Debian nur über Exploits angreifbar?

[OrangeJuice]

Bietet das hier Firewall Konfiguration für Linux einen Schutz?
Müsste aber geändert werden, weil Debian 10 jetzt nftables statt iptables verwendet.

[TomL]

Bietet das hier Firewall Konfiguration für Linux einen Schutz?

Nein, tuts nicht... m.E. wird damit sogar IPv6 komplett abgeschossen. Und ausgehender Traffic ist eh pauschal erlaubt.

Aber mal im Ernst... ich würde mich doch jetzt hier nicht bekloppt machen und in Paranoia ersaufen. Man sollte schon auf dem Teppich bleiben. Verzichte einfach auf Software aus anonymen Quellen,installiere einen Script-Blocker im Browser, installiere nur Software (aus dem Repo), die auch wirklich verwendet wird, deinstalliere alle Pakete/Dienste, die nicht verwendet werden. Dann noch auf "sudo" verzichten... also am Besten das Paket deinstallieren. Und zum Schluss dem Anwender alle Rechte nehmen, das System an sich zu verändern. Damit bist Du schon auf ziemlich sicherer Seite.

Wie gesagt, der Router sperrt eigentlich schon von Hause aus alles ab. Und solange man den nicht öffnet, bleiben als Attacken nur noch die von innerhalb des Netzwerks übrig... also durch die Anwender selber. Und es gibt keine Firewall, die verhindert, dass Du eine per Mail angekommen Ransomware auf Deine Daten loslässt. Soll heissen, bist Du nicht leichtsinning, passiert da meiner Meinung nach mit Debian als OS auch nicht viel.

[bluestar]

Würdet ihr meine Aussage bestätigen, dass ein Debian Host, der an einem Netz hängt, nur über Exploits angegriffen werden kann, da ja alle Ports geschlossen sind?

Nein!

Welche Angriffsvektoren gibt es noch ausser zb. 0day Exploits?

Jede Form physischer Gewalt zur Zerstörung von Hardware und gespeicherter Daten.

[Trollkirsche]

Dh. ein Port öffnet sich aber erstmal nur, wenn ich ein Programm starte, der einen Port öffnet und darauf lauscht?
Das sollte man ja mit nmap herausfinden können und allenfalls Programme, die mal verwendet wurden, wieder deinstallieren.

Nein, "lauschen" impliziert, dass ein Programm auf Zugriffe von außerhalb des Rechners (ggf.auch Internet) wartet. Aber das ist sowieso kein so großes Problem hinter einem Consumer-Router, weil der die Ports für 'eingehend' als Default-Einstellung geschlossen haben sollte. Das bedeutet, der "lauscher" kriegt vermutlich nie was von Angreifern aus dem Internet zu hören, allenfalls von einem anderen Client aus dem LAN. Anders siehts aus, wenn man im DSL-Router Ports öffnet und die Pakete auf ein bestimmtes System weiterleitet.

Ein normales Programm aus dem Userspace, sowas wie der Browser, LibreOffice, Musik- oder Videoplayer und so weiter, die lauschen aber nicht, die verbinden sich -wenn man sie manuell übers Menü o.ä. startet- einfach mit irgendeinem Server irgendwo... was ja zum Teil sogar bestimmungsgemäßer Verwendung entspricht. Wenns keine Repository-Pakete sind, kanns sogar sein, dass Du Hinweise bekommst "Hey, für mich gibts nen Update".... das weiss das Programm jedoch nur, weils sich unbemerkt und möglicherweise sogar unerlaubt im Hintergrund mit einem Web-Server verbunden hat... es hat quasi nachhause telefoniert.

Also, solche Programme lauschen nicht (quasi zur Reaktion bereit), solche lokalen Programme sind selber Initiator einer Aktion. Die musst Du noch nicht mal selber gestartet haben, das kann ganz einfach automatisch über die Bash passieren, durch Plugins, Addons, was auch immer. Und die könnten dann natürlich auch ganz einfach eine Reverse-Remote-Verbindung unter Verwendung anderer installierter Software etablieren... und schon krachts bei Dir im Gebälk. In solchen Fällen sitzt der Exploit immer an der Tastatur. Deshalb würde ich niemals Software aus anoymen Quellen installieren.

Würde man dennoch zu einer Desktop Firewall raten? Laut meinem Verständnis wäre der ja unnötig solange man die Kontrolle über die Ports, auf denen gelauscht wird, behält und der einzige Nutzer ist?

Mit Disziplin und Wissen ist das imho nicht zu kontrollieren... das geht nur über eine Firewall.... entweder vor dem WAN oder auch als lokale Firewall. Lokal ist sehr effektiv, weils ne Maßschneiderung sein kann, aber eben auch aufwendig, weils kein allgemeingültiges Muster gibt.

Vielen Dank für deine ausführliche Erklärung.

