Hoe veilig is je systeem?

[Theo1971]

Haal de aluhoedjes maar weer uit de kast, of juist niet.
Heb je een systeem met Intel CPU die slechts een paar jaar oud is dan is het volgende misschien interessant om te weten.
Naast een Linux, Windows of OS X zit er nog een besturingssysteem ingebakken, namelijk Minix.
Nu lijkt dat nog niet het grootste probleem, echter daar is wel wat mee aan de hand.
De toegankelijkheid van normale applicaties en de gebruiker wordt aangeduid als 'Ring 3', de laagst toegankelijke optie is 'Ring 0'.
Nu heeft de ingebakken Minix 'Ring -3' en er lopen dus applicaties die niet toegankelijk zijn voor de gebruiker, echter wel voor.. Intel.
Dingen waar je dus geen invloed op hebt zijn bijvoorbeeld je volledige netwerk stack, file systems en draai je een webserver.

Dan rest mij de vraag, hoe veilig is en blijft dit systeem? Nu doe ik het meeste wel op een AMD systeem, maar heb ook nog wel een aantal Intel systemen en vind dit (zoals denk ik veel linuxers) eng.

bron: https://www.networkworld.com/article/3236064/servers/minix-the-most-popular-os-in-the-world-thanks-to-intel.html

[rico70]

Nu doe ik het meeste wel op een AMD systeem, maar heb ook nog wel een aantal Intel systemen en vind dit (zoals denk ik veel linuxers) eng.

bron: https://www.networkworld.com/article/3236064/servers/minix-the-most-popular-os-in-the-world-thanks-to-intel.html

AMD schijnt volgens dat artikel ook zoiets te hebben

Note to AMD: Now might be a good time to remove similar functionality from your CPU lines to try to win market share from Intel. Better to do so now before Intel removes the “Management Engine.” Strike while the iron’s hot and all that.

[Theo1971]

AMD schijnt volgens dat artikel ook zoiets te hebben

Note to AMD: Now might be a good time to remove similar functionality from your CPU lines to try to win market share from Intel. Better to do so now before Intel removes the “Management Engine.” Strike while the iron’s hot and all that.

Ik heb het nagezocht en AMD heeft PSP, dat inderdaad ook zoiets is. In hoeverre het anders is is een vraagteken. Volgens 'geruchten' (tenslotte is het gesloten code) zou AMD iets minder rigoreus zijn, maar goed het blijven geruchten. Wel is zeker dat de oudere modellen van voor 2013 dit niet hebben. Bij Intel lopen dit soort zaken al langer. Ik heb mij net een beetje ingelezen in een aantal zaken en kom tot de conclusie dat in feite niet veel meer veilig is door schimmig beleid van hardware fabrikanten.

[koos4401]

[Off-topic} eindelijk eens tevreden met mijn 8 jaar oude PC en even oude laptop waarop resp. Ubuntu 16.04.3 LTS en Linux Mint Rosa lopen.  Dat is van vóór 2013. De laatste upgrade verliep pijnloos.[End off-topic] 
Edit: jaartal-typo eruit gehaald.

[partyrabbit]

[Off-topic} eindelijk eens tevreden met mijn 8 jaar oude PC en even oude laptop waarop resp. Ubuntu 16.04.3 LTS en Linux Mint Rosa lopen.  Dat is van vóór 1913. De laatste upgrade verliep pijnloos.[End off-topic] 

  1913! Ow, dat is nog die met die zwengel.

Edit: jaartal-typo eruit gehaald.

Edit: Te laat!

Ik vraag me alleen af in hoeverre ze er dan ook bij kunnen als alles achter een goede externe firewall hangt en de pc dus eigenlijk onbereikbaar is.
Beetje inzicht in niet meer dan CPU gebruik en temperatuurtjes ?? .... nou als dat alles is wat ze weten .... zolang ze maar niet verder in mijn bestanden en verdere prive-informatie kunnen komen is het zo'n ramp nog niet. Maar ja, het bestaan van backdoors is ook al lang aan de orde. Precies de reden dat ik dat andere topic startte met de vraag in hoeverre Linux hier voor open staat. https://forum.ubuntu-nl.org/index.php?topic=103143.msg1010841#msg1010841

Ach weet je, hier doen we moeilijk om.
Dat auto's voortaan compleet uitgerust zijn met allerhande volg-, controle-, motorinformatie, en weet ik veel wat voor auto-info nog meer vinden we heel normaal. Dat vinden we handig want "met de app kun je je verbruik zien en hoeveel je gereden en getankt hebt". .... Duh, en al die beschikbare (prive-) informatie ziet de fabrikant dan allemaal niet?? (ik deel zelf wel even de gereden km's met de getankte liters)

Voordeel is dat je bij een auto de zekering van dit systeem misschien nog kunt verwijderen. Dat wordt bij een cpu dan net weer moeilijker.

[partyrabbit]

Overigens, als er verbinding zou zijn zou je dit terug kunnen zien in je verbindinggegevens.

Vraag ik me wel eens af. Ooit had ik een programmaatje wat precies kon monitoren wat er allemaal verbinding met het net had binnen je pc (ook op de achtergrond).
Is er zo iets voor linux? En zo ja, wat?

[Theo1971]

Ik vraag me alleen af in hoeverre ze er dan ook bij kunnen als alles achter een goede externe firewall hangt en de pc dus eigenlijk onbereikbaar is.

Ach, hier doen we moeilijk om. Dat auto's voortaan compleet uitgerust zijn met allerhande volg-, controle-, en weet ik veel wat voor systemen vinden we heel normaal.
Dat vinden we handig want "met de app kun je je verbruik zien en hoeveel je gereden en getankt hebt". .... Duh, en dat ziet de fabrikant dan allemaal niet??

Voordeel is dat je bij een auto de zekering van dit systeem misschien nog kunt verwijderen. Dat wordt bij een cpu dan net weer moeilijker.

Dat is inderdaad een goede, een externe firewall. Alleen is het wel zo dat in allerlei chips code zit ingebakken (in ARM bijvoorbeeld ook). Een oudere pc met 2 netwerkkaarten zou een prima oplossing kunnen zijn (minus de extra stroomverbruik). Nu dit soort dingen steeds meer aan het licht komen denk ik dat we kunnen wachten op een oplossing. Tenslotte is het voor sommigen een sport, om dingen te doen waar de fabrikant niet blij van wordt, de consument daar en tegen weer wel. 

[Theo1971]

Overigens, als er verbinding zou zijn zou je dit terug kunnen zien in je verbindinggegevens.

Vraag ik me wel eens af. Ooit had ik een programmaatje wat precies kon monitoren wat er allemaal verbinding met het net had binnen je pc (ook op de achtergrond).
Is er zo iets voor linux? En zo ja, wat?

Volgens mij kan dat met Nmap (staat in de repo's).

[partyrabbit]

Ja Theo. Het blijft toch het spelen van het spelletje. 

Kijk. Als die cpu zelf verbinding zoekt kan het moeilijker worden. Als die cpu vanuit extern benaderd dient te worden ben je met een firewall en linux nog vrij veilig. Dat kan weer anders liggen met 'niet-linux' waar dan weer een koppelingetje in de os gebouwd kan zijn voor dit cpu-deurtje.

Ik ben dan ook nog steeds (zie mijn topic daarover) benieuwd in hoeverre Linux dan weer sluit wat 'niet-linux' open probeert te zetten. En dat achter een externe firewall (router). Als linux zijn muur plaatst voor een deurtje is er geen probleem.
Hoe 'open' is je linux systeem dan nog? Of gewoon goed gesloten?

[Tom]

Overigens, als er verbinding zou zijn zou je dit terug kunnen zien in je verbindinggegevens.
Volgens mij kan dat met Nmap (staat in de repo's).

Hier de grafische Nmap.

[jolo]

Of Zenmap die genoemd wordt in deze hyperlink https://www.howtoforge.com/tutorial/nmap-on-linux/
Zenmap staat ook in de Ubuntu pakketbronnen. Zie onderstaande afbeelding   

[softbart]

Tenzij.........................zie link:
https://tweakers.net/nieuws/130977/bedrijf-levert-opensourcelaptop-met-intels-management-engine-uitgeschakeld.html

deze uitgeschakeld wordt,

groet,

Theo

[Theo1971]

Tenzij.........................zie link:
https://tweakers.net/nieuws/130977/bedrijf-levert-opensourcelaptop-met-intels-management-engine-uitgeschakeld.html

deze uitgeschakeld wordt,

groet,

Theo

Klopt coreboot is de oplossing, maar je treft het veelal aan bij laptops. De chromebook heeft het trouwens ook geloof ik. Maar goed dat is weer van Google en dan is het volgens mij kiezen tussen 2 kwaden.


@partyrabbit, het punt is dat het niks uitmaakt welk systeem er draait op je pc, er is dus 1 ingebakken in je CPU/Systeem. Deze draait dus onafhankelijk van de OS waar jij mee werkt.  De negatieve Ring status -3 betekend dat je als eindgebruiker dat niet kunt tegenhouden, ook je besturingssysteem niet. Wat wel werkt is dat je een oudere pc tussen de modem en router plaatst (dus 2 netwerkkaarten), hierop zet je een linux distributie en een firewall. Dit klinkt omslachtig (en is het ook wel), maar daarmee zou je in theorie alle ingebakken spul buiten werking kunnen zetten.

[partyrabbit]

@partyrabbit, het punt is dat het niks uitmaakt welk systeem er draait op je pc, er is dus 1 ingebakken in je CPU/Systeem. Deze draait dus onafhankelijk van de OS waar jij mee werkt.  De negatieve Ring status -3 betekend dat je als eindgebruiker dat niet kunt tegenhouden, ook je besturingssysteem niet.

Ok, dat was me wel duidelijk. Maar wat kan dat dan? Het kan toch niet bij je bestanden en zo? Het kan toch niet door de linux beveiliging?

Wat wel werkt is dat je een oudere pc tussen de modem en router plaatst (dus 2 netwerkkaarten), hierop zet je een linux distributie en een firewall. Dit klinkt omslachtig (en is het ook wel), maar daarmee zou je in theorie alle ingebakken spul buiten werking kunnen zetten.

Ja je zou ook in je netwerk een pc als proxy-servertje kunnen laten draaien. Maar wat jij zegt gaat dat allemaal wel wat ver.
Tussen pc en modem draait hier al een firewall. Ik wist een goede tiental jaren geleden al dat je provider backdoors in de modem heeft en bij je pc kan, maar hier al lang niet meer (meermalen getest).

[softbart]

Theo,

Ik ben bang dat we toch de alu-hoedjes nodig hebben, of ................ toch niet?

https://tweakers.net/reviews/5851/cryptomining-advertentiealternatief-of-malware.html

groet,

Theo

[Pjotr]

Theo,

Ik ben bang dat we toch de alu-hoedjes nodig hebben, of ................ toch niet?

https://tweakers.net/reviews/5851/cryptomining-advertentiealternatief-of-malware.html

groet,

Theo

Nee hoor. uBlock Origin volstaat:
https://forum.ubuntu-nl.org/index.php?topic=103161.0

[swake]

Lees ook eens helemaal onderaan .

http://datanews.knack.be/ict/nieuws/hoe-cryptojackers-munt-kunnen-slaan-uit-uw-pc/article-normal-914811.html

Steeds meer adblockers beginnen de technologie namelijk standaard tegen te houden.

[HWE64]

Nee hoor. uBlock Origin volstaat:
https://forum.ubuntu-nl.org/index.php?topic=103161.0

Probleem is altijd om de goede beginners instellingen te vinden (vind ik) .

[testcees]

Volgens mij kan dat met Nmap (staat in de repo's).

Volgens mij niet, met nmap (of zenmap) kan je zien welke inkomende poorten open staan, bijvoorbeeld voor een “normale” ssh- of webserver. Maar een trojan/RAT/malware/backdoor enz. heeft genoeg aan een uitgaande poort om opdrachten binnen te halen vanaf een remote ("Command&Control") locatie. Uitgaande poorten staan op een Linux systeem (en op je router/firewall) normaal gesproken open, anders kan ook je geen browser gebruiken op poort 80 of 443.

Deze draait dus onafhankelijk van de OS waar jij mee werkt.  De negatieve Ring status -3 betekend dat je als eindgebruiker dat niet kunt tegenhouden, ook je besturingssysteem niet.

Ook daarom is de uitkomst van een nmap scan niet relevant, nmap kijkt naar (programmatuur op) je besturingssysteem.

[partyrabbit]

Uitgaande poorten staan op een Linux systeem (en op je router/firewall) normaal gesproken open, anders kan ook je geen browser gebruiken op poort 80 of 443.

Lang niet alle poorten. Alleen die voor browsen, email, en nog een handjevol.
Meestal wordt in de computer door een programma een te gebruiken poort open gestuurd. Anders blijft hij gewoon netjes dicht. In de router staan de standaard poorten wel open.

[Theo1971]

@softbart, vanaf morgen (11-11) is het volledig 'normaal' in sommige delen van het land om met zo'n hoedje op te gaan lopen
µblock blijft een handig stukje gereedschap.

@testcees, nmap kan wel meer dan dat. Je kunt daar alle poorten (inkomende en uitgaande) checken van allerlei apparaten op je netwerk.
Om een voorbeeldje te noemen, sudo nmap -sP 192.168.x.x/24 geeft netjes alle apparaten die aangesloten zijn op het netwerk weer, en niet alleen van mijn computer dus.
De rest is evenwat meer werk, maar daarvoor bestaan man-pages.

[Ron]

@testcees, nmap kan wel meer dan dat. Je kunt daar alle poorten (inkomende en uitgaande) checken van allerlei apparaten op je netwerk.

Aanvulling: alle apparaten die via internet te bereiken zijn

[partyrabbit]

@softbart, vanaf morgen (11-11) is het volledig 'normaal' in sommige delen van het land om met zo'n hoedje op te gaan lopen
µblock blijft een handig stukje gereedschap.

Wat maakt het ook uit. Ikzelf wordt liever (en gebeurd ook weleens) in verkapte woorden uitgemaakt voor alu-hoedje, dan dat ik in naïeviteit overal maar in zou trappen.