Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken. Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.

Da Politiker im Regelfall von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei Ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Politikern schützt.

Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.

Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.

Mehr Informationen unter www.politiker-stopp.de.

Startseite

Viren unter Linux? Nein.

Eingetragen von mir selbst. | 14 Dezember, 2001 - 12:26
Ich werde immer wieder gefragt, warum es denn unter Linux keine Viren gibt - und die populärste Antwort darauf von Laien ist, "jaaaa, aber sobald sich Linux etwas mehr verbreitet, wird es da auch ILOVEYOU usw. geben".

Nein. Wird es nicht. Es wird niemals solche Epidemien geben wie unter Windows. Here's why. Theoretisch ist auf Unix-Systemen die gleiche 'Infizierbarkeit' gegeben wie unter Windows. Hat jemand auf einem Unix-System (Linux gehört zu der Familie der Unix-Systeme) Administratorrechte, dann kann er genauso viel kaputtmachen wie unter Windows. Sogar u.U. mehr, denn ein 'root' Zugang unter Unix wird von den meisten Entwicklern als 'heilig' angesehen, so daß viele Aktionen ohne Bestätigunsdialog vonstatten gehen (z.B. das Formatieren einer Partition).

Die Realität zeigt jedoch, daß ein Virus in der Form wie die momentan 'aktuellen' Windows-Würmer auf Unix-Systemen einfach kein Verbreitungspotenzial hat. Und daran wird auch die ja schon seit längerem sehr grosse Verbreitung des Systems nicht viel ändern - eher im Gegenteil.

Das liegt meiner Meinung nach primär an folgenden Dingen:

1. Kein Linux-Entwickler würde die Fehler von Microsoft machen, schon gar nicht noch mal: denn hier hat die Technik das Sagen.

Eines der größten Probleme von Microsoft-Software scheint, daß neue Funktionen oder Änderungen an irgendwelchen Programmen immer erst den Marketeer-Test bestehen müssen: "Können wir damit kurzfristig mehr Kunden kriegen / mehr Geld verdienen / unsere Kunden stärker an uns binden / ...?" "Dumme" Kunden sind leichter zu beeinflussen und geben daher eher mehr Geld aus, also warum seine Kunden richtig informieren?

Eine Funktion, die zwar der Sicherheit dient, aber die Benutzerfreundlichkeit einschränkt (wie z.B. ein zusätzlicher Abfragedialog oder eine Warnung beim Öffnen von irgendeiner Datei) wird offensichtlich verweigert. Anders könnte ich mir nicht vorstellen, warum Outlook so eine Petrischale ist.

Prominente Beispiele von Marketing-Dummheit (nehme ich mal an) bei Microsoft-Software sind:

Beispiel: Outlook

Bugs, Bugs, Bugs, Bugs, Bugs, BUGS, Bugs, Bugs, Bugs, Bugs, Bugs, Bugs, und andere Fehler:
  • öffnet Attachments ungefragt bereits in der Vorschau
  • Benutzt quasi unengeschränkt den MSHTML-Engine (vom IE), kann damit auch Javascript & Co in Mails ausführen (toll!)
    Das Anzeigen von Web-Bugs wird auch nicht unterdrückt
  • man kann das Interpretieren von HTML nicht abstellen
  • aktiviert standardmäßig ActiveX Controls, die den Rechner quasi fernsteuerbar machen
  • und so weiter.
Davon abgesehen, daß Outlook einem das Einhalten der Netiquette (z.B. der hier) z.T. richtig schwer macht, keine vernünftige Signaturabtrennung erlaubt, nicht korrekt zitieren kann, der Mailreader Mails nicht in Threads einsortieren kann und es keine Möglichkeit gibt, diese ganzen Funktionen nachzurüsten (weil Microsoft den Source nicht rausrückt, mal ganz abgesehen von der Lizenz) ist das Teil also auch noch eine riesige Sicherheitslücke. Toll.