In dem Falle lauschen immer nur dienste, die ich auch so konfiguriere. Damit diese dienste jedoch von aussen erreichbar sind, müsste ich den jeweiligen Port am Router forwarden. Von aussen kann nichts auf mein lokales Netzwerk zugreifen, es sei denn ich öffne den Port am router. Geöffnete Ports am router, an denen kein Dienst lauscht, verlaufen ins leere. Lauscht jedoch ein Dienst im lokalen Netzwerk auf einem Host auf dem betreffenden Port und dieser ist am router geöffnet, dann kann auf diesen zugegriffen werden und allenfalls Sicherheitslücken ausgenutzt werden.

Wenn ein normales Programm jedoch nach aussen hin eine Verbindung öffnet.. so hat er, da ja die Kommunikation bidirektional stattfindet, ebenfalls Zugriff auf das Gerät?
Nehmen wir an den Browser. Ich öffne eine Seite. Mein PC verbindet sich über Port 8080 zu dem betreffenden Host mit dem Port 80. In dem Moment hätte dieser Webserver jedoch auch Zugriff auf meine Maschine, oder?

Man kann also davon ausgehen das der beste schutz für ein Netzwerk eine Open Source Firewall, realisiert durch zb. ein APU board und pfsense oder openwrt darstellt.

welche firerwall lösung hast du selbst?

Würdest du zb. ein usb stick mit einem bitcoin wallet, der auf einem debian system läuft zusätzlich noch mit einer ufw applikation schützen? lohnt es sich, kritische maschinen nochmals lokal per iptables abzusichern?

[Trollkirsche]

Bietet das hier Firewall Konfiguration für Linux einen Schutz?

Nein, tuts nicht... m.E. wird damit sogar IPv6 komplett abgeschossen. Und ausgehender Traffic ist eh pauschal erlaubt.

Aber mal im Ernst... ich würde mich doch jetzt hier nicht bekloppt machen und in Paranoia ersaufen. Man sollte schon auf dem Teppich bleiben. Verzichte einfach auf Software aus anonymen Quellen,installiere einen Script-Blocker im Browser, installiere nur Software (aus dem Repo), die auch wirklich verwendet wird, deinstalliere alle Pakete/Dienste, die nicht verwendet werden. Dann noch auf "sudo" verzichten... also am Besten das Paket deinstallieren. Und zum Schluss dem Anwender alle Rechte nehmen, das System an sich zu verändern. Damit bist Du schon auf ziemlich sicherer Seite.

Wie gesagt, der Router sperrt eigentlich schon von Hause aus alles ab. Und solange man den nicht öffnet, bleiben als Attacken nur noch die von innerhalb des Netzwerks übrig... also durch die Anwender selber. Und es gibt keine Firewall, die verhindert, dass Du eine per Mail angekommen Ransomware auf Deine Daten loslässt. Soll heissen, bist Du nicht leichtsinning, passiert da meiner Meinung nach mit Debian als OS auch nicht viel.

sudo deinstallieren? Interessant, hab ich nie darüber nachgedacht. Also am besten immer die Wartungsarbeiten über su erledigen und von visudo die finger lassen, zumindest zuhause wo man die Kontrolle über seine Installation hat

Welche Möglichkeiten haben Firefox Addons, dir Trojaner ins Haus zu schicken? Für mich war der Browser schon immer ein Hort der Gefahr, man hat nie so wirklich den überblick was über den Browser und Addons möglich ist und was nicht.

[TomL]

In dem Falle lauschen ....

Richtig!

Wenn ein normales Programm jedoch nach aussen... In dem Moment hätte dieser Webserver jedoch auch Zugriff auf meine Maschine, oder?

Jain... wenn überhaupt, hat ein Browser-Plugin allenfalls Rechte auf Dein Homedir.... es schreibt ja ggf. auch seine Konfigurationsdaten auf die Platte und liest sie von dort wieder ein. Allerdings könnte so ein Plugin natürlich auch Veränderungen an Daten innerhalb Deines Homedirs vornehmen, die nicht in Deinem Sinne sind, oder auch Daten lesen, die eigentlich vertraulich sind. Und wenns das kann, könnte es auch eine Verbindung nach außen öffen und diese Daten übertragen. Wobei ich allerdings nicht glaube, dass Open-Source-Tools wie ublock oder noscript so etwas unbemerkt tun. Ich selber verwende aus diesem Grund nur ein einziges Addon und verzichte auf den möglichen Komfort anderer Addons, und zwar Ublock Origin. Allerdings bei Addons/Plugins aus eigentlich anonymen Quellen siehts wohl anders ... man weiss eben nicht, ob es wirklich nur das tut, was es vorgibt zu tun... vielleicht wurde das Plugin ja genau dafür geschaffen, etwas unerwünschtes zu tun, z.B. den Staatstrojaner zu installieren . Und es könnte sich sogar, sofern sudo ein gern verwendeter Befehl (abseits der eigentl. Bestimmung), darüber root-Rechte erschleichen. Deswegen behaupte ich, dass "sudo" ein Sicherheitsrisiko ist.

Man kann also davon ausgehen das der beste schutz für ein Netzwerk eine Open Source Firewall, realisiert durch zb. ein APU board und pfsense oder openwrt darstellt.

