Guest User

Untitled

a guest
Sep 23rd, 2017
38
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. [[Inhaltsverzeichnis()]]
  2.  
  3. [[Bild(Wiki/Icons/Oxygen/security-medium.png, 48, align=left)]]
  4. Computerviren, Würmer, Trojaner, Botnetze etc. richten Schaden an – sowohl auf dem eigenen Computer als auch in Unternehmen, durch den Ausfall von Diensten, Servern oder Datenverlust. Fast alle Schadprogramme (engl. [wikipedia:Malware:]) richten sich dabei gegen Windows bzw. Windowssysteme. Dies liegt zum einen daran, dass Windows noch immer das – mit Abstand – verbreitetste Betriebssystem für Desktop-Rechner/Endanwender ist.
  5.  
  6. Die reale Gefahr überhaupt auf einen unter Linux funktionsfähigen Schadecode zu stoßen, ist sehr gering, was natürlich für jeden Linux-Nutzer sehr erfreulich ist. Dies hat leider aber auch über die Jahre dafür gesorgt, dass der Linux-Desktop (der Linux-Server ist übrigens eine ganz andere Abteilung, um die es hier nicht gehen soll) nicht so sicher ist, wie er sein könnte.
  7.  
  8. Auch wenn Microsoft immer wieder ankündigt, die Computerwelt sicherer zu machen, ist es nach wie vor so, dass es dringend angeraten ist, einen Windows-PC mit einer (inzwischen integrierten) [wikipedia:Firewall:] und einem [wikipedia:Virenscanner:Viren-/Spywarescanner] auszustatten, vor allem dann, wenn man regelmäßig im Internet surft. Firewalls und insbesondere Virenscanner sind heute ein eigener, umfangreicher Bereich bei kommerzieller Software.
  9.  
  10. Im folgenden sollen insbesondere die Sicherheitskonzepte von Windows und Linux gegenübergestellt werden.
  11.  
  12. >'''"Es gibt keinen vernünftigen Grund, warum Computer zunächst unsicher konzipiert und dann vom Benutzer abgedichtet werden müssen."'''
  13.  
  14. [[Bild(./bsi_computersicherheit.png, )]]
  15.  
  16. Bildquelle: [https://www.bsi.bund.de/ BSI] {de}
  17.  
  18. = Ist Linux wirklich sicherer als Windows? =
  19. Oft wird behauptet, Linux sei eigentlich konzeptionell gar nicht sicherer als Windows. Sobald es sich weiter verbreite, müssten die Anwender mit einer wahren Flut an Linux-Schadsoftware rechnen, so wie man es unter Windows schon kennt. In der Tat werden Sicherheitslücken in Software umso intensiver genutzt, je populärer ein System oder Programm ist.
  20.  
  21. Fakt ist jedoch, dass wir schlicht und einfach nicht wissen können, was wäre, hätte Linux eine Verbreitung ähnlich Windows. Aus diesem Grund konzentrieren wir uns auf das hier und jetzt - auf die jetzigen Sicherheitskonzepte, wie sie umgesetzt sind und was man in Zukunft auch besser machen kann.
  22.  
  23. >'''"Ein Konzept zu haben, ist eine Sache – aber man sollte es auch vernünftig umsetzen."'''
  24.  
  25. Das Sicherheitskonzept - nicht nur von Ubuntu, sondern allgemein - von Linux oder auch anderen Unix-Systemen basiert zu großen Teilen Teil auf einer strengen Trennung der Privilegien unterschiedlicher Nutzer. Unter Linux kann so ein Benutzer in der Regel nur seine persönlichen Daten verändern oder löschen. Das hat einen trivialen Grund: Kann der Benutzer nicht das System modifzieren, kann es die Malware auch nicht. Muss man trotzdem etwas am System machen - und sei es nur neue Software installieren - wechselt man den Benutzer und loggt sich auf ein Administratoren-Konto ein, mit dem man ziemlich alles machen kann.
  26.  
