Re: Virengefahr unter Linux (war Re: virenscan)
Hallo Liste, Sandy Drobic schrieb:
Jede Komponente, die aktive Elemente ausführt, kann bei einer Sicherheitslücke der Applikation zu einer Infektion führen. Dies beginnt beim Browser und Javascript/Java in zu Dokumenten mit Scripten/Macros wie etwa eine PDF-Datei oder ein Office-Dokument bis hin zu Scripten von lokalen Anwendungen und Servern. Ein Druckertreiber hatte auf einem PC mal einen Webserver mit Tomcat installiert, um den Druckerstatus anzuzeigen!
Gibt es eigentlich Bedenken bei den Betriebssystem-Eigenen Updates? Sprich, wenn man unter Yast updatet oder unter ubuntu automatische Systemupdates ausführt? Könnten hier updates dabei sein, die sich als etwas anderes ausgeben? Hatte heute nämlich heute (Ubuntu) bei einigen Updates die Zusatzinformation, dass einige Updates nicht authentifiziert wären ;) Grüße _______________________________________________________________________ Sensationsangebot verlängert: WEB.DE FreeDSL - Telefonanschluss + DSL für nur 16,37 Euro/mtl.!* http://dsl.web.de/?ac=OM.AD.AD008K13805B7069a -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Taner Ayaydin schrieb:
Gibt es eigentlich Bedenken bei den Betriebssystem-Eigenen Updates? Sprich, wenn man unter Yast updatet oder unter ubuntu automatische Systemupdates ausführt?
Könnten hier updates dabei sein, die sich als etwas anderes ausgeben? Hatte heute nämlich heute (Ubuntu) bei einigen Updates die Zusatzinformation, dass einige Updates nicht authentifiziert wären ;)
Du hast es ja selbst schon fast gesagt: so lange Du die repos der Distributionen verwendest, bist Du einigermaßen sicher. Allerdings gab es mal ne Studie, die gezeigt hat, dass es relativ leicht ist, einen Mirror für bekannte Distributionen eingetragen zu kriegen und dann quasi offiziell alles mögliche zum Download anzubieten. Wenn Du die Meldung kriegst, dass die Quellen nicht authentifiziert sind, würde ich zumindest mal schauen, warum. Die meisten Quellen bieten Schlüssel an, mit denen sie die Dateien signieren. Die solltest Du auch benutzen, dann kommt auch die Meldung nicht mehr. Wenn keine Schlüssel angeboten werden, musst Du halt am besten vorher überlegen, ob die Quelle vertrauenswürdig ist. Bei ubuntu hab ich glaube ich keine Quellen ohne Schlüssel, schau doch mal, ob Du die kriegst oder was da los ist. Gruß, Anton -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 9. Dezember 2008 23:08 schrieb Taner Ayaydin:
Sandy Drobic schrieb:
Jede Komponente, die aktive Elemente ausführt, kann bei einer Sicherheitslücke der Applikation zu einer Infektion führen. Dies beginnt beim Browser und Javascript/Java in zu Dokumenten mit Scripten/Macros wie etwa eine PDF-Datei oder ein Office-Dokument bis hin zu Scripten von lokalen Anwendungen und Servern. Ein Druckertreiber hatte auf einem PC mal einen Webserver mit Tomcat installiert, um den Druckerstatus anzuzeigen!
Gibt es eigentlich Bedenken bei den Betriebssystem-Eigenen Updates? Sprich, wenn man unter Yast updatet oder unter ubuntu automatische Systemupdates ausführt?
Das interessiert mich auch. Ich wuerde hier erwarten, dass die Kommuikation verschluesselt stattfindet und dass sich die Gegenseite ueber einen Schluessel identifiziert. Kann jemand hier Details nennen? Bei Downloads von PackMan meldet YaST, dass sich die Gegenseite mit einem unbekannten Schluessel identifiziert hat. ID und Fingerprint werden angezeigt und koennen mit den Angaben auf der Homepage verglichen werden. Den Schluessel kann man wohl auch irgendwie auf seinem System bekanntmachen -- beim ersten Download. Aber die Angabe auf der Homepage koennte ja auch gefaelscht sein.... und damit wuerde man sein System mit einem korrupten Schluessel einer korrupten Quelle infizieren. Ist der einzige Schutz dagegen, dass sich so ein Hack schnell herumsprechen wuerde -- und man sein System dann neu aufsetzen darf? Bei SUSE / Novell Quellen bemerke ich nichts von der Authentifikation, hoffe aber, dass es sie gibt -- und dass die Schluessel mit der Distribution auf der DVD ausgeliefert werden. Verschluesselung? -Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Karl Weber schrieb:
Verschluesselung?
Hab ich bisher bei repos noch nicht gesehen. Sind ja auch meistens einfache http- oder ftp-Server, nix -s, also nix Verschlüsselung. Die Schlüssel sind zum signieren der Pakete und zum Überprüfen da, nicht zur Verschlüsselung der Kommunikation. Gruß, Anton -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 9. Dezember 2008 23:42 schrieb Anton Roeder:
Karl Weber schrieb:
Verschluesselung?
Hab ich bisher bei repos noch nicht gesehen. Sind ja auch meistens einfache http- oder ftp-Server, nix -s, also nix Verschlüsselung. Die Schlüssel sind zum signieren der Pakete und zum Überprüfen da, nicht zur Verschlüsselung der Kommunikation.
