Zum Inhalt springen

Sicherheitsupdates - Dummheit am Rechner

Abd al Rahman

Von Abd al Rahman
in Die Differenzmaschine

Empfohlene Beiträge

Widukind

Widukind

Geschrieben
Geschrieben
Am 16.5.2017 um 10:57 schrieb Toro:

An der Stelle sollte man nicht vergessen, dass die Lücke im März geschlossen wurde und die Infektionswelle erst 2 Monate später angefangen hat. Alle infizierten Rechner mit einem Windows nach XP dürften die SMB Lücke eigentlich nicht mehr haben. Die XP Fraktion an sich ist selbst schuld. Da gab es genug Vorlauf, den Dinosaurier in Rente zu schicken (auch bei großen Installationen oder harten Abhängigkeiten).

Für 2003 gab es auch keinen Patch, der wurde, genau wie für XP erst nach dem Ausbruch zur Verfügung gestellt.

Ja, in der Theorie gibt es natürlich gar keinen Grund, ein System nicht upzudaten bzw. upzugraden. In der Praxis sieht das aber doch anders auch.

Die Telefonanlage, die Appliance, der NTP-Server mit DCF77-Empfänger, all das sind Systeme, die man nicht mal eben so auf ein neues OS hebt.

  • Antworten 355
  • Erstellt
  • Letzte Antwort

Top-Benutzer in diesem Thema

Aktive Tage

Top-Benutzer in diesem Thema

Aktive Tage

Beliebte Beiträge

Nixonian
Nixonian

Kennt ihr noch den Witz, wo angeblich ein "voll krasser Hekka" einem anderen androht, diesen vom Netz zu hacken und nach der IP fragt und nach der Antwort "127.0.0.1" angeblich nur mehr im Chat steht

Nixonian
Nixonian

Wegen dem dezeitigen Hack von Roll20 Fehler werden nicht zugegeben (kann man nichts machen, hackers gonna hack, oder was jetzt noch beliebter ist "staatliche Agenten mit hoher krimineller Energie

Abd al Rahman
Abd al Rahman

Boah ey. Sitze in der Kneipe bein Mittagessen. Am Nachbartisch geht es um Hacken, Hacker und Firmen die gehackt werden.  „Aber als Privatperson interessieren sich Hacker nicht für mich“

Stephan

Stephan

Geschrieben
Geschrieben
vor 24 Minuten schrieb Abd al Rahman:

Wir reden von XP und nicht von mal eben. 

Wenn mein Auto nicht mehr verkehrssicher ist, darf ich damit auch nicht mehr auf die Straße. 

Ob der Vergleich passt?

De facto ist Windows XP ja nicht durch Verschleiß verkehrsunsicher geworden.

Es war vielmehr schon am Tage der Auslieferung verkehrsunsicher.

Vermutlich dürfte ein Autohersteller, dem man ständig nachwerist, dass er von Anfang an verkehrsunsichere Autos baut, irgendwann einmal einfach keine Zulassungen für seine Modelle mehr bekommen. Erst recht, wenn er sich irgendwann einmal weigern würde, die von ihm eingebauten Fehler zu beheben.

Der Vergleich hinkt, weil es offenbar völlig unrealistisch ist, größere Software-Pakete ohne Sicherheitsmängel auf den Markt zu bringen. Daher kann man an Software-Hersteller nicht die gleichen Maßstäbe anlegen, wie an Auto-Hersteller.

Aber wenn der Vergleich für die Anbieter nicht passt, dann ist er vielleicht auch für die Kunden unangebracht.

draco2111

draco2111

Geschrieben
Geschrieben

Autovergleiche hinken eigentlich immer.

Trotzdem sollte man dafür sorgen, schon aus Eigeninteresse, dass man mit einem sicheren OS ins Netz geht. XP ist nicht mehr supportet und sollte deshalb nicht mehr genutzt werden. Du kannst ja jederzeit ein neues OS installieren oder installieren lassen.
Wenn dein Auto kaputt ist lässt du es ja auch reparieren.

Widukind

Widukind

Geschrieben
Geschrieben
Gerade eben schrieb draco2111:

Autovergleiche hinken eigentlich immer.

Trotzdem sollte man dafür sorgen, schon aus Eigeninteresse, dass man mit einem sicheren OS ins Netz geht. XP ist nicht mehr supportet und sollte deshalb nicht mehr genutzt werden. Du kannst ja jederzeit ein neues OS installieren oder installieren lassen.
Wenn dein Auto kaputt ist lässt du es ja auch reparieren.

Erstens: Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen, zumindest nicht ins Internet. Solche Systeme wurden von anderern Systemen, die ins Internet gehen infiziert.

Zweitens: Man kann eben nicht auf jedem System jederzeit ein neues OS installieren. Wir reden hier nicht vom PC, sondern von Appliances mit einem PC-Betriebssystem. Die Telefonanlage bei einem meiner vorherigen Arbeitgeber lief noch lange mit NT 3.51, natürlich ging damit niemand ins Internet, aber ein anderer infizierter Rechner hätte sie infizieren können.

Akeem al Harun

Akeem al Harun

Geschrieben
Geschrieben

Ich habe im Büro seit Dienstag 54 Serversysteme gepatcht, für die ich erst durch eine Urlaubsvertretung zuständig geworden bin. Meine Systeme, für die ich schon seit je her zuständig bin, waren aktuell und vom Ausbruch wären sie ohnehin nicht betroffen gewesen.

draco2111

draco2111

Geschrieben
Geschrieben
vor 12 Minuten schrieb Widukind:

Erstens: Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen, zumindest nicht ins Internet. Solche Systeme wurden von anderern Systemen, die ins Internet gehen infiziert.

Zweitens: Man kann eben nicht auf jedem System jederzeit ein neues OS installieren. Wir reden hier nicht vom PC, sondern von Appliances mit einem PC-Betriebssystem. Die Telefonanlage bei einem meiner vorherigen Arbeitgeber lief noch lange mit NT 3.51, natürlich ging damit niemand ins Internet, aber ein anderer infizierter Rechner hätte sie infizieren können.

Da muss man sich dann eben entscheiden, ob man mit dem Risiko leben möchte oder nicht. Solche Geräte stellen dann eine Gefahr für sich und evtl. andere dar.

Wenn die Geräte in einem Netz hängen, welches auch Zugang zum Internet hat dann sind die Systeme gefährdet. Ob man damit jetzt surft oder nicht.

Toro

Toro

Geschrieben
Geschrieben

Wenn sich jemand, aus welchen Gründen auch immer, entscheidet ein veraltetes System weiter laufen zu lassen, muss er mit den Konsequenzen leben. Da gibt es überhaupt keine Ausreden. Windows XP wurde 2001 veröffentlicht und sollte bis 2011 Support/Patches erhalten. M$ hat mehrfach einen Aufschub gewährt, bevor 2014 der Support endgültig eingestellt wurde. Das war ein Sterben mit mehrfacher Ankündigung.

Wo auch immer man XP im Einsatz hatte, hatte man als Normalo quasi 3 Jahre Sonderfrist, zur Findung angemessener Nachfolgelösungen. Das ist ein komfortabel langer Zeitraum. Auch für ungewöhnliche Lösungen. Für nicht Normalos (ließ große oder reiche Firmen) kann man bei M$ extend Support (für seriös viel Geld) kaufen, um die Systeme trotzdem weiter am Laufen zu halten. Wenn ich mich recht erinnere gingen da nochmal 2 Jahre extra, da bin ich mir aber nicht sicher.

Ja, natürlich gibt es langlebige System/Maschinen, die noch mit XP laufen und ihre erwartete Lebensdauer noch nicht erreicht haben. Das gleich hatten wir aber auch schon bei Windows NT und Windows 2000. Es ist definitiv möglich, alle diese Maschinen in einem separaten Netz (physikalisch oder virtuell) zu isolieren und die notwendigen Datenströme über einen Proxy zu realisieren. Alleine schon wegen der Zugriffskontrolle wäre das Sinnvoll, damit nicht jeder auf den Kisten rumpfuschen kann (wenn sie schon so wichtig sind).

@Widukind: Das Argument "Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen" hält, imho, einer Betrachtung nicht Stand. Die Systeme waren in einem gemischten Netzwerk (zusammen mit Systemen die für INet Zugang vorgesehen sind) und sind damit prinzipiell erreichbar. Wie bei WannaCry, durch einen benachbarten Rechner, der Zugriff auf das INet hat. Die Wurm Strategie ist ja jetzt nicht wirklich neu.

  • Like 1
Widukind

Widukind

Geschrieben
Geschrieben
vor 5 Minuten schrieb Toro:

....

@Widukind: Das Argument "Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen" hält, imho, einer Betrachtung nicht Stand. Die Systeme waren in einem gemischten Netzwerk (zusammen mit Systemen die für INet Zugang vorgesehen sind) und sind damit prinzipiell erreichbar. Wie bei WannaCry, durch einen benachbarten Rechner, der Zugriff auf das INet hat. Die Wurm Strategie ist ja jetzt nicht wirklich neu.

Da die Infektion allein durch SMB stattfinden konnte, war auch ein virtuell getrenntes Netz, das z.B. nur SMB durch die Firewall lässt, eben kein Schutz. Und das ist der Grund, warum der Wurm in bestimmten Bereichen so "erfolgreich" war.

Toro

Toro

Geschrieben
Geschrieben

Weiter oben habe ich nicht von einer Firewall geredet sondern von einem Proxy und das auch nur im Kontext spezieller Konfigurationen wie Maschinensteuerung, etc..

