Hi,
wenn ich soetwas lese, frage ich mich ob es sich hierbei wirklich um
eine Sicherheitslücke handelt!?
http://www.spiegel.de/netzwelt/web/trojaner-flame-so-arbeitet-der-virus-a-835652.html
Anscheinden wurde auf Rechnern im Nahen Osten Spionageviren gefunden,
welche "sehr komplex" waren und die Überwachung des Arbeitsplatzes und
des gesamten Netzwerkes zuließen.
Wenn es wirklich ein so hoch technologisierter Virus ist, und wenn er
wirklich nur gezielt auf Computern im Nahen Osten aktiviert werden kann,
dann liegt doch die Vermutung nahe, dass es ein Geheimdienst einer
"selbsternannten Weltpolizei" ist, die diesen Virus programmiert hat!?
Und wenn das alles so stimmt, wieso gehen die Fachleute dann davon aus,
dass es sich um eine Sicherheitslücke handelt, die dem Virus Zutritt auf
die entsprechenden PCs gewährt hat. Wer sowas macht, hat doch auch
sicher Mittel und Wege seine eigene Hintertür in ein (Non-OpenSource) OS
zu integrieren, oder etwa nicht?
Ich würde hier vermuten dass MS bewußt entsprechende Funktionen im OS
integriert hat, wäre doch plausibel?
Oder aber es ist ein genialer Werbestreich von Kaspersky, eine Firma die
soetwas heraus findet muss ja ein gutes Produkt auf dem Markt haben...
Was nun wirklich stimmt? ...man weiß es nicht!....
jedenfalls denke ich nicht, dass solche Sicherheitslecks zufällig
gefunden werden...
Jeffrey Lebowski schrieb:> Ich würde hier vermuten dass MS bewußt entsprechende Funktionen im OS> integriert hat, wäre doch plausibel?> [bla]> jedenfalls denke ich nicht, dass solche Sicherheitslecks zufällig> gefunden werden...
Natürlich kannst du auch begründen, warum es so unglaublich plausibel
ist...
Jeffrey Lebowski schrieb:> Ich würde hier vermuten dass MS bewußt entsprechende Funktionen im OS> integriert hat, wäre doch plausibel?
Möglich, ja. Plausibel, nein. Warum nicht plausibel? Auf der Welt gibt
es jede Menge Experten, die sich mit nichts anderem beschäftigen, als
solche Lücken und Backdoors zu finden. Früher oder später würde es
auffallen, nur eine Frage der Zeit. Dann gäbe es Geschrei und
Imageschaden.
Die Überschrift müßte eigentlich lauten: "Sicherheit von
Betriebssystemen". Denn keines davon ist frei von Sicherheitslücken.
Wenn einer wirklich eindringen will, hat er bei Linux dank des offenen
Quelltextes sogar leichteres Spiel. Bei Apple auch, weil die der Meinung
sind, sie können bekannte Lücken monate- oder gar jahrelang ungepatcht
lassen, weil sich Hacker sowieso nicht für Macs interessieren.
Wäre ich ein international tätiger Geheimdienst, und würde in meinem
Land der weltgrößte Softwareherstelle (von Betriebssystemen) seinen Sitz
haben, dann würde ich zumindest versuchen mit ihm eine Übereinkunft zu
treffen.
Da würde ich ihm dann auch ne hand voll Dollar als Steuerersparnis
erlassen.
Für den Geheimdienst wäre soetwas doch eine sehr einfache und elegante
Art in PCs und Netzwerke eindringen zu können, und für den
Softwarehersteller würde sich soetwas als finanzieller Erlaß möglicher
Weise auch rentieren....
Fernab von Verschwörungstheorieren sehe ich hier zumindest die *mögliche
Grundlage* einer Zusammenarbeit!
Icke ®. schrieb:> Wenn einer wirklich eindringen will, hat er bei Linux dank des offenen> Quelltextes sogar leichteres Spiel.
Eher bedingt richtig, da Lücken ja auch von "den guten" schneller
gefunden werden bzw. Patches schneller eingepflegt werden können.
Icke ®. schrieb:> Bei Apple auch, weil die der Meinung> sind, sie können bekannte Lücken monate- oder gar jahrelang ungepatcht> lassen, weil sich Hacker sowieso nicht für Macs interessieren.
Wohl wahr, Apple ruht sich erstaunlich lang darauf aus, dass deren OS
schlicht ein uninteressantes Ziel ist und wirbt auch noch damit, dass es
angeblich sicherer als Windows sei.
OK, da hat Icke insofern recht, als dass der Imageschaden bei der
Aufdeckung einer solchen Lücke Katastrophal wäre.
Voraus gesetzt man könnte nachweise, dass diese Lücke beabsichtig war.
Bei Linux sehe ich dieses Problem nicht, durch OpenSource gibt es
"genügend" Fachkräfte die Sicherheitslücken erkennen und beheben können.
Edit:
versteht mich nicht falsch, ich will niemanden was unterstellen, aber
ich denke bei dieser Paranoia die wir in so manchem Land haben, ist
nahezu jeder käuflich, es kommt eben auf den Preis an....
Jeffrey Lebowski schrieb:> Wäre ich ein international tätiger Geheimdienst, und würde in meinem> Land der weltgrößte Softwareherstelle (von Betriebssystemen) seinen Sitz> haben, dann würde ich zumindest versuchen mit ihm eine Übereinkunft zu> treffen.
Das wäre jedenfalls hochgradig illegal, denn die Gesetze so ziemlich
jeden abendländischen Staates verbieten pauschale Abhöraktionen ohne
gerichtliche Anordnung. Denk nur dran, was hierzulande wegen des
Bundestrojaners los war.
> Bei Linux sehe ich dieses Problem nicht, durch OpenSource gibt es> "genügend" Fachkräfte die Sicherheitslücken erkennen und beheben können.
Ich denke nicht, daß Microsoft wartet, bis jemand eine Lücke findet und
erst dann darauf reagiert. Die haben weiß Gott ebenfalls genügend
Personal. Die Reaktionszeiten sind allerdings länger, weil jeder Patch
zunächst ausgiebig auf Nebenwirkungen getestet werden muß. Ein paar
befallene Systeme sind wohl das geringere Übel als ein Ausfall von
Millionen produktiv genutzter.
Mittlerweile sind alle aktuellen Betriebssysteme derartig komplex, daß
sie von keinem einzelnen Programmierer mehr in vertretbarer Zeit
überschaut werden können. Dies erhöht natürlich das Risiko unentdeckter
Lücken, unabhängig vom OS.
Icke ®. schrieb:> Früher oder später würde es auffallen, nur eine Frage der Zeit.
Ja, das sehe ich auch so...
> Dann gäbe es Geschrei und Imageschaden.
Geschrei? Imageschaden? Eher nicht. Dazu müßte erst mal jemand beweisen
können, daß die betreffende "Lücke" vorsätzlich eingebaut wurde. Das
dürfte bei closed source nicht ganz leicht fallen.
Wenn du wirklich wissen willst, wie man große Schweinereien und
Schlimmeres eiskalt durchzieht, dann sieh dir die aktuelle Presse zu
Syrien an: Gestern waren es noch 100 Tote durch Panzer und Artillerie,
heute sind sie plötzlich mit Kleinwaffen "hingerichtet".
