Einzelnen Beitrag anzeigen
Alt 09.10.2005, 17:29   #17 (permalink)
_Smash_
Nachtduscher
 
Benutzerbild von _Smash_
 

Registriert seit: 22.01.2002
Beiträge: 12.569

_Smash_ ist ein wunderbarer Anblick_Smash_ ist ein wunderbarer Anblick_Smash_ ist ein wunderbarer Anblick_Smash_ ist ein wunderbarer Anblick_Smash_ ist ein wunderbarer Anblick_Smash_ ist ein wunderbarer Anblick_Smash_ ist ein wunderbarer Anblick

Standard AW: Microsofts Patchverhalten und Linux

Zitat:
Zitat von Qndre

- Bei Linux lässt sich fast jede Komponente mit fast jeder anderen Komponente verwenden (weiß ich, weil ich alles (kernel, init, freetype, x11, bison, expat, flex, fontconfig, ncurses, perl, zlib, ...) von Sourcecode compiliere und dort fast alle Versionen zueinander kompatibel sind, es sei denn in der BUILD Datei sind einzelne Konstillationen explizit ausgeschlossen, was selten vorkommt), somit kann der Angreifer, wenn er zum Beispiel weiß, dass Du Kernel 2.6.11 verwendest, nicht wissen, dass Du auch expat-1.95.8 verwendest (vorrausgesetzt Du verwendest keine fertige Distribution).
So flexibel ist es auch nicht. Es gibt einen Haufen Programme und libs, die bestimmte Versionen anderer Programme und libs vorraussetzen.
Außerdem ändert sich in den unterschiedlichen Versionen ja nicht der komplette code, so daß die Codebasis und die Schnittstellen, somit auch die Angriffsfläche relativ gleich bleibt.

Zitat:
- Jeder Prozess hat bestimmte Rechte, die vom Administrator explizit definiert werden können. Dabei gilt: So viele Rechte wie nötig, damit der Prozess arbeiten kann, so wenige Rechte wie möglich. Dabei wird sowohl Verschlüsselung verwendet, die wirklich sichert, als auch DRM-ähnliche Ansätze (diese haben hier den schlechten Ruf nicht, da Root wirklich die volle Kontrolle über diese Flags hat und damit kein Kopierschutz-Müll betrieben werden kann). Wenn ein Angreifer eine Sicherheitslücke in einem Prozess ausnutzen kann, hat er nur maximal die selben Rechte wie der Prozess, den er kompromittiert hat.
Das ist prinzipiell bei Windows auch mögliche. Es wird nur dadurch torpediert, daß 99% alle Windows-Heim-User als admin werkeln.

Zitat:
Kurz und knapp: Linux ist viel zu flexibel. Ein Angreifer kann sich nie sicher sein, woran er ist. Es gibt unzählige Kombinationsmöglichkeiten für grundlegende Softwarekomponenten, vor allem wenn der Kernel auch noch selbst compiliert wird. Hier sind unzählige Möglichkeiten vorhanden, wie der Anwender die Kernel an genau sein System anpassen kann, um maximale Performance und Stabilität zu erhalten. Dadurch entsteht für jede mögliche Kombination (und auch für verschiedene Plattformen, zum Beispiel i586, i686 oder 686_64) eine andere Binary, deren Routinen dann an völlig anderen Speicheradressen stehen, etc. Für einen Angreifer unüberschaubar.
Die Kommunikationsmechanismen und dadurch die Angriffspunkte bleiben trotzdem die gleichen. Man kann ja nicht für jeden Kernel neue, angepasste Software schreiben. Die API´s bleiben die gleichen!

Zitat:
Einen Unterschied, der die unterschiedlichen Sicherheitsmentalitäten deutlich macht ist die Art des Firewallings: Unter Windows sind nach Installation einer Firewall meist alle Ports geschlossen. Anwendungen fragen darauf nach Zugriffsrechten, dadurch werden einzelne Ports geöffnet. Unter Linux sind nach Konfiguration der Firewall alle Ports offen und können von jeder Anwendung verwendet werden. Einzelne Ports, von denen Gefährdungen ausgehen könnten, werden geschlossen. Die große Masse der Ports bleibt offen und kann von den Anwendungen und Systemdiensten genutzt werden.
Das kommt ja wohl auf die einzelnen Firewalls selber drauf an. Die SuSEFirewall2 blockt nach der Installation z.B. erstmal alles, bis sie was anderes gesagt bekommt.
Shorewall lässt sich nichtmal aktivieren, ohne, daß man die Configdateien ändert.

Zitat:
Das liegt daran, dass unter Linux offene Ports kaum eine Bedrohung darstellen, während unter Windows hartnäckig versucht wird, die Löcher quasi "möglichst großflächig zu überdecken" anstatt sie wirklich zu beseitigen (die kurieren die Symptome, nicht die Krankheit).
Was heisst keine Bedrohung? Ich kann dir mal meine sshd logs zeigen, wenn wieder jemand 5 Stunden lang die Standard Namens-und-Passwort-SSH-Loginscripts drüberlaufen lässt.

Es ist nicht Aufgabe einer Firewallhersteller Softwarefehler im System zu beseitigen. Also ist es wohl klar, daß sie einschlägige Ports sofort blocken wollen. Aber was können die Firewallentwickler dafür?
Ihr seid ja nur neidisch, weil ich der einzige bin, zu dem die leisen Stimmen sprechen!
TweakPC IRC Channel: #tweakpc im Quakenet (irc.quakenet.org)
Satzzeichen folgen direkt hinter einem Wort. Es ist kein Leerzeichen dazwischen!
_Smash_ ist offline   Mit Zitat antworten