Der Wurm war so erfolgreich, weil Leute die Entscheidung getroffen haben ein Risiko einzugehen. Die Verwendung eines nicht mehr unterstützten Betriebssystem. In diesem Fall hat es sich halt nicht ausgezahlt.

An der Stelle aber mal die Frage, warum jeder Rechner in einem Büro Dateifreigaben anbieten muss (als Server agiert)? Das würde mich tatsächlich interessieren. Persönlich finde ich das immer praktischer, wenn es eine zentrale Stelle für den Dateiaustausch gibt. 

Widukind

Widukind

Geschrieben
Geschrieben
vor 17 Minuten schrieb Toro:

Weiter oben habe ich nicht von einer Firewall geredet sondern von einem Proxy und das auch nur im Kontext spezieller Konfigurationen wie Maschinensteuerung, etc..

Der Wurm war so erfolgreich, weil Leute die Entscheidung getroffen haben ein Risiko einzugehen. Die Verwendung eines nicht mehr unterstützten Betriebssystem. In diesem Fall hat es sich halt nicht ausgezahlt.

An der Stelle aber mal die Frage, warum jeder Rechner in einem Büro Dateifreigaben anbieten muss (als Server agiert)? Das würde mich tatsächlich interessieren. Persönlich finde ich das immer praktischer, wenn es eine zentrale Stelle für den Dateiaustausch gibt. 

Weil es der einfachste Weg ist, an Dateien eines Rechners, an dem niemand sitzt, heranzukommen.

Zum Beispiel die Logdateien der Telefonanlage. (Aus diesem Grund sind mir im Appliance-Bereich Systeme, die auf Linux basieren lieber, die kann man meist überrreden, ihre Daten per rsyslogd rauszusenden.)

  • 2 Monate später...
Nixonian

Nixonian

Geschrieben
Geschrieben

1. Akt: T-systems baut ein neues Ticketsystem

2. Akt: Budapest zahlt Millionen dafür

3. Akt: Jeder und sein Hund hat Spaß mit den Sicherheitslücken, denn die Software wurde offenbar von einem Anfänger an einem Nachmittag zusammengetippt. Der Passwort für Admin-User heißt "adminadmin"  und mit URL-rewriting kann man sehen, was ein anderer für Tickets gekauft hat. Höhepunkt: Ein 18-jähriger kommt drauf, wie er durch Veränderung des Preises im Frontend offenbar den Preis im Backend ändern kann :silly: Der gibt das bekannt, damit man diese Lücke schließe

4. Akt: Der wird verhaftet. Grund "policy reasons" bei T-sys und die Verkehrsbetriebe rühmen sich zuerst auch noch, einen phiesen leet haxor erwischt zu haben.

Zum Nachlesen im Standard

  • Like 1
Widukind

Widukind

Geschrieben
Geschrieben
Am 24.7.2017 um 20:52 schrieb Nixonian:

1. Akt: T-systems baut ein neues Ticketsystem

2. Akt: Budapest zahlt Millionen dafür

3. Akt: Jeder und sein Hund hat Spaß mit den Sicherheitslücken, denn die Software wurde offenbar von einem Anfänger an einem Nachmittag zusammengetippt. Der Passwort für Admin-User heißt "adminadmin"  und mit URL-rewriting kann man sehen, was ein anderer für Tickets gekauft hat. Höhepunkt: Ein 18-jähriger kommt drauf, wie er durch Veränderung des Preises im Frontend offenbar den Preis im Backend ändern kann :silly: Der gibt das bekannt, damit man diese Lücke schließe

4. Akt: Der wird verhaftet. Grund "policy reasons" bei T-sys und die Verkehrsbetriebe rühmen sich zuerst auch noch, einen phiesen leet haxor erwischt zu haben.

Zum Nachlesen im Standard

noch zwei Anmerkungen: T-Systems Ungarn gehört nicht zu T-Systems International, sondern zur Magyar Telekom, an der die Deutsche Telekom Anteile (nicht alle) hält.

Der Chef von T-Systems Ungarn möchte sich dafür einsetzen, dass die ungarischen GEsetze dahingehend geändert werden, dass jemand, der eine Sicherheitslücke aufdeckt, dafür nicht bestraft wird.

  • 5 Monate später...
  • 1 Monat später...
  • 3 Wochen später...
Abd al Rahman

Abd al Rahman

Geschrieben
  • Autor
Geschrieben

Manchmal sitzt die Dummheit auch vor anderen Rechnern und ist Experte. Ich setze auf dem Server hier Memcached ein. Und nu ratet mal, welcher Daemon unter centos 7 in der Standardinstallation nicht nur auf localhost lauscht? Ich habs zum einen gemerkt und gleich abgestellt und zum anderen hab ich eh nur die Ports offen die ich brauche, aber es ist ne ziemlich bescheuerte Idee einen Dienst so auszuliefern. 

  • 1 Jahr später...
  • 1 Jahr später...

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
Zur Themenübersicht
×
×
  • Neu erstellen...