Re: Was macht eigentlich security.debian.org?
Oliver Egginger schrieb:
> Einer dieser Treiber ermöglicht anscheinend Spionageattacken, welche
> hier kurz beschrieben werden:
> http://www.atstake.com/research/advisories/2003/a010603-1.txt
Das ist ein albernes und eher harmloses Problem und in den letzten
Kernel-Source-Paketen von 2.4.19 und 2.4.20 gefixt.
Wenn Du schon mit solcher Panikmache kommst und der Text von Dir als
"kurz" eingestuft wird, dann lies es auch. Ich zitiere:
"It is important to note that the attacker must be on the
same ethernet network as the vulnerable machine to receive the
ethernet frames"
Das schränkt die denkbaren Szenarien schon deutlich ein. Darüber hinaus
werden hauptsächlich Fragmente aus dem laufenden Netzverkehr
eingeblendet. Finden die wichtigen Sachen per SSH/SSL statt, wird nicht
viel zu holen sein. Es könnte höchstens tonnenweise unwichtiger
Datenmüll gesammelt werden. Wie aus diesen Milliarden von Schnipseln,
die vielleicht handvoll interessanter heraus gefiltert werden soll
bleibt dabei völlig offen.
So etwas mit "Attacke" zu benennen ist nur überzogen, sondern
schlichtweg falsch (übersetzt). "Angreifer" und"Attacke" haben sich zu
feststehenden Fachbegriffen entwickelt, die nicht immer wörtlich zu
nehmen sind. Man könnte es auch A-Hörnchen und B-Jodel nennen.
Quantenphysiker denken auch nicht wirklich, dass Quarks besoffen sind.
Der "Angreifer" kann bei obiger "Attacke", selbst nur wenig unternehmen,
sondern ist vorwiegend auf passives Lauschen angewiesen. Wenn er selbst
aktiv würde, fällt er nicht nur auf, sondern korrumpiert auch seine
Chance, etwas wichtiges zu erlauschen.
Es scheint mir im letzten halben Jahr einen Trend zu geben, dass
zunehmend unbedeutende Sicherheitsmeldungen in bester Troll-Manier
völlig sinnentstellt in eine inkompetente Öffentlichkeit gespielt
werden, um dort Stimmung zu erzeugen. Bestes Beispiel die gestrige
CUPS-Meldung auf dem Heise-Ticker. Werden Redakteure nach Zahl der
Meldungen bezahlt? Was nehmen die für Tabletten?
Selbst der ptrace-Bug, mit seinem auch für Laien eindrucksvollen Expoit,
wurde deutlich überbewertet. Es gab nicht nur schon vor dem grossen
öffentlichen Tata einen Fix, sondern auch einen simplen Work-around.
Die Zahl der Sicherheitsmeldungen hat sicherlich zugenommen. Aber
ebenso sicher *nicht*, weil Software immer verwundbarer wird, sondern
weil die Zahl der Sicherheitsinspektionen und Unternehmen, die sich
damit beschäftigt stark gestiegen ist. Sicherheitslücken werden heute
vorwiegend nicht mehr von "bösen Hackern", sondern von den "guten
Sicherheitstestern" gefunden.
Der Zünder für die Atombombe, ach was Wasserstoffbombe, des Internets
heisst immer noch "bind". Hier einen Exploit a la SQL-Slammer und alle,
die vom Netz abhängen, können länger in Urlaub...
> Wird der Kernel nicht ueber http://security.debian.org/ mit
> aktualisiert?
Du möchtest, dass apt-get plötzlich einen Reboot auslöst (oder wie
aktivierst Du einen neuen Kernel)? Die meisten möchten das nicht. Oder
das apt-get nur ein neues Image einrichtet und dann beim nächsten
gewollten oder ungewollten Reboot kommt dann surprise, surprise ein
neuer Kernel.
In der Regel ist es also sinnvoll, wenn der Admin das von Hand macht
bzw. unter eigener Kontrolle. Ich gebe zu, für typische Desktop- und
Privat-Benutzer ist das unbefriedigend. In Unstable gibt es daher eine
neue Möglichkeit ein kernel-image-2.4 zu abonnieren und damit auch das
Kernel-Update zu automatisieren. Mehr Infos dazu hier:
http://lists.debian.org/debian-security/2003/debian-security-200305/msg00288.html
> Warum ist der SSH-Dienst nicht aktualisiert worden, obwohl auch er
> bei Nessus Sichheitswarnungen verursacht?
Mir kommt so der leise Gedanke, dass der überproportionale Anteil aus
dem Giessener Raum stammendender Netzscans gar nicht auf SuperHacker
(wer sonst scannt schon vom eigenen T-rottel-Anschluss?), sondern auf
Sicherheits-Tools-Nicht-Versteher zurück gehen könnte... tum tee tum
--
rainer@ellinger.de
Reply to: