Security: Linux-Desktops brauchen bessere Verteidigung

Die Sicherheit von Desktop-Umgebungen unter Linux könnte besser sein. Der Sicherheitsforscher und Google-Angestellte Matthew Garrett stellt deshalb Verteidigungsstrategien vor. Deren vollständige Umsetzung wird aber wohl noch Jahre dauern.

Ein Bericht von veröffentlicht am
Die Gnome-Community sorgt sich um die Sicherheit des Linux-Desktops.
Die Gnome-Community sorgt sich um die Sicherheit des Linux-Desktops. (Bild: Gnome)

Fehlende Isolierung, kaputte Parser, jahrzehntealter Code ohne Sicherheitskonzepte - die Probleme für die Sicherheit von Linux-Desktops sind so zahlreich, dass einige Forscher sogar Windows 10 für sicherer halten als Linux. Der bei Google für die Sicherheit der Unternehmensrechner zuständige Matthew Garrett beschreibt deshalb auf der Gnome-Konferenz Guadec einige Strategien, um diese Probleme zu lösen.

Inhalt:
  1. Security: Linux-Desktops brauchen bessere Verteidigung
  2. Richtige Kombination von Buzzwords

Wie zuvor bereits der Mitbegründer des Gnome-Projekts Federico Mena Quintero weist auch Garrett in seinen Ausführungen darauf hin, dass C eine "schreckliche" Programmiersprache und der Code von Parsern meist "furchtbar" sei. Beides vereint sei einfach nur "extrem schlecht". Als Abhilfe hierfür empfiehlt Garrett wie Mena die Verwendung der Sprache Rust.

Doch eine sichere Sprache allein löse nicht alle Probleme, sagt Garrett. So werde es immer Fehler in der Software geben, etwa in der Logik des Programms. Deshalb sei es natürlich wichtig, Updates für Programme zu erstellen und diese auch einzuspielen. Aber auch Updates seien nicht ausreichend.

Denn viele Nutzer, auch technisch versierte, meiden nach Darstellung von Garrett das unmittelbare Einspielen von Updates, etwa weil dies den Arbeitsablauf unterbricht. Updates werden auch deshalb vermieden, weil damit oft nicht nur Sicherheitslücken behoben, sondern auch neue Funktionen in die Software eingepflegt werden, die Nutzer eventuell nicht wollen. Letztlich gilt laut Garrett auch die banale Tatsache, dass "Angreifer nicht auf Updates warten", sondern versuchen, die Lücken vorher auszunutzen.

Vorwärtsverteidigung unter Linux

Stellenmarkt
  1. IT Support and infrastructure specialist (m/w/d)
    Ludwig Frischhut GmbH & Co. KG, Pfarrkirchen
  2. Prozessmanager (m/w/d) IT
    Göbber GmbH, Eystrup
Detailsuche

Das Angriffsrisiko muss Garrett zufolge also so weit wie möglich reduziert werden. Dafür muss aktiv an bestimmten Techniken und Ideen gearbeitet werden. Als Beispiel hierfür dient nicht nur der Port der Bibliothek Librsvg von C nach Rust, sondern auch die inzwischen umgesetzten Arbeiten an dem Prozess, der Thumbnails auf dem Gnome-Desktops erzeugt.

Statt wie bisher einfach alle mögliche Dateien vollautomatisiert in einem Prozess der aktuellen Desktop-Sitzung zu parsen, kann sich dieser Vorgang theoretisch für jeden einzelnen Parse-Vorgang isolieren lassen. Dank diverser Wrapper und "Hunderter Zeilen von Boilerplate-Code" passiert künftig genau das. Genutzt wird hierfür eine Kombination aus Bubblewrap und Seccomp, das zum Filtern von Systemaufrufen verwendet wird. Details zu der Technik finden sich im Blog des zuständigen Entwicklers Bastien Nocera.

Isolation für alle

Ein derartige Isolation sollte, so Garrett, möglichst weitreichend in der Desktop-Sitzung umgesetzt werden. Und zwar nicht nur für Hintergrunddienste wie den Thumbnail-Ersteller, sondern eben für alle grafischen Anwendungen. Beispielhaft illustriert Garrett hier die theoretischen Auswirkungen einer vollständigen Isolation für den Dokumententenbetrachter Evince.

Auch wenn es Angreifern gelingen würde, Evince etwa über ein manipuliertes PDF zu übernehmen, wäre das idealerweise auch schon alles, was damit erreicht werden könnte, da der Zugriff auf den Rest der Sitzung durch eine gut umgesetzte Isolation verhindert wird. Das umfasst etwa den Zugriff auf das Dateisystem oder bestimmte Ressourcen wie Passwörter, die anderweitig zur Verfügung gestellt werden, aber dank der Isolation geschützt sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Richtige Kombination von Buzzwords 
  1. 1
  2. 2
  3.  


Teebecher 03. Aug 2017

Root Account aktivieren. Administrative Sachen per ssh von einer 2. Kiste aus machen...

lear 03. Aug 2017

Oder Programme installieren - das ist der zentrale Schutz gegen Malware: Du läßt sie gar...

Technik Schaf 03. Aug 2017

kommt darauf an wie groß die schnittmenge von Designer und Programmierern ist. und ein...

Technik Schaf 03. Aug 2017

ist die größere Provokation nicht dieser thread hier? heee warum streitet ihr nicht...

Anonymer Nutzer 02. Aug 2017

die features gibt es, aber sie werden zu wenig flächendeckend angewendet.



Aktuell auf der Startseite von Golem.de
Rakuten
"Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
Artikel
  1. Alder Lake: Intel will mit 241 Watt an die Spitze
    Alder Lake
    Intel will mit 241 Watt an die Spitze

    Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
    Ein Bericht von Marc Sauter

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /