Von mir an die Liste geforwarded, dass sich jeder sein Urteil drueber bilden kann.
---------- Forwarded message ---------- Date: 11 May 2000 09:59:58 +0200 From: Stefan Nobis <[EMAIL PROTECTED]> To: Holger Rauch <[EMAIL PROTECTED]> Subject: Re: Betriebssysteme (Was: Re: Zeitschrift: Linuxer...) Holger Rauch <[EMAIL PROTECTED]> writes: > > > vielleicht anmerkt, daß es relativ virensichere Betriebssysteme gibt, > > > > Jetzt driften wir mal wieder ins Reich des Wunschdenken ab, ja? WinNT > > ist im Kern nicht virenanfälliger oder -sicherer als Linux, FreeBSD > > und Co. > > Das stimmt so nicht. Das mag vielleicht vor 20 Jahren mal so gewesen sein, > dass Unix-Derivate sehr virenanfaellig waren. Es ist sicherlich in grossen OK. Bleiben wir mal beim Kern des Themas und konzentrieren uns allgemein um Sicherheitsprobleme und nicht nur Viren im engeren Sinn. Denn dann hast du bei Unix auch ein Haufen Probleme, siehe z.B. die DDoS-Attacken Anfang dieses Jahres. Und ich meine nicht die angegriffenen Rechner, sondern die Rechner, die zum Angriff missbraucht wurden. Da hat also jemand im großen Stil tausende Unix-Hosts kompromitiert und das soll so sicher sein? > Teilen von der Systemadministration abhaengig, wie schnell man unter Unix > "root" wird. Und nur wenn man "root" ist, kann man WIRKLICH Schaden im Natürlich - aber in der Praxis ist das halt kein so großes Problem. Warum? Ganz einfach: Aufgrund der Mentalität der Leute. Sicherheit kostet Geld, dass nur wenige auszugeben bereit sind. Und damit haben wir ein Grundproblem, dass von Betriebssystemen völlig unabhängig ist. Wenn ich genug Manpower und Geld investiere (d.h. wenn man hier überhaupt investiert), dann kriege ich Unix und NT gleich sicher. Aber die Leute investieren halt nicht, sondern nehmen die Standardinstallation und damit sind Unix und NT letztlich beide gleich offen, vielleicht, je nach Situation, NT ein wenig mehr als Unix, aber dem könnte man ja abhelfen (und Win2000 z.B. ist da an etlichen Stellen schon besser vorkonfiguriert als NT4). > sogar weiter) verbreitet wie NT. Dass es fuer Unix-Derivate insgesamt > weniger Viren gibt, liegt daran, dass es fuer Unix keine Anwendungen wie > fuer WinNT gibt, die sehr eng mit dem System verwoben sind. Wie gesagt: Das Kernproblem sind nicht Viren (letztlich ist ILOVEYOU ja auch eher ein Wurm), sondern Sicherheitsprobleme allgemein. Wenn ein Rechner kompromitiert wurde, ist es völlig egal, ob das ein Virus, Wurm, Trojaner oder bekannter Exploit war, der genutzt wurde. Das Problem ist, jemand hat nun Zugriff auf den Rechner und kann so oder so recht großen Schaden anrichten. Und hier hat Unix dieselben Probleme wie NT. Es ist schlicht eine Illusion, zu glauben, durch die Wahl des Betriebssystems alleine bekäme man automatisch mehr Sicherheit. Sicherheit ist etwas, was allein durch regelmäßige Wartung und mit viel Mühe und Arbeit erreicht wird. Das BS spielt da eine ziemlich untergeordnete Rolle. > Wieviele Sicherheits-Luecken ein Unix-System hat, haengt weitestgehend von > der Konfiguration/Administration ab. Um tatsaechlich einen Virus zu haben, Eben -- und das ist bei Windows genauso. Und genau hier sind die wenigsten Leute bereit zu investieren. Und genau das ist das eigentliche Problem. > bedarf es allerdings nicht nur dem Ausnutzen einiger Sicherheitsluecken, > sondern auch der Verbreitung des Programms