ein "how to" zum sicheren windows

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Beitragvon sp » Sa 08 Apr, 2006 16:24

Trichtert man jemandem ein NAT sei ein Sicherheitsfeature wird er dies immer denken. Ein NAT ist jedoch kein Schutzmechanismus sondern eben 'nur' eine Problemloesung zum Problem der begrenzten Anzahl von IP Adressen.

Denken Leute NAT sei ein Sicherheitsmechanismus werden sie dies auch noch tun, wenn IPv6 ueberall fuer jedermann verfuegbar ist - und spaetestens dann geht's ins Auge.

Ich stimme dir zu dass es (derzeit) fuer Normalanwender okay ist, aber eben diese Normalanwender fuehlen sich hierdurch sicher - was nicht stimmt.

Und erm, Mac-Windows hat NULL mit Sicherheit zu tun. Es ist und bleibt Windows, hat also die selben staerken und schwaechen wie bisher - es laeuft nur auf 'anderer' Hardware.
Im Klartext: 'normales' Windows mit Treibern fuer Mac Hardware.
Your software shall grant you these four freedoms:

* to run for any purpose
* to study and adapt for your needs
* to redistribute
* to release improvements

Bild
sp
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 37
Registriert: Di 22 Nov, 2005 23:07
Wohnort: Villach, AT

Beitragvon lordpeng » Sa 08 Apr, 2006 16:33

>Ich stimme dir zu dass es (derzeit) fuer Normalanwender okay ist
>aber eben diese Normalanwender fuehlen sich hierdurch sicher - was nicht stimmt
sie sind auf jedenfall sicherer als wenn sie kein NAT hätten, dass NAT ein sicherheitsfeature ist, habe ich nicht behauptet, aber von so manchen herstellern wird es halt als solches angepriesen ...

man kann einem anwender anstelle eines billig-routers natĂĽrlich auch eine security appliance fĂĽr viele hunderte euros hinstellen, allerdings stellt sich dann die frage ob er sich diese leisten will ...
lordpeng
Moderator
Moderator
 
Beiträge: 10140
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Beitragvon medice » Sa 08 Apr, 2006 16:41

is ein biĂźchen ein Streit um des Kaisers Bart...
Man könnte auch argumentieren, das jede Maßnahme ein Sicherheitsfeature ist, welche - gewollt oder auch nicht - ein Sicherheitsproblem relativieren kann.

(z.B. das ausschalten eines Rechners - in dem Moment kann keiner mehr ĂĽbers Netzwerk rein ;) )
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3287
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon lordpeng » Sa 08 Apr, 2006 16:49

>is ein biĂźchen ein Streit um des Kaisers Bart...
stimmt, irgendwie is die diskussion für die fische, NAT hat nunmal den bei sohoroutern gewünschten nebeneffekt, dass die geräte auf der LAN seite nicht direkt von aussen erreichbar sind, sofern dies nicht explizit konfiguriert wird ... mancher hersteller verkauft es als sicherheitsfeature manch anderer hersteller erwähnt es nichtmal ...
lordpeng
Moderator
Moderator
 
Beiträge: 10140
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Beitragvon jutta » Sa 08 Apr, 2006 17:08

> Ein NAT ist jedoch kein Schutzmechanismus sondern eben 'nur' eine Problemloesung zum Problem der begrenzten Anzahl von IP Adressen.

nicht einmal das, denn das trifft streng genommen nur fuer one-to-many oder many-to-many overload nat / pat / ip masquerading zu. bei 1:1 nat sparst du gar nichts. allerdings meinen die meisten soho-router-hersteller ohnehin one-to-many, wenn sie nat schreiben (ausnahme: zyxel, da koennen auch die billigen modelle mehrere nat-varianten.)
jutta
Administrator
Administrator
 
Beiträge: 30397
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon terrortaube » Fr 29 Dez, 2006 01:33

Windows macht man SO sicher!

Bild

Alles andere ist Zeitverschwendung :)
terrortaube
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 82
Registriert: Mi 23 Feb, 2005 15:44

Beitragvon z21 » Fr 29 Dez, 2006 02:35

terrortaube hat geschrieben:Windows macht man SO sicher!

Bild

Alles andere ist Zeitverschwendung :)


lool :D und was macht man bei wlan^^
Bild
z21
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 347
Registriert: Do 02 Nov, 2006 02:04

Beitragvon Earny » Fr 05 Jan, 2007 10:22

sp hat geschrieben:Und erm, Mac-Windows hat NULL mit Sicherheit zu tun. Es ist und bleibt Windows,.


Das kann ich nur unterstreichen, egal ob Emulation oder ein "echtes" Windows auf beiden Oberflächen fühlen sich Viren und Würmer wohl.
Nur ein echtes MacOS ist automatisch viren- und wĂĽrmerfrei.
mit freundlichen GrĂĽĂźen

Earny

Wenn ich all jene Nahrungsmittel nicht essen wĂĽrde, vor welchen auf Gesundheitsseiten gewarnt wird, wĂĽrde ich verhungern!
Earny
Advanced Profi-User
Advanced Profi-User
 
Beiträge: 2443
Registriert: Mi 25 Feb, 2004 13:18

Beitragvon medice » Fr 05 Jan, 2007 11:13

Earny hat geschrieben:Nur ein echtes MacOS ist automatisch viren- und wĂĽrmerfrei.


wohl den "month of apple bugs" verschlafen?

nix is sicher, und viren-/wurmfrei schon gar nicht - lediglich die Wahrscheinlichkeiten was ĂĽbles einzufangen unterscheiden sich.
u.a. übersehen viele auch, dass das OS relativ sekundär ist, wenn man darauf unsichere Anwendersoftware laufen lässt, die ganze Käferkolonien beinhaltet...
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3287
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon hellbringer » Fr 05 Jan, 2007 11:15

Mein Windows ist auch automatisch viren- und würmerfrei, und das schon seit 17 Jahren. Liegt vielleicht daran, dass ich ned jeden Mist anklicke und regelmäßig Updates zieh.
hellbringer
Profi-User
Profi-User
 
Beiträge: 1619
Registriert: Di 04 Mai, 2004 19:35

Beitragvon Air20 » Fr 05 Jan, 2007 11:20

hellbringer hat geschrieben:Mein Windows ist auch automatisch viren- und würmerfrei, und das schon seit 17 Jahren. Liegt vielleicht daran, dass ich ned jeden Mist anklicke und regelmäßig Updates zieh.


FULL ACK !
und das ohne Virenscanner und sonstigen Tools :)

//edit ok bei mir vielleicht nicht ganz 17 jahre...

Earny hat geschrieben:
sp hat geschrieben:Und erm, Mac-Windows hat NULL mit Sicherheit zu tun. Es ist und bleibt Windows,.


Das kann ich nur unterstreichen, egal ob Emulation oder ein "echtes" Windows auf beiden Oberflächen fühlen sich Viren und Würmer wohl.
Nur ein echtes MacOS ist automatisch viren- und wĂĽrmerfrei.


FYI: http://projects.info-pull.com/moab/
nichts und niemand ist sicher :D

edit: noch was gefunden:

http://www.heise.de/newsticker/meldung/84047
Code: Alles auswählen
Anfängerfehler in Mac OS X

Setuid-Programme sind auf Unix-Systemen ein Standardmechanismus, um bestimmte Aktivitäten mit anderen Rechten als denen des angemeldeten Benutzers auszuführen, der seit über zwanzig Jahren zum Einsatz kommt. Genauso lange ist bekannt, dass dies ein Sicherheitsrisiko darstellt und welche minimalen Sicherheitsvorkehrungen man dabei zu treffen hat. Dies scheint sich jedoch noch nicht zu den Entwicklern von Mac OS X herumgesprochen zu haben. So verwenden die Systemeinstellungen das Hilfsprogramm writeconfig, das als Setuid-Root-Programm immer mit den Rechten des Administrators läuft. Dies ruft unter anderem das Shell-Skript /sbin/service auf, welches wiederum launchctl startet. Dabei werden gleich mehrere elementare und altbekannte Sicherheitsregeln außer Acht gelassen:
Anzeige

   1. Man ruft in einem Setuid-Kontext keine Shell-Skripte auf. Das lässt sich fast immer irgendwie ausnutzen, um sich dessen Rechte anzueignen.
   2. In einem Setuid-Kontext bereinigt man grundsätzlich die Umgebung. Insbesondere ĂĽber die Pfad-Variable könnte sonst ein Angreifer eigene Programme unterschieben.
   3. Shell-Skripte, die in einem administrativen Kontext zum Einsatz kommen, sollten externe Programme immer mit absoluten Pfadnamen starten, um sicherzustellen, dass es nicht versehentlich ein falsches Programm ausfĂĽhrt.
   4. Setuid-Programme sind als besonders verwundbarer Punkt einer speziellen PrĂĽfung zu unterziehen.

In diesem Fall kann sich ein lokales Programm unter Mac OS X Root-Rechte verschaffen, indem es die Systemeinstellungen mit einer speziellen Pfad-Variable öffnet. Ob dies die Mitwirkung des Anwenders erfordert, ist bislang nicht ganz klar – bisherige Demonstrationen kommen jedenfalls nicht ohne aus.

