staging.inyokaproject.org

Ubuntu als sicherstes Betriebssystem ausgezeichnet

ubuntu_logo.png

Die britische Behörde „Communications Electronics Security Group“ hat elf mobile und Desktop-Betriebssysteme unter die Lupe genommen. Erfreulich: Ubuntu 12.04 LTS schneidet am besten ab.

Die GCHQ-Unterorganisation „Communications Electronics Security Group“ (kurz CESG, vergleichbar vielleicht mit dem deutschen BSI) hat die Aufgabe der Sicherung der elektronischen Kommunikation und Computersysteme des Vereinigten Königreichs und hat nun einen Test veröffentlicht, der die Sicherheit elf ausgewählter Betriebssysteme unter die Lupe nahm.

Getestete Betriebssysteme

Dieser Test umfasste elf Betriebssysteme aus dem mobilen und dem Desktop-Bereich:

  • Android 4.2

  • Samsung Geräte (mit Android 4.2)

  • Apple iOS 6

  • Apple OSX 10.8

  • Blackberry 10.1 (EMM Corporate)

  • Blackberry 10.1 (EMM Regulated)

  • Google Chrome OS 26

  • Ubuntu 12.04 LTS

  • Windows 7 & 8

  • Windows 8 RT

  • Windows Phone 8

Ubuntu 12.04 LTSPrecise Pangolin“ erreichte in diesem Test den ersten Platz – als einziges Betriebssystem, das alle Kategorien ohne Significant Risks und mit nur drei orangenen Bewertungen durchlief.

Ein PDF-Report (siehe Quellen) fasst die Studie zusammen, zeigt die Schwachstellen auf und untersucht, wieso Ubuntu ein sicheres Betriebssystem für Behörden und Unternehmen ist.

Die 12 Kategorien

Die Kategorien sollen die Basis des Best practice aus Unternehmenssicherheit darstellen. Kein Betriebssystem konnte in allen Kategorien die höchste (grüne) Stufe erreichen. Ubuntu 12.04 LTS schnitt jedoch im direkten Vergleich am besten ab.

  • VPN

  • Disk Enryption

  • Authentication

  • Secure Boot

  • Platform Integrity and Application Sandboxing

  • Application Whitelisting

  • Malicious Code Detection and Prevention

  • Security Policy Enforcement

  • External Interface Protection

  • Device Update Policy

  • Event Collection for Enterprise Analysis

  • Incident Response

Tabellarische Übersicht

Bereiche, die ein signifikantes Risiko eines Betriebssystems darstellen, sind rot markiert. Bereiche, die vor Risiken warnen, sind orange markiert. Bereiche, die ohne Beanstandung durchlaufen wurden, sind grün markiert.

Test der elf Betriebssysteme
Betriebssysteme →
Kategorien ↓
Android 4.2 Samsung Geräte (Android 4.2) Apple iOS 6 Apple OSX 10.8 Blackberry 10.1 (EMM Corporate) Blackberry 10.1 (EMM Regulated) Google Chrome OS 26 Ubuntu 12.04 LTS Windows 7 & 8 Windows 8 RT Windows Phone 8
VPN
Disk Encryption
Authentication
Secure Boot
Platform Integrity / Application Sandboxing
Application Whitelisting
Malicious Code Detection & Prevention
Security Policy Enforcement
External Interface Protection
Device Update Policy
Event Collection for Enterprise Analysis
Incident Response
Grün 5 9 7 8 5 9 8 9 8 7 7
Orange 6 2 4 4 6 2 3 3 4 4 3
Rot 1 1 1 0 1 1 1 0 0 1 2

Fazit

Das aus Sicht der britischen CESG sicherste Betriebssytem ist damit Ubuntu 12.04 LTS „Precise Pangolin“. Es erreicht als einziges unter den elf Betriebssystemen neun grüne Bewertungen, drei orangene und keine rote Bewertung.

Zwei weitere Betriebssysteme erhielten ebenfalls neun grüne Bewertungen. Das sind die Samsung Geräte mit Android 4.2 sowie Blackberry 10.1 (EMM Regulated). Diese erhielten jedoch jeweils einmal eine rote Bewertung im Bereich Event Collection for Enterprise Analysis.

Neben Ubuntu konnten drei weitere Systeme erfolgreich eine rote Bewertung umgehen. Das sind Apple OS 10.8 sowie die beiden Windows Systeme 7 und 8. Diese drei erhielten jedoch jeweils eine orangene Bewertung im Bereich Device Update Policy mehr als Ubuntu.

