Zum Inhalt springen

Sicherheitsupdates - Dummheit am Rechner


Empfohlene Beiträge

vor 42 Minuten schrieb Abd al Rahman:

Wenigstens trifft es diesmal vorwiegend Leute, die so unverantwortlich sind und ihren Rechner nicht zu aktualisieren. Find ich besser wie das Rootkit eines Botnetzes, das tatsächlich unbeteiligte attakiert. 

Wie geschrieben:
Das Problem ist die SMB-Schwachstelle, die innerhalb von LANs die Verbreitung ohne Zutun der Benutzer erlaubt. Es gibt Rechner, die bewusst zwar in LANs hängen, aber keinen Zugriff aufs Internet haben, weil sie ihn eigentlich nicht brauchen. Die laden dadurch aber auch keine automatischen Windows-Updates (falls der Admin sie nicht per LAN ausrollt).

Was tun? Diese Rechner auch alle ans Internet hängen? Damit geht die nächste Baustelle auf - und ich freu mich auf die ersten Info-Monitore, die gerne wegen Windows-Updates neu gestartet werden möchten. ;)

Link zu diesem Kommentar

Wenn der Admin sich entschieden hat, die Rechner nicht automatisch mit Updates zu versorgen (wofür es ja durchaus belastbare Gründe gibt), dann muss er einen alternativen Prozess einrichten/etablieren. Es gibt diverse Lösungen, die es erlauben Updates runter zu laden und dann offline zu verteilen.

An der Stelle sollte man nicht vergessen, dass die Lücke im März geschlossen wurde und die Infektionswelle erst 2 Monate später angefangen hat. Alle infizierten Rechner mit einem Windows nach XP dürften die SMB Lücke eigentlich nicht mehr haben. Die XP Fraktion an sich ist selbst schuld. Da gab es genug Vorlauf, den Dinosaurier in Rente zu schicken (auch bei großen Installationen oder harten Abhängigkeiten).

  • Like 1
Link zu diesem Kommentar

Problem:
Es braucht nur eine Person mit Mail-Adresse, die einmal nicht aufpasst und einen gefährlichen Anhang öffnet. Und dann will es nachher keiner gewesen.

"Ich nicht. Ich würde das nie tun. Das könnte auch jemand aus <ganz andere Abteilung> gewesen sein." :o

vor 44 Minuten schrieb Toro:

Wenn der Admin sich entschieden hat, die Rechner nicht automatisch mit Updates zu versorgen (wofür es ja durchaus belastbare Gründe gibt), dann muss er einen alternativen Prozess einrichten/etablieren. Es gibt diverse Lösungen, die es erlauben Updates runter zu laden und dann offline zu verteilen.

Ja, muss sich halt jemand mit auseinander setzen, der sich damit auskennt und Zeit dafür hat. :)

Link zu diesem Kommentar

Die Antivirus-Industrie schwankt ja zur Zeit zwischen grenzenlosem Jubel und sieht sich schon im Geld schwimmen anhand der vielen prominenten Gefahrenmeldungen und andererseits zeigt sich halt, daß die meisten Antiviren/Antimalware wahnsinnig viel erkennt, was heute keine Relevanz mehr hat, aber aktuelle Gefahren oft nicht einmal annähernd auswerten oder entschärfen kann. Oder noch schlimmer - machen das Problem noch ärger.

Sophos rudert zurück - nicht mehr "totally protected" sondern nur mehr "understands...needs" - ist ja auch blöd, wenn die "total protection" zu einem nie dagewesenen Securitydesaster bei einem Dienst beiträgt, wo es um Leben und Tod geht.

Dazu paßt dann auch, daß die "killswitch-Domain" von manchen Malware-Scannern als "gefährlich" eingestuft wird und damit erfolgreich verhindert, daß Wannacry sich deaktiviert....

Link zu diesem Kommentar

@dabba: Natürlich muss sich dann jemand vorsätzlich damit beschäftigen und natürlich ist das eine ungeliebte Routine, völlig richtig aber nicht zu ändern. Passiert da nichts, braucht am Ende keiner über die Konsequenzen/Folgen zu heulen.

