<SPAM?> Re: [wos] wos3: Inhalte

[Florian Cramer]

Am Montag, 24. März 2003 um 09:07:36 Uhr (+0100) schrieb Harald Welte:
> On Sun, Mar 23, 2003 at 01:04:26PM +0100, Florian Cramer wrote:
 
> > Niemand kann *BSD oder GNU/Linux ernsthaft und sicher ohne
> > Unix-Administrationskenntnisse benutzen; wer es nicht tut, ähnelt einem
> > Piloten, der ein Flugzeug nur per Autopilot fliegen kann. Solange dies
> > der Fall ist, ist Freie Software auf Privat-PCs nicht mehrheitsfähig und
> > auf dem Desktop in wohldefinierten Anwendungssszenarien für Firmen und
> > Behörden interessant, in denen qualifizierte Unix-Administratoren sich
> > im Hintergrund um Konfiguration und Pflege der Installationen kümmern.
> 
> Richtig.  Letzteres trifft ja auch auf die Windows-Welt zu.  Nur sind
> dort die Anforderungen [zumindest fuer die grundlegende Administration]
> an die Admins (dank einfacher graphischer Tools, etc) nicht so hoch.

ACK.

[...]
 
> > Die Frage ist, ob etwas anderes überhaupt wünschenswert ist. Alle
> > Unix-artigen Betriebssysteme sind per Design nicht sicherer als
> > heutige Windows-Versionen 
> 
> In dem Punkt moechte ich ganz grundlegend widersprechen.  AFAIK wird bei
> Win* z.B. die GUI immernoch mit den hoechsten Privilegien der CPU,
> sozusagen im Kernel-Modus betrieben.  Auch ansonsten gibt es wohl noch
> einige Stellen, an denen die Grenzen deutlich staerker verwischt sind,
> als im Unix-Bereich.

Das ist aus meiner Sicht eher ein Detail als ein fundamentaler
Unterschied (und man kann auch unter Linux die Graphikkarte mit dem
Framebuffer-Kerneltreiber benutzen und directfb-Software bzw. den
Framebuffer-basierten X-Server drüber laufen lassen).  Sowohl Windows,
als auch alle freie Unix-Derivate sind inhärent unsicher, weil sie in
C/C++ programmiert sind und Zugriffe auf Dateien und Netzwerkprotokolle
out of the box nicht sicher genug regeln. (Jede Software, die Du als
"root" oder "Administrator" installierst, kann schon während der
Installation mit Deinem System Schlitten fahren, setuid-root-Binaries
und -Dämonen sollte es eigentlich nicht mehr geben...)

Als Beispiel seien nur die Security Advisories der "Linux Weekly News"
vom heutigen Donnerstag genannt:

- glibc [Grundmodul aller in C programmierten Software auf
GNU/Linux-Systemen]:
"An integer overflow in the xdrmem_getbytes() function, and possibly
other functions, of XDR (external data representation) libraries derived
from SunRPC, including libnsl, libc, and glibc, allows remote attackers
to execute arbitrary code via certain integer values in length fields"

- openssl [SSL-Bibliothek für Webbrowser u.ä.]:
"David Brumley and Dan Boneh of Stanford University have researched and
documented a timing attack on OpenSSL which allows local and remote
attackers to extract the RSA private key of a server. The OpenSSL RSA
implementation is generally vulnerable to these type of attacks unless
RSA blinding has been turned on."

- kerberos: 
"Version 4 of the Kerberos protocol contains a cryptographic weakness
which enables a chosen-plaintext attack. A suitably equipped attacker
can impersonate any principal in the realm. Another weakness allows
the creation of false Kerberos tickets. Given the weaknesses in the
cryptography, cross-realm authentication cannot be performed in a secure
way."

- mutt [ein Konsolen-E-Mail-Client]:
"Core Security Technologies has found a remotely
exploitable buffer overflow in mutt's IMAP client code."

- ircii (was diverse IRC-Clients betrifft):
"Timo Sirainen audited ircII based clients (see this Bugtraq post) and
found some buffer overflow vulnerabilities in ircii-20020912."

- man (Standardprogramm zum Anzeigen von manpages):
"Versions of man prior to 1.51 contain a code execution vulnerability
which can be exploited by a carefully crafted man file."

- file (Standardprogramm zur Identifizierung von Dateitypen):
"Jeff Johnson found a memory allocation problem and David Endler found
a stack overflow corruption problem in the file "Automatic File Content
Type Recognition Tool" version 3.41. Nalin Dahyabhai improved ELF
section and program header handling in file version 3.40. The folks
at OpenPKG believe that file versions without those modifications are
vulnerable to memory allocation and stack overflow problems which put
security at risk."

- rxvt [schlanke xterm-Alternative]:
"A number of issues have been found in the escape sequence handling
of Rxvt. These could be potentially exploited if an attacker can cause
carefully crafted escape sequences to be displayed on a rxvt terminal
being used by their victim."

- Samba (freie Implementierung des Microsoft Filesharing-Dienstes):
"Exploitable buffer overruns: The SuSE security audit team, in
particular Sebastian Krahmer has found a flaw in the Samba main smbd
code which could allow an external attacker to remotely and anonymously
gain Super User (root) privileges on a server running a Samba server."

- MySQL: (Populärer SQL-Datenbankserver)
"According to a [114]report on BugTraq, a vulnerability exists in version
3.23.55 and earlier versions of the [115]MySQL server. If the MySQL
server is launched by root, as it is often done by system startup
scripts, any database users with the "FILE" privilege can write a
configuration file (usually my.cnf) that causes the MySQL server to run
under an arbitrary user id, including the user id of the super-user, on
the next restart."

- Ximian Evolution: "Three vulnerabilities were found that could lead to
various forms of exploitation ranging from denying to users the ability
to read email, provoke system unstability, bypassing security context
checks for email content and possibly execution of arbitrary commands on
vulnerable systems."


Den Vogel aber schießt der ptrace-Bug ab, der in allen aktuellen
Linux-Kernels von 2.2.0 (mit Ausnahme des neuen 2.2.25) bis zum
aktuellen 2.4.20 steckt. Dieser Fehler ermöglicht es jedem lokalen
Benutzer, root-Rechte auf dem System zu erhalten. Einen fertig
kompilierbaren, laienfreundlichen Exploit dafür gibt es auch schon.
Es gibt aber, nach über einer Woche, immer noch keinen korrigierten
2.4.x-Kernel - eine unfaßbare Fahrlässigkeit, die für mich den
2.4.x-Maintainer Marcelo Tossati endgültig diskreditiert.

Zugegebenermaßen ist die Fehlerliste in dieser Woche besonders
schlimm; dennoch: jeder Desktop-Linuxer dürfte von einem der
o.g. Bugs betroffen sein, und vom ptrace-Bug mit nahezu 99prozentiger
Wahrscheinlichkeit.  Wäre Linux das Standard-Desktopbetriebssystem der
Massen, brächen jetzt lustige Zeiten an. Die o.g. Bugs in Evolution und
mutt würden ausreichen, um Linux-Kisten massenhaft mit E-Mail-Würmern
zu attackieren. Hier muß man nur eins und zwei zusammenzählen: die
"possibly execution of arbitrary commands on vulnerable systems"
gekoppelt mit dem ptrace-Exploit macht Linux-Desktop-Kisten nicht
sicherer als ein ungesichertes Windows 98 mit Outlook Express.


> > Ein Volks-Linux wäre aller Wahrscheinlichkeit nach ein Alptraum
> > mit Rechnern, deren Besitzer aus Bequemlichkeit nur als "root"
> > arbeiten (so, wie es unter "Lindows" bereits geschieht), die
> > per DSL-Flatrate im Netz stehen, ohne daß seit Monaten bekannte
> > Sicherheitslöcher gestopft wären, dazu noch mit Billig-Hardware
> > von Saturn und Mediamarkt, deren beigelegten selbstinstallierenden
> > Linux-Treiber-CDs das System mit unsauber programmierten
> > Kernelmodulen und Systembibliotheken verseucht haben.
>
> Nunja, es gibt schon Gruende, warum sich nicht jeder Treiber
> (selbst wenn er unter der GPL steht) im offiziellen Kernel-Tree
> wiederfindet... wer das dann ignoriert, ist selber schuld.

Exakt, aber womöglich 1 1/2 Jahre zu warten, bis ein Treiber für eine
neue Hardware stabil in den Kernel integriert ist, verträgt sich nicht
mit den Erwartungen an ein Mainstream-PC-Betriebssystem. 