Diese vier Betriebssysteme (Apple OSX 10.8, Windows 7 & 8 und Ubuntu 12.04 LTS) erhielten alle orangene Bewertungen in den gleichen Bereichen: VPN, Disk Encryption sowie Secure Boot.

Die Reaktion von Ubuntu

Canonical in Person von Darryl Weaver hat sich die drei orangenen Bewertungen in den Bereichen VPN, Disk Encryption sowie Secure Boot angeschaut und seine Einschätzungen dazu veröffentlicht (siehe Quellen).

In den Bereichen VPN und Verschlüsselung hält Ubuntu alle technischen Standards ein. Es geht "lediglich" darum, dass das eingebaute VPN und die beiden Verschlüsselungsarten LUKS und dm-crypt nicht unabhängig auf das CESG Foundation Grade 🇬🇧 überprüft wurden; es also sein könnte, dass jemand während des Entwicklungsprozesses an den Paketen herumpfuscht.

Canonical geht im Falle von VPN davon aus, dass man mit der nächsten Veröffentlichung 14.04 LTS „Trusty Tahr“ die Anforderungen voll erfüllt und dementsprechend im Bereich VPN eine grüne Bewertung erhält. Im Bereich Verschlüsselung steht diese unabhängige Überprüfung noch aus. Darryl Weaver betont, dass auch alle anderen Betriebssysteme in diesen beiden Bereichen eine orangene (oder sogar rote) Bewertung erhielten.

Im Bereich Secure Boot erreichen Ubuntu 12.04, Apple OSX 10.8 und Windows 7 & 8 nur eine orangene Bewertung. Canonical geht – im Gegensatz zu anderen – den Weg über GRUB 2. Jedoch mit der Möglichkeit, Secure Boot abschalten zu können, so dass das Betriebssystem, wenn gewollt, angepasst werden kann. Daran und an der orangenen Bewertung wird sich also auch in Zukunft nichts ändern, da Canonical der Meinung ist, damit Anwendern und Unternehmen den besten Kompromiss zwischen Sicherheit und (gewollter) Anpassbarkeit des Betriebssystems zu geben.


Quellen:

Veröffentlicht von UbuntuFlo | 14. Januar 2014 23:40 | Kategorie: Rund um Ubuntu | # Fehler im Artikel melden

Thorsten_Reinbold

1 15. Januar 2014 03:28

Ein anderes Linux sehe ich da nicht, auch scheint mir die Auswahl recht krude. Chrome OS, iOS und Android neben Linux, Windows Phone und Windows 7/8? Seltsamer Vergleich...

Priester

2 15. Januar 2014 07:11

Hallo.

Thorsten Reinhold hat Recht: Ist wirklich ein seltsamer Vergleich. Ich tippe mal, dass nicht wenige andere Linux-Varianten noch besser hätten abschneiden können. Aber, warum lobt das GCHQ überhaupt besonders sichere Betriebssysteme? Ist es doch gerade der britische Geheimdienst, der mit seinem Tempora-Programm die Datensammelwut der NAS deutlich übertrifft. (Komischerweise ist dies in der Öffentlichkeit kaum ein Thema.) Ist das Ergebnis nun ein Ritterschlag für Ubuntu? "Benutzt alle Ubuntu, dann können wir (GCHQ) weniger schnüffeln!" Oder bedeutet das: "Wir haben Möglichkeiten gefunden, Ubuntu besonders gut auszuspähen; Also, schön alle Ubuntu benutzen, dann fällt uns das schnüffeln leichter!"

Ich persönlich glaube, ein Geheimdienst wird sich mittels Empfehlungen das Leben nicht selbst unnötig schwerer machen.

MfG Priester.

PS: Danke für den Artikel.

pitt-admin

3 15. Januar 2014 08:47

Meine Meinung ist:Solche Test sind immer trügerisch, die hätten mal die neuste Ubuntu 13.10 nehmen sollen da sähe es wohl anders aus, leider im negativen sinne.

cid0m

4 15. Januar 2014 10:03

Ubuntu hat gewonnen weil a ) einziges unixoides OS im Test und b ) weil Canoncial "britisch" ist, alle anderen Länder sind ja böse und pfuhi und nur GB und die 5Eyes wissen was richtig ist 🙄

Mal davon abgesehen das ein Sicherheitstest einer Regierung welche wohl mehr Infos aus dem WWW zieht als die USA sicher sehr seriös und allgemein anerkannt ist 😈

Ich hoffe nur das Mark S. damit jetzt nicht werben geht! 🙄

cid0m

5 15. Januar 2014 10:07

Noch ein Nachtrag : Bei aller Kritik natürlich super das ein unixoides OS auf dem ersten Platz ist ! 👍

sitronen-

Avatar von sitronen-
6 15. Januar 2014 10:21

@4: Äääähmmm... OSX und damit iOS sind beide die einzigen offiziell unixoiden BS im Text Linuxbasierte Betriebssysteme sind "nur" unixähnlich. 😛

cid0m

7 15. Januar 2014 10:56

Ah hat tatsächlich jemand bemerkt 😀 hätte gedacht das merkt keiner !

Spass beiseite xD Asche auf mein Haupt 😲 das kommt davon wenn man schreibt und erst dann nachdenkt 🙄

Danke für deine Korrektur, meinte unixähnlich, mir ist eigentlich bewusst das Linux kein Unix ist xD 😛 eigentlich xD...

Letalis_Sonus

8 15. Januar 2014 11:56

@6: Du meinst wohl eher Unix-Derivate, "unixoid" und "Unix-ähnlich" sind nach allgemein angenommener Definition gleichwertige Begriffe, Linux ist auch "offiziell" unixoid 😉

Nebenbei listet die englische Wikipedia bei iOS als OS Familie nur "Unix-like" und nicht wie bei Mac OS X "Unix" auf. Es wurde soweit ich weiß auch nicht als solches zertifiziert, ist also alles andere als ein "offizielles" Derivat.

B601

9 15. Januar 2014 12:49

@1: Da ist nicht viel Unterschied.

Die Standard-Softwareausstattung bei Ubuntu in Bezug auf die Kriterien des Tests unterscheidet sich nicht von anderen gängigen Linux-Distrubutionen. Lediglich einige nützen SecureBoot, die würden dann hier ein Grün erhalten.

Á propos: Android ist auch ein "Linux", allerdings kein GNU/Linux. Da sieht man auch gleich schön, dass der Kernel alleine noch kein sicheres Betriebssystem macht.

@2: Geheimdienste spionieren Ausländer aus. Gleichzeitig geben sie natürlich den Inländern Empfehlungen, wie sie sich vor ausländischer Spionage schützen können. Und natürlich brauchen auch die eigenen Mitarbeiter sichere PCs.

Nach deiner Argumentation verwendet die französische Polizei verwendet Ubuntu, weil sie möchte, dass man sie besonders leicht ausspionieren kann?

B601

10 15. Januar 2014 12:52

@3: Nein, da ist kein Unterschied in Bezug auf diesen Test.

Und bitte lies mal die Berichte im Original, bevor du Vermutungen postest. Die Kriterien sind absolut professionell und sogar ich habe noch was über Sicherheit gelernt.

Z.B. wird die Empfehlung gegeben, /home und /tmp in eigene Partitionen (bzw. das RAM) zu mounten und mit noexec,nosuid zu versehen. Damit wird das Ausführen von Programmen verhindert, wie z.B. Schadsoftware im Browser von verseuchten Websites. Auch das würde den Geheimdienst selbst behindern, übrigens...

noisefloor

Ehemaliger

Avatar von noisefloor
11 15. Januar 2014 12:58

Es würde mich in der Tat auch mal interessieren, warum nicht zumindest noch Fedora (und vielleicht auch OpenSuse) dabei sein. Beide sind im Endbenutzer-Umfeld ja auch sehr verbreitet.

Aber NATÜRLICH hätte Ubuntu die auch locker weggeputzt 😈

Zinni

12 15. Januar 2014 13:19

Also wenn das Empire das sagt, vertraue ich denen doch blind!11!! 😉

HippieFloppy

Avatar von HippieFloppy
13 15. Januar 2014 14:16

Die Studie war sowieso überflüssig, hätte auch nicht anders sein können (wenn man Logik einschaltet)

Interessant wäre wenn weitere Linuxioden hinzu kämmen wie Debian, Fedora, Arch, Gentoo und BSD's 😉
(natürlich mit Nutzern die es benutzen können)

Kerlbürste_Suessholz

Avatar von Kerlbürste_Suessholz
14 15. Januar 2014 15:43

@13: Nee, wenn Debian dabei gewesen wäre, wäre der Test ja langweilig 😬

diesch

Avatar von diesch
15 15. Januar 2014 16:09

This guidance is for public sector organisations to follow when deploying end user devices for remote working at OFFICIAL.

Zielgruppe sind also nicht Privatanwender, sondern Telearbeitsplätze im öffentlichen Dienst. Die Auswahl der System dürfte einfach dem entsprechen, was dort in Großbritannien überwiegend genutzt wird.

Da Canonical eine britische Firma ist, ist es auch naheliegend, dass dort unter den Linux-Distributionen vor allem Ubuntu benutzt wird.

barcc

Avatar von barcc
16 15. Januar 2014 16:14

@11: In der Liste sind nur Betriebssysteme für Tablet, Phone und Desktop, keine Serverbetriebssysteme. Canonical ist der einzige (kommerzielle) Linux-Distributor der in dieser Liga mitspielt (mitspielen will).

@13: Interessant für wen? Für die Macher der Studie sicherlich nicht.

Linuxkumpel

17 15. Januar 2014 18:37

Da ich Ubuntu nutze, setzt diese Untersuchung und Veröffentlichung für mich ein Achtungszeichen und bestärkt mich, die richtige Wahl für den täglichen Einsatz getroffen zu haben. disch hat es ja für das United Kingdom auf den Punkt gebracht. Folglich ergibt sich auch eine gewisse Logik für die Auswahl und für eine ggw. aktuelle LTS-Version von Ubuntu. Da kann man sich doch über ein solches Ergenis freuen und nicht beginnen die Haare in der Suppe zu suchen, zumal die Bewertungskategorien auch offen gelegt wurden. 😉

vonabisy

18 16. Januar 2014 19:45

@ B601: Irgendwie machen diese Empfehlungen durchaus Sinn. Allerdings lässt sich dann "Tor" nicht mehr starten, weder über die Installationsvariante "PPA" noch "Webdownload. Ein Dilemma... 😀

skull-y

19 17. Januar 2014 13:36

Interessant wäre für uns Linuxuser, wie die 3 vermutlich am meisten verbreiteten Distris und eine für Fortgeschrittenere gegeneinander schlagen. Ich denke, dass da keiner verliert oder gewinnt.

martinu

20 17. Januar 2014 14:23

Da nur ein Linux mit anderen Betriebssystemen verglichen wurde, wäre die passendere Überschrift vielleicht:

"Linux als sicherstes Betriebssystem ausgezeichnet"

diesch

Avatar von diesch
21 17. Januar 2014 15:04

@20: Auch Android und ChromeOS sind Linux.

Newubunti

22 17. Januar 2014 16:37

... Canonical geht – im Gegensatz zu anderen – den Weg über GRUB 2. Jedoch mit der Möglichkeit, Secure Boot abschalten zu können, ...

Das ist IMO nicht ganz korrekt dargestellt. Kritisiert wird nicht, dass man Secure Boot abschalten kann, sondern kritisiert wird, dass Secure Boot in Ubuntu nicht in dem Sinne implementiert ist, dass es ein "Chain-of-Trust" in dem Sinne nutzen würde, dass von EFI bis hin zum Kernel die Integrität geprüft würde, was eigentlich der Sinn von Secure Boot ist.

D.h. Ubuntu kann zwar auf einem Secure Boot System starten, nutzt aber die dahinter liegende Sicherheitsstruktur nicht. Und das ist ebenso damit das Betriebssystem angepasst werden kann, ohne dass der Anwender sich an Canonical oder sonst wenn wenden muss, um die Chain-of-Trust wieder herstellen zu können.

Ansonsten muss man IMO bei genauem Vergleich bescheinigen, dass Windows 8 ein "Grün" mehr hat, als Ubuntu. Warum Windows 7 & 8 zusammen aufgeführt wurden, wenn sie unterschiedlich abschneiden, ist auch ein bischen merkwürdig.

Jedenfalls ist Windows 8 nach meinem Verständnis der Veröffentlichungen im Bereich Secure Boot grün - anders als Windows 7 - und auch im Bereich VPN grün - ebenfalls anders als Windows 7.

Gruß, Martin

skull-y

23 17. Januar 2014 19:00

@22: Ist die Frage, wie sehr du der Vertrauenskette vertrauen willst. Ich halte Secure Bott für mehr oder weniger nutzlos.

Newubunti

24 18. Januar 2014 00:33

@23: Um die Frage des Nutzens von Sicherheitskriterien geht es aber ja bei der Darstellung des Testes nicht. Es wurde eben diese Kriterien herangezogen und anhand dieser die verschiedenen ausgewählten Systeme getestet.

Ubuntu erfüllt eben dieses Kriterium nicht und ich habe nur richtig stellen wollen, warum es dieses Kriterium nicht erfüllt, weil es sich im Artikel so liest, als sei das wegen der Deaktivierungsmöglichkeit der Fall. Dem ist aber nicht so.

Außerdem geht es hier nach meiner Auffassung um das Enterprise-Umfeld und da finde ich es etwas leichtfertig gedacht, Secure Boot für nutzlos zu halten - aber das nur am Rande.

Gruß, Martin