Sicherheit Win10 und Linux ( 2019 )

david19

Active Member
#1
Ich nutze momentan beide Betriebssysteme bzw. ich beschäftige mich auch mit Linux. Trotzdem sind mir die immer besseren Funktionen von Windows Defender aufgefallen. Ein Drittanbieter für Virenschutz ist nicht mehr nötig. Dazu kommt noch die Ransomeware Funktion in Verbindung mit Onedrive.
Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System den Schlüssel ConsentPromptBehaviorAdmin auf "1" stellen, dann erfolgen die Adminrechte nur noch mit Passwort. Genau wie in Linux. ( Oder man erstellt einfach ein Lokales Benutzerkonto, dann wird auch nach dem Passwort gefragt).

Ich bin kein Experte, aber ich glaube das Win10 mit richtiger Einstellung fast so sicher wie Linux ist, solange man seine Programme nur von der orginalen Herrstellerseite herunterlädt.

Das Argument für Linux und Sicherheit gegenüber Windows10, dürfte heute nicht mehr so sein. Wie sieht ihr das? Habe ich was übersehen oder nicht beachtet?
 

DJFelipe

Well-Known Member
c-b Experte
#4
Nagut wenn du mehr Details haben willst, hier mal eine kleine Aufstellung :)

Pro Linux:
  • Weniger Viren/Trojaner/Würmer/Ransomware als für WIndows
  • Sehr viele Treiber schon OOTB (out of the box) integriert, zumindest in den meisten Distributionen
  • Einfachere und Übersichtlichere Dienste
  • Sehr großer 'Store' um Applikationen aus dem Internet direkt zu installieren
  • Einfache Möglichkeit über Paketverwaltung direkt alle von dort installieren Programme aktuell zu halten
  • Extrem schnelles Filesystem (zumindest EXT4 im vergleich zu NTFS... Sieht man gut wenn man z.B. World of Warcraft auf einer HDD hat und das unter Linux mit WINE startet... die Ladezeiten sind kein Vergleich zu Windows)
  • Das System ist deutlich schlanker (Datenträgergröße).. Selbst die größte Klicky-Bunti (Ubuntu) Installation ist kleiner als Windows 10
Neutral:
  • Windows-Viren/Trojaner/Würmer/Ransomware haben unter Linux nur dann eine Chance, wenn man per WINE die Anwendung startet... bei den meisten ist aber die Chance sehr groß, das die Applikation dann einfach wegen ungültiger API Aufrufe crasht :D Ansonsten gilt, kein Interpreter -> Keine Ausführung -> Keine Gefahr

Con Linux:
  • Man sollte Kenntnisse in der Shell besitzen da Linux nicht alles per GUI bedienen lässt (die meisten Treiber-Installationen z.B.)
  • Weniger Spiele
  • Weniger Softwarepakete

Ist jetzt leider etwas 'genereller' Ausgefallen aber dürfte so die meisten Punkte beinhalten, die den Leuten wichtig sind..
 

david19

Active Member
#5
@DJFelipe Danke für den tollen Beitrag. Du hast natürlich recht mit dein Punkten.
Ich habe mal weiter getestet mit den Windowsfunktionen. Bin sehr beeindruckt. Wenn man alles ordentlich eingestellt hat, dann geht hier überhaupt nichts durch, ohne meine Zustimmung.
Am besten finde ich die ConsentPromptBehaviorAdmin Funktion + Ransomeware. Solange man die App nicht bestätigt funzt da gar nichts. Selbst mein Adobe wurde blockiert :D
Hätte nicht gedacht, das Windows so nachgelegt hat, was Sicherheit betrifft. Vielleicht mache ich mal einen eigenen Thread dazu.
 

AGGROStar1991

Well-Known Member
c-b Experte
#6
Generell ist die Frage : "Sicher gegenüber wem?". Gegenüber Microsoft oder Geheimdiensten der 5 eyes(und auch der deutschen dank abkommen) gibt es absolut nicht. Schlicht und ergreifend. Es ist NICHT möglich sicher alle Spionagefunktionen abzustellen.

Will man die Sicherheit gegenüber irgendetwas anderem beurteilen wird es schwierig. Denn das geht bei Windows-Systemen einfach nicht da es keine Öffnung des Codes gibt und der nicht einsehbar ist. Können wir ausschließen, dass in den .Net-Libraries etc. ein Trojaner hardcoded ist? Nope. Gibt es wenigstens die Möglichkeit dazu? Auch nicht. Können wir Teile bei denen wir uns unsicher sind, zum Beispiel die Kryptobibliotheken einfach austauschen? Leider auch nicht. Das ist für mich das große Problem was die Sicherheit angeht, dass wir es nicht wissen oder beeinflussen können und ultimativ MS ausgeliefert sind. Und das ist ein riesiges Problem. Wird Microsoft unsere Daten verkaufen? Vielleicht nicht. Kann es sein dass MS Pleite geht und der Insolvenzverwalter alles verkauft? Klar.