Im sog. Consumer-Markt hat ein Betriebssystem keine andere Rolle, als
aktuelle Hardware und Hardware-Gadgets möglichst unkompliziert in
Betrieb zu nehmen und in Verbindung mit aktueller Software nutzbar
zu machen. Diese Rolle erfüllt Windows, daher rühren auch seine
Instabilitäten, und diese Instabilitäten würden sich eins zu eins auf
GNU/Linux übertragen, wenn man an letzteres dieselben Anforderungen
stellen würde. Mit anderen Worten: GNU/Linux ist nicht vom Design her
überlegen (zumindest nicht dramatisch), sondern, weil es eine
technisch versiertere Nutzerschaft hat.

In Gestalt z.B. von GNU Hurd gibt es Betriebssystem-Konzepte, die eine
saubere Trennung von Kernel und Treiber-Subsystemen vorsehen, so daß
ein Treiber nicht die Stabilität des Gesamtsystems beeinträchtigen
kann. Einsatzfähig (gar für einen Massenmarkt) sind diese Architekturen
jedoch (noch) nicht, und Grundprobleme wie z.B. die Speicherverwaltung
in C/C++ mit Buffer Overflows als häufigstem Sicherheitsrisiko sind auch
in GNU Hurd nicht gelöst.

> Es koennte sogar schlimmer als bei MS sein, nachdem MS ja zumindest
> irgendeine Art von Treiber-Zertifizierung anbietet.  Was da genau
> passiert, und was fuer Kriterien da sind, etc. kann ich auch nicht
> sagen.

Eine gewisse Form des "Trusted Computing" wird es wohl bald auch für
Freie Software geben müssen. Daß man für viele Betriebssysteme (wie z.B.
Debian und die freien BSDs) unsignierte Softwarepakete und Patches von
Mirror-Servern herunterzieht und unter root-Konten installiert, ist nicht
mehr zeitgemäß.

> > > Letzteres ist keine Frage des Desktops und die Antwort heißt
> > > ohnehin OpenOffice.
> >
> > Nicht im Ernst.
>
> Ach, ich kenne mittlerweile mittelstaendische Firmen, die _nichts_
> mit Computern oder Elektronik zu tun haben, und rein aus Gruenden
> der aenderung des MS-Lizenzmodells Linux/OpenOffice Desktop-PC's
> verwenden.

Richtig, aber auch OpenOffice ist kein Programm, mit dem man gerne
und freiwillig viel arbeitet (ich zumindest kenne niemanden, der das
tut), und es nützt eben dort nichts, wo Microsoft Office-Formate
als Dateiaustauschformate eingesetzt werden und deshalb hohe
Formatkompatibilität ein K.o.-Kriterium ist. - Bitte nicht
falsch verstehen, ich leide als jemand, der LaTeX-, DocBook- und
troff-Dokumente in vi schreibt, selbst unter dem .doc-Monopol. Aber
gerade in den Geisteswissenschaften und im Verlagswesen ist .doc
solch ein de facto-Standard, daß ich z.B. an meinem Institut den
Kollegen unmöglich mit OpenOffice zwangsbeglücken könnte. Für die
meisten Geisteswissenschaftler ist ein Computer ein Gerät, mit dem man
Word-Dokumente erstellt und austauscht, so daß alles andere als das
Original inakzeptabel ist.

Und deshalb muß die Reform nicht von der installierten Software, sondern
von den Dateiformaten ausgehen. Es muß überhaupt erst ein Bewußtsein
dafür geschaffen werden, daß Dateiformate unabhängig von bestimmten
Software-Frontends existieren, Software also ein Mittel ist, um Daten in
austauschbaren, offenen Formaten zu bearbeiten und über offene
Protokolle auszutauschen.

Die Korrekturen bezüglich des Copyrights von offenen Standards, die
Susanne gegenüber meinem ersten Beitrag angebracht hat, weisen meiner
Meinung nach erst recht darauf hin, daß es an der Zeit ist, ein breite
Diskussion über offene Standards zu führen.

-F


-- 
http://userpage.fu-berlin.de/~cantsin/homepage/
http://www.complit.fu-berlin.de/institut/lehrpersonal/cramer.html
GnuPG/PGP public key ID 3200C7BA, finger cantsin at mail.zedat.fu-berlin.de