Live System für Online Banking und Surfen

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 30.04.2016 14:54:06

uname hat geschrieben:Anwender lassen sich durch Malware auffordern z.B. eine Testtransaktion durchzuführen.
Das setzt voraus, dass Du entweder schon von vornherein durch eine lokal installierte Malware auf eine getürkte Seite umgeleitet worden bist oder dass Dein Rechner/Browser anderweitig bereits kompromittiert ist. Das bedeutet: Dein Rechner war schon VOR dem Onlinebanking kompromittiert.

Ich habe aber gesagt (jetzt hier in Kurzform und aus dem Zusammenhang gerissen):
Das Risiko sich Schadsoftware einzufangen ist dabei m.E. nicht gegeben, da keine Möglichkeit besteht, irgendwas zu "importieren" und zur Ausführung zu bringen. Die einzige Möglichkeit das System zu kompromittieren besteht meiner Meinung nach durch "innere" Sabotage.
Das bedeutet: Das System ist VOR dem Onlinebanking erst mal sauber, der Rechner ist NICHT kompromittiert! Und auf Grund der durch Einstellung vorhandenen Restriktionen ist -das behaupte ich- eine Kompromittierung ohne Sabotage gar nicht möglich.

Wenn ein Anwender allerdings irgendeiner subversiven Aufforderung nachkommt oder sich nicht vergewissert, dass er auf der richtigen URL ist und somit selbst die Sicherheit ausser Kraft setzt, dann ist nicht Windows schuld, sondern der Anwender.... und dagegen hilft imho gar nichts. Deshalb wechsel ich zur Bank-Seite auch nie über eine Suchmaschine, sondern immer über eine hier hinterlegte URL.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 01.05.2016 09:30:58

TomL hat geschrieben:Das setzt voraus, dass Du entweder schon von vornherein durch eine lokal installierte Malware auf eine getürkte Seite umgeleitet worden bist oder dass Dein Rechner/Browser anderweitig bereits kompromittiert ist. Das bedeutet: Dein Rechner war schon VOR dem Onlinebanking kompromittiert.
Das ist mindestens beim Online Banking immer so. Also full ACK.


Ich habe aber gesagt (jetzt hier in Kurzform und aus dem Zusammenhang gerissen):

Das Risiko sich Schadsoftware einzufangen ist dabei m.E. nicht gegeben, da keine Möglichkeit besteht, irgendwas zu "importieren" und zur Ausführung zu bringen. Die einzige Möglichkeit das System zu kompromittieren besteht meiner Meinung nach durch "innere" Sabotage.


Das bedeutet: Das System ist VOR dem Onlinebanking erst mal sauber, der Rechner ist NICHT kompromittiert! Und auf Grund der durch Einstellung vorhandenen Restriktionen ist -das behaupte ich- eine Kompromittierung ohne Sabotage gar nicht möglich.
TomL hat geschrieben:Wenn ein Anwender allerdings irgendeiner subversiven Aufforderung nachkommt oder sich nicht vergewissert, dass er auf der richtigen URL ist und somit selbst die Sicherheit ausser Kraft setzt, dann ist nicht Windows schuld, sondern der Anwender.... und dagegen hilft imho gar nichts.
Beim Online-Banking-Betrug ist er immer auf der richtigen Seite. Ist keine billige Phishing-Seite wo man sein E-Mail-Zugangsdaten eintippt. Der Trojaner benötigt die Mithilfe des Anwendes und natürlich muss der Anwender selbst mit seiner Bank über die echte SSL-Verschlüsselung kommunzieren. Was bringen dem Angreifer deine Online-Banking-Zugangsdaten wenn er deine EC-Karte zur Erzeugung einer gültigen TAN nicht hat.
TomL hat geschrieben:Deshalb wechsel ich zur Bank-Seite auch nie über eine Suchmaschine, sondern immer über eine hier hinterlegte URL.
Wie gesagt das hilft dir nichts oder sagen wir mal dem Windows-Anwender mit Malware. Schau dir mal das Bild unter [1] an. Schau dir vor allem die oben aufgeführte URL an. Sie ist vollkommen korrekt. Die Malware ändert den Inhalt der Internetseite. Da hilft dir die Eingabe der korrekten URL oder auch eine Prüfung des SSL-Zertifikats herzlich wenig. Das Malware-verseute System kann alles behaupten. Die Frage ist nur ob der Anwender es glaubt. Und wie gesagt immer nur eine TAN für eine Transaktion generieren, die man tatsächlich durchführen will [2]. Hier sollte man spätestens den Betrug bemerken und die TAN nicht generieren oder mindestens nicht an die Bank übermitteln. Wenn doch gehören die im Beispiel aufgeführten 6500,35 Euro nun jemand anderen. Vollkommen korrekt, da du ja mit de Eingabe der TAN dieses bestätigt hast.

