Wahnsinn, wie sicher Linux ist:

Impressum | Werbung

Geizhals » Forum » Linux-Support »

Wahnsinn, wie sicher Linux ist: (123 Beiträge, 3487 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

http://www.engadget.com/2015/12/18/log-into-most-any-linux-system-by-hitting-backspace-28-times/

Security researchers have discovered a ludicrously simple way to hack into a number of Linux distributions: Just tap the backspace key 28 times in a row.

Geht dir jetzt einer ab?

The bug isn't a huge threat -- I mean, a hacker would need physical access to your machine in order to exploit it -- especially now that Ubuntu, Red Hat, and Debian all have released patches.

Wahnsinn wie schnell du bist, ist auch schon ein paar Tage alt. Es gab genug Login Screen Exploits auf anderen Plattformen.

LG Mike

Geh. Bitte. Ich wusste nicht dass wir hier Sicherheitslöcher posten sollen, sonst wär hier jeden 2. Mittwoch im Monat mal eben das Board unter Wasser...

Und da geht's üblicherweise um mehr als "ja, wennst die Kiste vor Dir hast und das Ding neu starten kannst ohne dass es wem auffällt und wenn Du eine Tastatur angesteckt hast und die Bootmaschinerie nicht auf Autopilot ist..."

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

20.12.2015, 08:34 Uhr - Editiert von Fly, alte Version: hier

Sagen wir Freitag bis die meisten POC da sind.

LG Mike

Wie war das nochmal mit der Single User Root-Shell, die Du auf JEDEM Mac mit einer simplen, dokumentierten(!) Tastenkombination aufkriegst, um das root-Passwort resetten zu können oder sonstigen Blödsinn damit anzustellen?

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

When the inventor of the USB stick dies they’ll gently lower the coffin, then pull it back up, turn it the other way, then lower it again.

Wenn dir das nicht passt, musst halt ein EFI Password setzen. Oder stand das nicht in deinem Computer-Bild-Artikel?

man darf spekulieren, wie viele User überhaupt wissen, was EFI ist und was man dort machen kann! Ich behaupte aber mal, dass der Anteil unter Windows User prozentual gesehen höher ist, als derer unter Mac User

-----------------

Also in MEINEM Computer-Bild-Artikel stand, dass (U)EFI bis auf die Unterstützung beim Booten absolut NICHTS mit dem OS dahinter zu tun hat... dieser Absatz scheint in Deiner Ausgabe leider gefehlt zu haben.

Es ging hier um die Sicherheit des OS als solches, nicht, wie man Sicherheit VOR dem OS behandelt.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

When the inventor of the USB stick dies they’ll gently lower the coffin, then pull it back up, turn it the other way, then lower it again.

Das OS ist auch sicher. Der Bootvorgang passiert logischerweise, bevor das OS geladen ist - und den sichert man eben mittels EFI Password ab, wenn man den Rechner auch gegen Menschen absichern will, die physischen Zugang zur Hardware haben.

OK, dann scheine ich mich leider nicht ganz klar ausgedrückt zu haben...

Die entdeckte Lücke für Linux sitzt im Bootloader (Grub2), ist also weder ein Kernel- noch ein OS-Problem. Das ist ein ganz klassischer Bug.

Bei Apple ist Command-S ebenfalls im Bootloader implementiert, aber im Gegensatz zu Grub2 kein Bug sondern ein "Feature".

Da jetzt laut "Linux ist unsicher!" zu rufen, wenn man selbst auf genau dem Selben Pulverfass sitzt, ist einfach nur... aber naja, was Anderes würde man von sog. Apple-Jüngern auch nicht erwarten.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

When the inventor of the USB stick dies they’ll gently lower the coffin, then pull it back up, turn it the other way, then lower it again.

Als Semi DAU
Wie kommt man auf solche Ideen das überhaupt auszuprobieren?
Hm heute hab ich Lust 28x auf Backspace zu hämmern?

__________________________________________________________________________________

Zufall oder man sucht gezielt danach im Source z.B. Fuzzing. Auf dem Bereich hat ein Wiener die letzten 1-2 Jahre fett was weitergebracht.

LG Mike

Klassischer Buffer-underrun. Ist grad der FotM, da gibt's entsprechend grad viel dazu.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Super dann bist im bootloader!

Wahnsinn, wie unwissend Du bist =)
"I am serious. And don't call me Shirley."

Das sind halt die Leute die Gadget Seiten lesen, weil sie sich dann wie die größten Hacker fühlen und das in ihrem WindowsXP Freundeskreis weitererzählen können.

Super dann bist im bootloader!

... und kannst /bin/bash statt init laden usw.

Aber wer direkt am betroffenen Gerät sitzt kann idR ohnehin viel anstellen.

Du kannst gerne einen Laptop von uns haben.

Ohne Chipcard wird er dir wenig Freude bereiten.

Mit freundlichen Grüßen Lukas

Dir ist hoffentlich schon klar, dass ein Login per Smartcard erst auf einer viel späteren Ebene einsetzt, als der Zugriff auf Bootloader und Hardware.

Mit BIOS Password, Festplattenverschlüsselung und TPM samt signiertem Bootloader ist es zwar möglich ein System zu bauen, in das aus dem ausgeschaltenem Zustand niemand sich Zugriff verschaffen kann, allerdings bedeutet das dann auch, dass bei defekt des Betriebsystems, alle Daten seit dem letzten Backup unwiederbringlich sind.

Teufel mit dem Beelzebuben austreiben nennt man so eine Strategie dann wohl.

Du beschreibst unsere Lösung.

Das Backup erfolgt automatisch, sobald der User Online ist. Eigenes Utility, das diverse definierte Verzeichnisbäume zentral sichert.

Wenn er den Laptop zerstört, bekommt er, unterstützt vom Helpdesk, eine bare Metal Installation im LAN, auf die dann seine Daten aus dem Backup aufgebracht werden.

Mit freundlichen Grüßen Lukas

allerdings bedeutet das dann auch, dass bei defekt des Betriebsystems, alle
Daten seit dem letzten Backup unwiederbringlich sind.

Das ist ja wohl der Sinn der Sache!

LG Mike

... und kannst /bin/bash statt init laden usw.

Warum so unbequem ? Ich kann einen Stick mitnehmen und dort mein System laden, oder einfach die HDDs ausbauen.. Also lächerlich einfach

"I am serious. And don't call me Shirley."

Ich kann einen Stick mitnehmen und dort mein System laden, oder einfach die
HDDs ausbauen..

Mit BIOS-Passwort und nativ verschlüsselter HDD nicht so leicht.

Mit BIOS-Passwort und nativ verschlüsselter HDD nicht so leicht.

Das BIOS Pwd lässt sich ja leicht umgehen, wenn ich schonmal phys. anwesend bin.

Ja nativ verschlüsselte HDD ist die einzige Sicherheit da drin, ansonsten ists relativ egal ob ich im GRUB ein pwd hab oder im BIOS. Bei den meisten Distris is ja auch GRUB so konfiguriert das ich sogar die Kernelparameter ändern kann, also braucht man sich da überhaupt ned soviel Arbeit antun, wenn man was anderes laden will.

"I am serious. And don't call me Shirley."

Ja, im Normalfall ist das eh wurscht.
Wenn man aber ein gesichertes System mit TPM haben will, ist das natürlich peinlich.

Für alle jedoch die kein BIOS Passwort gesetzt haben, und das dürften wohl 99,99999% aller Fälle sein, ist das schlichtweg irrelevant.

Wenn man aber ein gesichertes System mit TPM haben will, ist das natürlich
peinlich.

Bringt dir auch nix wennst übers BIOS andere Bootreihenfolge etc. einstellen kannst, oder - da du ja phys. Zugang haben mußt - einfach die Platten ausbaust ?

"I am serious. And don't call me Shirley."

Man ersetze das Wort Linux durch Win 10 und stelle sich dann den nachfolgenden Thread vor!

Es zeigt einfach, dass nur durch Offenlegung von Sourcecode keinerlei Sicherheit gewonnen ist. Der Patschen ist vor 6 Jahren eingebracht worden.

Meine white hat Hacker versichern mir, dass aktuell ein simples Windoof den höchsten Securitystandard aller Plattformen ermöglicht - wenn man es richtig parametriert.

Mit freundlichen Grüßen Lukas

Bitte, warum bleibst du nicht bei den Dingen von denen du eine Ahnung hast?

Das ist ein BUG und kein Backdoor und die gibts auf ALLEN Plattformen! Deine so selbsternannten "Hacker" kannst übrigens kübeln, denn auf Windows 10 und Konsorten brauchst bei den Behörden nicht auf der Tackn stehn und glauben dass keiner Zugriff auf deine Daten hat.

LG Mike

Hihi... 100% agree

lg,

Eliot

"640kb ought to be enough for anyone."
"We will never make a 32-bit operating system, but I'll always love IBM."

[x] privat

OSS ist nicht automatisch sicher, klarerweise muss jemand den Code auditieren um festzustellen ob bugs drin sind.

Der Hauptunterschied ist nicht, dass OSS sicher ist. Nur dass man sie wenigstens auditieren KANN.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Was nützt es effektiv, wenn ich etwas auditieren KÖNNTE, wenn es offensichtlich 6 Jahre lang keiner in der Realität TUT?

Was nützen Millionen von auditierbaren LOC, wenn kein Mensch auf der Welt die Zeit und das Geld hat, dieses sinnstiftender zu reviewen?

Mit freundlichen Grüßen Lukas

Nimm Geld in die Hand, fällt Audit raus. Wenn's Dir wichtig ist, auditier's. Die EINZIGE Ausrede bei OSS ist nunmal, dass es scheinbar niemandem wichtig genug ist.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Uns ist es sehr wichtig und wir haben sogar 5-10 Mitarbeiter, die sich ausschließlich um die IT Security unserer Systeme und der unserer Kunden kümmern. Aber keiner auf der Welt, vielleicht mit Ausnahme der NSA, hat die Kohle, das vollständig zu betreiben.

Daher muss die Lösung irgendwie anders funktionieren. Es muss Security By Design geben. Und in dem Bereich ist MS laut meinen Experten derzeit Marktführer.

Mit freundlichen Grüßen Lukas

Ok, dann sind wir mal nicht in der gleichen Bude beschäftigt, weil so 'ne Aussage würden wir uns nicht trauen abzulassen...

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Deine Firma auditiert 50 Mio LOC!

ROFL

Mit freundlichen Grüßen LUKAS

In kleinen Schritten, ja.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Pruhahaha

Bitte aufpassen. Du bekommst 4 mal jährlich auch noch große Patches dazu, die du integrieren mußt!

Und dann gibts über dem OS noch den ganzen Java Müll, die Datenbanken, die Webserver oder noch weitere auskodierte Anwendungen.

Ich würde sagen, ein normaler Server besteht aus 500 Mio LOC.

Da kann man lange lesen...

Mit freundlichen Grüßen Lukas

I call that absolute job security.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

LG Mike

Reden wir weiter nach dem ersten Bitlocker Audit? Für das es vor ein paar Wochen ein unglaubliches POC für eine Umgehung gegeben hat.

LG Mike

Daher muss die Lösung irgendwie anders funktionieren. Es muss Security By
Design geben. Und in dem Bereich ist MS laut meinen Experten derzeit
Marktführer.

Tut mir leid, aber das ist ganz und gar nicht so.

Die gesamte Grafik API in den Kernel zu packen ist Wahnsinn per Design und nicht Sicherheit.

Ich kann nur wiedergeben, was Leute, die viel Geld damit verdienen, mir erklären.

Laut meinen Experten investiert MS Millionen in die Security seiner Plattform. Damit liegen Sie technologisch um Größenordnungen vor den diversen Unix Derivaten.

Natürlich schützt das nicht generell vor Fehlern. Und es löst nicht die Legacy-Probleme, die eine Plattform hat.

Aber es ist eine solide Basis.

mfg Lukas

Laut meinen Experten investiert MS Millionen in die Security seiner Plattform.
Damit liegen Sie technologisch um Größenordnungen vor den diversen Unix
Derivaten.

Das ist in dieser Ausführung nicht richtig.

Tatsache ist, dass Windows konzeptionell 20 Jahre jünger ist als Unix.
Das hat Vor und Nachteile.
Hauptvorteil ist das sehr granulare Rechtesystem, das Windows mitbringt. Da ist das alte UGO Modell von IX natürlich extrem legacy und für große Strukturen mit mehr als ein paar hundert Usern recht mühsam.

Andererseits ist das Granulare Konzept mit dem AGDLP Prinzip dem nebeneinander von Allow und Deny Rechten die unendliche Ausplittung von Windows durchaus verwirrend und fehlerfördernd.

Trotzdem würde man heute ein Berechtigungssystem eher nach dem Microsoft Prinzip aufsetzen. Einfach 20 Jahre moderner.

Die Grafik API hingegen in den Kernel Space zu packen war und bleibt Wahnsinn und ist die Ursache für die meisten BSODs unter Windows.

Bei typischen Sicherheitstechnologien, wie Pufferüberlaufschutz hingegen ist und bleibt die Unixwelt führend.
Canaries z.B. die vor Überschreiben von Variablen am Stack schützen und so die berühmten NOOP Rutschen verunmöglichen gibt es bei IX schon 5 Jahre länger als bei Microsoft. Noch um 2 Jahre früher dran war Linux bei der Adress Space randomisation (ASLR).

Was Microsoft wirklich gut kann, ist Ideen klauen, ihnen einen letzten Schliff verleihen und als eigene verkaufen. Das macht sie auch so unsympathisch.

Technologisch sind die Systeme jedenfalls durchaus ebenbürtig. Sie haben aber alle das Problem einer langen Geschichte, die oft zur Last wird.

yes

lg,

Eliot

"640kb ought to be enough for anyone."
"We will never make a 32-bit operating system, but I'll always love IBM."

[x] privat

Der Hauptunterschied ist nicht, dass OSS sicher ist. Nur dass man sie
wenigstens auditieren KANN.

Und dass es kaum gemacht wird. Und dass der C-Code von miserabler Qualität ist.

Die Leute verstehen nicht, dass eine kommerzielle Firma schon aus reinem Eigennutzen hohe Ansprüche an Codequalität und daher Reviews und Inspections hat. Die müssen den Code ja 20 Jahre pflegen.

Bei uns laufen noch COBOL Schinken, die älter sind.

Mit freundlichen Grüßen Lukas

dass eine kommerzielle Firma schon aus reinem Eigennutzen hohe Ansprüche an
Codequalität und daher Reviews und Inspections hat. Die müssen den Code ja 20
Jahre pflegen.

Da machst du es dir zu einfach. An Linux hängt ein ganzer Rattenschwanz kommerzieller Firmen, denen so etwas massiv schadet. Reviews machen sie trotzdem keine. Das Problem ist die Qualität der Entwickler und die Sprache C.

Linux und kommerziell...

Ich habe vor einigen Jahren ein Infrastrukturprojekt geleitet, was drum ging, einige wirklich große HP-UX Backend Server mit massiven Storage Systemen und viele Frontendserver auf Linuxbasis zu einer großen 3-Tier Plattform aufzubauen.

Idee war, dass die Linuxboxen Diskless sind und ihr Filesystem über iSCSI bekommen.

Leider gab es reproduzierbare Probleme mit dem geplanten RHEL. Deren iSCSI Implementierung war einfach nicht gemäß der Spezifikation.

HP hat das eskaliert bis ins Board von Redhead. Ergebnis war: nein, das wird nicht gefixt, der Fix ist Teil der nächsten Major Release. Diese Release war aber nicht mit dem restlichen Zeug zertifiziert, das wir einsetzen wollten/mußten.

Zwei HP Developer haben den RH Treiber analysiert und wollten den Bug fixen. Arbeit Ca 2 Wochen. Da hat aber das Hp Headquarter Njet gesagt, weil sie als Integrator für das Ergebnis die Hand nicht ins Feuer legen wollten.

Ich hatte mit dem ganzen Scheixx 1 Monat Projektverzug.

Schlußendlich haben wir über NFS die Pizzaboxen versorgt.

Moral von der Geschichte: wenn du im professionellen Umfeld Linux einsetzt, hast du exakt die gleichen Probleme wie mit den anderen kommerziellen Betriebssystemen - wenn du auf professionellen Support angewiesen bist. Oder du machst dir alles selbst und kaufst dir Gurus. Was dann billiger ist, weiß nur Gott.

Mit freundlichen Grüßen Lukas

Du, da braucht's nur 'n Informatiker der grad viel Zeit hat, vielleicht nicht unbedingt von einem Erwerbseinkommen abhängig ist...

Sag mal, nur so gefragt, wie gut bist Du eigentlich so im Steine Bergaufrollen?

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Sag mal, nur so gefragt, wie gut bist Du eigentlich so im Steine
Bergaufrollen?

Kann mir eine bessere Beschäftigung vorstellen... Aber der fefe macht das ja beruflich.

Nichteinmal das sehe ich als wesentlich.
Sondern, dass man jeden Bug jederzeit fixen darf ohne lange um Erlaubnis fragen zu müssen.

So waren auch in diesem Fall bei den großen Distris die Patches wieder vor Veröffentlichung des CVE heraussen.

Bei Windows hat es schon öfters bis mehrere Wochen nach Veröffentlichung der Exploits gedauert. 'Und bei ADOBE ist das sogar Gang und Gäbe.

MS zieht derzeit bei 0days extrem schnell nach.

LG Mike

Nur teilweise... Und dann kommen Patches die etwas anderes ruinieren

lg,

Eliot

"640kb ought to be enough for anyone."
"We will never make a 32-bit operating system, but I'll always love IBM."

[x] privat

Es zeigt einfach, dass nur durch Offenlegung von Sourcecode keinerlei
Sicherheit gewonnen ist.

Das ist ganz genau meine Meinung. Nur weil der Code einsehbar ist, ist OSS noch lange nicht sicherer. Es gibt nämlich kaum jemanden, der sich (ohne Bezahlung) die Arbeit macht und den Code auditiert.

Ich will gar nicht wissen, was da noch für aberwitzige Bugs in OSS sind, die keiner findet, weil keiner sucht.

Ich will gar nicht wissen, was da noch für aberwitzige Bugs in OSS sind, die
keiner findet, weil keiner sucht.

Doch willst du, und du würdest jeden Einzelnen hier posten.

20.12.2015, 16:22 Uhr - Editiert von ChrisS, alte Version: hier

Da hast du Recht und kriegst Grün von mir

Es gibt nämlich kaum jemanden, der sich (ohne Bezahlung) die Arbeit macht und
den Code auditiert.

Doch, da gibt es einige... Studenten mancher Studienrichtungen müssen im Rahmen ihrer Ausbildung Bugs finden und Exploits dafür schreiben... Beispielsweise bei dem:
https://www.fh-ooe.at/campus-hagenberg/studiengaenge/master/sichere-informationssysteme/

Das sind halt viel zu wenige. Andersrum: Bei Closed Source sieht es da noch schwieriger aus.

----------------------------------------------------------------------------------

Wenn man sich wundert, warum ich die Aussagen mancher Deppen komplett ignoriere...
... diese Armlöcher sind geplonkt - die lese ich nicht einmal.

Andersrum: Bei Closed Source sieht es da noch schwieriger aus.

Andersrum: Bei Closed Source haben es die "bösen" und die "guten" gleich schwer. Bei Opensource haben es beide gleich "leicht".

Insgesamt bin ich davon überzeugt, dass der Code von closed Source Software besser ist, weil die Programmierer bezahlt werden und den Unternehmen eine Haftung droht, wenn sie grobe Fehler machen. Da steckt eine ganz andere Motivation dahinter.

Andersrum: Bei Closed Source haben es die "bösen" und die "guten" gleich
schwer. Bei Opensource haben es beide gleich "leicht".

Außer Streit.

und den Unternehmen eine Haftung droht, wenn sie grobe Fehler machen

Dann hätten viele SW-Hersteller schon seeehr schlimme Urteile gegen sich. Stattdessen gibt es die EULA, wo die Unternehmen sich reinwaschen... Und ausserdem steht ja sogar bei den iTunes-Bedingungen dabei, dass man die SW nicht für kritische Sachen verwenden darf:

You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture, or production of nuclear, missile, or chemical or biological weapons.

Zurück zum Punkt "Gute und Böse haben es gleich leicht": Die Frage ist, wovon es mehr gibt. Zumindest bei den Guten werden viele von Unis, FHs, ... motiviert.
----------------------------------------------------------------------------------

Wenn man sich wundert, warum ich die Aussagen mancher Deppen komplett ignoriere...
... diese Armlöcher sind geplonkt - die lese ich nicht einmal.

Nur weil es Open Source ist, heißt es nicht dass die Entwickler nicht bezahlt werden. Wenn ich mir die Infosec Szene so ansehe dann sind hier genug Leute am werkwn die mehr Ahnung als die Entwickler als solches haben. Du vergisst eins nämlich, nicht jeder Programmierer hat was mit Security am Hut, eigentlich die wenigsten!

Die bösen Jungs haben aber auch Zugriff auf closed Source und nutzen das voll aus, siehe Behörden aus den USA oder UK.

LG Mike

Dann lies mal die Linux Kernel Listen...
Dort gibt es Code-Reviews bevor es überhaupt in den Kernel eingepflegt wird.
Also bitte nichts verallgemeinen....

lg,

Eliot

"640kb ought to be enough for anyone."
"We will never make a 32-bit operating system, but I'll always love IBM."

[x] privat

Meine white hat Hacker versichern mir, dass aktuell ein simples Windoof den
höchsten Securitystandard aller Plattformen ermöglicht - wenn man es richtig
parametriert.

Solche Aussagen sind sehr gewagt. Ich bin jemand der versucht beide Welten bestmöglich zu nutzen und eines habe ich gelernt, nämlich, dass ich solche versprechen niemals geben würde, weder für das Eine noch für das Andere.

Ein System "richtig" zu parametrieren ist ein Aberglaube, denn dabei gilt es immer zwischen Sicherheit und Benutzbarkeit abzuwägen. Jeder der etwas anderes behauptet ist leider auf die Indoktrinierung einer der beiden Seiten reingefallen.

Aus unserer Sicht hat Security deutliche Priorität. Das macht es etwas einfacher.

Mit freundlichen Grüßen Lukas

Nein, einfacher wird es erst wenn du in einer Ecke bist wo du entweder keine Usability oder keine Sicherheit mehr hast.

