Hi, wie Ihr vermutlich aus den Medien gehört habt, ist die IT-Infrastruktur des deutschen Bundestages in den vergangenen Wochen und Monaten erfolgreich angegriffen worden.
Gelegentlich wird die Frage gestellt: Was könnte Freie Software dazu beitragen, sich gegen solche Angriffe zu verteidigen?
Das Unternehmen Univention, welche in seinen Produkten viel Freie Software Komponenten veröffentlich, stellt dazu im folgenden Blog-Eintrag einige Überlegungen an: https://www.univention.de/2015/06/bundestags-hack-moegliche-hintergruende-un...
"""Fazit zum Bundestags-Hack Auch bei der IT-Sicherheit gilt: 100% Sicherheit gibt es nicht – auch bei UCS nicht. Aber es gibt viele Dinge, die getan werden können und bei einer kritischen Infrastruktur wie der des Deutschen Bundestages sicher auch getan werden müssen. Ob sie wirklich getan wurden, müssen die aktuell laufenden Untersuchungen zeigen.
Und klar ist auch: Nur quelloffene Software, die sowohl vom Hersteller, vom Anwender, aber auch von unbeteiligten Dritten auf mögliche Fehler und Hintertüren untersucht werden kann, bietet maximale Transparenz. Sie ist deswegen zwingender Bestandteil einer wirkungsvollen, nachhaltigen IT-Sicherheitsstrategie. """
Der Eintrag ist länger, deshalb habe ich ihn noch nicht im Detail ansehen können. Was meint Ihr dann dazu?
Gruß, Bernhard
Hallo Daniel!
Leider ist Deine Nachricht so gut wie unlesbar, da sie HTML-only ist. Bitte passe Deinen MUA an, sodass er Nachrichten als Plaintext versendet.
Hi Martin,
sorry, das tut mir Leid. Normalerweise sende ich als HTML und Text. Beim Umstellen auf reinen Text habe ich wohl HTML only erwischt :D. Hier noch einmal der Inhalt:
Hi Bernhard,
der Artikel ist ganz interessant. Mir fallen dazu noch ein paar mehr Sachen ein, die der normale Windows Administrator wahrscheinlich nicht weiß, z. B. dass sich das Passwort des KRBTGT-Serviceaccounts eigentlich nie ändert (bis auf einen speziellen Fall) und dass die verwendeten Hashingalgorithmen für die Passwörter veraltet sind.
Dass das alles wenig bekannt ist, liegt zum einen daran, dass MS Software nicht offen ist. Zum anderen wird bei MS sehr viel automatisch und über einfache grafische Oberflächen konfiguriert, was dazu führen kann, dass ein Administator nicht versteht, was das System genau macht. Ein Administrator, der Kerberos unter Linux installiert, muss sich erst einmal in die Materie einlesen und verstehen was er nun überhaupt alles machen muss. Unter Windows installiert der Administrator die Active Directory DC Rolle mit ein paar Klicks und weiß danach vielleicht nicht einmal, dass er nun auch ein Kerberos installiert hat. Wie soll er sich dann vor Angriffen dagegen schützen?
Algorithmen können meiner Meinung nach nur sicher sein, wenn sie frei und für jeden nachvollziehbar sind. Ob diese aber nun in free oder closed Software implementiert sind und was von beiden sicherer ist, mag ich nicht beurteilen. Die Software sollte aber in beiden Fällen richtig administriert und maintained werden, damit sie sicher bleibt.
Mit freundlichen Grüßen Daniel Laczi
Am 30.06.2015 um 21:25 schrieb Martin Gollowitzer:
Hallo Daniel!
Leider ist Deine Nachricht so gut wie unlesbar, da sie HTML-only ist. Bitte passe Deinen MUA an, sodass er Nachrichten als Plaintext versendet.
Hi Daniel,
Am Dienstag, 30. Juni 2015 21:28:35 schrieb Daniel Laczi:
Dass das alles wenig bekannt ist, liegt zum einen daran, dass MS Software nicht offen ist.
obwohl sicherliche Sicherheitsproblem veröffentlicht und bekannt gemacht werden dürfen. Viele Sicherheitsprobleme sind auch bei Freier Software nicht "bekannt" in dem Sinne, dass sie zwar öffentlich, aber nicht im Bewußtsein sind.