Und gleichzeitig sickert durch, daß die Amis sich die Finger nicht
schmutzig machen wollen, aber im Hintergrund die Fäden ziehen, daß ihre
lokalen Kettenhunde den "Rebellen" genug von diesen Kleinwaffen
liefern...
Man beschwört die Menschenrechte und bastelt angestrengt am Casus belli;
gleichzeitig wäschtman seine Hände in Ozeanen von Unschuld. Das Massaker
von Racak läßt grüßen.
Die Methode läßt sich leicht abgewandelt auch im Bereich Software
nutzen. Lügen, Täuschen und Verdecken sind universale Fähigkeiten und
Verteidiger haben es immer schwerer, als Angreifer. Erstere wollen etwas
schützen, letztere zerstören. Zerstören kann wirklich jeder Trottel.
> Wenn einer wirklich eindringen will, hat er bei Linux dank des offenen> Quelltextes sogar leichteres Spiel.
Da hast du recht. Nur wenn dort sowas auffliegt, dann ist Beweisführung
i.d.R. einfacher, als bei closed source.
Jeffrey Lebowski schrieb:> Da würde ich ihm dann auch ne hand voll Dollar als Steuerersparnis> erlassen.
Bill Gates ist kein Nobody. Der läßt sich nicht mit ein paar
Steuergeschenken irgendwas "abringen".
Der Herr ist Teil des Apparates und die Geheimdienste arbeiten eher für
ihn, als er für sie.
Icke ®. schrieb:> Das wäre jedenfalls hochgradig illegal, denn die Gesetze so ziemlich> jeden abendländischen Staates verbieten pauschale Abhöraktionen ohne> gerichtliche Anordnung.
Na ja, guck dir die Geschichte der Geheimdienste an und du wirst merken,
daß die es damit nicht immer so furchtbar genau genommen haben.
Im Übrigen brauchen sie sich nur das Root-Zertifikat zu verschaffen über
das die M$ / Apple etc. pp. Systemupdates authentifiziert werden und sie
haben völlig Handlungsfreiheit.
Ganz zu schweigen davon, daß Beweisführung so gut wie unmöglich ist...
Und das eine hat mit dem anderen genau was zu tun? Ist nun auch davon
auszugehen, dass MacOS und SUSE ebenfalls Hintertüren enthalten (da sie
ja selbst mit Novell zusammenarbeiteten und man ja ungeachtet des Open
Source-Status zumindest versuchen kann, Hintertüren einzuschmuggeln)?
vn nn schrieb:> Und das eine hat mit dem anderen genau was zu tun? Ist nun auch davon> auszugehen, dass MacOS und SUSE ebenfalls Hintertüren enthalten
Willst du jetzt etwa eine endgültige Antwort? Die wirst du dir selbst
geben müssen...
Ihr vergleicht schlampig konfigurierte Windows mit
Experten-konfiguriertem Linux. Ohne gravierende Fehler auf Nutzerseite
wäre auch der neue Virus nicht weit gekommen. Aber Deppen gibts auch bei
Linux! Und Mac (extrem hohe Deppendichte).
Wieso Microsoft nun mit der NSA kollaboriert und die USA dahinter
stecken, weiß der Geier. Das gleiche könnte man auch auf andere
Geheimdienste Münzen. Scheut Euch doch mal die Chinesen an! Wenn es
einer mit der Missachtung intellektueller Werte und Online-Spionage hat,
dann China! Wieso also jetzt die USA? Nur weils im Nahen Osten ist?
Vielleicht gibt es die Äquivalente davon auch im Westen und da sind sie
noch unentdeckt? Vielleicht hat sich der Virus anders verbreitet als
geplant? Vielleicht laufen im Nahen Osten einfach sehr viele lausig
konfigurierte Systeme und das Sichereitsbewusstsein ist gering? Wer
weiß, wer weiß. Aber wenn man seinen Antiamerikanismus und Judenhass mal
loswerden muss, dann nimmt man natürlich jeden Aufhänger.
j. c. schrieb:> Ohne gravierende Fehler auf Nutzerseite wäre auch der neue Virus nicht> weit gekommen.
Woher nimmst du den Optimismus?
> Aber Deppen gibts auch bei Linux! Und Mac (extrem hohe Deppendichte).
Bescheidenheit ist eine Zier, doch besser geht es ohne ihr - oder wie,
lieber Herr Jesus?
> Wieso Microsoft nun mit der NSA kollaboriert und die USA dahinter> stecken, weiß der Geier.
Junge, bist du naiv. Ein Heiligenschein ersetzt halt kein Gehirn...
Uhu Uhuhu schrieb:> j. c. schrieb:>> Ohne gravierende Fehler auf Nutzerseite wäre auch der neue Virus nicht>> weit gekommen.>> Woher nimmst du den Optimismus?
Windows führt weder Emailanhänge noch USB Sticks standardmäßig aus, wenn
korrekt konfiguriert.
>>> Aber Deppen gibts auch bei Linux! Und Mac (extrem hohe Deppendichte).>> Bescheidenheit ist eine Zier, doch besser geht es ohne ihr - oder wie,> lieber Herr Jesus?
Nö. Setz Dich in einen Starbucks, schau was die Leute auf ihren Macs so
treiben und Du wirst mich verstehen. Sicherheitsfanatiker sehen anders
aus.
>>> Wieso Microsoft nun mit der NSA kollaboriert und die USA dahinter>> stecken, weiß der Geier.>> Junge, bist du naiv. Ein Heiligenschein ersetzt halt kein Gehirn...
Eine sehr konkrete, gut argumentierte Aussage. Das hat mich jetzt aber
überzeugt, dass die Amis dahinter stecken! Danke für die
Hintergrundinfos!
j. c. schrieb:> Windows führt weder Emailanhänge noch USB Sticks standardmäßig aus, wenn> korrekt konfiguriert.
Und du meinst, es gäbe keine anderen Einfallsmöglichkeiten?
Die aller simpelste: du vertraust einem Arbeitskollegen, nimmst von ihm
z.B. eine projektbezogene pdf-Datei, öffnest die und rums... Der Junge
war nämlich entweder ein Uboot, oder ihm wurde das Teil selbst
untergeschoben.
Nennt sich social engineering...
Dazu kommt, daß dir Virenscanner bei solchen Spezialanfertigungen mit
hoher Wahrscheinlichkeit keinen Alarm geben - weil sie weder die
Schadsoftware, noch die Lücke kennen, durch die so ein Ding
reinflutscht.
> Nö. Setz Dich in einen Starbucks, schau was die Leute auf ihren Macs so> treiben und Du wirst mich verstehen. Sicherheitsfanatiker sehen anders> aus.
Es geht hier nicht um Spielmatze bei Starbucks. Flame ist kein Virus um
Oma Frida abzuzocken, sondern es ist von Geheimdiensten entwickelt und
zielgenau in die Welt gesetzt, denen es um ganz was anderes, als um
Omas Notgroschen geht.
Geht dir jetzt langsam ein Licht auf?
