Ist Linux wirklich (noch) sicher und datenschutzfreundlich?

Manteuf · 22. Mai 2024 um 14:51

Hallo zusammen,

ich nutze zwar schon seit einiger Zeit Linux Mint als Dual-Boot aber ich mache mir momentan so ein bisschen die Gedanken über die Sicherheit im Allgemeinen.

Auf Mastodon hatte nämlich mal jemand einen Guide von einem „madaidan“ gepostet, in dem er explizit von Linux abrät, da Linux nicht sicher und auch nicht datenschutzfreundlich sei (und empfiehlt Windows 11, Chromebook oder macOS) – auch rät er von der Nutzung von Firefox ab. Hier der Link dazu.
Leider ist mein Englisch nicht so gut (und bin auch kein Techniker) um den kompletten Artikel zu verstehen und Mike hatte dazu auch nicht geantwortet auf Mastodon.

Deshalb hatte ich das Ganze dann erst mal ausgeblendet bis jetzt die Sache mit den kompromittierten XZ-utils aufkam – das Erschreckende, es ist keiner großen Distribution aufgefallen (!) und landete sogar in manchen Rolling-Releases. Kurioserweise hat das Ganze dann ein Microsoft-Mitarbeiter gefunden.

Und was mich auch etwas beunruhigt ist die stetig wachsende Anzahl an Schadsoftware für Linux – fast täglich ist da wieder etwas Neues dabei mit irgendwelchen Backdoors, sieht man hier im Changelog des Defenders.

Ist also an madaidans Meinung doch etwas dran und man sollte ggf. auf Apple oder Chromebook wechseln?
Was sagt @kuketzblog zu solchen Sachen? Mike müsste doch hier am besten bescheid wissen.
Muss man sich wirklich Gedanken machen ggf. ein anderes Betriebssystem nutzen?

Vielen Dank für eure Meinungen!

skalavagr · 22. Mai 2024 um 16:48

Linux (i. S. v. 99% der Desktop Distributionen) ist schon seit über ein Jahrzehnt nicht als „sicher“ zu betrachten. Nicht nur Madaidan ist dieser Meinung!
Privsec, Brad Springler (grsecurity) [1][2], Kees Cook (Google), Elena Reshetova (Intel), Alexander Popov (Positive Technologies), Dmitry Vyukov (Google), Daniel Micay (GrapheneOS), … weisen ebenfalls auf die (vielen) Sicherheitsmängel von Linux hin.

Im Kern geht es vorallem um fehlende Sandboxing, keine/kaum moderne Exploit-Mitigations, kein Kernel Hardening und kein vernüftiges Verfied Boot.

Man kann zwar selbst versuchen einiges zu härten, jedoch sind und bleiben es halbherzige Implementation, die niemals an das Sicherheitslevel von z.B. Android herankommen können.

Ist also an madaidans Meinung doch etwas dran und man sollte ggf. auf Apple oder Chromebook wechseln?

Es kommt auf deine persönlichen Präferenzen an!

Will man gute Sicherheit, dafür kaum Datenschutz kann man ein aktuellen Mac oder Chromebook mit ChromeOS nehmen.
Will man gute Sicherheit und halbwegs aktzeptablen Datenschutz nimmt man sich ein Secure-Core Gerät mit Pluton-Sicherheitsprozessor und (sofern möglich) Windows Enterprise. Danach kann man entweder den Guide von Beerisgood oder den von Opressor1761 befolgen.
Hier findet man auch einige nützliche Informationen.
Will man ein datenschutzfreundliches OS, dafür mit weniger Sicherheit nimmt man sich ein Secure-Core Gerät und installiert Fedora Workstation oder Secureblue (eine gehärtete Version von Fedora Silverblue) und nimmt den Privsec Linux Hardening Guide für die Härtung des Systems.
Man kann auch QubesOS (eine Xen-Distribution) auf einem NovaCustom NV41 mit Coreboot + Heads installieren. Dann hätte man (vorrausgesetzt man nimmt Kicksecure VMs oder Fedora mit grsecurity (sofern du eine Lizenz bekommst)) ein datenschutzfreundliches OS mit guter Sicherheit. Leider besitzen diese Geräte kein BootGuard und sind somit für physische Angriffe anfälliger.
Wenn einem Ergonomie nicht so wichtig ist, kann man sich auch ein Pixel Tablet mit GrapheneOS und externer Bluetooth-Tastatur nehmen.