 

  • Like 2
Link zu diesem Kommentar
vor 20 Stunden schrieb dabba:

Wie geschrieben:
Das Problem ist die SMB-Schwachstelle, die innerhalb von LANs die Verbreitung ohne Zutun der Benutzer erlaubt. Es gibt Rechner, die bewusst zwar in LANs hängen, aber keinen Zugriff aufs Internet haben, weil sie ihn eigentlich nicht brauchen. Die laden dadurch aber auch keine automatischen Windows-Updates (falls der Admin sie nicht per LAN ausrollt).

Was tun? Diese Rechner auch alle ans Internet hängen? Damit geht die nächste Baustelle auf - und ich freu mich auf die ersten Info-Monitore, die gerne wegen Windows-Updates neu gestartet werden möchten. ;)

WSUS ist das Zauberwort

Link zu diesem Kommentar
Am 16.5.2017 um 10:57 schrieb Toro:

An der Stelle sollte man nicht vergessen, dass die Lücke im März geschlossen wurde und die Infektionswelle erst 2 Monate später angefangen hat. Alle infizierten Rechner mit einem Windows nach XP dürften die SMB Lücke eigentlich nicht mehr haben. Die XP Fraktion an sich ist selbst schuld. Da gab es genug Vorlauf, den Dinosaurier in Rente zu schicken (auch bei großen Installationen oder harten Abhängigkeiten).

Für 2003 gab es auch keinen Patch, der wurde, genau wie für XP erst nach dem Ausbruch zur Verfügung gestellt.

Ja, in der Theorie gibt es natürlich gar keinen Grund, ein System nicht upzudaten bzw. upzugraden. In der Praxis sieht das aber doch anders auch.

Die Telefonanlage, die Appliance, der NTP-Server mit DCF77-Empfänger, all das sind Systeme, die man nicht mal eben so auf ein neues OS hebt.

Link zu diesem Kommentar
vor 24 Minuten schrieb Abd al Rahman:

Wir reden von XP und nicht von mal eben. 

Wenn mein Auto nicht mehr verkehrssicher ist, darf ich damit auch nicht mehr auf die Straße. 

Ob der Vergleich passt?

De facto ist Windows XP ja nicht durch Verschleiß verkehrsunsicher geworden.

Es war vielmehr schon am Tage der Auslieferung verkehrsunsicher.

Vermutlich dürfte ein Autohersteller, dem man ständig nachwerist, dass er von Anfang an verkehrsunsichere Autos baut, irgendwann einmal einfach keine Zulassungen für seine Modelle mehr bekommen. Erst recht, wenn er sich irgendwann einmal weigern würde, die von ihm eingebauten Fehler zu beheben.

Der Vergleich hinkt, weil es offenbar völlig unrealistisch ist, größere Software-Pakete ohne Sicherheitsmängel auf den Markt zu bringen. Daher kann man an Software-Hersteller nicht die gleichen Maßstäbe anlegen, wie an Auto-Hersteller.

Aber wenn der Vergleich für die Anbieter nicht passt, dann ist er vielleicht auch für die Kunden unangebracht.

Link zu diesem Kommentar

Autovergleiche hinken eigentlich immer.

Trotzdem sollte man dafür sorgen, schon aus Eigeninteresse, dass man mit einem sicheren OS ins Netz geht. XP ist nicht mehr supportet und sollte deshalb nicht mehr genutzt werden. Du kannst ja jederzeit ein neues OS installieren oder installieren lassen.
Wenn dein Auto kaputt ist lässt du es ja auch reparieren.

Link zu diesem Kommentar
Gerade eben schrieb draco2111:

Autovergleiche hinken eigentlich immer.

Trotzdem sollte man dafür sorgen, schon aus Eigeninteresse, dass man mit einem sicheren OS ins Netz geht. XP ist nicht mehr supportet und sollte deshalb nicht mehr genutzt werden. Du kannst ja jederzeit ein neues OS installieren oder installieren lassen.
Wenn dein Auto kaputt ist lässt du es ja auch reparieren.

Erstens: Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen, zumindest nicht ins Internet. Solche Systeme wurden von anderern Systemen, die ins Internet gehen infiziert.

Zweitens: Man kann eben nicht auf jedem System jederzeit ein neues OS installieren. Wir reden hier nicht vom PC, sondern von Appliances mit einem PC-Betriebssystem. Die Telefonanlage bei einem meiner vorherigen Arbeitgeber lief noch lange mit NT 3.51, natürlich ging damit niemand ins Internet, aber ein anderer infizierter Rechner hätte sie infizieren können.

Link zu diesem Kommentar
vor 12 Minuten schrieb Widukind:

Erstens: Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen, zumindest nicht ins Internet. Solche Systeme wurden von anderern Systemen, die ins Internet gehen infiziert.

Zweitens: Man kann eben nicht auf jedem System jederzeit ein neues OS installieren. Wir reden hier nicht vom PC, sondern von Appliances mit einem PC-Betriebssystem. Die Telefonanlage bei einem meiner vorherigen Arbeitgeber lief noch lange mit NT 3.51, natürlich ging damit niemand ins Internet, aber ein anderer infizierter Rechner hätte sie infizieren können.

Da muss man sich dann eben entscheiden, ob man mit dem Risiko leben möchte oder nicht. Solche Geräte stellen dann eine Gefahr für sich und evtl. andere dar.

Wenn die Geräte in einem Netz hängen, welches auch Zugang zum Internet hat dann sind die Systeme gefährdet. Ob man damit jetzt surft oder nicht.

Link zu diesem Kommentar

Wenn sich jemand, aus welchen Gründen auch immer, entscheidet ein veraltetes System weiter laufen zu lassen, muss er mit den Konsequenzen leben. Da gibt es überhaupt keine Ausreden. Windows XP wurde 2001 veröffentlicht und sollte bis 2011 Support/Patches erhalten. M$ hat mehrfach einen Aufschub gewährt, bevor 2014 der Support endgültig eingestellt wurde. Das war ein Sterben mit mehrfacher Ankündigung.

Wo auch immer man XP im Einsatz hatte, hatte man als Normalo quasi 3 Jahre Sonderfrist, zur Findung angemessener Nachfolgelösungen. Das ist ein komfortabel langer Zeitraum. Auch für ungewöhnliche Lösungen. Für nicht Normalos (ließ große oder reiche Firmen) kann man bei M$ extend Support (für seriös viel Geld) kaufen, um die Systeme trotzdem weiter am Laufen zu halten. Wenn ich mich recht erinnere gingen da nochmal 2 Jahre extra, da bin ich mir aber nicht sicher.

Ja, natürlich gibt es langlebige System/Maschinen, die noch mit XP laufen und ihre erwartete Lebensdauer noch nicht erreicht haben. Das gleich hatten wir aber auch schon bei Windows NT und Windows 2000. Es ist definitiv möglich, alle diese Maschinen in einem separaten Netz (physikalisch oder virtuell) zu isolieren und die notwendigen Datenströme über einen Proxy zu realisieren. Alleine schon wegen der Zugriffskontrolle wäre das Sinnvoll, damit nicht jeder auf den Kisten rumpfuschen kann (wenn sie schon so wichtig sind).

@Widukind: Das Argument "Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen" hält, imho, einer Betrachtung nicht Stand. Die Systeme waren in einem gemischten Netzwerk (zusammen mit Systemen die für INet Zugang vorgesehen sind) und sind damit prinzipiell erreichbar. Wie bei WannaCry, durch einen benachbarten Rechner, der Zugriff auf das INet hat. Die Wurm Strategie ist ja jetzt nicht wirklich neu.

  • Like 1
Link zu diesem Kommentar
vor 5 Minuten schrieb Toro:

....

@Widukind: Das Argument "Mit den betroffenen System wollte ja gar keiner "ans Netz" gehen" hält, imho, einer Betrachtung nicht Stand. Die Systeme waren in einem gemischten Netzwerk (zusammen mit Systemen die für INet Zugang vorgesehen sind) und sind damit prinzipiell erreichbar. Wie bei WannaCry, durch einen benachbarten Rechner, der Zugriff auf das INet hat. Die Wurm Strategie ist ja jetzt nicht wirklich neu.

Da die Infektion allein durch SMB stattfinden konnte, war auch ein virtuell getrenntes Netz, das z.B. nur SMB durch die Firewall lässt, eben kein Schutz. Und das ist der Grund, warum der Wurm in bestimmten Bereichen so "erfolgreich" war.

Link zu diesem Kommentar

Weiter oben habe ich nicht von einer Firewall geredet sondern von einem Proxy und das auch nur im Kontext spezieller Konfigurationen wie Maschinensteuerung, etc..

