Hallo Gemeinde,
gerade das:
http://www.swr.de/marktcheck/multimedia/hackerangriffe/-/id=2249336/vv=print...
gelesen und stelle mir nun die Frage: Wie kann ich mein System prüfen?
Welche Einfalltore stehen hier offen, wenn ich nicht als root arbeite. Ist die Standarteinstellung der iptable ausreichend? Was verwende ich? - OS 5.5 mit Gnome - Mailclient Evolution - Firefox mit Adblock Plus + Noscript - ssh = deaktiviert - netfs meistens deaktiviert - SeLinux ist aktiviert (default) Zusätzlich vlc, bluefish, virtualbox, mysql, php, clamav(Für die Mailanhänge)
Softwarequelle: CentOS, RPMFORGE, https://addons.mozilla.org/de/firefox und www.virtualbox.org
Auszug aus der httpd.conf ... <Directory "/var/www/html"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from 127. 192.168. 10. </Directory> ...
Auszug aus der my.conf ... bind-address=127.0.0.1 ...
Auszug aus der rsyncd.conf ... hosts allow=192.168.0.0/255.255.0.0 10.0.0.0/255.0.0.0 hosts deny=* ...
Auszug aus der munin-node.conf ... allow ^127.0.0.1$ ...
Auszug aus der master.cf ... inet_interfaces = localhost mynetworks_style = host ...
(Nebenfrage: Existiert irgendwo eine IP-Subnetz-Liste die im deutschsprachigen Raum verwendet wird? GeoIP soll nicht sehr genau sein; habe ich gehört.?)
Derzeit keine neuen Updates gesehen. root-passwort = 24 Zeichen lang (etwas para bin ich schon)
Wie kann ich zu 100% sicher sein, dass ich "sauber" bin? Kann es theoretisch passieren, das meine DNS-Anfrage zu CentOS-Update umgelenkt werden um mir dann angeblich neue Updates "unterzuschieben"?
Schönen Dank und ein schönen Tag wünscht euch Wolfgang
Hallo Wolfgang, falls Du einen weiteren Rechner vorrätig hast, könntest Du mit dem kostenfreien Nessus (http://www.nessus.org/nessus/) Deinen Rechner auf Lücken scannen. Da kommen manchmal noch einige Dinge hoch, die man trotz (wie auch Deiner) sicheren Konfiguration nicht vermutet. Gruß Ekkehard
Am 28.12.2010 10:36, schrieb Wolfgang:
Hallo Gemeinde,
gerade das:
http://www.swr.de/marktcheck/multimedia/hackerangriffe/-/id=2249336/vv=print...
gelesen und stelle mir nun die Frage: Wie kann ich mein System prüfen?
Welche Einfalltore stehen hier offen, wenn ich nicht als root arbeite. Ist die Standarteinstellung der iptable ausreichend? Was verwende ich?
- OS 5.5 mit Gnome
- Mailclient Evolution
- Firefox mit Adblock Plus + Noscript
- ssh = deaktiviert
- netfs meistens deaktiviert
- SeLinux ist aktiviert (default)
Zusätzlich vlc, bluefish, virtualbox, mysql, php, clamav(Für die Mailanhänge)
Softwarequelle: CentOS, RPMFORGE, https://addons.mozilla.org/de/firefox und www.virtualbox.org
Auszug aus der httpd.conf ... <Directory "/var/www/html"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from 127. 192.168. 10.
</Directory> ...
Auszug aus der my.conf ... bind-address=127.0.0.1 ...
Auszug aus der rsyncd.conf ... hosts allow=192.168.0.0/255.255.0.0 10.0.0.0/255.0.0.0 hosts deny=* ...
Auszug aus der munin-node.conf ... allow ^127.0.0.1$ ...
Auszug aus der master.cf ... inet_interfaces = localhost mynetworks_style = host ...
(Nebenfrage: Existiert irgendwo eine IP-Subnetz-Liste die im deutschsprachigen Raum verwendet wird? GeoIP soll nicht sehr genau sein; habe ich gehört.?)
Derzeit keine neuen Updates gesehen. root-passwort = 24 Zeichen lang (etwas para bin ich schon)
Wie kann ich zu 100% sicher sein, dass ich "sauber" bin? Kann es theoretisch passieren, das meine DNS-Anfrage zu CentOS-Update umgelenkt werden um mir dann angeblich neue Updates "unterzuschieben"?
Schönen Dank und ein schönen Tag wünscht euch Wolfgang
On Tue, 28 Dec 2010 10:36:03 +0100 Wolfgang wrote:
gerade das:
http://www.swr.de/marktcheck/multimedia/hackerangriffe/-/id=2249336/
vv=print/pv=print/nid=2249336/did=6942874/eohejq/index.html
gelesen und stelle mir nun die Frage: Wie kann ich mein System prüfen?
Mal ganz davon abgesehen, dass der Artikel völliger Blödsinn ist und vor gefährlichem Halbwissen nur so sprudelt (da hat wohl wieder mal der Praktikant den Auftrag erhalten, einen möglichst reisserischen Artikel zu verfassen) brauchst du dir als Linux-Anwender grundsätzlich erstmal keine Sorgen vor Trojanern und Viren zu machen.
Bei Sicherheitsproblemen musst du zwischen zwei Arten von Kompromittierungen unterscheiden: solche, die ausschließlich durch eine aktive Benutzeraktion ermöglicht werden und solche, die automatisch auf Hintergrunddienste abzielen.
Vor ersteren bist du dank Linux sicher - Trojaner und Viren gibt es zum momentanen Zeitpunkt ausschließlich für Windows, da a) die Verbreitung größer, b) das Sicherheitskonzept erst seit Vista brauchbar und c) das durchschnittliche Wissen um die Gefahren erheblich geringer ist. Linux- Viren kannst du an einer Hand abzählen, zudem benötigen sie sämtlich lokale root-Rechte um überhaupt lauffähig zu sein. Wer also kein Windows einsetzt, ist per Definition schon um ein vielfaches sicherer unterwegs. Die größte Gefahr bei Windows ist in dem Artikel allerdings korrekt umschrieben: das Arbeiten mit Administratorrechten. Bei Windows XP wird beispielsweise standardmäßig jeder während der Installation angelegte Benutzer damit ausgestattet. Solange du unter Linux nicht unter root arbeitest hat ein Schädling also schon mal keine Chance sich einzunisten. Mit Vista ist dies zwar besser geworden, da hier UAC dazwischen greift. Dieses ist allerdings derart stümperhaft implementiert, dass viele Anwender es ausschalten und sicherheitstechnisch wieder auf XP-Niveau zurückkehren. Erst mit Windows 7 ist UAC ausgereift und brauchbar.
Anders sieht es bei automatisierten Angriffen auf Hintergrunddienste aus. Diese kannst du allerdings an deinem Heim-PC ganz einfach abwehren: schalte einen Router davor - fertig. Sämtliche Angriffe aus dem Internet landen anschließend zwar auf dem Router, werden aber nicht an den PC weitergereicht wenn du das nicht explizit konfigurierst (Port- Forwarding). Mit sehr hoher Wahrscheinlichkeit hast du sowieso einen DSL- Router zu Hause und bist somit ebenfalls sicher. Solltest du jedoch einen Dienst auf deinem PC betreiben, auf den du von außen zugreifen willst, musst du natürlich sichergehen den dahinterliegenden Daemon aktuell zu halten und die ihn bereffenden Sicherheitsbulletins regelmäßig zu lesen. Hier empfiehlt sich auch das Lesen der Security Mailingliste des jeweiligen Projekts.
Was der Artikel also höchst laienhaft beschreibt tritt bei dir nicht ein - Werbebanner können dir gar nichts, da der Code in 101% der Fälle ActiveX, Internet Explorer, Windows und Administratorrechte erfordert. Und die automatisierten Angriffe (sehr häufig übrigens Wörterbuchangriffe auf SSH, Port 22, um passwortlose Benutzeraccounts zu finden) landen am Router und werden nicht an die dahinter liegenden PCs durchgereicht. In diesem Sinne fungiert dein Router wie eine Firewall, die von außen kommendes abblockt.
Wie kann ich zu 100% sicher sein, dass ich "sauber" bin? Kann es theoretisch passieren, das meine DNS-Anfrage zu CentOS-Update umgelenkt werden um mir dann angeblich neue Updates "unterzuschieben"?
Aber auch nur rein theoretisch, denn dafür gibt es nur vier Möglichkeiten:
a) die /etc/hosts Datei, die allerdings nur von root geändert werden kann. Dank 24-stelligem Passwort bist du da sicher, vor allem wenn dein PC sowieso nicht von außen erreichbar ist (Stichwort: Router). Und hat jemand root-Zugriff auf deinen PC ist es gar nicht mehr nötig dir kompromittierte Updates unterzuschieben. b) die /etc/resolv.conf Datei, die allerdings nur von root geändert werden kann. Rest siehe a) c) ein Bösewicht installiert dir named, konfigiert deine resolv.conf um und schiebt dir so einen kompromittierten Namenserver unter. Dafür werden allerdings root-Rechte benötigt, Rest siehe a) d) die Nameserver deines Providers müssten kompromittiert werden. Dann allerdings würden die Angreifer den Teufel tun und die Einträge von CentOS umbiegen, um die paar Promille der CentOS-Benutzer zu schädigen. Sie würden sich hier eher über die Einträge der Microsoft Update Server hermachen, die 95% der den Nameserver kontaktierenden Anwender treffen würden.
Für die Zukunft zwei Tipps:
1. Lass dich durch stümperhaft recherchierte und laienhaft geschriebene Beiträge der Medien nicht verrückt machen. Die Medien leben sehr gut davon, mit Halbwissen Angst zu verbreiten. 2. Gesunder Menschenverstand kann so gut wie jeden Angriff verhindern. Wer ein ungesichertes WLAN besitzt, seinen Router nicht mit Passwort schützt und Zugriffe von außen zulässt ist selber schuld und braucht sich nicht über nette Briefe von Männern in teuren Anzügen zu wundern.
Schöne Grüße, Martin
Martin Jungowski wrote:
On Tue, 28 Dec 2010 10:36:03 +0100 Wolfgang wrote:
gerade das:
http://www.swr.de/marktcheck/multimedia/hackerangriffe/-/id=2249336/
vv=print/pv=print/nid=2249336/did=6942874/eohejq/index.html
gelesen und stelle mir nun die Frage: Wie kann ich mein System prüfen?
Mal ganz davon abgesehen, dass der Artikel völliger Blödsinn ist und vor gefährlichem Halbwissen nur so sprudelt (da hat wohl wieder mal der Praktikant den Auftrag erhalten, einen möglichst reisserischen Artikel zu verfassen) brauchst du dir als Linux-Anwender grundsätzlich erstmal keine Sorgen vor Trojanern und Viren zu machen.
Auch wenn ich zustimme, dass der Artikel sehr oberflaechlich geschrieben ist, finde ich die Einstellung, als Linux-Anwender muesse man sich grundsaetzlich (!) erst mal keine Sorgen machen, etwas fahrlaessig. Das stimmt vielleicht gerade im Moment, aber in einem Jahr oder zwei kann sich das schon geaendert haben. Wenn sich dann die grundsaetzliche Einstellung nicht geandert hat, na dann gute Nacht.
Dem Artikel - so oberflaechlich er auch sein mag - moechte ich zugute halten, dass er vor unvorsichtiger Verwendung von zu schwach verschluesselten WLANS warnt. Fuer den Computer-Alltag der meisten Leute ist das schon mal ein wichtiger Punkt.
Bei Sicherheitsproblemen musst du zwischen zwei Arten von Kompromittierungen unterscheiden: solche, die ausschließlich durch eine aktive Benutzeraktion ermöglicht werden und solche, die automatisch auf Hintergrunddienste abzielen.
Vor ersteren bist du dank Linux sicher
Noe noe noe. Sicherheitsprobleme und Vulnerabilites in Applikationen (Acrobat Reader, Browser mit JavaScript, etc. etc.) lassen hier immer noch genuegend Raum fuer Sicherheitprobleme, die durch Benutzeraktionen generiert werden. Schwachstellen und Bugs in Netzwerk-Stacks, Verschluesselungssoftware, Kernel etc. tun ihr Uebriges.
- Trojaner und Viren gibt es zum momentanen Zeitpunkt ausschließlich für Windows,
Das habe ich bis vor Kurzem auch gedacht, stimmt aber so leider nicht. Siehe z. B. http://www.heise.de/mac-and-i/artikel/Der-Mac-ist-angreifbar-1156494.html
[...]
Wie kann ich zu 100% sicher sein, dass ich "sauber" bin? Kann es theoretisch passieren, das meine DNS-Anfrage zu CentOS-Update umgelenkt werden um mir dann angeblich neue Updates "unterzuschieben"?
[...]
Für die Zukunft zwei Tipps:
- [...]
- Gesunder Menschenverstand kann so gut wie jeden Angriff verhindern. Wer ein ungesichertes WLAN besitzt, seinen Router nicht mit Passwort schützt und Zugriffe von außen zulässt ist selber schuld und braucht sich nicht über nette Briefe von Männern in teuren Anzügen zu wundern.
Dazu muss man erstens sagen: 100%ige Sicherheit gibt, es nicht, gab es nie und wird es nie geben. Weder im Leben noch sonstwo (ausser die Geschichte mit dem Tod...:-). Computer sind Software und Software ist inhaerent unsicher und fehlerbehaftet. Dazu kommt, dass Computer von Menschen bedient werden, die Fehler machen oder ganz einfach nicht immer alles wissen, was fuer eine sichere Konfiguration noetig waere (Default-Passwoerter nicht geandert, aus Unwissen oder Unsicherheit Sicherheitseinstellungen nicht optimal eingestellt etc. etc.).
Zweitens: Dadurch soll man sich aber nicht ins Bockshorn jagen lassen. Mit gesundem Menschenverstand lassen sich tatsaechlich viele Angriffe abwehren. Aber *wenn* jemand einen Rechner komprimittieren will, wird er es fast sicherlich auch schaffen (von Hochsicherheitsumgebungen mal abgesehen), wenn er in diesem Fach gut ist. Die meisten Hacker und Virenprogrammierer spielen aber nicht in dieser Top-Liga und rein statistisch gesehen ist man als Linux-Benutzer im Moment (!) und wenn das System immer zeitnah (!) aktualisiert wird, auf der sichereren Seite.
Trotzdem: Holzauge sei wachsam, aber nicht paranoid.
Gruss und allen einen guten Rutsch
frank
-
Ekkehard Schwaar -
Frank Thommen -
Martin Jungowski -
Wolfgang