https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

Welche Malware ist realistisch für Linux-User gefährlich? Wie sollte man sich verhalten?

wenn ein programm nach sudo fragt, einfach nicht geben^^

Verschlüsselungstrojaner benötigen zumeist keine root Rechte um ihre Wirkung zu entfalten, das ist das das gute an denen

ja, aber auch nur auf dem user acc.

Welche Malware ist realistisch für Linux-User gefährlich? Wie sollte man sich verhalten?

Jede Malware? Ansonsten wäre es ja keine Malware.

Man sollte den Rechner plattmachen und ein Backup einspielen. Wahrscheinlich will man auch seine Passwörter ändern.

Konkreter:
1. Was kann ich als root tun, um mein System abzusichern?
2. Was sollte ich als user unterlassen (außer root-PW an ungeeigneten Stellen einzugeben)?

Um was für ein System geht es denn eigentlich? Desktop, Server oder etwas anderes?

ja, aber auch nur auf dem user acc.
Was soll das fuer eine Einschraenkung sein?

Alle fuer einen solchen Angriff relevanten Daten sind fuer den user idR. zugaenglich. Systemdateien sind in null komma nichts wiederhergestellt, da waere ein Verschluesselungstrojaner scheissegal.

Was soll das fuer eine Einschraenkung sein?

Alle fuer einen solchen Angriff relevanten Daten sind fuer den user idR. zugaenglich. Systemdateien sind in null komma nichts wiederhergestellt, da waere ein Verschluesselungstrojaner scheissegal.
ich hatte 3 ebenen. die lowest ebene war fast wie ein gast acc. alles andere wird gebackupped.

die frage ist eher, wie schnell bemerkt man einen verschlüsselungstrojaner.

bemerkt man ihn wenn er fertig verschlüsselt hat, nach 3 tagen, oder nach 30 tagen. dann könnte das backup verseucht sein, aber u.U. les und rettbar sein.
Konkreter:
1. Was kann ich als root tun, um mein System abzusichern?
2. Was sollte ich als user unterlassen (außer root-PW an ungeeigneten Stellen einzugeben)?
regelmäßige backups.

Konkreter:
1. Was kann ich als root tun, um mein System abzusichern?
2. Was sollte ich als user unterlassen (außer root-PW an ungeeigneten Stellen einzugeben)?

Für private Belange (ohne Server mit div. Diensten):

Auf der Workstation den Browser incl. OS immer aktuell halten, sich von fragwürdigen Seiten fernhalten und den gesunden Menschenverstand gebrauchen insbes. bei eMails. Backups setze ich voraus. ;)

Man sollte (IMO) aber vor allem auf das eigene Netzwerk achten. Den ganzen IoT Kram wie Kameras, Türspion, SmartTVs etc. der von außen erreichbar sein "will" sollte man stark einschränken. Eigenes VLAN (für jedes Gerät), Bandbreitennutzung einschränken, Zugriff auf die Geräte nur innerhalb des eigenen Netzwerks erlauben (von außen nur via VPN über das interne Netz zugreifen), Internetzugriff komplett verweigern (wenn das Gerät den Dienst ohne nicht verweigert), Upnp am Router deaktivieren (wenn man nicht gerade die aktuellsten Spiele spielt oder eine Konsole sein eigen nennt). Gerade diese kleinen Gadgets erhalten i. d. R. nie ein Update und stellen die größte Gefahr im heimischen Bereich dar und "warten" regelmäßig mit Sicherheitslücken auf.

Auf der Workstation den Browser incl. OS immer aktuell halten, sich von fragwürdigen Seiten fernhalten und den gesunden Menschenverstand gebrauchen insbes. bei eMails. Backups setze ich voraus. ;)

Wenn er sein OS und seinen Browser aktuell hält, kann er sich auch auf "fragwürdigen" Webseiten aufhalten, was auch immer das genau sein soll. Aus Sicht des Browsers ist jede Webseite "fragwürdig". Das ist auch gut so.

Man sollte (IMO) aber vor allem auf das eigene Netzwerk achten. Den ganzen IoT Kram wie Kameras, Türspion, SmartTVs etc. der von außen erreichbar sein "will" sollte man stark einschränken. Eigenes VLAN (für jedes Gerät), Bandbreitennutzung einschränken, Zugriff auf die Geräte nur innerhalb des eigenen Netzwerks erlauben (von außen nur via VPN über das interne Netz zugreifen), Internetzugriff komplett verweigern (wenn das Gerät den Dienst ohne nicht verweigert), Upnp am Router deaktivieren (wenn man nicht gerade die aktuellsten Spiele spielt oder eine Konsole sein eigen nennt). Gerade diese kleinen Gadgets erhalten i. d. R. nie ein Update und stellen die größte Gefahr im heimischen Bereich dar und "warten" regelmäßig mit Sicherheitslücken auf.

Nichts davon sollte aber die Sicherheit an seinem Desktop beeinflussen.

naja, wenn die software für den desktop der internet of things kernschrott ist und diese internet zugang haben, dann sind sie ein potentielles einfallstor bei nutzung jener software.

aber brauchen diese cryptojaner nicht ebenfalls eine erlaubnis? allerdings wohl nicht, wenn der schadcode in der software integriert ist und man diese software nutzen will.

naja, wenn die software für den desktop der internet of things kernschrott ist und diese internet zugang haben, dann sind sie ein potentielles einfallstor bei nutzung jener software.

Welcher Hersteller bietet denn eine native Software für Desktop-Betriebssysteme an? Habe ich so in der Form noch nie gesehen.

Da ist das Problem dann auch nicht mehr das IoT-Gerät selbst, sondern die Software. Aber das ist ja ein allgemeines Problem. GNU/Linux hat in der Hinsicht exakt die gleichen Probleme wie jedes andere Betriebssystem auch. Wenn du einer Software nicht trauen kannst, dann bleibt dir nichts anderes übrig als sie nicht zu nutzen.