bzw. des script, damit es > ueberhaupt zum Virus wird. Selbst wenn das Programm dann verbreitet ist, > sind die meisten Unix-Anwender aufgrund ihres Kenntnisstandes vorsichtiger > sind und nicht einfach irgendwelche executables/scripts ausfuehren, die > per email eintrudeln. Das ist aber heute auch nur so, weil man sich für Unix schon sehr bewusst und aktiv entscheiden muss und weil es im professionellen Bereich auch oft noch teurer kommt. Hätte Linux/Unix die Verbreitung wie Windows heute, dann würden die gleichen Leute davorsitzen und genauso unreflektiert einfach rumklicken. Diese Tatsache ist also auch wieder nicht betriebssystemspezifisch, sondern wiederum ein Problem mit der Mentalität der Anwender. > > Das Problem sind nicht konkrete Betriebssysteme. Ein Problem ist die > > Monokultur, d.h. nur noch Linux ist genauso schädlich und schlecht wie > > nur noch Windows. > > Das stimmt ebenfalls nicht. Ausserdem gibt es nicht "ein Linux". Es gibt > hoechstens einen aktuellen, offiziell freigegebenen Linux-Kernel. Selbst > der wird aber von unterschiedlichen Distributoren unterschiedlich > aufgemoebelt. Ausserdem hat man unter Linux mehr Freiheiten, was die Wahl Ach komm, das ist doch auch Wunschdenken. Die Linux-Distris sind verdammt ähnlich, Win98 und WinNT und Win2000 unterscheiden sich bedeutend stärker als RedHat, Debian und SuSE. Zudem wird letztlich und effektiv sowie meist nur eine einzige Distri eingesetzt. Weltweit ist RedHat die Nr. 1 und in Deutschland wissen die meisten doch gar nicht, dass Linux nicht gleich SuSE ist. Und damit hast du letztlich doch wieder dieselbe Monokultur. Und die Unterschiede der Distris sind doch wirklich an einer Hand abzuzählen und betreffen zu 90% eh nur die Installation und die Art und Weise wie man die Konfig-Dateien hübsch in einer GUI präsentiert. Der Kern der Systeme, also Kernel, initd, usw. sind doch bei allen Distris im wesentlichen dieselben. OK, mal hat einer eine neuere Version, mal ist ein selbstgebastelter Patch dabei, aber das ist doch kein echter Unterschied. Bei NT gibt's auch ServicePak 1-6 (oder schon 7?). Ungefähr auf diesem Niveau bewegen sich diese Unterschiede. Wenn du jetzt Solaris, HP-UX, AIX und Co. mit ins Spiel bringen würdest und von Unix allgemein sprichst, dann ist die Monokultur nicht mehr ganz so stark, sofern alle Systeme etwa gleich große Anteile am Kuchen haben. Aber es ist immer noch alles andere als Unproblematisch. Wie gesagt: Siehe DDoS-Attacken Anfang des Jahres. > Genau. Und genau diesen Pfusch macht uns Microsoft seit Jahren mit einer > beeindruckenden Regelmaessigkeit vor. Das ist MS weder die schlimmste noch die einzige Firma, die Pfusch betreibt. > 1. Die von Microsoft herausgebrachten service packs setzen ein bereits > installiertes Betriebssystem voraus. Warum hat sich Microsoft bis heute > nicht drum gekuemmert, die verschiedenen service packs zu einer neuen > Version zu bundeln, und diese auf eine BOOTFAEHIGE CD zu packen? Toll -- bei Linux muss ich mir Patches für die ganzen Dämonen und sonstiges alle einzeln holen, ständig den Kernel neu komplieren usw. Was du hier anführst ist doch völlig nebensächlicher Kleinkram. Ein bischen Komfort mehr oder weniger ist doch nun wirklich nichts wesentliches. Zumal gerade Linux hier bedeutende Defizite aufweist. > Und ueberhaupt: Fuer den admin ist ueberhaupt nicht transparent, was