Vergleich Debian - Ubuntu in Sachen Sicherheit

[azerty]

Gibt es irgendwo einen Vergleich, Statistiken, Berichte in denen die Sicherheit (Anzahl an Bugs, Sicherheitslöcher, Zeroday-Exploits, Schnelligkeit der Fixes) von Ubuntu mit Debian verglichen wird?

[Meillo]

Du provozierst, wenn auch ungewollt, einen Flamewar.

Deshalb vorbeugend: Bitte antwortet hier nur, wenn ihr Zahlen oder unabhängige Untersuchungen liefern könnt. Subjektive Einschätzungen sind nicht sachdienlich.

[azerty]

Ich möchte gleich noch eine weitere Frage hinzufügen:

In wie weit kann man ein System das Null (0) Ports offen hat angreifen?* Welche Schwachstellen bleiben denn da übrig? Der Webbrowser mit Java/Javascript/Flash? Muss für den Webbrowser eigentlich ein Port geöffnet werden?

Social-Engineering und physischer Zugang zum System bei diesen Fragen bitte ausklammern.

*Soweit ich weiß wird Ubuntu mit null offenen Ports ausgeliefert.

[uname]

Subjektive Einschätzungen sind nicht sachdienlich.

Stimmt. Würde jetzt gerne über den Sinn und Unsinn der in Ubuntu vorkonfigurierten /etc/sudoers und dem nicht vorhandenen root-Passwort bei Ubuntu diskutieren wollen

Zum Thema:

Man möge selbst vergleichen und eine Statistik erstellen:

http://www.debian.org/security/
http://www.ubuntu.com/usn/

In wie weit kann man ein System das Null (0) Ports offen hat angreifen?*

Über die Anwendungen, die indirekte Wege (Rückwege) ermöglichen. Auch Windows-Systeme werden heute nicht mehr wirklich über offene Ports angegriffen (hoffe ich). Angriffe erfolgen von innen heraus durch Schadsoftware wie Viren und Trojaner. Diese gelangen meist durch Dummheit des Anwenders (Installation aus unbekannter Fremdquelle) oder durch Fehler in Software ins System.

[coresploit]

Prinzipiell ist ein System mit weniger Anwendungen auch sicherer, da es potentiell weniger Fehler enthält. Der größte Teil der "Sicherheit" liegt in der Verantwortung des Benutzers, der dafür Sorge zu tragen hat, dass nichts aus unseriösen Quellen installiert wird. Prinzipiell kann man sogar Windows ohne Probleme betreiben, wenn man verantwortungsvoll damit umgeht (Virensoftware, Updates, keine Programme von unbekannten Seiten, ...).

[azerty]

Hierbei muss ich selbst sagen dass ich zu meinen Windows-XP Zeite nie Probleme mit Viren usw. hatte.

Nur Avira, die integrierte Firewall und mein "Thinkingdevice" waren aktiv.

Auch lief XP immer sehr flüssig und zuverlässig.

[daniel74]

Thema Statistiken:

Debian 5.0 2009:
http://secunia.com/advisories/product/2 ... stics_2009

Ubuntu 9.04 2009:
http://secunia.com/advisories/product/2 ... stics_2009

Interessant ist auch diese Übersicht:

The Top Cyber Security Risks
http://www.sans.org/top-cyber-security-risks/

*Soweit ich weiß wird Ubuntu mit null offenen Ports ausgeliefert.

Debian nicht? Ich verwende auf meinem Mail- oder Webserver keine Firewall,da ohnehin nur die Ports offen sind, die ich ohnehin benötige (SMTP,IMAP etc.). Andere Dienste laufen nicht,also habe ich für mich den Entschluss gefasst, keine Firewall einzusetzen....

Meine Sorge gilt eher Windows-Systemen,insbesondere Sicherheitslücken in Anwendungen, wie Acrobat Reader,Java oder Flash. Die Schadsoftware,die bei uns abgefangen wird, stammt zu gut 95% aus dem Internet (diverse Webseiten etc.).

Mein subjektiver Eindruck zu Debian/Ubuntu ist, dass sich beide Systeme nicht sonderlich unterscheiden (Patch-Verfügbarkeit,Reaktion auf Sicherheitslücken etc.) und beide Systeme sicher sind. Wenn ich eine Entscheidungsvorlage für/gegen eines der Systeme erstellen müsste, würden beide Systeme vermutlich im Bereich "Sicherheit" annährend die gleiche Punktzahl bekommen, da ich andere Kriterien bewerten müsste (Aktualität der Anwendungen, Support, Usability, Hardware-Unterstützung...).

[lemak]

Ich möchte gleich noch eine weitere Frage hinzufügen:

In wie weit kann man ein System das Null (0) Ports offen hat angreifen?* Welche Schwachstellen bleiben denn da übrig? Der Webbrowser mit Java/Javascript/Flash? Muss für den Webbrowser eigentlich ein Port geöffnet werden?

Social-Engineering und physischer Zugang zum System bei diesen Fragen bitte ausklammern.

*Soweit ich weiß wird Ubuntu mit null offenen Ports ausgeliefert.

Also ich bin nicht der Hacker. Aber mein Wissen ist so das der Browser den HTTP-Server auf Port 80 anspricht, und dazu selbst auch temporär einen belibigen Port öffnet - aber nicht im listen modus...

Ein System das keine Dienste Anbietet (also keine Ports offen hat). Kann -imo- nur durch "Anwender-Daten/Nutzdaten" (so möchte ich diese mal nennen) zb Flash-Videos die eine Lücke im Player ausnutzen, auch PDFs, MP3s, JPEGs etc. Makros in OTDs, binäre-Dateien die einen virus/trojaner/usw. enthalten, angegriffen werden. Zb die letzte Lücke in aMule hier konnten wohl auch "Anwender-Daten/Nutzdaten" so manipuliert werden, um via aMule das System zu Kompromittieren.

MfG i

PS: Sollte dieser Post stören einfach löschen

[123456]

In wie weit kann man ein System das Null (0) Ports offen hat angreifen?* Welche Schwachstellen bleiben denn da übrig? Der Webbrowser mit Java/Javascript/Flash? Muss für den Webbrowser eigentlich ein Port geöffnet werden?

wenn man ins Internet geht läuft das über Ports und das Webzeugs läuft über 80 oder 443. Selbst bei Flash muss man sich ja erstmal i.d.R. zum Webserver verbinden.

Angriffe wurden oben ja schon genannt. Dazu kommen bsp. Flooding Stürme, z.B. per ICMP um das System in einen "seltsamen Zustand" zu versetzen. Oder Systemlücken die es Angreifern ermöglichen trotz geschlossener Ports diese entweder zu öffnen oder daran vorbei zu arbeiten.
gerade kam ein aktuelles Beispiel dazu rein:
http://www.gulli.com/news/hack-schwachs ... 2010-01-06

ps:
was - kein Flamewar? bin doch etwas enttäuscht.

ps2:
ich teile die Meinung von daniel74 das sich beide Systeme im Bezug auf Sicherheit nicht viel schenken.

[novalix]

ich teile die Meinung von daniel74 das sich beide Systeme im Bezug auf Sicherheit nicht viel schenken.

Da mache ich mal die Skatrunde vollständig.
Wobei ich nicht wirklich weiss, welche Abschnitte der Ubuntu-Repos und unter welchen Bedingungen mit Sicherheitsaktualisierungen versorgt werden. Sind da die *verse Repos mit drin?

Groetjes, niels

[rendegast]

Angriffe auf die Netzwerk-/Router-/Bridging-Funktion (unter ub13s "Flooding Stürme"),
auf den Netzwerkkartentreiber selber,
auf netfilter (ub13s Portumgehung).

[uname]

Die Adresse

http://www.sans.org/top-cyber-security-risks/

ist sehr informativ. Angriffe verlaufen wohl heute meist so:

Code: Alles auswählen

Step 0: Attacker Places Content on Trusted Site
Step 1: Client-Side Exploitation
Step 2: Establish Reverse Shell Backdoor Using HTTPS
Steps 3 & 4: Dump Hashes and Use Pass-the-Hash Attack to Pivot
Step 5: Pass the Hash to Compromise Domain Controller
Steps 6 and 7: Exfiltration

Kurz zusammengefasst.
- Sicherheitslücke in Anwendungen, Platzierung im Internet
- Anwender nutzt Anwendung, fällt auf Sicherheitslücke rein
- Schadcode baut nun z.B. HTTPS-Verbindung auf, die der Angreifer rückwärts nutzt
- Angreifer räumt das Netz von innen auf

Nun kann man überlegen, wo eine Firewall (Filter von außen, Filter von innen) noch wirklich hilft. Wie das Betriebssystem sich negativ auswirkt und inwieweit Patches und Virenscanner helfen.

[123456]

http://www.sans.org/top-cyber-security-risks/
ist sehr informativ. Angriffe verlaufen wohl heute meist so:

meist?
habe auf die Schnelle nichts gefunden. Bei Zeit lese ich das mal gründlich.

Nun kann man überlegen, wo eine Firewall (Filter von außen, Filter von innen) noch wirklich hilft. Wie das Betriebssystem sich negativ auswirkt und inwieweit Patches und Virenscanner helfen.

Noscript ist glaube ich ein ganz gutes Mittel der Wahl. Wenn "gute Seiten" gehackt werden natürlich auch nicht.

Bezüglich Patches folgendes Zitat aus dem Header der http client-side attack:

The attacker's content includes exploitation code for unpatched client-side software.

also patchen sollte schon helfen.