[Debian]:Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) (fwd)
Von mir an die Liste geforwarded, dass sich jeder sein Urteil drueber
bilden kann.
---------- Forwarded message ----------
Date: 11 May 2000 09:59:58 +0200
From: Stefan Nobis <stefan@snobis.de>
To: Holger Rauch <Holger.Rauch@heitec.de>
Subject: Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...)
Holger Rauch <Holger.Rauch@heitec.de> writes:
> > > vielleicht anmerkt, daß es relativ virensichere Betriebssysteme gibt,
> >
> > Jetzt driften wir mal wieder ins Reich des Wunschdenken ab, ja? WinNT
> > ist im Kern nicht virenanfälliger oder -sicherer als Linux, FreeBSD
> > und Co.
>
> Das stimmt so nicht. Das mag vielleicht vor 20 Jahren mal so gewesen sein,
> dass Unix-Derivate sehr virenanfaellig waren. Es ist sicherlich in grossen
OK. Bleiben wir mal beim Kern des Themas und konzentrieren uns
allgemein um Sicherheitsprobleme und nicht nur Viren im engeren
Sinn. Denn dann hast du bei Unix auch ein Haufen Probleme, siehe
z.B. die DDoS-Attacken Anfang dieses Jahres. Und ich meine nicht die
angegriffenen Rechner, sondern die Rechner, die zum Angriff
missbraucht wurden. Da hat also jemand im großen Stil tausende
Unix-Hosts kompromitiert und das soll so sicher sein?
> Teilen von der Systemadministration abhaengig, wie schnell man unter Unix
> "root" wird. Und nur wenn man "root" ist, kann man WIRKLICH Schaden im
Natürlich - aber in der Praxis ist das halt kein so großes
Problem. Warum? Ganz einfach: Aufgrund der Mentalität der
Leute. Sicherheit kostet Geld, dass nur wenige auszugeben bereit
sind. Und damit haben wir ein Grundproblem, dass von Betriebssystemen
völlig unabhängig ist.
Wenn ich genug Manpower und Geld investiere (d.h. wenn man hier
überhaupt investiert), dann kriege ich Unix und NT gleich sicher. Aber
die Leute investieren halt nicht, sondern nehmen die
Standardinstallation und damit sind Unix und NT letztlich beide gleich
offen, vielleicht, je nach Situation, NT ein wenig mehr als Unix, aber
dem könnte man ja abhelfen (und Win2000 z.B. ist da an etlichen
Stellen schon besser vorkonfiguriert als NT4).
> sogar weiter) verbreitet wie NT. Dass es fuer Unix-Derivate insgesamt
> weniger Viren gibt, liegt daran, dass es fuer Unix keine Anwendungen wie
> fuer WinNT gibt, die sehr eng mit dem System verwoben sind.
Wie gesagt: Das Kernproblem sind nicht Viren (letztlich ist ILOVEYOU
ja auch eher ein Wurm), sondern Sicherheitsprobleme allgemein.
Wenn ein Rechner kompromitiert wurde, ist es völlig egal, ob das ein
Virus, Wurm, Trojaner oder bekannter Exploit war, der genutzt
wurde. Das Problem ist, jemand hat nun Zugriff auf den Rechner und
kann so oder so recht großen Schaden anrichten. Und hier hat Unix
dieselben Probleme wie NT.
Es ist schlicht eine Illusion, zu glauben, durch die Wahl des
Betriebssystems alleine bekäme man automatisch mehr
Sicherheit. Sicherheit ist etwas, was allein durch regelmäßige Wartung
und mit viel Mühe und Arbeit erreicht wird. Das BS spielt da eine
ziemlich untergeordnete Rolle.
> Wieviele Sicherheits-Luecken ein Unix-System hat, haengt weitestgehend von
> der Konfiguration/Administration ab. Um tatsaechlich einen Virus zu haben,
Eben -- und das ist bei Windows genauso. Und genau hier sind die
wenigsten Leute bereit zu investieren. Und genau das ist das
eigentliche Problem.
> bedarf es allerdings nicht nur dem Ausnutzen einiger Sicherheitsluecken,
> sondern auch der Verbreitung des Programms bzw. des script, damit es
> ueberhaupt zum Virus wird. Selbst wenn das Programm dann verbreitet ist,
> sind die meisten Unix-Anwender aufgrund ihres Kenntnisstandes vorsichtiger
> sind und nicht einfach irgendwelche executables/scripts ausfuehren, die
> per email eintrudeln.
Das ist aber heute auch nur so, weil man sich für Unix schon sehr
bewusst und aktiv entscheiden muss und weil es im professionellen
Bereich auch oft noch teurer kommt. Hätte Linux/Unix die Verbreitung
wie Windows heute, dann würden die gleichen Leute davorsitzen und
genauso unreflektiert einfach rumklicken. Diese Tatsache ist also auch
wieder nicht betriebssystemspezifisch, sondern wiederum ein Problem
mit der Mentalität der Anwender.
> > Das Problem sind nicht konkrete Betriebssysteme. Ein Problem ist die
> > Monokultur, d.h. nur noch Linux ist genauso schädlich und schlecht wie
> > nur noch Windows.
>
> Das stimmt ebenfalls nicht. Ausserdem gibt es nicht "ein Linux". Es gibt
> hoechstens einen aktuellen, offiziell freigegebenen Linux-Kernel. Selbst
> der wird aber von unterschiedlichen Distributoren unterschiedlich
> aufgemoebelt. Ausserdem hat man unter Linux mehr Freiheiten, was die Wahl
Ach komm, das ist doch auch Wunschdenken. Die Linux-Distris sind
verdammt ähnlich, Win98 und WinNT und Win2000 unterscheiden sich
bedeutend stärker als RedHat, Debian und SuSE. Zudem wird letztlich
und effektiv sowie meist nur eine einzige Distri eingesetzt. Weltweit
ist RedHat die Nr. 1 und in Deutschland wissen die meisten doch gar
nicht, dass Linux nicht gleich SuSE ist. Und damit hast du letztlich
doch wieder dieselbe Monokultur.
Und die Unterschiede der Distris sind doch wirklich an einer Hand
abzuzählen und betreffen zu 90% eh nur die Installation und die Art
und Weise wie man die Konfig-Dateien hübsch in einer GUI
präsentiert. Der Kern der Systeme, also Kernel, initd, usw. sind doch
bei allen Distris im wesentlichen dieselben. OK, mal hat einer eine
neuere Version, mal ist ein selbstgebastelter Patch dabei, aber das
ist doch kein echter Unterschied. Bei NT gibt's auch ServicePak 1-6
(oder schon 7?). Ungefähr auf diesem Niveau bewegen sich diese
Unterschiede.
Wenn du jetzt Solaris, HP-UX, AIX und Co. mit ins Spiel bringen
würdest und von Unix allgemein sprichst, dann ist die Monokultur nicht
mehr ganz so stark, sofern alle Systeme etwa gleich große Anteile am
Kuchen haben. Aber es ist immer noch alles andere als
Unproblematisch. Wie gesagt: Siehe DDoS-Attacken Anfang des Jahres.
> Genau. Und genau diesen Pfusch macht uns Microsoft seit Jahren mit einer
> beeindruckenden Regelmaessigkeit vor.
Das ist MS weder die schlimmste noch die einzige Firma, die Pfusch
betreibt.
> 1. Die von Microsoft herausgebrachten service packs setzen ein bereits
> installiertes Betriebssystem voraus. Warum hat sich Microsoft bis heute
> nicht drum gekuemmert, die verschiedenen service packs zu einer neuen
> Version zu bundeln, und diese auf eine BOOTFAEHIGE CD zu packen?
Toll -- bei Linux muss ich mir Patches für die ganzen Dämonen und
sonstiges alle einzeln holen, ständig den Kernel neu komplieren usw.
Was du hier anführst ist doch völlig nebensächlicher Kleinkram. Ein
bischen Komfort mehr oder weniger ist doch nun wirklich nichts
wesentliches. Zumal gerade Linux hier bedeutende Defizite aufweist.
