Wahnsinn, wie sicher Linux ist:

Re(3): Wahnsinn, wie sicher Linux ist:

[Eliot] — Sat, 02 Jan 2016 18:13:23 GMT

Dann lies mal die Linux Kernel Listen...
Dort gibt es Code-Reviews bevor es überhaupt in den Kernel eingepflegt wird.
Also bitte nichts verallgemeinen....

Re(5): Wahnsinn, wie sicher Linux ist:

[Eliot] — Sat, 02 Jan 2016 18:12:08 GMT

Nur teilweise... Und dann kommen Patches die etwas anderes ruinieren

Re(9): Wahnsinn, wie sicher Linux ist:

[Eliot] — Sat, 02 Jan 2016 18:10:02 GMT

yes

Re(3): Wahnsinn, wie sicher Linux ist:

[Eliot] — Sat, 02 Jan 2016 18:05:52 GMT

Hihi... 100% agree

Re: Wahnsinn, wie sicher Linux ist:

[Eliot] — Sat, 02 Jan 2016 18:01:02 GMT

Das Problem ist, daß es KEIN Linux Bug war... sondern Grub und der hat mit Linux (dem Kernel) genau nix zu tun

Im Gegensatz zu Windoof war der Bugfix innerhalb weniger Stunden auf allen Distros verfügbar

Re(13): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 22:55:22 GMT

http://www.securityweek.com/truecrypt-provides-good-data-protection-audit

Google ist dein Freund.

Re(5): Wahnsinn, wie sicher Linux ist:

Glockman — Wed, 23 Dec 2015 17:47:37 GMT

OK, dann scheine ich mich leider nicht ganz klar ausgedrückt zu haben...

Die entdeckte Lücke für Linux sitzt im Bootloader (Grub2), ist also weder ein Kernel- noch ein OS-Problem. Das ist ein ganz klassischer Bug.

Bei Apple ist Command-S ebenfalls im Bootloader implementiert, aber im Gegensatz zu Grub2 kein Bug sondern ein "Feature".

Da jetzt laut "Linux ist unsicher!" zu rufen, wenn man selbst auf genau dem Selben Pulverfass sitzt, ist einfach nur... aber naja, was Anderes würde man von sog. Apple-Jüngern auch nicht erwarten.

Re(12): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Wed, 23 Dec 2015 16:33:05 GMT

Da steht nix vom Frauenhofer institut: https://en.wikipedia.org/wiki/TrueCrypt#Security_audits

Re(14): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 13:49:56 GMT

Das weiß ich nicht, sollte aber kein Problem sein.

Re(13): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Wed, 23 Dec 2015 13:37:20 GMT

soll das dann auch in einem Cluster funktionieren?

Re(5): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 12:53:38 GMT

Nur weil es Open Source ist, heißt es nicht dass die Entwickler nicht bezahlt werden. Wenn ich mir die Infosec Szene so ansehe dann sind hier genug Leute am werkwn die mehr Ahnung als die Entwickler als solches haben. Du vergisst eins nämlich, nicht jeder Programmierer hat was mit Security am Hut, eigentlich die wenigsten!

Die bösen Jungs haben aber auch Zugriff auf closed Source und nutzen das voll aus, siehe Behörden aus den USA oder UK.

Re(12): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 12:49:25 GMT

AFAIK nicht, aber bis September habens ja noch ein bisschen Zeit.

Re(11): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 12:48:37 GMT

Wusste gar nicht dass das Fraunhofer Institut auf Crowdfunding zurückgriff?

Re(11): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Wed, 23 Dec 2015 12:24:34 GMT

Der Kostenfaktor spielt natürlich auch eine entscheidende Rolle.

ja, das hab ich allzu oft gehört ...

Ab Server 2016 hat der Hyper-V mit Guest Isolation (Shielded VMs + TPM) aber DAS Killerfeature für mich.

ich weiß gar nicht, ob sowas auf der Roadmap von VMware steht oder ob es sowas ähnliches schon gibt ...

Re(5): Wahnsinn, wie sicher Linux ist:

kombipaket — Wed, 23 Dec 2015 11:57:46 GMT

Andersrum: Bei Closed Source haben es die "bösen" und die "guten" gleich
schwer. Bei Opensource haben es beide gleich "leicht".

Außer Streit.

und den Unternehmen eine Haftung droht, wenn sie grobe Fehler machen

Dann hätten viele SW-Hersteller schon seeehr schlimme Urteile gegen sich. Stattdessen gibt es die EULA, wo die Unternehmen sich reinwaschen... Und ausserdem steht ja sogar bei den iTunes-Bedingungen dabei, dass man die SW nicht für kritische Sachen verwenden darf:

You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture, or production of nuclear, missile, or chemical or biological weapons.

Zurück zum Punkt "Gute und Böse haben es gleich leicht": Die Frage ist, wovon es mehr gibt. Zumindest bei den Guten werden viele von Unis, FHs, ... motiviert.

Re(4): Wahnsinn, wie sicher Linux ist:

bigboss007 — Wed, 23 Dec 2015 11:34:19 GMT

Dass sie damit aber weiterhin nicht an dein Fachwissen heranreichen, kränkt
sie aber echt.

wo hab ich das behauptet?

aber meinst nicht du kannst dir dein dickauftragen sparen?

Re(10): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Wed, 23 Dec 2015 11:10:34 GMT

TrueCrypt ist eine Ausnahme. Wo sonst wurden Audits durch Crowdfunding bezahlt?

Re(10): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 10:54:41 GMT

Mir gefällt die Systemintegration besser (PowerShell), obwohl bei VMware einiges besser gelöst ist als bei Hyper-V. Der Kostenfaktor spielt natürlich auch eine entscheidende Rolle. Ab Server 2016 hat der Hyper-V mit Guest Isolation (Shielded VMs + TPM) aber DAS Killerfeature für mich.

Der Vorteil von VMware ist natürlich dass das Ding auf allen Plattformen läuft, egal ob Windows, Linux oder OS X.

Re(9): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 10:47:24 GMT

TrueCrypt ist das beste Beispiel. Wurde von zwei unabhängigen Stellen überprüft und für offline Speicherung als sicher empfunden.

Re(3): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Wed, 23 Dec 2015 10:38:05 GMT

Vermutlich!

Die Leute, von denen ich rede,

sind Vortragende auf diversen Unis zum Thema Datenschutz und Datensicherheit
betreiben eines der CERT's in Österreich
machen bezahlte Pen-Test bei Kunden auf der ganzen Welt
sind Sprecher auf diversen White Hat Konferenzen
haben alle relevanten Zertifizierungen zum Thema IT Security

Dass sie damit aber weiterhin nicht an dein Fachwissen heranreichen, kränkt sie aber echt.

Mit freundlichen Grüßen Lukas

Re(4): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Wed, 23 Dec 2015 10:33:06 GMT

Andersrum: Bei Closed Source sieht es da noch schwieriger aus.

Andersrum: Bei Closed Source haben es die "bösen" und die "guten" gleich schwer. Bei Opensource haben es beide gleich "leicht".