Gerade was Sicherheitsinfrastruktur angeht hat MS in letzter Zeit( insbesondere bei Windows 8, aber das ist im wesentlichen identisch) erhebliche epic fails in der Sicherheitsinfrastruktur gebaut, beispielsweise sich den Updater zerschießen oder eine unfassbar große Anzahl Zertifikate im System haben von Authorities die nachweislich nie Zertifikate heraus gegeben haben.

Kann all das auch in einer Linux-Distribution passieren? Logo. Der große Unterschied ist : einen kritischen Bug in OpenSSL oder so kann man finden und beheben oder auf LibreSSL wechseln, schlimmstenfalls die Distro austauschen mit einem anderen Paketmanager. Selbes gilt auch für Algorithmen. Angenommen wir finden heraus dass die NSA( und das ist fast sicher) nun nachdem Windows endlich auch auf SHA-2 gewechselt ist auch darin einen kritischen Bug hat. Das ist kritisch für den Updater weil man damit gefakte Updates verteilen könnte auf alle Systeme. Auf Linux könnte ich zum Beispiel pacman nehmen und einfach , wenn es wirklich niemand anders macht, diesen Paketmanager auf SHA-3 updaten und alle Pakete die ich brauche über ein eigenes Repo bereitstellen, signiert und gehasht mit SHA-3. Ist ein haufen Arbeit und ich brauche einen Server, sicher. Aber das ist für einen geübten Programmierer oder mehrere definitiv in absehbarer Zeit zu lösen. Bei einem Windows System bin ich davon abhängig dass Microsoft es fixed und nicht etwa mutwillig aufgrund von Druck durch die NSA oder das FBI offen lässt( wir wissen : auch sowas ist schon vorgekommen, zum Beispiel bei CISCO) und auf unfreiwillige Seitenkanäle kann es auch niemand testen, es gibt kein peer review. Und gerade bei Kryptosoftware ist das tötlich da es so viele subtile Fehler gibt die man machen kann.

Du hast die Passworte eingeführt. Ubnd da muss ich dir sagen, ähnlich wie der Autoupdater, das ist besten falls Kindergarten verglichen mit Linux oder einem Unix. Nehmen wir zum Beispiel das Programm sudo. Ja im einfachsten fall erlaubt das einem User etwas mit Rootrechten auszuführen. Richtig cool ist daran aber etwas ganz anderes : es erlaubt einzuschränken, WAS ein User mit SUID-Rechten ausführen kann. Ich kann zum beispiel usern erlauben, per sudo fsck() ( FileSystemCHeck) auszuführen, ihm aber verbieten, Programme zu installieren.

Das nächste Problem : Windows kennt kein brauchbares Konzept von Jails(die grundlegendste Version davon wäre unter Linux ein chroot()-Jail, das zwar auch nicht völlig, aber dennoch ziemlich sicher einen Prozess isoliert) um Software zu sandboxen und selbst für docker in neueren Versionen braucht man eine teure Bezahlversion.

Weiterhin : Windows hält sich nicht an Standards. Es gibt viele viele Standards für sicherheitskritische und häufige Probleme, gerade in der Welt des Administrators, bei denen Windows nicht nur nicht mitzieht sondern ganz eigene "Lösungen" ausrollt oder noch schlimmer die Linux/Unix-Admins zu veralteten und unsicheren Lösungen zwingt. Beispiele dafür wären eine C-Library die den neueren Standards entspricht die viele Fehler ausmerzen. SSH für Fernzugriff oder Dateiübertragung. Brauchbare In-System-Verschlüsselung oder noch besser Verschlüsselung des vollen Systems. Man kann nicht einmal grub+luks nehmen und Windows drauf packen, weil Win10-Updates sogar den Bootloader zerschießen können beim Versuch ihn zu "reparieren".

Das Dateisystem NTFS ist was die Sicherheit angeht schlicht nicht zeitgemäß. Es gibt keinen Support für logical volume management, Dateisystemverschlüsselung, Snapshots, Software-RAID, Checksums, Incremental Backups. Auch ansonsten hat Windows keinen sinnvollen eingebauten Backupmechanismus. Und es gibt auch keinen Support für andere Dateisysteme.