> Und ueberhaupt: Fuer den admin ist ueberhaupt nicht transparent, was bei
> einem service pack alles eingespielt wird.
Ach. Und bei Linux-Distris ist das so viel besser? Und baust dir hier
Illusionen auf. Wie viele Leute sind in der Lage, zu beurteilen, was
so von Kernel-Version zu Kernel-Version passiert und wissen wirklich,
was davon wichtig oder unwichtig, was sicherheitskritisch oder
stabilitätsfördernd ist?
Im Linux-Bereich sehe ich die Leute auch immer nur blind dem
allerneusten hinterherlaufen. Wenn etwas mal nicht klappt, wird oft
einfach auch nur empfohlen, doch mal den neusten Kernel
einzuspielen. Da kann es also mit der Transparenz auch nicht so weit
her sein.
> 2. Wenn man sich bei der Installation von NT fuer das NTFS als Dateisystem
> entscheidet, wird trotzdem erst ein FAT installiert und dann beim
> naechsten reboot ein NTFS draus gemacht. Warum? Warum nicht von Anfang an
> ein NTFS, wenn der admin es sich so wuenscht?
Das ist ein Implemtationsdetail, das ja nun wirklich absolut kein
nennenswertes Kriterium darstellt. Linux kann bis heute mit dem
Anwenderkernel keine Datei >2GB bearbeiten. Also ist Linux absoluter
Schrott?
Und Implemtationsdetails von Linux, die bedeutend negativere
Auswirkungen als obiges haben, gibt es zur Genüge. Du krallst dich
hier mit aller Gewalt an wirklich absolut nebensächliche Kleinigkeiten
(obwohl es eine Menge Dinge bei NT und Win2000 gibt, die bedeutend
wichtiger und schwerwiegender sind), dass man den Eindruck hat, du
hast kaum Ahnung von Windows (und anscheinend von Linux auch nicht,
denn sonst wüsstest du, dass man für Linux spielend eine ähnliche
Liste mit sehr viel schwerwiegenderen Problemen aufstellen könnte).
Und genau das fällt für mich unter Verehrung/Anbetung eines Systems
und dem blinden Bashing eines anderen Systems.
> 4. Die aktuelle Virus-Problematik bezueglich Outlook. Warum will man sich
> bei Microsoft nicht die Muehe machen, und Outlook dahingehend
> modifizieren, dass man die Ausfuehrung von scripts unterbinden kann? Warum
> muss man ueberhaupt das attachment einer mail direkt ausfuehren koennen?
Wo ist da jetzt der Unterschied zu Linux/Unix? Alle mir bekannten
E-Mail Clients im Unix-Bereich unterstützten Attachments und erlauben
auch den direkten Zugriff und damit bei Bedarf auch die Ausführung von
Scripts.
Und wenn ich mich richtig erinnere, kann man bei Outlook sehr wohl
solche Dinge abschalten (zumindest soweit, dass da nichts mehr
automatisch passiert) und damit geht es höchstens noch um den
Auslieferungszustand. Aber da liegt auch bei z.B. Linux-Distris so
einiges im argen.
Das Problem sind doch vielmehr die Benutzer, die trotz Aufklärung mit
der Mentalität: "Och, ist ja nicht mein Rechner und ich wollte immer
schon mal so einen Virus live erleben" an die Sache rangehen und
jegliche Ermahungen in den Wind schlagen.
Andererseits ist es nicht sinnvoll Attachments ganz zu verbieten, da
viele Firmen genau diesen Weg zur internen Kommunikation und auch zum
Dokumentenaustausch benutzen und in vielen Fälle ist dies so auch
durchaus sinnvoll. Und hier stellt sich schon die Frage, wo man die
Grenze zwischen Funktionalität und Sicherheit zieht, die man
grundsätzlich immer ziehen muss. Ein sicherer Rechner ist einer ohne
Strom, am besten noch in seine Einzelteile zerlegt und anschließend
mit einem Hammer kräftig bearbeitet.
--
Until the next mail...,
Stefan.
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 729
Reply to: