Sicherheitsupdates - Dummheit am Rechner

[Kurna]

vor 7 Minuten schrieb Sulvahir:

Nur gehört der in der Regel jemand anderem.

Der andere weiß aber vermutlich eh alles, was du weißt.

[dabba]

5 minutes ago, Sulvahir said:

Nur gehört der in der Regel jemand anderem.

Also ist auch jemand anders dafür verantwortlich, dass alles in Ordnung - ist im positiven, wie im negativen Sinne.

Vor zwei Monaten wurde eine Sicherheitslücke in Exchange bekannt, die auch recht eifrig ausgenutzt wurde. Wer seinen Exchange-Mail-Server selbst hostete und nicht sehr zeitnah das Update einspielte, hatte schnell unerwünschte Software auf seiner Kiste. Wer hingegen das Hosting an Microsoft (365) ausgesourcet hatte, hatte keine Probleme; der Server dort war natürlich sofort gefixt.

Ich sehe es bei uns: Wir hosten selbst - haben aber nicht die zeitliche und fachliche Kapazität in-house, um uns ständig darum zu kümmern.

[Abd al Rahman]

vor 10 Stunden schrieb dabba:

"Die Cloud" ist auch nur ein anderer Rechner am Netz, so wie der eigene.

Nein, ist es nicht. Cloud bedeutet mehr. Es kann einfach nur sowas wie der eigene Rechner sein, ist es aber nur selten. Cloud beinhaltet eine vielzahl von Services, die über das „Eigener Rechner im Netz“ Prinzip hinausgehen.   

[Kazzirah]

vor 2 Stunden schrieb Abd al Rahman:

vor 13 Stunden schrieb dabba:

"Die Cloud" ist auch nur ein anderer Rechner am Netz, so wie der eigene.

Nein, ist es nicht. Cloud bedeutet mehr. Es kann einfach nur sowas wie der eigene Rechner sein, ist es aber nur selten. Cloud beinhaltet eine vielzahl von Services, die über das „Eigener Rechner im Netz“ Prinzip hinausgehen.   

Das mag ich unterstreichen. Das mit 'nur ein anderer Rechner' mag früher gegolten haben, mittlerweile ist es durchaus sehr viel mehr und vor allem sehr viel anders.

Cloud mehr als Hosting. Die Unterschiede zur onPremise-Welt sind deutlich und du hast als IT ganz neue Herausforderungen. 

[Hiram ben Tyros]

@Kazzirah@Abd al RahmanMögt ihr das mal grob umreißen. Ich habe ehrlich keine Ahnung und assoziiere (wie vermutlich viele nicht IT-ler) mit Cloud nach wie vor ein ausgelagertes Speichermedium.

[Abd al Rahman]

vor 24 Minuten schrieb Hiram ben Tyros:

@Kazzirah@Abd al RahmanMögt ihr das mal grob umreißen. Ich habe ehrlich keine Ahnung und assoziiere (wie vermutlich viele nicht IT-ler) mit Cloud nach wie vor ein ausgelagertes Speichermedium.

Gerne. Da fängt es schon an. Ein ausgelagertes Speichermedium ist kein eigener Rechner im Netz wie oben erwähnt. Office 365 (so man es nicht lokal installiert) ist auch kein eigener Rechner im Netz (Das Forum hier wird übrigens auf einem eigenen Rechner im Netz betrieben). Dazu kommen noch viele andere Dienste die man anmieten kann. Alle aufzulisten und zu erklären was die alle machen/können würde echt lange dauern. 
 

Hier ein Link:

https://www.avantic.ch/angebot/cloud-services/microsoft-azure/
 

Wenn Du nach unten scrollst findest Du ne Übersichtsliste diverser services (da fehlen sogar noch einige). Und nur der oberste in der linken Spalte (virtueller Server) ist ein eigener Rechner im Netz. Ehrlich gesagt könnte ich auch nicht bei allen genau sagen was dahinter steckt. Das Thema ist sehr komplex. 
 

Da fehlen sogar noch ein paar. Ich vermisse z.B. was zu Dockers oder Kubernetes. 

Bearbeitet 30. Mai 2021 von Abd al Rahman

[Lukarnam]

vor 44 Minuten schrieb Hiram ben Tyros:

@Kazzirah@Abd al RahmanMögt ihr das mal grob umreißen. Ich habe ehrlich keine Ahnung und assoziiere (wie vermutlich viele nicht IT-ler) mit Cloud nach wie vor ein ausgelagertes Speichermedium.

Im Prinzip nimmt Dir der Cloudbetreiber (weitgehend*) alle technischen Tätigkeiten (Hardware und Anwendungsfunktionalität bereitstellen, Datenmanagement: e.g. Speichern, Sicherung) ab, so daß Du (Nutzer) Dich nur noch um die Wahrnehmung der Fortbildungsangebote (wie nutze ich Anwendungen) und Deine Wertschöpfung (Inhalte, Informationen) kümmern musst.

* Irgend ein passendes Ein-/ Ausgabemedium und Kommunikationskanal nach Wahl brauchst Du schon. 

Bearbeitet 30. Mai 2021 von Lukarnam

[Mitel]

Auch kannst du "Cloud-Dienste" on-premise betreiben, also auf eigener Hardware. Es muss nicht immer Amazon sein.

Cloud-Dienste sind eben "Dienste", mit allem was unter der Haube dazu gehört. Und eben nicht nur externe Rechenpower.

Also Updates, Hardware-Überwachung/Tausch, Backups, Skalierung etc.pp. Natürlich gerne abhängig von deinem gebuchten Service Level.

Selbst dein "Rechner in der Cloud" ist heutzutage idR keine physische Kiste mehr irgendwo, sondern virtuell. Zumindest aber gemanaged.

Und es ist für dich als Kunden auch egal. Heute hier, morgen dort...dein Service läuft im Laufe seines Lebens auf vielen Hardware Kisten, je nach Auslastung und Leistung.

Bei @Abd al RahmanBeispiel des fehlenden Kubernetes laufen zum Beispiel mehrere Instanzen eines Containers des gleichen Dienstes parallel verteilt in einem Cluster, um Performance und Ausfallsicherheit zu erhöhen.

[Hiram ben Tyros]

Verstehe ich die Darstellungen richtig wenn ich sage: Die Cloud ermöglicht es mir (wenn ich mir die entsprechenden Leistungen/Dienste besorge) selbst nur noch ein Eingabegerät mit Internetanbindung besitzen zu müssen um alles Nutzen/Machen zu können was ich möchte.

[Abd al Rahman]

vor 27 Minuten schrieb Hiram ben Tyros:

Verstehe ich die Darstellungen richtig wenn ich sage: Die Cloud ermöglicht es mir (wenn ich mir die entsprechenden Leistungen/Dienste besorge) selbst nur noch ein Eingabegerät mit Internetanbindung besitzen zu müssen um alles Nutzen/Machen zu können was ich möchte.

Ist etwas vereinfacht ausgedrückt, aber ja. Bei Unternehmen ist das freilich nochmal komplexer. Aber wo kann das (jetzt mal das offensichtliche wie Cloudspeicher außen vor gelassen) mir als Privatperson nutzen?

Zwei Beispiele:

Ich hab mir einen Jitsi-Server ins Netzt gestellt. Der Läuft bei einem Cloud Dienstleister. Ich hab die günstigste Variante gewählt und zahle knapp 6,- EUR im Monat. Damit kann ich Videokonferenzen mit 5-6 Personen ohne Probleme laufen lassen. Brauche ich mehr, dann buche ich mir einfach mehr Rechenleistung dazu. Ich zahle das Mehr an Leistung pro Minute. Wenn ich das nicht mehr brauche, stufe ich zurück. 
 

Anderes Beispiel:

Ich hätte demnächst einen neuen Gamingrechner gebraucht. Der hätte mich 2000,- EUR Minimum gekostet. Stattdessen habe ich mir einen (ok, zwei in meinem Fall) Cloudgaming Service zugelegt. Beide Services kosten einzeln 10,- EUR. Ich hab zwar jeweils  nicht die volle Auswahl an Spielen (hat Lizensierungsgründe), weswegen ich zwei Services gebucht habe, aber für 20,- EUR im Monat bräuchte es ne Weile um die 2000,- EUR eines eigenen Rechners abzubezahlen. Dazu kommt noch, dass ich auf so gut wie allem spielen kann. Mac, Windows, auf meinem Fernseher (der hat ne App dafür), ipad, laptops… ich bin unabhängig von der Rechenleistung. Solange das Gerät Full HD Videos ruckelfrei hinbekommt funktioniert es. 
 

Nachteil ist natürlich, dass ohne Internetleitung nichts geht. Und man macht sich natürlich von einem Anbieter abhängig. 

Bearbeitet 30. Mai 2021 von Abd al Rahman

[Nixonian]

Kennt ihr noch den Witz, wo angeblich ein "voll krasser Hekka" einem anderen androht, diesen vom Netz zu hacken und nach der IP fragt und nach der Antwort "127.0.0.1" angeblich nur mehr im Chat steht "User A has disconnected"

Naja, Copyright-Firmen dürften den Witz nach 40 Jahren noch immer nicht verstanden haben.

[Nadrarak]

vor 3 Stunden schrieb Nixonian:

Kennt ihr noch den Witz, wo angeblich ein "voll krasser Hekka" einem anderen androht, diesen vom Netz zu hacken und nach der IP fragt und nach der Antwort "127.0.0.1" angeblich nur mehr im Chat steht "User A has disconnected"

Der gute alte „bitchchecker“:

http://www.lustigestories.de/stories/irc_hacker.php

[Abd al Rahman]

Boah ey. Sitze in der Kneipe bein Mittagessen. Am Nachbartisch geht es um Hacken, Hacker und Firmen die gehackt werden. 

„Aber als Privatperson interessieren sich Hacker nicht für mich“

[Irwisch]

vor 51 Minuten schrieb Abd al Rahman:

Boah ey. Sitze in der Kneipe bein Mittagessen. Am Nachbartisch geht es um Hacken, Hacker und Firmen die gehackt werden. 

„Aber als Privatperson interessieren sich Hacker nicht für mich“

Naja es wird doch auch nur bei Banken, Juwenieren und vergleichbaren Firmen eingebrochen, ein Privathaushalt ist völlig sicher.

oder hast du schonmal gehört das bei der Müllabfuhr eingebrochen wurde? - siehste!

Bearbeitet 14. April 2022 von Irwisch

[Randver MacBeorn]

Scheint ja gerade hier zu passen, da Chrome sich mittlerweile zum Standard-Webbrowser entwickelt hat:

Sicherheitsupdate: Angreifer attackieren Google Chrome | heise online

https://heise.de/-6740855

 

[Nixonian]

Jö, schön. Wenn man auch bei botnet-Betreibern offenbar keine Sanitization und Sicherung von Eingaben macht: https://www.heise.de/news/l-f-Sicherheitsforscher-legen-aus-Versehen-gesamtes-Botnet-KmsdBot-lahm-7363007.html?wt_mc=rss.red.security.security.atom.beitrag.beitrag

[Sulvahir]

Die Sache mit der Digitalisierung läuft!

 

Nach Cyberangriff: Millionen Versicherte können Krankenkassen-Apps nicht nutzen

Es sind über 40 Krankenkassen betroffen.

Immerhin funktionieren die Überweisungen von Pflegegeld etc.  durch die Krankenkassen wieder - nach 14 Tagen.

 

[Widukind]

Wie dämlich kann man sein? (Teil 5.893)

https://www.spiegel.de/netzwelt/web/ch-ngeme-diese-schule-verdient-den-preis-fuer-den-daemlichsten-umgang-mit-passwoertern-a-7447e0c0-2615-4572-b487-c83bd89946ee

[Sulvahir]

Das dürfte der Definition von "dreist" ziemlich nahe kommen...

 

[Ma Kai]

Am 27.8.2023 um 12:54 schrieb Sulvahir:

Das dürfte der Definition von "dreist" ziemlich nahe kommen...

 

Autsch. Ob es die $55k wert war, sich ausgerechnet diese Behörden rachsüchtig an die Fersen zu heften? 

[Sulvahir]

Stilllegung per Notverordnung:

Zitat

Abschaltbefehl: US-Behörden müssen Ivanti-Geräte vom Netz nehmen

In einer Notfallanordnung trägt die US-Cybersicherheitsbehörde betroffenen Stellen auf, in den nächsten Stunden zu handeln. Ivanti-Geräte sollen vom Netz.

In der Form und in dem Ausmaß und Eile ist das meines Wissens neu.

Bearbeitet 2. Februar von Sulvahir

[Solwac]

vor 8 Minuten schrieb Sulvahir:

Stilllegung per Notverordnung:

In der Form und in dem Ausmaß und Eile ist dass meines Wissens neu.

Ivanka Trump? Vor der wird gewarnt?

[Ma Kai]

vor 44 Minuten schrieb Sulvahir:

Stilllegung per Notverordnung:

In der Form und in dem Ausmaß und Eile ist dass meines Wissens neu.

Wow, das ist echt harter Tobak. 

Aber klar, wenn dadurch entsprechende Einbrüche möglich sind, dann ist das die Konsequenz. Da sollte es dieser Weisung nicht einmal bedürfen. 

[Nixonian]

Am 2.2.2024 um 17:20 schrieb Sulvahir:

Stilllegung per Notverordnung:

In der Form und in dem Ausmaß und Eile ist das meines Wissens neu.

Das scheint aber auch ein ziemliches Dumpster-Fire zu sein und nicht erst seit gestern. Darüber wurden offenbar in Norwegen Ministerien gehackt und das mit bugs mit CVSS: 10.

Und wenn man sich ansieht, was auf so einer Box läuft, dann wird man... naja, wenn man es positiv sieht, nostalgisch. https://infosec.exchange/@wdormann/111880313720252008 

Perl 5.6.1. von 2001 - ich hab damals glaube ich mit Perl 5.8 meine ersten (und nachdem ich gesehen habe, daß ich es nicht kann, letzten) Schritte bezüglich programmieren unternommen - irgendwann 2003 oder so. 

[Nixonian]

Also ich hab ja nix gesagt, wenn die deutsche Bundeswehr Webex generell als passendes System für Kommunikation sieht. Cisco ist berühmt für die ständigen Sicherheitslücken, die sehr nach Abschnorchelmöglichkeit aussehen, aber das ist eher meine persönliche Meinung. Und vielleicht auch ok für .de, sind immerhin NATO-Partner, auch wenn Angie gemeint hat "Abhören unter Freunden geht gar nicht".

Aber der Bericht bei Heise läßt mich schon fragen: Schaut so die "Cyber-Cyber"-Abwehr der Bundeswehr aus? Was machen die so beruflich?