ratti
Aktives Mitglied
- Dabei seit
- 09.05.2004
- Beiträge
- 1.521
- Reaktionspunkte
- 56
Das allergrößte Sicherheitsproblem für ein System sind "Freaks", die rumerzählen, ein System sei "sicher", und die Laien glaubens. BLÖDSINN!
Natürlich sind Macs nicht sicher. Genau so wenig, wie Windows-Kisten oder BSD oder Linux sicher ist. Es ist auch völlig sinllos, aufzuzählen, wer mehr Türchen in seinem System hat. EINE Tür reicht.
Der Mac-Community steht eine unangenehme Erfahrung noch bevor: Das Problem sind nicht wirklich offene Ports oder Buffer Overflows, ScriptExploits oder irgend so'n Hühnerkram.
Das Problem sitzt vor dem Rechner, patscht auf alles drauf, was bunt aussieht und hat keine Ahnung, was er da tut.
Nimm ein beliebiges Shell-Script, verpass ihm ein Titten-Icon, nenn die Datei "Virgin.at.your.command" und schicke es an 100 Mac User. Da hast du dein Exploit. Wozu Lücken im System suchen? 30% der Empfänger werden, vom allmächtigen Rechner nach ihrem Passwort gefragt, es halt eintippen.
Ärgerlicherweise verkommt jede Sicherheitsdiskussion zum System-Streit.
Es kann ja nicht angehen, daß der Nachbar den längeren hat. Also wird übertrieben und beschönigt. "Windows hat mehr Löcher." Ja. Und? Wenn der Nachbar alle vier Autotüren unverschlossen lässt, stehen wir mit nur einer offenen besser da? Erklär das mal deiner Versicherung...
Der allergrößte Mythos ist der vom "sicheren System" wegen irgendwelcher "root" oder "Admin"-Rechte. Ja, es ist richtig: In einem vernünftig eingerichteten System hat der User (und damit jeder, der seinen Account aufmacht) nicht das Recht, einen Webserver zu installieren, das System zu modifizieren oder dergleichen. Gut. Aber: Na und?
Damit wird nicht verhindert, daß ein Schadprogramm sich über Mails weiterverbreitet. Damit wird nicht verhindert, daß ein Programm dann eben auf einem Highport einen Serverdienst einrichtet. Damit wird nicht verhindert, daß dieses Programm sich im Hintergrund installiert und ggf. Tastatureingaben mitloggt. Mal Hand aufs Herz: Wenn das System nach einem Neustart nach dem Passwort fragt, und sich dieser Vorgang nie wieder wiederholt - wie viele von euch klicken auf "abbrechen" und unterziehen den Rechner mit Hilfe eines zweiten Systems einer Inspektion - wieviele von euch KÖNNEN das überhaupt? Na also.
Dann läuft die Malware eben auf Userbasis. Nur weil sie weniger Rechte hat, heisst das nicht, daß die Katastrophe kleiner ist. Man stelle sich vor, die Malware löscht auf dem Rechner alles, was sie löschen DARF - es bleibt ein nacktes System, welches zudem korrumpiert ist. Toll - das System wäre in 30 Minuten neu aufgespielt gewesen, aber die ganzen Dateien des Users sind weg! Hölle! Verdammnis!
Den Mac-Usern steht etwas bevor, was wir Linuxer leider schon hinter uns haben. Wir haben auch immer über Windows gelacht, wegen der vielen Löcher und offener Ports und dergleichen.
Und dann kamen einfach mal ein paar ssh-Exploits, die schneller ausgenutzt wurden als die Patches kamen.
Und dann wurden plötzlich Sicherheitslücken von den BÖSEN Jungs gefunden, bevor die GUTEN sie kannten. Schwupps, waren alle Debian-Server auf.
Und dann kamen Unmengen von Hobby-Schraubern, die auch einen kewlen Linux-Gameserver haben wollten, hatten von Tuten und Blasen so ganz und gar keine Ahnung und schufen mit ihren Debakel-Installationen die Basis für distributierte Attacken.
Der Grund dafür, warum viele Profis Macs für unsicher hält, liegt darin, daß Apple ein paar Regeln verletzt hat, die doch soooo unverständlich gar nicht sind:
1. Auf einen Rechner mit Netzkontakt gehört nur Software, die man BRAUCHT.
Keep it small and simple. Paff Paff. Regel 1. Auf die Fresse. Small. And. Simple.
Apple ballert ftpd und httpd und smb und ssh und weissderhenkerwas auf die Kisten. Wenn in einem aktiven Dienst ein Sicherheitsloch auftaucht, werden die deaktivierten Programme zu Waffen in der Hand des Crackers. Oder sind die Mac-User vielleicht fähig, das zu erkennen? "Ne, ftp läuft bei mir nicht - das Häkchen ist aus"...
2. Auf einen Server gehört keine grafische Oberfläche.
3. Serverdienste gehören nicht in die Hände von Laien.
4. Paketfilter ("Firewalls") konfiguriert man, indem man einen dicken Ordner Doku liest und das Problem BEGREIFT.
Nicht, indem man ein Häkchen bei "Sicher" macht.
Derzeit ist die OS-X-Plattform nicht sehr Attraktiv für Angreifer. Die Zahl der mit fester IP an schneller Leitung hängenden Kisten ist sehr, sehr gering, und genau solche Kisten will man übernehmen - und nicht den Desktop von Lieschen Müller. Auf dem muß man ja erstmal Software installieren, damit man die Kiste bei der Wiedereinwahl ins Netz wiederfindet. Derzeit finden Angriffe primär auf die typischen Serverplattformen statt, und da ist ein Mac eben ein ganz extremer Exot, verglichen mit dem Desktop-Markt.
Mit "sicher" hat das nichts zu tun.