[1] https://vorsicht-email.de/wp-content/up ... demo01.jpg
[2] https://vorsicht-email.de/wp-content/up ... demo05.jpg

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 21:09:21

Wenn wir mal annehmen würden, dass es eine Distribution gibt die als Live System läuft und sehr sehr häufig mit Updates versorgt wird.

Solange nur die jeweils aktuelle Version verwendet wird, schützt diese Vorgehensweise gegen Angriffe die aktiv gegen das Gerät gefahren werden wie zum Beispiel Keylogger?

Das Szenario ist ein gefährderter Rechner der mit Angriffen rechnen muss. Schützt man diesen PC für eine einzelne Internetsession effektiv schon durch eine VM, oder sollten Paranoide doch zu einem nicht beschreibbaren Live System tendieren?

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 04.05.2016 21:19:40

Wie ich schon mal geschrieben habe: Nicht das perfekte System, sondern die richtige Anwendung des Online Bankings löst das Problem.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 21:41:49

Gilt das dann auch für das normale Surfen dass ein Live System auf einer CD oder DVD nicht sicherer ist als eine Debian Installation und VM für den jeweiligen Zweck?

Die VM lässt sich von außen nicht angreifen oder kompromittieren?

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 04.05.2016 21:45:55

Natürlich ist Debian sicherer als Windows und Debian Live sicherer als Debian. Das Live-System vergisst jeden Schadcode beim Beenden. Nur beim Online Banking ist eingeplant, dass der Anwender mit einem verseuchten System arbeitet. Wenn es nur um einfache Passwörter und nicht wie beim Online Banking um Zwei-Faktor-Authentisierungen geht, ist natürlich ein nicht verseuchtes System von Vorteil. Ein-Faktor-Authentisierungen wie E-Mail-Account-Passwörter lassen sich auf verseuchten Systemen leicht auslesen. Wo zwei Faktoren benötigt werden muss noch die "Dummheit" des Anwenders hinzukommen, da das System bzw. der Schadcode auf den zweiten Faktor keinen Zugriff hat. Für das normale Surfen nutze ich jedoch mein normales Debian Jessie, recht minimal installiert (Debianopenbox) mit sehr restriktiven Iceweweasel-Konfigurationen (z.B. ~/.mozilla in der Ramdisk). Das muss dann reichen. Gegen Schadcode im Betriebssystem hilft es jedoch nicht. Wobei mein normaler Benutzer kann es dort auch nicht platzieren.
Die VM lässt sich von außen nicht angreifen oder kompromittieren?
Von außen ist auch Windows nicht angreifbar, da der DSL-Router eingehende Verbindungen gar nicht zuordnen kann. Der Angriff erfolgt von innen durch den Anwender selbst. Das geht natürlich auch in einer VM und die Gefahr hängt eher vom Gast-Betriebssystem als vom Host-Betriebssystem ab. Windows in einer VM ist unsicher. Ok nur im Windows in der VM.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 21:56:19

Wenn man sich dazu entscheiden würde Debian Live verwenden zu wollen, reicht es die jeweils aktuellste Version auf CD oder DVD zu verwenden?
Wie würde man Debian Live auf einem optischem Medium aktuell halten wollen zwischen den Versionsupdates?