Meinst Du also, dass Deine Dinge bereits veröffentlicht sind oder nicht? :)
Zum anderen wird bei MS sehr viel automatisch und über einfache grafische Oberflächen konfiguriert, was dazu führen kann, dass ein Administator nicht versteht, was das System genau macht. Ein Administrator, der Kerberos unter Linux installiert, muss sich erst einmal in die Materie einlesen und verstehen was er nun überhaupt alles machen muss. Unter Windows installiert der Administrator die Active Directory DC Rolle mit ein paar Klicks und weiß danach vielleicht nicht einmal, dass er nun auch ein Kerberos installiert hat. Wie soll er sich dann vor Angriffen dagegen schützen?
Das ist eine spannende Frage: Die der nötigen Kompetenz und wie sie erreicht wird. Eigentlich finde ich es gut, wenn Werkzeuge (Fahrräder, IT-Systeme) betrieben werden können ohne viele Kompetenzen aufbauen zu müssen. Gute Freie Software Systeme sind auch so aufgebaut. Ich gehe beispielsweise davon aus, dass beim Univention Corporate Server der Admin auch nur "klickt" und eine Rolle im "Domän Controller" anlegt oder ändert und nicht notwendiger weise weiß, was er da gerade im OpenLDAP oder Samba4 geändert hat.
Für eine dynamische "Verteidigung", braucht es aber Personen mit strukturell tieferen Kompetenten und Eingriffsmöglichkeiten. Und da gebe ich Dir recht, dass Freie Software das in stärkerem Maße ermöglicht. Eine Organisation muss sich dann entscheiden, diese Kompetenzen aufzubauen, zu halten und zu trainieren. Das kostet natürlich echt Geld und damit sind wir wieder bei den finanziellen Aspekten von Sicherheit.
Im Durchschnitt denke ich, dass Freie Software hier helfen kann, ein gleiches Sicherheitsniveau mit deutlich weniger Geld zu erreichen, genau wie es im Durchschnitt günstiger ist Freie Software zu betreiben als proprietäre. Mir scheint jedoch der Einsatz der finanzellen und organisatorischen Mittel oft schon sehr niedrig zu sein. Auch wenn es mit Freier Software im Mittel günstiger wäre, der Wandel fordert ebenso Kraft.
Gruß, Bernhard
Am 30.06.2015 um 21:09 schrieb Daniel Laczi:
Dass das alles wenig bekannt ist, liegt zum einen daran, dass MS Software nicht offen ist. Zum anderen wird bei MS sehr viel automatisch und über einfache grafische Oberflächen konfiguriert, was dazu führen kann, dass ein Administator nicht versteht, was das System genau macht. Ein Administrator, der Kerberos unter Linux installiert, muss sich erst einmal in die Materie einlesen und verstehen was er nun überhaupt alles machen muss. Unter Windows installiert der Administrator die Active Directory DC Rolle mit ein paar Klicks und weiß danach vielleicht nicht einmal, dass er nun auch ein Kerberos installiert hat. Wie soll er sich dann vor Angriffen dagegen schützen?
Das mag ein valider Punkt sein, ist aber unabhängig davon ob windows Freie Software ist oder nicht. Das ist schlicht eine Frage des UI- bzw. System-Desgins.
Gruß Frank
On 30.06.2015 21:09, Daniel Laczi wrote:
Algorithmen können meiner Meinung nach nur sicher sein, wenn sie frei und für jeden nachvollziehbar sind. Ob diese aber nun in free oder closed Software implementiert sind und was von beiden sicherer ist, mag ich nicht beurteilen. Die Software sollte aber in beiden Fällen richtig administriert und maintained werden, damit sie sicher bleibt.
Das Problem sind in der Regel nicht die Algorithmen, sondern deren Implementation. Die verwendeten Algorithmen sind meist hinreichend sicher, Angriffsvektoren bietet in Regel eine fehlerhafte (manchmal gewollt unsichere) Implementation.
Daher: Nur Freie Software!
Gruß Michael
Jo!
Am 01.07.2015 um 09:45 schrieb RA Stehmann:
Daher: Nur Freie Software!
Da’core
Closed Source = Alchemie Free Software = Wissenschaft (schafft Wissen)
Ihr kennt die Metapher mit den Fischen?! Windows ist die Angel - GNU/Linux bringt die "Anleitung zum erstellen/bauen einer Angel" gleich mit. ;)
Ahoj Michael