Die Distributionen liefern dir aber genau einen interessanten Vorteil: Du kannst dir aus einem oder mehreren von der Distribution gepflegten Repository weitere, kuratierte Software installieren. Abseits dieser Repositories hast du exakt die gleichen Probleme wie unter Windows.

aber brauchen diese cryptojaner nicht ebenfalls eine erlaubnis? allerdings wohl nicht, wenn der schadcode in der software integriert ist und man diese software nutzen will.

Erlaubnis für was? Wenn alle deine wichtigen Daten unter deinem Useraccount verfügbar sind, braucht die Software auch nur Userrechte, um sie zu verschlüsseln. Wenn du die Software ausführst, läuft sie mit deinen Userrechten und benötigt keine weiteren Rechte. Ich denke, dass iuno darauf auch hinaus wollte.

die frage ist eher, wie schnell bemerkt man einen verschlüsselungstrojaner.

bemerkt man ihn wenn er fertig verschlüsselt hat, nach 3 tagen, oder nach 30 tagen. dann könnte das backup verseucht sein, aber u.U. les und rettbar sein.

regelmäßige backups.
Die Frage ist eher wie werden die Backups erstellt und wie/wo werden diese gelagert.
Wenn diese z.B. via einem Programm/Cronjob - am besten noch unter dem eigenen User laufend - auf irgendeine externe Disk oder SMB/NFS share geschrieben werden, dann sind diese auch verschlüsselt (oder gelöscht), zusammen und quasi gleichzeitig mit den echten Daten.

Wenn er sein OS und seinen Browser aktuell hält, kann er sich auch auf "fragwürdigen" Webseiten aufhalten, was auch immer das genau sein soll. Aus Sicht des Browsers ist jede Webseite "fragwürdig". Das ist auch gut so.
Da meine ich vor allem die "Clickbate Sites" die man seit Jahren bei Google & Co. immer zuvorderst bei den Suchergebnissen antrifft und viele Menschen gar nicht realisieren, dass soetwas existiert. Die meisten davon sind "harmlos" im Sinne von ich verdiene mein Geld mit Null Inhalt und deinem Klick. Aber es gibt auch andere mit bösen Scripten die deinen Browser manipulieren. Hatte ich letztens wieder im Bekanntenkreis. Firefox blendet egal welche Seite aufgerufen wird Werbung ein. Ich konnte die Ursache nicht lokalisieren. Selbst das deinstallieren von Firefox mit Registry und Verzeichnisse reinigen hat nichts gebracht. Virenscanner war aktuell. Malwarescan keine Ergebnisse. Win10 platt gemacht. Mehr als CAD/Konstruktionsprogramme, Firefox und Office (ohne eMail Nutzung auf diesem Rechner) waren nicht auf diesem Arbeitsrechner eines Bauingenieurs.

Nichts davon sollte aber die Sicherheit an seinem Desktop beeinflussen.
Ich weiß dass Du auf die enge Definition des Fragestellers abstellst. Aber ich sehe das anders. Mein Destkopsystem ist je nach Umgebung anfälliger für Sicherheitsrisiken die ich von meinem Desktop aus nicht beeinflussen kann. Im Internetcafe surfe ich ja auch nicht ohne VPN. Aus gutem Grunde. Zu Hause hängt es eben davon ab wie die Umgebung aussieht. Habe ich Kinder/Jugendliche mit diversen nicht aktuellen Android Geräten und allerlei Software darauf im Netzwerk würde ich die von meinem Produktivsystem trennen wollen. Genauso den billigen IoT Kram der mit IPv6 eine Public IP hat und über Upnp alles machen kann was er will. Die dann genauso wie diverse Android Apps zu allerlei IPs/Urls Kontakt aufnehmen. Die dann irgendwann nicht mehr genutzt/gebraucht werden gehackt und/oder verkauft werden weil das Unternehmen nicht mehr existiert u. ä. Aber in den Geräten hardcoded sind. Selbst Microsoft ist das schon passiert.

Erlaubnis für was? Wenn alle deine wichtigen Daten unter deinem Useraccount verfügbar sind, braucht die Software auch nur Userrechte, um sie zu verschlüsseln. Wenn du die Software ausführst, läuft sie mit deinen Userrechten und benötigt keine weiteren Rechte. Ich denke, dass iuno darauf auch hinaus wollte.

Dem kann man sowohl unter Linux als auch unter Windows begegnen indem man ein Konto nur fürs surfen anglegt. Den Browser kann man dann auf dem Hauptbenutzerkonto ganz normal benutzen. Schwieriger wird es dann wenn man etwas hochladen möchte. Da muss man dann mit shared directories arbeiten.

Die meisten davon sind "harmlos" im Sinne von ich verdiene mein Geld mit Null Inhalt und deinem Klick. Aber es gibt auch andere mit bösen Scripten die deinen Browser manipulieren. Hatte ich letztens wieder im Bekanntenkreis. Firefox blendet egal welche Seite aufgerufen wird Werbung ein. Ich konnte die Ursache nicht lokalisieren. Selbst das deinstallieren von Firefox mit Registry und Verzeichnisse reinigen hat nichts gebracht. Virenscanner war aktuell. Malwarescan keine Ergebnisse.

Kein JavaScript-Programm kann einfach so aus einem Browser ausbrechen. Es ist sogar eher so, dass ein moderner Browser sehr wahrscheinlich die einzige Umgebung an einem Desktop-Rechner ist, welche relativ sicher unbekannten Code ausführen kann ohne irgendeinen Schaden am Browser oder darunterliegenden Betriebssystem zu verursachen, solange es keine ungefixten Sicherheitslücken gibt.

Sehr wahrscheinlich hat dein Bekannter ein separates, schädliches Programm runtergeladen und es installiert. Dafür spricht ja auch, dass du die Ursache nicht finden oder mit dem Browser in Verbindung bringen konntest.

