DEF CON 25: Free-/Net-/OpenBSD sind auch keine Lösung.

[CrimsonKing]

Aber OpenBSD ist schon nahe dran:
https://media.defcon.org/DEF CON 25...EFCON-25-Ilja-van-Sprundel-BSD-Kern-Vulns.pdf

Can’t have a bug in code you don’t have

 

[Rakor]

Bitte keine reinen Linkposts (und da sind wir hier schon sehr nahe dran).
Bitte habt Verständnis, dass soche Threads meist wenig zielführend sind und schnell ausarten. Wenn du also über den Inhalt deines verlinkten PDF diskutieren willst dann schlage ich vor, dass du eben dies tust und ein paar eigene Worte dazu verlierst.

 

[CrimsonKing]

Du hast Recht, entschuldige. Hier ein Nachtrag:

Auf der DEF CON hat Ilja van Sprundel von "IOActive" (was immer das nun genau ist) sich auf der Grundlage von einem 12 Jahre alten Aufreger seitens Theo de Raadts über die schlechte Qualität von Linux einmal NetBSD, FreeBSD und OpenBSD hinsichtlich der Sicherheit genauer angesehen (i.e. auditiert), was wahrscheinlich ein wenig Arbeit bedeutete.

Zusammenfassung:

1. Weniger Code = weniger Angriffsfläche. OpenBSD ging als sicherstes der drei "großen" BSDs aus dem Test hervor, jedoch wurden auch in ihm (6.0/6.1) Lücken gefunden, die ...
2. ... in NetBSD zum Teil schon behoben waren (und andersrum). "The maintainers of various BSDs should talk more among each other".
3. Trotzdem liegt NetBSD sicherheitstechnisch ganz hinten, was auch den zahlreichen Kompatibilitätsextras (Plattformen u.a.) geschuldet ist.
4. --> An der Codequalität allein liegt es nicht unbedingt, da Linux wesentlich mehr Leute hat, die mal drübergucken.

Ich habe von Auditing ungefähr so viel Ahnung wie vom Didgeridoospielen, weshalb ich das nicht unbedingt bewerten möchte - interessant ist aber schon, was herauskommt, wenn jemand ergebnisoffen die Behauptung hinterfragt, BSDs seien per se sicherer als Linux.

 

[double-p]

Ausserdem hat Ilja - was in dem Paper nicht so drin steht - alles brav an OpenBSD (und wahrscheinlich die anderen) gemeldet - teilweise wohl gleich mit fix - und die bugs sind in OpenBSD inzwischen gefixed.

 

[holgerw]

Hallo,

vielleicht passt es hier herein:
Über dieses Papier https://vez.mrsk.me/freebsd-defaults.txt bin ich schon mehrmals gestolpert, letztens wurde es wieder von einem Nutzer hier verlinkt.

So wie es ausschaut, ist der Autor OpenBSD-Commiter (das muss zwar nicht heißen, dass seine Kritik an FreeBSD gänzlich von der Hand zu weisen ist, aber ich habe manchmal den Eindruck, für Freunde von OpenBSD ist alles außer OpenBSD eh unsicher).

Nun möchte ich - da ich von der Thematik bisher kaum Ahnung habe - aber dennoch mal gerne wissen, was es mit diesen "Vorwürfen" auf sich hat.

@CrimsonKing falls das nicht zu Deinem Thread hier passt, bitte laut aufschreien ich mach dann einen neuen Thread auf.

 

[CrimsonKing]

Die Teams von FreeBSD und OpenBSD haben unterschiedliche Ansätze, was die Bedienbarkeit des Systems ab Installation betrifft: Hier "möglichst zugänglich", dort "möglichst sicher". Als inzwischen doch recht stark auf OpenBSD fokussierter Anwender sehe ich FreeBSD aber trotzdem keineswegs so kritisch. Man kann viele der unsicheren Einstellungen ja ändern.

 

[holgerw]

Man kann viele der unsicheren Einstellungen ja ändern.

Ja, die Ansätze sind wohl anders (ein Thema war ja z.B. das Verbot des Usermounts bei OpenBSD mit Version 6.0).
Mich irritiert ein wenig bei dem Text, dass da zum Teil von unsicheren Standardeinstellungen etwa in /etc/sysctl.conf gesprochen wird, die ich bei frischen FreeBSD-Installation bei mir so gar nicht finde.

Davon abgesehen: Das sind noch ziemlich viele böhmische Dörfer für mich.

 

[mogbo]

für Freunde von OpenBSD ist alles außer OpenBSD eh unsicher).

Und verdammt schnell ...

Aber OpenBSD ist schon nahe dran:
https://media.defcon.org/DEF CON 25...EFCON-25-Ilja-van-Sprundel-BSD-Kern-Vulns.pdf

Sehr interessanter Artikel, danke dafür

 

[juedan]

Moin,

Interessante Analyse! Was mich ärgerlich stimmt ist, dass es wohl bei Programmierern immer noch nicht angekommen ist, Größenangaben auf Gültigkeit zu prüfen.
Grüßle Jürgen

 

[Athaba]

Solche Talks sind ja gut. Sie zeigen Probleme auf und auch zu sehen, dass man mehr was Fixes angeht zusammenarbeiten kann ist jedenfalls was, was potentiell einfach erwähnt werden muss, damit man das beim nächsten mal tut. Oder man baut Mailing Lists für diese Themen. Vor ein paar Jahren waren ja die OpenGrok-Instanzen da sehr schön zum vergleichen. Leider sind zumindest ein paar von denen Out of Date.

 

[CrimsonKing]

OpenBSD hat einen Schwung an Kernelpatches für die Versionen 6.0 und 6.1 veröffentlicht, wohl als Reaktion auf den oben verlinkten Talk.

 

[mogbo]

Verdammt, dann werd ich am Wochenende wohl doch auf 6.1 upgraden, damit openup wieder ohne sub läuft ...

 

[vater]

Auf dem 34C3 gab es den Talk mit Aufzeichnung: https://media.ccc.de/v/34c3-8968-are_all_bsds_created_equally (Ob es noch eine deutschsprachige Übersetzung gibt, kann ich nicht sagen. Üblicher Weise bietet das ja der Congress "nebenbei" mit.)

 

[MuffiXXL]

Auf dem 34C3 gab es den Talk mit Aufzeichnung: https://media.ccc.de/v/34c3-8968-are_all_bsds_created_equally (Ob es noch eine deutschsprachige Übersetzung gibt, kann ich nicht sagen. Üblicher Weise bietet das ja der Congress "nebenbei" mit.)

Na die Sprache kannst du doch direkt im Stream auswählen. Unten rechts, auf das Zahnrad klicken.