[linux-l] Slightly off topic: Jagd auf Spam

Peter Ross Peter.Ross at alumni.tu-berlin.de
Do Okt 30 01:31:50 CET 2003


On Wed, 29 Oct 2003, Jan Krueger wrote:

> On Monday 27 October 2003 03:56, Peter Ross wrote:
> > exakte Zahl duerfte aber witzlos sein. Marketing halt.
> Klar, Marketing. SO wie ich das verstanden wird dieser switch (der
> Telefonverbindungen über ATM switched) aufgebaut, läuft 20 Jahre durch, und
> wird dann ersetzt durch einen neuen. 20 Jahre ist tatsächlich die Expected
> Product Life Time.

Klar, und wenn's denn dochmal schiefgeht, war's halt ein Montagsgeraet;-)
Die Ausschussquote bei IBM-Platten (je nach Quelle 17-20%) liegt ungefaehr
im Bereich der woechentlichen Montagsproduktion;-)

> Also obige erwähnte Technologien sind durchaus zukünfitg einsetzbar nur
> fehlem im Moment die entsprechende Werkzeuge, welche es dem Menschen
> ermöglichen diese Komplexität zu beherrschen.

Beispiel Firewall. Wenn ich erst einmal alles zumache, und dann successive
durchlasse, was ich brauche, sieht das einigermassen passabel aus. Wenn es
etwas komplexer wird, mit einerm halben Dutzend Eingaengen z.B., kann
trotzdem mal was daneben gehen. Da helfen Testprogramme und siebenmaliges
Raufgucken ..

.. oder Rulechecker, wie sie in Checkpoint z.B. drin sind. Kost' halt
Geld. Ja, gibt auch Linux-Firewall-Checker, aber die sind leider ab und an
buggy, weshalb ich denen nicht traue. Bei Checkpoint hast Du jemanden, den
Du anprangern kannst, mysterioeserweise scheint dieser Antrieb die
Fehlerquote zu senken..

> Es ist auch nicht erkennbar, daß sich das demächst ändern wird im Open
> source bereich, weshalb eben diese Technologien durchaus skeptisch zu
> betrachten sind.

> Wenn ich root werden möchte auf einem Zwiebel-Rechner, dann ja.
> Daß es schwierig ist root zu werden, einfach so aus dem Netz heraus, weiß
> jeder Hacker (es sei denn, auf dem Rechner ist sendmail installiert).
> Drum will es keiner. Spammer brauchen Proxies um ihre Bandbreite und ihren
> Wirkungsradius zu erhöhen. Da reicht ein Apache mit Sicherheitslücke
> vollkommen aus.

Zum Spammen brauchst Du Port 25. Der ist beim Apachen totgelegt. Der
antwortet nur auf von aussen aufgebaute Port 80 oder 443-Verbindungen. Er
darf keine Verbindungen aufbauen - ausser vielleicht zum DB-Server.

Okay - wenn ich ihm Mails verschicken gestatte (z.B.
Nutzerbenachrichtigung), dann nur eine kleine Bandbreite. Wenn es mehr
wird, waechst die Queue und ich kann schauen, was da los ist.

Ende dieses Versuchs.

BTW: Der Apache wird einem Administrator leider haeufig aufgedraengelt.
Mich begeistert dieses Teil nicht gerade..

Das Web war halt zum Verknuepfen von Inhalten gedacht. Der ganze
Commerce-WWW-Kram ist eher ein Betriebsunfall..

WWW wird fuer vielees verwendet, fuer das es nicht optimal ist. Nicht
einmal fuers Layouten. Gucke Dir doch die siebenfach verschachtelten
Tabellen und die 1 Pixel breiten GIFs an. Das kann eigentlich nur im
Anflug vollstaendiger geistiger Umnachtung ausgedacht worden sein.

> Andere Hacker wollen einfach an die Nutzdate ran. Bei einem einfachen
> e-commerce System kann es zb. PHP im Apche sein, dem Zugriff auf
> bestimmte Kundendaten (Web-Login-Passworter) gewährt wird - und wieder
> reicht ein Loch in PHP oder APache aus da heran zu kommen.

Ja. Daten, die man veraendern _will_ setzt man einem Risiko aus. Das ist
nunmal so.

Deshalb gehoeren auf den Apachen auch nur die Daten, die gebraucht
werden. Bzw. der Zugang zur DB, auf der die Daten liegen.

(Und die ist nicht im Hausnetz, will man hoffen)

> Die will ja auch keiner haben. Das ist nicht mehr interessant. Früher,
> als die Systeme klein waren und sich alles irgendwie um root gedreht
> hat, ja, da war das interessant. Aber heutzutage, wen interessiert schon
> was Du als root in Deinem /root hast?

> Die Ziele sind mißbrauch von ressourcen .. root nicht erforderlich.

Fuer meine Rechner schon. Und selbst das hilft Dir nicht.. Root oeffnet
Dir keine Ports, und Root kann nur auf Filesysteme schreiben, die noexec
sind.

> Wie reagiert der Paketfilter auf handgearbeitete Pakte welche das Wissen der
> über die Netzstruktur und damit wissen über die Konfiguration des
> Paketfilters ausnutzen?

Wenn ich's richtig konfiguriert habe, nuetzen Dir "handgearbeitete" Pakete
gar nichts. Wenn der Server fuer Dienst x konfigurriert ist, gibt's nur
Dienst x. y geht nicht.

> Wie ist es mit DNS?

Haeufig disabled. Viele Server brauchen keines. (Uebrigens kein Firewall..
ausser wenn es Linux ist und ich IPSec brauche. Den Eindruck hatte ich
zumindest. Leider..)

Deine Frageliste ist in etwa die, die man hat, wenn man einen Rechner oder
Netz absichert.

Insofern ist es gut, wenn jemand Fragen stellt;-)

> Sind sie doch, man kann Windows-Büchsen derart absichern, gibt es alles,

Ausser das es immer wiedr ueberraschende Hintertuerchen gibt, von denen
ich nichts weiss.

Eine MS-Windows-Firewall gibt es und braucht eine Unmenge RAM. Wenn das
kein Beweis fuer einen eklatanten KISS-Verstoss ist.. und KISS ist im
Bereich Security der einzige sinnvolle Ansatz.

> Wozu auch. Ob der Proxy nun an Port 80 oder 8080 lauscht ist egal. und ob er
> al root läuft oder als kdeinit-prozeß ist auch egal. s.o.

Tja. Ein Rechner mit Zugang zum Internet und ungeschuetztem kdeinit.. ist
Schlampigkeit.

Ich weiss, warum ich kein KDE verwende..

> Reiser4 könnte man als innovativ betrachten,

Ja, es gibt ab und an Lichtblicke.

Gruss
Peter




Mehr Informationen über die Mailingliste linux-l