Re: Hacker auf System! was kann ich machen

Moin,

On Sun, Aug 05, 2001 at 10:58:18PM +0200, Jörg Kost wrote:
> On Sun, 05 Aug 2001, Andreas Braukmann wrote:
> > Warum sollte er das tun?
> > IMHO ist "security by obscurity" kein sehr tragfaehiges Konzept.
> >
> > Ein geaenderter Header reicht zudem sicher nicht aus, um die
> > "Identitaet" eines Daemonen zuverlaessig zu verschleiern.
> > Hast Du andere Erfahrungen gemacht?
>
>
> Ein System nur mit "Security by obscurity" zu administrieren, ist natürlich
> keine Lösung.

Das freut mich zu hoeren, denn dann kann ich mich auf den
angekuendigten Security-Guide ja weiter freuen. ;)

> Trotzdem kann es in meinen Augen eine winzig-kleine Stütze sein.

Wenn die ueberhaupt eine "Stuetze" ist (was ich nicht glaube; siehe
dazu auch die Antwort von Olli z.B.), ist diese Stuetze aber soooo
klein, dass sie der (Installations-)Muehe nicht wert ist.

> Für Gelegenheitscracker kann dies aber sehr verwirrend sein. Wenn über
> Nacht das neue wuftpd-exploit erschienen ist, beissen sich die Cracker die
> Zähne aus - weil es nicht funktioniert. Fixiert auf wuftpd werden die
> meisten Leute nicht das neue proftpd-Exploit ausprobiert - und mit etwas
> Glück (darauf basiert ja eigentlich security by obscurity) übersteht der
> Server die Nacht und bekommt den proftpd-Patch gleich am nächsten Morgen
> installiert.

Genau das stimmt aber meiner Erfahrung nach nicht. Unsere Kisten
(mit 'ehrlichen' Headern) schreien foermlich "FreeBSD!", $maildaemon,
$ftpdaemon etc. in die weite Welt hinaus.
Und? Was passiert, sobald es einen neuen Exploit fuer $beliebigerDaemon
oder fuer $beliebigesOS gibt? Richtig. Die Exploits werden voellig
blind auf unsere Kisten losgelassen.

Gerade den "wannade"-Hacker und das typische Skript-Kiddie wird man
mit der Daemon-Obscurity-Idee nicht los.

> Ein Banner der VMS statt FreeBSD anzeigt, schreckt auch viele Leute ab.
> "VMS ? Was ist das ?"

Ein 'echter', 'faehiger' und/oder 'motivierter' Einbrecher, wird
sich hingegen von der Obscurity nicht abschrecken lassen. Vielmehr
wird sein Interesse hoechstwahrscheinlich noch gesteigert.
"Wie? Das kann doch nicht, .... na dann wollen wir mal ..."

> Wenn ich aber
> gewissenhaft ein System führe, die neuesten Patches einspiele und das
> System noch mit anderen Methoden (Firewall, IDS ...) schütze, so

... reicht mir das.

> Außerdem macht Obscurity Spaß - "Ach Herr Kollege, sie haben ja jetzt auch
> BIND 12.7.1t auf ihren Systemen installiert ?" :-))))

ok. Das zaehlt schon eher ;)

-Andreas

-- 
: Anti-Spam Petition:     http://www.politik-digital.de/spam/          :
: PGP-Key:                http://www.tse-online.de/~ab/public-key      :
: Key fingerprint:  12 13 EF BC 22 DD F4 B6  3C 25 C9 06 DC D3 45 9B   :
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message