Der Wurm war so erfolgreich, weil Leute die Entscheidung getroffen haben ein Risiko einzugehen. Die Verwendung eines nicht mehr unterstützten Betriebssystem. In diesem Fall hat es sich halt nicht ausgezahlt.

An der Stelle aber mal die Frage, warum jeder Rechner in einem Büro Dateifreigaben anbieten muss (als Server agiert)? Das würde mich tatsächlich interessieren. Persönlich finde ich das immer praktischer, wenn es eine zentrale Stelle für den Dateiaustausch gibt. 

Link zu diesem Kommentar
vor 17 Minuten schrieb Toro:

Weiter oben habe ich nicht von einer Firewall geredet sondern von einem Proxy und das auch nur im Kontext spezieller Konfigurationen wie Maschinensteuerung, etc..

Der Wurm war so erfolgreich, weil Leute die Entscheidung getroffen haben ein Risiko einzugehen. Die Verwendung eines nicht mehr unterstützten Betriebssystem. In diesem Fall hat es sich halt nicht ausgezahlt.

An der Stelle aber mal die Frage, warum jeder Rechner in einem Büro Dateifreigaben anbieten muss (als Server agiert)? Das würde mich tatsächlich interessieren. Persönlich finde ich das immer praktischer, wenn es eine zentrale Stelle für den Dateiaustausch gibt. 

Weil es der einfachste Weg ist, an Dateien eines Rechners, an dem niemand sitzt, heranzukommen.

Zum Beispiel die Logdateien der Telefonanlage. (Aus diesem Grund sind mir im Appliance-Bereich Systeme, die auf Linux basieren lieber, die kann man meist überrreden, ihre Daten per rsyslogd rauszusenden.)

Link zu diesem Kommentar
  • 2 Monate später...

1. Akt: T-systems baut ein neues Ticketsystem

2. Akt: Budapest zahlt Millionen dafür

3. Akt: Jeder und sein Hund hat Spaß mit den Sicherheitslücken, denn die Software wurde offenbar von einem Anfänger an einem Nachmittag zusammengetippt. Der Passwort für Admin-User heißt "adminadmin"  und mit URL-rewriting kann man sehen, was ein anderer für Tickets gekauft hat. Höhepunkt: Ein 18-jähriger kommt drauf, wie er durch Veränderung des Preises im Frontend offenbar den Preis im Backend ändern kann :silly: Der gibt das bekannt, damit man diese Lücke schließe

4. Akt: Der wird verhaftet. Grund "policy reasons" bei T-sys und die Verkehrsbetriebe rühmen sich zuerst auch noch, einen phiesen leet haxor erwischt zu haben.

Zum Nachlesen im Standard

  • Like 1
Link zu diesem Kommentar
Am 24.7.2017 um 20:52 schrieb Nixonian:

1. Akt: T-systems baut ein neues Ticketsystem

2. Akt: Budapest zahlt Millionen dafür

3. Akt: Jeder und sein Hund hat Spaß mit den Sicherheitslücken, denn die Software wurde offenbar von einem Anfänger an einem Nachmittag zusammengetippt. Der Passwort für Admin-User heißt "adminadmin"  und mit URL-rewriting kann man sehen, was ein anderer für Tickets gekauft hat. Höhepunkt: Ein 18-jähriger kommt drauf, wie er durch Veränderung des Preises im Frontend offenbar den Preis im Backend ändern kann :silly: Der gibt das bekannt, damit man diese Lücke schließe

4. Akt: Der wird verhaftet. Grund "policy reasons" bei T-sys und die Verkehrsbetriebe rühmen sich zuerst auch noch, einen phiesen leet haxor erwischt zu haben.

Zum Nachlesen im Standard

noch zwei Anmerkungen: T-Systems Ungarn gehört nicht zu T-Systems International, sondern zur Magyar Telekom, an der die Deutsche Telekom Anteile (nicht alle) hält.

Der Chef von T-Systems Ungarn möchte sich dafür einsetzen, dass die ungarischen GEsetze dahingehend geändert werden, dass jemand, der eine Sicherheitslücke aufdeckt, dafür nicht bestraft wird.

Link zu diesem Kommentar
  • 5 Monate später...

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...