  27. Nun zur Realität. In der Realität wird ein (fauler) Kompromiss verwendet, der von Windows 7, 8 und aktuell 10 gar nicht so verschieden ist (an dieser Stelle soll noch angemerkt sein, dass Windows bis einschließlich Windows XP so ausgeliefert, dass der Benutzer von Anfang an mit vollen Administratorrechten arbeitet. Jeder unbedarfte Mausklick kann somit das gesamte System zerstören oder es mit einem Computerschädling infizieren).
  28.  
  29. Jedenfalls ist es Ubuntu ähnlich dem heutigen Windows Praxis zwar auf einem sogenannten Administrator-Account zu arbeiten, dieser hat jedoch nach dem Systemstart keinerlei administartive Rechte. Diese müssen explizit anfordern (z.B. bei Ubuntu mit [:sudo:]); bei Windows über das Popup und per Passwort bestätigen).
  30.  
  31. Das Problem ist jedoch, dass Windows für so etwas ausgelegt ist. Windows hat [wikipedia:Benutzerkontensteuerung:], das die Rechtetrennung trotzdem absichert. Linux hat schlicht und einfach kein vergleichbares Sicherheitskonzept. Dadurch gibt es mehrere triviale Möglichkeiten für Schadcode diese gesammte Rechtetrennung zu umgehen. Den interessierten Leser sei z.B. dieser Reddit-Post ans Herz gelegt ([https://www.reddit.com/r/hacking/comments/4oapvi/ridiculously_easy_to_sniff_sudo_passwords_t_t/ sudo Schwachstellen] {en}). Kurz gesagt: Es gibt keinen Schutz, wenn man z.B. sein sudo Passwort eingibt.
  32.  
  33. Die gute Nachricht: Diese "Lücke" zu beheben ist nicht schwer. Alles, was man braucht, ist ein zweiter Account vom Typ "Standard", den man bequem anlegen kann ([:Benutzer_und_Gruppen_Ubuntu]). Diese nutzt man dann zum Arbeiten und wechselt nur auf den ersten (bei der Installation erstellten) Account, wenn erhöhte Rechte ("sudo") nötig ist (also z.B. zum Software installieren). Dies ist ein minimaler Verlust an Bequemlichkeit, der aber zu einer soliden Rechtetrennung führt - die man durchaus als konsequenter ansehen kann, als sie auch auf einem durchschnittlichen Windows-Rechner zu findet ist.
  34.  
  35. [[Anker(popup_updates)]]
  36. = Popups und Sicherheitsupdates =
  37.  
  38. Grundsätzlich muss man verstehen, dass es zwei mögliche Schwachstellen (und somit auch zwei verschiedene Arten gibt, ein System zu infizieren) gibt:
  39.  
  40. * Der Benutzer vor dem PC. Sehr viele Viren versuchen erst gar nicht, das Sicherheitsystem auszuhebeln. Sie versuchen den Nutzer auszudricksen, dass dieser den Virus alle Türen öffnet. Hier hat sich Windows in Vergangenheit nicht mit viel Ruhm beckleckert. Viele Windows-Nutzer sind durch die vielen Popups schlicht und einfach darauf dressiert, alles zuzustimmen, was da so aufpoppt. Nach dem Motto: "Keine Ahnung, aber ich klicke einfach auf ja, weil sonst was nicht funktionieren könnte". Dadurch hat der Virus häufig bei unerfahrenen Nutzern leichtes Spiel. Auf einem Linux-System sollte dagegen z.B. nie Software grundlos um erhöhte Rechte bitten. Programme wie z.B. [:gparted] oder auch [:Ubuntu_Software] benötigen für ihre Arbeit (Partitionieren bzw. Software installieren) selbstverständlich erhöhte Rechte. Wenn jedoch z.B. die harmlose Steuersoftware auf einmal nach dem sudo-Passwort fragt, ist dies auf jeden Fall ein Grund verdächtig zu werden.
  41.  
  42. * Die Software selber. Software hat Fehler. Und es wäre naiv anzunehmen, dass sich daran demnächst etwas ändern wird. Hacker sind sehr kreativ, diese Fehler bewusst so auszunutzen, dass genau die Sachen passieren, die der Hacker will. Jedoch werden diese Fehler behoben, wenn sie bekannt werden. Das ist auch der Grund für, wieso es essentiell ist regelmäßig System zu aktualisieren bzw. ein noch untersüztes Betriebssystem zu nutzen. Ubuntu werden sicherheitsrelevante Updates in Standardeinstellung automatisch im Hintergrund installiert, ohne dass der Nutzer davon etwas mitbekommt. Bei sonstigen Updates (nach denen gelegentlich gefragt wird) ist kein übermäßig schnelles Handeln gefragt. Jedoch sollten diese trotzdem regelmäßig eingespielt werden, da es bei veralteter Software nicht mehr möglich ist die wichtigen Sicherheitsupdates einzuspielen.
