LMU - Das Hilfe Forum für Linux Mint

Netzwerk => Sicherheit/Sicherheit allgemein => Thema gestartet von: mawa73 am 18.01.2019, 08:11:16

Titel: Mint ist sicher?
Beitrag von: mawa73 am 18.01.2019, 08:11:16
Liebe  Mint Freunde!!
Was ich hier gefunden habe finde ich sehr interessant und verleitet mich dazu mit Daten im Internet noch sensibler und vorsichtiger umzugehen als ich es bisher getan habe. Seht was ich gefunden habe...........(siehe Anhang!!!   gefunden unter      https://haveibeenpwned.com/PwnedWebsites     
  Wenn das stimmt, dass ISO´s mit Spioniersoftware ausgestattet wurden, dass muß die Theorie, dass Linux sehr sicher sei, widerworfen werden.

Der Text heißt auf deutsch:

Im Februar 2016 wurde die Website für die Linux-Distribution Linux Mint gehackt und die ISO mit einer Hintertür infiziert. Die Website führte auch ein phpBB-Forum, das anschließend mit fast 145.000 E-Mail-Adressen, Passwörtern und anderen persönlichen Abonnenteninformationen zum Verkauf angeboten wurde.

Ablaufdatum: 21. Februar 2016
Datum hinzugefügt zu HIBP: 22. Februar 2016
Kompromittierte Konten: 144.989
Gefährdete Daten: Avatare, Geburtsdaten, E-Mail-Adressen, geografische Standorte, IP-Adressen, Kennwörter, Zeitzonen, Website-Aktivität
Feedback geben
Verlauf
Gespeichert
Community
Titel: Re: Mint ist sicher?
Beitrag von: aexe am 18.01.2019, 08:32:28
Die Geschichte ist von vorgestern (Anfang 2016), nicht mehr aktuell.
Gab selbstverständlich dazu in diesem Forum eine ausgedehnte Diskussion (gibt es immer noch zu lesen).
In der Folge ist die Sicherheit des ISO-Downloads deutlich verbessert worden.
Wenn man sich die zusätzliche Mühe der Verifizierung macht: 
https://linuxmint-installation-guide.readthedocs.io/de/latest/verify.html#verify-your-iso-image

Außerdem lag die entscheidende Lücke im offiziellen Mint-Forum und die gibt es jetzt nicht mehr. 

Dass Webseiten gehackt und Benutzerdaten abgegriffen werden kommt immer wieder vor, wie Dein Link ja eindrucksvoll belegt.  Daran ist wohl auch nichts zu ändern, allenfalls kann das mehr oder weniger schwer gemacht werden. 

Mit LinuxMint als Betriebssystem hat das alles nichts zu tun
Titel: Re: Mint ist sicher?
Beitrag von: EAE am 18.01.2019, 08:34:56
Wenn Du Dir ne ISO runterlädt's, Hash vergleichen, fertig,...dann merkt's Du schon ob da irgend ein Willi die ISO auf der Webside ausgetauscht hat, außer natürlich, Er hat die dort angegeben Hash-Werte auch geändert.
Aber mal ehrlich, wer kontrolliert schon den Hash-Wert einer ISO ?
Mint ist Open Source, und damit sicherer als Kaufsoftware, bei Open Source gibt es viel zu viele Augen die dieses BS beobachten und Bugs bemerken.

C.
Titel: Re: Mint ist sicher?
Beitrag von: aexe am 18.01.2019, 08:57:56
wer kontrolliert schon den Hash-Wert einer ISO ?
Ich! Obwohl das Ergebnis bisher fast immer negativ war (Übereinstimmung mit der Vorgabe).
Man überprüft damit auch, ob der Download der richtige und komplett war, was unter Umständen einen Haufen Ärger und Arbeit bereiten kann, wenn da was nicht richtig geklappt hat. Das finde ich deutlich wichtiger. 