Die Usability kannst du betragsmäßig abschätzen. Mehr Aufwand, mehr Geld.

Die Security leider nicht wirklich. Bei Kunden wie unseren ist aber sowohl in den technischen als auch organisatorischen Businessprozessen Security allerhöchste Prio. Dafür werden höhere Betriebskosten durchaus in Kauf genommen.

Unser Kunden haben WIRKLICHE Security Auditoren, die uns als Lieferant heftigst auditieren und die Finger ins Auge und andere Körperöffnungen stecken...

Mit freundlichen Grüßen Lukas

Was sind denn unwirkliche Audits?

Im Bankenumfeld gibt es gewisse Standards, die quasi volldurchgängig sind. Da wird Personal, Prozess, Dokumentation und implementierte Technologie auditiert.

Der ganze ISO Schmafu ist dagegen in den meisten Fällen nur ein Papier-Audit. Da wird geprüft, ob alles wohldokumentiert ist und obs für alles einen Schuldigen gibt. Das ist üblicherweise recht leicht zu erreichen.

Mit freundlichen Grüßen Lukas

20.12.2015, 22:40 Uhr - Editiert von Paulas_Papa, alte Version: hier

Als ob der Bankensektor der Einzige ist der sicher sein muss..

Gemeinsam mit Polizei und Medizin gehört er zu den sichersten. Da er im Gegensatz zu den anderen aber global reglementiert ist, hat er wirklich beinharte Standards.

ZB PCI-DSS ist ein weltweiter Kartenstandard, der für Rechenzentren wirklich zach ist.

Mit freundlichen Grüßen Lukas

Bei der Infrastruktur sehe ich da jetzt nicht so das Problem, das sollte mMn. standard für alle Konzerne sein die kundenspezifische Daten speichern.

Interessant ist Punkt 6, da hätte ich gerne einige Praxisberichte wie das tatsächlich gehandhabt wird. Weil wie du bereits geschrieben hast kann niemand sämtlichen Code auditieren, deshalb muss man der Einhaltung von Prozessen vertrauen was gerade beim Thema Sicherheit sehr heikel ist.

PCI-DSS verlangt zB physische Trennung von Umgebungen. Das ist heutzutage in Rechenzentren kaum mehr üblich, da man ja mittlerweile alles virtualisiert (Netzwerk, Server, Storage...) und geshared hat.

Dazu hast du genaue need to know Prinzipien einzuhalten, was im Datenbankbetrieb enorm aufwendig ist. Normalerweise hat ja ein Admin alle Rechte. Jetzt mußt du über ausgefeiltes Logging jederzeit nachweisen, dass der Admin nur auf Sachen zugreift, auf die er muss.

Zum Punkt 6 kann ich nichts sagen. In unserem Fall geht es da um Standardsoftware, wo der Lieferant wiederum zertifiziert ist.

Mit freundlichen Grüßen Lukas

PCI-DSS verlangt zB physische Trennung von Umgebungen. Das ist heutzutage in
Rechenzentren kaum mehr üblich, da man ja mittlerweile alles
virtualisiert (Netzwerk, Server, Storage...) und geshared hat.

Dass diese Techniken nicht an die Sicherheit einer physische Trennung rankommen ist aber klar, aber VLANs per se sind nicht per Default verboten, zumindest lese ich das so aus den Spezifikationen. Auch virtuelles Hosting wird nicht ausgeschlossen, es gilt aber auch hier ganz bestimmte Regeln einzuhalten. Auch das finde ich sehr gut.

Dazu hast du genaue need to know Prinzipien einzuhalten, was im
Datenbankbetrieb enorm aufwendig ist. Normalerweise hat ja ein Admin alle
Rechte. Jetzt mußt du über ausgefeiltes Logging jederzeit nachweisen, dass der
Admin nur auf Sachen zugreift, auf die er muss.

Man sollte hierbei eher präventiv vorgehen, also zumindest ein Vier-Augen-Prinzip für admininistrative Tätigkeiten. Das Logging hilft ja nicht einen eventuellen Schaden zu verhindern, sondern nur um im Nachhinein auf jemanden mit dem Finger zeigen zu können.

Kartensysteme sind WIRKLICH 7x24. Wenn du da für jeden betrieblichen Task gleichzeitig 2 Mitarbeiter vom Fach parat haben mußt, um 4 Augen Prinzipien durchzuziehen, geht das ganz schön ins Geld.

Bezüglich physischer Separation war ich genau deiner Meinung und wurde von der Rechtsabteilung eines Besseren belehrt. Alleine diese Anforderung hat die Lösungskosten fast verdoppelt.

Das Problem dabei ist, dass sich im Fall von geshartem Equipment die PCI Prozesse plötzlich auf ALLE darauf befindlichen Lösungen erstrecken müssen. Damit werden die bislang billigen anderen Lösungen plötzlich mit den teuren Prozessen verschlimmbessert.

Ergebnis war, dass das ganze Zeug in einem eigenen Cage steht.

Mit freundlichen Grüßen Lukas

Kartensysteme sind WIRKLICH 7x24. Wenn du da für jeden betrieblichen Task
gleichzeitig 2 Mitarbeiter vom Fach parat haben mußt, um 4 Augen Prinzipien
durchzuziehen, geht das ganz schön ins Geld.

Da sieht man ja das Hauptproblem: für die wichtigen Dinge ist nie Geld da
Vermutlich eine abwägung eines BWLer der die möglichen Verluste durch menschliches Versagen (in welcher Form auch immer) gegen die Kosten eines weiteren Mitarbeites gegengerechnet hat.

Ergebnis war, dass das ganze Zeug in einem eigenen Cage steht.

Ich kann mir das jetzt nicht ganz vorstellen, wie hätte denn die andere Lösung ausgesehen? Eine Windows-VM bei einem Webhoster?