Der erste Schritt auf dem Weg zum gecrackt-werden ist der Irrglaube, man sei "sicher".
Gruß, Ratti
Natürlich sind Macs nicht sicher. Genau so wenig, wie Windows-Kisten oder BSD oder Linux sicher ist. Es ist auch völlig sinllos, aufzuzählen, wer mehr Türchen in seinem System hat. EINE Tür reicht.
Der Mac-Community steht eine unangenehme Erfahrung noch bevor: Das Problem sind nicht wirklich offene Ports oder Buffer Overflows, ScriptExploits oder irgend so'n Hühnerkram.
Das Problem sitzt vor dem Rechner, patscht auf alles drauf, was bunt aussieht und hat keine Ahnung, was er da tut.
Nimm ein beliebiges Shell-Script, verpass ihm ein Titten-Icon, nenn die Datei "Virgin.at.your.command" und schicke es an 100 Mac User. Da hast du dein Exploit. Wozu Lücken im System suchen? 30% der Empfänger werden, vom allmächtigen Rechner nach ihrem Passwort gefragt, es halt eintippen.
Ärgerlicherweise verkommt jede Sicherheitsdiskussion zum System-Streit.
Es kann ja nicht angehen, daß der Nachbar den längeren hat. Also wird übertrieben und beschönigt. "Windows hat mehr Löcher." Ja. Und? Wenn der Nachbar alle vier Autotüren unverschlossen lässt, stehen wir mit nur einer offenen besser da? Erklär das mal deiner Versicherung...
Der allergrößte Mythos ist der vom "sicheren System" wegen irgendwelcher "root" oder "Admin"-Rechte. Ja, es ist richtig: In einem vernünftig eingerichteten System hat der User (und damit jeder, der seinen Account aufmacht) nicht das Recht, einen Webserver zu installieren, das System zu modifizieren oder dergleichen. Gut. Aber: Na und?
Damit wird nicht verhindert, daß ein Schadprogramm sich über Mails weiterverbreitet. Damit wird nicht verhindert, daß ein Programm dann eben auf einem Highport einen Serverdienst einrichtet. Damit wird nicht verhindert, daß dieses Programm sich im Hintergrund installiert und ggf. Tastatureingaben mitloggt. Mal Hand aufs Herz: Wenn das System nach einem Neustart nach dem Passwort fragt, und sich dieser Vorgang nie wieder wiederholt - wie viele von euch klicken auf "abbrechen" und unterziehen den Rechner mit Hilfe eines zweiten Systems einer Inspektion - wieviele von euch KÖNNEN das überhaupt? Na also.
Dann läuft die Malware eben auf Userbasis. Nur weil sie weniger Rechte hat, heisst das nicht, daß die Katastrophe kleiner ist. Man stelle sich vor, die Malware löscht auf dem Rechner alles, was sie löschen DARF - es bleibt ein nacktes System, welches zudem korrumpiert ist. Toll - das System wäre in 30 Minuten neu aufgespielt gewesen, aber die ganzen Dateien des Users sind weg! Hölle! Verdammnis!
Den Mac-Usern steht etwas bevor, was wir Linuxer leider schon hinter uns haben. Wir haben auch immer über Windows gelacht, wegen der vielen Löcher und offener Ports und dergleichen.
Und dann kamen einfach mal ein paar ssh-Exploits, die schneller ausgenutzt wurden als die Patches kamen.
Und dann wurden plötzlich Sicherheitslücken von den BÖSEN Jungs gefunden, bevor die GUTEN sie kannten. Schwupps, waren alle Debian-Server auf.
Und dann kamen Unmengen von Hobby-Schraubern, die auch einen kewlen Linux-Gameserver haben wollten, hatten von Tuten und Blasen so ganz und gar keine Ahnung und schufen mit ihren Debakel-Installationen die Basis für distributierte Attacken.
Der Grund dafür, warum viele Profis Macs für unsicher hält, liegt darin, daß Apple ein paar Regeln verletzt hat, die doch soooo unverständlich gar nicht sind:
1. Auf einen Rechner mit Netzkontakt gehört nur Software, die man BRAUCHT.
Keep it small and simple. Paff Paff. Regel 1. Auf die Fresse. Small. And. Simple.
Apple ballert ftpd und httpd und smb und ssh und weissderhenkerwas auf die Kisten. Wenn in einem aktiven Dienst ein Sicherheitsloch auftaucht, werden die deaktivierten Programme zu Waffen in der Hand des Crackers. Oder sind die Mac-User vielleicht fähig, das zu erkennen? "Ne, ftp läuft bei mir nicht - das Häkchen ist aus"...
2. Auf einen Server gehört keine grafische Oberfläche.
3. Serverdienste gehören nicht in die Hände von Laien.
4. Paketfilter ("Firewalls") konfiguriert man, indem man einen dicken Ordner Doku liest und das Problem BEGREIFT.
Nicht, indem man ein Häkchen bei "Sicher" macht.
Derzeit ist die OS-X-Plattform nicht sehr Attraktiv für Angreifer. Die Zahl der mit fester IP an schneller Leitung hängenden Kisten ist sehr, sehr gering, und genau solche Kisten will man übernehmen - und nicht den Desktop von Lieschen Müller. Auf dem muß man ja erstmal Software installieren, damit man die Kiste bei der Wiedereinwahl ins Netz wiederfindet. Derzeit finden Angriffe primär auf die typischen Serverplattformen statt, und da ist ein Mac eben ein ganz extremer Exot, verglichen mit dem Desktop-Markt.
Mit "sicher" hat das nichts zu tun.
Der erste Schritt auf dem Weg zum gecrackt-werden ist der Irrglaube, man sei "sicher".
Gruß, Ratti