Insgesamt bin ich davon überzeugt, dass der Code von closed Source Software besser ist, weil die Programmierer bezahlt werden und den Unternehmen eine Haftung droht, wenn sie grobe Fehler machen. Da steckt eine ganz andere Motivation dahinter.

Re(8): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Wed, 23 Dec 2015 10:28:48 GMT

Das ist leider eine Illusion. Es prüfen hauptsächlich Leute die dafür bezahlt werden. Jetzt musst du halt hoffen, dass die die Sicherheitslücken schliessen und nicht ausnutzen wollen.

Re(2): Wahnsinn, wie sicher Linux ist:

bigboss007 — Wed, 23 Dec 2015 09:40:07 GMT

Meine white hat Hacker versichern mir, dass aktuell ein simples Windoof den
höchsten Securitystandard aller Plattformen ermöglicht - wenn man es richtig
parametriert.

Oje, hast da mit euren nerds gesprochen, die glauben " hacken" von der Computer Bild zu lernen?
Oder warum trägst hier so dick auf?

Re(7): Wahnsinn, wie sicher Linux ist:

Srv-02 — Wed, 23 Dec 2015 09:37:26 GMT

Open Source Software wird die entscheidende Rolle in der Netzneutralität spielen. Ich persönlich muss den Code nicht überprüfen können, darin sind andere (neutrale Stellen) besser.

Re(3): Wahnsinn, wie sicher Linux ist:

kombipaket — Wed, 23 Dec 2015 08:13:36 GMT

Es gibt nämlich kaum jemanden, der sich (ohne Bezahlung) die Arbeit macht und
den Code auditiert.

Doch, da gibt es einige... Studenten mancher Studienrichtungen müssen im Rahmen ihrer Ausbildung Bugs finden und Exploits dafür schreiben... Beispielsweise bei dem:
https://www.fh-ooe.at/campus-hagenberg/studiengaenge/master/sichere-informationssysteme/

Das sind halt viel zu wenige. Andersrum: Bei Closed Source sieht es da noch schwieriger aus.

Ganz verstehe ich den Angriff nicht...

kombipaket — Wed, 23 Dec 2015 08:10:43 GMT

Ich mein, welchen Vorteil habe ich?

Ich kann also - wenn ich vor dem Gerät sitze - bestimmen, was gebootet wird.
Das kann ich in der Regel auch so - ausser jemand hat eine Bios-Sperre auf seinem Rechner.

Der spannendste Weg wird sein, dass ich einen Parameter wie "init=/bin/sh" mitgeben kann.
Wahrscheinlich kann ich dann einen User mit UID 0 für mich anlegen.... Das kann ich aber mit physischem Zugriff auf die Platten auch dann, wenn ich die Platten ausbaue und direkt darauf schreibe.

Der einzige Fall, wo das IMHO Sinn macht, wäre wenn ich
- physischen Zugriff auf eine Maschine habe,
- ich diese Rebooten kann, aber
- KEINEN Zugriff auf die Festplatten habe, und
- ich keine Chance habe, eine eigene Bootqielle anzugeben.

Eventuell ergibt sich noch ein Angriffsvektor, wenn die Maschine die Platten komplett verschlüsselt hat, und die Keys im TPM des Rechners liegen... Sodass ein Ausbau der Platten keinen Sinn macht.

Obwohl ich viel mit Firmen und Privatpersonen zu tun habe, die Linux einsetzen - mir fällt auf die schnelle kein Szenario ein, wo diese durch diesen Bug ein Securityproblem "gewonnen" hätten.

BTW, die Headline des Artikels ist schwer in die Irre führend: Eingeloggt bist damit noch lange nicht. Du hast eine grub-shell - nicht mehr und nicht weniger.

Re(5): Wahnsinn, wie sicher Linux ist:

User284 — Wed, 23 Dec 2015 08:08:02 GMT

Beneidenswert, wie leicht du immer wieder zu erheitern bist...

100x dasselbe und 100x findest du es lustig - wow.

Re(7): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Wed, 23 Dec 2015 07:20:57 GMT

Seit dem heartbleed bug sind solche Kommentare weniger geworden und vor allem in diesem Thread traut sich das - aus offensichtlichen Gründen - niemand behaupten.

weniger geworden? Nochmal ... zeig mir 1 Kommentar, wo jemand behauptet, dass OSS 100%-ig sicher ist!

Aber sogar hier findet man Leute, die die Möglichkeit den Code einzusehen als Sicherheitsgewinn bejubeln.

das steht nicht im Widerspruch zu

Da sich den Code aber kaum jemand ansieht, bringt es in wirklichkeit nur so viel Sicherheit

Denn keiner behauptet, dass OSS sicher ist, nur weil man sich den Code theoretisch ansehen könnte. Da könnte man genauso behaupten, dass Auto sicher sind, weil man die Motorhaube aufmachen kann! Ich versteh echt nicht, warum du dir so einen Schwachsinn einredest? Brauchst du das, damit du dir die höheren Kosten für deine iDevices rechtfertigst oder gibt es dazu einen plausiblen Grund?

Re(7): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Wed, 23 Dec 2015 07:20:57 GMT

Seit dem heartbleed bug sind solche Kommentare weniger geworden und vor allem in diesem Thread traut sich das - aus offensichtlichen Gründen - niemand behaupten.

weniger geworden? Nochmal ... zeig mir 1 Kommentar, wo jemand behauptet, dass OSS 100%-ig sicher ist!

Aber sogar hier findet man Leute, die die Möglichkeit den Code einzusehen als Sicherheitsgewinn bejubeln.

das steht nicht im Widerspruch zu

Da sich den Code aber kaum jemand ansieht, bringt es in wirklichkeit nur so viel Sicherheit

Denn keiner behauptet, dass OSS sicher ist, nur weil man sich den Code theoretisch ansehen könnte. Da könnte man genauso behaupten, dass Autos sicher sind, weil man die Motorhaube aufmachen kann! Ich versteh echt nicht, warum du dir so einen Schwachsinn einredest? Brauchst du das, damit du dir die höheren Kosten für deine iDevices rechtfertigst oder gibt es dazu einen plausiblen Grund?

Re(6): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Wed, 23 Dec 2015 07:17:40 GMT

bitte zeig mir doch einen im Geizhals-Forum, der sagt, dass OSS per se sicher
und fehlerfrei ist.

Seit dem heartbleed bug sind solche Kommentare weniger geworden und vor allem in diesem Thread traut sich das - aus offensichtlichen Gründen - niemand behaupten.

Aber sogar hier findet man Leute, die die Möglichkeit den Code einzusehen als Sicherheitsgewinn bejubeln. Da sich den Code aber kaum jemand ansieht, bringt es in wirklichkeit nur so viel Sicherheit wie eine ungeladene Waffe. Theoretisch könnte man sich damit verteidigen. In der Praxis ist sie nutzlos.

Re(9): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Wed, 23 Dec 2015 07:12:34 GMT

Ich kann eine gewisse VMware-affinität gar nicht abstreiten ... in meinem vorherigen Job hab ich bei Kunden mit 1 Milliarde € Jahresumsatz VMware-Lösungen implementiert. Aber mittlerweile kenne ich auch die andere Seite mit all seinen Nachteilen (zumindest für mich) ... darum würde mich umso mehr interessieren, warum du lieber Hyper-V einsetzt als VMware. Ich hab mich noch nicht so intensiv damit beschäftigt, aber im Moment tue ich mir echt noch schwer Vorteile gegenüber VMware zu finden ...

Re(8): Wahnsinn, wie sicher Linux ist:

Srv-02 — Tue, 22 Dec 2015 20:45:14 GMT

Ich bin auch sehr MS lastig, aber Linux begleitet mich von Tag zu Tag mehr im Alltag, auch beruflich bedingt. Ich mag VMware auch sehr (am Mac z.b.), nutze aber im Server Bereich lieber Hyper-V (für mich).

Ich mag Apple auch sehr, vor allem iOS. Zum leichten Arbeiten unterwegs hab ich ein Macbook 12 und find es genial, mit VMware Fusion laufen da diverse Linux Distributionen sowie Windows 10 drauf bzw. hab ich noch eine high-security Umgebung komplett vom Gerät separat.

Mit DBs oder DPM hab ich nix am Hut, dazu kann ich rein gar nichts sagen.

Re(7): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Tue, 22 Dec 2015 20:19:55 GMT

das darfst du mich nicht fragen. Ich nutze auch einfach das, was mir die meisten Möglichkeiten bietet und am besten zu meinen Anforderungen passt. Beruflich bin ich sehr Microsoft-lastig, aber dennoch bevorzuge ich zB bei Virtualisierung VMware gegenüber Hyper-V oder wäre auch offen für Oracle Datenbanken. Und auch wenn ich noch nicht viel Know-How bzw. Berührungspunkte mit Linux hatte, bin ich dennoch überzeugt, dass es seinen Stellenwert im IT-Business hat ...

warum man aber vehement alles schlecht redet, was nicht von Apple kommt, werde ich wohl nie verstehen! Entweder arbeitet er für Apple oder besitzt hohe Aktienanteile ... oder er ist wirklich einfach nur ein kindischer Fanboy, der sich alles schlecht reden muss, was keinen Apfel drauf hat. Eigentlich ist so eine beschränkte Sichtweise ziemlich bemitleidenswert...

Re(7): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Tue, 22 Dec 2015 20:19:55 GMT

Re(6): Wahnsinn, wie sicher Linux ist:

Srv-02 — Tue, 22 Dec 2015 19:50:35 GMT

Ich versteh ohnehin nicht was einem dieses "Fanboytum" bringt, ich verwende Apple, Linux und Windows parallel, immer für den jeweiligen Zweck wo das OS seine Vorteile ausspielen kann.

Re(5): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Tue, 22 Dec 2015 19:47:10 GMT

bitte zeig mir doch einen im Geizhals-Forum, der sagt, dass OSS per se sicher und fehlerfrei ist. Nur weil du in deiner verblendeten, perfekten Apple Welt lebst, müssen nicht andere auch mit Scheuklappen herumlaufen!

Re(15): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Tue, 22 Dec 2015 17:51:13 GMT

Willkommen bei Austria Card.

Wobei dort die Standards noch extremer sind, weil aufgrund der Technologie der Chipkarten dort das größte Risiko droht. Wenn dort was verschwindet, hat man de facto bares Geld in der Hand. Weil Visa etc müssen jede Transaktion einer korrekten Chipkarten durchführen. Auch wenn diese auf Max Mustermann ausgestellt ist.

Mit freundlichen Grüßen Lukas

Re(14): Wahnsinn, wie sicher Linux ist:

tridh — Tue, 22 Dec 2015 17:16:24 GMT

Also ich war mal bei einem Hersteller für Karten in Österreich.
Die Auflagen von Visa und Konsorten sind enorm groß.

Eine Produktionsstraße so wie von Lukas Beschrieben mit eigenem unabhängigen Equipment.
Eigener DC, Datenbankserver, physisch alles auf ein paar m2, kein Kontakt zur Außenwelt in irgend einer Form. Jedes mal wenn die etwas ändern müssen oder eine Fremdfirma/Hersteller kommt müssen dort 2 IT Mitarbeiter permanent daneben stehen und zusehen.

Ich glaub dort haben gerade ein mal 5-7 IT Mitarbeiter am Standort gearbeitet.

Also alles war High Secure, Hoch verfügbar usw..

War sehr interessant, da die IT Mitarbeiter Learning by Doing hatten weil Sie keine Kurse bekommen. Als ich dann mal Interesse halber gefragte habe was sie im Worst Case machen, bzw. ob sie einen Premier Vertrag mit Microsoft haben oder von einem Dienstleister -> Nein zu teuer.

Also die Mitarbeiter sollen Top Ausgebildet sein, Security auf höchstem Niveau und 24x7 Betrieb, aber zahlen und Investieren will das Unternehmen nicht.

Re(4): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Tue, 22 Dec 2015 16:58:48 GMT

Weil ich es lustig finde wie sich die OSS Fanboys die Fehler schön reden.

Re(5): Wahnsinn, wie sicher Linux ist:

A national Acrobat — Tue, 22 Dec 2015 13:45:11 GMT

Mit BIOS-Passwort und nativ verschlüsselter HDD nicht so leicht.

Das BIOS Pwd lässt sich ja leicht umgehen, wenn ich schonmal phys. anwesend bin.

Ja nativ verschlüsselte HDD ist die einzige Sicherheit da drin, ansonsten ists relativ egal ob ich im GRUB ein pwd hab oder im BIOS. Bei den meisten Distris is ja auch GRUB so konfiguriert das ich sogar die Kernelparameter ändern kann, also braucht man sich da überhaupt ned soviel Arbeit antun, wenn man was anderes laden will.

Re(3): Wahnsinn, wie sicher Linux ist:

User284 — Tue, 22 Dec 2015 13:04:05 GMT

sollte man auch wissen, dass in diesem Forum OSS der heilige Gral der
Softwareentwicklung ist und Kritik daran unerwünscht.

Wenn dem so ist, warum startest du dann derartige Threads?

Re(4): Wahnsinn, wie sicher Linux ist:

Lazy Jones — Tue, 22 Dec 2015 12:33:15 GMT

Ich kann einen Stick mitnehmen und dort mein System laden, oder einfach die
HDDs ausbauen..

Mit BIOS-Passwort und nativ verschlüsselter HDD nicht so leicht.

Re(17): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Tue, 22 Dec 2015 11:58:43 GMT

Nein. Es wird aber mit zweierlei Maß gemessen, was auch nicht schlau ist.

Mit freundlichen Grüßen Lukas

Re(16): Wahnsinn, wie sicher Linux ist:

ChrisS — Tue, 22 Dec 2015 11:55:17 GMT

Verstehe.

Wenn du nach Afrika fliegst und dir dort die Karten-Lösungen ansiehst, kommen
dir die Tränen, wieviel Geld bei uns für das Thema verbraten wird.

Du meinst also das Thema Sicherheit sollte etwas lascher gehandhabt werden?

Re(15): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Tue, 22 Dec 2015 11:05:56 GMT

Wir sind ein Rechenzentrum. Wir betreiben tausende Server - physisch und virtuell. Wir haben ein Petabyte an Storage im Zugriff. Wir haben Ciscos so groß wie Wandschränke.

Und daneben haben wir einen kleinen Cage stehen, in dem sich, wie im Hochsicherheitstrakt der NSA, die Kartenlösung befindet. Mit eigenen Servern, eigenem Storage und eigenem Netzwerkequipment. Betrieben nach eigenen Regeln und Prozessen. Sauteuer, aber dafür 100% PCI Compliant.

Wenn du nach Afrika fliegst und dir dort die Karten-Lösungen ansiehst, kommen dir die Tränen, wieviel Geld bei uns für das Thema verbraten wird.

Mit freundlichen Grüßen Lukas

Re(14): Wahnsinn, wie sicher Linux ist:

ChrisS — Tue, 22 Dec 2015 10:52:55 GMT

Kartensysteme sind WIRKLICH 7x24. Wenn du da für jeden betrieblichen Task
gleichzeitig 2 Mitarbeiter vom Fach parat haben mußt, um 4 Augen Prinzipien
durchzuziehen, geht das ganz schön ins Geld.

Da sieht man ja das Hauptproblem: für die wichtigen Dinge ist nie Geld da
Vermutlich eine abwägung eines BWLer der die möglichen Verluste durch menschliches Versagen (in welcher Form auch immer) gegen die Kosten eines weiteren Mitarbeites gegengerechnet hat.

Ergebnis war, dass das ganze Zeug in einem eigenen Cage steht.

Ich kann mir das jetzt nicht ganz vorstellen, wie hätte denn die andere Lösung ausgesehen? Eine Windows-VM bei einem Webhoster?

Re(13): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Tue, 22 Dec 2015 10:15:10 GMT

Kartensysteme sind WIRKLICH 7x24. Wenn du da für jeden betrieblichen Task gleichzeitig 2 Mitarbeiter vom Fach parat haben mußt, um 4 Augen Prinzipien durchzuziehen, geht das ganz schön ins Geld.

Bezüglich physischer Separation war ich genau deiner Meinung und wurde von der Rechtsabteilung eines Besseren belehrt. Alleine diese Anforderung hat die Lösungskosten fast verdoppelt.

Das Problem dabei ist, dass sich im Fall von geshartem Equipment die PCI Prozesse plötzlich auf ALLE darauf befindlichen Lösungen erstrecken müssen. Damit werden die bislang billigen anderen Lösungen plötzlich mit den teuren Prozessen verschlimmbessert.

Ergebnis war, dass das ganze Zeug in einem eigenen Cage steht.

Mit freundlichen Grüßen Lukas

Re(12): Wahnsinn, wie sicher Linux ist:

ChrisS — Tue, 22 Dec 2015 10:06:54 GMT

PCI-DSS verlangt zB physische Trennung von Umgebungen. Das ist heutzutage in
Rechenzentren kaum mehr üblich, da man ja mittlerweile alles
virtualisiert (Netzwerk, Server, Storage...) und geshared hat.

Dass diese Techniken nicht an die Sicherheit einer physische Trennung rankommen ist aber klar, aber VLANs per se sind nicht per Default verboten, zumindest lese ich das so aus den Spezifikationen. Auch virtuelles Hosting wird nicht ausgeschlossen, es gilt aber auch hier ganz bestimmte Regeln einzuhalten. Auch das finde ich sehr gut.

Dazu hast du genaue need to know Prinzipien einzuhalten, was im
Datenbankbetrieb enorm aufwendig ist. Normalerweise hat ja ein Admin alle
Rechte. Jetzt mußt du über ausgefeiltes Logging jederzeit nachweisen, dass der
Admin nur auf Sachen zugreift, auf die er muss.

Man sollte hierbei eher präventiv vorgehen, also zumindest ein Vier-Augen-Prinzip für admininistrative Tätigkeiten. Das Logging hilft ja nicht einen eventuellen Schaden zu verhindern, sondern nur um im Nachhinein auf jemanden mit dem Finger zeigen zu können.

Re(4): Wahnsinn, wie sicher Linux ist:

Srv-02 — Tue, 22 Dec 2015 08:46:40 GMT

MS zieht derzeit bei 0days extrem schnell nach.

Re(5): Wahnsinn, wie sicher Linux ist:

Srv-02 — Tue, 22 Dec 2015 08:43:57 GMT

allerdings bedeutet das dann auch, dass bei defekt des Betriebsystems, alle
Daten seit dem letzten Backup unwiederbringlich sind.

Das ist ja wohl der Sinn der Sache!

Re(3): Wahnsinn, wie sicher Linux ist:

A national Acrobat — Tue, 22 Dec 2015 08:37:17 GMT

... und kannst /bin/bash statt init laden usw.

Warum so unbequem ? Ich kann einen Stick mitnehmen und dort mein System laden, oder einfach die HDDs ausbauen.. Also lächerlich einfach

Re(3): Wahnsinn, wie sicher Linux ist:

A national Acrobat — Tue, 22 Dec 2015 08:35:48 GMT

Wenn man aber ein gesichertes System mit TPM haben will, ist das natürlich
peinlich.

Bringt dir auch nix wennst übers BIOS andere Bootreihenfolge etc. einstellen kannst, oder - da du ja phys. Zugang haben mußt - einfach die Platten ausbaust ?

Re(4): Wahnsinn, wie sicher Linux ist:

hhetl — Tue, 22 Dec 2015 07:30:28 GMT

Das OS ist auch sicher. Der Bootvorgang passiert logischerweise, bevor das OS geladen ist - und den sichert man eben mittels EFI Password ab, wenn man den Rechner auch gegen Menschen absichern will, die physischen Zugang zur Hardware haben.

Re(3): Wahnsinn, wie sicher Linux ist:

Glockman — Mon, 21 Dec 2015 23:33:52 GMT

Also in MEINEM Computer-Bild-Artikel stand, dass (U)EFI bis auf die Unterstützung beim Booten absolut NICHTS mit dem OS dahinter zu tun hat... dieser Absatz scheint in Deiner Ausgabe leider gefehlt zu haben.

Es ging hier um die Sicherheit des OS als solches, nicht, wie man Sicherheit VOR dem OS behandelt.

Re(8): Wahnsinn, wie sicher Linux ist:

MG — Mon, 21 Dec 2015 21:04:26 GMT

Laut meinen Experten investiert MS Millionen in die Security seiner Plattform.
Damit liegen Sie technologisch um Größenordnungen vor den diversen Unix
Derivaten.

Das ist in dieser Ausführung nicht richtig.

Tatsache ist, dass Windows konzeptionell 20 Jahre jünger ist als Unix.
Das hat Vor und Nachteile.
Hauptvorteil ist das sehr granulare Rechtesystem, das Windows mitbringt. Da ist das alte UGO Modell von IX natürlich extrem legacy und für große Strukturen mit mehr als ein paar hundert Usern recht mühsam.

Andererseits ist das Granulare Konzept mit dem AGDLP Prinzip dem nebeneinander von Allow und Deny Rechten die unendliche Ausplittung von Windows durchaus verwirrend und fehlerfördernd.

Trotzdem würde man heute ein Berechtigungssystem eher nach dem Microsoft Prinzip aufsetzen. Einfach 20 Jahre moderner.

Die Grafik API hingegen in den Kernel Space zu packen war und bleibt Wahnsinn und ist die Ursache für die meisten BSODs unter Windows.

Bei typischen Sicherheitstechnologien, wie Pufferüberlaufschutz hingegen ist und bleibt die Unixwelt führend.
Canaries z.B. die vor Überschreiben von Variablen am Stack schützen und so die berühmten NOOP Rutschen verunmöglichen gibt es bei IX schon 5 Jahre länger als bei Microsoft. Noch um 2 Jahre früher dran war Linux bei der Adress Space randomisation (ASLR).

Was Microsoft wirklich gut kann, ist Ideen klauen, ihnen einen letzten Schliff verleihen und als eigene verkaufen. Das macht sie auch so unsympathisch.

Technologisch sind die Systeme jedenfalls durchaus ebenbürtig. Sie haben aber alle das Problem einer langen Geschichte, die oft zur Last wird.

Re(5): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Mon, 21 Dec 2015 20:44:18 GMT

lol du bist immer noch so putzig... eigentlich dachte ich, dass du schon langsam a bissl von deinem Apple Fanatismus geheilt bist, weil wir schon lang nix mehr diesbezüglich gelesen haben!

Re(5): Wahnsinn, wie sicher Linux ist:

Lazy Jones — Mon, 21 Dec 2015 20:21:44 GMT

Sag mal, nur so gefragt, wie gut bist Du eigentlich so im Steine
Bergaufrollen?

Kann mir eine bessere Beschäftigung vorstellen... Aber der fefe macht das ja beruflich.

Re(7): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 19:58:17 GMT

Ich kann nur wiedergeben, was Leute, die viel Geld damit verdienen, mir erklären.

Laut meinen Experten investiert MS Millionen in die Security seiner Plattform. Damit liegen Sie technologisch um Größenordnungen vor den diversen Unix Derivaten.

Natürlich schützt das nicht generell vor Fehlern. Und es löst nicht die Legacy-Probleme, die eine Plattform hat.

Aber es ist eine solide Basis.

mfg Lukas

Re(6): Wahnsinn, wie sicher Linux ist:

MG — Mon, 21 Dec 2015 19:50:37 GMT

Daher muss die Lösung irgendwie anders funktionieren. Es muss Security By
Design geben. Und in dem Bereich ist MS laut meinen Experten derzeit
Marktführer.

Tut mir leid, aber das ist ganz und gar nicht so.

Die gesamte Grafik API in den Kernel zu packen ist Wahnsinn per Design und nicht Sicherheit.

Re(5): Wahnsinn, wie sicher Linux ist:

MG — Mon, 21 Dec 2015 19:33:43 GMT

Weil Apple nicht übersll erzählt, ihre Software hätte weniger Fehler, weil sie
closed ist.

Jetzt wird es dich als Fanboy wohl schrecken. Der allergrößte Teil des Apple OSX und IOS ist Opensource. Und es ist ein Unix. Ein Freebsd sogar.

Einzig die Grafikengine und das Filesystem sind closed.

Re(5): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 19:27:51 GMT

Du beschreibst unsere Lösung.

Das Backup erfolgt automatisch, sobald der User Online ist. Eigenes Utility, das diverse definierte Verzeichnisbäume zentral sichert.

Wenn er den Laptop zerstört, bekommt er, unterstützt vom Helpdesk, eine bare Metal Installation im LAN, auf die dann seine Daten aus dem Backup aufgebracht werden.

Mit freundlichen Grüßen Lukas

Re(4): Wahnsinn, wie sicher Linux ist:

MG — Mon, 21 Dec 2015 19:21:30 GMT

Dir ist hoffentlich schon klar, dass ein Login per Smartcard erst auf einer viel späteren Ebene einsetzt, als der Zugriff auf Bootloader und Hardware.

Mit BIOS Password, Festplattenverschlüsselung und TPM samt signiertem Bootloader ist es zwar möglich ein System zu bauen, in das aus dem ausgeschaltenem Zustand niemand sich Zugriff verschaffen kann, allerdings bedeutet das dann auch, dass bei defekt des Betriebsystems, alle Daten seit dem letzten Backup unwiederbringlich sind.

Teufel mit dem Beelzebuben austreiben nennt man so eine Strategie dann wohl.

Re(3): Wahnsinn, wie sicher Linux ist:

MG — Mon, 21 Dec 2015 18:57:09 GMT

Nichteinmal das sehe ich als wesentlich.
Sondern, dass man jeden Bug jederzeit fixen darf ohne lange um Erlaubnis fragen zu müssen.

So waren auch in diesem Fall bei den großen Distris die Patches wieder vor Veröffentlichung des CVE heraussen.

Bei Windows hat es schon öfters bis mehrere Wochen nach Veröffentlichung der Exploits gedauert. 'Und bei ADOBE ist das sogar Gang und Gäbe.

Re(3): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 18:56:44 GMT

Du kannst gerne einen Laptop von uns haben.

Ohne Chipcard wird er dir wenig Freude bereiten.

Mit freundlichen Grüßen Lukas

Re(5): Wahnsinn, wie sicher Linux ist:

Srv-02 — Mon, 21 Dec 2015 18:56:14 GMT

Nein, weil sie sich für ihre OS Security genieren müssen.

Re(2): Wahnsinn, wie sicher Linux ist:

MG — Mon, 21 Dec 2015 18:49:24 GMT

Ja, im Normalfall ist das eh wurscht.
Wenn man aber ein gesichertes System mit TPM haben will, ist das natürlich peinlich.

Für alle jedoch die kein BIOS Passwort gesetzt haben, und das dürften wohl 99,99999% aller Fälle sein, ist das schlichtweg irrelevant.

Re(6): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 18:38:34 GMT

Linux und kommerziell...

Ich habe vor einigen Jahren ein Infrastrukturprojekt geleitet, was drum ging, einige wirklich große HP-UX Backend Server mit massiven Storage Systemen und viele Frontendserver auf Linuxbasis zu einer großen 3-Tier Plattform aufzubauen.

Idee war, dass die Linuxboxen Diskless sind und ihr Filesystem über iSCSI bekommen.

Leider gab es reproduzierbare Probleme mit dem geplanten RHEL. Deren iSCSI Implementierung war einfach nicht gemäß der Spezifikation.

HP hat das eskaliert bis ins Board von Redhead. Ergebnis war: nein, das wird nicht gefixt, der Fix ist Teil der nächsten Major Release. Diese Release war aber nicht mit dem restlichen Zeug zertifiziert, das wir einsetzen wollten/mußten.

Zwei HP Developer haben den RH Treiber analysiert und wollten den Bug fixen. Arbeit Ca 2 Wochen. Da hat aber das Hp Headquarter Njet gesagt, weil sie als Integrator für das Ergebnis die Hand nicht ins Feuer legen wollten.

Ich hatte mit dem ganzen Scheixx 1 Monat Projektverzug.

Schlußendlich haben wir über NFS die Pizzaboxen versorgt.

Moral von der Geschichte: wenn du im professionellen Umfeld Linux einsetzt, hast du exakt die gleichen Probleme wie mit den anderen kommerziellen Betriebssystemen - wenn du auf professionellen Support angewiesen bist. Oder du machst dir alles selbst und kaufst dir Gurus. Was dann billiger ist, weiß nur Gott.

Mit freundlichen Grüßen Lukas

Re(4): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Mon, 21 Dec 2015 18:17:26 GMT

Weil Apple nicht übersll erzählt, ihre Software hätte weniger Fehler, weil sie closed ist.

Die OSS Fanboys hingegen erzählen überall, dass OSS sicherer ist, weil jeder den Quellcode prüfen kann. Wie man an diesem peinlichen Fehler sieht, stimmt das aber offensichtlich nicht.

Re(4): Wahnsinn, wie sicher Linux ist:

Fly — Mon, 21 Dec 2015 18:08:13 GMT

Du, da braucht's nur 'n Informatiker der grad viel Zeit hat, vielleicht nicht unbedingt von einem Erwerbseinkommen abhängig ist...

Sag mal, nur so gefragt, wie gut bist Du eigentlich so im Steine Bergaufrollen?

Re(3): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Mon, 21 Dec 2015 17:35:54 GMT

warum informierst du uns dann nie über Bugs bei Apple Software? zu berichten gäbe es ja auch genug ... aber lieber machst halt bashing über Sachen, die du gar nicht verwendest ... so sind halt die Apfel Fanboys

Re(11): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 17:22:42 GMT

PCI-DSS verlangt zB physische Trennung von Umgebungen. Das ist heutzutage in Rechenzentren kaum mehr üblich, da man ja mittlerweile alles virtualisiert (Netzwerk, Server, Storage...) und geshared hat.

Dazu hast du genaue need to know Prinzipien einzuhalten, was im Datenbankbetrieb enorm aufwendig ist. Normalerweise hat ja ein Admin alle Rechte. Jetzt mußt du über ausgefeiltes Logging jederzeit nachweisen, dass der Admin nur auf Sachen zugreift, auf die er muss.

Zum Punkt 6 kann ich nichts sagen. In unserem Fall geht es da um Standardsoftware, wo der Lieferant wiederum zertifiziert ist.

Mit freundlichen Grüßen Lukas

Re(2): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Mon, 21 Dec 2015 17:15:38 GMT

Ein Bug ist ein Bug, egal wer darüber informiert.

Aber wenn wir schon dabei sind, sollte man auch wissen, dass in diesem Forum OSS der heilige Gral der Softwareentwicklung ist und Kritik daran unerwünscht.

Re(2): Wahnsinn, wie sicher Linux ist:

_mukl_ — Mon, 21 Dec 2015 13:57:40 GMT

Du meinst das Windows, auf dem man sich jahrelang mit einer Tastenkombination am Login Screen eine CMD holen konnte und damit das Admin-Passwort zurücksetzen konnte? (Siehe auch Hack am Kontoauszugsdrucker der Deutschen Sparkasse letztens.)

Solche allgemeinen Aussagen sind doch sinnlos, weil die Anforderungsprofile so unterschiedlich sind wie es Betriebssysteme auf der Welt gibt.

Re(5): Wahnsinn, wie sicher Linux ist:

Lazy Jones — Mon, 21 Dec 2015 12:09:01 GMT

dass eine kommerzielle Firma schon aus reinem Eigennutzen hohe Ansprüche an
Codequalität und daher Reviews und Inspections hat. Die müssen den Code ja 20
Jahre pflegen.

Da machst du es dir zu einfach. An Linux hängt ein ganzer Rattenschwanz kommerzieller Firmen, denen so etwas massiv schadet. Reviews machen sie trotzdem keine. Das Problem ist die Qualität der Entwickler und die Sprache C.

Re(10): Wahnsinn, wie sicher Linux ist:

ChrisS — Mon, 21 Dec 2015 11:49:19 GMT

Bei der Infrastruktur sehe ich da jetzt nicht so das Problem, das sollte mMn. standard für alle Konzerne sein die kundenspezifische Daten speichern.

Interessant ist Punkt 6, da hätte ich gerne einige Praxisberichte wie das tatsächlich gehandhabt wird. Weil wie du bereits geschrieben hast kann niemand sämtlichen Code auditieren, deshalb muss man der Einhaltung von Prozessen vertrauen was gerade beim Thema Sicherheit sehr heikel ist.

Re(4): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 10:49:02 GMT

Die Leute verstehen nicht, dass eine kommerzielle Firma schon aus reinem Eigennutzen hohe Ansprüche an Codequalität und daher Reviews und Inspections hat. Die müssen den Code ja 20 Jahre pflegen.

Bei uns laufen noch COBOL Schinken, die älter sind.

Mit freundlichen Grüßen Lukas

Re(9): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Mon, 21 Dec 2015 08:55:36 GMT

Gemeinsam mit Polizei und Medizin gehört er zu den sichersten. Da er im Gegensatz zu den anderen aber global reglementiert ist, hat er wirklich beinharte Standards.

ZB PCI-DSS ist ein weltweiter Kartenstandard, der für Rechenzentren wirklich zach ist.

Mit freundlichen Grüßen Lukas

Re(3): Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Mon, 21 Dec 2015 08:28:29 GMT

man darf spekulieren, wie viele User überhaupt wissen, was EFI ist und was man dort machen kann! Ich behaupte aber mal, dass der Anteil unter Windows User prozentual gesehen höher ist, als derer unter Mac User

Re(8): Wahnsinn, wie sicher Linux ist:

ChrisS — Mon, 21 Dec 2015 08:19:40 GMT

Als ob der Bankensektor der Einzige ist der sicher sein muss..

Re(2): Wahnsinn, wie sicher Linux ist:

hhetl — Mon, 21 Dec 2015 07:43:53 GMT

Wenn dir das nicht passt, musst halt ein EFI Password setzen. Oder stand das nicht in deinem Computer-Bild-Artikel?

Re: Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Mon, 21 Dec 2015 07:37:19 GMT

du hast die übliche side note vergessen, dass bei Apple alles toll und wunderbar ist wie sollen Leute, die dich noch nicht kennen, sonst deinen Müll deuten können?

