Schadprogramme. Was wenn ein Thema?

worel

worel

Well-Known Member
Hallo!

In der neuen CT steht ja wieder viel über Schadprogramme welche man sich sogar schon über so manch populäre kompromittierte Seite einfangen kann.
Nen ordentlichen AV Scan vorausgesetzt (in meinem Fall auch eine "personal firewall" unter xp - die ist ganz nett) sollte schon nicht soviel passieren.

Ich nutze aber auch FreeBSD. Da surfe ich ohne realmonitor av scan, irgendwelchen fancy personal firewalls etc. Habe zwar (mit firefox) plugins wie noscript usw.
Aber jetzt mal abgesehen dass die Wahrscheinlichkeit sich einen lauffähigen Bot für FreeBSD einzufangen gering ist, welche Möglichkeiten hätte man eigentlich noch so etwas zu verhindern? (aufpassen wo man hinklickt... ok)

Bzw. wenn man compat laufen hat (da es evtl. ja mehr linux schadprogramme gibt), könnten diese dann auf dem BSD Host laufen?

WinXP oä. steht einer FÜLLE an Schadprogrammen gegenüber. Aber, ich weiß das und deswegen unternehme ich auch einiges dagegen. (abdichten, kontrolle der verbindungen nach außen, alle möglichen realtime scanner ...)

Bei FreeBSD fühle ich mich einfach sicher, aber ist nicht genau DAS gefährlich?
Die großkotzigkeit von so manchen Linuxern welche mir auf die Frage nach Sicherheit mit Antworten kommen wie "braucht man nicht, Linux ist von Haus aus sicher" geht mir auf den Zeiger!

Ich dachte schon darüber nach, mir ossec auf die desktop kiste zu knallen, fehler ist es sicher nicht, aber die richtige Maßnahme?

Was unternehmt ihr so um ruhigen Gewissens zu bleiben? Sandbox, lynx, jscript zum Teufel schicken, ...?

Man kläre mich bitte auf!
 
Beim Thema Sicherheit gilt: man ist niemals sicher. Punkt.

Aber... es gilt immer zu beachten, wie viel die eigenen Daten wert sind. Der Geldbetrag impliziert nämlich alles worüber man sich Gedanken machen muss.

So und jetzt zur Desktop-Sicherheit. Das ist so eine, bei der man seinen 100-Euro-Schein verteidigen möchte (s.o. Gesamtbetrag meiner Daten). Ich habe diverse Mechanismen, die mich beschützen.

Das Allerwichtigste ist, die /home-Partition und die Swap zu verschlüsseln, wenn es ein Notebook ist (evtl. auch /tmp und /var; manchmal hat man auch vertrauliche Informationen außerhalb dieser Mountpoints, z.B. /etc). Dann kommt konsequenter Einsatz von Verschlüsselung in E-Mails (z.B. GnuPG). Dass ein Notebook entwendet oder verloren wird ist das allerwahrscheinlichste bei mir. Und das würde mir am meisten weh tun. Witzig ist, dass viele Leute Platten verschlüsseln, aber die Backups nicht. Das ist natürlich Blödsinn. Dann gibt es den Fehler, das Notebook, wenn man Verschlüsselung nutzt, in den Sleep-Zustand zu versetzen. Das ist nochmal Blödsinn. Sleep und Plattenverschlüsselung vertragen sich nicht.

Firewall (z.B. pf) empiehlt sich, wenn man in fremde Netze das Notebook anschließt. Sie sollte dann stateful sein. Zusätzlich sollte man Dienste, die IPs brauchen auf lokale Adressen zu binden, also möglichst auf 127.0.0.1 anstatt auf alle. Bei ssh sollten direkte root-Logins gesperrt sein.

Zum Punkt Web gilt. Der Browser sollte sicher sein und man sollte verstehen wie er sich verhält. Man sollte z.B. immer wissen, wenn er etwas herunterlädt. Man sollte auch wissen, ob man Google und diversen Toolbar-Anbietern private Sachen verrät. NoScript ist eine tolle Anwendung, die ersten Schutz vor unbekannten Seiten gibt. Vielleicht wollte man eine bestimmte Webseite gar nicht besuchen und hat aus Versehen auf einen Link geklickt. Flash und andere geschlossene Anwendungen, die im Browser laufen gehören aus. Sie haben volle Rechte und man weiß nicht ohne weiteres was solche Plugins machen. Niemand, der neutral ist, kann sich das mal anschauen.