  43. Windows 10 ist es nicht nur Standard-Einstellung, dass Sicherheitsupdates automatisch installiert werden, man kann es (in Standard-Ausführung) nicht einmal deaktivieren. Dies gilt auch für unkritische Updates, wo es rein von der Sicherheit keinen Grund für gibt.
  44. Auch soll an dieser Stelle angemerkt sein, dass Ubuntu Sicherheitspatches ausliefert, sobald diese fertig sind. Windows patcht normalerweise nur ein mal im Monat - und wird eine Sicherheitslücke zu spät bekannt, muss der Nutzer unter Umständen bis zu 30 Tage warten.
  45.  
  46. [[Anker(weiteres)]]
  47. = Weitere Konzepte =
  48.  
  49. Was aber das ursprüngliche Konzept angeht: Linux entwickelt sich auch in dieser Hinsicht weiter. Man versucht beispielsweise, mit [:AppArmor:] ([http://wiki.apparmor.net/index.php/Main_Page] {en}) die Rechtevergabe noch restriktiver und feinkörniger zu gestalten. Ein ähnliches Konzept verfolgt SELinux. AppArmor und SELinux sind nicht sinnvoll miteinander kombinierbar. Auch wenn SELinux grundsätzlich nachträglich installierbar, ist dies nicht zu empfehlen, da AppArmor unter Ubuntu bereits integriert und aktiviert ist. [:AppArmor:], schützt systemnahe Dienste und im Falle einer "feindlichen Übernahme" den Zugriff auf andere Teile / Verzeichnisse des Systems stark ein. Im Unterschied zu vielen Windows-Schutzprogrammen wie Virenscanner und Firewalls arbeiten SELinux und AppArmor für den Nutzer völlig transparent und fordern den Nutzer nicht zu interaktiven Eingaben auf.
  50.  
  51. Erwähnenswert sind hier auch die neuen App-Formate [:snap:] bzw. flatpak. Diese besitzen Integration in AppArmor und laufen in einer [:wikipedia:Sandbox]. Besondere Berechtigungen können angefordert werden, wie man es z.B. auch von Apps auf dem Android-Handy oder den Windows-Apps kennt. Jedoch können - anders als z.B. bei Windows-Apps - sämtliche Applikationen als snap ausgeliefert werden - auch Programme wie Gimp, LibreOffice oder Firefox.
  52.  
  53. Hiermit lässt sich z.B. auch einschränken, welche Pfade ein Programm sehen kann. So lässt sich erreichen, dass ein Grafikprogramm wie Gimp nur Bilder sehen und im Zweifelsfall so nicht z.B. die gesammten Dokumente löschen kann. Ähnliches lässt sich auch mit dem neuen Windows-Feature "Controlled folder access" erreichen, jedoch fordert auch dieses - im Gegensatz zu Snap-Programmen - Interaktion mit dem Benutzer.
  54.  
  55. Auch [:wikipedia:Wayland_(Anzeige-Server)] (ab Ubuntu 17.10) wird Verbesserungen Thema Sicherheit bringen - vor allem auch in Hinblick auf Keylogger. So kann bei dem zurzeit verwendeten x11 jede Software ohne besondere Rechte Tastatureingaben von anderen Programmen lesen.
  56.  
  57. Und hinter den Kulissen gibt es natürlich auch viele weitere Sicherheitsvorkehrungen, die jedoch diesen Artikel hier übersteigen würden und ziemliches Verständnis der Materie fordern. Bei Interesse soll hier nur auf Existenz entsprechende Fachliteratur verwiesen werden.
  58.  
