Adhara
Anmeldungsdatum: 13. September 2015
Beiträge: 41
|
Hallo, ich bin geschockt, wie oft Linux auf dieser Liste auftaucht.
https://www.bsi.bund.de/DE/Service/Aktuell/Cert_Bund_Meldungen/cert_bund_meldungen_node.html?cms_gtp=6775520_Dokumente%253D3 Beispiel:
Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten Datum:09.05.2016 Software:Linux-KernelPlattform:Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS Auswirkung:Erlangen von Administratorrechten Remoteangriff:Nein Risiko:hoch
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Adhara schrieb: ich bin geschockt, wie oft Linux auf dieser Liste auftaucht.
Ich nicht. Ist ja nicht so, als wenn jemand (mit Kompetenz) behauptet hätte, dass Linux unangreifbar wäre. Fakten:
Software wird von Menschen geschrieben. Menschen machen Fehler. Software hat immer Fehler. Manche dieser Fehler können eine Sicherheitslücke sein.
Entscheidend sind Sicherheitskonzepte und wie schnell solche Sicherheitslücken geschlossen werden, nachdem sie bekannt wurden. ~jug
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Um mal die Signatur eines Miglieds zu zitieren: "The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts." – Gene Spafford, professor of computer science at Purdue University
ungefähre Übersetzung: "Das einzig wirklich sichere System ist eines, das ausgeschaltet, in einen Betonblock eingeschlossen und in einem mit Bleiwänden verkleideten Raum versiegelt ist, der von bewaffneten Wächtern geschützt wird - und auch dann habe ich meine Zweifel."
|
rleofield
Anmeldungsdatum: 14. September 2008
Beiträge: 779
Wohnort: Görlitz
|
Adhara schrieb: Hallo, ich bin geschockt, wie oft Linux auf dieser Liste auftaucht.
https://www.bsi.bund.de/DE/Service/Aktuell/Cert_Bund_Meldungen/cert_bund_meldungen_node.html?cms_gtp=6775520_Dokumente%253D3 Beispiel:
Linux-Kernel: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten
Und? z.B. QEMU, QEMU-KVM Wer eine VM betreibt, sollte das wissen und seine VM in den Userspace stellen. Das ist unter KVM kein Problem. Wie schon jug bemerkte, Linux ist kein Kinderspielzeug, TÜV geprüft und 100% sicher, das steht nirgendwo. Wichtig sind die Konzepte und die Updates. Und wer Serverdienste betreibt, sollte wissen, was er tut. Bei den Ubuntu Reports steht normalerweise dabei: "In general, a standard system update will make all the necessary changes." Maw. das ist in den Updates schon durch. Und wenn da "Remoteangriff: Nein" steht, kannst du Dich erstmal beruhigt zurücklehnen. Wenn du jemanden, dem du nicht vertraust, an Deinen PC lässt, bzw. Software aus nicht vertrauenswürdigen Quellen installierst, dann hast Du andere Probleme. Kannst Du mal eine Quelle angeben, woher Dein 'ich dachte' kommt? Danke rleofield BTW: Es gibt inzwischen Trojaner (noch nicht für Linux, sie werden aber kommen), die brauchen zum Erlangen von Adminrechten gar keine Schwachstellen mehr. Und diese werden leichtes Spiel haben, wenn man glaubt, Linux sei eh sicher und man unter Vernachlässigung der Sicherheitskonzepte auf alles klickt, was so reinkommt.
Datum:09.05.2016 Software:Linux-KernelPlattform:Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS Auswirkung:Erlangen von Administratorrechten Remoteangriff:Nein Risiko:hoch
|
k1l
Anmeldungsdatum: 22. September 2006
Beiträge: 1253
Wohnort: Köln
|
Adhara schrieb:
ich bin geschockt, wie oft Linux auf dieser Liste auftaucht.