Gegenbeispiel: KMail vom K Desktop Environment

Die ganzen verfügbaren Textmodus-Mailprogramme erwähne ich hier bewusst nicht, da die diese Probleme 'by design' generell nicht haben. Die populärsten Mailprogramme, z.B. KMail, Balsa, und der Outlook-Clone Ximian Evolution (naja, ohne die Bugs ;) besitzen allerdings alle Funktionen, die - sollte es irgendwann mal auch Linux Mail-Viren geben - das Verbreitungspotenzial dieser erheblich einschränken. Das ist aber gerade der Witz: Die Virenprogrammierer wissen das, und programmieren daher keine Viren für Linux, weil es sich nicht lohnt!

2. Ein Virus (der Programme befällt) braucht Schreibrechte auf diese Programme.

Und die hat auf Unix-Systemen in der Regel keiner. Eine standardmäßig eingerichtete SuSE-Installation (das, worauf die meisten Neulinge stossen) fragt bei der Installation nach einem Kennwort für den 'root', und nach einem normalen Nutzerzugang, und warnt ganz ausdrücklich davor, als root zu arbeiten (es ist auch dann nichts vorkonfiguriert). Als normaler Benutzer (auch Anfänger) hat man auf einem Linux-System Schreibrechte auf sein HOME-Verzeichnis und sonst nirgendwo, vielleicht noch abgesehen von /tmp oder sowas. Und das witzige ist, diese Einstellungen schränken den Anwender in seinen Tätigkeiten überhaupt nicht ein - kein Wunder, denn das System ist ja nach diesem Grundsatz geschaffen.

Warum um alles in der Welt hat Microsoft die Chance nicht ergriffen und läßt Windows XP standardmäßig vernünftig benutzbare, genügend restriktive Benutzeraccounts vergeben? Warum müssen wieder fast alle Administrator-Rechte haben (jedenfalls alle bei der Installation eingerichteten Benutzer)? Ach ja, ich vergaß: Windows ist ja immer noch kein wirkliches Multi-User-System und viele Anwendungen fliegen einem dann richtig um die Ohren, z.B. kann Microsoft-Office keine Hilfedateien mehr aufrufen, wenn man keine Schreibrechte auf das /windows/help oder so hat. Super Microsoft!

3. Der typische Linux-Benutzer ist wachsamer als der typische Windows-Benutzer.

Wer schon einmal einem Windows-2000 Benutzer vergeblich versucht hat klarzumachen, daß es keine gute Idee ist, dem Administratorzugang kein Kennwort zu geben, der versteht das am leichtesten: "Warum denn? Es ist ja mein Personal Computer und nur ich komm in dieses Zimmer!" Ja, und was ist mit der Standleitung ins Internet, du Nase?

Genauso ist es mit Mail-Attachments. Auch Linux-Anfänger sind meiner Erfahrung nach bei Linux vorsichtiger mit dem Klicken: Da Unix-Systeme generell vom Benutzer erwarten, daß er weiss was er tut (und es daher auch weniger Bestätigungsabfragen gibt - jedenfalls bei den belanglosen Dingen), wird vor dem Klick generell mehr Hirnaktivität gezeigt, und das ist ein "Good Thing(tm)". Ausserdem sind die üblichen Mailprogramme unter Linux selten so ausgelegt, daß sie Attachments automatisch öffnen - und oft lassen sie sich auch gar nicht so konfigurieren (und das ist in meinen Augen ein Vorteil, denn wer sich so sicher ist, daß er keinen Unfug anrichtet, der kann dann vielleicht seinen Mailclient mit -D GAPING_SECURITY_HOLE oder sowas neu kompilieren und dann jede Menge Scheisse bauen. Aber ein Anfänger stolpert darüber nicht!).

4. Das Reparieren von Sicherheitslücken ist schneller und vor allem selbständig durchzuführen.

Wenn unter Linux vom Administrator oder Webmaster eine Sicherheitslücke in einem Server entdeckt wird, hat dieser die Möglichkeit und die Erlaubnis, das Problem eigenständig zu beheben. Systemadministratoren sind idR. fähig genug, wenigstens abschätzen zu können, was das Problem ist und sich ggf. mit den Entwicklern kurzschließen zu können. Das Argument 'das kann doch sowieso keiner' zieht nicht, denn diejenigen, die es brauchen, die wären doch blöde, wenn sie diese Möglichkeit nicht nutzen würden.