Welchen Schluessel zeigt YaST dann genau an? Einen, mit dem sich die Gegenseite der Kommunikation identifiziert, oder den, mit dem die Pakete signiert sind? Ich dachte, erstes, aber es sollte dann wohl letzteres sein. Kann ich die Signatur nach dem Download auch manuell pruefen? Wenn ja, wie? -Karl. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Die, 09 Dez 2008, Karl Weber schrieb:
Kann ich die Signatur nach dem Download auch manuell pruefen? Wenn ja, wie?
rpm --checksig foo.rpm HTH, -dnh -- In /etc steht, was Du denkst. In /proc steht, was das OS denkt. [Thomas Blum in doc] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 9. Dezember 2008 23:53:42 schrieb Karl Weber:
Am Dienstag, 9. Dezember 2008 23:42 schrieb Anton Roeder:
Karl Weber schrieb:
Verschluesselung?
Hab ich bisher bei repos noch nicht gesehen. Sind ja auch meistens einfache http- oder ftp-Server, nix -s, also nix Verschlüsselung. Die Schlüssel sind zum signieren der Pakete und zum Überprüfen da, nicht zur Verschlüsselung der Kommunikation.
Welchen Schluessel zeigt YaST dann genau an? Einen, mit dem sich die Gegenseite der Kommunikation identifiziert, oder den, mit dem die Pakete signiert sind? Ich dachte, erstes, aber es sollte dann wohl letzteres sein.
Kann ich die Signatur nach dem Download auch manuell pruefen? Wenn ja, wie?
-Karl.
Wir auch automatisch gemacht. Das funktioniert wie mit dem Signieren der Mails, der Author(bzw. das Repo) hat einen Schlüssel, mit dem er einem Gewissen Satz Daten (z.B. RPM Pakete) signiert. Wenn du jetzt über YaST was aktualisieren tust (ohne vorher groß an der config rumgepfutscht zu haben), lädt YaST sowohl Datei als auch dazugehörige Signatur herunter(bzw. diese Befinde sich in der Paketliste soweit ich weiß) und vergleicht diese. Falls die Checksumme übereinstimmt installiert YaST einfach (no news is good news!). Falls es Abweichungen gibt, schlägt es an und weißt darauf hin (je nach Paketmanager verweigert er auch komplett die Installation). Dieses Verfahren sichert ab, das die Pakete von ihrer Erstellung bis bei dir auf dem Rechner nicht verändert wurden (Der Mirror signiert keine Pakete, er könnte es zwar theoretisch probieren, dann würde YaST aber darauf hinweisen, das es den Schlüssel bisher nicht kennt und fragt ob man ihm vertrauen will). Was dieses Verfahren _NICHT_ tut: - Es ist keine Verschlüsselte Kommunikation (wieso auch?) - Es stellt nicht sicher, das es sich nicht um Schadsoftware handelt! (Da muss man dem Paket-Packer vertrauen - oder eben nicht) Grüße Michael (Dessen Mail ebenfalls mit seinem öffentlichen Schlüssel signiert ist, jetzt kannst du hergehen und gucken ob der Schlüssel mit der ID 707C1B5BFCE5399A wirklich zu mir gehört z.B. indem du auf meiner Homepage nachsiehst[0] oder mich auf einem "sicheren Weg" kontaktierst. Wenn das der Fall ist und die Signatur nicht beschädigt ist, kannst du davon ausgehen, das meine Mail auf dem Weg zu dir nicht verändert worden ist. Das ist der Zweck der Signatur. Diese Mail ist jedoch weder verschlüsselt, noch garantiert das sie dabei um Spam(Hier jetzt mal Stellvertretend für Schadsoftware) handelt. [0] http://www.michael-skiba.de/about.php
Hallo, Am Die, 09 Dez 2008, Karl Weber schrieb:
Am Dienstag, 9. Dezember 2008 23:08 schrieb Taner Ayaydin:
Sandy Drobic schrieb:
Jede Komponente, die aktive Elemente ausführt, kann bei einer Sicherheitslücke der Applikation zu einer Infektion führen. Dies beginnt beim Browser und Javascript/Java in zu Dokumenten mit Scripten/Macros wie etwa eine PDF-Datei oder ein Office-Dokument bis hin zu Scripten von lokalen Anwendungen und Servern. Ein Druckertreiber hatte auf einem PC mal einen Webserver mit Tomcat installiert, um den Druckerstatus anzuzeigen!
Gibt es eigentlich Bedenken bei den Betriebssystem-Eigenen Updates? Sprich, wenn man unter Yast updatet oder unter ubuntu automatische Systemupdates ausführt?
Das interessiert mich auch. Ich wuerde hier erwarten, dass die Kommuikation verschluesselt stattfindet und dass sich die Gegenseite ueber einen Schluessel identifiziert. Kann jemand hier Details nennen?
Nö. Wozu? Die Pakete werden (seit 10.x) per Public-Key signiert und von Yast überprüft.
Bei Downloads von PackMan meldet YaST, dass sich die Gegenseite mit einem unbekannten Schluessel identifiziert hat. ID und Fingerprint werden angezeigt und koennen mit den Angaben auf der Homepage verglichen werden.
Der Schlüssel von Packman ist dieses Jahr abgelaufen, deswegen gibt's inzwischen einen neuen.
Den Schluessel kann man wohl auch irgendwie auf seinem System bekanntmachen -- beim ersten Download.
Es gibt ein RPM. Bzw. es wird dir von Yast/zypper angeboten, die Packman-Schlüssel zu importieren.
Bei SUSE / Novell Quellen bemerke ich nichts von der Authentifikation, hoffe aber, dass es sie gibt -- und dass die Schluessel mit der Distribution auf der DVD ausgeliefert werden.
So ist es.
Verschluesselung?
Signiert. Lesestoff: http://de.wikipedia.org/wiki/Digitale_Signatur -dnh -- I'm extremely disappointed. I send you out for exciting, new designer drugs, you come back with tomato sauce. -- Dr. House -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Anton Roeder
-
David Haller
-
Karl Weber
-
M. Skiba
-
Taner Ayaydin