Uhu Uhuhu schrieb:> Und du meinst, es gäbe keine anderen Einfallsmöglichkeiten?>> Die aller simpelste: du vertraust einem Arbeitskollegen, nimmst von ihm> z.B. eine projektbezogene pdf-Datei, öffnest die und rums... Der Junge> war nämlich entweder ein Uboot, oder ihm wurde das Teil selbst> untergeschoben.>> Nennt sich social engineering...
Und wenn der PDF-Reader von Nutzern, die nicht auf den Kopf gefallen
sind, nicht als Admin ausgeführt wird, ist es in 99,x% der Fälle kein
Problem. Gratuliere. Andernfalls hättest du unter jedem anderen System
mit den selben Problemen zu kämpfen. Fast ein reines Nutzerproblem eben.
Zumal der PDF-Reader ebenfalls eine Lücke aufweisen müsst. Du müsstest
also sowohl Adobe als auch Microsoft schmieren, um erstens Schadcode
durch ein PDF einschleusen zu können und zweitens mehr machen zu können,
als dem aktuellen User lustige Fenster anzuzeigen, und dann auch noch
hoffen, dass das ja keiner von den Jungs ausplaudert. Und dann willst du
dich im lokalen Netzwerk auch noch irgendwie verbreiten.
Uhu Uhuhu schrieb:> Dazu kommt, daß dir Virenscanner bei solchen Spezialanfertigungen mit> hoher Wahrscheinlichkeit keinen Alarm geben - weil sie weder die> Schadsoftware, noch die Lücke kennen, durch die so ein Ding> reinflutscht.
Auf Virenscanner würde ich auch so nicht vertrauen.
Icke ®. schrieb:> Das wäre jedenfalls hochgradig illegal, denn die Gesetze so ziemlich> jeden abendländischen Staates verbieten pauschale Abhöraktionen ohne> gerichtliche Anordnung.
So optimistisch wäre ich auch gerne.
Auf Basis des PATRIOT Act sind in den USA Telefon- und
Internet-Überwachung auch offiziell ohne richterliche Anordnung möglich.
Abkommen wie ACTA und deren Verwandte inklusive Vorgeschichte zeigen
eine deutliche Intention, Filtermassnahmen und eigentlich rechtliche
Schritte möglichst auch ohne staatliche Intervention auf die Provider zu
verlagern. Andere Gesetze stellen Provider rechtlich frei, wenn sie in
staatlichem Interesse möglicherweise illegal handeln.
Insgesamt entwickelt sich das Bild einer Entwicklung hin zu
Privatisierung von Kontroll- und Abhörmassnahmen, gegen die Rechtsmittel
mangels Angriffspunkten entweder nicht existieren, oder eine
Beweislastumkehr enthalten, d.h. erforderlicher selbst zu erbringender
Unschuldsbeweis, andernfalls reicht die Anschuldigung für eine effektive
Verurteilung.
Apart war die Idee der Franzosen im Zusammenhang mit Hadopi, die Kunden
von Internetanschlüssen zur freiwilligen Installation von
Schnüffelsoftware zu bewegen, weil andernfalls dieser Unschuldsbeweis
kaum möglich sei. Und dieser ohnehin nichts aufschiebt, d.h. die Strafe
(d.h. Sperre) würde auch bei später bewiesener Unschuld vorher
abgesessen.
Das ist zwar teilweise im Fluss, zeitweise auf Eis oder auch mal
teilweise abgeleht, aber die Tendenz hin zu einer Kontrollgesellschaft
ist erkennbar, in der traditionelle Grenzen staatlicher
Überwachungsbefugnisse entweder direkt aufgeweicht, oder durch
Privatisierung ersetzt werden.
Bis sich eine Gesellschaft rechtlich auf Veränderungen eingestellt hat
kann viel Zeit vergehen. Es hat Jahrhunderte gedauert, bis sich das
heutige System von Presse- und Redefreiheit eingespielt hatte. Wollen
wir hoffen, dass es bei elektronischer Kommunikation nicht ebenso lang
dauert.
So, regt Euch ab, die USA warns nicht, sondern Israel. Glückwunsch an
alle. Die Israelis haben ihre Daten, Kaspersky den Fame und Uhu&Co die
Bestätigung ihrer Vorurteile.
vn nn schrieb:> Und wenn der PDF-Reader von Nutzern, die nicht auf den Kopf gefallen> sind, nicht als Admin ausgeführt wird, ist es in 99,x% der Fälle kein> Problem.
Schon mal was von Zero Day Explots gehört? Nein?
A. K. schrieb:> Insgesamt entwickelt sich das Bild einer Entwicklung hin zu> Privatisierung von Kontroll- und Abhörmassnahmen,
Wie im Kriegshandwerk und der Gefängnisindustrie auch...
> d.h. erforderlicher selbst zu erbringender Unschuldsbeweis,
Der nicht zu erbringen ist. Oder beweise mal jemand, daß er vor 20
Sekunden nicht an ein Nilpferd gedacht hat...
j. c. schrieb:> So, regt Euch ab, die USA warns nicht, sondern Israel.
Oh je. Glaubst du im Ernst, daß ausgerechnet die auf eigene Rechnung
arbeiten? Ohne die regelmäßigen Milliardenüberweisungen aus Amiland wäre
Israel schon vor Jahrzehnten noch viel bankrotter gewesen, als
Griechenland es sein wird, wenn es aus dem Euro rausfliegt...
vn nn schrieb:> Und wenn der PDF-Reader von Nutzern, die nicht auf den Kopf gefallen> sind, nicht als Admin ausgeführt wird, ist es in 99,x% der Fälle kein> Problem.
Es gibt einen bizarren Wettstreit zwischen Sicherheitsbestrebungen und
Bequemlichkeit. Einige Software, wie etwa Google Chrome, installiert
sich nicht dorthin, wo sie eigentlich hingehört (z.B. C:\Programme),
sondern in den Bereich für Benutzerdaten (C:\Dokumente und
Einstellungen\ak\...). Weil sie dorthin jeder User auch ohne
Administrationsrecht installieren kann. Die Kehrseite ist, dass diese
Software dann auch ohne Administrationsrecht durch jede Anwendung
angreifbar wird.
j. c. schrieb:> So, regt Euch ab, die USA warns nicht, sondern Israel. Glückwunsch an> alle. Die Israelis haben ihre Daten, Kaspersky den Fame und Uhu&Co die> Bestätigung ihrer Vorurteile.
Ja, nee is klar:
Hier mal ein Zitat der Microsoft-Israel Webseite:
"Welcome
to Microsoft Israel Research & Development Center, one of Microsoft’s
three strategic Global Development Centers and home to some of the
company's most exciting and innovative technologies. Led by Corporate
Vice President Moshe Lichtman, the center is comprised of incubations
and core product efforts in the areas of Telecom, Security, Online
Services and Entertainment."
Die wussten sicher, wie man sowas anstellt. Und wenn irgendwelche
Backdoors eingebaut wurden, sassen die direkt an der Quelle.
Die Frage ist eher, ob die Amies davon wussten, aber warum sollen die es
nicht gewusst haben?
Die Amerikaner haben ein massives Interesse daran, dass die Israelis im
Nahen Osten nicht ausflippen. Wenn es eine Schwachstelle in Windows
bedarf, um die Israelis ruhig zu halten, werden die Israelies die
einbauen dürfen und die Amies werden denen helfen.
Und zu glauben Microsoft würde ihrer Regierung nicht sofort helfen, wenn
so eine Anfrage gestellt würde, ist schon recht blauäugig.
Eigentlich stellt sich eher die Frage, wieso Microsoft Produkte bei
deutschen Behörden überhaupt noch verwendet werden dürfen.
Gruss
Axel
Uhu Uhuhu schrieb:> Schon mal was von Zero Day Explots gehört? Nein?
Ändert nichts daran, dass eine Schwachstelle im PDF-Reader ohne
Adminrechte ziemlich uninteressant ist. Aber das lernt man ja im Wald
nicht. Da wirft man nur mit Ausdrücken umher, die man mal irgendwo
aufgeschnappt hat, auch wenn sie gar nicht in den Kontext passen.
A. K. schrieb:> Die Kehrseite ist, dass diese> Software dann auch ohne Administrationsrecht durch jede Anwendung> angreifbar wird.
Aber selbst immer noch nicht fähig ist, tief in das System einzudringen.
Und ein Admin, der sowas macht, kann getrost als unfähig bezeichnet
werden, womit wir wieder bei
Beitrag "Re: Sicherheit von Windows" wären.
vn nn schrieb:> Ändert nichts daran, dass eine Schwachstelle im PDF-Reader ohne> Adminrechte ziemlich uninteressant ist.
Tja, Sicherheitslücken zeichnen sich gerade dadurch aus, daß sie sich
nicht so verhalten, wie man das eigentlich erwartet - sonst wären sie
keine Lücken im Sicherheitskonzept.
Ein echter Schlaukopf, wird jetzt natürlich erwidern, daß nicht sein
kann, was nicht sein darf... Der Glaube stirbt eben zuletzt.
Die Kasperski-Leute haben jedenfalls festgestellt, daß Flame sich auch
in einem vollständig gepatchten System unbemerkt festsetzen kann. Daß
der User gebeten werden muß, Adminrechte zu geben, ist da wohl eher
nicht zu erwarten...
Axel Laufenberg schrieb:> Und zu glauben Microsoft würde ihrer Regierung nicht sofort helfen, wenn> so eine Anfrage gestellt würde, ist schon recht blauäugig.
Dagegen spricht, dass in dieser Dimension Geld vor Patriotismus
rangiert. Also finanzielle Interessen Vorrang haben, selbst bei einem
Risiko von schwerem Schaden für die eigene Gesellschaft. Das Verhalten
von Banken und Hedgefonds spricht da Bände.
Dementsprechend würde ich eine allzu bereitwillige Kooperation durch
Microsoft nicht gleich als gegeben annehmen, denn deren kommerzielles
Risiko durch beweisbare Mitwirkung wäre beträchtlich.
Uhu Uhuhu schrieb:> vn nn schrieb:>> Ändert nichts daran, dass eine Schwachstelle im PDF-Reader ohne>> Adminrechte ziemlich uninteressant ist.>> Tja, Sicherheitslücken zeichnen sich gerade dadurch aus, daß sie sich> nicht so verhalten, wie man das eigentlich erwartet - sonst wären sie> keine Lücken im Sicherheitskonzept.>> Ein echter Schlaukopf, wird jetzt natürlich erwidern, daß nicht sein> kann, was nicht sein darf... Der Glaube stirbt eben zuletzt.
Und doch erklärt dein wunderbarer Schwachsinn eben immer noch nicht, was
eine Sicherheitslücke in Anwendersoftware großartig ausrichten soll,
wenn keinerlei Adminrechte vorhanden sind (oder über eine weitere Lücke
in der Rechteverwaltung des Betriebssystems beschafft werden können,
womit wir wieder bei den 0,x% Restrisiko wären, wo beides zusammentrifft
und auch über längere Zeit erfolgreich genutzt werden kann).
Was es mit Glauben zu tun hat, dass eine simple Lücke in
Anwendersoftware dank der Rechteverwaltung heutiger Systeme keine
gröberen Auswirkungen haben sollte, musst du erst erklären.
Uhu Uhuhu schrieb:> Die Kasperski-Leute haben jedenfalls festgestellt, daß Flame sich auch> in einem vollständig gepatchten System unbemerkt festsetzen kann. Daß> der User gebeten werden muß, Adminrechte zu geben, ist da wohl eher> nicht zu erwarten...
Ach nein? Allein die Tatsache, dass USB-Sticks zur Verbreitung genutzt
wurden, lässt eine schleissige Konfiguration vermuten. Da hilft dann
auch kein Patch mehr, brain.exe ist bereits in der Finalversion
verfügbar und müsste lediglich einmal aktiviert werden.
vn nn schrieb:> Ach nein? Allein die Tatsache, dass USB-Sticks zur Verbreitung genutzt> wurden,
Gegen die ist ohnehin kein Kraut gewachsen. Grad heute landete als
Werbung von EMC ein USB-Gummiding auf meinen Tisch, das sich effektiv
als Tastatur ausgab, eine Kommandozeile aufmachte und fröhlich eine URL
ein"tippte". Mach da mal was dagegen, abgesehen von totaler
USB-Abstinenz.
http://www.welt.de/politik/ausland/article106388794/Flame-wurde-als-Cyberwaffe-von-einem-Staat-entwickelt.html
"Chefexperte Alexander Gostew ist sich sicher: Das Virus wurde
wahrscheinlich von einem Staat entwickelt. "
"Absolut neu ist an Flame, dass er als Audio-Spion eingesetzt werden
kann: Flame sucht nach einem Mikro auf dem infizierten Rechner, schaltet
es ein und zeichnet dann alle Gespräche im Raum auf. "
Entarteter Bundestrojaner für den großen Lauschangriff?
:-)
g. c. schrieb:> "Absolut neu ist an Flame, dass er als Audio-Spion eingesetzt werden> kann: Flame sucht nach einem Mikro auf dem infizierten Rechner, schaltet> es ein und zeichnet dann alle Gespräche im Raum auf. "
Öhmm, das kann man schon seit mindestens 2 Jahrzehnten per Fernzugang
mit etlichen Telefonanlagen und im Grunde mit jeden Smartphone. Neu wär
das höchstens bei PCs.
Ich warte ja schon eine Weile drauf, dass sich Angry Birds als
hochentwickeltes Spionageprogramm entpuppt.
A. K. schrieb:> Öhmm, das kann man schon seit mindestens 2 Jahrzehnten per Fernzugang> mit etlichen Telefonanlagen und mittlerweile mit wohl jeden zweiten> Smartphone. Neu wär das höchstens bei PCs.
Im Prinzip doch dort auch nicht. Haben Spanner mit dem "Selbstbaukasten
Klicktrojaner" hierzulande auch schon gemacht samt Aktivierung der CAM.
Das alles geschah aber im privaten Rahmen und nicht aus politischen
Gründen, worin die eigentliche Brisanz dieser Attacke liegt. Vielleicht
ist das ganze auch nur eine gut inszenierte "Message" an den Iran und
andere, indem ihnen aufgezeigt werden soll, "wir (die sich von euch
bedroht fühlen) können alles in Erfahrung bringen, wenn wir es wollen".