Windows-Server müssen dagegen warten, bis Microsoft sich bequemt einen Patch bereitzustellen, von dem man meist noch nicht einmal genau weiss was er tut. Es ist nicht selten vorgekommen, daß Microsofts ServicePacks oder Patches für irgendeines ihrer Sicherheitsprobleme nicht nur andere Probleme geschaffen haben, sondern auch noch gleich "geheimerweise" ein Systemupdate durchgeführt haben bzw. ohne Nachfrage "Features" installiert haben, die man gar nicht will. Beispiele:

  • Der "Security Advisor" für die standardmäßig scheunentoroffene IIS-Installation von Windows 2000, herausgekommen einige Monate(!!!) nach der Wurm-Epidemie auf Microsoft-Servern, hat standardmäßig das Interpretieren von .ASP-Dateien abgeschaltet. Prinzipiell eine gute Sache, wenn man keine .ASP-Dateien benötigt. Wenn man sie aber benutzt hat, hat danach der Windows-Rechner von allen .ASP-Dateien einfach den Quellcode ausgespuckt, inklusive allen Datenbankpasswörtern, privaten Verzeichnissen und was in Skripten sonst noch so alles vorkommt.
    Für eine Verbesserung der Sicherheit halte ich das nicht!
  • Das Service Pack I von Microsoft Office 2000 hat die Aktivierung nachgeliefert, die bei Windows XP ja jetzt üblich ist, und gleichzeitig einige tausend Lizenzen von MS-Officepaketen deaktiviert, von denen Microsoft der Meinung war, daß sie eventuell im Internet verteilt wurden. Microsoft hat mit der Installation von Windows XP genau das gleiche wiederholt, viele Lizenzen von legal gekaufter Software funktionieren jetzt nicht mehr, und man muß sich selbst vor MS rechtfertigen, um Ersatz zu bekommen!
  • Die "NSAKEY" Geschichte, bei der ein Entwickler in einer DLL eines NT-ServicePacks Debugging-Informationen entdeckte, die diesen String als Variablennamen enthielten. Natürlich ist da keine Untersuchung draus geworden, nur etwas Geschrei in der Presse. Man hat ja seine Freunde im Senat?

Zusammenfassung

Linux-Systeme (oder besser: Systeme, die auf freier Software basieren)

  • werden vorsichtiger entwickelt,
  • achten mehr auf Sicherheit und Funktionalität als auf Marketing,
  • sind prinzipiell für Mehrbenutzerbetrieb ausgelegt und daher greifen die Sicherheitsmechanismen des Systems,
  • haben i.d.R. wachsamere Benutzer,
  • bieten die Möglichkeit (und Erlaubnis) gefundene Lücken selber zu bereinigen und vielleicht sogar die Lösung zu veröffentlichen, damit alle etwas davon haben
  • werden nicht vom Hersteller als Hebel benutzt, andere oft nicht gewünschte Produkte und/oder Features (Kopiersperren, Aktivierung, "nach hause telefonierende" Spionagefeatures, etc) gegen den Marktwillen in denselben zu pressen.

Unix-Systeme haben natürlich ihre eigenen Probleme. Auf einem Linux-System laufen potenziell (die Erfahrung zeigt, daß das bei einer heute typischen Neuinstallation nicht mehr so ist) sehr viele übers Netzwerk ansprechbare Dienste, die potenziell auch Sicherheitslücken haben oder fehlkonfiguriert wurden. Es ist aber ein Unterschied, ob ob der Hersteller auf die Fehler mit "Oops, wird sofort behoben, sorry" reagiert, oder mit "Das ist kein Bug, das ist ein Feature, und jede weitere Frage an die Hotline kostet Sie EUR 59 / diese Version ist alt, kaufen Sie das Update / Sie haben eine XYZ-Version, das supporten wir nicht / Ihre Hardware ist schuld / blablabla." reagieren.

Allerdings sind diese Lücken WENN sie auftreten üblicherweise in Stunden, nicht in Monaten, behoben (oder man behebt sie selbst, wenn man weiss wie) und nicht für Jahre vorhanden (wie bei WinNT/2000, oder bei Outlook), weil man den Benutzern einen zusätzlichen Bestätigungsdialog o.ä. "nicht zumuten kann".

Trackback URL for this post:

http://news.jensbenecke.de/trackback/795