Edit
Es gibt nichts Gutes, außer man tut es.
Weil es Leute gab, die den Hashwert geprüft haben, wurde der Mint-Hack ziemlich schnell entdeckt.
Soviel zu
… viele Augen die dieses BS beobachten und Bugs bemerken.
Titel: Re: Mint ist sicher?
Beitrag von: chip am 18.01.2019, 11:42:28
Mint ist Open Source, und damit sicherer als Kaufsoftware, bei Open Source gibt es viel zu viele Augen die dieses BS beobachten und Bugs bemerken.

Das würde ich persönlich anders formulieren.
Die anzahl der benutzer von Linux die in der lage sind z.b. resultate von nmap zu interpretieren ist ungleich grösser als benutzer von WIN oder MAC.
Titel: Re: Mint ist sicher?
Beitrag von: Moridian am 18.01.2019, 16:10:50
Zitat
Die anzahl der benutzer von Linux die in der lage sind z.b. resultate von nmap zu interpretieren ist ungleich grösser als benutzer von WIN oder MAC.
Sehe ich auch so, ist aber auch kein Hexenwerk wenn man sich damit mal befasst -hat.

Zu 100% Sicher? Nein.

Ich würde dahingehend die eigentliche Frage auch anders formulieren.
Das zu pauschalisieren kann man einfach nicht. Weil viel zu viele Aspekte mit reinspielen.
Titel: Re: Mint ist sicher?
Beitrag von: Matrix am 18.01.2019, 17:51:06
Wie sicher ist Mint?

 Gute Frage und über die Antwort lässt sich streiten -  unsicher wird Mint meines Erachtens durch das Unterdrücken der Kernelaktualisierung => ist wohl dem Motto "Stabilität vor Sicherheit"  geschuldet.
Ein Anfänger der es nicht besser weiß, bleibt immer auf dem Kernel der Installation sitzen - kann jetzt jeder drüber denken, wie er möchte.

Was mich viel mehr stört, ist, dass "ab Werk" die microcodes (Intel und/oder AMD) nicht dabei sind => eine einfache Lösung beider Themen ist die Installation von "linux-generic" => das bringt sowohl den passenden microcode, als auch den aktuellsten Kernel der jeweils installierten Kernel-Reihe.
Zitat
Start-Date: 2018-12-31  09:17:28
Commandline: /usr/bin/apt install linux-generic
Requested-By: matrix (1000)
Install: intel-microcode:amd64 (3.20180807a.0ubuntu0.18.04.1, automatic), linux-headers-generic:amd64 (4.15.0.43.45, automatic), linux-image-generic:amd64 (4.15.0.43.45, automatic), iucode-tool:amd64 (2.3.1-1, automatic), linux-headers-4.15.0-43:amd64 (4.15.0-43.46, automatic), amd64-microcode:amd64 (3.20180524.1~ubuntu0.18.04.2, automatic), linux-modules-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-headers-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-modules-extra-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-image-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-generic:amd64 (4.15.0.43.45)
End-Date: 2018-12-31  09:18:18

Sind zwar nur Kleinigkeiten, aber wer es nicht weiß, hat per Definition kein sicheres System  :-X
Titel: Re: Mint ist sicher?
Beitrag von: Isolator am 18.01.2019, 18:08:27
Aber mal ehrlich, wer kontrolliert schon den Hash-Wert einer ISO ?

Ich und ebenso die Signatur der Checksumme.
Titel: Re: Mint ist sicher?
Beitrag von: Mäck am 18.01.2019, 18:22:05
Aber mal ehrlich, wer kontrolliert schon den Hash-Wert einer ISO ?

Ich und ebenso die Signatur der Checksumme.
Das sollte bei downloads wie einem Betriebssystem eigentlich die Regel sein, wenn sich die Macher schon die Mühe machen die Infos dazu zu liefern.
Titel: Re: Mint ist sicher?
Beitrag von: Isolator am 18.01.2019, 19:21:10
...Dass Webseiten gehackt und Benutzerdaten abgegriffen werden kommt immer wieder vor, wie Dein Link ja eindrucksvoll belegt.  Daran ist wohl auch nichts zu ändern, allenfalls kann das mehr oder weniger schwer gemacht werden...

