führt.

Der gleiche Mechanismus existiert so auch unter Windows.

[whisper]

Ziemlich weit entfernt von einem Angriffs-Szenario

Fedora
Chrome
Tracker bzw. Gnome
gstreamer bad plugins

Heise verkommt zu einem Suchmaschinen optimierten, banalisierenden Portal zum Werbeeinnahmen generieren

Ich sehe nur die Überschrift:
" Webseite aufgerufen, Linux gehackt "

[Liffi]

Sicherer als proprietäre Software würde ich dennoch bejahen. Als Superbeispiel wird hier sicher mal Flash in die Geschichtsbücher eingehen.

Wo Software geschrieben wird, werden Fehler gemacht. Bei OpenSource Software können andere deutlich einfacher Fehler finden, z.B. das google security Team, dass sich schon mal Software vornimmt und Fehler sucht.
Sie machen das auch in proprietärer Software. Aber da gehen dann üblicherweise nur Blackbox Tests, was deutlich weniger effektiv ist.

Ich habe letztens einen Artikel gelesen, in dem der Grundtenor war: Die Bösen kommen eh rein, wie kann man das schnell erkennen und wie verhindern, dass alle Daten rausgetragen werden. Ich werde versuchen, ihn später mal wieder zu finden und hier zu posten.

[Tula]

Ich sehe das recht grundsätzlich:
Linux und sein Open-Source-Umfeld erlauben mir grundsätzlich, Herr meines Rechners zu bleiben.
Closed Source erlaubt mir das grundsätzlich nicht.

Full ACK! Wer hingegen Linux nutzt, weil es kein Geld kostet und/oder sicher ist, ist nur schwach motiviert. Diese Diskussion ist auch für meine Grundsatzentscheidung uninteressant.

[ViNic]

Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem. Einfach weil Mcrosoft das wohl meisten lernen musste, auch zum Teil sehr schmerzhaft. Heute sind ihr System entsprechend getrimmt, was OSX und Linux praktisch noch nie mussten. Ihre Sicherheit steht überwiegend auf dem Papier. Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.

Theoretisch kann man die OSS analysieren, praktisch kann das nur jemand der Programmieren auf hohem Niveau betreibt, die Sprache und die Software kennt. Also grobe Fehler kann auch ein Programmieranfänger finden und beseitigen. Alles andere? Meine persönliche Erfahrung ist die, das ich mit PHP ganz gut klar komme, aber zb. bei C++ geschriebenen Software erstmal schauen muss wie C++ funktioniert und auf was man sonst achten muss. PHP und C++ teilen sich die gleiche Syntax, arbeiten jedoch unterschiedlich. Bis ich zb. den Code von LibreOffice prüfen kann, vergehen Wochen, weil man sich in C++ und anschließend mit dem LibreOffice Code beschäftigen muss.

Es ist also nicht so das jeder sich den Code schnappen, prüfen und Veränderungen einbringen kann. Wenn es so einfach wäre, würde es ja jeder machen

[rendegast]

Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.

Soweit ich das verstanden habe, ist es ein root-only,
das mit "Benutzerkontensteuerung" (nachträglich eingeschränktem root) und sandboxing wieder abgesichert werden soll.

[uname]

Grundsätzlich kann man ja erst mal annehmen, dass Windows und Linux gleich sicher sind. Das Problem ist dann eigentlich nur was man weiterhin mit dem System macht. Bei Windows installiert man in der Regel weitere Software aus unbekannten Quellen. Bei Linux hat man mit seiner Paketverwaltung ein recht sicheres Baukastensystem. Aber natürlich kann man sich auch bei Linux sehr schnell von seiner Paketverwaltung entfernen. Beispiele sind hier z.B. Flash oder auch das oben aufgeführte Multimedia-Zeug.

Vorteil bei Linux ist, dass man recht gut mit der Software aus der Paketverwaltung auskommen kann. Auch kann man versuchen auf "contrib" und "non-free" so weit wie möglich zu verzichten. Bei Windows muss man auch nur eine Inventur darüber machen was man so alles irgendwann mal installiert hat. Im optimalsten Fall war es gar nichts.

Sowohl die Paketverwaltung unter Linux als auch das Patchmanagement bei Windows kümmert sich darum, dass Standardsoftware aktuell gehalten wird. Gedanken muss man sich eigentlich nur um den Rest machen, der bei Linux meist weit geringer ist. Daher sehe ich Debian GNU/Linux als sicherer an.

