[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Was macht eigentlich security.debian.org?



Oliver Egginger schrieb:
> Einer dieser Treiber ermöglicht anscheinend Spionageattacken, welche
> hier kurz beschrieben werden:
> http://www.atstake.com/research/advisories/2003/a010603-1.txt

Das ist ein albernes und eher harmloses Problem und in den letzten 
Kernel-Source-Paketen von 2.4.19 und 2.4.20 gefixt. 

Wenn Du schon mit solcher Panikmache kommst und der Text von Dir als 
"kurz" eingestuft wird, dann lies es auch. Ich zitiere:

"It is important to note that the attacker must be on the
same ethernet network as the vulnerable machine to receive the
ethernet frames"

Das schränkt die denkbaren Szenarien schon deutlich ein. Darüber hinaus 
werden hauptsächlich Fragmente aus dem laufenden Netzverkehr 
eingeblendet. Finden die wichtigen Sachen per SSH/SSL statt, wird nicht 
viel zu holen sein. Es könnte höchstens tonnenweise unwichtiger 
Datenmüll gesammelt werden. Wie aus diesen Milliarden von Schnipseln, 
die vielleicht handvoll interessanter heraus gefiltert werden soll 
bleibt dabei völlig offen.

So etwas mit "Attacke" zu benennen ist nur überzogen, sondern 
schlichtweg falsch (übersetzt). "Angreifer" und"Attacke" haben sich zu 
feststehenden Fachbegriffen entwickelt, die nicht immer wörtlich zu 
nehmen sind. Man könnte es auch A-Hörnchen und B-Jodel nennen. 
Quantenphysiker denken auch nicht wirklich, dass Quarks besoffen sind.

Der "Angreifer" kann bei obiger "Attacke", selbst nur wenig unternehmen, 
sondern ist vorwiegend auf passives Lauschen angewiesen. Wenn er selbst 
aktiv würde, fällt er nicht nur auf, sondern korrumpiert auch seine 
Chance, etwas wichtiges zu erlauschen.

Es scheint mir im letzten halben Jahr einen Trend zu geben, dass 
zunehmend unbedeutende Sicherheitsmeldungen in bester Troll-Manier 
völlig sinnentstellt in eine inkompetente Öffentlichkeit gespielt 
werden, um dort Stimmung zu erzeugen. Bestes Beispiel die gestrige 
CUPS-Meldung auf dem Heise-Ticker. Werden Redakteure nach Zahl der 
Meldungen bezahlt? Was nehmen die für Tabletten?

Selbst der ptrace-Bug, mit seinem auch für Laien eindrucksvollen Expoit, 
wurde deutlich überbewertet. Es gab nicht nur schon vor dem grossen 
öffentlichen Tata einen Fix, sondern auch einen simplen Work-around. 
Die Zahl der Sicherheitsmeldungen hat sicherlich zugenommen. Aber 
ebenso sicher *nicht*, weil Software immer verwundbarer wird, sondern 
weil die Zahl der Sicherheitsinspektionen und Unternehmen, die sich 
damit beschäftigt stark gestiegen ist. Sicherheitslücken werden heute 
vorwiegend nicht mehr von "bösen Hackern", sondern von den "guten 
Sicherheitstestern" gefunden.

Der Zünder für die Atombombe, ach was Wasserstoffbombe, des Internets 
heisst immer noch "bind". Hier einen Exploit a la SQL-Slammer und alle, 
die vom Netz abhängen, können länger in Urlaub...

> Wird der Kernel nicht ueber http://security.debian.org/ mit
> aktualisiert?

Du möchtest, dass apt-get plötzlich einen Reboot auslöst (oder wie 
aktivierst Du einen neuen Kernel)? Die meisten möchten das nicht. Oder 
das apt-get nur ein neues Image einrichtet und dann beim nächsten 
gewollten oder ungewollten Reboot kommt dann surprise, surprise ein 
neuer Kernel.

In der Regel ist es also sinnvoll, wenn der Admin das von Hand macht 
bzw. unter eigener Kontrolle. Ich gebe zu, für typische Desktop- und 
Privat-Benutzer ist das unbefriedigend. In Unstable gibt es daher eine 
neue Möglichkeit ein kernel-image-2.4 zu abonnieren und damit auch das 
Kernel-Update zu automatisieren. Mehr Infos dazu hier:

http://lists.debian.org/debian-security/2003/debian-security-200305/msg00288.html

> Warum ist der SSH-Dienst nicht aktualisiert worden, obwohl auch er
> bei Nessus Sichheitswarnungen verursacht?

Mir kommt so der leise Gedanke, dass der überproportionale Anteil aus 
dem Giessener Raum stammendender Netzscans gar nicht auf SuperHacker 
(wer sonst scannt schon vom eigenen T-rottel-Anschluss?), sondern auf 
Sicherheits-Tools-Nicht-Versteher zurück gehen könnte... tum tee tum

-- 
rainer@ellinger.de




Reply to: