On Tue, 28 Dec 2010 10:36:03 +0100 Wolfgang wrote:
gerade das:
http://www.swr.de/marktcheck/multimedia/hackerangriffe/-/id=2249336/
vv=print/pv=print/nid=2249336/did=6942874/eohejq/index.html
gelesen und stelle mir nun die Frage: Wie kann ich mein System prüfen?
Mal ganz davon abgesehen, dass der Artikel völliger Blödsinn ist und vor gefährlichem Halbwissen nur so sprudelt (da hat wohl wieder mal der Praktikant den Auftrag erhalten, einen möglichst reisserischen Artikel zu verfassen) brauchst du dir als Linux-Anwender grundsätzlich erstmal keine Sorgen vor Trojanern und Viren zu machen.
Bei Sicherheitsproblemen musst du zwischen zwei Arten von Kompromittierungen unterscheiden: solche, die ausschließlich durch eine aktive Benutzeraktion ermöglicht werden und solche, die automatisch auf Hintergrunddienste abzielen.
Vor ersteren bist du dank Linux sicher - Trojaner und Viren gibt es zum momentanen Zeitpunkt ausschließlich für Windows, da a) die Verbreitung größer, b) das Sicherheitskonzept erst seit Vista brauchbar und c) das durchschnittliche Wissen um die Gefahren erheblich geringer ist. Linux- Viren kannst du an einer Hand abzählen, zudem benötigen sie sämtlich lokale root-Rechte um überhaupt lauffähig zu sein. Wer also kein Windows einsetzt, ist per Definition schon um ein vielfaches sicherer unterwegs. Die größte Gefahr bei Windows ist in dem Artikel allerdings korrekt umschrieben: das Arbeiten mit Administratorrechten. Bei Windows XP wird beispielsweise standardmäßig jeder während der Installation angelegte Benutzer damit ausgestattet. Solange du unter Linux nicht unter root arbeitest hat ein Schädling also schon mal keine Chance sich einzunisten. Mit Vista ist dies zwar besser geworden, da hier UAC dazwischen greift. Dieses ist allerdings derart stümperhaft implementiert, dass viele Anwender es ausschalten und sicherheitstechnisch wieder auf XP-Niveau zurückkehren. Erst mit Windows 7 ist UAC ausgereift und brauchbar.
Anders sieht es bei automatisierten Angriffen auf Hintergrunddienste aus. Diese kannst du allerdings an deinem Heim-PC ganz einfach abwehren: schalte einen Router davor - fertig. Sämtliche Angriffe aus dem Internet landen anschließend zwar auf dem Router, werden aber nicht an den PC weitergereicht wenn du das nicht explizit konfigurierst (Port- Forwarding). Mit sehr hoher Wahrscheinlichkeit hast du sowieso einen DSL- Router zu Hause und bist somit ebenfalls sicher. Solltest du jedoch einen Dienst auf deinem PC betreiben, auf den du von außen zugreifen willst, musst du natürlich sichergehen den dahinterliegenden Daemon aktuell zu halten und die ihn bereffenden Sicherheitsbulletins regelmäßig zu lesen. Hier empfiehlt sich auch das Lesen der Security Mailingliste des jeweiligen Projekts.
Was der Artikel also höchst laienhaft beschreibt tritt bei dir nicht ein - Werbebanner können dir gar nichts, da der Code in 101% der Fälle ActiveX, Internet Explorer, Windows und Administratorrechte erfordert. Und die automatisierten Angriffe (sehr häufig übrigens Wörterbuchangriffe auf SSH, Port 22, um passwortlose Benutzeraccounts zu finden) landen am Router und werden nicht an die dahinter liegenden PCs durchgereicht. In diesem Sinne fungiert dein Router wie eine Firewall, die von außen kommendes abblockt.
Wie kann ich zu 100% sicher sein, dass ich "sauber" bin? Kann es theoretisch passieren, das meine DNS-Anfrage zu CentOS-Update umgelenkt werden um mir dann angeblich neue Updates "unterzuschieben"?
Aber auch nur rein theoretisch, denn dafür gibt es nur vier Möglichkeiten:
a) die /etc/hosts Datei, die allerdings nur von root geändert werden kann. Dank 24-stelligem Passwort bist du da sicher, vor allem wenn dein PC sowieso nicht von außen erreichbar ist (Stichwort: Router). Und hat jemand root-Zugriff auf deinen PC ist es gar nicht mehr nötig dir kompromittierte Updates unterzuschieben. b) die /etc/resolv.conf Datei, die allerdings nur von root geändert werden kann. Rest siehe a) c) ein Bösewicht installiert dir named, konfigiert deine resolv.conf um und schiebt dir so einen kompromittierten Namenserver unter. Dafür werden allerdings root-Rechte benötigt, Rest siehe a) d) die Nameserver deines Providers müssten kompromittiert werden. Dann allerdings würden die Angreifer den Teufel tun und die Einträge von CentOS umbiegen, um die paar Promille der CentOS-Benutzer zu schädigen. Sie würden sich hier eher über die Einträge der Microsoft Update Server hermachen, die 95% der den Nameserver kontaktierenden Anwender treffen würden.
Für die Zukunft zwei Tipps:
1. Lass dich durch stümperhaft recherchierte und laienhaft geschriebene Beiträge der Medien nicht verrückt machen. Die Medien leben sehr gut davon, mit Halbwissen Angst zu verbreiten. 2. Gesunder Menschenverstand kann so gut wie jeden Angriff verhindern. Wer ein ungesichertes WLAN besitzt, seinen Router nicht mit Passwort schützt und Zugriffe von außen zulässt ist selber schuld und braucht sich nicht über nette Briefe von Männern in teuren Anzügen zu wundern.
Schöne Grüße, Martin