Debian nur über Exploits angreifbar?

Alles rund um sicherheitsrelevante Fragen und Probleme.
willy4711

Re: Debian nur über Exploits angreifbar?

Beitrag von willy4711 » 10.07.2019 14:03:40

Du kannst den Browser auch noch mehr einschränken, indem du vorgehst, wie ich es mal beschreiben hatte:
viewtopic.php?f=9&t=172662&hilit=privat ... r#p1200803

Für die "Sicherheit" benutze ich ausschließlich uBlock Origin
Und für die nervigen Cookie-Bestätigungen I don't care about cookies

Übrigens: Wenn du Java Script hier im Forum ausschaltest, wirst du Problem bekommen :mrgreen:

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Debian nur über Exploits angreifbar?

Beitrag von OrangeJuice » 10.07.2019 14:39:08

Es ist ja anscheinend nicht nur Javascript an sich, sondern auch Bilddateien die Schadcode enthalten können, hatte das oben ja schon verlinkt.

Nun. Wenn man noch mehr will, dann kann man sich eine user.js anlegen. Hier gibt es dazu vorlagen oder die hier ghacks-user.js. Dazu uBlock Origin, eine mit uMatrix angelegte whitelist, sodass alles erstmal geblockt wird. Dazu NoScript um XSS Angriffe zu unterbinden, NoScript hat aber ein paar freigegeben Seiten, die muss man auch noch entfernen. Man sieht, kann ganz schön viel werden. :facepalm:

Oder direkt Lynx oder Links verwenden. :mrgreen:

Benutzeravatar
rockyracoon
Beiträge: 1455
Registriert: 13.05.2016 12:42:18
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Debian nur über Exploits angreifbar?

Beitrag von rockyracoon » 10.07.2019 19:25:56

Die beste Firewall ist imho ein guter Router.
Den Browser sollte man imho über Firejail laufen lassen.

Bei mir sind standardmäßig zusätzlich im Browser aktiviert:
- uBlock Origin
- Https Everywhere
- I don`t care about cookies
- Vergiß Mein Nicht (Cookie Management)

Das dürfte als täglicher Alu-Hut genügen.

Nur für sehr seltene Fälle kommen zum Einsatz:
- NoScript
- uMatrix

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Debian nur über Exploits angreifbar?

Beitrag von OrangeJuice » 10.07.2019 20:09:31

Firejail läuft aber unter X, unter Wayland gibt es das nicht. Firejail hat auch seine Bugs, so ganz drauf verlassen würde ich mich darauf nicht.
Ich kann das aber nicht einschätzen wie kritisch die Bugs sind. Zum Beispiel das hier:
firejail (0.9.58.2-2) unstable; urgency=high

* Cherry-pick security fix for seccomp bypass issue. (Closes: #929732)
Seccomp filters were writable inside the jail, so they could be
overwritten/truncated. Another jail that was then joined with the first
one, had no seccomp filters applied.
* Cherry-pick security fix for binary truncation issue. (Closes: #929733)
When the jailed program was running as root, and firejail was killed
from the outside (as root), the jailed program had the possibility to
truncate the firejail binary outside the jail.
Quelle

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 11.07.2019 13:31:04

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
10.07.2019 14:39:08
Es ist ja anscheinend nicht nur Javascript an sich, sondern auch Bilddateien die Schadcode enthalten können, hatte das oben ja schon verlinkt.

Nun. Wenn man noch mehr will, dann kann man sich eine user.js anlegen. Hier gibt es dazu vorlagen oder die hier ghacks-user.js. Dazu uBlock Origin, eine mit uMatrix angelegte whitelist, sodass alles erstmal geblockt wird. Dazu NoScript um XSS Angriffe zu unterbinden, NoScript hat aber ein paar freigegeben Seiten, die muss man auch noch entfernen. Man sieht, kann ganz schön viel werden. :facepalm:

Oder direkt Lynx oder Links verwenden. :mrgreen:
Somit kann jedes Bild verseucht sein?

Sehr interessant. Ich muss mich unbedingt mal näher damit befassen.

Benutzeravatar
MSfree
Beiträge: 10687
Registriert: 25.09.2007 19:59:30

Re: Debian nur über Exploits angreifbar?

Beitrag von MSfree » 11.07.2019 13:56:53

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 13:31:04
Somit kann jedes Bild verseucht sein?
Theoretisch ja, aber das ist ein Spiel über Bande.

Beim Lesen von Bildern werden ja nur Daten gelesen, ggfls. dekomprimiert und in eine am Bildschirmdarstellbare Form gebracht. Ob da Schadcode drin steckt oder nicht, hat dabei erstmal überhaupt keien Auswirkung, weil Daten ja nicht ausgeführt werden.

Man muß also in den Funktionen im Code, die die Daten lesen und umwandeln einen Fehler provozieren. Mit unkomprimierten Daten ist das aber fast unmöglich. Da steckt dann der Schadcode in den Pixeldaten und wird am Bildschirm angezeigt. Das einzig eigenartige ist dann, daß eventuell Rauschen am Bildschirm erscheint.

Bei komprimierten Bildern wie JPG, aber auch LZW-komprimierte wie GIF und teilweise TIF, könnte ein Fehler im Dekompressor stecken, der durch das Lesen und Verarbeiten ausgenutzt werden könnten, um z.B. eine Rücksprungadresse im Programm zu manipulieren, so daß in den Schadcode eingesprungen wird. Allerdings sind die entsprechenden Bibliotheken ziemlich gut gepflegt und werden relativ häufig aktualisiert und von Fehlern befreit. In der Vergangenheit gab es aber z.B. Fehler in der libz, die unter anderem von der libtiff zum Komprimieren und Dekomprimieren von Bilddaten nach der LZW-Methode verwendet wird. Auch die libpng war in der Vergangenheit bereits von einem möglichen Pufferüberlauf betroffen.

Man muß also eine anfällige Version einer Bibliothek auf der Platte haben, die mit einem mit Schadcode behafteten Bild fehlerhaft reagiert, damit der Schadcode zur Ausführung kommt. Die üblichen Bibliotheken zum Lesen und Schreiben von Bilddaten sollte man aktuell halten, dann ist die Angriffsfläche sehr klein.

Im Prinzip gilt das aber für alle Arten von informationstragenden Dateien, wird Textdokumente, Tabellenkalkulationsdateien, HTML, XML etc. Allerdings ist bei diesen die Fehlerquote höher, weil die Problemstellung komplexer ist und sich daher auch mehr (ausnutzbare) Programmierfehler einschleichen können.

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Debian nur über Exploits angreifbar?

Beitrag von OrangeJuice » 11.07.2019 14:08:03

Wie sieht es denn aus, wenn man so eine manipulierte Bilddatei, jpg, svg durch den Browser Cache auf die SSD landet und der Gnome Tracker daherkommt und das indiziert. Ist es denkbar, dass der Tracker darin enthaltenen Code(Javascript) ausführt und dann auch versucht durch eine Internetseite Schadcode nachzuladen?

Ist das dann eine Methode ähnliche wie bei den Tracking Pixel(https://de.wikipedia.org/wiki/Z%C3%A4hlpixel)?

jessie
Beiträge: 112
Registriert: 16.06.2019 09:55:33

Re: Debian nur über Exploits angreifbar?

Beitrag von jessie » 11.07.2019 14:16:31

Wenigstens eine eigene (Fritz-) Box selber kaufen?!

Benutzeravatar
MSfree
Beiträge: 10687
Registriert: 25.09.2007 19:59:30

Re: Debian nur über Exploits angreifbar?

Beitrag von MSfree » 11.07.2019 14:27:16

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 14:08:03
Wie sieht es denn aus, wenn man so eine manipulierte Bilddatei, jpg, svg durch den Browser Cache auf die SSD landet und der Gnome Tracker daherkommt und das indiziert. Ist es denkbar, dass der Tracker darin enthaltenen Code(Javascript) ausführt und dann auch versucht durch eine Internetseite Schadcode nachzuladen?
Zumindest bei jpg und svg ist es nicht vorgesehen, HTML einzubetten und auszuführen. Natürlich kann man in jpg oder anderen Bildformaten in der Regel Kommentare als ASCII-Text speichern, so daß man dort auch HTML unterbringen könnte. Die lesenden Programme sind darauf aber nicht vorbereitet und zeigen schlimmstenfalls den Text an, führen ihn jedoch nicht aus. Folglich würde auch der Indexer diesen Text ignorieren.
Ist das dann eine Methode ähnliche wie bei den Tracking Pixel(https://de.wikipedia.org/wiki/Z%C3%A4hlpixel)?
Nein, nicht wirklich. Beim Trackingpixel wird im HTML-Code eine Bilddatei eingebettet, die einen einmaligen Dateinamen hat und nur ein Pixel groß ist. Durch die Größe fällt das Bild nicht auf und durch den einmaligen Namen kann das Bild eindeutig indentifiziert werden. Spezielle Webserver mit Datenbanken können dann beim Laden dieser Bilder den Benutzer wiedererkennen.

Bei reinen Bilddateien wird nichts nachgeladen. Bilddateien wurden dafür konzipiert, genau nur Bilddaten zu enthalten. Das Konzept wurde zwar durch zahlreiche weitere Daten, wie GPS-Position, Belichtungsdaten und Textkommentar ein wenig aufgeweicht, die Daten sind aber in sich selbst geschlossen und verlangen kein Nachladen. Man müßte also schon selbst Software schreiben, um die als HMTL vergewaltigten Kommentartexte auszunutzen und um Daten nachzuladen. Man bräuchte also eine mit Schadcode modifizierte Bibliothek,um mit Schadcode modifizierte Bilder auszunutzen. Das ist dann aber schon ein Henne-Ei Problem. Zwar lösbar aber selbst für Schadcodeprogrammierer eher zu umständlich.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Debian nur über Exploits angreifbar?

Beitrag von uname » 11.07.2019 14:47:15

Wenn es Probleme mit JPG bei Debiantracker gibt, dann liegt es an Tracker, der natürlich anstatt ein Bild zu indexieren auch die Festplatte löschen könnte ;-)
Man kann aber in Bildern mit Steganographie geheime Informationen verstecken. War aber wohl nicht die Frage.

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Debian nur über Exploits angreifbar?

Beitrag von OrangeJuice » 11.07.2019 15:08:34

Doch, du liegst schon richtig damit. Ich habe stegosploit damit in Verbindung gebracht. Hatte das auf Seite 2 schonmal angesprochen.