Man sieht, es ist momentan nicht einfach ein sowohl sicheres als auch datenschutzfreundliches Desktop System zu bekommen, und erst recht nicht Out-of-the-Box.

Und der beste Datenschutz bringt einem nichts, wenn jeder Zugriff auf dein System bekommen kann.

Aber nur weil man ein Linux - System verwendet, heißt es nicht, dass man automatisch jeden Tag gehackt wird!
Man muss sich den Grenzen des Systems bewusst sein!

abcde · 22. Mai 2024 um 19:14

Wie sieht es mit Arch + AppArmor + FireJail aus? Nach dem, was du schreibst, vermutlich nicht so sicher, aber wie kann man das verbessern? (Laut dem Artikel nicht.)

Elijahu · 23. Mai 2024 um 08:55

Ich sage gern im persönlichen Umfeld: »Linux ist nicht sicherer als andere Systeme, aber wir Linuxnutzer leben trotzdem ein bisschen auf der Insel der Seligen. Weil unser Betrübssystem so wenig verbreitet ist, dass es sich für Kriminelle nicht lohnt, dafür Angriffe zu entwickeln.« Und sollte irgendwann doch noch der von einigen Menschen ersehnte große Siegeszug von Linux auf dem Desktop beginnen, dann gehts für mich halt rüber zu BSD.

Aber generell: Computersicherheit ist ein schwieriges Thema. Es gibt keine völlige Sicherheit, und es wird sie niemals geben. Hacker hacken. Cracker cracken. Und sie sind sehr kreativ. Also muss man abwägen, gegen welche Form von Angriffen welcher Angreifer das System robust sein soll, mit dem man arbeitet und kommuniziert. Jemand, der es auf der anderen Seite mit gut ausgestatteten Geheimdiensten zu tun hat, müsste völlig andere Maßstäbe anlegen als jemand, der einfach nur seine Privatsphäre und die Integrität seines Computers vor Kriminalität schützen möchte. Deshalb ist das Thema auch so verwirrend – etwa im Gegensatz zur Sicherheit eines Autos.

Und Computersicherheit ist da auch nur ein Teil des trüben Themas. Es ist wahr, dass das Unterhaltungsgerätebetrübssystem Android formal sicherer ist als etwa Linux, weil es ein inzwischen gut durchdachtes und feingliedriges System von Anwendungsberechtigungen hat, das weit über die Möglichkeiten von SELinux hinausgeht. Aber dennoch muss man feststellen, dass diese auf Betrübssystemebene eingeführte Sicherheit in einer fürchterlichen bis barbarischen Kultur daherkommt, in der selbst renommierte Unternehmen nicht mehr davor zurückschrecken, ihre Software für Android mit allerlei klandestin verbauten, völlig unerwünschten, trojanischen Zusatzfunktionen zu verpesten und einem Schadsoftware zum Download anzubieten. Im unteren Preissegment wird die Schadsoftware beinahe immer werkseitig vorinstalliert. Wer dagegen vorgeht und sich ein sauberes Betrübssystem auf sein Gerät spielt, erfährt dafür Nachteile, zum Beispiel den Verlust der Gewährleistung oder die Dysfunktionalität einiger Apps. Von der für Laien wenig ermutigenden Möglichkeit, sein Gerät zu bricken, will ich gar nicht erst anfangen.

Wer Sicherheit ohne jeden Kontext, ohne die umgebende Kultur, betrachtet, kann seine Aufmerksamkeit leicht auf die falschen Themen lenken. Wie schon gesagt: Wer sich vor Geheimdiensten schützen muss, sei hier mal ignoriert – das betrifft zum Glück nur eine Minderheit, die sich hoffentlich zu helfen weiß.

Deshalb statt einer längeren Darlegung (ich bin eh schon weitschwafelig genug) nur eine kurze Frage zum Darüber-gründlich-Nachdenken. Die Katastrophe mit einer beliebig nutzbaren XZ-Backdoor auf so ziemlich jeden Server im Internet ist ja gerade erst frisch an uns vorbeigegangen, und dass ausgerechnet einer von Microsoft die Superman-Klamotten angezogen und uns alle bewahrt hat, ist von tiefer Heiterkeit. Aber den Aufwand, der für die Einrichtung dieser Backdoor betrieben wurde, den haben wir auch alle mitgekriegt. Die Vorbereitung hat Jahre gebraucht und war über die gesamte Zeit hinweg sehr zielstrebig. Das Maß des obfuscating für die Backdoor war bemerkenswert gerissen und ausgeklügelt, so dass sie bei oberflächlicher Analyse nicht auffallen konnte. Alles deutet darauf hin, dass es sich um einen Geheimdienst oder um ganz große organisierte Kriminalität (ist ja fast das gleiche) gehandelt hat; geldmächtig, langfristig planend und extrem fies. Klar, das kann auch ein Norbert Cracker von nebenan gewesen sein, mit großem Können und Ambitionen. Aber das ist unwahrscheinlich. Ach ja, die Frage: Warum sollte ein solcher Aufwand betrieben werden, wenn Linux doch so unsicher ist? Ging da nichts Einfacheres? Nichts Preiswerteres? Scheinbar nicht, denn sonst hätte man es wohl gemacht.

Ich bin mir sicher, dass es Backdoors der NSA in Betrübssystemen von Microsoft, Google und Apple gibt. Die Unternehmen müssen ja kooperieren.

Aus der XZ-Beinahekatastrophe könnnen, ja, sollten wir alle meines Erachtens die folgenden Dinge lernen:

Je komplexer und in seinen Komponenten wechselseitig abhängiger ein Betrübssystem ist, desto anfälliger ist es für solche Angriffe. Linux ist erschreckend komplex geworden, und der systemd ist meiner Meinung nach ein Sargnagel für die Sicherheit.
Linux ist inzwischen ein Hochhaus auf dem Treibsandfundament einer Wellblechhütte. Zentrale und sicherheitsrelevante Komponenten werden von wenigen, ziemlich unbekannten und für ihre Arbeit unbezahlten Menschen gepflegt, die anfällig für eine Attacke durch social engineering sind. Das ist ein Kulturproblem, das angegangen werden muss. Ich sehe nicht, dass hierfür ein Bewusstsein entstanden ist.
Wer immer das neueste Zeug haben will – es gibt ja Menschen, die sich freiwillig eine rolling release geben, und einige glauben sogar, es sei »sicherer« – lebt »gefährlicher« als jemand, der eine eher konservative Distribution wie… sagen wir mal… Debian benutzt.
Geheimdienste bauen Hintertüren in die Betrübssysteme und zerstören damit die Computersicherheit. Es ist niemals auszuschließen, dass eine aufwändig installierte Hintertür entdeckt und von ganz ordinären Kriminellen wesentlich müheloser ausgebeutet wird. Da sind unser aller Steuergelder an der Arbeit. Es ist zum Erbrechen. Und das Problem besteht vermutlich in jedem Betrübssystem.

So, ich habe jetzt nicht eine einzige Empfehlung gegeben, aber ich hoffe, dass ich trotzdem ein bisschen zur Klarheit beigetragen habe. Die hilft bei der Abwägung, was man benutzen und was man meiden sollte. Aber leider nur ein kleines bisschen…

nobody · 23. Mai 2024 um 09:00

Sicherheit ist relativ. Es kommt immer darauf an. Ist Windows XP unsicher? Ja. Kann man es noch einsetzen? Ja, beispielsweise in einer isolierten Umgebung zur Steuerung technischer Anlagen. Die Sicherheit hängt nicht nur von dem verwendeten System ab, sondern vom Gesamtbild. Wer nutzt das System, was wird mit dem System gemacht, wo befindet sich das System und wer hat darauf Zugriff, sind elementare Fragen. Letztendlich steht und fällt die Sicherheit sowieso mit dem Benutzer, denn es ist aktuell und vermutlich auch noch die nächsten Jahre unmöglich, den Benutzer vor seinen eigenen schädlichen Aktionen zu schützen.

Man muss eher Risiken abwägen und sich fragen wie realistisch ein bestimmtes Szenario ist. Wie stark steht ein Betriebssystem „unter Beschuss“? Sind Schwachstellen die physischen Zugriff benötigen (Desktop/Laptop) überhaupt relevant? Ist Malware in freier Wildbahn die Regel oder eher selten? Existieren bekannte Schwachstellen vielleicht eher nur theoretisch? Sind es einfache Schwachstellen oder eher eine komplexe Verkettung verschiedener Ansätze? Ein Grundsatz: Ein Angreifer kommt früher oder später in jedes System. Zeit und Geld sind die einzigen beiden Faktoren, die den „Erfolg“ beeinflussen.

Um Manfred Paul zu zitieren:

Wichtig beim Browser ist nicht, welchen man nutzt, sondern viel wichtiger ist das „Wie“. Ich würde da ungern eine Empfehlung aussprechen. Man sollte seine Software aktuell halten, nicht auf jeden Link klinken und Ähnliches. […] Für mich ist der Browser nicht Teil einer aktiven Sicherheitsentscheidung, sondern für mich und die allermeisten geht es da auch um Gewohnheit und Komfort.

Gleiches lässt sich im Grunde auch auf Betriebssysteme übertragen. Linux Distributionen sind im Vergleich zu anderen Systemen sehr inhomogen (verschiedene Displaymanager, Fenstermanager, Dateimanager, Paketmanager, usw.). Das macht es schwieriger eine massentaugliche Malware-Kampagne durchzuführen und geht eher in Richtung kleinerer Kampagnen oder zielgerichtete Aktionen.

Wenn man das Betriebssystem aktuell hält, nicht auf jeden Link klickt, nicht blind alle Dateianhänge öffnet, keine Anwendungen aus nicht vertrauenswürdigen Quellen installiert, reduziert man das Risiko soweit, dass vermutlich andere Faktoren eine höhere Gewichtung bekommen: Transparenz, Datenschutz, bisherige Fehltritte, usw.

Eigentlich nichts ungewöhnliches. Entwickler arbeiten häufig mit den Geräten, mit denen sie am besten arbeiten können. Gerade auf Konferenzen sieht man häufig Macs, egal ob diejenigen für Microsoft oder ein anderes Unternehmen arbeiten.

Die Seite wurde schon länger nicht mehr aktualisiert. Was genau davon falsch oder richtig ist, müsste man sich genauer ansehen, aber ich persönlich halte von solchen Seiten aus den o.g. Gründen generell nichts.

Grundsätzlich muss man sich fragen, ob das Risiko so hoch ist, dass man bspw. Anforderungen an Datenschutz oder Transparenz über Bord werfen möchte. Bestimmte Betriebssysteme mutierten in den vergangenen Jahren regelrecht zu Spyware - und diese Tendenz bleibt. Wenn einem das nicht stört, dann spricht nichts dagegen. Fraglich ist dann aber, ob das in der Praxis letztendlich „besser“ ist. Möglicherweise scheiden ja auch bestimmte Betriebssysteme von vornherein aus, wenn Anwendungen dort nicht unterstützt werden.

Chief1945 · 23. Mai 2024 um 10:28

Linux Mint ist in der Vergangenheit dadurch aufgefallen, dass es Nutzerfreundlichkeit über Sicherheit gestellt hat.

Desktop-Linux-Distributionen sind unsicherer als andere Betriebssysteme, insbesondere im Vergleich zu iOS und Android. Madaidans Analyse trifft zu. Auch wenn sie in den letzten zwei Jahren nicht mehr aktualisiert wurde, sind die meisten Punkte noch relevant. Dass Linux „nicht datenschutzfreundlich“ ist, behauptet er allerdings so pauschal nicht. Was du bei Linux in Bezug auf Privacy allerdings standardmäßig nicht hast, ist ein System, dass die Vertraulichkeit deiner Daten gegenüber Drittanbieter-Software garantiert, durch Sandboxing und ein Berechtigungssystem. Die bisherigen Ansätze mit Flatpak und Snap sind sehr schwach im Vergleich zu Androids System.