https://www.bsi.bund.de/DE/Service/Aktuell/Cert_Bund_Meldungen/cert_bund_meldungen_node.html?cms_gtp=6775520_Dokumente%253D3
Du bist geschockt, weil bei Linux als OpenSource Projekt diese Schwachstellen öffentlich gemacht werden samt der Patches, die diese Lücken schliessen. Du glaubst doch nicht im Ernst, dass Microsoft so eine Liste mit allen bekannten Sicherheitslücken veröffentlicht. Die veröffentlichen nur eine Liste mit Lücken, die sie geschlossen haben. Wieviele Sicherheitslücken es in Wirklichkeit sind, die noch offen sind und ausgenutzt werden weiß da keiner. Das ist auch der Grund warum man so darauf achten sollte, dass man eben offizielle und noch im Supportzeitraum liegende Ubuntu Versionen nutzen sollte. Denn ubuntu/Canonical kümmert sich darum, dass für bekannte Sicherheitslücken die Patches als Paketupdates zu den Benutzern kommen. Schau dir alleine mal diese Liste an: http://www.ubuntu.com/usn/ Das ist auch einer der Hauptgründe gegen Linuxmint. Die wurschteln da künstlich in den Updates rum, damit die Updates nicht ihr Kartenhaus zusammenbrechen lassen: https://lwn.net/Articles/676664/
|
rleofield
Anmeldungsdatum: 14. September 2008
Beiträge: 779
Wohnort: Görlitz
|
Das ist auch einer der Hauptgründe gegen Linuxmint. Die wurschteln da künstlich in den Updates rum, damit die Updates nicht ihr Kartenhaus zusammenbrechen lassen: https://lwn.net/Articles/676664/
Danke für den Link. rleofield
|
Adhara
(Themenstarter)
Anmeldungsdatum: 13. September 2015
Beiträge: 41
|
Als Laie ist es eben erschreckend, dass sehr viele der dort aufgeführten "Lücken" Linux betreffen.
Ich rechnete eher damit, dass da Windows als Betriebssystem am häufigsten erwähnt wird. Vielleicht gibt es ja einige, die das verstehen und nicht persönlich nehmen. Wenn das so massiv als Kritik aufgefasst wird, tut mir das leid. Ich möchte niemandem zu Nahe treten.
Ich bin eben gerade dabei, mich über sichereres Surfen etc. zu informieren und welche Schnüffelsoftware und gefährlichen Dinge es im Netz gibt.
Darum auch mein anderer Thread. Der ist wirklich eine Kritik, weil JavaScript eben auch vermieden werden kann und das dann auch sicherer ist. Was die Updates betrifft, da kommt nie eine Nachricht. Ok. ich habe das so eingestellt, dass das automatisch geht, dann bekomme ich das evtl. nicht mit. Ob es die Linuxer selbst sind, die das veröffentlichen weiß ich nicht. Ich bin bei Recherchen über die Seite des BSI gestolpert und war eben überrascht.
Dass jedes System angreifbar ist, ist klar. Viren & Co. mutieren recht schnell. Da hinkt man immer hinterher, denn erst müssen sie entdeckt werden, damit man sie bekämpfen kann. Und klar, sitzt ein großes Problem auch immer hinter den Tasten 😉
|
eider
Anmeldungsdatum: 5. Dezember 2009
Beiträge: 6274
|
Adhara schrieb: Als Laie ist es eben erschreckend, dass sehr viele der dort aufgeführten "Lücken" Linux betreffen.
Wie oben bereits nachlesbar, ist das eher ein Missverständnis, verbunden mit geringer Kompetenz. Du hast eine unzutreffende Vorstellung von Sicherheit und Unsicherheit.
Vielleicht gibt es ja einige, die das verstehen und nicht persönlich nehmen.
Keine der Antworten basiert darauf, dass etwas "persönlich" genommen wird. Du hast auch da ein Verständnisproblem.
Wenn das so massiv als Kritik aufgefasst wird, tut mir das leid.
Das wird es nicht. Es geht darum, dass Du die Informationen nicht zutreffend interpretierst. Die gegebenen Antworten können dir helfen, dein Missverständnis zu korrigieren. Was die Updates betrifft, da kommt nie eine Nachricht. Ok. ich habe das so eingestellt, dass das automatisch geht, dann bekomme ich das evtl. nicht mit.
Das ist ein Risiko, da Du bewußt aktualisieren solltest, statt irgendetwas zu automatisieren. Befasse dich dazu mit der Paketverwaltung.
|
k1l
Anmeldungsdatum: 22. September 2006
Beiträge: 1253
Wohnort: Köln
|
Adhara schrieb: Ich rechnete eher damit, dass da Windows als Betriebssystem am häufigsten erwähnt wird.
Ok noch mal etwas deutlicher: Closed Source Software, wie Windows, ist eine sogenannte "BLack Box". Sprich es weiß keiner, außer dem Hersteller, was innen drin abgeht. Open Source Software hingegen legt alles offen. Jetzt kommst du mit dem Argument: "Ja bei Linux (OpenSource Software) gucken die Leute rein und finden ja ganz viele Sicherheitslöcher, die dann geschlossen werden müssen". Darauf erklären dir hier die Leute, dass das ganz natürlich ist, weil man eben reingucken kann. Deine Annahme, dass in der BlackBox gar keine Sicherheitslücken sind ist halt schlicht falsch. Um es noch deutlicher zu machen: A) Du schreibst ein Bewerbungsschreiben und gibst es deinen Freunden zum Probelesen. Diese finden jetzt Fehler und gemeinsam korrigiert ihr diese. B) Du schreibst ein Bewerbungsschreiben und schickst es direkt ab. Ist jetzt A) schlechter als B), weil dort Fehler gefunden wurden?
