Hallo KaaLUGs,

die Paranoiker unter uns können sich ganz leicht entspannen:
www.golem.de/news/wikileaks-die-cia-kocht-nur-mit-wasser-und-lokalen-root-exploits-1703-126602.html

CIA ist doch nicht der böse Wolf.

Liebe Grüße,
KlaRen

Na, dennoch würde ich die jetzt nicht unbedingt zu meinen Freunden zählen. Und dies sollte rund 4 Jahre nach Snowden willkommener Anlass sein, die Sicherheitsdiskussion nicht aufzugeben. Interessant fände ich in dem Zusammenhang, was BSD denn so besser als Linux machen soll.

Hi Dr. Tux,

nein, es sollte keinesfalls dazu führen, das man Sicherheitsbelange schleifen läßt. Passiert sowieso viel zu häufig in freier Wildbahn... das richtige Maß zu finden ist die Kunst. Nicht paranoid aber auch nicht komplett sorglos.

Liebe Grüße,
KlaRen

Hi,
@Dr.Tux

Interessant fände ich in dem Zusammenhang, was BSD denn so besser als Linux machen soll.

Das zu bewerten kommt auf die Betrachtungsweise an.
Linux ist bekanntlich nur ein Kernel, bereits der zum Booten benötigte Bootloader wie GRUB ist genauso aus dem GNU-Projekt wie viele der grundlegenden Unix-Werkzeuge und Systemdienste. Weitere Dienste wie CUPS, ALSA, Xorg runden das Grundsystem ab. Für die Systemsicherheit kann eigentlich nur die gewählte Distribution als ein weiteres Projekt sorgen, und schon sind die Verantwortlichkeiten breit gestreut.
Die BSDs haben als direkte UNIX-Abkömmlinge eine andere Code-Basis. Das oben beschriebene Grundsystem bildet eine Einheit. GNU-Pakete sind nicht drin enthalten, wer aber beispielsweise unbedingt mit bash statt ksh arbeiten möchte kann entsprechende Pakete aus den Ports nachinstallieren.
Speziell bei OpenBSD ist die Computersicherheit erklärtes Projektziel. Nur 2 ernsthafte Sicherheitslücken in soundsoviel Jahren hört sich aggressiv und vielversprechend an, beschränkt sich aber auf das installierte Grundsystem. Der http-Server mag Bestandteil des Grundsystems sein, wenn aber für einen öffentlichen Webauftritt mit CMS php und Datenbankserver nachinstalliert werden müssen, liegen diese bereits außerhalb der Wertung. In Richtung Desktopumgebung endet das Grundsystem beim X Window System mit Fenstermanager, jede nachinstallierte Anwendung wie Firefox oder LibreOffice, oder gar ganze Desktopumgebungen wie GNOME, KDE oder XFCE liegen auch hier außerhalb der Wertung. Vor diesem Hintergrund dürfte z. B. ein nach dem Securing-Debian-Handbuch aktiv gepflegtes Debian Stable dem OpenBSD mindestens ebenbürtig sein. Auch juristisch hat OpenBSD eine andere Grundlage. Soviel ich weiss unterliegt OpenBSD nicht der US-Gerichtsbarkeit sondern der von Kanada, und Vertraulichkeitsvereinbarungen von US-Firmen wie Intel oder Broadcom (Firmware) werden kategorisch abgelehnt, schlägt sich aber gegenüber Linux in der eingeschränkten Hardware-Unterstützung nieder.

@Klaren: Nach "Schnüffelgate", der aktuellen CIA-Veröffentlichung, dem BND-Schnüffellegalisierungsgesetz ("ausspionieren unter Freunden geht gar nicht" -> Wir machen das jetzt selbst!) und dem Terror-Thomas-Getöse kann ich dem leider nicht zustimmen.

@Rudi: Ich wollte jetzt nicht unbedingt eine philosophische Diskussion darüber führen, was Linux und BSD per Definition sind. Sondern eher im Kontext dessen, was man landläufig darunter versteht. Und das alle Browser und CMS sicherheitstechnischer Mist sind, setze ich als bekannt voraus, was auch nicht den Kern meiner Frage berührt. Mir ging es einzig und alleine um Erkenntnisse, warum die BSD-Distributionen im Kern angeblich sicherer als Linux-Distributionen sein sollen. Weil sie noch weniger verbreitet und daher ein noch uninteressanteres Angriffsziel sind? Weil ihre Basis kleiner und daher leichter auf Fehler zu kontrollieren ist? Bestimmt nicht, weil die SchnüffelNSAen unfähig sind, da einzubrechen.

@Dr. Tux: Ich sags gern nochmal. Das soll kein Freifahrtschein sein jetzt digital die Hosen runter zu lassen. Auch soll es nicht heißen, das man ab jetzt Securitythemen in den Schrank stellen und vergessen sollte.
Ich sage nur, dass ein aktuelles System Chancen hat die bösen Buben und die zu neugierigen Geister fürs erste auszusperren.

Mir ist bewusst, dass es vermutlich einige wertvolle Zero-Days auf dem Markt gibt und vermutlich auch in Zukunft geben wird. Mit denenen kann man dann doch um einiges herum... Aber gegen die muss man halt an-patchen, patchen, patchen. Mein tägliches Softwareupdate gib mir heute.
Aber letztlich zeigen die Wikilieaks doch, dass man auch da mit Wasser kocht. Es mag H20 genannt werden, ist aber nur Wasser.

Zu BSD fällt mir ein, dass der BSD Kernel ne Menge Treiber weniger hat. Das alleine verringert die Angriffsfläche.
Ich glaube auch, dass man bei BSD, anders als beim Linux Kernel, Kernel und Userland hermetischer trennt. Da gibt es unter Linux viele Aufweichungen, die komfortabel und mächtig sind aber vermutlich auch eher zu einer Sicherheitslücke führen können, da der Kernel immer mit maximalen Rechten arbeitet.
Dann habe ich mal gehört - und ich weiß nicht, ob da Linux eventuell nachgezogen hat - das BSD auch einen quasi eingebauten Schutz gegen die typischste aller Angriffe gegen Code enthält: Buffer Overflows. Sowas ist unter BSD wohl schlicht nicht möglich bzw. führt zu einem Segfault (Programmabsturz).

Aber schlechten Code im Userland kann man vermutlich auf allen Unixvarianten finden.
Da reicht dann eine Anfällige library XY oder an anfällige Client- oder Serversoftware die es sowohl in Linux als auch in BSD gibt.. und schwupps.. hat man auch ein BSD gehackt. Da gibt es Beispiele zu Hauf.

Liebe Grüße,
KlaRen

Nachtrag...

kaum hat mans geschrieben liegt auch schon Imagemagic in der Ubuntu update queue..

/Klaren

Bei Debian kamen die heute auch rein. Allerdings nicht zum ersten Mal. Das scheint so wie OpenSSL dauerkaputt zu sein.

Tja, leicht drüber lustig zu machen. Schwer es besser zu machen.
Jede von Menschen gemachte Software, so auch ein libreSSL wird in Probleme laufen.

Das Wiki spricht eine eindeutige Sprache: en.wikipedia.org/wiki/LibreSSL

Aber es zeigt auch, dass OpenSSL meistens im Vergleich der Verlierer ist.

Liebe Grüße,
KlaRen