Re: Wahnsinn, wie sicher Linux ist:

-Transformer2K- — Mon, 21 Dec 2015 07:37:19 GMT

du hast die übliche side node vergessen, dass bei Apple alles toll und wunderbar ist wie sollen Leute, die dich noch nicht kennen, sonst deinen Müll deuten können?

Re(3): Wahnsinn, wie sicher Linux ist:

Lazy Jones — Mon, 21 Dec 2015 00:38:04 GMT

Der Hauptunterschied ist nicht, dass OSS sicher ist. Nur dass man sie
wenigstens auditieren KANN.

Und dass es kaum gemacht wird. Und dass der C-Code von miserabler Qualität ist.

Re(2): Wahnsinn, wie sicher Linux ist:

Lazy Jones — Mon, 21 Dec 2015 00:36:50 GMT

Super dann bist im bootloader!

... und kannst /bin/bash statt init laden usw.

Aber wer direkt am betroffenen Gerät sitzt kann idR ohnehin viel anstellen.

Re(11): Wahnsinn, wie sicher Linux ist:

Srv-02 — Mon, 21 Dec 2015 00:12:34 GMT

Re(7): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 21:35:29 GMT

Im Bankenumfeld gibt es gewisse Standards, die quasi volldurchgängig sind. Da wird Personal, Prozess, Dokumentation und implementierte Technologie auditiert.

Der ganze ISO Schmafu ist dagegen in den meisten Fällen nur ein Papier-Audit. Da wird geprüft, ob alles wohldokumentiert ist und obs für alles einen Schuldigen gibt. Das ist üblicherweise recht leicht zu erreichen.

Mit freundlichen Grüßen Lukas

Re(7): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 21:35:29 GMT

Im Bankenumfeld gibt es gewisse Standards, die quasi volldurchgängig sind. Da wird Personal, Prozess, Dokumentation und implementierte Technologie auditiert.

Mit freundlichen Grüßen Lukas

Re(6): Wahnsinn, wie sicher Linux ist:

ashley77 — Sun, 20 Dec 2015 21:29:05 GMT

Unser Kunden haben WIRKLICHE Security Auditoren, die uns als Lieferant
heftigst auditieren und die Finger ins Auge und andere Körperöffnungen
stecken...

also sooo viele audits hab ich auch noch nicht miterlebt - und zum glück (a) als unbetroffener dritter sowie (b) auch in ganz anderen bereichen.
ABER: dass auditoren dinge (nicht nur finger) in die (wunderschön zurechtgerichteten) zu auditierenden stecken - ganz sicher nicht nur in deren augen - und alles im übertragenen sinn natürlich, scheint mir da zur ganz trivialen normalität zu gehören.
und nach meiner bescheidenen erfahrung auch das immer-lächelnde aug (und popscherl) hinhalten des geauditiert-werdenden.

Re(6): Wahnsinn, wie sicher Linux ist:

ChrisS — Sun, 20 Dec 2015 21:06:19 GMT

Was sind denn unwirkliche Audits?

Re(10): Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 19:15:31 GMT

I call that absolute job security.

Re(5): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 19:01:18 GMT

Die Usability kannst du betragsmäßig abschätzen. Mehr Aufwand, mehr Geld.

Die Security leider nicht wirklich. Bei Kunden wie unseren ist aber sowohl in den technischen als auch organisatorischen Businessprozessen Security allerhöchste Prio. Dafür werden höhere Betriebskosten durchaus in Kauf genommen.

Unser Kunden haben WIRKLICHE Security Auditoren, die uns als Lieferant heftigst auditieren und die Finger ins Auge und andere Körperöffnungen stecken...

Mit freundlichen Grüßen Lukas

Re(4): Wahnsinn, wie sicher Linux ist:

ChrisS — Sun, 20 Dec 2015 18:54:06 GMT

Nein, einfacher wird es erst wenn du in einer Ecke bist wo du entweder keine Usability oder keine Sicherheit mehr hast.

Re(9): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 18:41:55 GMT

Pruhahaha

Bitte aufpassen. Du bekommst 4 mal jährlich auch noch große Patches dazu, die du integrieren mußt!

Und dann gibts über dem OS noch den ganzen Java Müll, die Datenbanken, die Webserver oder noch weitere auskodierte Anwendungen.

Ich würde sagen, ein normaler Server besteht aus 500 Mio LOC.

Da kann man lange lesen...

Mit freundlichen Grüßen Lukas

Re(3): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 18:37:46 GMT

Aus unserer Sicht hat Security deutliche Priorität. Das macht es etwas einfacher.

Mit freundlichen Grüßen Lukas

Re(8): Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 18:19:23 GMT

In kleinen Schritten, ja.

Re(7): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 17:56:07 GMT

Deine Firma auditiert 50 Mio LOC!

ROFL

Mit freundlichen Grüßen LUKAS

Re(6): Wahnsinn, wie sicher Linux ist:

Srv-02 — Sun, 20 Dec 2015 16:59:28 GMT

Reden wir weiter nach dem ersten Bitlocker Audit? Für das es vor ein paar Wochen ein unglaubliches POC für eine Umgehung gegeben hat.

Re(6): Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 15:44:34 GMT

Ok, dann sind wir mal nicht in der gleichen Bude beschäftigt, weil so 'ne Aussage würden wir uns nicht trauen abzulassen...

Re(2): Wahnsinn, wie sicher Linux ist:

ChrisS — Sun, 20 Dec 2015 15:36:39 GMT

Meine white hat Hacker versichern mir, dass aktuell ein simples Windoof den
höchsten Securitystandard aller Plattformen ermöglicht - wenn man es richtig
parametriert.

Solche Aussagen sind sehr gewagt. Ich bin jemand der versucht beide Welten bestmöglich zu nutzen und eines habe ich gelernt, nämlich, dass ich solche versprechen niemals geben würde, weder für das Eine noch für das Andere.

Ein System "richtig" zu parametrieren ist ein Aberglaube, denn dabei gilt es immer zwischen Sicherheit und Benutzbarkeit abzuwägen. Jeder der etwas anderes behauptet ist leider auf die Indoktrinierung einer der beiden Seiten reingefallen.

Re(4): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Sun, 20 Dec 2015 15:26:16 GMT

Da hast du Recht und kriegst Grün von mir

Re(3): Wahnsinn, wie sicher Linux ist:

ChrisS — Sun, 20 Dec 2015 15:22:30 GMT

Ich will gar nicht wissen, was da noch für aberwitzige Bugs in OSS sind, die
keiner findet, weil keiner sucht.

Doch willst du, und du würdest jeden Einzelnen hier posten.

Re(3): Wahnsinn, wie sicher Linux ist:

ChrisS — Sun, 20 Dec 2015 15:22:30 GMT

Ich will gar nicht wissen, was da noch für aberwitzige Bugs in OSS sind, die
keiner findet, weil keiner sucht.

Doch willst du, und du würdest jeden einzelnen hier posten.

Re(2): Wahnsinn, wie sicher Linux ist:

kaufinator1 — Sun, 20 Dec 2015 15:19:39 GMT

Es zeigt einfach, dass nur durch Offenlegung von Sourcecode keinerlei
Sicherheit gewonnen ist.