Und letztlich : die Systemarchitektur ist zwar auf Intuitivität ausgelegt, steht aber einem sicheren System entgegen. Hier ist vor allem die Verschränkung von Komponenten wichtig, die unabhängig sein sollten. Kernel und Benutzeroberfläche sind in Teilen vermischt. Der Editor hängt in allem möglichen drin und ähnliches. Warum ist das ein Problem? Weil ein 0day in Benutzeroberfläche oder Editor gleich das gesamte System kompromittiert.


Sorry für die Wall-Of-Text, aber das waren so ein paar meiner Gedanken
 

david19

Active Member
#7
@AGGROStar1991 Vielen Dank für deine Gedanken, war sehr interessant zum lesen. Mir ging es mehr um die Sicherheit was Maleware und Trojaner betrifft. Das Windows, Spy einsetzt sollte jeden bewusst sein und da stimme ich dir zu.
Was aber jetzt toll ist, es kann nichte raus telefonieren ohne Zustimmung. Es erfolgt immer eine Password Abfrage, auch wenn Viren keine Adminrechte benötigen. Das selbe Prinzip wie bei Linux. Es kann sich auch nichts in die Registery schreiben, da nichts durchgeht. Aber eben nur wenn man alles richtig eingestellt hat.
Wie Linux gibt es auch einen Store für Microsoft. Wenn man dann zusätzlich noch Noscript Browser aktiviert hat, ist man absolut save. Klar es gibt keine 100% Sicherheit, aber wenn man alles nutzt wie ich es oben geschrieben hatte, hat Malware keine Chance.
Natürlich muss man den Anbieter vertrauen, deshalb nur von der orginalen Webseite runterladen.
 

AGGROStar1991

Well-Known Member
c-b Experte
#8
Nein du bist mit dem Zeug nicht "absolut save". Microsoft hat es geradezu zur Kunst erhoben was Sicherheit angeht gerade so das absolut nötigste zu machen, dass sie aus Rechtsstreits in den US and A raus sind. Die Passwortabfrage hilft auch höchstens so mittel wenn der ganze Rest dahinter nicht passt, der Store nicht per sicherer Crypto abgesichert ist(und MS hat mehr als deutlich bewiesen dass sie die nicht drauf haben wenn sie es nichtmal hinkriegen sich per Update nicht ihre eigenen Root Certificates die sie zum updaten brauchen zu zerschießen), in der Passwortabfrage seit 15 oder so Jahren die gleichen flaws klaffen mit denen man SYSTEM-Access bekommt, WinAPI und Registry immernoch Dinge tun die für niemanden einsehbar sind mit allen möglichen undokumentierten Funktionen und so weiter.

Alle Bugs und Sicherheitslücken auf die ich oben hingewiesen hab sind Sachen die in den letzten ~15 Jahren auf majoren Systemen gezeigt worden sind, keine obskuren Hacks aus einem Geheimlabor in Tel Aviv.

Weiterhin, so leid es mir tut, hast du keinerlei Ahnung von Websecurity wenn du glaubst, ein Scriptblocker allein würde dich vor allem schützen(gegenbeispiel HTML-Injection). Und "nur von originalen Webseiten runterladen" klingt toll. Wie stellst du fest dass die nicht DNS-gespooft werden? Oder cache poisoned? Wenn es so einfach wäre gäbe es keine gigantischen erfolgreichen Ransomware-Kampagnen mehr. Was denkst du warum ich so auf der Krypto rumreite? Weil die wortwörtlich dein einziger Freund ist, die einzige Instanz die dich ohne dein Vertrauen zu verlangen sichern kann. Fängt ein Scriptblocker manches ab? Sicherlich. Ist der Teil eines brauchbaren Sicherheitskonzepts? Klar. Reicht der allein zusammen mit irgendwelchen Passwörtern? Natürlich nicht.

Angenommen man hat das alles ausgeschaltet. Ist man dann ERWIESENERMASSEN safe? Nö. Keiner von uns hat die Möglichkeit festzustellen, ob Microsoft über den Microcode des Prozessors Schweinereien für die NSA macht die jemand fleißig ausnutzen kann. Oder über ihren proprietären, nicht zu prüfenden Compiler. Kann es sein dass man mit dem was du hier vorschlägst, durch ich weiß nicht welche Magie, so sicher ist wie auf einem gut gehärteten Linux? Klar. Kann man das jemals einigermaßen sicher sagen? Nein, und das ist das Kernproblem. Ein System von dem ich nicht mit einigermaßener Sicherheit sagen kann was daran wie sicher/wie unsicher ist muss man wenn man irgendwie ehrlich ist als das unsicherste aller Systeme betrachten. Ein System ist bestenfalls so sicher wie seine unsicherste Komponente.