Ich weiß dass Du auf die enge Definition des Fragestellers abstellst. Aber ich sehe das anders. Mein Destkopsystem ist je nach Umgebung anfälliger für Sicherheitsrisiken die ich von meinem Desktop aus nicht beeinflussen kann. Im Internetcafe surfe ich ja auch nicht ohne VPN. Aus gutem Grunde.

Welcher ist denn der Grund? Praktisch die gesamte Kommunikation im Web läuft mittlerweile per HTTPS bzw. TLS. Smartphone-Hersteller blocken gar mittlerweile Apps, die mit externen APIs ohne TLS kommunizieren.

Ich benutze auch manchmal mein eigenes VPN, aber nicht aus Sicherheitsgründen. In manchen offenen WLANs sind manchmal Ports geblockt oder es wird portbasiert gedrosselt und mit VPNs kann man das oft umgehen. Das ist für mich eigentlich der einzige Grund.

Zu Hause hängt es eben davon ab wie die Umgebung aussieht. Habe ich Kinder/Jugendliche mit diversen nicht aktuellen Android Geräten und allerlei Software darauf im Netzwerk würde ich die von meinem Produktivsystem trennen wollen. Genauso den billigen IoT Kram der mit IPv6 eine Public IP hat und über Upnp alles machen kann was er will. Die dann genauso wie diverse Android Apps zu allerlei IPs/Urls Kontakt aufnehmen. Die dann irgendwann nicht mehr genutzt/gebraucht werden gehackt und/oder verkauft werden weil das Unternehmen nicht mehr existiert u. ä. Aber in den Geräten hardcoded sind. Selbst Microsoft ist das schon passiert.

Aber welches dieser Beispiele beeinträchtigt die Sicherheit deiner Rechner? Ich sehe da nicht so den Zusammenhang.

Wenn die Android-Smartphones keine Updates bekommen, dann ist das nicht gut, aber rein konzeptionell ist jede Software auf einem Android-Smartphone besser isoliert als jede native Software auf einem Desktop-Betriebssystem. Das ist nicht einmal ein entfernter Vergleich. Die meisten Desktop-Betriebssysteme hinken Android und iOS in mancher Hinsicht locker 10 Jahre hinterher.

Dem kann man sowohl unter Linux als auch unter Windows begegnen indem man ein Konto nur fürs surfen anglegt. Den Browser kann man dann auf dem Hauptbenutzerkonto ganz normal benutzen. Schwieriger wird es dann wenn man etwas hochladen möchte. Da muss man dann mit shared directories arbeiten.

Wahrscheinlich ist dein Browser die am stärksten gehärtete Software auf deinem Rechner. Du ziehst das Pferd von hinten auf: Nicht dein Browser bedarf einer besonderen Isolation, sondern jedes andere Programm auf deinem Rechner ist verglichen mit einem modernen Browser ein sicherheitstechnischer Schweizer Käse.

Kein JavaScript-Programm kann einfach so aus einem Browser ausbrechen. Es ist sogar eher so, dass ein moderner Browser sehr wahrscheinlich die einzige Umgebung an einem Desktop-Rechner ist, welche relativ sicher unbekannten Code ausführen kann ohne irgendeinen Schaden am Browser oder darunterliegenden Betriebssystem zu verursachen, solange es keine ungefixten Sicherheitslücken gibt.

Sehr wahrscheinlich hat dein Bekannter ein separates, schädliches Programm runtergeladen und es installiert. Dafür spricht ja auch, dass du die Ursache nicht finden oder mit dem Browser in Verbindung bringen konntest.


Eben das genau meinte ich eben mit fragwürdigen Seiten vermeiden. Der Laie tappt schnell in die Falle wenn er z. B. für irgendeinen uralt Drucker oder andere Pheripherie Treiber im WWW sucht.



Welcher ist denn der Grund? Praktisch die gesamte Kommunikation im Web läuft mittlerweile per HTTPS bzw. TLS. Smartphone-Hersteller blocken gar mittlerweile Apps, die mit externen APIs ohne TLS kommunizieren.

Ich benutze auch manchmal mein eigenes VPN, aber nicht aus Sicherheitsgründen. In manchen offenen WLANs sind manchmal Ports geblockt oder es wird portbasiert gedrosselt und mit VPNs kann man das oft umgehen. Das ist für mich eigentlich der einzige Grund.

VPN benutze ich nicht wegen Verschlüsselung allgmein sondern um Angriffen z. B. aus einem Hotelnetzwerk vorzubeugen. Die Clients sind zwar meist isoliert. Aber nicht immer. Das hatte ich auch schon in größeren Hotel Wifis. Hinzu kommt, dass ich nicht jedem 0815-Cafe-Bar Admin über den Weg traue. Und wenn ich schon ohne VPN herumsurfe weil HTTPS so toll ist, weil unknackbar, müsste ich in einem fremden Netz konsequenter Weise auch DNSSEC einsetzen. Da kann ich auf meinem Android gleich Wirguard starten und der Käse ist gegessen.


Aber welches dieser Beispiele beeinträchtigt die Sicherheit deiner Rechner? Ich sehe da nicht so den Zusammenhang.

Wenn die Android-Smartphones keine Updates bekommen, dann ist das nicht gut, aber rein konzeptionell ist jede Software auf einem Android-Smartphone besser isoliert als jede native Software auf einem Desktop-Betriebssystem. Das ist nicht einmal ein entfernter Vergleich. Die meisten Desktop-Betriebssysteme hinken Android und iOS in mancher Hinsicht locker 10 Jahre hinterher.