Das ist ganz genau meine Meinung. Nur weil der Code einsehbar ist, ist OSS noch lange nicht sicherer. Es gibt nämlich kaum jemanden, der sich (ohne Bezahlung) die Arbeit macht und den Code auditiert.

Ich will gar nicht wissen, was da noch für aberwitzige Bugs in OSS sind, die keiner findet, weil keiner sucht.

Re(2): Wahnsinn, wie sicher Linux ist:

TuxTux — Sun, 20 Dec 2015 14:57:37 GMT

Das sind halt die Leute die Gadget Seiten lesen, weil sie sich dann wie die größten Hacker fühlen und das in ihrem WindowsXP Freundeskreis weitererzählen können.

Re(5): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 14:38:32 GMT

Uns ist es sehr wichtig und wir haben sogar 5-10 Mitarbeiter, die sich ausschließlich um die IT Security unserer Systeme und der unserer Kunden kümmern. Aber keiner auf der Welt, vielleicht mit Ausnahme der NSA, hat die Kohle, das vollständig zu betreiben.

Daher muss die Lösung irgendwie anders funktionieren. Es muss Security By Design geben. Und in dem Bereich ist MS laut meinen Experten derzeit Marktführer.

Mit freundlichen Grüßen Lukas

Re(4): Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 14:16:29 GMT

Nimm Geld in die Hand, fällt Audit raus. Wenn's Dir wichtig ist, auditier's. Die EINZIGE Ausrede bei OSS ist nunmal, dass es scheinbar niemandem wichtig genug ist.

Re(3): Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 14:01:43 GMT

Was nützt es effektiv, wenn ich etwas auditieren KÖNNTE, wenn es offensichtlich 6 Jahre lang keiner in der Realität TUT?

Was nützen Millionen von auditierbaren LOC, wenn kein Mensch auf der Welt die Zeit und das Geld hat, dieses sinnstiftender zu reviewen?

Mit freundlichen Grüßen Lukas

Re(2): Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 12:32:42 GMT

OSS ist nicht automatisch sicher, klarerweise muss jemand den Code auditieren um festzustellen ob bugs drin sind.

Der Hauptunterschied ist nicht, dass OSS sicher ist. Nur dass man sie wenigstens auditieren KANN.

Re(2): Wahnsinn, wie sicher Linux ist: Bitte um erklärung

Fly — Sun, 20 Dec 2015 12:30:54 GMT

Klassischer Buffer-underrun. Ist grad der FotM, da gibt's entsprechend grad viel dazu.

Re(2): Wahnsinn, wie sicher Linux ist: Bitte um erklärung

Srv-02 — Sun, 20 Dec 2015 12:02:33 GMT

Zufall oder man sucht gezielt danach im Source z.B. Fuzzing. Auf dem Bereich hat ein Wiener die letzten 1-2 Jahre fett was weitergebracht.

Re(2): Wahnsinn, wie sicher Linux ist:

Srv-02 — Sun, 20 Dec 2015 12:00:36 GMT

Bitte, warum bleibst du nicht bei den Dingen von denen du eine Ahnung hast?

Das ist ein BUG und kein Backdoor und die gibts auf ALLEN Plattformen! Deine so selbsternannten "Hacker" kannst übrigens kübeln, denn auf Windows 10 und Konsorten brauchst bei den Behörden nicht auf der Tackn stehn und glauben dass keiner Zugriff auf deine Daten hat.

Re: Wahnsinn, wie sicher Linux ist:

Paulas_Papa — Sun, 20 Dec 2015 11:27:35 GMT

Man ersetze das Wort Linux durch Win 10 und stelle sich dann den nachfolgenden Thread vor!

Es zeigt einfach, dass nur durch Offenlegung von Sourcecode keinerlei Sicherheit gewonnen ist. Der Patschen ist vor 6 Jahren eingebracht worden.

Meine white hat Hacker versichern mir, dass aktuell ein simples Windoof den höchsten Securitystandard aller Plattformen ermöglicht - wenn man es richtig parametriert.

Mit freundlichen Grüßen Lukas

Re: Wahnsinn, wie sicher Linux ist:

A national Acrobat — Sun, 20 Dec 2015 11:18:45 GMT

Super dann bist im bootloader!

Wahnsinn, wie unwissend Du bist =)

Re: Wahnsinn, wie sicher Linux ist: Bitte um erklärung

Newbie007 — Sun, 20 Dec 2015 11:10:00 GMT

Als Semi DAU
Wie kommt man auf solche Ideen das überhaupt auszuprobieren?
Hm heute hab ich Lust 28x auf Backspace zu hämmern?

Re(2): Wahnsinn, wie sicher Linux ist:

Srv-02 — Sun, 20 Dec 2015 11:07:40 GMT

Sagen wir Freitag bis die meisten POC da sind.

Re: Wahnsinn, wie sicher Linux ist:

Glockman — Sun, 20 Dec 2015 11:02:35 GMT

Wie war das nochmal mit der Single User Root-Shell, die Du auf JEDEM Mac mit einer simplen, dokumentierten(!) Tastenkombination aufkriegst, um das root-Passwort resetten zu können oder sonstigen Blödsinn damit anzustellen?

Re: Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 07:32:20 GMT

Geh. Bitte. Ich wusste nicht dass wir hier Sicherheitslöcher posten sollen, sonst wär hier jeden 2. Mittwoch im Monat mal eben das Board unter Wasser...

Und da geht's üblicherweise um mehr als "ja, wennst die Kiste vor Dir hast und das Ding neu starten kannst ohne dass es wem auffällt und wenn Du eine Tastatur angesteckt hast und die Bootmaschinerie nicht auf Autopilot ist..."

Re: Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 07:32:20 GMT

Geh. Bitte. Ich wusste nicht dass wir hier Sicherheitslöcher posten sollen, sonst wär hier jeden 2. Mittwoch im Monat mal eben das Board unter Wasser...

Re: Wahnsinn, wie sicher Linux ist:

Fly — Sun, 20 Dec 2015 07:32:20 GMT

Re: Wahnsinn, wie sicher Linux ist:

Srv-02 — Sat, 19 Dec 2015 23:34:44 GMT

Wahnsinn wie schnell du bist, ist auch schon ein paar Tage alt. Es gab genug Login Screen Exploits auf anderen Plattformen.

Re: Wahnsinn, wie sicher Linux ist:

ChrisS — Sat, 19 Dec 2015 23:20:32 GMT

Geht dir jetzt einer ab?

The bug isn't a huge threat -- I mean, a hacker would need physical access to your machine in order to exploit it -- especially now that Ubuntu, Red Hat, and Debian all have released patches.

Wahnsinn, wie sicher Linux ist:

kaufinator1 — Sat, 19 Dec 2015 22:44:27 GMT

http://www.engadget.com/2015/12/18/log-into-most-any-linux-system-by-hitting-backspace-28-times/

Security researchers have discovered a ludicrously simple way to hack into a number of Linux distributions: Just tap the backspace key 28 times in a row.