Doch das ist sekundär. Viel beunruhigender als das konkrete Problem ist die Tatsache, welch elementare Sicherheitskonzepte bei der Entwicklung von Mac OS X offenbar außer Acht gelassen wurden. Wirklich alarmierend ist, dass dieses Problem der internen Qualitätssicherung entgangen ist. Denn Setuid-Programme sind die erste Anlaufstelle für jeden, der auf einem System nach Sicherheitslücken sucht, derartige Fehler sind recht einfach aufzuspüren. Es ist durchaus naheliegend, dass Mac OS X weitere ähnliche Fehler aufweist. Ein kurzer Test von heise Security erbrachte jedenfalls, dass writeconfig drei weitere Shell-Skripte aufruft.

Um sich vor diesem konkreten Problem zu schĂĽtzen, genĂĽgt es, oben in /sbin/service eine Zeile wie:

export PATH="/bin:/sbin:/usr/sbin:/usr/bin"

einzufĂĽgen, die eine saubere Pfad-Variable definiert.

Siehe dazu auch:

    * System Preferences writeconfig Local Privilege Escalation Vulnerability von LMH und Kevin Finisterre
Zuletzt geändert von Air20 am Mo 22 Jan, 2007 20:55, insgesamt 1-mal geändert.
connected by
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
Bild
und aon Gigaspeed 16 @12352/1024 :rofl:
http://www.youtube.com/watch?v=PtXtIivRRKQ
Air20
Board-User Level 3
Board-User Level 3
 
Beiträge: 1360
Registriert: Fr 16 Apr, 2004 18:32
Wohnort: 2540 Bad Vöslau

Beitragvon penguinforce » Fr 05 Jan, 2007 18:08

um kurz offtopic zu werden:

im zuge einer gestrigen meldung auf prolinux.de aufmerksam geworden, möchte ich euch diesen link zu einem openbook nicht vorenthalten:

sicherheit im internet

ich habe mir das buch noch nicht durchgelesen, aber o'reilly bringt IMO immer wieder qualitativ gute bĂĽcher auf den markt.

prinzipiell ist jedes betriebssystem unsicher, weil sich die (meisten) nutzer den gefahren nicht bewusst sind.

erst durch das bewusst werden dieser gefahren, kombiniert mit einem daraus resultierendem, auf den user zugeschnittenem sicherheitskonzept (dass NICHT nur aus ein oder mehreren softwarepaketen besteht) bringt die sicherheit.

um den potentiellen os-flames vorzugreifen: welches os der user einsetzt, ist auch teil des sicherheitskonzeptes (ohne irgendein betriebssystem jetzt negativ oder positiv hervorheben zu wollen).

:diabolic:
penguinforce
 

Beitragvon lordpeng » Fr 05 Jan, 2007 22:41

>Nur ein echtes MacOS ist automatisch viren- und wĂĽrmerfrei.
mutige behauptung ...

ich werd mal ein paar proof-of-concept exploits auf meinem macbook testen ...
lordpeng
Moderator
Moderator
 
Beiträge: 10140
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Beitragvon lordpeng » Fr 05 Jan, 2007 22:43

>FULL ACK !
>und das ohne Virenscanner und sonstigen Tools :)
woher willst du das wissen - ohne virenscanner?
lordpeng
Moderator
Moderator
 
Beiträge: 10140
Registriert: Mo 23 Jun, 2003 22:45
Wohnort: 47.342367N 14.144035E

Beitragvon Peter12 » Fr 05 Jan, 2007 22:49

Weil es zum (ursprünglichen) Thema passt, hier ergänzend zu niels' Beitrag ein paar Links zu weiteren Sicherheitskonzepten bzw. zu sonstigen Tipps zum Thema Computersicherheit. Ist ganz interessant, die Ratschläge zu vergleichen und vor allem darauf zu achten, welche davon immer wieder genannt werden:

- PC und Sicherheit
- Zusammenstellung: Wie mache ich meinen PC sicher?
- Sicherheitskonzept
- Den Rechner neu aufsetzen oder absichern
- Sicherheit im Kabelnetzwerk
Internet: Aon Kombi-Paket (seit Paketwechsel [2010]: Download ca. 5000 kbit/sec; 29,90 Euro/Monat) / (zuvor): Kombi-Paket aus 2007 (2048/384 kbit/sec; 19,90 Euro/Monat)
Modem: Pirelli PRG AV 4202N
Konfiguration: Routerzugang (Multiuser)
BS: Windows 7
Peter12
Board-Mitglied
Board-Mitglied
 
Beiträge: 205
Registriert: Sa 11 Nov, 2006 05:29
Wohnort: Wien

VorherigeNächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste

cron