Der Knackpunkt in deinem Post ist "wenn man alles richtig eingestellt hat". Auch das können wir weder wissen noch überprüfen sondern bestenfalls glauben. Und viele Einstellungen die für ein gutes Sicherheitskonzept( und ja, viele Linux-Distros haben sowas auch nicht out of the box, was ein riesen Problem ist) notwendig wären liegen entweder komplett oder zumindest für die billigen Versionen außer Reichweite(versuch mal ner Home-Edition Cortana abzugewöhnen, und sag mir wo man danach einen Geistheiler findet um wieder auf die Beine zu kommen) oder sind erst gar nicht vorgesehen( siehe saubere Krypto irgendwo einziehen wo es sie noch nicht gibt, unsichere Kernbibliotheken austauschen, reproduzierbarkeit von Paketbuilds sicherstellen und testen, sandboxing ...) und darum unmöglich.

Insgesamt basiert deine ganze Argumentation auf dem Glauben dass Microsoft, ein nach US-Recht zur Geheimdienstkooperation bis zum Schadstelleneinbau verpflichteter Konzern, dessen Konzept ist mit deinen Daten Gewinne zu machen, der klar bewiesen hat, dass er unfähig ist elementarste Sicherheitsarchitektur ausfallsicher zu betreiben, und das mehrfach, und auch gar nicht gewillt ist auch nur firmeneigene Sicherheitstechnologie zu verbauen, dich schon irgendwie vor der bösen Welt schützen wird während du dich mit einem "don't worry your pretty little head about it" abspeisen lässt. Mir zumindest ist das zu dünn, wenn ich daran glauben will dass mich schon eine höhere Instanz retten wird geh ich in die Kirche.

EDIT : hier sind drei Talks so als kleiner Einstieg
https://www.youtube.com/watch?v=MjAhrsCJqgg
https://www.youtube.com/watch?v=EzxFHZV0L2w
https://www.youtube.com/watch?v=-y9Dpc9X31g
 

david19

Active Member
#9
@AGGROStar1991 Ich kann bei deinem Wissenstand überhaupt nicht mitreden. Dein Wissen dazu ist in einer ganz anderen Liga als meine. Aus deinen Posts ist raus zu lesen das die Sache wirklich verstehst. Ich hatte nur versucht, Windows10 so sicher zu machen wie es nach meinen Wissenstand geht. Für mich ist es nur wichtig, diese ganze Malware zeugs aus meiner Welt zu schaffen. Ich habe Linux in einer VM und mir gefällt es auch. Das große Problem ist einfach das Thema Gaming. Da kann nun mal LINUX und MAC vergessen, das ist halt das blöde. Selbst Adobe bekommt es nicht hin, eine Linux Version rauszubringen:(
 

AGGROStar1991

Well-Known Member
c-b Experte
#10
Nichts läge mir ferner als dir Vorzuwerfen ein Windows zu nutzen, aus ähnlichen Gründen und höherer Gewalt hab ich auch eins. Es ist auch durchaus löblich zu sagen "ich mache es so sicher wie ich kann". Man sollte sich nur nicht der Illusion hingeben dass das irgendwie sinnvoll ginge. Ja man kann einiges tun, aber das ist eben bei weitem nicht genug und primär Microsofts versagen, nicht deines. Es gibt nur zu oft zu schwere Fehler, gerade zum Beispiel den hier https://www.heise.de/security/meldung/Windows-Kacheln-entfuehrt-4401427.html den die golem-Leute auch hätten nutzen können um Malware einzuführen. Und gegen sowas kannst du schlicht nichts tun.

mfg
 

Jan Krüger

Well-Known Member
c-b Team
c-b Experte
#11
Kurze Info zu der Passwortabfrage bei UAC in Windows: die macht das Ganze nur sicherer, falls jemand physikalisch an deinen PC rankommt, während er nicht gesperrt ist. Unprivilegierte Software hat keinen Zugriff auf die Prompts in der GUI. Wenn du also einen hinreichend sicheren Sperrmechanismus (PIN oder Passwort) konfiguriert hast und den Computer immer sperrst, wenn du mal kurz weggehst, bieten Passwortabfragen nicht wirklich mehr Sicherheit.
 
