Hallo Data Junkey,
die Entschuldigung ging eigentlich auch vornehmlich in Richtugn von repi und King-Heinz... wie gesagt, ich schätze eigentlich beide sehr und wollte sie nicht "auf die Hörner nehmen" und wie schon erwähnt stört mich einfach die viel zu oft praktizierte Mystifizierung eines Systems, sei es nun Linux, BSD oder Windows. Alles ist nur ein Stück Software und alles hat seine Stärken und Schwächen. Wärend meiner arbeit an der hiesigen Uni habe ich einige Hacks miterlebt, sowohl auf Unix-Systemen (AIX), als auch auf Linux oder Windows-Systemen und ich wage zu behaupten dass ein guter Hacker der es für Wert erachtet ein System zu knacken in den meisten Fällen erfolgreich sein wird aus einem einzigen Grund: Er ist immer einen Zug voraus! Administratoren müssen alle eventuellen Angriffsflächen identifizieren, sie müssen gegen alle Arten Angriffe gewappnet sein und müssen selbst Vorkehrungen für Angriffe kennen, die sie nicht kennen weil sie noch nicht bekannt sind. Ein Hacker dagegen braucht nur ein einziges Loch um rein zu kommen. Deswegen ist oftmals die Schadensbegrenzung wichtiger als die Verhinderung (wobei diese natürlich einen sehr hohen Stellenwert hat). Also das Erkennen ob ein System korrumpiert wurde und die Reichweite eines Hacks möglichst weit eindämmen. Langer Rede, kurzer Sinn... die Hürden für einen Angreifer hängen nur sekundär vom eingesetzten System ab, sie hängen primär von der Konfiguration des Systems, der Qualität des Angreifers und seiner Motivation (sprich seinem erwarteten Gewinn egal ob materiell oder ideell) ab. Die Mär dass ein Windows-Server etwas unverantworliches wäre ist ebenso alt wie falsch. Es gibt im Netz Webserver auf WIndows-Basis mit dem IIS6 die mit zum schwersten zählen dürften, was einem Hacker unterkommt... da ist es lohnender ein paar Linux-Servermit Apache2 zu knacken. Nebenbei ist der IIS6 einer der Webserver mit den wenigsten bekannten Sicherheitslücken, nur so am Rande um zu zeigen, dass MS nicht nur Mist baut (wobei ich die Skalierbarkeit und den Betriebssystemunterbau mal außen vor lasse, da sieht es wieder anders aus).
Nochmal weg von Ideologien und Servern, je lukrativer es für Schadsoftware-Programmierer wird (und es ist wohl wirklich sehr lukrativ), desto einfallsreicher werden sie. Eine sehrfähige Dame namens Russovich (kann sein, dass ich den Namen jetzt etwas versaubeutelt habe) hat einen Proff-of-Concept-Schädling entwickelt, der es schafft ein Betriebssystem im laufenden Betrieb unbemerkt in eine virtuelle Maschine zu verschieben ohne dass das System eine Chance hat dies zu bemerken, geschweige denn der Nutzer. Bei so einem Ansatz versagen alle gängigen Schutzfunktionen wie Desktop-Firewalls und Virenscanner, weil diese nur das zu sehen bekommen, was auch das Betriebssystem sieht und das läuft selbst nur noch in einem virtuellen Container. Die Qualität der Angriffe wird in den nächsten Jahren noch weiter zunehmen, ebenso wie die Intensität und Breite. Wer weiß, vielleicht sieht man bald Schädlingeals Fat-Binaries... ausführbare Programme, die sowohl unter Windows, als auch unter Linux / Unix / BSD laufen können... die Bibliotheken dafür existieren.
Auch die Angriffsflächen werden in die Breite gehen... SoHo-Router habe ich ja schon genannt... gnade dem Tag, an dem ein Fehler in einem der verbreiteten Router wie der Fritz!Box oder dem T-Home-Router (irgendwas mit 700 schlagmichtot) breitflächig bekannt wird... aber was noch brisanter ist sind die Router bei den Providern... den Core-Routern in den Backbones, den DNS-Servern (btw, bei Lücke Nummer wieviel sind wir bei BIND mittlerweile, trotz jahrzentelanger Quelloffenheit?). Allein in der Diskussion um mögliche Ansatzpunkte für den "Bundestrojaner" wurden viele Angriffszenarien einmal breit diskutiert, die lange vernachlässigt wurden und eigentlich sämtliche Sicherheitsvorkehrungen schwer in Bedrängnis bringen.Sollte es böswilligen Individuen einmal gelingen zentrale Router zu übernehmen, so wäre ihnen fast Tür und Tor offen, den sie könnten sämtliche Verbindungen kontrollieren. Was nicht verschlüsselt oder signiert abläuft wäre dann potenziell infiziert und wer prüft schon einen Hash bei einem Software-Update sofern dieser überhaupt angeboten wird? Wie viele nutzen signierte Repositories?
Neben der höheren Qualität der Schadsoftware passiert derzeit auch eine Inflation an reiner Menge... die Hersteller von Antiviren-Software kommen mit Signaturen kaum noch nach...der gleiche Schädling mit einem anderen Laufzeitpacker versehen und die alte Signatur versagt... ein paar kleine Änderungen am Quellcode und die Signatur versagt ebenso. Heuristische Scanner sind fehleranfällig was falsche Alarme angeht und ihre Erkennungsrate bei echten Schädlingen lässt sehr zu wünschen übrig... Behavioral Scanner werden versagen, wenn Schädlinge Rootkit-Techniken einsetzen und / oder schon vorher auf dem System sind. Schon wieder lange Rede und letzter kurzer Sinn... der beste Schutz derzeit ist Mißtrauen und Zurückhaltung, alles was von Außen auf den Rechner kommt erst einmal mißtrauen. Alle Daten die über unverschlüsselte Kanäle gehen erst einmal als potenziell nicht vertrauenswürdig bzw einsehbar ansehen. Ergo nur installieren was man braucht, updaten so oft wie möglich, auf verschlüsselte Verbindungen ausweichen wo möglich und Signaturen und Hashes nutzen wo es geht. Zudem der gute alte Tipp mit den getrennten Systemen, wie von Nemesis² geschrieben einsetzen, wo man es sich erlauben kann.
So, und jetzt geh ich schlafen... morgen wird wieder ein langer Tag...n8
News: Klaut alles
xafford
Data Junkey
