[linux-l] Bundestrojaner - jetzt frisch aus China
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Mo Aug 27 04:35:08 CEST 2007
Hi Norman,
On Mon, 27 Aug 2007, Norm at nSteinBach wrote:
> Ist es wirklich so viel leichter (eine
> vernünftige Einrichtung/Administration und ausreichend Anwenderwissen um
> fahrlässige Anwendungshandlungen wie das Öffnen von E-Mail-Anhängen zu
> verhindern vorausgesetzt), in ein Windows-System einzudringen, als in
> einen Unix-Rechner?
Ja.
Ein vernuenftig gewarteter Unix-Rechner laesst sich wesentlich
wasserdichter absichern als eine Windose.
Es beginnt mit ueberschaubarer und dokumentierter Arbeitsweise der
installierten Programme und Services.
Ich bekomme bei Windows ja nicht einmal eine Auswahl oder Anzeige, was
beim Installieren auf die Platte kommt.. Und das ist nur der Anfang.
Die Nutzerprogramme, die die Nutzer zur Kommunikation benutzen sind,
kommunizieren vielfaeltig und undokumentiert miteinander, welches es fast
unmoeglich macht, das abzusichern.
(Dass Groupware, die mit Outlook arbeitet, so schwer zum Laufen zu bringen
ist, hat mit fehlender Dokumentation und gehackten Protokollen zu tun. Das
heisst aber auch, dass es aus Unkenntnis kaum moeglich ist, diese Systeme
abzusichern).
Ich habe Firewalls, die Subnetze gegeneinander abtrennen. So lange
darueber Unix-Systeme kommunizieren, ist es einfach, diese abzuschotten.
Ich weiss, was ich zulassen kann.
So wie darueber irgendeine Art von Windows-Service laufen soll (Active
Directory, Fileserver etc.) ist das fast unmoeglich.
Das bedeutet groessere "Loecher", Oeffnen von Portranges, Zulassen von
Microsoft gehijackter Pakete (Kerberos mit RPC verklebt z.B.) etc.
Diese Loecher sind die Ausfallstrassen, durch die sich erst Viren
verbreiten und dann unbemerkt Gigabyteweise Daten rausgehen.
Mechanismen wie Read-Only-Mounts und "noexec"- sowie "nosuid"-Optionen
existieren unter Windows nicht. Genausowenig FreeBSD-chflags,
Secuyrelevel, oder SELinux oder..
"Vernuenftig gewartet" unter Unix hat sicherlich etwas mit den
Faehigkeiten der Administratoren zu tun, aber wer da erfahrenene
Heimbastler an kritischen Stellen fuer ausreichend haelt, sollte sich
nicht beschweren.
Es ist wohl kein Zufall, dass ich mit Unix-Bordmitteln so manches Mal
illegalen Traffic verseuchter Windowsen entdeckt habe, den die dafuer
Verantwortlichen, ausgebildeten Microsoft-Admins nicht gesehen haben.
Aber selbst das hat aus obengenannten Gruenden seine Grenzen.
Gruss
Peter
-----
Ich bin nicht paranoid. Sie verfolgen mich wirklich!
;-)
Mehr Informationen über die Mailingliste linux-l