E-Mails sind kritisch. Jetzt neben der o.g. PGP-Verschlüsselung sollte man Spam-Filter installieren und zwar am besten einen, der keine Online-Checks macht. Komischerweise klappen diese einfachen Bayes-Filter am besten (ich empfehle bogofilter). Beim Klick auf einen Link/Anhang sollte niemals etwas ohne Nachfrage öffnen. OpenOffice-Dokumente, PDF und ähnliches können Skripte enthalten. Diese sind sehr kritisch zu beäugen. HTML-Mails erhöhen die Komplexität des E-Mail-Parsers (Parser sind immer kritisch). Die Anzeige solche E-Mails sollte unterbunden werden. Es sollten auch niemals automatisch Bilder nachgeladen werden. Dies ist sogar sehr wichtig.

Bei Anwendungen gilt dass man Closed-Source meiden sollte (ich traue da einfach keinem). Das mag übertrieben sein, aber ich habe meine Gründe. Dazu gehört insbesondere Skype. Wenn man auf eine Anwendung angewiesen ist, dann sollte man ein gesundes Gefühl von "Bauchschmerzen" haben und zwar jedes Mal, wenn so eine Anwendung startet. Und die größten Bauschmerzen sollte man bereits beim ersten Start so einer Applikation haben.

Zum Update-Verhalten lässt sich sagen, dass man möglichst früh reagiert. Am besten ist es, portaudit zu installieren und sich täglich Mails über den Sicherheitzustand der Ports schicken zu lassen. Man sollte die Lücken verstehen. Dazu gehört aber Expertenwissen. Wenn man es nicht versteht sollte man ohne viel nachzudenken ein Update machen. Beim Kernel und World sollte man sich zur Mailingliste "freebsd-security-notifications" hinzufügen (Link).

In der aktuellen Zeit stellt sich mir die Frage: in wie weit traue ich meinem ISP? Ich stelle fest, dass manche anfangen, am Netz zu fummeln und andere sogar Inhalte zu modifizieren. Hier ist noch i.a. Bedarf entsprechende Schutzmechanismen einzurichten. Das einzig mir bekannte ist, https zu benutzen, da wo überall möglich. Dort kann man nämlich nicht ohne weiteres Daten injizieren. Aber dann wieder sehe ich, dass Bilder durch http nachgeladen werden etc. Siehe zum Beispiel hier im Forum.

Und sonst... vorsichtig sein. Lieber alles erdenkliche sperren als unnötiges zuzulassen. Paranoia ist am besten, auch wenn es doof klingt. Es lässt sich noch viel dazu erzählen und jeder hat so seine Tricks. Ich fälsche auch zum Beispiel meine MAC-Adresse, wenn ich "draußen in der unbekannten Welt" bin. Die muss auch nicht jeder wissen.
 
nakal schrieb:
Firewall (z.B. pf) empiehlt sich, wenn man in fremde Netze das Notebook anschließt. Sie sollte dann stateful sein.
Zum Vergrößern anklicken....
Warum das? Ob der Paketfilter nun zustandsbehaftet oder zustandslos arbeitet ist in Bezug auf die Sicherheit ziemlich egal. Das ist mehr eine Philosophie-, Performance- und Komplexitätsfrage meiner Meinung nach. Imho ist die Kontrolle bei einem zustandslosen Paketfilter größer. Mit Bedacht eingestellt sind beide Konzepte aus Sicherheitssicht aber gleichwertig.
nakal schrieb:
Und sonst... vorsichtig sein. Lieber alles erdenkliche sperren als unnötiges zuzulassen.
Zum Vergrößern anklicken....
Genau. White-Listing und "Enumerating Goodness" sind zwei gute Ansatzpunkte. Siehe dazu auch http://www.ranum.com/security/computer_security/editorials/dumb/
 
Da muss man sich aber viel Mühe geben, wenn ein Paketfilter stateless ist. Das verleitet auch eher dazu viel zu viel freizugeben, weil sonst nicht alles problemlos funktioniert.

Ich finde, dass das ein gutes Prinzip ist, dass wenn erst dann Pakete rein dürfen, wenn ich über die Leitung schonmal etwas nach draußen in die Richtung gesendet habe.

Kurz und schmerzfrei.
 
Zu der statefull Sache meine ich auch, dass es obsolet ist heute noch stateless zu verwenden. Evtl. übersehe ich irgendeine Daseinsberechtigung. :confused:

Ich suchte mal für Linux eine Personal Firewall. Welche mir aufschreit wenn ein Programm nach draußen will. Naja, kennt ihr wahrscheinlich eh alle. Wurde vom Linux Lager (in diesem Fall Ubuntu) aufs schärfste zurechtgewiesen.

