[CentOS-de] Ist meine Kiste sicher?

Martin Jungowski martin at rhm.de
Fr Dez 31 05:52:17 EST 2010 

On Tue, 28 Dec 2010 10:36:03 +0100 Wolfgang wrote:
> gerade das:
> 
> http://www.swr.de/marktcheck/multimedia/hackerangriffe/-/id=2249336/
vv=print/pv=print/nid=2249336/did=6942874/eohejq/index.html
> 
> gelesen und stelle mir nun die Frage: Wie kann ich mein System prüfen?

Mal ganz davon abgesehen, dass der Artikel völliger Blödsinn ist und vor 
gefährlichem Halbwissen nur so sprudelt (da hat wohl wieder mal der 
Praktikant den Auftrag erhalten, einen möglichst reisserischen Artikel zu 
verfassen) brauchst du dir als Linux-Anwender grundsätzlich erstmal keine 
Sorgen vor Trojanern und Viren zu machen. 

Bei Sicherheitsproblemen musst du zwischen zwei Arten von 
Kompromittierungen unterscheiden: solche, die ausschließlich durch eine 
aktive Benutzeraktion ermöglicht werden und solche, die automatisch auf 
Hintergrunddienste abzielen.

Vor ersteren bist du dank Linux sicher - Trojaner und Viren gibt es zum 
momentanen Zeitpunkt ausschließlich für Windows, da a) die Verbreitung 
größer, b) das Sicherheitskonzept erst seit Vista brauchbar und c) das 
durchschnittliche Wissen um die Gefahren erheblich geringer ist. Linux-
Viren kannst du an einer Hand abzählen, zudem benötigen sie sämtlich 
lokale root-Rechte um überhaupt lauffähig zu sein. Wer also kein Windows 
einsetzt, ist per Definition schon um ein vielfaches sicherer unterwegs. 
Die größte Gefahr bei Windows ist in dem Artikel allerdings korrekt 
umschrieben: das Arbeiten mit Administratorrechten. Bei Windows XP wird 
beispielsweise standardmäßig jeder während der Installation angelegte 
Benutzer damit ausgestattet. Solange du unter Linux nicht unter root 
arbeitest hat ein Schädling also schon mal keine Chance sich einzunisten. 
Mit Vista ist dies zwar besser geworden, da hier UAC dazwischen greift. 
Dieses ist allerdings derart stümperhaft implementiert, dass viele 
Anwender es ausschalten und sicherheitstechnisch wieder auf XP-Niveau 
zurückkehren. Erst mit Windows 7 ist UAC ausgereift und brauchbar.

Anders sieht es bei automatisierten Angriffen auf Hintergrunddienste aus. 
Diese kannst du allerdings an deinem Heim-PC ganz einfach abwehren: 
schalte einen Router davor - fertig. Sämtliche Angriffe aus dem Internet 
landen anschließend zwar auf dem Router, werden aber nicht an den PC 
weitergereicht wenn du das nicht explizit konfigurierst (Port-
Forwarding). Mit sehr hoher Wahrscheinlichkeit hast du sowieso einen DSL-
Router zu Hause und bist somit ebenfalls sicher. Solltest du jedoch einen 
Dienst auf deinem PC betreiben, auf den du von außen zugreifen willst, 
musst du natürlich sichergehen den dahinterliegenden Daemon aktuell zu 
halten und die ihn bereffenden Sicherheitsbulletins regelmäßig zu lesen. 
Hier empfiehlt sich auch das Lesen der Security Mailingliste des 
jeweiligen Projekts.

Was der Artikel also höchst laienhaft beschreibt tritt bei dir nicht ein 
- Werbebanner können dir gar nichts, da der Code in 101% der Fälle 
ActiveX, Internet Explorer, Windows und Administratorrechte erfordert. 
Und die automatisierten Angriffe (sehr häufig übrigens Wörterbuchangriffe 
auf SSH, Port 22, um passwortlose Benutzeraccounts zu finden) landen am 
Router und werden nicht an die dahinter liegenden PCs durchgereicht. In 
diesem Sinne fungiert dein Router wie eine Firewall, die von außen 
kommendes abblockt.

> Wie kann ich zu 100% sicher sein, dass ich "sauber" bin? Kann es
> theoretisch passieren, das meine DNS-Anfrage zu CentOS-Update umgelenkt
> werden um mir dann angeblich neue Updates "unterzuschieben"?

Aber auch nur rein theoretisch, denn dafür gibt es nur vier Möglichkeiten:

a) die /etc/hosts Datei, die allerdings nur von root geändert werden kann.
   Dank 24-stelligem Passwort bist du da sicher, vor allem wenn dein PC
   sowieso nicht von außen erreichbar ist (Stichwort: Router). Und hat
   jemand root-Zugriff auf deinen PC ist es gar nicht mehr nötig dir
   kompromittierte Updates unterzuschieben.
b) die /etc/resolv.conf Datei, die allerdings nur von root geändert werden
   kann. Rest siehe a)
c) ein Bösewicht installiert dir named, konfigiert deine resolv.conf um
   und schiebt dir so einen kompromittierten Namenserver unter. Dafür 
   werden allerdings root-Rechte benötigt, Rest siehe a)
d) die Nameserver deines Providers müssten kompromittiert werden. Dann
   allerdings würden die Angreifer den Teufel tun und die Einträge von
   CentOS umbiegen, um die paar Promille der CentOS-Benutzer zu schädigen.
   Sie würden sich hier eher über die Einträge der Microsoft Update Server
   hermachen, die 95% der den Nameserver kontaktierenden Anwender treffen
   würden.

Für die Zukunft zwei Tipps:

1. Lass dich durch stümperhaft recherchierte und laienhaft geschriebene
   Beiträge der Medien nicht verrückt machen. Die Medien leben sehr gut 
   davon, mit Halbwissen Angst zu verbreiten.
2. Gesunder Menschenverstand kann so gut wie jeden Angriff verhindern. Wer
   ein ungesichertes WLAN besitzt, seinen Router nicht mit Passwort
   schützt und Zugriffe von außen zulässt ist selber schuld und braucht
   sich nicht über nette Briefe von Männern in teuren Anzügen zu wundern.

Schöne Grüße,
Martin

-- 
Rieke Computersysteme GmbH
Hellerholz 5
D-82061 Neuried
Email: martin[at]rhm[dot]de