Ich bin da anderer Meinung.... ich halte eine solche FW für optimal, wenn die Clients im LAN effektiv vom Internet getrennt werden und beispielsweise nur über einen Proxy gesteuert ins Web dürfen. Das tun sie aber schon mal nicht, wenn sie privat z.B. eine IPv6-GUA-Adresse hätten, weil ganz regulär das RA den ISP-Prefix verteilt oder weils sich um einen DS-Lite-Account handelt. Und dann als Maßnahme IPv6 abzuschalten ist ja wohl total Banane und völlig bekloppt. Also... wollen wir das für *privat* wirklich? Wofür? Ich bin zu unwichtig, ich brauch sowas jedenfalls nicht. Und wenns um was wichtiges geht, wirds verschlüsselt. Punkt. Fakt ist, Clients in unseren privaten Netzwerken haben unterschiedliche Aufgaben, entweder man bohrt dann eine solche dedizierte FW so weit auf, dass auf allen Geräten alles erlaubt, auch das, was vielleicht an einer Stelle gar nicht benötigt wird, dafür aber an einem einzigen anderen PC. Oder man customized es individuell. Aber das bedeutet einen hohen Verlust von Flexibilität und äußerst restriktives IP-Design... in Folge extrem hoher Verwaltungsaufwand. Das heisst, jeder Rechner kriegt eine feste IP, alle anderen sind verboten, die Switches haben ne selbstabschaltende Port-Security, bei der die MAC an die IP gebunden ist, undefinierte IPs im gültigen Adressbereich werden konsequent gedropt, usw. usw.

Meine Meinung: Vergiss den Quatsch. Das ist was für Leute mit Profi-Erfahrung. Wir Laien basteln uns nur was damit, was wir gar nicht im Griff haben und vertrauen auf einen Sicherheit, die möglicherweise gar keine ist.

BTW, ich hab da so eine Erinnerung... ich hatte Dir per PM mal nen Link geschickt.... das sind Basics... wenn Dir das nicht geläufig ist, gibts keine Security. Security bedeutet in allererster Linie zu verhindern, dass sich ein User über die getroffenen Sicherheitsmaßnahmen hinwegsetzen kann ... eben auch durch fremden und unberechtigten Missbrauch dieser vergebenen Rechte. Du kannst soviel Security-Hardware und Software installieren, wie Du willst... wenn der User über Rechte verfügt, dass zu umgehen, gibts keine Sicherheit - egal ob der das aus Dummheit oder Fahrlässigkeit oder mit Vorsatz tut, oder ob die Rechte von fremden missbraucht werden ... sowas ist faktisch eine von innen initiierte Sabotage. Dagegen sind solche Installationen jedenfalls kein wirksames Gegenmittel.

welche firerwall lösung hast du selbst?

Keine. Ich verwende nach Aufgabe des PC bzw. VM maßgeschneiderte Paketfilter.... siehe Link

....noch mit einer ufw applikation schützen? lohnt es sich, kritische maschinen nochmals lokal per iptables abzusichern?

Die UFW ist iptables, bzw. jetzt nftables.... und ich halte die UFW für Schlangenöl. Ich würde die nur mit einer einzigen Einstellung empfehlen: Totale Totschlagkeule bei Anmeldungen an öffentlichen unbekannten Accesspoints. Die dabei gesetzten Regeln sind wirklich sehr restriktiv. Alles andere ist ein schier unkontrollierbar Spagettiknoten, wo Du ohne sehr fundierte Sachkenntnis kaum eine Kontrolle darüber hast, ob die Regeln wirklich das tun, was Du Dir vorgestellt hast.

sudo deinstallieren? Interessant, hab ich nie darüber nachgedacht.

Auch darüber findest Du Infos, im erwähnten PM-Link.

[MSfree]

Welche Möglichkeiten haben Firefox Addons, dir Trojaner ins Haus zu schicken? Für mich war der Browser schon immer ein Hort der Gefahr, man hat nie so wirklich den überblick was über den Browser und Addons möglich ist und was nicht.

Ein Browser hat lesenden und schreibenden Zugriff auf die lokale Festplatte. Prinzipiell könnte also ein bösartiger Server dir Dateien schicken, die über den Browser ihren Weg auf die Festplatte finden, z.B. einfach über den Browsercache. Das sollte allerdings noch keine Panik auslösen, denn eine böswillige Datei richtet auf der Platte zunächst keine Schaden an, denn solange sie dort nur passiv rumliegt passiert auch nichts.

Erst durch eine Sicherheitslücke im Browser kann ein Exploit auch eine auf der Platte lagernde böswillige Datei zur Ausführung bringen. Solange diese Datei aber nur im Namen des Benutzers ausgeführt wird, kann so ein Programm zwar die Dateien der Benutzers zerstören, aber um das System anzugreifen, hätte so ein Programm keine Berechtigung. Es Bedarf also eine weiteren Sicherheitslücke, mit der sich so ein Programm root-Rechte erschleichen kann.

Ob man dazu Lücken im Browser selbst oder Lücken in Addons nutzt, ist hier egal. Addons liefern halt zusätzlich Angriffsflächen zu denen, die der Browser hat. Auch Javascript ist nicht ungefährlich, weil hier eigenständige Programm, die vom Server übertragen werden, vom Browser ausgeführt werden. Zwar wird bei der Entwicklung der Javascriptmaschinen darauf geachtet, daß kein gefährlicher Code ausgeführt werden kann, aber fehlerfrei sind diese Maschinen natürlich nicht.

[OrangeJuice]

Oder über so etwas wie Stegosploit?

[Trollkirsche]

In dem Falle lauschen ....

Richtig!

Wenn ein normales Programm jedoch nach aussen... In dem Moment hätte dieser Webserver jedoch auch Zugriff auf meine Maschine, oder?

Jain... wenn überhaupt, hat ein Browser-Plugin allenfalls Rechte auf Dein Homedir.... es schreibt ja ggf. auch seine Konfigurationsdaten auf die Platte und liest sie von dort wieder ein. Allerdings könnte so ein Plugin natürlich auch Veränderungen an Daten innerhalb Deines Homedirs vornehmen, die nicht in Deinem Sinne sind, oder auch Daten lesen, die eigentlich vertraulich sind. Und wenns das kann, könnte es auch eine Verbindung nach außen öffen und diese Daten übertragen. Wobei ich allerdings nicht glaube, dass Open-Source-Tools wie ublock oder noscript so etwas unbemerkt tun. Ich selber verwende aus diesem Grund nur ein einziges Addon und verzichte auf den möglichen Komfort anderer Addons, und zwar Ublock Origin. Allerdings bei Addons/Plugins aus eigentlich anonymen Quellen siehts wohl anders ... man weiss eben nicht, ob es wirklich nur das tut, was es vorgibt zu tun... vielleicht wurde das Plugin ja genau dafür geschaffen, etwas unerwünschtes zu tun, z.B. den Staatstrojaner zu installieren . Und es könnte sich sogar, sofern sudo ein gern verwendeter Befehl (abseits der eigentl. Bestimmung), darüber root-Rechte erschleichen. Deswegen behaupte ich, dass "sudo" ein Sicherheitsrisiko ist.

Man kann also davon ausgehen das der beste schutz für ein Netzwerk eine Open Source Firewall, realisiert durch zb. ein APU board und pfsense oder openwrt darstellt.

Ich bin da anderer Meinung.... ich halte eine solche FW für optimal, wenn die Clients im LAN effektiv vom Internet getrennt werden und beispielsweise nur über einen Proxy gesteuert ins Web dürfen. Das tun sie aber schon mal nicht, wenn sie privat z.B. eine IPv6-GUA-Adresse hätten, weil ganz regulär das RA den ISP-Prefix verteilt oder weils sich um einen DS-Lite-Account handelt. Und dann als Maßnahme IPv6 abzuschalten ist ja wohl total Banane und völlig bekloppt. Also... wollen wir das für *privat* wirklich? Wofür? Ich bin zu unwichtig, ich brauch sowas jedenfalls nicht. Und wenns um was wichtiges geht, wirds verschlüsselt. Punkt. Fakt ist, Clients in unseren privaten Netzwerken haben unterschiedliche Aufgaben, entweder man bohrt dann eine solche dedizierte FW so weit auf, dass auf allen Geräten alles erlaubt, auch das, was vielleicht an einer Stelle gar nicht benötigt wird, dafür aber an einem einzigen anderen PC. Oder man customized es individuell. Aber das bedeutet einen hohen Verlust von Flexibilität und äußerst restriktives IP-Design... in Folge extrem hoher Verwaltungsaufwand. Das heisst, jeder Rechner kriegt eine feste IP, alle anderen sind verboten, die Switches haben ne selbstabschaltende Port-Security, bei der die MAC an die IP gebunden ist, undefinierte IPs im gültigen Adressbereich werden konsequent gedropt, usw. usw.

Meine Meinung: Vergiss den Quatsch. Das ist was für Leute mit Profi-Erfahrung. Wir Laien basteln uns nur was damit, was wir gar nicht im Griff haben und vertrauen auf einen Sicherheit, die möglicherweise gar keine ist.

BTW, ich hab da so eine Erinnerung... ich hatte Dir per PM mal nen Link geschickt.... das sind Basics... wenn Dir das nicht geläufig ist, gibts keine Security. Security bedeutet in allererster Linie zu verhindern, dass sich ein User über die getroffenen Sicherheitsmaßnahmen hinwegsetzen kann ... eben auch durch fremden und unberechtigten Missbrauch dieser vergebenen Rechte. Du kannst soviel Security-Hardware und Software installieren, wie Du willst... wenn der User über Rechte verfügt, dass zu umgehen, gibts keine Sicherheit - egal ob der das aus Dummheit oder Fahrlässigkeit oder mit Vorsatz tut, oder ob die Rechte von fremden missbraucht werden ... sowas ist faktisch eine von innen initiierte Sabotage. Dagegen sind solche Installationen jedenfalls kein wirksames Gegenmittel.

welche firerwall lösung hast du selbst?

Keine. Ich verwende nach Aufgabe des PC bzw. VM maßgeschneiderte Paketfilter.... siehe Link

....noch mit einer ufw applikation schützen? lohnt es sich, kritische maschinen nochmals lokal per iptables abzusichern?

Die UFW ist iptables, bzw. jetzt nftables.... und ich halte die UFW für Schlangenöl. Ich würde die nur mit einer einzigen Einstellung empfehlen: Totale Totschlagkeule bei Anmeldungen an öffentlichen unbekannten Accesspoints. Die dabei gesetzten Regeln sind wirklich sehr restriktiv. Alles andere ist ein schier unkontrollierbar Spagettiknoten, wo Du ohne sehr fundierte Sachkenntnis kaum eine Kontrolle darüber hast, ob die Regeln wirklich das tun, was Du Dir vorgestellt hast.

sudo deinstallieren? Interessant, hab ich nie darüber nachgedacht.

Auch darüber findest Du Infos, im erwähnten PM-Link.

In dem Falle wäre der Einsatz von Firejail für den Browser ein wahrer Gewinn. Dann würde er ja nicht mehr im richtigen Verzeichnis lesen, sondern ein eigenes Fake-Homedir vorgaukeln. Ich hab Firejail hier auf dem Testlaptop im Einsatz, aber da ich es nicht geschafft habe Firejail mitzuteilen, wie er die Torrentshares einbinden soll, hab ichs zuhause deinstalliert. Ich muss mich da wohl nochmal reinarbeiten und hier nochmal nachfragen.

Ich nutze als Addons nur https everywhere und noscript. Leider bleibt das Anwenden von NoScript immer auch ein bisschen ein Glücksspiel, weil man auf gut raten Dinge freischalten muss, falls mal eine Seite nicht wie erwartet funktioniert. Es kann also schon eine Weile dauern, bis man wirklich nur die Scripte laufen lässt, die wirklich von Bedeutung sind.

Bezüglich sudo.. damit ein Browser Addon sich root rechte erschleichen kann, müsste ja dennoch das Passwort des Benutzers bekannt sein. Dies würde wohl eher eine zielgerichtete Attacke darstellen anstelle einer automatisierten. Den Ratschlag mit dem Entfernen von sudo erachte ich aber als extrem gut. Man kann sich ja auch mit seinem root account einloggen wenn man Admin Tätigkeiten durchführen muss.

Bezüglich eigener Firewall : Mein vom Provider zugeteilter Router nutzt TR-069 und gerade dank dir hab ich erfahren, dass so der Zugriff auf mein lokales Netz besteht. Ich möchte das unterbinden. Mit einer Hardware Firewall hätte man einen Kontrollpunkt und ich könnte dadurch sicherlich noch sehr vieles lernen. So schwer kann OpenWRT oder Pfsense ja nicht sein, ich müsste mich da lediglich mal einarbeiten.

Zurzeit hat der Provider keinen Zugriff auf mein Netzwerk aufgrund der Enigmabox. Ich möchte in Zukunft jedoch auf die Box verzichten und das irgendwann erscheinende GNUNet unterstützen. Da bleibt mir wohl nichts anderes übrig auf eine Hardware Firewall zu setzen wenn ich nicht möchte, dass der Provider Zugriff auf mein Netzwerk bekommt und ich das Gnunet unterstützen kann. Dies ist mit der Enigmabox leider nicht möglich, da beim Exit-Node alle Ports nach innen geschlossen sind und die Exit-Nodes nicht unter meiner Kontrolle sind. Gnunet erfordert jedoch das öffnen von Ports. Zudem wäre es gut, wenn der gnunet Router dann gleich 24/7 laufen würde und ich per Glasfaser Bandbreite zur Verfügung stellen kann.

Ach und wegen dem Link:
den habe ich sogar in meinen Favoriten gespeichert und vieles davon schon gelesen. Da jedoch Feierabend war habe ich dann aufgehört, werde aber den Rest noch nachholen. Ich fand den Artikel richtig gut. Danke nochmal hierfür.

Bezüglich IPTables, respekive nftables.. hab ich mich schon mal kurzzeitig damit befasst, aber auch dort muss ich noch weitermachen... mal so ein firewallscript schreiben und implementieren zb.

Bis dann!

[Trollkirsche]

Welche Möglichkeiten haben Firefox Addons, dir Trojaner ins Haus zu schicken? Für mich war der Browser schon immer ein Hort der Gefahr, man hat nie so wirklich den überblick was über den Browser und Addons möglich ist und was nicht.

Ein Browser hat lesenden und schreibenden Zugriff auf die lokale Festplatte. Prinzipiell könnte also ein bösartiger Server dir Dateien schicken, die über den Browser ihren Weg auf die Festplatte finden, z.B. einfach über den Browsercache. Das sollte allerdings noch keine Panik auslösen, denn eine böswillige Datei richtet auf der Platte zunächst keine Schaden an, denn solange sie dort nur passiv rumliegt passiert auch nichts.

Erst durch eine Sicherheitslücke im Browser kann ein Exploit auch eine auf der Platte lagernde böswillige Datei zur Ausführung bringen. Solange diese Datei aber nur im Namen des Benutzers ausgeführt wird, kann so ein Programm zwar die Dateien der Benutzers zerstören, aber um das System anzugreifen, hätte so ein Programm keine Berechtigung. Es Bedarf also eine weiteren Sicherheitslücke, mit der sich so ein Programm root-Rechte erschleichen kann.

Ob man dazu Lücken im Browser selbst oder Lücken in Addons nutzt, ist hier egal. Addons liefern halt zusätzlich Angriffsflächen zu denen, die der Browser hat. Auch Javascript ist nicht ungefährlich, weil hier eigenständige Programm, die vom Server übertragen werden, vom Browser ausgeführt werden. Zwar wird bei der Entwicklung der Javascriptmaschinen darauf geachtet, daß kein gefährlicher Code ausgeführt werden kann, aber fehlerfrei sind diese Maschinen natürlich nicht.

Eine sehr gute Beschreibung, vielen Dank! Javascript ist für mich eine Seuche. Es bräuchte mal irgend einen Webstandard, der nicht das Aussschnüffeln und das starten von Scripten per Browser aus ermöglicht.

Warum setzen die Menschen eigentlich nicht vermehrt allein auf den html5 Standard? Damit sollten sich doch auch sehr gute Webseiten kreieren lassen und gleichzeit den Anwender schützen vor IP Schnüffelei, Browser fingerprinting und dergleichen?

für mich ist jedenfalls mit javascript nie ein wirklicher Datenschutz praktizierbar.

[willy4711]

Du kannst den Browser auch noch mehr einschränken, indem du vorgehst, wie ich es mal beschreiben hatte:
viewtopic.php?f=9&t=172662&hilit=privat ... r#p1200803

Für die "Sicherheit" benutze ich ausschließlich uBlock Origin
Und für die nervigen Cookie-Bestätigungen I don't care about cookies

Übrigens: Wenn du Java Script hier im Forum ausschaltest, wirst du Problem bekommen

[OrangeJuice]

Es ist ja anscheinend nicht nur Javascript an sich, sondern auch Bilddateien die Schadcode enthalten können, hatte das oben ja schon verlinkt.

Nun. Wenn man noch mehr will, dann kann man sich eine user.js anlegen. Hier gibt es dazu vorlagen oder die hier ghacks-user.js. Dazu uBlock Origin, eine mit uMatrix angelegte whitelist, sodass alles erstmal geblockt wird. Dazu NoScript um XSS Angriffe zu unterbinden, NoScript hat aber ein paar freigegeben Seiten, die muss man auch noch entfernen. Man sieht, kann ganz schön viel werden.

Oder direkt Lynx oder Links verwenden.

[rockyracoon]

Die beste Firewall ist imho ein guter Router.
Den Browser sollte man imho über Firejail laufen lassen.

Bei mir sind standardmäßig zusätzlich im Browser aktiviert:
- uBlock Origin
- Https Everywhere
- I don`t care about cookies
- Vergiß Mein Nicht (Cookie Management)

Das dürfte als täglicher Alu-Hut genügen.

Nur für sehr seltene Fälle kommen zum Einsatz:
- NoScript
- uMatrix

[OrangeJuice]

Firejail läuft aber unter X, unter Wayland gibt es das nicht. Firejail hat auch seine Bugs, so ganz drauf verlassen würde ich mich darauf nicht.
Ich kann das aber nicht einschätzen wie kritisch die Bugs sind. Zum Beispiel das hier:

firejail (0.9.58.2-2) unstable; urgency=high

* Cherry-pick security fix for seccomp bypass issue. (Closes: #929732)
Seccomp filters were writable inside the jail, so they could be
overwritten/truncated. Another jail that was then joined with the first
one, had no seccomp filters applied.
* Cherry-pick security fix for binary truncation issue. (Closes: #929733)
When the jailed program was running as root, and firejail was killed
from the outside (as root), the jailed program had the possibility to
truncate the firejail binary outside the jail.
Quelle

[Trollkirsche]

Es ist ja anscheinend nicht nur Javascript an sich, sondern auch Bilddateien die Schadcode enthalten können, hatte das oben ja schon verlinkt.

Nun. Wenn man noch mehr will, dann kann man sich eine user.js anlegen. Hier gibt es dazu vorlagen oder die hier ghacks-user.js. Dazu uBlock Origin, eine mit uMatrix angelegte whitelist, sodass alles erstmal geblockt wird. Dazu NoScript um XSS Angriffe zu unterbinden, NoScript hat aber ein paar freigegeben Seiten, die muss man auch noch entfernen. Man sieht, kann ganz schön viel werden.

Oder direkt Lynx oder Links verwenden.

Somit kann jedes Bild verseucht sein?

Sehr interessant. Ich muss mich unbedingt mal näher damit befassen.

[MSfree]

Somit kann jedes Bild verseucht sein?

Theoretisch ja, aber das ist ein Spiel über Bande.

Beim Lesen von Bildern werden ja nur Daten gelesen, ggfls. dekomprimiert und in eine am Bildschirmdarstellbare Form gebracht. Ob da Schadcode drin steckt oder nicht, hat dabei erstmal überhaupt keien Auswirkung, weil Daten ja nicht ausgeführt werden.

Man muß also in den Funktionen im Code, die die Daten lesen und umwandeln einen Fehler provozieren. Mit unkomprimierten Daten ist das aber fast unmöglich. Da steckt dann der Schadcode in den Pixeldaten und wird am Bildschirm angezeigt. Das einzig eigenartige ist dann, daß eventuell Rauschen am Bildschirm erscheint.

Bei komprimierten Bildern wie JPG, aber auch LZW-komprimierte wie GIF und teilweise TIF, könnte ein Fehler im Dekompressor stecken, der durch das Lesen und Verarbeiten ausgenutzt werden könnten, um z.B. eine Rücksprungadresse im Programm zu manipulieren, so daß in den Schadcode eingesprungen wird. Allerdings sind die entsprechenden Bibliotheken ziemlich gut gepflegt und werden relativ häufig aktualisiert und von Fehlern befreit. In der Vergangenheit gab es aber z.B. Fehler in der libz, die unter anderem von der libtiff zum Komprimieren und Dekomprimieren von Bilddaten nach der LZW-Methode verwendet wird. Auch die libpng war in der Vergangenheit bereits von einem möglichen Pufferüberlauf betroffen.

Man muß also eine anfällige Version einer Bibliothek auf der Platte haben, die mit einem mit Schadcode behafteten Bild fehlerhaft reagiert, damit der Schadcode zur Ausführung kommt. Die üblichen Bibliotheken zum Lesen und Schreiben von Bilddaten sollte man aktuell halten, dann ist die Angriffsfläche sehr klein.

Im Prinzip gilt das aber für alle Arten von informationstragenden Dateien, wird Textdokumente, Tabellenkalkulationsdateien, HTML, XML etc. Allerdings ist bei diesen die Fehlerquote höher, weil die Problemstellung komplexer ist und sich daher auch mehr (ausnutzbare) Programmierfehler einschleichen können.

[OrangeJuice]

Wie sieht es denn aus, wenn man so eine manipulierte Bilddatei, jpg, svg durch den Browser Cache auf die SSD landet und der Gnome Tracker daherkommt und das indiziert. Ist es denkbar, dass der Tracker darin enthaltenen Code(Javascript) ausführt und dann auch versucht durch eine Internetseite Schadcode nachzuladen?

Ist das dann eine Methode ähnliche wie bei den Tracking Pixel(https://de.wikipedia.org/wiki/Z%C3%A4hlpixel)?

[jessie]

Wenigstens eine eigene (Fritz-) Box selber kaufen?!

[MSfree]

Wie sieht es denn aus, wenn man so eine manipulierte Bilddatei, jpg, svg durch den Browser Cache auf die SSD landet und der Gnome Tracker daherkommt und das indiziert. Ist es denkbar, dass der Tracker darin enthaltenen Code(Javascript) ausführt und dann auch versucht durch eine Internetseite Schadcode nachzuladen?

Zumindest bei jpg und svg ist es nicht vorgesehen, HTML einzubetten und auszuführen. Natürlich kann man in jpg oder anderen Bildformaten in der Regel Kommentare als ASCII-Text speichern, so daß man dort auch HTML unterbringen könnte. Die lesenden Programme sind darauf aber nicht vorbereitet und zeigen schlimmstenfalls den Text an, führen ihn jedoch nicht aus. Folglich würde auch der Indexer diesen Text ignorieren.

Ist das dann eine Methode ähnliche wie bei den Tracking Pixel(https://de.wikipedia.org/wiki/Z%C3%A4hlpixel)?

Nein, nicht wirklich. Beim Trackingpixel wird im HTML-Code eine Bilddatei eingebettet, die einen einmaligen Dateinamen hat und nur ein Pixel groß ist. Durch die Größe fällt das Bild nicht auf und durch den einmaligen Namen kann das Bild eindeutig indentifiziert werden. Spezielle Webserver mit Datenbanken können dann beim Laden dieser Bilder den Benutzer wiedererkennen.

Bei reinen Bilddateien wird nichts nachgeladen. Bilddateien wurden dafür konzipiert, genau nur Bilddaten zu enthalten. Das Konzept wurde zwar durch zahlreiche weitere Daten, wie GPS-Position, Belichtungsdaten und Textkommentar ein wenig aufgeweicht, die Daten sind aber in sich selbst geschlossen und verlangen kein Nachladen. Man müßte also schon selbst Software schreiben, um die als HMTL vergewaltigten Kommentartexte auszunutzen und um Daten nachzuladen. Man bräuchte also eine mit Schadcode modifizierte Bibliothek,um mit Schadcode modifizierte Bilder auszunutzen. Das ist dann aber schon ein Henne-Ei Problem. Zwar lösbar aber selbst für Schadcodeprogrammierer eher zu umständlich.

[uname]

Wenn es Probleme mit JPG bei tracker gibt, dann liegt es an Tracker, der natürlich anstatt ein Bild zu indexieren auch die Festplatte löschen könnte
Man kann aber in Bildern mit Steganographie geheime Informationen verstecken. War aber wohl nicht die Frage.

[OrangeJuice]

Doch, du liegst schon richtig damit. Ich habe stegosploit damit in Verbindung gebracht. Hatte das auf Seite 2 schonmal angesprochen.

[MSfree]

Doch, du liegst schon richtig damit. Ich habe stegosploit damit in Verbindung gebracht. Hatte das auf Seite 2 schonmal angesprochen.

Dieser stegosploit erfordert aber einige Hilfsmittel, damit er funktioneirt. Einerseits braucht man einen Webbrowser, der HTML5 versteht, dann lädt man ein HTML5-Dokument, das im Javaskript einen eigenen Steganographiedekoder für manipulierte JPGs mitbringt, und dann wird das im HTML5 referenzierte JPG nachgeladen, das von Javascript auseinander genommen wird und Schadcode zu Ausführung bringt.

Mit dem JPG alleine z.B. in Gimp würde gar nichts passieren.

[TomL]

Moin

Ich will ja jetzt keinesfalls ein Nörgler sein.. ehrlich nicht ... ... und auch kein Spielverderber... ... aber im Moment habe ich das Gefühl, dass das Thema hier eine Eigendynamik entwickelt, die mir so ein bisschen Mint-mäßig vorkommt ... je mehr Aspekte über potentielle Attacken reinkommen, umso größer wird die Hysterie und umso verzweifelter die Suche nach Schutzmaßnahmen dagegen.

Und irgendwie hab ich das Gefühl, dass die Wirklichkeit dabei nicht so eine große Rolle spielt. Also jetzt mal ehrlich, ich betreibe hier einige Debian-Maschinen und aktiv genutzte VMs, und ich bin wohl hier bei mir zuhause der einzige, dessen Linux-Kenntnisse über die Bedienung des Einschaltknopfes hinausgeht ... aber Fakt ist, auf keiner einzigen Maschine hat es seit 2015 jemals solche Probleme unter Debian gegeben. Davor wars hier Windows... und selbst da hats keine solcher Vorfälle gegeben. Da frage ich mich doch verwundert, leb ich hier auf 'ner Insel der virusfreien Glückseligkeit? Oder woran liegt das, dass andere Debian-User anscheinend unter ständigen Angriffen von bösen Buben leiden und wir hier zuhause davon vollständig verschont bleiben? Wer hat denn eigentlich schon mal ganz konkreten Schaden durch Angriffe aus dem Internet erlitten und kann ausschließen, dass er selber dafür verantwortlich war? Gibt es hier in diesem Forum wirklich eine relevante Anzahl von Betroffenen, so das wirklich Anlass zur allgemeinen Sorge besteht?

[Trollkirsche]

Moin

Ich will ja jetzt keinesfalls ein Nörgler sein.. ehrlich nicht ... ... und auch kein Spielverderber... ... aber im Moment habe ich das Gefühl, dass das Thema hier eine Eigendynamik entwickelt, die mir so ein bisschen Mint-mäßig vorkommt ... je mehr Aspekte über potentielle Attacken reinkommen, umso größer wird die Hysterie und umso verzweifelter die Suche nach Schutzmaßnahmen dagegen.

Und irgendwie hab ich das Gefühl, dass die Wirklichkeit dabei nicht so eine große Rolle spielt. Also jetzt mal ehrlich, ich betreibe hier einige Debian-Maschinen und aktiv genutzte VMs, und ich bin wohl hier bei mir zuhause der einzige, dessen Linux-Kenntnisse über die Bedienung des Einschaltknopfes hinausgeht ... aber Fakt ist, auf keiner einzigen Maschine hat es seit 2015 jemals solche Probleme unter Debian gegeben. Davor wars hier Windows... und selbst da hats keine solcher Vorfälle gegeben. Da frage ich mich doch verwundert, leb ich hier auf 'ner Insel der virusfreien Glückseligkeit? Oder woran liegt das, dass andere Debian-User anscheinend unter ständigen Angriffen von bösen Buben leiden und wir hier zuhause davon vollständig verschont bleiben? Wer hat denn eigentlich schon mal ganz konkreten Schaden durch Angriffe aus dem Internet erlitten und kann ausschließen, dass er selber dafür verantwortlich war? Gibt es hier in diesem Forum wirklich eine relevante Anzahl von Betroffenen, so das wirklich Anlass zur allgemeinen Sorge besteht?

Deine Einwände sind durchaus gerechtfertigt. Mein Interesse geht schon in die Richtung, mehr über mögliche Angriffsvektoren kennenzulernen. Je mehr man weiss womit man zu rechnen hat, desto mehr erhält man ein Gefühl der Sicherheit, wobei natürlich auch dieses Gefühl wiederum trügerisch ist

Gerade vorhin habe ich etwsa gestaunt. Ohne mein Zutun schaltet sich bei mir auf dem laptop ein youtube video in den vollbild modus... habe dafür auch einen eingenen beitrag geöffnet.

[OrangeJuice]

Es gibt doch auch viele Möglichkeiten. Firmware(Festplatten), Hardware-Ebene(CPU),TelekomRouter, oder auch offensichtlicher durch manipulierte Images(Gentoo, Linux Mint,Docker Images),Apt-Bug, Browser (DriveBy, Werbung), manipulierte Hardware per Post abgefangen(Link).

TomL von welchem Szenario gehst du aus? Wie und wann merkt man, ob man selber betroffen ist? Der beste Schutz ist doch sich vorher einen Kopf zu machen.