Nichts ist für immer sicher! Würde mich interessieren welche Mechanismen es für BSD geben würde wenn die Marktdurchdringung bei Desktop an die 80% ginge.
Nur so ein Gedankenspiel...
 
worel schrieb:
Ich suchte mal für Linux eine Personal Firewall. Welche mir aufschreit wenn ein Programm nach draußen will. Naja, kennt ihr wahrscheinlich eh alle. Wurde vom Linux Lager (in diesem Fall Ubuntu) aufs schärfste zurechtgewiesen.
Zum Vergrößern anklicken....

Ist zwar OT, aber hast du mittlerweile eine solche gefunden?
 
Abend

worel schrieb:
Die großkotzigkeit von so manchen Linuxern welche mir auf die Frage nach Sicherheit mit Antworten kommen wie "braucht man nicht, Linux ist von Haus aus sicher" geht mir auf den Zeiger!
Zum Vergrößern anklicken....

Was für eine Empfehlung :eek: :ugly:.

Gruss
bsdagent

P.S. Ein Wiki Artikel "*BSD Sicherheit im Desktop einsatz" wäre nicht schlecht :cool:.
 
Die meisten »Security«-Produkte für Windows-Anwender sind Schlangenöl (aka wirkungslos oder sogar schädlich). Dazu zählen Virenscanner, Personal Firewalls und sonstiges Kroppzeugs. Deren Installation reißt oft zusätzliche Lücken auf.

Es gibt folgende Hauptursachen für die Malware-Ausbreitung auf Windows-Systemen:

1. keine Sicherheitsupdates
2. keine Rechtetrennung (Surfen mit dem root-Account)
3. automatische Ausführungsrechte über den Dateinamen (Designfehler)
4. unbeschränkte IPC (Designfehler, macht u. a. o. g. Schlangenöl wirkungslos)
5. fehlende Transparenz: Dateisystemhierarchie-Chaos, Registry (Designfehler)

Für 1. kann man auf seinem BSD-System problemlos sorgen, 2. dürfte die Regel sein, weiterhin empfiehlt es sich, die Rechte kritischer Applikationen (Browser, etc.) weiter einzuschränken. Von den Designfehlern 3., 4. 5. ist BSD nicht betroffen.

Aufpassen muß aber die Apple-Gemeinde, dort liegt designtechnisch auch einiges im Argen.
 
Zuletzt bearbeitet:
Es stimmt dass wohl einige Produkte für MS mehr Witz und als sinnvoll sind.
Man muss halt wissen wozu man greift.

Ja, die 5 Punkte sagen schon vieles aus. Vor allem das arbeiten als admin oder root ist immer wieder heftig. Ehrlich gesagt, unter Windows (xp) mach ich das auch! Warum? Weil es einfach keinen ordentlichen sudo gibt. "runas" gäbe es zwar, nur ist das, naja, bin halt faul. Komischerweise macht mir das bei BSD oder Linux überhaupt nix!

Und nein, ich fand keine Applikationsfirewall wenn ich das jetzt mal so nennen darf. Nach LANGER Suche in google fand ich einmal ein Programm, welches aufschrie wenn ein Programm rauswollte. Aber da war die Entwicklung schon lange eingestellt. Und wirklich gut funktioniert hat das nicht. (linux programm, keine ahnung wie geheissen)
Mit Ubuntu 8.04 nutze ich ufw, ist aber auch nicht mehr als ein automatisierter Weg iptables zu konfigurieren.
Bei FreeBSD halt pf.
Wiegesagt, dass ist aber das höchste der Gefühle. (hie und da schau ich mal per nettop rein was so über die Leitung fleucht)
 
Bitte kein Windows-Bashing hier. Wenn man mal genauer hinsieht, merkt man, dass so gerne Malware für Windows geschrieben wird, weil eben auch die ganz überwiegende Mehrzahl der Clients darunter läuft. Und nicht, weil die Prinzipien nicht auch unter alternativen Betriebssystemen funktionieren würden.

Und da die Masse der unixoiden Systeme ohne SELinux-artige Mechanismen läuft ist Microsoft mittlerweile in der Sicherheitstechnik sogar überlegen.
 
Ein Trend bei Malware ist wohl auch, das Virenscanner und Personal Firewalls verstärkt angegriffen werden, weil die auf einem System so ziemlich alles dürfen. Wenn dort eine Lücke entdeckt und ausgenutzt wird, hat die Malware halt Vollzugriff.

Bei normalen Anwendungen für Windows setzt sich zunehmend durch, das diese keine Adminrechte für korrektes Funktionieren mehr benötigt.

Gruß c.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben