AA_BXP66759h.jpg

Sicherheit unter Linux

Eingedämmt

Linux ist sicher – aber nur, wenn User und Programmierer mithelfen. Sie schützen ihre eigenen Rechner und verhindern, dass sich Schadprogramme ausbreiten.

Wer unter Windows mit Internet Explorer und Outlook Express online geht, auf Antiviren-Software und Personal Firewall aber verzichtet, gilt gemeinhin als fahrlässig. Was unter Windows stimmt, ist für Linux noch lange nicht richtig: Statt sich mit Virenscanner & Co. einzudecken, setzen die Freunde des Pinguins auf andere Schutztechniken. Allen voran stehen Sicherheits-Updates, sichere Konfiguration und vorsichtiger Umgang mit Mail und Web. Wer mehr will, aktiviert die Firewall und sperrt seine Programme in möglichst enge Käfige (etwa AppArmor).

Fremdkörper

Virenscanner sind unter Linux zwar anzutreffen – aber nicht auf dem Desktop, sondern im E-Mail- oder Datei-Server. Dort schützen sie Windows-Clients und nicht die Linux-Maschine. Theoretisch könnten Viren zwar auch das freie System bedrohen, praktisch passiert das so gut wie nie. Die Gründe dafür sind vor allem in der Technik zu suchen.

Viren verändern vorhandene Programme und sorgen dafür, dass jeder Start auch den Viren-Code ausführt. Das funktioniert auch unter Linux. Um sich weiter zu verbreiten, infiziert ein Virus andere Programme, die er im Dateisystem findet. Ältere Windows-Versionen lassen ihm dabei freie Hand, Linux bremst ihn. So lange sich das Programm mit User-Rechten begnügt und nicht als Root läuft, darf es andere Programmdateien nicht überschreiben. Dem Virus fehlt damit ein Ausbreitungsweg.

Dazu kommt, dass sich Linux-Anwender kaum gegenseitig fertig kompilierte Programme zuschicken. Daran wird sich so schnell nichts ändern: Bei frei verfügbarer Software sind Warez (Raubkopien) uninteressant. Originalsoftware lädt man leichter und schneller von der Distributions-DVD, einer Heft-CD oder der Originalseite der Entwickler.

Fachbegriffe

Die Sicherheitsgemeinde verwendet für viele Arten von Lücken, Angriffstechniken und Schadprogrammen eigene Namen.

Authentication Error: Das Programm prüft die Identität des Benutzers nicht ausreichend.

Buffer Overflow oder Boundary Error: Bei diesem Programmierfehler kopiert ein Programm Daten in einen zu kleinen Speicherbereich und überschreibt die dort vorhandenen Werte. Wenn die Daten vom Angreifer stammen, dann kontrolliert er Speicherstellen, auf die er normalerweise keinen Einfluss hätte. Das kann er beispielsweise nutzen, um eigenen Code einzuschleusen und so die Kontrolle über den Prozess zu übernehmen.

Cross Site Scripting: Javascript-Kommandos dürfen nur auf die Web-Anwendung zugreifen, für die sie gedacht sind. Durch Fehler in Web-Applikationen und in den Browsern gelingt es einem Angreifer, seinen Code im Kontext einer fremden Seite laufen zu lassen und so beispielsweise an Authentifizierungsdaten (Passwörter, Cookies) zu gelangen.

Denial of Service (DoS): Der Saboteur legt einen Dienst lahm. Er erhält zwar keine Kontrolle über das Programm, aber der Absturz fällt mindestens lästig. Eventuell kostet er auch Geld, was DoS-Attacken für Erpresser interessant macht.

Dot-Dot-Bug: Häufig anzutreffen in Web-Anwendungen. Durch Folgen von ../../ bricht der Angreifer aus dem gewollten Dokumentenverzeichnis aus und greift auf Dateien zu, die er nicht erreichen dürfte.

Eingabekontrollfehler (Input Validation Error): Oberbegriff über alle Programmierfehler, bei denen der Entwickler Benutzereingaben zu vertrauensselig behandelt.

Entfernte Lücke (Remote Vulnerability): Diese Schwachstelle ist über das Netzwerk ausnutzbar, ohne vorher einen Account auf dem angegriffenen Rechner zu besitzen.

Format-String-Fehler: Hier benutzt ein Programmierer eine Funktion falsch. Im Format-String haben Steuerzeichen (etwa %) eine Sonderbedeutung. Stammt der Format-String vom Angreifer, verhilft ihm das zu ähnlichen Angriffsmöglichkeiten wie beim Buffer Overflow.

Konfigurationsfehler: Manchmal ist nicht das Programm selbst fehlerhaft, sondern nur seine Einstellungen. Dazu gehören auch falsch gesetzte Dateizugriffsrechte.

Lokale Lücke: Um diese Sicherheitslücke auszunutzen, muss der Angreifer bereits einen Login auf der Maschine haben.

Makrovirus: Virus, der Dokumente befällt. Viele Dateitypen können Makros enthalten, die ein Editor oder Dateibetrachter als Code ausführt.

PHP-Include-Fehler: Der Angreifer schafft es, eigene PHP-Anweisungen in eine fremde Web-Applikation einzuschleusen. Diese Kommandos laufen dann mit den Rechten der Web-Anwendung.

Race Condition: Lücken, die nur für einen sehr kurzen Zeitraum ausnutzbar sind. Angreifer können das Wettrennen gegen ihre Opfer aber gewinnen. Beispielsweise bei Symlink-Schwachstellen anzutreffen: Viele Programm prüfen zwar, ob der Namen noch frei ist, zwischen Prüfen und Schreiben verstreicht aber eine (beliebig kurze) Zeitspanne.

Root Access: Der Angreifer erlangt Root-Rechte.

SQL Code Injection: Eine Web-Anwendung nutzt eine Datenbank. In die SQL-Abfragen bettet sie Daten ein, die vom Angreifer stammen. Der schafft es durch geschickten Einsatz von Sonderzeichen, den SQL-Befehl mit eigenen Kommandos zu erweitern und erhält damit Kontrolle über den Inhalt der Datenbank.

Symlink-Schwachstelle: Legt ein Programm Daten in einem Verzeichnis ab, in dem auch potenzielle Angreifer Schreibrecht haben (etwa /tmp), dann platzieren Bösewichte vorher einen Symlink mit gleichem Namen. Unvorsichtige Programme überschreiben dann die verlinkte Datei.

Trojanisches Pferd: In einem harmlos wirkenden Programm verborgene Schadfunktion.

Wurm: Schadprogramm, das selbständig läuft und sich aus eigenem Antrieb verbreitet. Es nutzt dazu Schwachstellen in anderen Programmen.

Virus: Dieses Schadprogramm befällt einen Wirt und kommt künftig als Teil dieses Programms zur Ausführung.

Kosten und Nutzen

In der Kosten-Nutzen-Rechnung der Virenschreiber schneiden Linux-Viren somit schwach ab. Verschiedene Distributionen auf unterschiedlichen Architekturen, kaum Verbreitungsmöglichkeiten und unbestreitbar mehr Windows-Maschinen, die bereitwillig auf Viren warten – all das sorgt dafür, dass andere Angriffe auf Linux wesentlich mehr Erfolg versprechen.

Wer trotzdem auf seinen Virenwächter nicht verzichten möchte, weil der ein komfortables Gefühl der Sicherheit vermittelt und vermeintlich nicht schaden kann, der irrt: Jedes Stück Software, das auf einem Rechner läuft, stellt eine potenzielle Gefahrenquelle dar. Virenscanner bilden keine Ausnahme, ganz im Gegenteil. Sie analysieren quasi jedes Dateiformat, egal wie vertrackt es sich gestaltet, packen Archive aus und durchsuchen den Inhalt mit komplexen Suchoperationen. Das Ganze muss zudem flott ablaufen. Da wundert es nicht, dass auch Scanner Sicherheitslücken aufweisen und selbst zum Angriffsziel mutieren.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...