Thread conficker-wurm (20 answers)
Opened by #Kein Kommentar at 2009-04-09 13:41

sid burn
 2009-04-10 21:13
#120506 #120506
User since
2006-03-29
1520 Artikel
BenutzerIn

user image
2009-04-10T07:52:04 betterworld
Letztendlich liegt es auch nur daran, dass die Verbreitung von Windows-Rechnern für Botnets einfach viel geeigneter ist.

Windows ist auf dem Desktop verbreiter, dadurch eignet sich Windows als Angriffsplatform auch mehr als die hunderten unterschiedlichen GNU/Linux Distributionen die es so gibt. Da stimme ich dir zu.

Trotz alledem, was oft gesagt wird, und ich bei dir auch herauslese, hat die Verbreitung nichts damit zu tun wie gut ein System angreifbar ist, wie gut ein System angreifbar ist hängt von ganz anderen Faktoren ab. Aber nicht von der verbreitung.

Die Verbreitung an sich lenkt aber sicherlich aufmerksamkeit auf sich, wenn man sich also entscheidet kein Windows zu nehmen, ist das also auch schon automatisch ein Sicherheitstechnischer vorteil.

Quote
Ich will nicht Windows oder sein Sicherheitskonzept loben, aber auf Linux wäre das bestimmt auch möglich.

Alles ist möglich. Eine 100%ige Sicherheit gibt es nicht. Allerdiengs sehe ich es auch nur als Möglich an das man ein Wurm schreiben kann, nicht das er sich so verbreitet wie bei einem Windows System.

Der Grund ist ganz einfach. Jede Distribution ist unterschiedlich. Was vielleicht auf einem Ubuntu System klappt muss auf einem Debian System noch lange nicht klappen, da dort ganz andere Software im unterschiedlichsten patch Status vorkommen. Wenn Version 1.3.6 von software X angreifbar ist, muss noch lange nicht Version 1.3.6 angreifbar sein in Debian, da diese zum Beispiel Lücken schon Patchen.

Generell ist homogenität ein guter Angriffspunkt. Diesen hast du so aber in GNU/Linux selten/nicht gegeben. Selbst wenn Software X eine Sicherheitslücke hat, dann muss die gleiche Version der Software in den unterschiedlichen Systemen keine Lücke haben.

Und durch die homogenität von Windows hast du einen viel größeren Angriffsfokus. Du hast nahezu immer den gleichen kernel, die gleiche GUI, Programme wie IE, Windows Media Player, Outlook Express etc. sind nahezu immer vorhanden.

Diesen Punkt hast du so auch nicht gegeben. Nutzt der Anwender jetzt Gnome? KDE? XFCE? Fluxbox? Nutzt er Mplayer, VLC, Xine? Firefox? Opera? Konquerer?

Den Stand von unterschiedlicher Software in unterschiedlichen gepatchten Versionen hast du bei GNU/Linux deutlich extremer als bei Windows gegeben. Das macht es auch als Angriffsplatform weniger attraktiv.

Quote
Es gibt jeden Tag neue Sicherheitslücken, und es gibt auch einige Rootkits, daher könnte es bestimmt auch Würmer geben, wenn jemand sie schreiben würde.

Natürlich gibt es jeden Tag neue Sicherheitslücken. Die gibt es aber bei Windows genauso. Es gibt da nur zwei Punkte.

1) Wie schnell werden Sicherheitslücken gefixt? Bei Open Source generell muss ich aber sagen das dieses ziemlich schnell gefixt werden. Meist gibt es beim erscheinen schon, oder kurz danach, eine Meldung das die Lücke bereits geschlossen wurde.

2) Nicht jede Sicherheitslücke erhöht automatisch die Angrifffähigkeit. Wenn Morgen eine Sicherheitslücke auftritt in sagen wir mal "mc" die einem lokalen Angreifer root Rechte geben kann. Okay ist toll, dann muss ein Angreifer aber erstmal auf mein System kommen.

Quote
Dazu kommt noch, dass Linux-Benutzer oft zu gutgläubig sind. Man lädt sich von irgendwo ein Binary (oder einen Quelltext, wer guckt den schon genau durch) runter und führt es aus, denn es kann ja nichts passieren, weil es ja keine Viren für Linux gibt...

Halte ich ehrlich gesagt für reine Polemik was du hier erzählst, und bis auf deine eigene Meinung kannst du da auch wenig beweise für bringen das es so ist. Womit es als Grundlage "Wie sicher ist Linux" wenig bringt, da man hier nicht mit eigene Meinungen argumentieren kann. Ich könnte dir deinen Satz genauso umschreiben und "Linux" durch "Windows" ersetzen und sagen das jeder auch alles ausführt weil er ja "Virenscanner" und "Personal Firewall" installiert hat und somit sicher ist. das wäre genauso dumme Polemik.

Aber man kann da einige Sachen trotzdem herauslesen über die man reden kann.

* Wie greift man ein System an? Nun hier gibt es zwei Angriffsmöglichkeiten. Die erste geschieht über Sicherheitslücken in einer Software. Der zweite Angriffsmöglichkeit ist es dem benutzer am PC dazu zu bringen etwas auzuführen. Sei es nun das er den Anhang der eMail ausführt oder sonst irgendetwas aus dem Netz herunterlädt und installiert.

* Bei der ersten Angriffsmöglichkeit die über Netzwerk muss allerdiengs erstmal die Software selber auch laufen. Wenn Sie nicht läuft kann sie logischerweise nicht angegriffen werden. Bei den üblichen GNU/Linux Distributionen siehst du aber das Standardmäig erstmal keine Dienste laufen die von ausen erreichbar sind. Im genauen gegensatz zu Windows, wo nach einer Installation erstmal Dienste offen sind. Hier bietet Windows ein guter Angriffspunkt. Ein Debian System hat aber Standardmäßig nach ausen nichts offen, kann demzufolge auch nicht angegriffen und eingedrungen werden.

* Zum letzten Punkt muss man aber auch noch sagen das dieses Risiko durch Router weiter eingedämt wird. Den auch ein Windows Rechner ist zum Internet nicht sofort erreichbar wenn er hinter einem Router mit NAT läuft. Trotzdem gibt es immer noch Leute die keinen Router haben wodurch sich ein Wurm unter Windows immer noch besser verbreiten kann.

* Der zweite Punkt dem Benutzer zu irgendetwas bewegen etwas herunterzuladen oder auszuführen ist ansonsten Betriebssystem unabhängig. Wenn ein benutzer so dumm ist ein Mailanhang unter Windows herunterzuladen und auszuführen, dann wird er dies wohl unter Linux immer noch tun. Zugleich es wohl keine Auswirkung hätte wenn er eine Windows "exe" datei zugelifert bekommen würde. Umgekehrt gilt es genauso. Wer unter Linux einfach etwas herunterlädt und ausführt wird es wohl unter Windows ebenso tuen. Diesen Punkt kann man also nicht einem Betriebssystem anhängen wenn Benutzer dies tuen. Dies ist dann reines selbstverschulden.

* Ansonsten gab es noch den Punkt mit dem herunterladen aus dem internet und irgendetwas auszuführen. Nun genau dieser Punkt ist bei Windows um ein vielfaches höher als z.B. unter Debian. Warum sollte ich unter Debian irgendwo etwas herunterladen und ausführen? Wenn ich Software installieren möchte dafür habe ich ja extra das Paketsystem. Software wird von da aus installiert, nicht von irgendeiner ominösen Seite wo ich zufällig Programm X finde und es mal ausprobieren möchte. Windows hat aber solch ein System nicht. Wenn du bei Windows Software nutzen möchtest egal ob Sie nun Open Source oder Closed Source ist musst du ständig abwägen und das sehr viel häufiger als z.B. ein Debian Benutzer. Je häufiger du es tust desto schneller kann es passieren das du dich irrst. Nattürlich schaue ich deswegen nicht jede Software nach, das ist auch unmöglich. Hier geht es dann um vertrauen. Ich traue z.B. den Debian Quellen und Paketen wo schon 99%? an Software abgedeckt werden. Ich traue Adobe für die Installation des gehassten Flash Players oder des Adobe Acrobats Readers und Nvidia für seinen Grafikkarten Treiber.

* Ein weiterer Punkt für die Sicherheit die hier ja auch schon genannt wurde ist das regelmäßige Updaten und auf den neusten Stand halten. Unter Windows kannst du dein Windows selber auf den neusten Stand halten, aber wie sieht es mit der restlichen Software aus? Mitlerweile haben die etwas größeren und verbreiterten Programme zwar eine auto update funktion (sofern nicht ausgeschaltet vom benutzer, oder von paranoiden Windows benutzer in seiner heiß geliebten Personal Firewall deaktiviert da böse software ja auf das internet zugreift), aber jedes kleine Programme hat dies nicht gegeben. Oft schaut es so aus das Software einmal installiert wird und das war es dann.