Benutzeravatar
MSfree
Beiträge: 10687
Registriert: 25.09.2007 19:59:30

Re: Debian nur über Exploits angreifbar?

Beitrag von MSfree » 11.07.2019 15:40:21

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 15:08:34
Doch, du liegst schon richtig damit. Ich habe stegosploit damit in Verbindung gebracht. Hatte das auf Seite 2 schonmal angesprochen.
Dieser stegosploit erfordert aber einige Hilfsmittel, damit er funktioneirt. Einerseits braucht man einen Webbrowser, der HTML5 versteht, dann lädt man ein HTML5-Dokument, das im Javaskript einen eigenen Steganographiedekoder für manipulierte JPGs mitbringt, und dann wird das im HTML5 referenzierte JPG nachgeladen, das von Javascript auseinander genommen wird und Schadcode zu Ausführung bringt.

Mit dem JPG alleine z.B. in Gimp würde gar nichts passieren.

TomL

Re: Debian nur über Exploits angreifbar?

Beitrag von TomL » 11.07.2019 16:25:31

Moin

Ich will ja jetzt keinesfalls ein Nörgler sein.. ehrlich nicht ... :wink: ... und auch kein Spielverderber... 8) ... aber im Moment habe ich das Gefühl, dass das Thema hier eine Eigendynamik entwickelt, die mir so ein bisschen Mint-mäßig vorkommt ... je mehr Aspekte über potentielle Attacken reinkommen, umso größer wird die Hysterie und umso verzweifelter die Suche nach Schutzmaßnahmen dagegen. :twisted:

Und irgendwie hab ich das Gefühl, dass die Wirklichkeit dabei nicht so eine große Rolle spielt. Also jetzt mal ehrlich, ich betreibe hier einige Debian-Maschinen und aktiv genutzte VMs, und ich bin wohl hier bei mir zuhause der einzige, dessen Linux-Kenntnisse über die Bedienung des Einschaltknopfes hinausgeht ... aber Fakt ist, auf keiner einzigen Maschine hat es seit 2015 jemals solche Probleme unter Debian gegeben. Davor wars hier Windows... und selbst da hats keine solcher Vorfälle gegeben. Da frage ich mich doch verwundert, leb ich hier auf 'ner Insel der virusfreien Glückseligkeit? Oder woran liegt das, dass andere Debian-User anscheinend unter ständigen Angriffen von bösen Buben leiden und wir hier zuhause davon vollständig verschont bleiben? Wer hat denn eigentlich schon mal ganz konkreten Schaden durch Angriffe aus dem Internet erlitten und kann ausschließen, dass er selber dafür verantwortlich war? Gibt es hier in diesem Forum wirklich eine relevante Anzahl von Betroffenen, so das wirklich Anlass zur allgemeinen Sorge besteht?

:hail:

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 11.07.2019 16:52:31

TomL hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 16:25:31
Moin

Ich will ja jetzt keinesfalls ein Nörgler sein.. ehrlich nicht ... :wink: ... und auch kein Spielverderber... 8) ... aber im Moment habe ich das Gefühl, dass das Thema hier eine Eigendynamik entwickelt, die mir so ein bisschen Mint-mäßig vorkommt ... je mehr Aspekte über potentielle Attacken reinkommen, umso größer wird die Hysterie und umso verzweifelter die Suche nach Schutzmaßnahmen dagegen. :twisted:

Und irgendwie hab ich das Gefühl, dass die Wirklichkeit dabei nicht so eine große Rolle spielt. Also jetzt mal ehrlich, ich betreibe hier einige Debian-Maschinen und aktiv genutzte VMs, und ich bin wohl hier bei mir zuhause der einzige, dessen Linux-Kenntnisse über die Bedienung des Einschaltknopfes hinausgeht ... aber Fakt ist, auf keiner einzigen Maschine hat es seit 2015 jemals solche Probleme unter Debian gegeben. Davor wars hier Windows... und selbst da hats keine solcher Vorfälle gegeben. Da frage ich mich doch verwundert, leb ich hier auf 'ner Insel der virusfreien Glückseligkeit? Oder woran liegt das, dass andere Debian-User anscheinend unter ständigen Angriffen von bösen Buben leiden und wir hier zuhause davon vollständig verschont bleiben? Wer hat denn eigentlich schon mal ganz konkreten Schaden durch Angriffe aus dem Internet erlitten und kann ausschließen, dass er selber dafür verantwortlich war? Gibt es hier in diesem Forum wirklich eine relevante Anzahl von Betroffenen, so das wirklich Anlass zur allgemeinen Sorge besteht?

:hail:
Deine Einwände sind durchaus gerechtfertigt. Mein Interesse geht schon in die Richtung, mehr über mögliche Angriffsvektoren kennenzulernen. Je mehr man weiss womit man zu rechnen hat, desto mehr erhält man ein Gefühl der Sicherheit, wobei natürlich auch dieses Gefühl wiederum trügerisch ist ;)

Gerade vorhin habe ich etwsa gestaunt. Ohne mein Zutun schaltet sich bei mir auf dem laptop ein youtube video in den vollbild modus... habe dafür auch einen eingenen beitrag geöffnet.

Benutzeravatar
OrangeJuice
Beiträge: 616
Registriert: 12.06.2017 15:12:40

Re: Debian nur über Exploits angreifbar?

Beitrag von OrangeJuice » 11.07.2019 17:48:34

Es gibt doch auch viele Möglichkeiten. Firmware(Festplatten), Hardware-Ebene(CPU),TelekomRouter, oder auch offensichtlicher durch manipulierte Images(Gentoo, Linux Mint,Docker Images),Apt-Bug, Browser (DriveBy, Werbung), manipulierte Hardware per Post abgefangen(Link).

TomL von welchem Szenario gehst du aus? Wie und wann merkt man, ob man selber betroffen ist? Der beste Schutz ist doch sich vorher einen Kopf zu machen.

TomL

Re: Debian nur über Exploits angreifbar?

Beitrag von TomL » 11.07.2019 19:42:02

OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 17:48:34
TomL von welchem Szenario gehst du aus?
Ganz nüchtern betrachtet, nur von denen, die mich (bzw. uns hier im Heimnetz) ganz real betreffen. Von Deiner Liste ist jedenfalls definitiv nix dabei, was hier eine Bedeutung hat oder irgendeine Beachtung bekommt. Und wer Mint, fremde PPA's, Docker-Images oder Snap oder Flatpaks aus irgendwelchen (möglicherweise sogar anonymen Bastlerquellen) nutzt, ist selber schuld... wie ich schon sagte, der berechtigte Anwender ist immer das Problem ... aber imho ziemlich sicher nicht ein sauberes Debian aus dem Debian-Repository. Btw, für jeden theoretischen (was nämlich die meisten Exploits in unserem privaten Umfeld tatsächlich nur sind) Exploit, egal obs der mit apt war, oder Spectre oder was auch immer, muss immer lokal ein Prozess laufen, der diesen Exploit auch tatsächlich ausnutzen könnte. Nur das reine Vorhandensein eines Exploits hat doch erstmal überhaupt keine Bewandtnis für uns. Und nun verrat mir, wo dieser Prozess herkommen soll, wenn ich den nicht selber installiere?

Wenn du übertriebenermaßen Software zu Verbesserung Deiner Sicherheit installierst, installierst Du faktisch auch deutlich mehr potentielle Exploits. Sicherheit bekommst Du nicht durch mehr Software, sondern primar durch bewussten Verzicht... auf unnötige Software, auf bestimmtes eigenes Verhalten, auf unnütze Komforttools. Wenn ich hier lese Ublock plus nocript plus plus httpseverywhere plus cookie-cleaner... da wird doch der Verstand komplett auf überflüssige Software delegiert. Wieso braucht man überhaupt nen Cookie-Cleaner, wenn man bei Sitzungsende einfach Cache, History und Cookies komplett löschten kann...?... der Private-Mode ist doch FF-Basic-Funktionalität. Wieso braucht man https-everywhere, wenn man doch auf normalen http-seiten gar keine sensiblen Daten austauscht oder nur dort liest? Wieso braucht man 2 Script-Blocker? Man kann doch mit Ublock generell alles blocken, Ad's, Scripte, Site-Elemente usw. ... wenn der eine schon vollständig blockt, was tut dann der andere? Und wenn der zweite wirklich noch was zu blocken hätte, ist der erste einfach nur schlampig konfiguriert. Warum muss ich überhaupt meinen persönlichen Linux-User-Homedir-Profil-Browser dazu verwenden, wenn ich irgendwelche unseriösen Dinge im Web ansehen will... das geht doch bestens in einer Quarantäne-VM. Auf all unseren Systemen läuft als einziges Addon nur der unterschiedlich scharf eingestellte ublock origin. Zum Beispiel ist damit mit meinem eigenen Homedir-Profil überhaupt kein Surfen möglich... da ist rigoros alles geblockt.... das verwende ich nur für meine eigene HP und lokale Web-Interfaces. Alles andere passiert über einen virtuellen unberechtigten User oder eben über die VM.

Ich bleibe bei meiner Meinung, die Security-Aspekte, die ich nicht allein durch mein eigenes Verhalten nachhaltig positiv beinflussen kann, kann ich auch nicht mit irgendwelcher dubioser Software beeinflussen, deren Wirken ich meistens sowieso gar nicht verstanden habe und die möglicherweise deswegen auch noch schlecht konfiguriert ist... oder weil ich die Wirkung dieser Software durch mein fahrlässiges Verhalten wieder neutralisiert habe. Und ich bin nicht so vermessen zu glauben, dass ich mit meinen stümperhaften Kenntnissen und eben jener vermutlich schlechtkonfigurierten Security-Software überhaupt echte Profis aufhalten kann. Und alle anderen (sowas wie Script-Kiddies) kommen sowieso nicht rein, weil da mein Router schon Firmwareseitig blockiert. Und in diesem verzichte ich natürlich eben auch auf zum Internet geöffnete Ports und Weiterleitungen ins LAN. Solche Ports öffnen schließlich immer nur die Profis für ihre FHEM-Konfiguration, die sie mehr oder weniger gedankenlos irgendwo abgeschrieben haben, damit sie mit dem IPhone von irgendwo auf der Welt die Rolladen hoch- und runterfahren können ... :twisted:

Vor 15 oder mehr Jahren galt schon die Erkenntnis "Brain.exe ist das allerbeste Security-Programm gegen Schadsoftware".... und heute ergänze ich das für mich mit "...und in Verbindung mit Debian ist das geradezu unschlagbar." Aber egal , jeder soll tun, wie es ihm beliebt...