Edit:

Mit die VM von außen angreifen war ein Angriff innerhalb des Systems gemeint, von einer möglichen Schadsoftware auf dem laufenden Gerät die in die VM eindringen könnte.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 04.05.2016 22:07:20

Ich halte normale Angriffe wie bei Windows (Bots usw.) bei Debian für sehr unwahrscheinlich. Es gibt Live-Versionen (dann auf USB-Sticks), die mit Hilfe von persistenten Teilbereichen auch aktualisiert werden können. Da Daten nicht gelöst werden vom komprimierten ISO nimmt die Datenmenge dann natürlich zu. Persönlich halte ich es für unnötig ein Live-System zu aktualisieren. Was soll denn passieren? Ok man kann ja http://security.debian.org lesen und wenn dort doch mal der Iceweasel eine Sicherheitslücke hatte kann man nachlesen was es war und überlegen ob es irgendwie von Interesse sein könnte.
Sinnvoller ist es den normalen Rechner und das normale Betriebssystem zu sichern. Auswahl Betriebssystem? Muss es wirklich so viel Software sein? Software aus Fremdquellen? Konfiguration der Dienste? Evtl. Zusatzbenutzer für Surfen? Ramdisk damit der Rechner unwichtige Daten vergisst? Backupstrategie? ...
Und am wichtigsten: Verstehen wo überhaupt die Risiken im Internet liegen. Man muss z.B. leider einsehen, dass man mit Linux gar nicht zur Zielgruppe der Angreifer gehört. Schade eigentlich wenn man folgendes liest.

http://www.heise.de/newsticker/meldung/ ... 97135.html

Hätte mich gerne mal ernsthaft mit dem Thema Verschlüsselungstrojaner beschäftigt. Nun ist mir weiter langweilig und ich schreibe sinnlose Texte in diesem Forum. Und ja ich habe trotzdem ein aktuelles Backup, welches natürlich nicht online erreichbar ist.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 04.05.2016 22:45:05

Unwahrscheinlich aber denkbar ist heute leider vieles :(
Ein USB der in Teilen aktualisiert werden kann ist wieder ein Einfallstor für mögliche Manipulationen, man bedenkt das Gerät ist eine potentielle Gefahrenquelle. (Den physischen Diebstahl muss man sicherlich auch bedenken) daher würde eine vergessliche Live Distributionen selbst in diesem Fall keine Daten erheben können.
Sicherheitslücken die von Zeit zu Zeit auftreten würden je nach Schwere eine ungefixte Live Version unbrauchbar machen, man könnte jedoch bis zu einem effektiven Fix ausweichen falls nötig wie du sagtest.
Ein Live Debian scheint mir vom Ansatz noch effektiver zu wirken als eine rechtelose und isolierte VM.

Dass Linux weiterhin nicht "die" Zielgruppe für Angreife sein wird denke ich ändert sich auch in der Zukunft immer mehr wenn gerade immer mehr User von Windows los kommen wollen.
Wenn man nicht gleich schon in die Linux Mint Falle getappt ist. :S


Das aktuelle Backup liegt dann natürlich offline und unvercloudet. Danke für deine Antworten!