Sich ständig alle installierte Software in den augen halten und immer wieder die neuste Version zu installieren ist ein unheimlich hoher aufwand. Bei Debian bekommt man es als Beispiel durch das Paketsystem frei haus.

Ein "aptitude safe-upgrade" updatet mir alle Programme die ich installiert habe, nicht nur meinen Betriebssystem kern. Ansonsten ist das natürlich Philosophie von Debian. Anstatt einfach eine neue version zu installieren die neue Sicherheitslücken hinzufügen kann, oder die zu inkompatibilitäten im ganzen System führen kann, werden nur die Sicherheitslücken der vorhandenen versionen gefixt. Neue Sicherheitslücken die erscheinen muss ich ja nichtmal ein Angriffspunkt für mich sein, da ich die version ab der die Sicherheitslücke eingeführt wurde, gar nicht installiert habe.

* Und der nächste Punkt ist die Standard Rechte Verteilung. Unter Windows ist erstmal jeder Benutzer mit Admin Rechte unterwegs. Es kann sich hier also jede Software schon beim ausführen sofort einnisten. Das tolle ist das die meisten Benutzer zwar Virensoftware oder von mir aus auch eine Personal Dektop Firewall installiert haben. Da diese aber alle mit den gleichen rechten läuft, könnte ein Virus/Wurm diese auch einfach deaktivieren.

Dieses Konzept findest du so auch nicht in GNU/Linux verbreitet. Für Dienste werden in der Regel von jeder Distribution extra Benutzer angelegt die dann nur auf ihren Begrenzten raum zugreifen können. Selten läuft da irgendetwas als root.

Benutzer selber haben auch keine root Rechte sondern sind eben nur Benutzer des Systems. Was die Sicherheit des System ungemein erhöht.

Quote
Und als Malware dann Rootrechte zu erlangen ist auch ein Klacks, wenn man erstmal das Konto eines sudo-Benutzers erobert hat.

Das es eben mal so ein klacks ist bezweifle ich dann doch.

Ansonsten denke ich aber über diesen Fall eher seltener nach. Zum einen spielt es keine rolle ob es ein "sudo" benutzer ist, oder nicht.

Das was man sich erstmal hier Fragen muss ist. Wie ist die Malware überhaupt auf mein System gekommen? Darüber zu reden das die Malware hier und das machen kann, und wie man sich dagegen schützen kann das es die malware nicht mehr kann wäre unsinnige Symptom bekämpfung.

Man muss verhindern das die Software erst gar nicht erst auf dem System kommt.

Angriffspunkte sind Sicherheitslücken in Dienste die automatisch laufen wie ich ja schon oben alles erklärte, die aber standardmäßig auf einen Debian GNU/Linux System selten anzutreffen sind, bei Windows aber normal sind.

Dem Benutzer dazu zu überreden etwas auszuführen kann nicht unter Sicherheits des OSes gewertet werden, da man sich hier selber infiziert. Davor kann kein OS schützen.

Durch weitere Konzepte das ein benutzer des Systems aber nicht sofort alle Rechte hat ist es für ein Angreifer ungemein höher ein System zu infiltrieren.

Sich auf Software und bestimmte versionen zu verlassen geht auch nicht da jedes System von vorne bis hinten komplett unterscheiden kann, und die unterschiedlichen Distributionen sind dies von Haus aus schon.

Zum anderen ist es deutlich einfacher ein in meinen Fall Debian System Sicherheitstechnisch auf den neusten Stand zu halten als ein Windows mit seinen seperaten 100+ Manuell installierten programmen?

Die Sicherheit ist also schon deutlich höher. Von 100% Sicherheit spricht hier keiner, die gibt es nicht. Und die Angriffspunkte dem benutzer dazu zu führen etwas auszuführen davor schützt dich kein Betriebssystem. Aber andere konzept wie Benutzerrechte die Standardmäßig vorhanden sind helfen selbst in diesem fall noch beschränkt und erhöhren den Aufwand.

Und selbst wenn jemand nur meint es ist die verbreitung. Etwas anderes zu nehmen als das was am verbreitesten ist und somit aus dem "Angreiferpool" zu verschwinden ist ebenfalls eine erhöhung der Sicherheit.
Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de

View full thread conficker-wurm