jm2c

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 11.07.2019 23:09:15

TomL hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 19:42:02
OrangeJuice hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 17:48:34
TomL von welchem Szenario gehst du aus?
Ganz nüchtern betrachtet, nur von denen, die mich (bzw. uns hier im Heimnetz) ganz real betreffen. Von Deiner Liste ist jedenfalls definitiv nix dabei, was hier eine Bedeutung hat oder irgendeine Beachtung bekommt. Und wer Mint, fremde PPA's, Docker-Images oder Snap oder Flatpaks aus irgendwelchen (möglicherweise sogar anonymen Bastlerquellen) nutzt, ist selber schuld... wie ich schon sagte, der berechtigte Anwender ist immer das Problem ... aber imho ziemlich sicher nicht ein sauberes Debian aus dem Debian-Repository. Btw, für jeden theoretischen (was nämlich die meisten Exploits in unserem privaten Umfeld tatsächlich nur sind) Exploit, egal obs der mit apt war, oder Spectre oder was auch immer, muss immer lokal ein Prozess laufen, der diesen Exploit auch tatsächlich ausnutzen könnte. Nur das reine Vorhandensein eines Exploits hat doch erstmal überhaupt keine Bewandtnis für uns. Und nun verrat mir, wo dieser Prozess herkommen soll, wenn ich den nicht selber installiere?

Wenn du übertriebenermaßen Software zu Verbesserung Deiner Sicherheit installierst, installierst Du faktisch auch deutlich mehr potentielle Exploits. Sicherheit bekommst Du nicht durch mehr Software, sondern primar durch bewussten Verzicht... auf unnötige Software, auf bestimmtes eigenes Verhalten, auf unnütze Komforttools. Wenn ich hier lese Ublock plus nocript plus plus httpseverywhere plus cookie-cleaner... da wird doch der Verstand komplett auf überflüssige Software delegiert. Wieso braucht man überhaupt nen Cookie-Cleaner, wenn man bei Sitzungsende einfach Cache, History und Cookies komplett löschten kann...?... der Private-Mode ist doch FF-Basic-Funktionalität. Wieso braucht man https-everywhere, wenn man doch auf normalen http-seiten gar keine sensiblen Daten austauscht oder nur dort liest? Wieso braucht man 2 Script-Blocker? Man kann doch mit Ublock generell alles blocken, Ad's, Scripte, Site-Elemente usw. ... wenn der eine schon vollständig blockt, was tut dann der andere? Und wenn der zweite wirklich noch was zu blocken hätte, ist der erste einfach nur schlampig konfiguriert. Warum muss ich überhaupt meinen persönlichen Linux-User-Homedir-Profil-Browser dazu verwenden, wenn ich irgendwelche unseriösen Dinge im Web ansehen will... das geht doch bestens in einer Quarantäne-VM. Auf all unseren Systemen läuft als einziges Addon nur der unterschiedlich scharf eingestellte ublock origin. Zum Beispiel ist damit mit meinem eigenen Homedir-Profil überhaupt kein Surfen möglich... da ist rigoros alles geblockt.... das verwende ich nur für meine eigene HP und lokale Web-Interfaces. Alles andere passiert über einen virtuellen unberechtigten User oder eben über die VM.

Ich bleibe bei meiner Meinung, die Security-Aspekte, die ich nicht allein durch mein eigenes Verhalten nachhaltig positiv beinflussen kann, kann ich auch nicht mit irgendwelcher dubioser Software beeinflussen, deren Wirken ich meistens sowieso gar nicht verstanden habe und die möglicherweise deswegen auch noch schlecht konfiguriert ist... oder weil ich die Wirkung dieser Software durch mein fahrlässiges Verhalten wieder neutralisiert habe. Und ich bin nicht so vermessen zu glauben, dass ich mit meinen stümperhaften Kenntnissen und eben jener vermutlich schlechtkonfigurierten Security-Software überhaupt echte Profis aufhalten kann. Und alle anderen (sowas wie Script-Kiddies) kommen sowieso nicht rein, weil da mein Router schon Firmwareseitig blockiert. Und in diesem verzichte ich natürlich eben auch auf zum Internet geöffnete Ports und Weiterleitungen ins LAN. Solche Ports öffnen schließlich immer nur die Profis für ihre FHEM-Konfiguration, die sie mehr oder weniger gedankenlos irgendwo abgeschrieben haben, damit sie mit dem IPhone von irgendwo auf der Welt die Rolladen hoch- und runterfahren können ... :twisted:

Vor 15 oder mehr Jahren galt schon die Erkenntnis "Brain.exe ist das allerbeste Security-Programm gegen Schadsoftware".... und heute ergänze ich das für mich mit "...und in Verbindung mit Debian ist das geradezu unschlagbar." Aber egal , jeder soll tun, wie es ihm beliebt...

jm2c
Hallo Tom,

Eine interessante Einschätzung der Dinge. Ich wusste nicht das Docker Images als risikobehaftet gelten, installiert habe ich sie auf einer Testmaschine, nicht in meinem Lan. Unter diesen Umständen werde ich auch davon absehen. Ich dachte, Docker wäre auch geeignet eigene Services auf dem Server lokal per Docker im eigenen Netz bereitzustellen, anstelle auf virtuelle Maschinen zurückgreifen zu müssen.