Wie gesagt ich betrachte die Workstation als Teil des Ganzen und nicht isoliert. Danach sollte man seine Sicherheitsmaßnahmen ausrichten. Jedes Gerät, jede Software ist per se potentiell fehleranfällig und angreifbar. Je mehr ich davon in der Umgebung meiner Worksation habe umso gefährdeter bin ich. Mit den IoTs ist es IMO nichts anders als mit den Druckern die früher sogar über das Internet für jedermann erreichbar waren und übernommen werden konnten. Gleiches hatten wir schon bei IP Kameras und Routern. Alles wurde immer wieder nachgebessert. Ich verweise einmal darauf:

https://www.heise.de/news/Keine-Ueberraschung-nach-Frauenhofer-Test-Viele-Home-Router-unsicher-4798342.html

Klar ist das heute nicht mehr so dramatisch. Aber immer noch aktuell insbes. in Bezug auf neue Gerätegattungen. Die meisten Router in meinem Bekanntenkreis sind 5 Jahre und älter. Dat Ding läuft.


Wahrscheinlich ist dein Browser die am stärksten gehärtete Software auf deinem Rechner. Du ziehst das Pferd von hinten auf: Nicht dein Browser bedarf einer besonderen Isolation, sondern jedes andere Programm auf deinem Rechner ist verglichen mit einem modernen Browser ein sicherheitstechnischer Schweizer Käse.

Heute schon. Früher nicht. Ich machs halt noch immer so. Ist kein Aufwand. Und mit den meisten anderen Programmen baue ich keine oder nur wenige Verbindungen zu vielen anderen Rechnern auf die potentiell gefährlich sind. Ein Browser ist DIE Schnittstelle ins Internet.

Ich pers. würde meinen, dass ich mir keinen Verschlüsselungstrojaner herunterlade und ausführe. Aber man sieht es ja, die Typen mit ihren Verschlüsselungstrojanern verdienen gut Geld, weil genug unbedarfte/unaufmerksame User auf Links im WWW klicken. Und man weiß nie was passiert und welche Lücke als nächstes daher kommt. Insofern ...

Eben das genau meinte ich eben mit fragwürdigen Seiten vermeiden. Der Laie tappt schnell in die Falle wenn er z. B. für irgendeinen uralt Drucker oder andere Pheripherie Treiber im WWW sucht.

Das hat ja aber dann nichts mehr mit dem Browser zu tun.

VPN benutze ich nicht wegen Verschlüsselung allgmein sondern um Angriffen z. B. aus einem Hotelnetzwerk vorzubeugen. Die Clients sind zwar meist isoliert. Aber nicht immer. Das hatte ich auch schon in größeren Hotel Wifis. Hinzu kommt, dass ich nicht jedem 0815-Cafe-Bar Admin über den Weg traue.

Na ja, genau deshalb benutzen heute alle Webservices HTTPS. Eben damit man weder dem 0815-Admin noch allgemein dem Netzwerk trauen muss.

Und wenn ich schon ohne VPN herumsurfe weil HTTPS so toll ist, weil unknackbar, müsste ich in einem fremden Netz konsequenter Weise auch DNSSEC einsetzen. Da kann ich auf meinem Android gleich Wirguard starten und der Käse ist gegessen.

DNSSEC liefert dir genau keinen Vorteil, wenn ein Dienst HTTPS oder allgemein TLS nutzt. Wenn jemand versucht DNS-Anfragen zu manipulieren, dann wird dein Browser sehr stark Alarm schlagen, weil die Validierung der Zertifikate fehlschlagen wird. Er wird dir eine dicke Fehlermeldung anzeigen und dich je nach Browser auch gar nicht auf die Webseite lassen. Das kannst du gerne selbst ausprobieren.

DNSSEC ist heute obsoleter denn je, eben weil wir so eine hohe Verbreitung von HTTPS haben.

Wie gesagt ich betrachte die Workstation als Teil des Ganzen und nicht isoliert. Danach sollte man seine Sicherheitsmaßnahmen ausrichten. Jedes Gerät, jede Software ist per se potentiell fehleranfällig und angreifbar. Je mehr ich davon in der Umgebung meiner Worksation habe umso gefährdeter bin ich.

Selbst wenn du 10.000 unsichere Geräte in deinem Netzwerk hast, wird keins eine TLS-Verbindung aufbrechen können. Die Menge macht da einfach keinen Unterschied. Genau das ist ja der Sinn hinter solchen kryptografischen Protokollen.

Mit den IoTs ist es IMO nichts anders als mit den Druckern die früher sogar über das Internet für jedermann erreichbar waren und übernommen werden konnten. Gleiches hatten wir schon bei IP Kameras und Routern.

Da waren die aber von außen erreichbar. Die allermeisten IoT-Geräte hängen noch immer hinter einer Firewall, weil die allermeisten Consumer-Router eben so vorkonfiguriert sind. Ich weiß auch nicht, warum du im letzten Post speziell IPv6 genannt hast. Glaubst du, dass die Firewall-Konfiguration für IPv6 so fundamental von IPv4 bei Consumer-Router abweicht? Bist jetzt kenne ich das eigentlich nur so, dass die die Firewall-Regeln für IPv4 bei IPv6 ziemlich 1:1 umsetzen.

IoT-Geräte sind oft mit Webservices der Hersteller verbundelt, aber das ist schon ein etwas anderer Fall als von seinem eigenen Anschluss Dienste offen ins Internet zu stellen.

Heute schon. Früher nicht. Ich machs halt noch immer so. Ist kein Aufwand. Und mit den meisten anderen Programmen baue ich keine oder nur wenige Verbindungen zu vielen anderen Rechnern auf die potentiell gefährlich sind. Ein Browser ist DIE Schnittstelle ins Internet.

Und das macht die Sicherheit moderner Browser inwiefern schlechter? Ist es nicht eher gut, dass die zentrale Schnittstelle ins Web so gut gesichert ist?

Ich pers. würde meinen, dass ich mir keinen Verschlüsselungstrojaner herunterlade und ausführe. Aber man sieht es ja, die Typen mit ihren Verschlüsselungstrojanern verdienen gut Geld, weil genug unbedarfte/unaufmerksame User auf Links im WWW klicken. Und man weiß nie was passiert und welche Lücke als nächstes daher kommt. Insofern ...