Das Abgreifen der Benutzerdaten, genauer der Passwörter, gibt es in zwei verschieden schwerwiegenden Kategorien, die durch die Sorgfalt der Administratoren der Foren/Webseiten/Anbieter beeinflusst werden:

1. Passwörter als gesalzene Hashes

2. Passwörter im Klartext

Der 1. Punkt ist in meinen Augen deutlich weniger schwerwiegend, da in diesem Falle das Passwort nur auf der betreffenden Seite verwendet werden kann. Sollte allerdings auch das Salz für den Hash geleakt werden, könnte man versuchen mit dem ungesalzenen Hash + Logindaten Sicherheitslücken auf anderen Seiten auszunutzen.

Der 2. Punkt ist eigentlich der GAU und sollte zur sofortigen Entlassung des entsprechenden Admins + Verantwortlichen führen, da Plaintext (Klartext) Passwörter auf Servern NICHTS zu suchen haben! Das lernen Admins in der ersten Unterrichtsstunde.

Wenn nun der betroffene User die identischen Zugangsdaten auf mehreren Webseiten verwendet, hat er unter Umständen Pech gehabt, da der Angreifer auch ohne Gewalt an weitere Konten heran kommt.

Daher auch die Empfehlung für jeden Login ein individuelles Passwort zu verwenden!

Ich kenne persönlich jemanden, dem dadurch (fast) ein Schaden von 2000€ entstanden ist: Der Angreifer hat sich bei Amazon ein paar feine Sachen bestellt und sich mit meines Bekannten Zugangsdaten, die zuvor woanders gestohlen wurden, eingeloggt. Amazon war aber unglaublich kulant und hat ihm die Summe erlassen (vielleicht hatten die auch Dreck am Stecken??).
Titel: Re: Mint ist sicher?
Beitrag von: thebookkeeper am 18.01.2019, 20:11:03
Entscheidend für die Sicherheit eines Forums (bzw. einer dynamischen Website) ist aktuell-sichere PHP-Software, die SQL-Injection verhindert. Und das System-Passwort zwischen PHP-Software und MySQL-Datenbank sollte sicher sein. Als guter Admin könnte man das Admin-Login verstecken und zusätzlich fail2ban auf dem Server installieren. Wenn die MySQL-Datenbank nicht geknackt werden kann mit SQLMap oder Bruteforce, dann können keine falschen Downloads untergejubelt werden.

... eine einfache Lösung beider Themen ist die Installation von "linux-generic" => das bringt sowohl den passenden microcode, als auch den aktuellsten Kernel der jeweils installierten Kernel-Reihe ... Sind zwar nur Kleinigkeiten, aber wer es nicht weiß, hat per Definition kein sicheres System  :-X
Ja, guter Rat für Anfänger, im Terminal:
sudo apt-get install linux-generic
Titel: Re: Mint ist sicher?
Beitrag von: aexe am 18.01.2019, 22:16:32
Gilt das "apt install linux-generic" denn überhaupt noch? 
Ich meine, dass es zumindest für LM-19.x nicht mehr erforderlich ist.
Und bei LMDE 3 mit Sicherheit nicht.

Was mich viel mehr stört, ist, dass "ab Werk" die microcodes (Intel und/oder AMD) nicht dabei sind
Bist Du sicher?
Titel: Re: Mint ist sicher?
Beitrag von: Isolator am 18.01.2019, 22:59:18
...durch das Unterdrücken der Kernelaktualisierung => ist wohl dem Motto "Stabilität vor Sicherheit"  geschuldet.
...

Auf meinem Testrechner mit Mint Cinnamon 19.1 wird der Kernel über die grafische Oberfläche sehr wohl aktualisiert. Und der Microcode ist meines Wissens auch dabei, da er unter der Treiberverwaltung NICHT mehr gelistet wird.