Ein schlankes System mit dem nötigsten und wirklich nur benutzten Applikationen reduziert die Angriffsfläche, das stimmt sicherlich. Ich glaube die Frage muss man auch strategisch sehen. Es gibt Software, die einen Mehrwert an Sicherheit bringen, die es sich lohnt zu installieren. Ein Verzicht auf virtuelle Maschinen, weil man den Code des virt-managers scheut zb., würde dazu führen, dass auf diese Weise gar keine Software verwenden müsste, weil Software generell immer anfällig ist. Wenn der Nutzen das Risiko in grossem Masse überwiegt, so sollte man diese Software auch nutzen. Dabei sollte es wie du schon sagtest, Software sein die aus dem Debian Repository kommt und nicht von irgend welchen Webseiten.

Nehmen wir mal an du möchtest Software wie Gnunet benutzen. Dort wirst du einen Port am Router öffnen müssen. Verzichtest du lieber auf die Software damit du keinen Port öffnen musst oder würdest du das Risiko eingehen? Welche Priorität wäre dir wichtiger?

TomL

Re: Debian nur über Exploits angreifbar?

Beitrag von TomL » 11.07.2019 23:13:24

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:09:15
Ich wusste nicht das Docker Images als risikobehaftet gelten,
Das sind sie nicht und das habe ich auch nicht gesagt. Ich habe -auf downloadbare fertige Images bezogen- geschrieben "aus irgendwelchen (möglicherweise sogar anonymen Bastlerquellen)..." Wenn Du selber ein Docker-Image unter Deiner Aufsicht und eigener Regie erstellen kannst, finde ich das völlig ok. Aus gleichem Grund würde ich auch niemals qcow2-Files importieren, die ich nicht selber mit dem Debian-Installer eingerichtet habe.

BTW, darf ich mal ganz freundlich fragen, warum Du völlig unnötig ein Vollzitat machst? Stell Dir mal vor, wie dieses Posting aussehen würde, wenn ich das jetzt auch gemacht hätte.... :roll: ... nur um mich dann auf einen einzigen kurzen Satz zu beziehen, der zudem auch noch gleich am Anfang des Pakets steht?
Verzichtest du lieber auf die Software damit du keinen Port öffnen musst oder würdest du das Risiko eingehen?
Ich verzichte auf Software, die auf mir nicht nachvollziehbare Bedingungen oder besondere Rechte besteht oder aus anonymen Quellen kommen würde. Niemals würde ich dafür einen Port öffnen. Ich würde z.B. auch niemals für den JDL2 einen Port öffnen, um den übers Netz zu bedienen, oder Teamviewer einsetzen, oder sowas wie Sophos-VPN oder Fritzbox-VPN, oder RemoteDesktop übers Internet, natürlich auch kein Port für Peer-Netze, usw. Hier gibt es nur einen einzigen offenen Port, und das ist der für OpenVPN. Damit habe ich alle Möglichkeiten offen.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 11.07.2019 23:44:03

TomL hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:13:24
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:09:15
Ich wusste nicht das Docker Images als risikobehaftet gelten,
Das sind sie nicht und das habe ich auch nicht gesagt. Ich habe -auf downloadbare fertige Images bezogen- geschrieben "aus irgendwelchen (möglicherweise sogar anonymen Bastlerquellen)..." Wenn Du selber ein Docker-Image unter Deiner Aufsicht und eigener Regie erstellen kannst, finde ich das völlig ok. Aus gleichem Grund würde ich auch niemals qcow2-Files importieren, die ich nicht selber mit dem Debian-Installer eingerichtet habe.
In Docker bezieht man sich immer auf fertige Images, auch das Debian Light Docker Image musst du dir per Konsole erst holen, bevor du damit eigene Container oder eigene Images erstellen kannst. Jedenfalls nach meinem Wissensstand, ich wäre nicht imstande aus einem Debian Buster ein Docker Image Light zu erstellen.

TomL hat geschrieben:BTW, darf ich mal ganz freundlich fragen, warum Du völlig unnötig ein Vollzitat machst? Stell Dir mal vor, wie dieses Posting aussehen würde, wenn ich das jetzt auch gemacht hätte.... :roll: ... nur um mich dann auf einen einzigen kurzen Satz zu beziehen, der zudem auch noch gleich am Anfang des Pakets steht?
Ich habe etwas Mühe mit dem zitieren, das stetige manuelle einfügen deines namens als quote tag ist mühsam. Tut mir leid, war keine Absicht.
TomL hat geschrieben:Ich verzichte auf Software, die auf mir nicht nachvollziehbare Bedingungen oder besondere Rechte besteht oder aus anonymen Quellen kommen würde. Niemals würde ich dafür einen Port öffnen. Ich würde z.B. auch niemals für den JDL2 einen Port öffnen, um den übers Netz zu bedienen, oder Teamviewer einsetzen, oder sowas wie Sophos-VPN oder Fritzbox-VPN, oder RemoteDesktop übers Internet, natürlich auch kein Port für Peer-Netze, usw. Hier gibt es nur einen einzigen offenen Port, und das ist der für OpenVPN. Damit habe ich alle Möglichkeiten offen.
Interessant. Du würdest also auf das Gnunet verzichten oder es nur im Client Mode einsetzen, weil du dich vor Gnunet Exploits schützen möchtest? Es müsste ja dann Schwachstellen im Code befinden, die man ausnutzen könnte. Doch auch hier : Wenn du das sudo package löschst, welche Möglichkeiten bleiben noch, um sich über den offenen Gnunet Port am Router Kontrolle über den Host zu verschaffen? Du könntest ja dann nicht den OpenVPN Port nutzen, da dieser schon für diesen Dienst vorgesehen wäre.

willy4711

Re: Debian nur über Exploits angreifbar?