Mike hat zwar von vielem Ahnung, aber er kann nicht alles Wissen. Er ist kein Experte für Betriebssystem-Sicherheit und Browser-Sicherheit. Da sind Spengler, Forshaw, Mayrhofer, Micay, McGarr, Groß und andere die besseren Quellen, da es deren Spezialgebiet ist und sie das seit vielen Jahren Vollzeit machen.

Wenn es zum eigenen Workflow passt und das nötige Kleingeld (im Falle Apples) da ist, ja. Wenn es den eigenen Ansprüchen genügt, wäre es noch besser, wenn man verwendet GrapheneOS (Pixel 8 und neuer hat einen Desktop-Mode) und ein GrapheneOS-Tablet für alles. Das Problem ist, dass es für viele Menschen nicht ausreicht. Ich benötige z.B. Linux (Server und Desktop), Windows und GrapheneOS im Alltag. Ich mach dann halt das Beste daraus und stecke entsprechenden Aufwand in Sicherheitsmaßnahmen.

Einer der Gründe, warum Madaidan seine Webseite nicht mehr aktualisiert hat, ist, dass er seit Jahren massiv attackiert und von vielen Leuten fachlich kritisiert wird, die kaum Ahnung von der Thematik haben. Es ist unheimlich viel unbezahlte Arbeit in die Webseite und Recherche geflossen und als Dank gab es dann massive Attacken zurück. Er ist übrigens hin und wieder im SPITE Matrix-Kanal unterwegs und noch immer eine gut informierte Quelle,

Das Ziel von Madaidan ist es übrigens nicht, Menschen von der Nutzung von Linux pauschal abzuhalten, sondern die Leute auf die Probleme hinzuweisen, die zweifellos da sind und endlich mit dem Mythos des ach-so-sicheren Linux aufzuräumen. Bis vor ein paar Jahren haben manche Distros doch allen Ernstes damit geworben, dass es angeblich keine Viren für Linux gäbe.

Schönes Best-of der 90er Sicherheitstipps. Links sind dazu da angeklickt zu werden. Angst davor zu machen ist einfach Unsinn heutzutage, wenn man nicht im Fadenkreuz von State-Level-Actorn steht und einen aktuellen Mainstream-Browser verwendet. Browser sind heutzutage viel sicherer, als zu der Zeit als diese Tipps entstanden sind. Auch angehängte PDFs zu öffnen ist kein Problem, wenn man den Browser dazu verwendet. Das gleiche gilt für Office-Dokumente, solange man aktive Inhalte standardmäßig deaktiviert hat. Randnotiz: MS-Offices Protected View ist übrigens besonders sicher, da er aktive Inhalte deaktiviert, zusätzliche Attack Surface Reduction Rules aktiviert und in einer Sandbox läuft.

nobody · 23. Mai 2024 um 10:49

Ist auch heute noch aktuell:

CVE-2024-4948
- Use after free in Dawn in Google Chrome prior to 125.0.6422.60 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)
CVE-2024-4947
- Type Confusion in V8 in Google Chrome prior to 125.0.6422.60 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High)
- Google is aware that an exploit for CVE-2024-4947 exists in the wild*
CVE-2024-4761
- Out of bounds write in V8 in Google Chrome prior to 124.0.6367.207 allowed a remote attacker to perform an out of bounds memory write via a crafted HTML page. (Chromium security severity: High)
- Google is aware that an exploit for CVE-2024-4761 exists in the wild*
CVE-2024-4671
- Use after free in Visuals in Google Chrome prior to 124.0.6367.201 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)
- Google is aware that an exploit for CVE-2024-4671 exists in the wild*
CVE-2024-3832
- Object corruption in V8 in Google Chrome prior to 124.0.6367.60 allowed a remote attacker to potentially exploit object corruption via a crafted HTML page. (Chromium security severity: High)

*) Zum Zeitpunkt der kritischen Sicherheitsupdates wurden bereits Exploits in freier Wildbahn gesichtet.

Stammt übrigens nicht nur von mir, sondern u. a. von Manfred Paul …

skalavagr · 23. Mai 2024 um 11:20

Es gibt verschiedene Möglichkeiten:

Die Arch Security Seite bietet einiges an Informationen.
der Hardening Guide von theprivacyguide1 hat auch einige nützliche Informationen.
bubblewrap statt Firejail verwenden, da Firejail auch einige Sicherheitsmängel aufweist.
Du kannst Kicksecure’s apparmor-profile-everything und Krathalan’s AppArmor profiles als Referenz für eigene AppArmor Profile nehmen.
Secure Boot einrichten

Aber trotzdem:

Despite the hardening you have done, you must remember that Linux is still a fundamentally flawed operating system, and no amount of hardening can ever fix it fully.

Chief1945 · 23. Mai 2024 um 11:27

CVEs aufzuzählen hilft niemandem und hat keine aussagekraft. Die Wahrscheinlichkeit, dass eine teure Browser-Exploit-Chain mit Sandbox-Escape auf jemanden angewendet wird, der nicht in das Visier von state-level Gegnern kommt ist nahezu Null. Eine Chrome Zero Click Full Chain kostest im Ankauf bei Crowdfense 1,5 Mio USD, bei anderen Anbietern noch teurer.

skalavagr · 23. Mai 2024 um 11:34

Nein, Debian ist nicht sicherer!

A myriad of common Linux distributions, including Debian, Ubuntu, RHEL/CentOS, among numerous others use what’s known as a „stable“ software release model. This involves freezing packages for a very long time and only ever backporting security fixes that have received a CVE. However, this approach misses the vast majority of security fixes. Most security fixes do not receive CVEs because either the developer simply doesn’t care or because it’s not obvious whether or not a bug is exploitable at first.

oder

You should choose a distribution which stays close to the stable upstream software releases, typically rolling release distributions. This is because frozen release cycle distributions often don’t update package versions and fall behind on security updates.

Quelle 1 & 2

nobody · 23. Mai 2024 um 11:48

Wenn jemand ein außerplanmäßiges kritisches Sicherheitsupdate veröffentlicht und zusätzlich erwähnt, dass bereits Exploits in freier Wildbahn gesichtet wurden, dann gibt es keinen Grund sich einfach zurückzulehnen, weil sich das nur die wenigsten „leisten“ können oder man sowieso nicht in der „Zielgruppe“ befindet.

Wenn es so unwahrscheinlich ist, dann könnte man das kritische Sicherheitsupdate auch erst in einem oder sechs Monate einspielen, oder? Nein, vor allem wenn etwas aktiv über manipulierte Webseiten ausgenutzt wird, dann ist das letzte was man tun sollte einfach blind auf beliebige Links klicken.

Chief1945 · 23. Mai 2024 um 11:58

Die Logik erschließt sich mir nicht. Jeder gute Hersteller wird diese schnellstmöglich versuchen zu schließen.

Das sagt doch nichts darüber aus, wie wahrscheinlich es ist, dass ein Exploit auf Otto-Normalerverbraucher vor Öffentlichmachung der Sicherheitslücken angewandt wird. Es sagt auch nichts über den Wert von Sicherheitslücken aus, wie schwer es ist sie auszunutzen und wie schwer es ist sie mit anderen Exploits zu verknüpfen, da normalerweise mehrere Exploits zusammen verwendet werden müssen um das Host-OS aus einer Webseite heraus überhaupt angreifen zu können.

Trommelbremse · 23. Mai 2024 um 12:05

@skalavagr @Chief1945

Bei allem gebotenem Respekt .Das was ihr hier gerade vom Felsen kloppt sieht sehr nach Panikmache aus und könnte User die zu Linux wechseln oder schon gewechselt sind verunsichern.
Wenn man sich hier eure Argumentation durchliest, dann ensteht Eindruck das per se jede Linux Distribution unsicher ist und man am besten keine nutzen sollte. Welches OS dann? Windows? Nicht für Geld!

Frage; 1
warum nutzt Mike Kuketz dann privat und Beruflich Debian wenn es doch so unsicher ist?

Frage 2
Mich interessiert wie auf was die Aussage gestützt wird das Mike Kuketz keine Ahnung von Betriebssystemsicherheit haben soll? Das ist eine gewagte Behauptung die einer stichhaltigen Erklärung bedarf!

Frage 3,

Wenn Ihr beide so tief in der Materie verwurzelt seit, Welches Betriebssystem nutzt ihr denn wenn “alles so unsicher ist?“ Dann bemüht euch doch das Privacy Handbuch von Cane zu übernehmen und es weiterzuführen. Alternativen bitte.

Quellen hin oder her. Manche der verlinkten Quellen sind bis zu 5 Jahre alt und somit nicht mehr relevant/ aussagekräftig da nicht aktualisiert.

nobody · 23. Mai 2024 um 12:12

Mit „einspielen“ ist der Anwender gemeint - nicht der Hersteller.

Chief1945 · 23. Mai 2024 um 12:21

Das ist dein Eindruck und Schlussfolgerung. Ich will niemanden von Linux abhalten und habe auch nie gesagt, dass man es nicht verwenden soll. Aber man soll sich durchaus den Schwächen und Limitationen bewusst sein und diese so gut es geht mitigieren.

Frag ihn doch. Ist doch nicht meine Aufgabe die Entscheidung von anderen Leuten zu erklären.

Wo habe ich gesagt, dass er „keine Ahnung von Betriebssystemsicherheit“ hat? Bitte genau lesen. Ich sagte, dass er „kein Experte für Betriebssystem-Sicherheit und Browser-Sicherheit“ ist. Das ist ein großer Unterschied.

Arch, Fedora, Windows 11 und GrapheneOS, aber auch andere. Madaidan und Micay verwenden übrigens auch Arch auf dem Desktop und Server. Das ändert aber nichts an den Kritikpunkten.

Warum sollte ich das tun? Damit man passiv-aggressiv - wie in deinem Kommentar - in allen möglichen Foren von Leuten die wenig Ahnung aber viel Meinung haben angegangen wird? Frag doch mal Madaidan und Micay was sie alles haben einstecken müssen, obwohl sie rein fachliche fundierte Kritik äußerten. Im Übrigen sind Privacy und Sicherheit zwei paar Schuhe.

Den Respekt habe ich in deinem Kommentar vermisst.

skalavagr · 23. Mai 2024 um 12:52

Das heißt man sollte Leute die auf ein Linux-Desktop-Sytem umgestiegen sind oder umsteigen wollen einfach im Unklaren über die Sicherheitsmängel von den meisten Desktop Distributionen lassen?
Ich glaube nicht, dass das der richtige Weg ist.

Im Desktop Bereich ist das bei den meisten Distributionen nunmal so. Klar gibt es auch Systeme wie z.B. das Linux für den ECOS SecureBoot Stick, was aber nunmal kein Desktop OS ist sondern für bestimmte Anwendungen zugetrimmt wurde.

Wieso fragst du uns das?
Madaidan nutzt übrigens auch Linux, Firefox und Telegram, aber es ändert nichts an seinen Kritikpunkten für diese Produkte.

Secureblue, QubesOS mit Kicksecure VMs und Windows 11 Pro.

Du kannst gerne Quellen zitieren die das Gegenteilige behaupten und wir können dann über diese und deren Inhalt diskutieren.

Und ich möchte nochmal in Erinnerung rufen:

fbnixgut · 23. Mai 2024 um 19:36

Die Frage ist zu grob. Und es ist auch nicht hilfreich, „sicher und datenschutzfreundlich“ in einem Zuge zu nennen und zusammen zupacken, weil das eine überwiegend im Alltag nichts mit dem anderen zu tun hat.

So sind proprietäre Betriebssystem sicherlich datenschutz-unfreundlicher in der Grundeinstellung, also Windows 11, google oder macOS, wobei das erstgenannte das schlechteste von den dreien darstellt. Da ist Debian sicherlich besser.

Bei „Sicherheit“ ist in diesem Thread und auch anderen schon genug gesagt. Die vier Architekturen sind in ihrem Grunde wesentlich und verschieden, und aus bestimmten Blickwinkeln treffen die Aussagen zu: Microsoft hat viel verbessert in Windows 11, Android hat solidere Grundideen verankert und macOS ebenfalls.

iphone ist aber letztens genial gehakt worden, siehe Operation Triangulation → https://media.ccc.de/v/37c3-11859-operation_triangulation_what_you_get_when_attack_iphones_of_researchers

Gleiches gilt für Android und für Microsoft sowieso, weil dort der Hersteller wesentliche Bausteine von „Sicherheit“ frei Haus liefert …

Wenn man also ernsthaft was sagen will, sollte man bei „man“ anfangen
Wer oder was ist „man“ und hat welche Bedürfnisse, usw.?

Solange es keine ernsthafte Tabelle gibt mit allen Datenpunkten, die man dann für den Anwendungsfall gewichten kann, laufen derartige Hypes an „Diskussion“ ins Leere, für mich.

Ergänzung: es wird niemals ein Betriebssystem mit Anwendungszoo geben, was sicher und datenschutzfreundlich in allen Belangen ist. Es ist immer eine Annäherung und Abwägung. Aufteilung auf verschiedene Geräte kann z.B. sehr helfen. Ach ja, und man wird immer Anleitungen haben, wo man die Stangenware wie sie eben auch Windows 11, Android oder macOS individuell härtet …

Manteuf · 23. Mai 2024 um 19:45

Vielen Dank für euren tollen Input, das hat mir echt weitergeholfen!

Verstehe. Warum wurde dann eigentlich Windows 11 genannt, so viel ich weiß laufen die Programme unter Windows 11 doch auch nicht in einer Sandbox? Geht es ihm hier mehr um die Exploit-Sache?

Gibt es von ChromeOS auch empfehlenswerte Custom-ROMs, die einen besseren Blick auf Datenschutz haben (wie z. B. GrapheneOS)?
So ein Tablet ist zwar eine nette Sache aber für Arbeiten wie am PC ist das dann leider doch nicht das wahre.

Danke für die Alternativen. Fedora hört sich interessant an und werde ich mir mal angucken.

Gibt es eigentlich noch irgendwo eine Übersicht welche Linux-Distributionen beim Thema Sicherheit mehr ab Werk machen (wie z. B. bei Fedora)?

Das finde ich auch schade und sehr schwierig momentan.

skalavagr · 23. Mai 2024 um 20:46

Es gibt unter Windows sogar Sandboxing, aber soweit ich weiß gibt es da noch ein paar Probleme, z.B. das Programme nicht vernüftig laufen. Aber ja, Windows wird vorallem aufgrund seiner Exploit-Mitigations empfohlen.

So etwas wie GrapheneOS für Chromebooks gibt es leider nicht. Und ja, ich bin auch kein Fan vom Arbeiten am Tablet.

Eine vollständige Liste oder dergleichen gibt es leider nicht, aber sowohl bei Privsec als auch bei Privacyguides gibt es einige Empfehlungen. Und im PG-Forum findet man auch ein paar interessante Empfehlungen (von dort habe ich auch Secureblue).

Manteuf · 24. Mai 2024 um 12:22

Danke dir für die Info und die verlinkten Guides, das ist echt hilfreich!

Eine allgemeine Frage hätte ich dazu noch. Es heißt doch, dass die allermeisten Server im Internet mit Linux laufen. Ist das angesichts dieser Kritikpunkte nicht eine „tickende Zeitbombe“ oder ist das auf Serverbasis noch mal etwas anderes, also sprich Server und Desktop kann nicht verglichen werden?
Falls ja, warum, welche Unterschiede hätten wir hier?

Und weiß man eigentlich wie hoch die Gefahr ist auf Linux kompromittiert zu werden, gibt’s da Statistiken zu? Damit man mal so ein Gefühl für die real World bekommt.