bei > einem service pack alles eingespielt wird. Ach. Und bei Linux-Distris ist das so viel besser? Und baust dir hier Illusionen auf. Wie viele Leute sind in der Lage, zu beurteilen, was so von Kernel-Version zu Kernel-Version passiert und wissen wirklich, was davon wichtig oder unwichtig, was sicherheitskritisch oder stabilitätsfördernd ist? Im Linux-Bereich sehe ich die Leute auch immer nur blind dem allerneusten hinterherlaufen. Wenn etwas mal nicht klappt, wird oft einfach auch nur empfohlen, doch mal den neusten Kernel einzuspielen. Da kann es also mit der Transparenz auch nicht so weit her sein. > 2. Wenn man sich bei der Installation von NT fuer das NTFS als Dateisystem > entscheidet, wird trotzdem erst ein FAT installiert und dann beim > naechsten reboot ein NTFS draus gemacht. Warum? Warum nicht von Anfang an > ein NTFS, wenn der admin es sich so wuenscht? Das ist ein Implemtationsdetail, das ja nun wirklich absolut kein nennenswertes Kriterium darstellt. Linux kann bis heute mit dem Anwenderkernel keine Datei >2GB bearbeiten. Also ist Linux absoluter Schrott? Und Implemtationsdetails von Linux, die bedeutend negativere Auswirkungen als obiges haben, gibt es zur Genüge. Du krallst dich hier mit aller Gewalt an wirklich absolut nebensächliche Kleinigkeiten (obwohl es eine Menge Dinge bei NT und Win2000 gibt, die bedeutend wichtiger und schwerwiegender sind), dass man den Eindruck hat, du hast kaum Ahnung von Windows (und anscheinend von Linux auch nicht, denn sonst wüsstest du, dass man für Linux spielend eine ähnliche Liste mit sehr viel schwerwiegenderen Problemen aufstellen könnte). Und genau das fällt für mich unter Verehrung/Anbetung eines Systems und dem blinden Bashing eines anderen Systems. > 4. Die aktuelle Virus-Problematik bezueglich Outlook. Warum will man sich > bei Microsoft nicht die Muehe machen, und Outlook dahingehend > modifizieren, dass man die Ausfuehrung von scripts unterbinden kann? Warum > muss man ueberhaupt das attachment einer mail direkt ausfuehren koennen? Wo ist da jetzt der Unterschied zu Linux/Unix? Alle mir bekannten E-Mail Clients im Unix-Bereich unterstützten Attachments und erlauben auch den direkten Zugriff und damit bei Bedarf auch die Ausführung von Scripts. Und wenn ich mich richtig erinnere, kann man bei Outlook sehr wohl solche Dinge abschalten (zumindest soweit, dass da nichts mehr automatisch passiert) und damit geht es höchstens noch um den Auslieferungszustand. Aber da liegt auch bei z.B. Linux-Distris so einiges im argen. Das Problem sind doch vielmehr die Benutzer, die trotz Aufklärung mit der Mentalität: "Och, ist ja nicht mein Rechner und ich wollte immer schon mal so einen Virus live erleben" an die Sache rangehen und jegliche Ermahungen in den Wind schlagen. Andererseits ist es nicht sinnvoll Attachments ganz zu verbieten, da viele Firmen genau diesen Weg zur internen Kommunikation und auch zum Dokumentenaustausch benutzen und in vielen Fälle ist dies so auch durchaus sinnvoll. Und hier stellt sich schon die Frage, wo man die Grenze zwischen Funktionalität und Sicherheit zieht, die man grundsätzlich immer ziehen muss. Ein sicherer Rechner ist einer ohne Strom, am besten noch in seine Einzelteile zerlegt und anschließend mit einem Hammer kräftig bearbeitet. -- Until the next mail..., Stefan. ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 729