Beitrag von willy4711 » 12.07.2019 00:49:59

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:44:03
nteressant. Du würdest also auf das Gnunet verzichten oder es nur im Client Mode einsetzen, weil du dich vor Gnunet Exploits schützen möchtest? Es müsste ja dann Schwachstellen im Code befinden, die man ausnutzen könnte. Doch auch hier : Wenn du das sudo package löschst, welche Möglichkeiten bleiben noch, um sich über den offenen Gnunet Port am Router Kontrolle über den Host zu verschaffen? Du könntest ja dann nicht den OpenVPN Port nutzen, da dieser schon für diesen Dienst vorgesehen wäre.
GNUnet ist ein freies Framework für sicheres und anonymes Peer-to-Peer-Networking, das keine zentralisierten oder anderweitig vertraute Dienste verwendet.
Was ist das hier für ein Geschwätz? Hast du überhaupt verstanden worum es dabei geht?
Wer sind denn die Peers, mit denen du kommunizieren willst ?
Wenn dein Kumpel dir über das Gnunet was unter jubelt, oder du von anderen infizierte Daten beziehst, schützt dich kein noch so tolles Netzwerk
(wichtig: Open Source :facepalm: ) davor.

Wie auch immer: Surfen kannst du damit nicht.

TomL

Re: Debian nur über Exploits angreifbar?

Beitrag von TomL » 12.07.2019 09:37:04

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:44:03
Interessant. Du würdest also auf das Gnunet verzichten oder es nur im Client Mode einsetzen, weil du dich vor Gnunet Exploits schützen möchtest?
Nein, falsch... ich würde es überhaupt nicht nutzen, weil es ein Peer-Netzwerk ist.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 12.07.2019 14:16:53

willy4711 hat geschrieben: ↑ zum Beitrag ↑
12.07.2019 00:49:59
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:44:03
nteressant. Du würdest also auf das Gnunet verzichten oder es nur im Client Mode einsetzen, weil du dich vor Gnunet Exploits schützen möchtest? Es müsste ja dann Schwachstellen im Code befinden, die man ausnutzen könnte. Doch auch hier : Wenn du das sudo package löschst, welche Möglichkeiten bleiben noch, um sich über den offenen Gnunet Port am Router Kontrolle über den Host zu verschaffen? Du könntest ja dann nicht den OpenVPN Port nutzen, da dieser schon für diesen Dienst vorgesehen wäre.
GNUnet ist ein freies Framework für sicheres und anonymes Peer-to-Peer-Networking, das keine zentralisierten oder anderweitig vertraute Dienste verwendet.
Was ist das hier für ein Geschwätz? Hast du überhaupt verstanden worum es dabei geht?
Wer sind denn die Peers, mit denen du kommunizieren willst ?
Wenn dein Kumpel dir über das Gnunet was unter jubelt, oder du von anderen infizierte Daten beziehst, schützt dich kein noch so tolles Netzwerk
(wichtig: Open Source :facepalm: ) davor.

Wie auch immer: Surfen kannst du damit nicht.
Hallo Willy,

Ein Netzwerk schützt dich generell nicht gegen unvorsichtiges Verhalten oder unbewusst eingegangene Risiken. Ob du nun in einem FirmenLan sitzt oder welch Netz auch immer, spielt keine Rolle. Ich glaube hier muss man unterscheiden zwischen dem Hauptzweck eines dezentralen, verschlüsselten Netzerk im Vergleich zu einem Protokoll-Stack, der nie wirklich gefixt werden kann, weil sein Design hundsmiserabel ist.

Inwiefern hast du dich denn explizit mal mit dem Gnunet befasst und der Architektur befasst? Wenn ich dazu komme werde ich nacher noch einen Artikel hier verfassen der die Vorteile des Gnunets aufzeigt.

Warum sollte man über die Gnunet infrastruktur nicht surfen können? Das musst du mir näher erläutern..

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 12.07.2019 14:23:47

TomL hat geschrieben: ↑ zum Beitrag ↑
12.07.2019 09:37:04
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
11.07.2019 23:44:03
Interessant. Du würdest also auf das Gnunet verzichten oder es nur im Client Mode einsetzen, weil du dich vor Gnunet Exploits schützen möchtest?
Nein, falsch... ich würde es überhaupt nicht nutzen, weil es ein Peer-Netzwerk ist.
Was ist an einem Peer2Peer Netzwerk schlecht? Ist ein Netz, welches auf zentrale Dienste beruht und dessen Infrastruktur von Kräften, die die Server unter Kontrolle halten, denn von Vorteil? Selbst wenn die Server von Menschen betrieben wird, die guter Absicht sind, so kann eine von aussen gelagerte Kraft immer diese zentralen Server angreifen und die Infrastruktur als ganzes gefährden.

Aus diesem Grunde nutzen wir hier alle auch qTox und keine Messenger Programme, die auf zentralen Servern beruhen. Sie sind abhängig von Finanzierung und wer finanziert, befiehlt. qTox ist dezentral und auf diese Weise auch frei von Servern. Warum sollte ein Kommunikationstool auf zentrale Infrastruktur zurückgreifen, wenn dies gar nicht notwendig ist?

Der ganze IP Protokoll Stack ist doch einfach nur schlecht designed und erlaubt gerade aufgrund dessen eine Massenüberwachung, die gar nicht notwendig wäre. Wäre IP schon auf unterer Ebene verschlüsselt und das Routing nicht Location basiert, dann hätten wir viele Probleme nicht, unter denen wir überwachungssensitiven Menschen leiden.

Und auch Storage Systeme lassen sich wunderbar dezentralisiert designen. Bitchute ist so ein Beispiel. Weshalb braucht es youtube, wenn man so einen Dienst auch dezentral entwickeln kann? Der einzige Grund warum youtube mehr genutzt wird beruht ja in erster Linie auf die Faulheit und Unbewusstheit derjenigen Nutzer die nicht merken, dass Sie das Produkt dieser Kontrollfreaks sind und nicht aufgrund dessen, dass Bitchute schlechter oder unkomfortabler wäre.

Gutes dezentrales Design und Usability schliesst sich nicht aus.

TomL

Re: Debian nur über Exploits angreifbar?

Beitrag von TomL » 12.07.2019 15:15:13

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
12.07.2019 14:23:47
Was ist an einem Peer2Peer Netzwerk schlecht? Ist ein Netz, welches auf zentrale Dienste beruht und dessen Infrastruktur von Kräften, die die Server unter Kontrolle halten, denn von Vorteil? Selbst wenn die Server von Menschen betrieben wird, die guter Absicht sind, so kann eine von aussen gelagerte Kraft immer diese zentralen Server angreifen und die Infrastruktur als ganzes gefährden.
Ich bin jetzt ein wenig unsicher, ob Du uns hier alle vorführen willst oder ob das wirklich Dein Ernst ist. In einem Peer2Peer-Netzwerk *) gibt es keine zentralen Server, jeder einzelne in diesem Netzwerk beteiligte Host ist immer gleichzeitig Server und Client. Und die Kontrolle eines bestimmten Hosts, der da also auch als Server werkelt, also auch Dein eigener PC, ist dann von der jeweiligen Qualifikation desjenigen abhängig, der an der Tastatur sitzt und sich selber Admin nennt. Nun ja, als Server-Admin mit einem solcherart im WWW exponierten System kannst nur Du selber Deine Qualifikation einschätzen ... meine wäre für solche Fälle jedenfalls nicht ausreichend.

Ich verabschiede mich damit dann mal bis auf weiteres.... :wink:

*)
https://de.wikipedia.org/wiki/Peer-to-Peer (siehe 2. Absatz)
https://de.wikipedia.org/wiki/GNUnet (gleich der erste Satz)

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Debian nur über Exploits angreifbar?

Beitrag von Trollkirsche » 12.07.2019 16:52:45

TomL hat geschrieben: ↑ zum Beitrag ↑
12.07.2019 15:15:13
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
12.07.2019 14:23:47
Was ist an einem Peer2Peer Netzwerk schlecht? Ist ein Netz, welches auf zentrale Dienste beruht und dessen Infrastruktur von Kräften, die die Server unter Kontrolle halten, denn von Vorteil? Selbst wenn die Server von Menschen betrieben wird, die guter Absicht sind, so kann eine von aussen gelagerte Kraft immer diese zentralen Server angreifen und die Infrastruktur als ganzes gefährden.
Ich bin jetzt ein wenig unsicher, ob Du uns hier alle vorführen willst oder ob das wirklich Dein Ernst ist. In einem Peer2Peer-Netzwerk *) gibt es keine zentralen Server, jeder einzelne in diesem Netzwerk beteiligte Host ist immer gleichzeitig Server und Client. Und die Kontrolle eines bestimmten Hosts, der da also auch als Server werkelt, also auch Dein eigener PC, ist dann von der jeweiligen Qualifikation desjenigen abhängig, der an der Tastatur sitzt und sich selber Admin nennt. Nun ja, als Server-Admin mit einem solcherart im WWW exponierten System kannst nur Du selber Deine Qualifikation einschätzen ... meine wäre für solche Fälle jedenfalls nicht ausreichend.

Ich verabschiede mich damit dann mal bis auf weiteres.... :wink:

*)
https://de.wikipedia.org/wiki/Peer-to-Peer (siehe 2. Absatz)
https://de.wikipedia.org/wiki/GNUnet (gleich der erste Satz)
Je nach Konzeption eines Peer2Peer Netzwerkes hast du noch lange nicht Zugriff auf andere Hosts, sondern es wird lediglich der verschlüsselte Traffic durchgeleitet. Auch zwingt dich keiner irgendwelche Dienste bereit zu stellen. Eine Direktverbindung kannst du nur eingehen indem du bewusst einwilligst, dies zu tun. Und da ihr dann die Public Keys voneinander habt, habt ihr auch die Kontrolle im Gegensatz zu einem Netzwerk, bei dem sich alle auf deinen PC verbinden können.

Das Gnunet kannst du übrigens auch ohne IP nutzen, zb. über Ad Hoc Wlan.

Antworten