Wir sind ein Rechenzentrum. Wir betreiben tausende Server - physisch und virtuell. Wir haben ein Petabyte an Storage im Zugriff. Wir haben Ciscos so groß wie Wandschränke.

Und daneben haben wir einen kleinen Cage stehen, in dem sich, wie im Hochsicherheitstrakt der NSA, die Kartenlösung befindet. Mit eigenen Servern, eigenem Storage und eigenem Netzwerkequipment. Betrieben nach eigenen Regeln und Prozessen. Sauteuer, aber dafür 100% PCI Compliant.

Wenn du nach Afrika fliegst und dir dort die Karten-Lösungen ansiehst, kommen dir die Tränen, wieviel Geld bei uns für das Thema verbraten wird.

Mit freundlichen Grüßen Lukas

Verstehe.

Wenn du nach Afrika fliegst und dir dort die Karten-Lösungen ansiehst, kommen
dir die Tränen, wieviel Geld bei uns für das Thema verbraten wird.

Du meinst also das Thema Sicherheit sollte etwas lascher gehandhabt werden?

Nein. Es wird aber mit zweierlei Maß gemessen, was auch nicht schlau ist.

Mit freundlichen Grüßen Lukas

Also ich war mal bei einem Hersteller für Karten in Österreich.
Die Auflagen von Visa und Konsorten sind enorm groß.

Eine Produktionsstraße so wie von Lukas Beschrieben mit eigenem unabhängigen Equipment.
Eigener DC, Datenbankserver, physisch alles auf ein paar m2, kein Kontakt zur Außenwelt in irgend einer Form. Jedes mal wenn die etwas ändern müssen oder eine Fremdfirma/Hersteller kommt müssen dort 2 IT Mitarbeiter permanent daneben stehen und zusehen.

Ich glaub dort haben gerade ein mal 5-7 IT Mitarbeiter am Standort gearbeitet.

Also alles war High Secure, Hoch verfügbar usw..

War sehr interessant, da die IT Mitarbeiter Learning by Doing hatten weil Sie keine Kurse bekommen. Als ich dann mal Interesse halber gefragte habe was sie im Worst Case machen, bzw. ob sie einen Premier Vertrag mit Microsoft haben oder von einem Dienstleister -> Nein zu teuer.

Also die Mitarbeiter sollen Top Ausgebildet sein, Security auf höchstem Niveau und 24x7 Betrieb, aber zahlen und Investieren will das Unternehmen nicht.

Willkommen bei Austria Card.

Wobei dort die Standards noch extremer sind, weil aufgrund der Technologie der Chipkarten dort das größte Risiko droht. Wenn dort was verschwindet, hat man de facto bares Geld in der Hand. Weil Visa etc müssen jede Transaktion einer korrekten Chipkarten durchführen. Auch wenn diese auf Max Mustermann ausgestellt ist.

Mit freundlichen Grüßen Lukas

Unser Kunden haben WIRKLICHE Security Auditoren, die uns als Lieferant
heftigst auditieren und die Finger ins Auge und andere Körperöffnungen
stecken...

also sooo viele audits hab ich auch noch nicht miterlebt - und zum glück (a) als unbetroffener dritter sowie (b) auch in ganz anderen bereichen.
ABER: dass auditoren dinge (nicht nur finger) in die (wunderschön zurechtgerichteten) zu auditierenden stecken - ganz sicher nicht nur in deren augen - und alles im übertragenen sinn natürlich, scheint mir da zur ganz trivialen normalität zu gehören.
und nach meiner bescheidenen erfahrung auch das immer-lächelnde aug (und popscherl) hinhalten des geauditiert-werdenden.

Frei ab 12 Jahren heißt, der Held kriegt das Mädchen.
Frei ab 16 heißt, der Bösewicht kriegt das Mädchen.
Frei ab 18 heißt, jeder Darsteller kriegt das Mädchen.

Du meinst das Windows, auf dem man sich jahrelang mit einer Tastenkombination am Login Screen eine CMD holen konnte und damit das Admin-Passwort zurücksetzen konnte? (Siehe auch Hack am Kontoauszugsdrucker der Deutschen Sparkasse letztens.)

Solche allgemeinen Aussagen sind doch sinnlos, weil die Anforderungsprofile so unterschiedlich sind wie es Betriebssysteme auf der Welt gibt.

Meine white hat Hacker versichern mir, dass aktuell ein simples Windoof den
höchsten Securitystandard aller Plattformen ermöglicht - wenn man es richtig
parametriert.

Oje, hast da mit euren nerds gesprochen, die glauben " hacken" von der Computer Bild zu lernen?
Oder warum trägst hier so dick auf?
____________________________________________________________________
„Der Horizont der meisten Menschen ist ein Kreis mit dem Radius 0. Und das nennen sie ihren Standpunkt.“

(Albert Einstein)

Vermutlich!

Die Leute, von denen ich rede,

sind Vortragende auf diversen Unis zum Thema Datenschutz und Datensicherheit
betreiben eines der CERT's in Österreich
machen bezahlte Pen-Test bei Kunden auf der ganzen Welt
sind Sprecher auf diversen White Hat Konferenzen
haben alle relevanten Zertifizierungen zum Thema IT Security

Dass sie damit aber weiterhin nicht an dein Fachwissen heranreichen, kränkt sie aber echt.

Mit freundlichen Grüßen Lukas

Dass sie damit aber weiterhin nicht an dein Fachwissen heranreichen, kränkt
sie aber echt.

wo hab ich das behauptet?

aber meinst nicht du kannst dir dein dickauftragen sparen?
____________________________________________________________________
„Der Horizont der meisten Menschen ist ein Kreis mit dem Radius 0. Und das nennen sie ihren Standpunkt.“

(Albert Einstein)

du hast die übliche side note vergessen, dass bei Apple alles toll und wunderbar ist

wie sollen Leute, die dich noch nicht kennen, sonst deinen Müll deuten können?

-----------------

21.12.2015, 09:53 Uhr - Editiert von -Transformer2K-, alte Version: hier

Ein Bug ist ein Bug, egal wer darüber informiert.

Aber wenn wir schon dabei sind, sollte man auch wissen, dass in diesem Forum OSS der heilige Gral der Softwareentwicklung ist und Kritik daran unerwünscht.

21.12.2015, 18:18 Uhr - Editiert von kaufinator1, alte Version: hier

warum informierst du uns dann nie über Bugs bei Apple Software? zu berichten gäbe es ja auch genug ... aber lieber machst halt bashing über Sachen, die du gar nicht verwendest ... so sind halt die Apfel Fanboys

-----------------

Weil Apple nicht übersll erzählt, ihre Software hätte weniger Fehler, weil sie closed ist.

Die OSS Fanboys hingegen erzählen überall, dass OSS sicherer ist, weil jeder den Quellcode prüfen kann. Wie man an diesem peinlichen Fehler sieht, stimmt das aber offensichtlich nicht.

Nein, weil sie sich für ihre OS Security genieren müssen.

LG Mike

Weil Apple nicht übersll erzählt, ihre Software hätte weniger Fehler, weil sie
closed ist.

Jetzt wird es dich als Fanboy wohl schrecken. Der allergrößte Teil des Apple OSX und IOS ist Opensource. Und es ist ein Unix. Ein Freebsd sogar.

Einzig die Grafikengine und das Filesystem sind closed.

lol du bist immer noch so putzig... eigentlich dachte ich, dass du schon langsam a bissl von deinem Apple Fanatismus geheilt bist, weil wir schon lang nix mehr diesbezüglich gelesen haben!

-----------------

sollte man auch wissen, dass in diesem Forum OSS der heilige Gral der
Softwareentwicklung ist und Kritik daran unerwünscht.

Wenn dem so ist, warum startest du dann derartige Threads?

Weil ich es lustig finde wie sich die OSS Fanboys die Fehler schön reden.

bitte zeig mir doch einen im Geizhals-Forum, der sagt, dass OSS per se sicher und fehlerfrei ist. Nur weil du in deiner verblendeten, perfekten Apple Welt lebst, müssen nicht andere auch mit Scheuklappen herumlaufen!

-----------------

Ich versteh ohnehin nicht was einem dieses "Fanboytum" bringt, ich verwende Apple, Linux und Windows parallel, immer für den jeweiligen Zweck wo das OS seine Vorteile ausspielen kann.

LG Mike

das darfst du mich nicht fragen. Ich nutze auch einfach das, was mir die meisten Möglichkeiten bietet und am besten zu meinen Anforderungen passt. Beruflich bin ich sehr Microsoft-lastig, aber dennoch bevorzuge ich zB bei Virtualisierung VMware gegenüber Hyper-V oder wäre auch offen für Oracle Datenbanken. Und auch wenn ich noch nicht viel Know-How bzw. Berührungspunkte mit Linux hatte, bin ich dennoch überzeugt, dass es seinen Stellenwert im IT-Business hat ...

warum man aber vehement alles schlecht redet, was nicht von Apple kommt, werde ich wohl nie verstehen! Entweder arbeitet er für Apple oder besitzt hohe Aktienanteile ... oder er ist wirklich einfach nur ein kindischer Fanboy, der sich alles schlecht reden muss, was keinen Apfel drauf hat. Eigentlich ist so eine beschränkte Sichtweise ziemlich bemitleidenswert...

edit

und wenn wir schon dabei sind ... Microsoft DPM würd ich nicht mal meinem schlimmsten Feind empfehlen

-----------------

22.12.2015, 21:37 Uhr - Editiert von -Transformer2K-, alte Version: hier

Ich bin auch sehr MS lastig, aber Linux begleitet mich von Tag zu Tag mehr im Alltag, auch beruflich bedingt. Ich mag VMware auch sehr (am Mac z.b.), nutze aber im Server Bereich lieber Hyper-V (für mich).

Ich mag Apple auch sehr, vor allem iOS. Zum leichten Arbeiten unterwegs hab ich ein Macbook 12 und find es genial, mit VMware Fusion laufen da diverse Linux Distributionen sowie Windows 10 drauf bzw. hab ich noch eine high-security Umgebung komplett vom Gerät separat.

Mit DBs oder DPM hab ich nix am Hut, dazu kann ich rein gar nichts sagen.

LG Mike

Ich kann eine gewisse VMware-affinität gar nicht abstreiten ... in meinem vorherigen Job hab ich bei Kunden mit 1 Milliarde € Jahresumsatz VMware-Lösungen implementiert. Aber mittlerweile kenne ich auch die andere Seite mit all seinen Nachteilen (zumindest für mich) ... darum würde mich umso mehr interessieren, warum du lieber Hyper-V einsetzt als VMware. Ich hab mich noch nicht so intensiv damit beschäftigt, aber im Moment tue ich mir echt noch schwer Vorteile gegenüber VMware zu finden ...

-----------------

Mir gefällt die Systemintegration besser (PowerShell), obwohl bei VMware einiges besser gelöst ist als bei Hyper-V. Der Kostenfaktor spielt natürlich auch eine entscheidende Rolle. Ab Server 2016 hat der Hyper-V mit Guest Isolation (Shielded VMs + TPM) aber DAS Killerfeature für mich.

Der Vorteil von VMware ist natürlich dass das Ding auf allen Plattformen läuft, egal ob Windows, Linux oder OS X.