  59. [[Anker(virenscanner_firewall)]]
  60. = Brauche ich einen Virenscanner und/oder eine Firewall? =
  61. Sicherheitsprogramme unter Windows sind zwar unverzichtbar, betreiben aber zu einem großen Teil auch Augenwischerei: Virenscanner und Firewalls versuchen durch Symbole oder Meldungsfenster auf sich aufmerksam zu machen, damit der Anwender sich gut geschützt fühlt. Dummerweise kann auch ein Schädling den Virenscanner oder die Firewall deaktivieren oder verändern, wenn er einmal ins System gekommen ist. Schließlich hat ein Benutzer mit Administrator-Rechten völlige Freiheit – auch die, den Computer zu infizieren.
  62.  
  63. Zudem ist ein Virenscanner ja auch nur ein Stück Software und kann selbst Sicherheitslücken enthalten. Die Vergangenheit hat gezeigt, dass Virenscanner durchaus Lücken in das System reißen und damit das System auch wieder unsicherer machen. Aus diesem Grund sind Virenscanner in gewissen Fachkreisen durchaus verpönt ([https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html]).
  64.  
  65. Es gibt zwischenzeitlich auch Schadsoftware, die Lücken z.B. im Firefox oder LibreOffice nutzt – beides Programme, die auch unter Ubuntu laufen bzw. rege genutzt werden. Praktisch spielen die Lücken und deren Ausnutzung ([wikipedia:Exploit:]) unter Ubuntu/Linux kaum eine Rolle, weil die meiste Schadsoftware letztendlich doch ein Windows als Unterbau erwartet.
  66.  
  67. Zur Zeit ist deshalb unter Linux ein Virenscanner mangels Viren überflüssig. Es gibt zwar auch Virenscanner für Linux, aber diese dienen nur dazu, Dateien oder Mails auf Windowsviren zu untersuchen. Diese Situation beginnt sich zwar langsam zu ändern ([heise:-2915224:Erpressungs-Trojaner für Linux stümpert – noch] {de}), gilt aber grundsätzlich auch noch im Jahr 2017.
  68.  
  69. Auch eine "Personal Firewall" ist beim Desktopbetrieb von Ubuntu überflüssig. Eine Personal Firewall hat unter Windows zwei Aufgaben:
  70.  
  71. * Sie blockiert Zugriffe aus dem Internet auf Dienste, die aus irgendwelchen Gründen auf dem Rechner laufen. Eine Ubuntu-Standardinstallation bietet im Internet erst gar keine Dienste an, also gibt es auch nichts, was man blockieren müsste.
  72.  
  73. * Sie blockiert unerwünschte Zugriffe auf das Internet für Programme, die man absichtlich oder unabsichtlich (Viren, Trojaner) auf seinem Computer installiert hat. Beispielsweise Druckertreiber, die Verbrauchsdaten an den Hersteller melden, Medienplayer, die ihre Hersteller über die eigenen Musikvorlieben aufklären oder versteckte Spionageprogramme.
  74.  
  75. Unter der Software, die über die Ubuntu-Quellen installiert werden kann (die jeden Anwendungsbereich abdeckt, aber unter Umständen nicht das eigene Lieblingsprogramm enthält), gibt es keine solchen Spionageprogramme. Die bisher einzige bekannte Ausnahme ist die [:Unity/Unity_Lenses#Shopping-Lens:Shopping-Lens] von Ubuntu, die aber auf Wunsch des Anwenders deaktiviert werden kann. Und eine "versehentliche" Softwareinstallation ist durch das konsequent eingehaltene Sicherheitskonzept nicht möglich. Hier gibt es also keinen Bedarf für eine Firewall.
  76.  
  77. Weitere Informationen zu "Personal Firewalls" findet man im [:Personal_Firewalls:gleichnamigen Wiki-Artikel]. Erst wenn man Serversoftware nachinstalliert, die Dienste in einem lokalen Netz anbietet, aber nicht aus dem Internet erreichbar sein soll, wird eine Firewall benötigt.
  78.  
  79. Eine weitergehende und vom Betriebssystem unabhängige Lösung stellt die Verwendung eines [:Router:Routers] dar, der selbst mit einer konfigurierbaren Firewall ausgestattet ist. Damit ist der eigene Computer nicht direkt mit dem Internet verbunden. Allerdings kann auch die Firmware von Routern Lücken aufweisen, die im Allgemeinen nicht automatisch beseitigt werden.
  80.  
  81. = Kann ich mein System trotzdem überprüfen? =
  82. Natürlich kann man mit Glück und viel Aufwand auch in ein Linux-System einbrechen, wobei der Aufwand bei einem Desktopsystem in keinem vernünftigen Verhältnis zum zu erwartenden Ertrag steht. Eine Überprüfung ist selbstverständlich möglich – aber sie sollte nicht von dem System aus erfolgen, das möglicherweise betroffen ist. Oder glaubt jemand, ein Einbrecher lässt die Alarmanlage an und versucht nicht, sich zu verstecken? Eben.
  83.  
  84. Verlässliche Checks gehen deshalb nur von außerhalb. Dafür gibt es zum Beispiel das Programm [:chkrootkit:], mit dem man ein System untersuchen kann. Zum Beispiel von einer garantiert unverseuchten Live-CD wie [http://www.knopper.net/knoppix/ Knoppix] {de} aus. Alles andere ist eher als Vorbeugung zu sehen. Es gibt so genannte "Intrusion-Detection"-Systeme (IDS), die einen Einbruch erkennen – genau so lange, bis der Einbrecher das Warnsystem deaktiviert und seine Spuren verschleiert hat. Außerdem sind IDS primär für Server interessant, zumal der Einbruchversuch erst einmal in der Flut der Daten, die in der Regel vom IDS geloggt werden, entdeckt werden muss. Dann hilft nur noch der externe Check. Unter Windows ist das im Prinzip genauso. Allerdings können hier die öfters aufpoppenden Fenster und blinkenden Symbole dazu führen, dass man aufgrund der vielen harmlosen bis nutzlosen Warnungen die entscheidende, wichtige Warnung aus lauter Gewohnheit weg klickt.
  85.  
  86. = Ist Linux vollkommen sicher? =
  87.  
  88. >'''"Nein. Es ist weit davon entfernt, wenn auch nicht so weit wie andere..."'''
  89.  
  90. Es gibt immer mal wieder Sicherheitslücken in Linux, manche davon schwerwiegend. Sie werden allerdings üblicherweise innerhalb kürzester Zeit behoben – wenn man eine offiziell unterstützte Distribution und nicht eine völlig veraltete einsetzt! Außerdem sind die möglichen praktischen Auswirkungen von Sicherheitslücken aufgrund des konsequent eingehaltenen Sicherheitskonzeptes vergleichsweise gering, insbesondere auf Desktop-Rechnern. Allerdings sollte ein Benutzer die angebotenen Online-Updates auch ernst nehmen.
  91.  
  92. Das schnelle Schliessen von bekannten Sicherheitslücken bei Linuxsystemen wird ausserdem durch zwei Faktoren unterstützt. Zum einen dadurch, dass der Quellcode der Programme von jedem eingesehen und überprüft werden kann und zum anderen, dass Sicherheitslücken offen und transparent kommuniziert werden, statt beides geheim zu halten wie das bei nicht quelloffener Software gerne geschieht. Beide Faktoren führen dazu, das einmal entdeckte Sicherheitslücken bei grossen Distributionen in der Regel innerhalb von Stunden geschlossen werden.
  93.  
  94. Dass z.B. eine drei monatige (!) Deadline zum Schließen einer Lücke verpasst wird, kennt man aus der Linux-Welt so nicht ([https://www.golem.de/news/security-google-veroeffentlicht-windows-sicherheitsluecke-1501-111424.html]).
  95.  
  96. Im Server-Bereich sind auch Linux-Server immer wieder Ziel von Hacker-Attacken. Der Angriff erfolgt hier im Regelfall aber nicht auf Linux bzw. den Kernel, sondern auf die darauf laufende Programme, die Dienste (in welcher Form auch immer) im Internet bereit stellen. Populär sind dabei Attacken wie [wikipedia:Cross-Site_Scripting:Cross Site Scripting], [wikipedia:SQL_Injection:SQL Injection] oder die Ausnutzung von Lücken in unsauber programmierten [wikipedia:PHP:]-Anwendungen. Oder die Lücke liegt in der Serveradministration wie z.B. im Falle der Linux Mint Website Anfang 2016: [heise:-3116656:Linux Mint wurde über WordPress gehackt – und zwar gleich doppelt] {de}. Wie man sich (teilweise) dagegen schützen kann, wird im Artikel [:Apache/Sicherheit:] gezeigt.
  97.  
  98. Auf dem Desktop gibt es besonders auch einiges zu Verbessern. Als Beispiel ist gstreamer zu nennen, welches zur Wiedergabe von Multimediadateien verwendet wird. Für diese generell kritische Aufgabe gibt es Plugins, die explizit "schlecht" benannt sind, trotzdem teilweise aber sogar vorinstalliert sind (Ubuntu, wenn "Software von Drittanbietern installieren" während der Installation gesetzt wurde). Siehe auch: [https://www.heise.de/security/meldung/Webseite-aufgerufen-Linux-gehackt-3489774.html].
  99.  
  100. [[Anker(fazit)]]
  101. = Fazit =
  102.  
  103. >'''"Hundertprozentige Sicherheit gibt es nicht."'''
  104.  
  105. Die größte Gefahr sitzt in der Praxis vor dem Bildschirm: auch das beste Betriebssystem kann nicht verhindern, dass ein unvorsichtiger Anwender seine Bankdaten per unverschlüsselter E-Mail versendet oder gar an einen [wikipedia:Phishing:Phisher] verrät. Auch die Installation von Programmen, die nicht aus den geprüften, offiziellen Paketquellen stammen, kann böse enden (siehe [:Fremdquellen:]).
  106.  
  107. Einerseits entfallen unter Linux bisher diffuse Gefahren wie Würmer, Viren, Spyware & Co. Dennoch ist es eine Sache gesunden Menschenverstands, bei sensiblen Daten prinzipiell wachsam zu sein. Und sich die folgenden beiden Grundsätze immer wieder vor Augen zu halten:
  108.  
  109. * Sicherheit ist immer ein Balanceakt zwischen unbequem und komfortabel
  110. * ein Computer ist nur so sicher wie ein Benutzer im Umgang mit demselben
  111.  
  112. = Links =
  113. * [ikhaya:2014/01/14/ubuntu-als-sicherstes-betriebssystem-ausgezeichnet:Ubuntu als sicherstes Betriebssystem ausgezeichnet] - Ikhaya, 01/2014
  114. * [:Unity#Enthaelt-Unity-Spyware:Enthält Unity Spyware?] - zur Problematik der ab Ubuntu 12.10 integrierten Amazon-Suche
  115. * [ubuntu_doc:community/Linuxvirus:So You Want to Know How to Use Anti-virus Software on Ubuntu?] {en} - älterer Artikel in der Ubuntu Community Documentation
  116. * [https://haveibeenpwned.com/ Have I been pwned?] {en} - Wurde mein Benutzerkonto gekapert?
  117. * [http://www.geekzone.co.nz/foobar/6229 How to write a Linux virus in 5 easy steps] {en} - ein Angriffsszenario, Blogbeitrag 02/2011
  118. * [http://www.linux-user.de/ausgabe/2006/03/038-sec-basics/ Sicherheit unter Linux] {de} - Artikel LinuxUser, 03/2006
  119. * [http://www.easylinux.de/Artikel/ausgabe/2005/11/057-sicherheitsrisiken/ Verfehlte Schutzimpfung - Sicherheitsrisiken unter Linux] {de} - Artikel EasyLinux, 11/2005
  120. * [wikipedia_en:Linux_malware:Liste bisher bekannter Linux-Malware]
  121. * [https://www.golem.de/news/security-linux-desktops-brauchen-bessere-verteidigung-1708-129244.html Artikel über mögliche Verbesserungen auf dem Linux-Desktop]
  122. # tag: Sicherheit, Einsteiger, Windows, Umsteiger
RAW Paste Data

Adblocker detected! Please consider disabling it...

We've detected AdBlock Plus or some other adblocking software preventing Pastebin.com from fully loading.

We don't have any obnoxious sound, or popup ads, we actively block these annoying types of ads!

Please add Pastebin.com to your ad blocker whitelist or disable your adblocking software.

×