[linux-l] Bundestrojaner - jetzt frisch aus China

Peter Ross Peter.Ross at alumni.tu-berlin.de
Mo Aug 27 04:35:08 CEST 2007


Hi Norman,

On Mon, 27 Aug 2007, Norm at nSteinBach wrote:

> Ist es wirklich so viel leichter (eine 
> vernünftige Einrichtung/Administration und ausreichend Anwenderwissen um 
> fahrlässige Anwendungshandlungen wie das Öffnen von E-Mail-Anhängen zu 
> verhindern vorausgesetzt), in ein Windows-System einzudringen, als in 
> einen Unix-Rechner?

Ja.

Ein vernuenftig gewarteter Unix-Rechner laesst sich wesentlich 
wasserdichter absichern als eine Windose.

Es beginnt mit ueberschaubarer und dokumentierter Arbeitsweise der 
installierten Programme und Services.

Ich bekomme bei Windows ja nicht einmal eine Auswahl oder Anzeige, was 
beim Installieren auf die Platte kommt.. Und das ist nur der Anfang.

Die Nutzerprogramme, die die Nutzer zur Kommunikation benutzen sind, 
kommunizieren vielfaeltig und undokumentiert miteinander, welches es fast 
unmoeglich macht, das abzusichern.

(Dass Groupware, die mit Outlook arbeitet, so schwer zum Laufen zu bringen 
ist, hat mit fehlender Dokumentation und gehackten Protokollen zu tun. Das 
heisst aber auch, dass es aus Unkenntnis kaum moeglich ist, diese Systeme 
abzusichern).

Ich habe Firewalls, die Subnetze gegeneinander abtrennen. So lange 
darueber Unix-Systeme kommunizieren, ist es einfach, diese abzuschotten. 
Ich weiss, was ich zulassen kann.
 
So wie darueber irgendeine Art von Windows-Service laufen soll (Active 
Directory, Fileserver etc.) ist das fast unmoeglich.

Das bedeutet groessere "Loecher", Oeffnen von Portranges, Zulassen von 
Microsoft gehijackter Pakete (Kerberos mit RPC verklebt z.B.) etc.

Diese Loecher sind die Ausfallstrassen, durch die sich erst Viren 
verbreiten und dann unbemerkt Gigabyteweise Daten rausgehen.

Mechanismen wie Read-Only-Mounts und "noexec"- sowie "nosuid"-Optionen 
existieren unter Windows nicht. Genausowenig FreeBSD-chflags, 
Secuyrelevel, oder SELinux oder..

"Vernuenftig gewartet" unter Unix hat sicherlich etwas mit den 
Faehigkeiten der Administratoren zu tun, aber wer da erfahrenene 
Heimbastler an kritischen Stellen fuer ausreichend haelt, sollte sich 
nicht beschweren.

Es ist wohl kein Zufall, dass ich mit Unix-Bordmitteln so manches Mal 
illegalen Traffic verseuchter Windowsen entdeckt habe, den die dafuer 
Verantwortlichen, ausgebildeten Microsoft-Admins nicht gesehen haben.

Aber selbst das hat aus obengenannten Gruenden seine Grenzen.
Gruss
Peter
-----

Ich bin nicht paranoid. Sie verfolgen mich wirklich!
;-)


Mehr Informationen über die Mailingliste linux-l