Sicherheit

Seit vielen Jahren habe ich schon diverse Server am laufen, viele davon sind direkt aus dem Internet erreichbar. Wer direkt aus dem Internet erreichbar ist, kann auch direkt über das Internet angegriffen werden. Ein gängiges und beliebtes Ziel für Angriffe ist der SSH Dienst, die Gründe dafür dürften zum einen dessen Verbreitung (jeder Linux Server hat diesen) und dessen Möglichkeiten (Shellzugang) sein. In der Praxis gibt es viele Rechner im Internet welche automatisch nach verwundbaren SSH Versionen oder ungeschützten Zugängen (kein oder ein schlechtes Passwort) suchen. Das Problem mit den ungeschützten Zugängen löst man heute in der Regel mittels Public-Key-Authentifizierung, und die Sache mit den verwundbaren SSH Versionen lösen wir mit Updates. Als Administrator wissen wir das SSH sofort nach einem verfügbaren Update auch aktualisiert (und neu gestartet) werden muss. ...

Ein zentraler Ansatz der meisten heute verwendeten Linux Distributionen ist das man Software nicht wie unter Windows oder MacOS üblich mit einem Installationsprogramm installiert, sondern das man diese zentral über eine einzige Stelle bezieht: Die Paketverwaltung. Nun, so eine Paketverwaltung selbst stellt diese jedoch noch nicht bereit, es ist nur ein Tool welches die Installation aus den sog. Paketquellen oder auch Repositories genannten Speicherorten ermöglicht. Dieser Ansatz ist gut, der Anwender bekommt (hoffentlich) alles was er benötigt über eine zentrale Stelle, noch dazu werden Programme aus den für die Paketverwaltung verfügbaren quellen auch automatisch auf den neuesten (sicheren) Stand gebracht. Der Anwender muss sich also nicht wie z.B. unter Windows damit beschäftigen wie ein bestimmtes Programm auf die neueste Version aktualisiert werden kann. ...

Ein meiner Meinung nach leidiges Thema ist es, dass man 2012 nach wie vor bei den meisten sog. Mobilfunkendgeräten an die Lust und Laune des Herstellers gebunden ist wenn man denn ein Software Update haben möchte. Aktuell geht es mir hierbei vor allem um diese tollen neuen Smartphones, das sind Geräte welche viele persönliche Daten recht unsicher und ungeschützt abspeichern, und auch was Security insgesamt angeht eher schlecht dastehen. Hier gibt es mehr oder weniger viele verschiedene Betriebssysteme, welche teilweise unterschiedliche Update Policies haben, oder eben nicht: Bei iOS sorgt Apple dafür das jedes Endgerät, ggf. auch mit Funktionseinschränkungen, die neueste Version bekommt. Technische Limitierungen spielen hierbei natürlich auch eine für Apple nicht mehr überwindbare Hürde. Beim Blackberry OS sieht es ähnlich aus, was bei einem mehr oder weniger reinen Business Produkt auch mindestens zu erwarten ist. Bei Android sieht es da, wenn man die gesamte Produktpalette betrachtet, am schlimmsten aus: Jeder Hersteller kann wenn er möchte ein neues Release für die alten Geräte anpassen und ausrollen, muss dies aber nicht tun. Bei Windows Phone 7 sieht es (noch) nicht ganz so schlimm wie bei Android aus, allerdings wird es Version 8 nicht für alle Geräte geben, dafür aber für das alte Release wohl eine Art Feature Pack - wenigstens etwas. ...

Auf heutigen Betriebssystemen hat man ja in der Regel relativ viele Dienste installiert. Einige davon sind sogar über das Netzwerk zu erreichen (z.B. Avahi). Leider fällt mir öfters mal auf das einige Distributionen, u.a. auch Ubuntu oder Debian, die Dienste direkt nach der Installation schon starten und in den jeweiligen Runlevels eintragen. Hintergrund dürfte wohl sein das sich der Maintainer eines Paketes wohl dachte das man einen Dienst den man installiert bestimmt auch nutzen möchte, dabei gibt es aber eine Reihe von Problemen: Es gibt Dienste die eher selten in der Standardkonfiguration verwendet werden dürften. Dazu zähle ich z.B. Samba. Es gibt Dienste die als Abhängigkeit für andere Pakete installiert worden sind , diese werden nicht zwangsweise benötigt sondern stellen nur zusätzliche Features bereit. Dienste die Installiert sind, und über das Netzwerk erreicht werden können, sind potentiell immer Angreifbar und erhöhen daher das Sicherheitsrisiko des Gesamtsystems. ...

Ein wichtiges Thema in der IT, wenn nicht sogar das Kernthema überhaupt, sind ja Datensicherungen oder im neudeutsch Backups. Das Problem mit der Datensicherung fängt schon bei der Wahl des Speichermediums an: Disketten / ZIP Eine endlich ausgestorbene Technik, heute sind die Probleme die Unzuverlässigkeit, Kapazität und vor allem die mangelnde Verfügbarkeit solcher Laufwerke. Eine Datensicherung auf diesen Medien ist also nichts was man in Betracht ziehen sollte. CD / DVD / BluRay Auch wenn man auf den ersten Blick denkt ein optisches Medium ist eine gute Idee, sollte man sich das nochmal durch den Kopf gehen lassen. Hauptproblem ist das immer wieder mal Rohlinge verbrannt werden oder eine Lesbarkeit selbst nach 1-2 Wochen nicht gewährleistet ist. Die Qualität der Medien schwankt gewaltig und die Datenmenge welche man Gesichert bekommt ist, mit Ausnahme der BluRay, für heutige Verhältnisse viel zu klein. USB Laufwerke USB Laufwerke gibt es angefangen vom USB Stick bis hin zu mehreren Terabyte großen Festplatten in jeder Preisklasse. Nachteil ist hierbei das die Medien empfindlich auf Überspannung reagieren und ein Anschluss am PC auf Dauer nicht sinnvoll ist, da sonst gerne mal ein Blitz Daten und Datensicherung gleichzeitig hinrichtet. Nachteil dieser Technik ist das der USB Anschluss (von Version 3.0 mal abgesehen) viel zu langsam ist um große Datenmengen zügig zu kopieren. Auch belastet eine über USB angeschlossene Platte das System deutlich mehr als eine über SATA oder IDE angeschlossene Platte. Festplatten im Wechselrahmen Das oben genannte Problem mit der Geschwindigkeit kann man einfach mit Festplatten in einem Wechselrahmen umgehen, diese sind an die SATA Schnittstelle angeschlossen und können daher auch große Datenmengen schnell übertragen. Auch die eSATA Schnittstelle eignet sich hier prima, ist aber nicht immer verfügbar. Da es sich beim Datenträger um normale SATA Platte handelt ist, zumindest für die nächsten 4-5 Jahre eine Anschlussmöglichkeit in jedem Standard-PC vorhanden, über entsprechende Adapter auch an USB, FireWire oder eSATA. ...