[whisper]

Ich halte mittlerweile Windows für das sicherste Desktop-Betriebssystem. Einfach weil Mcrosoft das wohl meisten lernen musste, auch zum Teil sehr schmerzhaft. Heute sind ihr System entsprechend getrimmt, was OSX und Linux praktisch noch nie mussten. Ihre Sicherheit steht überwiegend auf dem Papier. Wie es tatsächlich aussehen kann, sieht man an Android. Nichts anderes aks eine Linux-Distribution.

Dein Eindruck lässt sich allerdings für das Jahr 2015 nicht bestätigen
http://www.gfi.com/blog/2015s-mvps-the- ... e-players/

[uname]

Auf eine Sicherheitslücke muss noch irgendwas Sinnvolles für den Angreifer erfolgen. Was bringt also die beste Sicherheitslücke wenn am Ende die Malware nur unter Windows läuft.

http://www.talosintelligence.com/angler-exposed
https://heimdalsecurity.com/blog/exploi ... yber-crime

[ViNic]

Dein Eindruck lässt sich allerdings für das Jahr 2015 nicht bestätigen
http://www.gfi.com/blog/2015s-mvps-the- ... e-players/

Aber das Windows allgemein sicherer als Ubuntu ist

Auf diese und ähnliche Berichte nehme ich nichts mehr. Schon viel gesehen, wenn auch nicht genug. Die erste Sicherheitslücke ist nunmal der Mensch.

[schwedenmann]

Hallo


Nur mal als Denkanstoß

https://www.cvedetails.com/top-50-produ ... ?year=2016


mfg
schwedenmann

P.S.
Die Liste ist bestimmt ein fake, kann so gar nicht sein.

[uname]

Interessant. Durch den Verzicht auf Adobe Flash spare ich fast so viele Sicherheitslücken ein wie in Debian GNU/Linux vorkommen. Zudem sind die Flash-Lücken weit höher bewertet.

Ich lese lieber die Sicherheitslücken laut:

http://www.debian.org/security

... und versuche den dort genannten Programmen einfach aus den Weg zu gehen bzw. überlege mir wo das Risiko wirklich sein kann

[Liffi]

Was zählt da zu was? Ist Windows nur der Kernel und die mitgelieferten Programme? Wird da unter Debian für alle installierbaren Packages gezählt?

Zumindest letzteres klingt für mich so, wenn ich mir z.B. CVE-2016-2806 anschaue:

Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 46.0 and Firefox ESR 45.x before 45.1 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.

Ich würde jetzt z.B. nicht erwarten, dass der in der Standardinstallation dabei ist. Werden Firefox Fehler unter Windows auch zu Windows gezählt?

[hikaru]

Nur mal als Denkanstoß

https://www.cvedetails.com/top-50-produ ... ?year=2016

Gegenbeispiel mit den selben Quelldaten (CVE Score >=7 für 2016):
Debian: 69 [1]
Win10: 103 [2]
Win8.1: 95 [3]
Win7: 89 [4]
OSX: 116 [5]

passende Heise-Schlagzeile dazu:
Windows mit bis zu 50% mehr Sicherheitslücken als Linux

Fazit: Traue keiner Statistik, die du nicht selbst gefälscht hast!
Vielleicht als interessante Lektüre dazu (selbst nicht gelesen): "Lügen mit Zahlen" (ISBN: 978-3453173910)

Wer möchte ein Eis?


[1] https://www.cvedetails.com/vulnerabilit ... a4e8c895ea
[2] https://www.cvedetails.com/vulnerabilit ... 9da2b1b95c
[3] https://www.cvedetails.com/vulnerabilit ... 254adb19e9
[4] https://www.cvedetails.com/vulnerabilit ... 5d5af7d8fc
[5] https://www.cvedetails.com/vulnerabilit ... 03e5b82cac

[BenutzerGa4gooPh]

Wer möchte ein Eis?

Aber kein Fisch- oder Knoblaucheis.
https://www.cvedetails.com/top-50-produ ... ?year=2016
RedHat (damit auch das bitgleiche CentOS) steht recht gut da. Wenn ich jetzt paranoid wäre ... .
Ach nö, sind ja 101 mit Score ≥ 7
https://www.cvedetails.com/vulnerabilit ... c19c6f1405
Hikaru hat den Score vlt. "politisch" gewählt?!

[DeletedUserReAsG]

Soweit ich das verstanden habe, ist es ein root-only,
das mit "Benutzerkontensteuerung" (nachträglich eingeschränktem root) und sandboxing wieder abgesichert werden soll.

Ganz im Gegenteil: jede App bekommt eine eigene UID und GID, außerdem ist mittlerweile zusätzlich noch SELinux Standard.