LG Mike

Der Kostenfaktor spielt natürlich auch eine entscheidende Rolle.

ja, das hab ich allzu oft gehört ...

Ab Server 2016 hat der Hyper-V mit Guest Isolation (Shielded VMs + TPM) aber DAS Killerfeature für mich.

ich weiß gar nicht, ob sowas auf der Roadmap von VMware steht oder ob es sowas ähnliches schon gibt ...

-----------------

AFAIK nicht, aber bis September habens ja noch ein bisschen Zeit.

LG Mike

soll das dann auch in einem Cluster funktionieren?

-----------------

Das weiß ich nicht, sollte aber kein Problem sein.

LG Mike

bitte zeig mir doch einen im Geizhals-Forum, der sagt, dass OSS per se sicher
und fehlerfrei ist.

Seit dem heartbleed bug sind solche Kommentare weniger geworden und vor allem in diesem Thread traut sich das - aus offensichtlichen Gründen - niemand behaupten.

Aber sogar hier findet man Leute, die die Möglichkeit den Code einzusehen als Sicherheitsgewinn bejubeln. Da sich den Code aber kaum jemand ansieht, bringt es in wirklichkeit nur so viel Sicherheit wie eine ungeladene Waffe. Theoretisch könnte man sich damit verteidigen. In der Praxis ist sie nutzlos.

Seit dem heartbleed bug sind solche Kommentare weniger geworden und vor allem in diesem Thread traut sich das - aus offensichtlichen Gründen - niemand behaupten.

weniger geworden? Nochmal ... zeig mir 1 Kommentar, wo jemand behauptet, dass OSS 100%-ig sicher ist!

Aber sogar hier findet man Leute, die die Möglichkeit den Code einzusehen als Sicherheitsgewinn bejubeln.

das steht nicht im Widerspruch zu

Da sich den Code aber kaum jemand ansieht, bringt es in wirklichkeit nur so viel Sicherheit

Denn keiner behauptet, dass OSS sicher ist, nur weil man sich den Code theoretisch ansehen könnte. Da könnte man genauso behaupten, dass Autos sicher sind, weil man die Motorhaube aufmachen kann! Ich versteh echt nicht, warum du dir so einen Schwachsinn einredest? Brauchst du das, damit du dir die höheren Kosten für deine iDevices rechtfertigst oder gibt es dazu einen plausiblen Grund?

-----------------

23.12.2015, 08:23 Uhr - Editiert von -Transformer2K-, alte Version: hier

Open Source Software wird die entscheidende Rolle in der Netzneutralität spielen. Ich persönlich muss den Code nicht überprüfen können, darin sind andere (neutrale Stellen) besser.

LG Mike

Das ist leider eine Illusion. Es prüfen hauptsächlich Leute die dafür bezahlt werden. Jetzt musst du halt hoffen, dass die die Sicherheitslücken schliessen und nicht ausnutzen wollen.

TrueCrypt ist das beste Beispiel. Wurde von zwei unabhängigen Stellen überprüft und für offline Speicherung als sicher empfunden.

LG Mike

TrueCrypt ist eine Ausnahme. Wo sonst wurden Audits durch Crowdfunding bezahlt?

Wusste gar nicht dass das Fraunhofer Institut auf Crowdfunding zurückgriff?

LG Mike

Da steht nix vom Frauenhofer institut: https://en.wikipedia.org/wiki/TrueCrypt#Security_audits

http://www.securityweek.com/truecrypt-provides-good-data-protection-audit

Google ist dein Freund.

LG Mike

Beneidenswert, wie leicht du immer wieder zu erheitern bist...

100x dasselbe und 100x findest du es lustig - wow.

Ich mein, welchen Vorteil habe ich?

Ich kann also - wenn ich vor dem Gerät sitze - bestimmen, was gebootet wird.
Das kann ich in der Regel auch so - ausser jemand hat eine Bios-Sperre auf seinem Rechner.

Der spannendste Weg wird sein, dass ich einen Parameter wie "init=/bin/sh" mitgeben kann.
Wahrscheinlich kann ich dann einen User mit UID 0 für mich anlegen.... Das kann ich aber mit physischem Zugriff auf die Platten auch dann, wenn ich die Platten ausbaue und direkt darauf schreibe.

Der einzige Fall, wo das IMHO Sinn macht, wäre wenn ich
- physischen Zugriff auf eine Maschine habe,
- ich diese Rebooten kann, aber
- KEINEN Zugriff auf die Festplatten habe, und
- ich keine Chance habe, eine eigene Bootqielle anzugeben.

Eventuell ergibt sich noch ein Angriffsvektor, wenn die Maschine die Platten komplett verschlüsselt hat, und die Keys im TPM des Rechners liegen... Sodass ein Ausbau der Platten keinen Sinn macht.

Obwohl ich viel mit Firmen und Privatpersonen zu tun habe, die Linux einsetzen - mir fällt auf die schnelle kein Szenario ein, wo diese durch diesen Bug ein Securityproblem "gewonnen" hätten.

BTW, die Headline des Artikels ist schwer in die Irre führend: Eingeloggt bist damit noch lange nicht. Du hast eine grub-shell - nicht mehr und nicht weniger.
----------------------------------------------------------------------------------

Wenn man sich wundert, warum ich die Aussagen mancher Deppen komplett ignoriere...
... diese Armlöcher sind geplonkt - die lese ich nicht einmal.

Das Problem ist, daß es KEIN Linux Bug war... sondern Grub und der hat mit Linux (dem Kernel) genau nix zu tun

Im Gegensatz zu Windoof war der Bugfix innerhalb weniger Stunden auf allen Distros verfügbar

lg,

Eliot

"640kb ought to be enough for anyone."
"We will never make a 32-bit operating system, but I'll always love IBM."

[x] privat

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung