SuRun und Sicherheit

Ttlu · 14. Feb 2011

Auf Wilders Security gibt es einen neuen Thread:

"SuRun elevations can allow malware to elevate in a standard account"

Da ich in dem Thema nicht mehr so tief drinstecke (bin mittlerweile auf Linux) - könnte jemand, der kompetent genug ist, mal Stellung dazu nehmen? Vielleicht Kay selbst?

KKay · 14. Feb 2011

Die alte Geschichte: Microsoft bohrt Löcher in die eigene Sicherheit.
Dass ein Admin-Cmd ein HKCU Autorun ausführt ist typisch dafür.

Ich kann in SuRun einbauen, dass es cmd immer mit "/d" startet und so die Autoruns nicht ausführt.
Eine dauerhafte Lösung ist das aber sicherlich nicht.
Wenn jemand cmd.exe "getarnt" startet und SuRun das nicht mitbekommt, lässt sich das aber umgehen.

Es gibt solche Sicherheitsrisiken mit großer Wahrscheinlichkeit noch viele in Windows und anderen Systemen. Das liegt nicht an einer lausigen Programmierung, sondern daran, dass man Betriebssysteme nicht vollständig definieren kann, weil man nicht unendlich viel Zeit hat, sie zu entwickeln.

Die Lücke hier ist allerdings von M$ mit einem Tunnelbohrer angelegt. :nuts:

Ich werde mich morgen mal bei Wilders anmelden und da schreiben.

Ich denke inzwischen anders über Sicherheit nach.
Windows, MacOS und Linux sind IMHO sicherheitstechnisch falsch designed.
Alle Überlegungen richten sich vor allem auf die Sicherheit des Systems, keiner kümmert sich um Benutzer-Daten.
Ich möchte mit meinem Rechner arbeiten und vor allem, dass meine Dateien auch die meinen bleiben. Wenn das System selbst kompromittiert wird, spiele ich ein Backup ein und gut. Meine nicht gesicherten Daten von gestern kann mir keiner wieder bringen. Die sind aber allen HIPS völlig wurscht. Die kümmern sich um's Sytem und sonst nix.
Dass ein Installationsprogramm Administratorrechte braucht sollte nicht sein, es sei denn, ein Administrator kann meine persönlichen Dateien nicht lesen, manipulieren und löschen... oder sich die Rechte für so'was beschaffen.

Im vorhandenen Windows müsste man eigentlich Office oder die C++ IDE mit Administratorrechten starten und FireFox als Dauser, damit Daten nicht ausgespäht werden können. Ein Banking-FireFox müsste allerdings auch vor anderen Programmen verriegelt sein, darf dann aber keine Plugins laden... all das ist komplex und geht mit derzeitigen Systemen nur schwer zu realisieren.

Es war einfacher, als alle Programme friedlich kooperierten.

Ttlu · 15. Feb 2011

Kay wrote: Ich werde mich morgen mal bei Wilders anmelden und da schreiben.

Danke - das wird sicherlich ein interessanter Thread.

Ich denke inzwischen anders über Sicherheit nach.
Windows, MacOS und Linux sind IMHO sicherheitstechnisch falsch designed.
Alle Überlegungen richten sich vor allem auf die Sicherheit des Systems, keiner kümmert sich um Benutzer-Daten.
Ich möchte mit meinem Rechner arbeiten und vor allem, dass meine Dateien auch die meinen bleiben. Wenn das System selbst kompromittiert wird, spiele ich ein Backup ein und gut. Meine nicht gesicherten Daten von gestern kann mir keiner wieder bringen. Die sind aber allen HIPS völlig wurscht. Die kümmern sich um's Sytem und sonst nix.

Da ist 'was dran. Aber das ist mit ein Grund, warum ich auf Linux umgestiegen bin. Denn dort ist dieses Problem deutlich entschärft: Es ist kinderleicht (und manche Distros machen das schon automatisch), bei der Installation /home auf eine separate Partition zu legen, die dann alle kontenspezifischen Einstellungen und Dokumente enthält. Dann ist es ganz einfach, diese manuell oder über ein Backup-Skript (wie z.B von http://wiki.ubuntuusers.de/Skripte/Backup_mit_RSYNC oder http://www.321tux.de/2011/01/komfortables-backup-skript-rsync/ )auch ohne root-Rechte schnell und einfach auf eine externe USB-Platte zu sichern. Und wenn man tatsächlich mal das System geschrottet hat (was freilich bei Linux selten vorkommt), ist es kein Problem, dieses schnell neu zu installieren und dabei die bestehende home-Partition zu übernehmen, um danach weiter zu arbeiten, als wäre nichts gewesen. Die Notwendigkeit, die root-Partition regelmäßig mitzusichern, erübrigt sich dadurch - die sichere ich nur ab und zu separat mit Clonezilla.

Klar - als Umsteiger muss man sich mit dieser Materie erst mal bechäftigen. Aber wenn man es erst mal verstanden hat, ist das alles problemlos umzusetzen. Bei Windows ist das dagegen deutlich komplizierter und für die meisten Anwender in dieser Form gar nicht durchführbar. Insofern muss ich deine Aussage - Linux betreffend - relativieren.

Oolisan · 17. Feb 2011

Hallo Kay,

habe hier gerade Deine Antwort zu diesem Thema gelesen.

Gibt es neben KAfU vielleicht noch ein anderes Tool, das die Rechte für die Autostart-Bereiche so setzt, dass nur Administratoren schreibend darauf zugreifen können? Nicht zuletzt wird bei KAfU "HKCU\Software\Microsoft\Command Processor" ja nicht berücksichtigt.

Bzw. wäre es nicht sinnvoll, eine entsprechende Option auch mit SuRun anzubieten? :) Hm, ja, irgend jemand musste ja diese Frage stellen, nicht wahr? ;)

P.S.: Übrigens vielen Dank für die neuen Versionen. Komme aber wohl erst Anfang kommenden Monats wieder dazu, mehr Zeit darauf zu verwenden. Werde aber natürlich nach wie vor regelmäßig hier mitlesen. ;)

Ttlu · 18. Feb 2011

Olisan wrote: Hallo Kay,

habe hier gerade Deine Antwort zu diesem Thema gelesen.

Gibt es neben KAfU vielleicht noch ein anderes Tool, das die Rechte für die Autostart-Bereiche so setzt, dass nur Administratoren schreibend darauf zugreifen können? Nicht zuletzt wird bei KAfU "HKCU\Software\Microsoft\Command Processor" ja nicht berücksichtigt.

Naja, diesen einen Registry-Key kann man ja auch schnell manuell mal bearbeiten. Wie, habe ich ja beschrieben.

Bzw. wäre es nicht sinnvoll, eine entsprechende Option auch mit SuRun anzubieten? :)

Keine schlechte Idee! Wobei es dann aber sinnvoll ist, auch eine Option zum Rückgängig-Machen anzubieten (was ja kafu nicht hat), falls einige Anwender damit nicht zurecht kommen.

Oolisan · 18. Feb 2011

tlu wrote: Naja, diesen einen Registry-Key kann man ja auch schnell manuell mal bearbeiten. Wie, habe ich ja beschrieben.

Ja, stimmt, übrigens Danke dafür! :)

Nur ist es imho so, dass es a) nicht jedem Anwender gerade leicht fällt, die nötigen Änderungen am System vorzunehmen - wenn b) der Anwender überhaupt davon weiß. Und selbst für versierte Anwender hätte es den Vorteil, dass die Sache somit c) zuverlässig und d) schnell erledigt wäre. ;) Gibt ja auch andere vergleichbare Optionen, wie z.B. die für das Windows Update.

Olisan wrote:Bzw. wäre es nicht sinnvoll, eine entsprechende Option auch mit SuRun anzubieten? :)
tlu wrote:Keine schlechte Idee! Wobei es dann aber sinnvoll ist, auch eine Option zum Rückgängig-Machen anzubieten (was ja kafu nicht hat), falls einige Anwender damit nicht zurecht kommen.

Ja, klar. Via SuRun-Option könnte man den Haken bei der entsprechenden Option natürlich auch schnell wieder entfernen - also imho e) noch ein Vorteil. ;)

KKay · 20. Feb 2011

Ich denke nicht, dass es gut wäre, solche Option(en) in SuRun einzubauen. Es gibt bestimmt noch viel mehr dieser AutoStart-Plätze, die man absichern müsste. Wer weiss schon, wo MS noch mehr von dem Krams versteckt hat. Nicht zu schweigen, von den ganzen "neuen" Auto-Update-Diensten, die u.A. auch Adobe und Google installieren.

In SuRun müsste ich die zu verriegelnden Plätze anpassbar gestalten, wie etwa "dem angemeldeten Benutzer auf folgende Ordner/Registrierungs-Schlüssel Schreibzugriff entziehen:". Das müsste pro Benutzer explizit "verweigert" werden. Der SuRun Dienst müsste also für jeden Benutzer dessen HKCU laden, die Zugriffe setzen und HKCU wieder entladen und all das sicher, bevor Malware das benutzen kann...

Ein einfaches (SubInACL-) Batch-Skript, dass man einmalig per Kommadozeile ausführt, würde IMHO wesentlich besser geeignet sein. Das kann man schnell mal anpassen, neu ausführen und fertig.

Allerdings kann so ein Script nicht prüfen, ob einer dieser "Plätze" von extern wieder beschreibbar gemacht wurde (Windows reparatur etc.)... Ich muss da mal drüber schlafen.

Oolisan · 1. Mai 2011

Hat jemand vielleicht mittlerweile ein kleines Script parat, um die besagten Löcher abzudichten?

Würde mich riesig freuen, vielen Dank! ;)