Sicherheit von Linux-Distributionen


Auf der letzten Gnome Entwicklerkonferenz gab es einen Vortrag bei dem ungewohnt offen über die Sicherheitsprobleme in Linux-Distributionen aufgeklärt wurde (WebKit Security Updates, GUADEC 2016). Im Kern ging es darum, dass das Webkit Projekt (welches einen zentralen Layer für jeden Webbrowser darstellt) zwar laufend neue Updates erhält, diese aber nicht oder nur verzögert Einzug halten in wichtige Linux-Distributionen. Als vorbildlich wurden genannt Fedora und ArchLinux bei denen die aktuelle Webkit Version vorhanden ist. Leicht schlechter schnit RedHat ab und ganz schlecht sei die Lage bei Ubuntu und Debian, wo insbesondere in den LTS Versionen uralte Webkit Versionen installiert die angreifbar sind für alle möglichen Exploits. Noch viel expliziter wurde es, als die Gründe genannt wurden. Und zwar sei (so der Vortragende) das Mantra von Debian nur stable-Versionen auszuliefern schlichtweg eine Lüge die in der Praxis sich so verhält, dass dem Debian Team zwar bewusst ist, dass die ausgelieferte Webkit Version Sicherheitsmängel besitzt, aber aus Mangel an Manpower, Zeit und Interesse wird darüber nicht geredet in der Hoffnung das schon nichts passiert.

Gleichzeitig wurde aber herausgestellt welche Probleme entstehen können, wenn man eine Rolling-Release Distribution wie Antergos verwendet. Dort gab es in der Vergangenheit wohl nach einem Update mal das Problem, dass der grafische Login-Screen nicht mehr angezeigt wurde, und die Antergos User sich überhaupt nicht mehr einloggen konnten.

Was tun? Soll man abwägen zwischen einem System wie Debian wo niemals sowas passiert oder soll man das Risiko von ArchLinux und Co auf sich nehmen? Meine Empfehlung lautet: grundsätzlich ist Sicherheit wichtiger als ein funktionierendes System. Das heißt, es müssen auch dann Updates eingespielt werden, wenn dadurch das komplette System kaputt geht. Als Fallback ist für solche Fälle ein USB Stick mit einer Live-Distribution wie Antergos empfehlenswert. Also eine ältere Version die nachweislich den Rechner booten kann und womit man zumindest ins Internet kommt und nach einer Lösung zu suchen. Derartige USB-Sticks mit ISO Images enthalten zwar nicht die jeweils aktuellste Programmversion sondern sind mitunter 6 Monate oder älter, für den Fall der Fälle ist das aber ausreichend.

Begleitend dazu begrüße ich, dass von namenhafter Stelle endlich mal Klartext über die Sicherheit bzw. Unsicherheit von Debian geredet wurde. Es gibt da draußen viel zu viel Leute, die das Marketing-Sprach von Debian einfach so akzeptieren. Das geführliche bei Sicherheitslücken die aus dem Internet angreifbar ist dass der Angreifer diese ausnutzt und eben nicht den Computer kaputtmacht sondern im Gegenteil froh ist, wenn er unentdeckt agiert. Anders gesagt, vermutlich gibt es da draußen unzählige Debian-Desktops wo Hacker sich ein Stelldichein geben, Keylogger installieren oder noch schlimmeres und der User bemerkt davon nichts weil sein System suggeriert „stable“ zu sein.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s