Das stimmt, aber es sind alles eben keine "Lücken". Das wird man auch nur durch signierte und / oder kuratierte Software beheben können. Die Sicherheit deines Netzwerks spielt dafür (zum Glück) auch gar keine Rolle.

Na ja, genau deshalb benutzen heute alle Webservices HTTPS. Eben damit man weder dem 0815-Admin noch allgemein dem Netzwerk trauen muss.

Das sehe ich anders. Nach Deiner lesart kann jede Firma auf einen VPN gleich ganz verzichten weil die meisten Applikationen heute über den Browser abgewickelt werden und der alleine sicher genug ist.


DNSSEC liefert dir genau keinen Vorteil, wenn ein Dienst HTTPS oder allgemein TLS nutzt. Wenn jemand versucht DNS-Anfragen zu manipulieren, dann wird dein Browser sehr stark Alarm schlagen, weil die Validierung der Zertifikate fehlschlagen wird. Er wird dir eine dicke Fehlermeldung anzeigen und dich je nach Browser auch gar nicht auf die Webseite lassen. Das kannst du gerne selbst ausprobieren.

DNSSEC ist heute obsoleter denn je, eben weil wir so eine hohe Verbreitung von HTTPS haben.

Das sehe ich nicht so. Zertifikate sind kein Allheilmittel. Da wird der Registrar gehackt und dutzende Zertifikate ausgestellt ohne, dass es die betreffende Firma bemerkt:

https://www.heise.de/security/meldung/Zwei-weitere-Comodo-SSL-Registrare-gehackt-1219420.html

Microsoft ist nicht in der Lage seine eigenen Domains zu kontrollieren:

https://www.golem.de/news/gefaelschtes-zertifikat-microsoft-antwortet-vier-jahre-nicht-auf-warnung-1503-113052.html

Ich habe nicht alle Sachen die diesbezüblich passieren/passiert sind im Kopf. Findet sich bestimmt noch mehr. Ich achte schon gar nicht mehr auf jede einzelne Meldung. Es sind einfach zu viele. Eben auch von Produkten/Software die ich gar nicht nutze.

Selbst die UEFI Zertifikate die MS für Grub signiert hat sind seit dieser Woche aufgrund eines Fehlers in Grub für die Tonne. Dauert bestimmt auch wieder einige Zeit bis die im UEFI über ein MS Update "aktualisiert" sind.

Zudem habe ich auch schon erlebt, dass sämtlicher DNS Verkehr im Public Wifi umgeleitet wurde. Port 53,853,5353 tcp/udp. Spätestens dann brauche ich sowieso wieder einen VPN.

Ich will über das für und wieder hier nicht weiter diskutieren, da es mir zu müssig ist jedes mal darüber nachzudenken warum, weshalb, wieso. Die Erfahrung hat es mich gelehrt. Es gibt meiner Meinung nach genug Gründe die dafür sprechen einen VPN in fremden Netzwerken zu empfehlen.


Selbst wenn du 10.000 unsichere Geräte in deinem Netzwerk hast, wird keins eine TLS-Verbindung aufbrechen können. Die Menge macht da einfach keinen Unterschied. Genau das ist ja der Sinn hinter solchen kryptografischen Protokollen.

Aber es kann Dein Netzwerk übernehmen und auf längere Sicht Deine Rechner und alles so direkt mitlesen.


Da waren die aber von außen erreichbar. Die allermeisten IoT-Geräte hängen noch immer hinter einer Firewall, weil die allermeisten Consumer-Router eben so vorkonfiguriert sind. Ich weiß auch nicht, warum du im letzten Post speziell IPv6 genannt hast. Glaubst du, dass die Firewall-Konfiguration für IPv6 so fundamental von IPv4 bei Consumer-Router abweicht? Bist jetzt kenne ich das eigentlich nur so, dass die die Firewall-Regeln für IPv4 bei IPv6 ziemlich 1:1 umsetzen.

IoT-Geräte sind oft mit Webservices der Hersteller verbundelt, aber das ist schon ein etwas anderer Fall als von seinem eigenen Anschluss Dienste offen ins Internet zu stellen.

Sehe ich auch anders. Viele dieser Geräte offerieren Zugriffskontrolle von Außen. Sei es nur um die Heizung im Winter vor dem nach Hause fahren von der Arbeit einzuschalten.

https://www.heise.de/security/meldung/Sicherheitsluecken-in-IP-Kameras-Abus-bietet-Tauschprogramm-4419944.html

Gerade mal etwas über ein Jahr her.

Und das macht die Sicherheit moderner Browser inwiefern schlechter? Ist es nicht eher gut, dass die zentrale Schnittstelle ins Web so gut gesichert ist?

Ich habe die Sicherheit von Browsern nicht generell in Frage gestellt. Ich stelle nur darauf ab, dass immer wieder Lücken aufgetreten sind und werden. Ich fange jetzt nicht an jede Lücke einzeln aufzuführen. Ich erinnere mich noch an ein ESR Firefox Build von vor ~ 2-3 Jahren vor dem sogar das BSI eine Warnung herausgegeben hatte, weil man über ein simples Script Programme mit den Rechten des Firefox Update Dienstes ausführen konnte. Da nutzt mir HTTPS auch nichts mehr insbes. wenn das Script von einer "vertrauenswürdigen" Microsoft Seite (siehe oben) kommt.

Wir sind im Browser Markt im Grunde von einer Monokultur (IE) zur nächsten (Chrome) gewandert. Ich mag Monokulturen nicht und halte sie für bedenklich wenn es um Sicherheit geht. Man muss und kann nicht alles mit dem Browser machen. Ich pers. benutze z. B. auch noch Programme die nicht verschlüsseln oder HTTPS unterstützen.


Das stimmt, aber es sind alles eben keine "Lücken". Das wird man auch nur durch signierte und / oder kuratierte Software beheben können. Die Sicherheit deines Netzwerks spielt dafür (zum Glück) auch gar keine Rolle.

Du verstehst meine Einstellung zu diesem Thema offensichtlich nicht. Ich betrachte die Gesamtheit. Auch ein unbedarfter User bedroht die Sicherheit meines Netzwerks und damit meiner Workstation. Darauf habe ich von Anfang an der Diskussion abgezielt z. B. das Netzwerk sinnvoll aufzuteilen.

Ich will es keinem Aufzwingen sondern lediglich empfehlen.

Das sehe ich anders. Nach Deiner lesart kann jede Firma auf einen VPN gleich ganz verzichten weil die meisten Applikationen heute über den Browser abgewickelt werden und der alleine sicher genug ist.

Genau das ist die logische Konsequenz. Siehe auch das Beyond-Corp-Modell.

Ich will dich nicht desillusionieren, aber die meisten Enterprise-VPNs sind vollkommen falsch konfiguriert (3DES-basierte Ciphersuites sind keine Seltenheit) oder haben teilweise haarsträubende Sicherheitslücken. Siehe Zombie POODLE.

Die meisten Unternehmen entscheiden sich nicht zwischen TLS / HTTPS und State-of-the-Art-VPN-Software wie Wireguard, sondern zwischen ihrem mit Heißkleber zusammengehaltenen Enterprise-VPN und TLS.

Ich will damit auch nicht sagen, dass alle Unternehmen von heute auf Morgen ihre VPNs abschaffen werden, sondern dass der Sicherheitsaspekt von VPNs eine immer geringere Rolle spielen wird.

Das sehe ich nicht so. Zertifikate sind kein Allheilmittel. Da wird der Registrar gehackt und dutzende Zertifikate ausgestellt ohne, dass es die betreffende Firma bemerkt:

https://www.heise.de/security/meldung/Zwei-weitere-Comodo-SSL-Registrare-gehackt-1219420.html

Microsoft ist nicht in der Lage seine eigenen Domains zu kontrollieren:

https://www.golem.de/news/gefaelschtes-zertifikat-microsoft-antwortet-vier-jahre-nicht-auf-warnung-1503-113052.html

Ich behaupte nicht, dass es perfekt ist, sondern nur, dass die aktuelle Web-PKI deutlich besser als alle anderen Alternativen ist.

Ich habe nicht alle Sachen die diesbezüblich passieren/passiert sind im Kopf. Findet sich bestimmt noch mehr. Ich achte schon gar nicht mehr auf jede einzelne Meldung. Es sind einfach zu viele. Eben auch von Produkten/Software die ich gar nicht nutze.

Es passiert viel in der IT-Welt. Ich habe auch nicht alle Meldungen zu jedem Thema im Kopf.

Zudem habe ich auch schon erlebt, dass sämtlicher DNS Verkehr im Public Wifi umgeleitet wurde. Port 53,853,5353 tcp/udp. Spätestens dann brauche ich sowieso wieder einen VPN.

Habe ich auch und das ist nervig, aber kein Sicherheitsrisiko per se. Du wirst eben korrekterweise einen Zertifikatsfehler bekommen und bei Webseiten mit HSTS auch gar keine Möglichkeiten haben die "falsche" Webseite aufzurufen.

Aber es kann Dein Netzwerk übernehmen und auf längere Sicht Deine Rechner und alles so direkt mitlesen.

Aber was sollen sie mitlesen? Meine gehosteten Dienste haben alle eine sichere TLS-Konfiguration und aktives HSTS. In meinem eigenen Netzwerk verbinde ich mich zwischen den Rechnern nur per SSH. Dateien übertrage ich auch nur per SSH / SFTP, weil mittlerweile jedes Betriebssystem einen Client mitbringt und es der kleinste gemeinsame Nenner ist.

Ich habe jetzt nicht so sehr ein Problem damit, dass irgendwelche Rechner verschlüsselten Traffic mitlesen.

Ich habe die Sicherheit von Browsern nicht generell in Frage gestellt. Ich stelle nur darauf ab, dass immer wieder Lücken aufgetreten sind und werden. Ich fange jetzt nicht an jede Lücke einzeln aufzuführen. Ich erinnere mich noch an ein ESR Firefox Build von vor ~ 2-3 Jahren vor dem sogar das BSI eine Warnung herausgegeben hatte, weil man über ein simples Script Programme mit den Rechten des Firefox Update Dienstes ausführen konnte. Da nutzt mir HTTPS auch nichts mehr insbes. wenn das Script von einer "vertrauenswürdigen" Microsoft Seite (siehe oben) kommt.

Ich kann nur immer wieder betonen: Es gibt keine "vertrauenswürdigen" Webseiten im Web, wie du es dir vorstellst. Du vermischst hier auch das Threat Model von TLS mit dem des Browsers. TLS liefert dir keine "vertrauenswürdigen" Webseiten, sondern eine (authentifizierte) Transportverschlüsselung zu einem bestimmten Endpunkt. Wenn du das grüne Schloss im Browser siehst, bedeutet das nur, dass du dem Netzwerk zwischen dir und dem Endpunkt nicht vertrauen musst.

Egal ob der (schädliche) Code von microsoft.com oder von rule34.xxx kam, behandelt der Browser den nicht irgendwie anders. Dein Browser ist so ziemlich deine am stärksten gehärtete Umgebung neben einer separaten VM. Wenn da ein RCE möglich ist, dann ist das eine sehr ernste Sicherheitslücke. Auch aus einer VM kann man theoretisch ausbrechen, aber üblich sind solche Lücken eher nicht. Eben genau wie RCEs gegen Browser.

