Was haltet ihr denn von diesem Artikel von chip.de
[quote=“chip.de”]Auf der IT-Sicherheitskonferenz CanSecWest war ein Ubuntu-Linux-System das einzige, das nicht geknackt wurde. Ein MacBook Air wurde binnen zwei Minuten dank einer Lücke im Browser Safari gehackt.
Nun erwischte es auch einen Rechner mit Windows Vista Ultimate und Service Pack 1, berichtet infoworld.com. Shane Macaulay von Security Objectives nutzte eine Lücke ins Adobes Flash und bekam als Lohn 5.000 US-Dollar und ein Fujitsu-Notebook. (hst) [/quote]
Grundsätzlich ist jedes System angreifbar.
Auch ein Linux ist nicht per se sicher - schongar nicht *ubuntu und andere Knoppix-Derivate, auf denen man mittels sudo einfach alles machen kann… da ist ein Debian schon wesentlich interessanter.
Mal als Beispiel: wenn ich z.B. sudo apt-get install irgendwas ausführe, bleiben die root-Rechte einige Zeit erhalten.
So kann ich z.B. direkt danach mit sudo konquerorohne erneute Passwortabfrage den Dateimanager starten - ein Scheunentor einer Sicherheitslücke!
Ein “echtes” Debian lässt das von Hause aus nicht zu.
sudo gibt es dort natürlich auch - aber nicht standardmäßig für alle benutzer aktiviert
Also: klar hat Windows nix in einer sicheren Umgebung verloren.
Aber Linux ist nicht deshalb sicherer, weil es Linux ist - vielmehr dürfte imho ein wesentlicher Teil dieser Sicherheit in der Tatsache begründet sein, dass es nicht so weit verbreitet ist.
Also das find ich affig. OH MAC IST UNSICHER UND WINDOWS AUCH!
Wieso denn? nur weil unter Vista durch den Adobe Flash player gehackt worden ist?
Also ist doch der Flash Player von Adobe schuld. Wenn er scheiße programmiert ist und man dadurch ins system kommt, kann doch microsoft nix für.
Naja und die Safari lücke ist doch eigentlich bekannt bin ich der Meinung.
EDIT: Achso und das mit dem sudo stimmt leider finde ich zwar manchmal praktisch, aber ist ziemlich unsicher. gebe ich lieber 2mal mein PW ein falls ich mysql nochmal starten muss, weil es nicht mit apache starten wollte, anstatt nur einmal und dann ne angriffs gefahr zu haben.
[quote=“i.deFix”]Mal als Beispiel: wenn ich z.B. sudo apt-get install irgendwas ausführe, bleiben die root-Rechte einige Zeit erhalten.
So kann ich z.B. direkt danach mit sudo konquerorohne erneute Passwortabfrage den Dateimanager starten - ein Scheunentor einer Sicherheitslücke![/quote]
Weil man als Adminbenutzer nach Eingabe des Passworts für 5 Minuten Befehle mit root-Rechten ausführen kann handelt es sich um ein Scheunentor von Sicherheitslücke?
Ich würde eher sagen, dass das gewöhnliche und beabsichtigte Verhalten von sudo ist.
[quote]Ein “echtes” Debian lässt das von Hause aus nicht zu.
sudo gibt es dort natürlich auch - aber nicht standardmäßig für alle benutzer aktiviert [/quote]
Ist es unter Ubuntu auch nicht, dort ist es nur für Benutzer aktiviert, welche sich in der Gruppe für Adminbenutzer befinden, also mitnichten für alle.
Und wenn dir das so nicht passt, dann konfiguriere es doch um, das ist Linux, da kann man nahezu alles so einstellen, wie man will.
Die chip.de Berichterstattung ist schlecht, denn es fehlen einfach Infos die nicht fehlen dürften. ZB: “Ein MacBook Air wurde binnen zwei Minuten…” ist einfach falsch. Denn die Teilnehmer am PWN to OWN Wettbewerb hatten es schon am Vortag versucht, jedoch ohne Erfolg, aber unter anderen Bedingungen. Wer den chip Artikel ließt sollte auch die Berichterstattung auf heise.de mitverfolgen, denn sonst ist es möglich, dass einiges auf der Strecke bleibt.
[quote]nur weil unter Vista durch den Adobe Flash player gehackt worden ist?
Also ist doch der Flash Player von Adobe schuld. Wenn er scheiße programmiert ist und man dadurch ins system kommt, kann doch microsoft nix für.[/quote]
Das sehe ich ein wenig anders.
Wenn ein Programm, wohlgemerkt: ein Anzeigeprogramm, Administratorrechte erhält, ist das sehr wohl Sache des OS.
Den FlashPlayer gibt es ja auch für Linux, dort gibt es aber diese Lücke afaik nicht.
@me1357:
Mir ist schon klar, dass ich diese Einstellung ändern könnte.
Und nicht ohne Grund nutze ich auf meinem Webserver debian, auch, wenn dieser nur im privaten Netz läuft und von außen nicht erreichbar sein sollte.
Mir ging es hier auch mehr darum, Aussagen wie “Linux ist grundsätzlich sicher” zu widerlegen.
Der größte Sicherheitsrisiko sitzt immer vor der Tastatur… und es gibt durchaus mehrere Beispiele, dass ein Linux gehackt wurde / werden kann.
Nur macht sich kaum einer die Mühe - der Aufwand lohnt meistens nicht.
bin der gleichen Meinung wie i.defix ( ey, der Punkt hinterm i nervt )
Jedes System ist angreífbar und wirds auch bleiben.
Es gibt Wichtigeres über das man sich Gedanken machen sollte, z.B. die Ausbeutung des “kleinen Mannes”
finde ich zwar manchmal praktisch, aber ist ziemlich unsicher. gebe ich lieber 2mal mein PW ein falls ich mysql nochmal starten muss, weil es nicht mit apache starten wollte, anstatt nur einmal und dann ne angriffs gefahr zu haben.
)