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 05.05.2016 06:27:03

Wenn man nicht gleich schon in die Linux Mint Falle getappt ist. :S
Die Linux Mint-Falle mit den falschen ISOs wäre bei Debian undenkbar, da die ISOs nicht nur wie jede Malware eine Prüfsumme haben, sondern die Prüfsumme über höhere Ebenen signiert ist. Die Prüfsumme hilft nur wenn sie irgendwo auch vertrauenswürdig verwaltet (signiert) wurde und vom Angreifer nicht gleich mit geändert wurde (unerkannt werden konnte). Wer einfach ein Debian-ISO downloadet und die Prüfsumme nicht oder falsch kontrolliert kann auch bei Debian ein Problem bekommen. Aber auch das ist kein Designfehler, sondern ein Anwenderfehler. Es ist aber richtig, dass das korrekte Überprüfen der ISOs kaum bekannt ist.

https://linuxconfig.org/how-to-verify-a ... iso-images

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 05.05.2016 09:33:03

Herzlichen Dank @uname dass du mein Anliegen ernst nimmst.
Werde ein Debian Live verwenden. Danke dir

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 06.05.2016 21:19:30

Alle modernen Computer haben heute ein UEFI Bios, also ein riesiges herstellerseitiges Einfallstor auf Hardwareebene.

In Resumee des bisherigen Threads, machen irgendwelche Sicherheitsvorkehrungen aus Sicht der UEFI "Lücke" überhaupt irgend etwas hilfreiches?

Was denkt ihr darüber? Das würde ein Live System wie eine VM äußerst angreifbar machen?

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Live System für Online Banking und Surfen

Beitrag von uname » 06.05.2016 21:49:36

Meine Rechner sind alle zum Glück alt genug. Habe nie verstanden wofür man UEFI braucht. Und da es ja hier ein wenig um Sicherheit im dem Thread geht: Alles was unnötig ist, ist eine potentielle Sicherheitslücke.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 07.05.2016 12:40:28

Ist Intels EFI dasselbe wie UEFI?

Welche Generationen wurden eigentlich noch mit einem normalen Bios ausgeliefert?

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: Live System für Online Banking und Surfen

Beitrag von KP97 » 07.05.2016 14:58:09

@urkle
Meinst Du nicht, daß das Thema Online-Banking und Sicherheit nun mehr als abgehandelt ist und der Sprung nach UEFI nur noch mehr ausufert?
Wenn Du mit den wirklich hilfreichen Tipps immer noch nichts anfangen kannst, such Dir eine Bank mit Filialen und fahre persönlich dorthin.
Dann kannst Du sicher sein....
...es sei denn, Du wirst überfallen, aber das ist wieder ein anders Thema...

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 07.05.2016 22:50:31

Ich wollte nur den Punkt anschneiden und auf eure kompetente Meinung hoffen. EFI oder UEFI ist nun mal ein mächtiges Mittel, komplett unabhängig vom verwendeten Betriebssystem.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 23.06.2017 09:45:33

Wenn man ein Live System auf einem USB Stick benutzt ist es möglich dass der restliche Speicherplatz des Sticks mit Schadsoftware belastet werden kann, kann das theoretisch und praktisch auch mit einer DVD in einem DVD Brenner passieren?

Kann man auf eine Live DVD mit dem internen Brenner nachträglich noch Schadsoftware hinzufügen von außen?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Live System für Online Banking und Surfen

Beitrag von MSfree » 23.06.2017 09:57:43

urkle hat geschrieben:Kann man auf eine Live DVD mit dem internen Brenner nachträglich noch Schadsoftware hinzufügen von außen?
Dazu müßte das DVD-Medium noch nicht abgeschlossen sein. Wenn man ein normales Image auf eine DVD brennt, ist das Medium normalerweise abgeschlossen und es kann nichts mehr angefügt werden. Mit R/W-Medien könnte man das aber wohl aushebeln.

Der Angriffsvektor ist aber alles andere als trivial. Das Live-Medium ist ja nicht daruf ausgelegt, nach dem Start nach eventuell hinten angehängeten Partitionen zu suchen, diese zu mounten und dann von dort Schadsoftware zu starten. Das Live-System ignoriert ja alles, was hinten überflüssigerweise noch auf dem Medium steht. Da müßte man schon eine Sicherheitslücke im Bootloader ausnutzen, um da überhaupt ranzukommen. Der Bootloader ist aber ein winziges Stück Assemblercode, bestehend aus ein paar hundert leicht überprüfbaren Bytes, den man schon als fehlerfrei ansehen kann.

Problematischer ist, daß auf dem DVD-Image, das du aus dem Internet runterlädst, von vorn herein Schadsoftware sein kann.

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 23.06.2017 10:05:47

MSfree hat geschrieben: Problematischer ist, daß auf dem DVD-Image, das du aus dem Internet runterlädst, von vorn herein Schadsoftware sein kann.
Diese Annahme wäre theoretisch auch möglich bei käuflichen Debian Images? Auch wenn ich annehme, dass dies der Community relativ schnell auffallen würde?

Mehr als auf die Prüfsummen kann man selbst nicht vertrauen bei einem Download von den Debian Servern?

BenutzerGa4gooPh

Re: Live System für Online Banking und Surfen

Beitrag von BenutzerGa4gooPh » 23.06.2017 10:31:28

Diese Annahme wäre theoretisch auch möglich bei käuflichen Debian Images? ...
KP97 hat geschrieben:@urkle
Meinst Du nicht, daß das Thema Online-Banking und Sicherheit nun mehr als abgehandelt ist und der Sprung nach UEFI nur noch mehr ausufert?
Wenn Du mit den wirklich hilfreichen Tipps immer noch nichts anfangen kannst, such Dir eine Bank mit Filialen und fahre persönlich dorthin.
Dann kannst Du sicher sein....
...es sei denn, Du wirst überfallen, aber das ist wieder ein anders Thema...
:THX:

@urkle: Reichtum macht wohl Sorgen? Die Steuerfahndung mit direktem Kontenzugriff und CD-Einkäufen solltest du nicht vergessen. Mittlerweile gibt es auch DVDs, Datenspeicher im TB-Bereich. :wink:
Auch Reiche haben materielle Sorgen. Die meisten haben Angst vor dem sozialen Abstieg, zeigt eine Studie. Beamte hingegen sorgen sich in Sachen Geldfragen am wenigsten.
http://www.spiegel.de/wirtschaft/sozial ... 45178.html
Zuletzt geändert von BenutzerGa4gooPh am 23.06.2017 11:21:56, insgesamt 4-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Live System für Online Banking und Surfen

Beitrag von MSfree » 23.06.2017 10:37:01

urkle hat geschrieben:Diese Annahme wäre theoretisch auch möglich bei käuflichen Debian Images? Auch wenn ich annehme, dass dies der Community relativ schnell auffallen würde?

Mehr als auf die Prüfsummen kann man selbst nicht vertrauen bei einem Download von den Debian Servern?
Die von dir genannten Schutzmaßnahmen sind lieb gemeint und schützen die, die ohnehin schon ein höheres Verständnis der Bedrohungslage haben als der normale Endverbraucher.

Die Lücke, die hier besteht, liegt z.B. da, wo Linux-Live-Images von anderen Quellen runterladbar sind. Wer garantiert dafür, daß ein Image, das man sich von einer vermeintlich seriösen Quelle (c't, Chip, PCGH...) runterlädt, auch wirklich frei von Schadsoftware ist? Einerseits prüft der normale Endverbraucher die Prüfsummen ganz bestimmt nicht. Andererseits, wenn es einem Angreifer gelingt, schadhafte Images bei einem seriösen Server zu platzieren, dann kann er dort auch angepaßte Prüfsummen zur Verfügung stellen. Wer prüft schon, ob die Prüfsumme auf dem Downloadserver mit der Prüfsumme bei debian.org üebreinstimmt?

Es gibt leider keine Infrastruktur, um Prüfsummen zwangsweise mit dem Masterserver und gegen die runtergeladene Datei abzugleichen. Selbst wenn, wer garantiert für die Integrität des Masterservers?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Live System für Online Banking und Surfen

Beitrag von Lord_Carlos » 23.06.2017 11:00:05

urkle hast du die Befuechtung das du dir zufaellig was einfaengts?
Oder das jemand genau dich gezielt angreift?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

urkle

Re: Live System für Online Banking und Surfen

Beitrag von urkle » 23.06.2017 15:26:39

MSfree hat geschrieben: Es gibt leider keine Infrastruktur, um Prüfsummen zwangsweise mit dem Masterserver und gegen die runtergeladene Datei abzugleichen. Selbst wenn, wer garantiert für die Integrität des Masterservers?
Die Gefahr eines schadhaften Images, auch von Debianservern, ist also höher als die Gefahr nachträglich über die DVD angegriffen zu werden zu können?

Würde ansonsten ein DVD-ROM Abhilfe schaffen oder kann hier per Software auch nachträglich auf eine DVD Daten geschoben werden?

Mir geht es hier um die reine Machbarkeit

owl102

Re: Live System für Online Banking und Surfen

Beitrag von owl102 » 24.06.2017 12:43:45

TomL hat geschrieben:Windows selber enthält technisch betrachtet definitiv kein größeres Risiko als Linux.
Dem wage ich zu widersprechen:
  • Windows wurde nicht bzgl. Sicherheit konzipiert, sondern Sicherheit wurde erst nachträglich implementiert. Das geht nur mit Kompromissen und unter Schmerzen. Und zu lange wurde Sicherheit nur mit niedriger Priorität seitens MS behandelt. Seit wann kann man Microsoft Access (endlich) ohne Admin-Rechte starten? Wieso wurde das nicht von MS gefixt, als die erste MS-Office-Version für Windows NT herauskam?
  • Auch bei der Windows NT-Schiene, die erstmalig "Sicherheit" als Konzept kannte: Zuviele Dinge (der neue Desktop, ...) wurden in Windows 95/98/ME ohne SIcherheitskonzept implementiert, und dann erst nachträglich in die NT-Schiene portiert. (Beispiel: Link-Dateien, und damit auch das nicht-vorhandene Sicherheitskonzept diesbezüglich.)
  • Es gibt keine Installations-Scripts, sondern Anwendungen. Und dadurch gibt es keine bzw. kaum Möglichkeit zu schauen, was die Installation alles macht. Die UAC abschalten? Die Firewall durchlöchern? System-DLLs austauschen? (Ja, ich kenne die sysinternals-tools. Erstens wurden die aber nicht von MS entwickelt, und zweitens sind die nur ein Workaround.) Bei einem deb-Paket hingegen kann ich mir preinst, postinst usw. vor(!) der Installation anschauen.
  • Anwendungen müssen per Setup.exe installiert werden. Es gibt kein Repository für Anwendungen. Und damit muß man bei jedem Setup selber abschätzen: Vertraue ich dem Web-Anbieter des Setup.exe? Wie wahrscheinlich ist es, daß die Web-Site gehackt wurde? Prüft das Setup, ob es manipuliert wurde oder nicht? (In der Regel nicht.) Usw.
  • Sicherheitsupdates von Anwendungen werden den Anwendungen überlassen. Manche wie Firefox und Adobe Reader haben eigene Mechanismen (wie gut sind die? wie anfällig? wie angreifbar?), manche nicht. Da muß der Anwender selber schauen, daß er alles up-to-date hält, und jedesmal muß er dabei wieder den vorherigen Punkt durchgehen.
  • Sicherheitskompromisse bzgl. Geschwindigkeit. Vor Windows NT4 lief einiges im Ring 3, was ab Windows 2000 aus Performancegründen nach Ring 0 portiert wurde. Linux hat eine gefühlte Ewigkeit gebraucht, um "rootless X" zu realisieren, MS hatte das mit Windows NT 3.1. Aber leider nur bis einschließlich NT 3.51.
  • Sicherheitskompromisse bzgl. Bequemlichkeit. UAC? Ein schlechter Witz. Man stelle sich ein Linux vor, wo man nur gelegentlich nach dem root-Passwort gefragt wird, und dann ist auch noch der "Nervigkeitsgrad" einstellbar. Und es wäre komplett abschaltbar. Und selbst wenn es nicht abgeschaltet ist, läßt es sich mit einem Tastendruck bestätigen, und damit auch von Fremdanwendungen, HIDs usw. Diese Distribution würde zu Recht völlig verrissen werden. Bei Windows ist das bis heute ganz normal, und sogar eine deutliche Verbesserung gegenüber Windows XP. BTW: Warum hatte der Standardbenutzer noch unter XP volle Adminrechte? Bestimmt nicht, weil "Sicherheit" die höchste Priorität hatte. (BTW: Die Abfrage "Der Treiber ist nicht signiert, möchten sie ihn trotzdem installieren" konnte man auch schon immer als Installationsprogramm selber bestätigen, kein Problem, been there, done that.)
  • Sicherheitskompromisse bzgl. Kompatibilität. Alte Anwendungen müssen eben auch unter Windows 10 laufen... Ich erinnere mich noch an einen Kampfspruch von MS, der im MSJ zu lesen war: "Unter Chicago werden nur ca. 20% der Anwendungen ohne Anpassungen laufen!" (Die genaue Prozentzahl weiß ich nicht mehr und meine MSJs habe ich schon längst entsorgt.) Das war als Qualitätsmerkmal gemeint! Nur leider kam dann IBM mit OS/2 in die Potte und so hat MS die Anforderung in "99% aller Anwendungen müssen ohne Anpassungen laufen" geändert.
  • Updates funktionieren bis heute nicht. 7 Updates werden installiert, 2 schlagen fehl. Kümmert Windows 7 nicht sonderlich. Wenn ich da nicht manuell "erneut installieren" auswähle, sind die eben nicht installiert. Waren ja nur Updates, die als "kritisch/wichtig" eingestuft waren. Möchte man wissen, was da nicht gepatcht wurde, muß man KB-Artikel lesen und die Glaskugel zusätzlich zur Hilfe nehmen, denn so detailiert wie bei Linux bekommt man nicht heraus, was genau das (nicht-gepatchte) Problem war bzw. ist.
  • Sicherheit vs. Umsatz: Siehe zum Beispiel "Chicago" oben. MS muß immer abwägen: Marktdominanz/Marktanteil, in wie weit kann man es sich finanziell leisten, Benutzer mit Sicherheit zu gängeln oder Dinge inkompatibel zu machen. Wieso ist die UAC so wie sie ist? Und nicht wenigstens mit einer erneuten Passwortabfrage, wie bei Ubuntu? (Hast du schon einmal Bekannte dabei beobachtet, wie sie mit der UAC umgehen? Die wird einfach sofort und ohne Nachzudenken weggeklickt, damit es weitergeht. Ist dies nur das Problem der Bekannten? IMHO nein. Aber wenn MS die UAC so ändern würde, daß Anwender sie ernst(er) nehmen, dann würden sich viele Anwender vielleicht nicht mehr trauen, sie zu bestätigen!?) Weiteres Beispiel: DLL Injection. Wieso kann ich als Anwendung immer noch meine eigene huhu.dll mit "LoadLibrary( "huhu.dll" )" laden (also ohne explizite Pfadangabe), über ein Jahrzehnt, nachdem das generelle Problem bekannt ist und es Anweisungen an die Anwendungsentwickler gab, das zu ändern? Es gibt schon seit Ewigkeiten einen Registryschalter, den MS nur umlegen bräuchte. um hier "Sicherheit" höher als "Kompatibilität" einzustufen. Das haben sie aber bis heute nicht getan.
Und das sind lediglich die Dinge, die mir so ganz spontan einfallen. Die Liste wird länger, wenn ich länger darüber nachdenken würde.

BTW: MS hatte schon einen lauffähigen Prototypen von einem neuen, reinen DOT-NET-Windows. Als ich das gehört hatte, war ich entzückt! Nur leider wurde es wieder fallengelassen, wieso? Bezüglich Sicherheit wäre das auf jeden Fall ein Riesenschritt nach vorne gewesen.

TomL

Re: Live System für Online Banking und Surfen

Beitrag von TomL » 24.06.2017 14:37:26

owl102 hat geschrieben:
TomL hat geschrieben:Windows selber enthält technisch betrachtet definitiv kein größeres Risiko als Linux.
Dem wage ich zu widersprechen
Nun, ich würde Deiner Aufzählung nicht widersprechen. Ist zwar alles sachlich richtig, aber imho eben doch mehr aus einer eher speziellen Sicht heraus, die gar nicht so Recht mit meiner Aussage in Einklang zu bringen ist. Ich verstehe tatsächlich nicht den Zusammenhang mit meiner Aussage, die vollständig so lautete:
"Windows selber enthält technisch betrachtet definitiv kein größeres Risiko als Linux. Sich selber aktiv komromittieren tut es jedenfalls nicht. Und hinter einem Router kann es auch nicht ohne Zutun des Anwenders kompromittiert werden."

Diese Aussage bezieht sich auf meine Sicht eines ganz normalen Haushaltsanwenders, der seinen PC verwendet, ohne von großer Sachkenntnis geplagt zu sein ... so wie das beispielsweise meine Frau tut, wenn sie einen von mir (!) eingerichteten PC verwendet. Surfen, googlen, bestellen, email (Thunderbird), LO-Writer ...das wars, mehr nicht. Dabei hat sie eine kleine Grundbesohlung von mir bekommen und weiss dadurch, was sie keinesfalls machen darf - z.B. mit dubiosen EMails oder Spam und Bestätigungsklicks auf irgendwelchen Seiten. Vor dem Hintergrund wäre sie mit einem Windows mit aktuellen Palemoon und UBlock-Origin absolut nicht unsicherer, als sie es auch mit einem Linux hinter unserem Router wäre.

Man kann aus meiner Aussage diesen wesentlichen Bestandteil "ohne Zutun des Anwenders" nicht einfach ausblenden, denn auf den habe ich das bezogen. Und wenn der Anwender selber dubiose Software installiert, also Raubkopien, so ist das nicht Windows anzulasten. Und ob eine Software mit Setup installiert wird, oder mit apt-get oder dpkg -i ... was glaubst Du, was das für den Normaluser für einen Unterschied ausmacht? Ich sehe auch keinen Unterschied darin, ob Setup.exe eines proprietären Windows-Produktes missbraucht wird oder ob ein Deb-Package aus dem Web missbraucht wird. Für das erste ist Windows nicht verantwortlich, für das zweite ist Debian nicht verantwortlich. Und Fakt ist, alle Deine Punkte -so richtig sie auch sind- interessieren meine Frau keine 3 Sekunden lang.... dann winkt sie genervt ab.

Ich bin davon überzeugt, dass Windows hinhter einem Router erst mal sicher ist - unberücksichtigt jetzt die Tatsache, dass Win 10 selber Spyware ist. Aber das ist ja wieder MS-Firmenphilosophie. Unsicher wirds imho nur durch das, was der Anwender tut. Und warum die Updates nach W7 nicht funktionieren... keine Ahnung.... vielleicht ist es ja doch Absicht, um ihre 10er Spyware zu pushen.

Und ausserdem, ist mein Posting ÜBER 1 Jahr alt... eine uralte Kamelle.... und ich könnte ja auch heute sagen "was schert mich mein Geschwätz von gestern"... *lol

Antworten