Kein Browser ist perfekt, aber ich kann dir garantieren, dass die Wahrscheinlichkeit für einen RCE bei jeder anderen Software zu finden deutlich höher ist als bei einem der Browser. Man sollte übrigens auch dazu sagen, dass Firefox ESR eine fette Warnung auf der Download-Webseite hat, dass er sicherheitstechnisch den normalen Releases hinterherhinkt und nicht einmal alle Sicherheitspatches zurückportiert werden.

Wir sind im Browser Markt im Grunde von einer Monokultur (IE) zur nächsten (Chrome) gewandert. Ich mag Monokulturen nicht und halte sie für bedenklich wenn es um Sicherheit geht. Man muss und kann nicht alles mit dem Browser machen. Ich pers. benutze z. B. auch noch Programme die nicht verschlüsseln oder HTTPS unterstützen.

Ich mache auch nicht alles mit dem Browser. TLS und HTTPS sind ja nicht auf den Browser beschränkt.

Ich benutze auch relativ viel Software, die bewusst nativ gar kein TLS oder HTTPS unterstützt. Deshalb packt man die hinter einen Reverse Proxy, welcher der stellvertretende TLS-Endpunkt ist. Das ist normal und vollkommen richtig so.

Du verstehst meine Einstellung zu diesem Thema offensichtlich nicht. Ich betrachte die Gesamtheit. Auch ein unbedarfter User bedroht die Sicherheit meines Netzwerks und damit meiner Workstation. Darauf habe ich von Anfang an der Diskussion abgezielt z. B. das Netzwerk sinnvoll aufzuteilen.

Ich will es keinem Aufzwingen sondern lediglich empfehlen.

Ich verstehe deinen Standpunkt schon relativ gut, weil es eben das ist, was man die letzten Jahrzehnte in Unternehmen gemacht hat. Grundsätzlich ist daran auch nichts verkehrt, wenn man die Technical Debt der letzten Jahrzehnte mit sich rumschleppt und nicht alles sofort umstellen kann.

Ich würde nur ganz stark bezweifeln, dass das bei privaten Nutzern der Fall ist. Man hat dort einfach nicht die gleichen Probleme. Man kann alles brutal vereinfachen und deutlich einfacher eine sichere Umgebung aufziehen. Man muss nicht erst die Probleme in Unternehmen simulieren und dann versuchen dafür eine Lösung zu finden.

Die meisten Unternehmen entscheiden sich nicht zwischen TLS / HTTPS und State-of-the-Art-VPN-Software wie Wireguard, sondern zwischen ihrem mit Heißkleber zusammengehaltenen Enterprise-VPN und TLS.

Ich weiß die ändern so schnell nichts von heute auf morgen. Dafür hängt zu viel an anderen Applikationen die auf die bestehenden VPN Lösungen aufsetzen. Wird also sehr lange dauern bis sich da etwas ändert. Wat läuft dat läuft.

TLS ist gut und schön, wenn man den Zertifikaten vertraut. Ich sehe es aber als kritisch an wenn man die Kontrolle dieser Zertifikate an einige große Firmen abtritt, sich in falscher Sicherheit wiegt und noch dazu in der MS Cloud verwaltet.

Ich sehe z. B. dass es der Markt für sog. Travelrouter in den letzten Jahren stark gewachsen ist. Er richtet sich vor allem an vielreisende Unternehmenskunden.
Meine Tante arbeitet von zu Hause aus und hat sogar einen eigenen Router von der Firma, der sich von zu Hause angeschlossen an den Router des Providers in das "Firmennetz" einwählt. Der Firmen-Router ist nat. direkt an den Rechner angeschlossen der ausschließlich für diesen Zweck genutzt wird.

Sei es d'rum. Mir gefällt der zusammengeklebte propriätere VPN (mit evtl. eigenem Gerät/Router) von einem Drittanbieter immer noch besser als der Einheitsbrei/Monokultur die da entsteht und irgendwann zu größeren Problemen führt. Außerdem sagt mir nicht der Browser alleine ob alles O.K. sondern noch eine zusätzliche Schnittstelle.

Ich kann nur immer wieder betonen: Es gibt keine "vertrauenswürdigen" Webseiten im Web, wie du es dir vorstellst. Du vermischst hier auch das Threat Model von TLS mit dem des Browsers. TLS liefert dir keine "vertrauenswürdigen" Webseiten, sondern eine (authentifizierte) Transportverschlüsselung zu einem bestimmten Endpunkt. Wenn du das grüne Schloss im Browser siehst, bedeutet das nur, dass du dem Netzwerk zwischen dir und dem Endpunkt nicht vertrauen musst.

Ich weiß, dass TLS nur den Transport verschlüsselt. Den Begriff vertrauenswürdig habe habe ich in Bezug auf Sicher/Sicherheit benutzt. Der Browser sagt mir das doch immer so schön "Diese Seite ist nicht sicher/vertrauenswürdig - Fortfahren oder zurück". K. A. hab's grad nicht im Kopf. Deshalb auch die Anführungszeichen.

Für mich beinhaltet Sicherheit in diesem Zusammenhang die gesamte Kette. Die habe ich leider nicht vollständig unter meiner Kontrolle. Weder zu Hause noch in der Firma. Das einzige was ich tun kann ist es diese Kette der Beteiligten zu reduzieren. Eben da kommt der VPN ins Spiel indem ich z. B. den Cafe/Hotel-Hotspot-Provider als mögliche Fehlerquelle weitestgehend ausgrenze. Zu Hause behelfe ich mir indem ich auf der vom Provider gestellten FritzBox keine Geräte direkt anschließe sondern nur Router mit eigener Firewall. Das OS dazu kompiliere ich mir sogar selbst samt Kernel. :freak:


Aber was sollen sie mitlesen? Meine gehosteten Dienste haben alle eine sichere TLS-Konfiguration und aktives HSTS. In meinem eigenen Netzwerk verbinde ich mich zwischen den Rechnern nur per SSH. Dateien übertrage ich auch nur per SSH / SFTP, weil mittlerweile jedes Betriebssystem einen Client mitbringt und es der kleinste gemeinsame Nenner ist.