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Die Vorposter haben das Nötige schon gesagt und auch schön verdeutlicht. Das Phänomen gehört zum Teil auch zu security through obscurity. Zu deutsch: Nichtwissen verstärkt das Gefühl der Sicherheit. Um es psychologischer zu sagen: Menschen die viele Zusammenhänge verstehen, werden eher depressiv ☺
|
user_unknown
Anmeldungsdatum: 10. August 2005
Beiträge: 17552
Wohnort: Berlin
|
k1l schrieb:
Das ist auch einer der Hauptgründe gegen Linuxmint. Die wurschteln da künstlich in den Updates rum, damit die Updates nicht ihr Kartenhaus zusammenbrechen lassen:
Verlesen: damit die Updates nicht ihr Krankenhaus zusammenbrechen lassen: ☺
|
apt-ghetto
Anmeldungsdatum: 3. Juni 2014
Beiträge: 2943
|
k1l schrieb: Deine Annahme, dass in der BlackBox gar keine Sicherheitslücken sind ist halt schlicht falsch.
Woher willst du wissen, ob die Annahme falsch oder richtig ist? Bist du ein Microsoftentwickler?
|
axt
Anmeldungsdatum: 22. November 2006
Beiträge: 34254
|
k1l schrieb:
Closed Source Software, wie Windows, ist eine sogenannte "BLack Box". Sprich es weiß keiner, außer dem Hersteller, was innen drin abgeht.
...und die, die schon im System sind, ohne daß es der Hersteller weiß. 😀
|
rleofield
Anmeldungsdatum: 14. September 2008
Beiträge: 779
Wohnort: Görlitz
|
Kannst Du mal eine Quelle angeben, woher Dein 'Und ich dachte Linux wäre sicher' kommt? Danke, dann wird sich einiges sicherlich klären. Adhara schrieb: Ich bin eben gerade dabei, mich über sichereres Surfen etc. zu informieren und welche Schnüffelsoftware und gefährlichen Dinge es im Netz gibt.
Das hat aber nix mit Linux zu tun.
Was die Updates betrifft, da kommt nie eine Nachricht. Ok. ich habe das so eingestellt, dass das automatisch geht, dann bekomme ich das evtl. nicht mit.
Schau mal im Duden nach, was 'automatisch' bedeutet, eben automatisch, das ist nun mal so gewollt.
Ob es die Linuxer selbst sind, die das veröffentlichen weiß ich nicht. Ich bin bei Recherchen über die Seite des BSI gestolpert und war eben überrascht.
Ja, ja, das BSI, die haben auch den Virenüberfall auf den Bundestag vor einiger Zeit nicht verhindert.
Dass jedes System angreifbar ist, ist klar. Viren & Co. mutieren recht schnell. Da hinkt man immer hinterher, denn erst müssen sie entdeckt werden, damit man sie bekämpfen kann.
Da reden wir hier aneinander vorbei. Du kannst Linux nicht meinen. Linux braucht keinen Virenscanner und hat auch keine Viren weil die Konzepte anders sind.
Das bedeutet nicht, dass Linux keine Fehler und Schwachstellen hat. Virenscanner sind Schlangenöl, das zu Höchstpreisen und mit einer Angstmaschinerie unter die Leute gebracht wird.
Wenn Du der Meinung bist, Deine Systeme brauchen Virenscanner, dann sind diese kaputt. Wegwerfen ist die einzige Lösung. Lies mal hier: http://www.danisch.de/blog/2011/07/22/bricht-die-it-sicherheit-gerade-global-zusammen/ Zitat: "... Viren-Scanner haben die Sicherheit noch nie nennenswert verbessert. Sie waren schon immer nur ein Merkmal fehlender Sicherheit. ..." Und lies mal was über IT Sicherheit und die Strukturen in Unix/Linux. Das ist alles seit Jahren bekannt. Und dann überleg mal, warum ein Hersteller aus Redmond das nicht auf die Reihe bekommt und mit Viren Rekorde erzielt hat. Seltsam. Dass Linux hier nicht mitmacht, sollte klar sein. Link: http://www.catb.org/esr/writings/taoup/html/ http://www.catb.org/esr/writings/taoup/html/ch01s06.html http://www.catb.org/esr/writings/taoup/html/ch01s07.html Noch Fragen? Gruss rleofield
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
rleofield schrieb: Virenscanner sind Schlangenöl, das zu Höchstpreisen und mit einer Angstmaschinerie unter die Leute gebracht wird.
Siehe auch Kritik an Virenscannern und etwas unterhaltsamer Fefes gesammelte Werke zu Schlangenöl. ☺
|