#12
Kurze Info zu der Passwortabfrage bei UAC in Windows: die macht das Ganze nur sicherer, falls jemand physikalisch an deinen PC rankommt, während er nicht gesperrt ist. Unprivilegierte Software hat keinen Zugriff auf die Prompts in der GUI. Wenn du also einen hinreichend sicheren Sperrmechanismus (PIN oder Passwort) konfiguriert hast und den Computer immer sperrst, wenn du mal kurz weggehst, bieten Passwortabfragen nicht wirklich mehr Sicherheit.
Also durch die Passwort Abfrage, wird der Zugriff auf die System32 Datein gesperrt. Auch für .exe welche sich da rein schreiben will. Es ist das gleiche, wenn ich ein Benutzerkonto habe ohne Admin Zugriff. Deshalb verstehe ich jetzt deine Aussage nicht wirklich:) Programme werden dadurch nicht startbar. Alles was ausserhalb von System32 ist, wird durch Ransomeware geschützt.
 

Jan Krüger

Well-Known Member
c-b Team
c-b Experte
#13
Nein, das ist Unsinn. Das, was den Zugriff auf geschützte Dateien (System32 usw.) einschränkt, ist die Privilegientrennung mit UAC (Benutzerkontensteuerung bzw. User Account Control) - mit Passwortabfrage oder ohne. Die Variante ohne Passworteingabe ist standardmäßig aktiv, da musst du das Ganze nur bei einem Prompt bestätigen - ohne Passwortabfrage.

Beide Varianten verhindern systemseitig den Zugriff unprivilegierter Programme auf diesen Prompt - will sagen: eine Malware kann nicht automatisch den Dialog wegklicken, auch wenn er nicht nach einem Passwort fragt. Das ist über die API schlichtweg nicht möglich. (Das sieht man zum Beispiel gut, wenn man sowas wie TeamViewer als unprivilegiertes Programm laufen hat - wenn der ferngesteuerte Computer dann wegen irgendwas einen solchen Prompt einblendet, ist der Bildschirminhalt überhaupt nicht mehr sichtbar, bis ein vor dem Computer sitzender Benutzer den Prompt weggeklickt hat.)

Da Programme nicht darauf zugreifen können, ist es für Malware unerheblich, ob die Passwortabfrage aktiv ist oder nicht - sie kann in keinem Fall etwas ausrichten, solange UAC diese Abfragen anzeigt. Entscheidend ist also nur, ob überhaupt ein UAC-Prompt kommt. Die erhöhte Sicherheit mit der Passwortabfrage gilt nur für den Fall, dass ein Angreifer wirklich deine Maus anfassen (oder z.B. ein USB-Gerät einstecken) kann, während der Desktop entsperrt ist. Dann verhindert die Passwortabfrage, dass er sich selbst Privilegien einräumt. Wenn du aber sicher bist, dass dein Desktop immer gesperrt ist, wenn du den Computer nicht im Blick hast, hat die Passwortabfrage keinen Vorteil.

(In dem Fall, dass ein Angreifer ein manipuliertes Gerät an deinen Computer ansteckt, schützt dich übrigens auch die Passwortabfrage nicht mehr - das Gerät kann dann potenziell den RAM deines Computers auslesen und so an das Passwort kommen, während du es das nächste Mal eingibst.)
 
#14
Achso jetzt habe ich es verstanden:) Na dann hätte ich mir das mit der Passwort Abfrage sparen können:p
Ich hätte gedacht, das Maleware das UAC Promt wegklicken können. Aber wenn es eh nicht geht, dann ist es wurscht. Alles klar, danke!
 

beepsoft

Well-Known Member
c-b Team
c-b Experte
#16

DJFelipe

Well-Known Member
c-b Experte
#17
Kann dies auch per Software passieren?
...
Ja das geht... Hab ich selbst schonmal ausprobiert (allerdings zu Windows8 Zeiten..). Wobei du da teilweise auch direkt über diverse API's und Memory-Zugriffe auch direkt alles mögliche Steuern kannst, ohne 'ALT+Y' drücken zu müssen.. Ob die Lücken aber noch existieren, weiss ich nicht..

Ich meine, es sollte doch kein Thema sein Windows vorzugaukeln eine USB Tastatur hängt am Rechner.
...
Sofern du an der UAC vorbei kommst, um ein neues Gerät mit ggf angepasstem Treiber zu laden geht das, ja.
 

Jan Krüger

Well-Known Member
c-b Team
c-b Experte
#18
Das mit dem "potenziell" ist der springende Punkt. USB erlaubt standardmäßig keinen direkten Speicherzugriff, aber bei Thunderbolt-3-Unterstützung wird quasi PCI Express über den Anschluss exponiert und damit kommst du definitiv an alles dran.
Soweit ich weiß, bietet auch USB 3.1 potenziell per DMA Zugriff auf den RAM, und bei anderen/älteren USB-Versionen kommt man möglicherweise noch über Schwachstellen in der Bus-Implementierung/Firmware dran. Im Detail kenne ich mich da aber nicht aus.
 
Oben