Ich habe jetzt nicht so sehr ein Problem damit, dass irgendwelche Rechner verschlüsselten Traffic mitlesen.

Wenn der Böse direkt am Rechner mitlist, weil er dein Netzwerk über ein Drecks-IoT Gerät übernommen hat und genug Zeit hatte sich auf anderen Rechnern breit zu machen gibt es nichts mehr das er erst entschlüsseln müsste, weil er am Rechner direkt mitliest und sei es nur indem er Screenshots nach Hause sendet oder direkt den Keylogger laufen lässt. Deine App-seitige Verschlüsselung nutzt Dir genau gar nichts. Deshalb ja auch eine vorgeschlagene Trennung solcher Geräte im Netzwerk.

Ich weiß nicht wie ich es Dir noch erklären kann. Die Geräte sind teilweise völlig falsch konfiguriert und die Firmware voller Lücken.

Vor ca. 2 Jahren gab es auf Kabelmodemroutern (die Wald- und Wiesendinger die man standarmäßig bekommt (von Compal aus Taiwan mit allen Möglichen anderen Namen) eine schöne Lücke. Port 1194 war immer von Außen erreichbar. Man konnte über den Port einfach auf alle Netzwerkgeräte zugreifen die auf irgendeinem beliebigen Port lauschten. Es ist absurd und seit Jahrzehnten ändert sich nichts daran. Von den Wartungsschnittstellen der Provider und der Konfigurationsmöglichkeit von Hotspots auf den Endgeräten, durch den kompetenten Support-Admin, will ich erst gar nicht anfangen zu reden. Im Firmenumfeld geht es mit dem Einheitslogin für Cisco Router und kompetenten Admins nicht anders zu. ;)

IMO vermischen wir hier zu viele Aspekte des Firmenumfelds mit den Anforderungen eines Heimanwenders.

TLS ist gut und schön, wenn man den Zertifikaten vertraut. Ich sehe es aber als kritisch an wenn man die Kontrolle dieser Zertifikate an einige große Firmen abtritt, sich in falscher Sicherheit wiegt und noch dazu in der MS Cloud verwaltet.

Was soll daran "falsche Sicherheit" sein? Wenn du den Root-Zertifikaten nicht traust, dann kannst du die auch einfach alle blacklisten und bei jedem Dienst das jeweilige Zertifikat manuell importieren, wenn du das für praktikabel hälst. Wobei mir dann noch immer nicht so klar ist, wie du dann das Problem der Authentizität lösen willst.

Niemand hindert dich übrigens daran eine eigene CA für deine eigenen Dienste aufzusetzen, wenn du der Web-PKI nicht traust. Das ist je nach Anwendungsfall ja auch nicht unüblich oder so.

Sei es d'rum. Mir gefällt der zusammengeklebte propriätere VPN (mit evtl. eigenem Gerät/Router) von einem Drittanbieter immer noch besser als der Einheitsbrei/Monokultur die da entsteht und irgendwann zu größeren Problemen führt.

Ich weiß nicht so genau, was du mit "besser" meinst, aber modernes TLS verhindert heute ganze Klassen von Angriffen gegen die diese ganzen proprietären VPNs noch heute anfällig sind. Sogar als Laie kann man mit ein bisschen Kryptografiewissen schon fast echte Angriffe gegen solche VPNs fahren, einfach weil Variationen der immer gleichen Angriffe funktionieren, die nie wirklich gefixt werden.

Für mich beinhaltet Sicherheit in diesem Zusammenhang die gesamte Kette. Die habe ich leider nicht vollständig unter meiner Kontrolle.

Genau deshalb benutzt man TLS. TLS ist wortwörtlich für genau diesen Einsatzzweck entworfen.

Wenn der Böse direkt am Rechner mitlist, weil er dein Netzwerk über ein Drecks-IoT Gerät übernommen hat und genug Zeit hatte sich auf anderen Rechnern breit zu machen gibt es nichts mehr das er erst entschlüsseln müsste, weil er am Rechner direkt mitliest und sei es nur indem er Screenshots nach Hause sendet oder direkt den Keylogger laufen lässt. Deine App-seitige Verschlüsselung nutzt Dir genau gar nichts.

Und wie genau soll er sich auf anderen Rechnern breit machen? Wie soll der Keylogger auf meine Rechner kommen?

Du setzt aktiven-Angreifer-im-Netzwerk mit vollständiger Kompromittierung aller deiner Rechner gleich und ich denke mal das ist der Punkt, an dem du einmal genauer erklären musst, wie du darauf kommst.

Konkreter:
1. Was kann ich als root tun, um mein System abzusichern?
2. Was sollte ich als user unterlassen (außer root-PW an ungeeigneten Stellen einzugeben)?- Software auf aktuellem Stand halten
- Portscan von anderem System, um zu gucken, ob bzw. was antwortet
- überprüfen, ob das, was antwortet, antworten muss

Rest sind die Standardsachen
- Brain benutzen => merkwürdige Mails nicht einfach öffnen, anklicken
- bei merkwürdigen Webseiten ebenso
- auch Nachrichten aus vertrauenswürdigen Quellen nicht einfach glauben, siehe sowas: https://www.mopo.de/hamburg/er-hat-selbst-geschossen--hamburger-afd-mitglied-taeuscht-ueberfall-durch-antifa-vor-37281566
- im Hinterkopf behalten, was man neues installiert oder aktualisiert hat. Bei Bugs treten ungewünschte Effekte auf, die aber durch fehlerhaftes Update erzeugt wurden. Mein Win10 System durfte ich neu installieren, weil die zweite Installation die erste per chkdsk kaputt repariert hat. Fanden die Kollegen auf der Arbeit lustig. :(