So steht es in der Wikipedia:

"Mit Linux Mint 19 (Juni 2018) wurde, zusammen mit Einführung der Snapshot-Funktion, mintUpdate überarbeitet und die Einstufung von Aktualisierungen in Ebenen entfernt. Seither werden alle Aktualisierungen automatisch zur Installation ausgewählt. Zudem ist nun auch eine vollautomatische Aktualisierung des Systems ohne Zutun des Nutzers möglich."
Titel: Re: Mint ist sicher?
Beitrag von: thebookkeeper am 19.01.2019, 01:43:23
... guter Rat für Anfänger, im Terminal:
sudo apt-get install linux-generic
Dazu empfehle ich die klassisch-einfache Aktualisierung per Terminal:
sudo apt-get update && sudo apt-get dist-upgradeUnd regelmäßig klassisch-einfach das System aufräumen per Terminal:
sudo apt-get autoremove && sudo apt-get autoclean
Diesbezüglich verwirrt die grafische Oberfläche die Anfänger mit Optionen,
beispielsweise wenn Kernelupdate unpassend angeboten/ausgewählt wird.
Titel: Re: Mint ist sicher?
Beitrag von: aexe am 19.01.2019, 02:10:40
Diesbezüglich verwirrt die grafische Oberfläche die Anfänger mit Optionen.
Die Verwirrung und eine gewisse Sturheit scheint mir eher bei Dir zu liegen. Wie wäre es mit einem Update?
Titel: Re: Mint ist sicher?
Beitrag von: Matrix am 19.01.2019, 10:20:15
Gilt das "apt install linux-generic" denn überhaupt noch? 
Ich meine, dass es zumindest für LM-19.x nicht mehr erforderlich ist.

Was mich viel mehr stört, ist, dass "ab Werk" die microcodes (Intel und/oder AMD) nicht dabei sind
Bist Du sicher?
Nein, natürlich bin ich mir nicht sicher - woher auch  ;D

Ich berichte nur von dem, was mir mein Mint 19.1 Cinnamon erzählt und da verhält es sich (bei mir) so, dass wenn ich nach der Installation ein
sudo apt update && sudo apt full-upgradeausführe weder einen aktualisierten Kernel, noch die Microcodes im System habe.
Mache ich dann ein
sudo apt install linux-genericdann passiert halt genau das, was ich bereits gepostet habe
Start-Date: 2018-12-31  09:17:28
Commandline: /usr/bin/apt install linux-generic
Requested-By: matrix (1000)
Install: intel-microcode:amd64 (3.20180807a.0ubuntu0.18.04.1, automatic), linux-headers-generic:amd64 (4.15.0.43.45, automatic), linux-image-generic:amd64 (4.15.0.43.45, automatic), iucode-tool:amd64 (2.3.1-1, automatic), linux-headers-4.15.0-43:amd64 (4.15.0-43.46, automatic), amd64-microcode:amd64 (3.20180524.1~ubuntu0.18.04.2, automatic), linux-modules-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-headers-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-modules-extra-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-image-4.15.0-43-generic:amd64 (4.15.0-43.46, automatic), linux-generic:amd64 (4.15.0.43.45)
End-Date: 2018-12-31  09:18:18
"linux-generic" bringt also nachvollziehbar die Microcodes und einen aktualisierten Kernel  ;)
Titel: Re: Mint ist sicher?
Beitrag von: aexe am 19.01.2019, 10:43:03
sudo apt update && sudo apt full-upgrade
Ist eben bei LinuxMint nicht vorgesehen, weil es hier stattdessen traditionell die differenzierte, von manchen gern ignorierte und umstrittene Aktualisierungsverwaltung gibt.
Damit bekommt man, wenn gewünscht, auch all diese Pakete, meine ich, auch ohne Terminalaktionen. 

Edit
bei mir war das bereits bei der ersten Aktualisierung nach der Installation der Fall. user@TaraT:~$ apt search linux-generic | grep ^i
i   linux-generic                   - Complete Generic Linux kernel and headers
user@TaraT:~$ apt search intel-microcode | grep ^i
i A intel-microcode                 - Processor microcode firmware for Intel CPU
Titel: Re: Mint ist sicher?
Beitrag von: Matrix am 19.01.2019, 10:59:21
also bedeutet das jetzt, dass wenn man bei einer Support-Anfrage feststellt, dass der/die TE ein nicht aktuelles System hat, dann muss ich so vorgehen, dass ich den grafischen weg dort hin beschreibe?

Also quasi so - Linksklick auf "Icon X", dann klicke auf "Reiter Y" und setz das Häkchen bei "Option Z"?

Zitat
bei mir war das bereits bei der ersten Aktualisierung nach der Installation der Fall.
Unter "Neon" bekomme ich den Microcode bereits bei der Installation, muss also dafür nicht erst eine Aktualisierungsverwaltung anklicken.  :P
Titel: Re: Mint ist sicher?
Beitrag von: tommix am 19.01.2019, 11:03:19
 :)
Titel: Re: Mint ist sicher?
Beitrag von: aexe am 19.01.2019, 11:14:49
Off-Topic:
also bedeutet das jetzt …
Ich weiß nicht was soll es bedeuten … dass ich so fröhlich bin, oder so ähnlich.
Mag mir die Laune nicht mit konstruierten Problemen verderben lassen.
Ich denke, wir sind uns einig, dass sich jeder um ein aktuelles System kümmern sollte.
Wie er das letztlich macht, ist doch nebensächlich.
Es gibt, wie so oft bei Linux, mehrere Möglichkeiten.

Ich meine, wir diskutieren längst nicht mehr über die Frage des TE, die mit dem Mint-Hack 2016 zu tun hat:
Wenn das stimmt, dass ISO´s mit Spioniersoftware ausgestattet wurden, dass muß die Theorie, dass Linux sehr sicher sei, widerworfen werden.
??
Nein, muss nicht.
Titel: Re: Mint ist sicher?
Beitrag von: tommix am 19.01.2019, 11:31:59
Ich habe bei der Erstellung der Installationsanleitung für LM 19 bewusst nicht mit dem Ende der Installation aufgehört, sondern auch die arbeiten mit der Aktualisierungsverwaltung gezeigt, da nmM die Installation erst wirklich beendet ist, wenn auch die Aktualisierungsverwaltung sagt: "Ihr System ist auf dem neuesten Stand"
Titel: Re: Mint ist sicher?
Beitrag von: Matrix am 19.01.2019, 11:42:32
Ich meine, wir diskutieren längst nicht mehr über die Frage des TE, die mit dem Mint-Hack 2016 zu tun hat:
Wenn das stimmt, dass ISO´s mit Spioniersoftware ausgestattet wurden, dass muß die Theorie, dass Linux sehr sicher sei, widerworfen werden.
??
ja gut, da haste recht - wir sind eher bei der Überschrift des Threads  :D

Was den Hack anbelangt, ich oute mich mal als jemand, der die Kontrollsummen vergleicht.  ;)

Für die Mint-Macher war das zwar etwas peinlich, aber letztendlich haben sie das Problem ja relativ zeitnah gelöst - daraus jetzt zu schließen, dass Linux im allgemeinen unsicher ist, halte ich für völlig überzogen.

Off-Topic:
Off-Topic:
also bedeutet das jetzt …
Ich weiß nicht was soll es bedeuten … dass ich so fröhlich bin, oder so ähnlich.
Mag mir die Laune nicht mit konstruierten Problemen verderben lassen.
Ich denke, wir sind uns einig, dass sich jeder um ein aktuelles System kümmern sollte.
Wie er das letztlich macht, ist doch nebensächlich.
Es gibt, wie so oft bei Linux, mehrere Möglichkeiten.

I
ich hab nicht vor, dir die Laune zu verderben - was soll mir das bringen? ::)

Ich bin nur erstaunt darüber, dass bei Mint der Systemzugang via Terminal "etwas" eingeschränkt zu sein scheint.
Find ich persönlich schade - aber gut, da mir Cinnamon als Alternative zu Plasma5 ganz gut gefällt, macht es vllt. Sinn, sich das Ganze mal in einer anderen Distri anzuschauen => evtl. Siduction mit Cinnamon?  :)

Ich arbeite halt viel mit der .bash_history und den Log-Dateien unter /var/log(apt/* - das sind für mich Dateien, die ich regelmäßig sichere/synchronisiere, damit ist eine evtl. Neuinstallation schnell erledigt und geht schneller, als irgendwelche Systemabbilder zurück zu spielen.

Gut, ich geb mich geschlagen - wir schweifen vom Thema ab.

Wünsche allen ein angenehmes und stressfreies  Wochenende  :-*
 
I