Who knows?!
g. c. schrieb:> Im Prinzip doch dort auch nicht. Haben Spanner mit dem "Selbstbaukasten> Klicktrojaner" hierzulande auch schon gemacht samt Aktivierung der CAM.
Und wer weiss schon genau, was Skype so allen an Bord hat? Das wär
sowieso eine naheliegende Strategie. Den Leuten jahrelang kostenlos so
Zeug unterjubeln, damit sogar Gewinn machen, und so ganz nebenbei...
Oder den Geheimdiensten drohen bei schräger Finanzlage langsam die
Mittel auszugehen und da wollten sie mal einen "raushauen". Erzeugt neue
Ängste in der Bevölkerung und beflügelt die Etats der Geheimdienste.
(und natürlich die der Antivirensoftware Branche)
:-)
A. K. schrieb:> Und wer weiss schon genau, was Skype so allen an Bord hat? ...
Skype .. Sky .. Skynet ist das Virus!
Ogott ..
Gerade habe ich ein Déjà-vu .. Boris Jeltzin torkelnd/witzelnd mit dem
Atomköfferchen in der Hand .. Wenn der (Koffer) jetzt mittlerweile mit
einer USB-Buchse aufgehübscht wurde, um die neue Firmware "Nuklear 2.0"
aufzuspielen ..
Auf nach Crystal Peak!
vn nn schrieb:> Ach nein? Allein die Tatsache, dass USB-Sticks zur Verbreitung genutzt> wurden, lässt eine schleissige Konfiguration vermuten.
So? Stell die Autorun-Funktion in einem System ab, steck einen USB-Stick
rein, auf dem eine Datei liegt, die du für sicher hälst, weil sie
vermeintlich aus sicherer Quelle kommt, aber trotzdem eine Sauerei
enthält, öffne sie und schon ist es passiert.
Wie Heise schreibt, bringt Flame es fertig, sich den Domaincontroller in
einem LAN so zurechtzubiegen daß er anschließend sämtliche Rechner im
Netz kapern kann.
Aber solchen Genies, wie dir wird das natürlich im Leben nicht
passieren. Wahrscheinlich, weil dich keiner an einen Rechner läßt, der
zu was andererem, als zu Spielen gedacht ist.
vn nn schrieb:> Ändert nichts daran, dass eine Schwachstelle im PDF-Reader ohne> Adminrechte ziemlich uninteressant ist.
Da es genug freie Software gibt, um PDF zu lesen und zu bearbeiten, ist
es sowieso völlig unnötig, sich den Adobe Saurier auf den Rechner zu
kippen. Abgesehen von der schier unglaublichen Programmgrösse
installiert sich der Adobe Krams auch noch in alle möglichen Ecken und
Winkel und müllt die Registry voll.
Ich z.B. nehme den PDF XChange Viewer, der in der freien Version sogar
schon Seiten drehen und abspeichern kann, sich nicht ständig beschwert,
das das PDF mit einer neueren/älteren/unpassenden Version erstellt
wurde, sich die Seiteneinstellungen für geöffnete Dokumente
selbstständig merkt und PDFs innerhalb von wenigen Sekunden öffnet.
Downloadgrösse mit allem drumherum 14 MByte. Geht doch.
Matthias Sch. schrieb:> Ich z.B. nehme den PDF XChange Viewer, der in der freien Version sogar> schon Seiten drehen und abspeichern kann, sich nicht ständig beschwert,> das das PDF mit einer neueren/älteren/unpassenden Version erstellt> wurde, sich die Seiteneinstellungen für geöffnete Dokumente> selbstständig merkt und PDFs innerhalb von wenigen Sekunden öffnet.
Nicht zu vergessen, dass er selbst in der kostenlosen Version
PDF-Formulare mit den ausgefüllten Daten speichern kann. Und nicht nur
ausdrucken, wie der Acrobat-Müll.
Matthias Sch. schrieb:> Da es genug freie Software gibt, um PDF zu lesen und zu bearbeiten, ist> es sowieso völlig unnötig, sich den Adobe Saurier auf den Rechner zu> kippen.
Das wäre natürlich auch ne schöne Idee für die Geheimdienste. Nicht
Adobe schmieren damit sie ne Backdoor einabauen, sondern selber eine
Freeware Version rausbringen bei der man beliebige Backdoors unter
eigener Kontrolle einbauen kann :)
vn nn schrieb:> Und doch erklärt dein wunderbarer Schwachsinn eben immer noch nicht, was> eine Sicherheitslücke in Anwendersoftware großartig ausrichten soll,> wenn keinerlei Adminrechte vorhanden sind
Die Infektion bleibt i.d.R. auf den Account beschränkt, das ist richtig.
Das Risiko darf trotzdem nicht unterschätzt werden. Beispielsweise macht
die neue Variante des Ukash-Trojaners sämtliche Nutzdaten unbrauchbar,
auf die der User Schreibzugriff hat. In Firmen sind neben den
Benutzerverzeichnissen meist auch gemeinsam genutzte Freigaben
eingerichtet, die dann ebenfalls betroffen würden. Oder ein Keylogger
könnte diverse Zugangsdaten für Onlinedienste ausspionieren. Programme
wie Teamviewer lassen sich ohne Adminrechte benutzen und tunneln den
Datenverkehr durch Port80. Ein ähnlich arbeitender Trojaner könnte über
https mit seiner Basis telefonieren und wäre dadurch auch von Firewalls
kaum aufzuhalten.
Eingeschränkte Konten sind zwar eines der wirkungsvollsten Mittel gegen
Schädlingsbefall, aber einen vollständigen Schutz gewähren sie auch
nicht.
Läubi .. schrieb:> Scheinbar gibt/gab es auch "Fachkräfte" welche gegen eine kleine> "Spende" auch in Opensource Backdoors einbauen:> http://marc.info/?l=openbsd-tech&m=129236621626462&w=2> ... und Jahrelang unentdeckt zu bleiben.
Gibt es dafür denn überhaupt eine schlüssige Auflösung? Alles,
was da in den alten Threads zu lesen ist, scheinen ja nur
Behauptungen bzw. Unterstellungen zu sein.
Icke ®. schrieb:> Die Infektion bleibt i.d.R. auf den Account beschränkt, das ist richtig.
"In der Regel" gilt für Sicherheitlücken nicht - sonst wären sie
keine...
Jörg Wunsch schrieb:> Gibt es dafür denn überhaupt eine schlüssige Auflösung?
Hab leider nichts weiter dazu gefunden, hatte ich nur irgendwo mal
gelesen und schon schwierigkeiten die URL wiederzufinden :-)
Wollte auch nur anmeren, dass Opensource kein persilschein ist, gerade
im Bereich der Kryptographie wurde viele Fehler begangen und das nicht
mit absicht wo hinterher rauskam das es eben doch eine Schwachstelle gab
die auch 100 Augen vorher nicht gesehen haben.
Und wenn man wollte könnte man sicherlich über die Zeit auch die ein
oder andere Lücke "ausversehen" in OS einfliessen lassen, es sind dann
doch meist nicht soviele die jede Änderung anschauen und bewerten, resp.
bewerten können.
Uhu Uhuhu schrieb:> "In der Regel" gilt für Sicherheitlücken nicht - sonst wären sie> keine...
Wieso nicht? Praktisches Beispiel, unlängst passiert: User mit
eingeschränktem Konto infiziert sich während einer Webrecherche mit dem
Ukash-Trojaner (ältere, harmlose Version). Ursache war eine
Sicherheitslücke in der veralteten Java-Version 26. Das System des PCs
sowie andere Accounts wurden nicht befallen.
Icke ®. schrieb:> Wieso nicht?
Weil Sicherheitslücken gerade - ungewollte - Ausnahmen im
Sicherheitskonzept sind. (Es sei denn, daß die "Lücke" per Design
vorhanden ist, es also eine Regel dafür gibt.)
A. K. schrieb:> Mach da mal was dagegen, abgesehen von totaler> USB-Abstinenz.
Genau das. Es gibt nun mal Bereiche, in denen hat der Mitarbeiter nichts
eigenes anzustecken. Aus gutem Grund. Weshalb es mancherorts auch nicht
erlaubt ist.
Das von dir beschriebene Ding würde allerdings auch kaum als Einfallstor
nutzen. Viel eher wird doch wieder der herkömmliche Weg von Schadcode
auf einem gewöhnlichen USB-Massenspeicher gegangen worden sein. Womit
wir wieder beim Admin wären.
Uhu Uhuhu schrieb:> So? Stell die Autorun-Funktion in einem System ab, steck einen USB-Stick> rein, auf dem eine Datei liegt, die du für sicher hälst, weil sie> vermeintlich aus sicherer Quelle kommt, aber trotzdem eine Sauerei> enthält, öffne sie und schon ist es passiert.
Was ist passiert? Genau, nichts, denn in kritischen Umgebungen stecke
ich keinen USB-Stick an und besitze ich keine Adminrechte.
Uhu Uhuhu schrieb:> Wie Heise schreibt, bringt Flame es fertig, sich den Domaincontroller in> einem LAN so zurechtzubiegen daß er anschließend sämtliche Rechner im> Netz kapern kann.
Was ohne erweiterte Rechte kaum möglich ist.
Uhu Uhuhu schrieb:> Aber solchen Genies, wie dir wird das natürlich im Leben nicht> passieren. Wahrscheinlich, weil dich keiner an einen Rechner läßt, der> zu was andererem, als zu Spielen gedacht ist.
Süß. Sonst fällt dir nichts ein?
Matthias Sch. schrieb:> Da es genug freie Software gibt, um PDF zu lesen und zu bearbeiten, ist> es sowieso völlig unnötig, sich den Adobe Saurier auf den Rechner zu> kippen. Abgesehen von der schier unglaublichen Programmgrösse> installiert sich der Adobe Krams auch noch in alle möglichen Ecken und> Winkel und müllt die Registry voll.
Ja, ich setze momentan auch auf Sumatra. Bugs sind aber natürlich
trotzdem möglich.
Icke ®. schrieb:> Beispielsweise macht> die neue Variante des Ukash-Trojaners sämtliche Nutzdaten unbrauchbar,> auf die der User Schreibzugriff hat. In Firmen sind neben den> Benutzerverzeichnissen meist auch gemeinsam genutzte Freigaben> eingerichtet, die dann ebenfalls betroffen würden.
Dürfte für politisch oder wirtschaftlich motivierte Angreifer
uninteressant sein, die wollen Spionieren.
Icke ®. schrieb:> Programme> wie Teamviewer lassen sich ohne Adminrechte benutzen und tunneln den> Datenverkehr durch Port80. Ein ähnlich arbeitender Trojaner könnte über> https mit seiner Basis telefonieren und wäre dadurch auch von Firewalls> kaum aufzuhalten.
Macht Malware doch schon ewig, Firewalls haben noch nie gegen Malware
geholfen, die sich bereits auf dem Rechner befindet. Das behaupten nur
die, die den Mist verkaufen wollen, "Fach"zeitschriften, die zwei Seiten
hinter dem Test Werbung für den Testsieger machen und Tausende, die
daran glauben.
Icke ®. schrieb:> Eingeschränkte Konten sind zwar eines der wirkungsvollsten Mittel gegen> Schädlingsbefall, aber einen vollständigen Schutz gewähren sie auch> nicht.
Natürlich müssen auch andere Maßnahmen getroffen werden. Natürlich kann
man nicht einfach auf "eingeschränktes Konto" klicken und das Hirn
ausschalten, was der kautzige Nachtvogel allerdings vorraussetzen
dürfte.
Uhu Uhuhu schrieb:> "In der Regel" gilt für Sicherheitlücken nicht - sonst wären sie> keine...
Doch, so ziemlich. Denn eine Lücke im Browser ist ohne Adminrechte
ebenso uninteressant wie die 95% der Lücken in Windows selbst, welche
ohne erweiterte Rechte keine nennenswerte Angriffsfläche bieten. Gilt
natürlich analog für alle anderen Betriebssysteme, die über getrennte
Rechte verfügen. Da ist es dann doch einfacher, sich einfach drauf zu
verlassen, dass irgendwo unfähige Admins sitzen, das funktioniert nahezu
immer.
Jörg Wunsch schrieb:> Gibt es dafür denn überhaupt eine schlüssige Auflösung? Alles,> was da in den alten Threads zu lesen ist, scheinen ja nur> Behauptungen bzw. Unterstellungen zu sein.
Genial ist ja auch der Wikipediaartikel zur NSA. Da kommen auch so
wunderbar belegte Behauptungen ans Licht, als Quelle irgendwelche
Internetseiten.
Uhu Uhuhu schrieb:> Weil Sicherheitslücken gerade - ungewollte - Ausnahmen im> Sicherheitskonzept sind.
Was immer noch nichts daran ändert, dass eine Lücke im PDF-Reader
(welche irgendwann mal von dir als Einfallstor aufgeführt wurde) ohne
Adminrechte nichts bringt.
vn nn schrieb:> Doch, so ziemlich. Denn eine Lücke im Browser ist ohne Adminrechte> ebenso uninteressant wie die 95% der Lücken in Windows selbst, welche> ohne erweiterte Rechte keine nennenswerte Angriffsfläche bieten.> Was immer noch nichts daran ändert, dass eine Lücke im PDF-Reader> (welche irgendwann mal von dir als Einfallstor aufgeführt wurde) ohne> Adminrechte nichts bringt.
Und Rechteausweitung gibts per Definition nicht und Rootkits sind auch
völlig undenkbar. Du bist wirklich ein echter Experte.
Habe ich nicht geschrieben, eher sogar genau das Gegenteil. Mit lesen
hast du es halt nicht so, oder es passt schlicht nicht in deinen
Kleinkrieg hinein. Dazu, dass ein fähiger Admin in kritischen Anlagen
auch dafür sorgen sollte, dass gar nicht erst Schadcode von außen
reinkommt, schweigst du sowieso. Dein tolles PDF hast du nun mal nur auf
Rechnern zu öffnen, welche von kritischen Teilen abgegrenzt sind. Aber
das wäre dann eben zu viel für dich. Eine Netzwerkfehlplanung fällt halt
weniger auf, wenn man es von zuhause kennt, dass alles an einem Switch
hängt.
vn nn schrieb:> oder es passt schlicht nicht in deinen Kleinkrieg hinein.
Junger Freund, den Kleinkrieg führst du.
Im Übrigen liegt es ganz einfach in der Natur der Sicherheitslücken, daß
sie Gelegenheiten sind, die wohldefinierten Sicherheitsbarrieren zu
überwinden.
Das Problem ist, daß man zwar beweisen kann, daß eine Sache unsicher ist
- indem man eine Lücke findet - das Gegenteil aber nicht.
Und zu guterletzt kommt noch dazu, daß der Mensch vor der Tastatur sich
eben im Zweifelsfalle auch ein Sicherheitsrisiko entpuppen kann.
Wer diese "Täter" als Volldeppen u.a. beschimpft, beweist damit nur, daß
er selber einer ist.
So, und nun zurück zu Flame.
Das Teil wurde - wie ich oben schon ausgeführt hatte - nicht geschaffen,
um Oma Frida um ihren Notgroschen zu bringen, sondern es ist eine Waffe
im Krieg um die Resourcen im Nahen Osten und wurde ganz gezielt auf
bestimmte Anlagen losgelassen.
Der Verteidiger hat es in so einem Fall sehr schwer, den Angriff zu
erkennen, bevor größerer Schaden eingetreten ist. Ist der Angriff einmal
erkannt, dann läßt er sich unterbinden - wenn nicht vorher Hardware, wie
z.B. die Ultrazentrifungen im Iran physikalisch Schaden genommen haben.
Murphys Gesetz arbeitet jedenfalls nicht für die Verteidiger, sondern
eher für die Angreifer.
Das ist eine ganz andere Qualität, als das, was einem so in "freier
Wildbahn" begegnet.
Uhu Uhuhu schrieb:> Im Übrigen liegt es ganz einfach in der Natur der Sicherheitslücken, daß> sie Gelegenheiten sind, die wohldefinierten Sicherheitsbarrieren zu> überwinden.
Und immer noch steigen mit der Zahl der Barrieren die Probleme, diese zu
überwinden.
Uhu Uhuhu schrieb:> Und zu guterletzt kommt noch dazu, daß der Mensch vor der Tastatur sich> eben im Zweifelsfalle auch ein Sicherheitsrisiko entpuppen kann.>> Wer diese "Täter" als Volldeppen u.a. beschimpft, beweist damit nur, daß> er selber einer ist.
Einen Admin, der ganz offensichtlich grundlegende Regeln missachtet,
kann man getrost als Volldepp bezeichnen (den Nutzer, der den Stick
ansteckt, eher nicht, der kann es ja nicht besser wissen). Aber du hast
Recht, Volldepp ist tatsächlich etwas hart, inkompetent reicht.
Uhu Uhuhu schrieb:> Das Teil wurde - wie ich oben schon ausgeführt hatte - nicht geschaffen,> um Oma Frida um ihren Notgroschen zu bringen, sondern es ist eine Waffe> im Krieg um die Resourcen im Nahen Osten und wurde ganz gezielt auf> bestimmte Anlagen losgelassen.
Ändert genau was? Oma Frida hat keine Ahnung von Rechnern. Iranische Öl-
und Atomanlagen sollten da schon bessere Admins haben.
Uhu Uhuhu schrieb:> Der Verteidiger hat es in so einem Fall sehr schwer, den Angriff zu> erkennen, bevor größerer Schaden eingetreten ist. Ist der Angriff einmal> erkannt, dann läßt er sich unterbinden - wenn nicht vorher Hardware, wie> z.B. die Ultrazentrifungen im Iran physikalisch Schaden genommen haben.
Wohl kaum, eher das Gegenteil ist der Fall. Ist das System erst einmal
erfolgreich kompromittiert, ist es recht einfach, sich zu verstecken.
Vernünftige Sicherheitskonzepte setzen nicht ohne Grund vor der
Kompromittierung an anstatt nachher zu versuchen, irgendwas zu finden
oder zu bereinigen.
Ist halt nur blöd, wenn Rechner, an denen man eigene USB-Geräte
anstöpseln kann, auch nur im entferntesten die Möglichkeit haben, auf
wichtige Rechner zuzugreifen. Kritische Systeme gehören eben klar von
solchen abgegrenzt, auf die Mitarbeiter Zugriff haben. Aber soweit denkt
eben keiner und so werden eben regelmäßig wieder Angriffe auf
Regierungsstellen und große Firmen bekannt.
Uhu Uhuhu schrieb:> Das ist eine ganz andere Qualität, als das, was einem so in "freier> Wildbahn" begegnet.
Eher nicht, die kochen auch nur mit Wasser. Die bis jetzt bekannten
Funktionen sind ja auch nicht gerade der Bringer, nichts, was es nicht
schon gegeben hätte. Dafür haben solche Anlagen ein riesiges IT-Budget,
was man auch sinnvoll investieren könnte, anstatt in Möchtegernadmins.
vn nn schrieb:> Das von dir beschriebene Ding würde allerdings auch kaum als Einfallstor> nutzen.
Sag das nicht. Mir entsteht dabei ein Bild, das an die hier gelegentlich
erwähnte ultimative Maschine erinnert. Der Stick kommt als Tastatur zur
Welt, schaltet so den Autostart ein (sofern die Berechtigungsverwaltung
das zulässt), konfiguriert sich dann auf Storage um - und schwupps.
Vielleicht geht das auch einfacher, wenn sich ein USB-Device
gleichzeitig als Tastatur und als Storage anmelden kann (weiss nicht ob
das geht). Dann startet sich der Inhalt auch ohne Autostart magisch von
selber, sobald er drinsteckt.
> Was ist passiert? Genau, nichts, denn in kritischen Umgebungen stecke> ich keinen USB-Stick an und besitze ich keine Adminrechte.
Ich kenne das anders, aus der Praxis. Wenn eine Fremdfirma eine
rechnergestützte Anlage installiert (embedded Windows, wasn sonst), dann
haben diese Leute zumindest anfangs zwangsläufig Adminrecht. Und gerne
auch USB-Sticks. Auch mal mit Viren drauf.
Hintergrund: Die Leute, die solche Anlagen bauen und installieren, sind
Ings. So in Richtung Maschinenbau. Rechner sind Geräte, die man einfach
benutzt. Sicherheitsaspekte hat diese Spezies nicht auf dem Radar. Die
bauen ja Anlagen, keine kritischen Rechnernetze. Mit solchen Fragen
werden die allenfalls von nervigen Kunden ab und zu geplagt, und auch
das nur in den nicht allzu häufigen Fällen, in denen der Kunde in dieser
Frage besser drauf ist.
A. K. schrieb:> Ich kenne das anders, aus der Praxis.
Klar sieht es in der Praxis oft so aus. Weshalb es eben regelmäßig
Probleme gibt. Ein Maschinenbauer hat halt auch keinen Rechner
einzurichten. Alles in allem zeichnest du ein wunderbares Bild der viel
zu oft auftretenden Mängel in der Konfiguration.
vn nn schrieb:> Eher nicht, die kochen auch nur mit Wasser.
Na ja, ein 20 MB Virus, das nicht nur aus digitalem Rauschen besteht,
ist schon ne Menge Wasser. Das schreibt kein Hacker mal so eben am
Wochenende runter.
Sowas kriegt nur eine Organisation hin, die finanzielle Engpässe nicht
kennt und sich jedes Know how beschaffen kann.
> Und immer noch steigen mit der Zahl der Barrieren die Probleme, diese zu> überwinden.
Oder es gehen neue Lücken dabei auf... wäre nicht der erste derartige
Fall.
Die ganze Sicherheitschose ist eine Kette und die ist nur so stark, wie
das schwächste Glied. Du kannst 1000 brillante Admins haben, die alles
richtig machen, dann kommt eine gekaufte Putzfrau und schiebt irgendwo
einen infizierten Datenträger unter, der es schafft, ins System
einzudringen und alles hat nichts genutzt...
Wozu die westlichen Geheimdienste fähig sind, haben sie in den letzten
Jahren in Iran wirklich ausgiebig demonstriert, nicht nur mit der
Stuxnet-Geschichte, sondern z.B. auch die Mordserie an
Atomwissenschaftlern.
Die haben ganz einfach andere Möglichkeiten, als eine Russenmafia, die
fremde Konten abräumt.
vn nn schrieb:> Ein Maschinenbauer hat halt auch keinen Rechner einzurichten.
Er hat ein definiertes Arbeitspensum in definierter Zeit zu schaffen und
Sicherheitsvorkehrungen haben die Eigenart, nicht nur Hürden gegen
Angriffe zu bilden; sich innerhalb dieser Hürden zu bewegen, kann auch
ganz schön zeitraubend sein und einen, der sich mit ganz anderen
Problemen auseinanderzusetzen hat, ganz schön zur Raserei bringen.
Je eingeengter der Blick ist, den man sich auf so ein Szenario
genehmigt, um so einfacher sieht das alles natürlich aus.
Nur hat das Bild, was sich so einem Schmalspurgucker bietet, nicht mehr
all zu viel mit der Realität zu tun und die Schlüsse daraus werden sich
kaum in der Realität bewähren.
Dummerweise haben die Admins aber zumeist keine Ahnung von dem was die
Maschinenbauer und Inbetriebnehmer/Einrichter an SW einrichten müssen.
Ein ganznormaler Anreisetag eines Produktionsstraßeneinrichters in Firma
trallala (Belegschaft in Betriebsferien), je größer je schlimmer.
Wie kein User eingerichtet? Steht doch im Angebot und im Vertrag ...
Ich bin 1500 Km angereist, wohne im Hotel und kann nicht arbeiten?
O.k. ich warte.
Einen Tag später.
Wie kein Servicepack xyz... ich brauche Rechte zur Installation.
Admin vom Notdienst: Ich weis von nichts. ...
Cheffe per Telefon-->Adminn: "Mach das der Mann arbeiten kann, der
kostet am Tag soviel wie du im Monat.
ok.
Neuer User "Firma einrichter", erweitere Rechte......,
Ich muss an Datenbank zzzz..... oh die haben wir auf dem Zentralserver
Cheffe: Mach das der arbeiten kann!
o.k.
--->
(Super)user: Firma Einrichter ... adminrechte X
password: password X
password: password X
Danke
Oft ist nicht mal der Entwickler vor Ort sondern die Installation der
vorkonfigurierten SW erfolgt per Skript durch den Anlageninbetriebnehmer
direkt vom Stick anschließend wühlt sich der Vororteinrichter durch die
aktuellen Updates welche er mit seine Lappen oneline via VPN von seinem
Firmenserver holt und dann direkt vom Lappen oder via Stick aufspielt.
Dann noch Parameter nachjustieren, schnell noch die Fernwartung
eingerichtet
Freitag (kann auch sonntag sein weil 2 Tage am anfang der Woche mit
einrichten des Users vertrödelt) 22.45 Uhr
Firma Einrichter per Tel. An Abteilungsleiter: So wir sind fertig und
Servus". Wenn was ist, hier ist meine Telefonnummer, lasst mal
vorsichtshalber mein einrichtungskonto noch online falls was ist......
Namaste
>Wozu die westlichen Geheimdienste fähig sind, haben sie in den letzten>Jahren in Iran wirklich ausgiebig demonstriert,
Na zum Glück! Auf einen Iran mit Atomwaffen kann ich verzichten. Ich
frage mich nur, wieso der Pazifistenuhu das anders sieht und Iran mit
Nuklearwaffen will.
Uhu Uhuhu schrieb:> Na ja, ein 20 MB Virus, das nicht nur aus digitalem Rauschen besteht,> ist schon ne Menge Wasser. Das schreibt kein Hacker mal so eben am> Wochenende runter.
Ja, sie haben mehr Mannstunden. Aber kochen tun sie trotzdem mit Wasser,
nur in größeren Töpfen.
Uhu Uhuhu schrieb:> Oder es gehen neue Lücken dabei auf... wäre nicht der erste derartige> Fall.
Ich sprach von ordentlicher Rechteverwaltung (sowohl auf
Betriebssystemebene als auch auf Netzwerkebene und Personell), nicht von
Zusatzsoftware wie Virenscannern oder Pseudofirewalls.
Uhu Uhuhu schrieb:> Die ganze Sicherheitschose ist eine Kette und die ist nur so stark, wie> das schwächste Glied. Du kannst 1000 brillante Admins haben, die alles> richtig machen, dann kommt eine gekaufte Putzfrau und schiebt irgendwo> einen infizierten Datenträger unter, der es schafft, ins System> einzudringen und alles hat nichts genutzt...
Dann würde ich mir die Frage stellen, warum zum Teufel der Datenträger
der Putzfrau mit kritischen Anlagenteilen in Kontakt kommen kann.
Uhu Uhuhu schrieb:> Er hat ein definiertes Arbeitspensum in definierter Zeit zu schaffen und> Sicherheitsvorkehrungen haben die Eigenart, nicht nur Hürden gegen> Angriffe zu bilden; sich innerhalb dieser Hürden zu bewegen, kann auch> ganz schön zeitraubend sein und einen, der sich mit ganz anderen> Problemen auseinanderzusetzen hat, ganz schön zur Raserei bringen.
Warum die Konfiguration unzureichend ist, ist unwichtig. Dass sie es
ist, das zählt im Fehlerfall. Ob nun der Admin unfähig oder schlicht
überfordert war, ist erstmal egal.
Winfried J. schrieb:> Dummerweise haben die Admins aber zumeist keine Ahnung von dem was die> Maschinenbauer und Inbetriebnehmer/Einrichter an SW einrichten müssen.
Wie du es in deinen weiteren Ausführungen beschreibst, ein reines
Verwaltungsproblem. Wenn die Anlage wirklich so wichtig ist, sollte sich
das in den Griff kriegen lassen. Andernfalls ist es eben anscheinend
doch nicht kritisch genug. Die Angreifer sind ja auch nicht an solchen
Problemen gescheitert, denen war es halt wichtiger.
j. c. schrieb:>>Wozu die westlichen Geheimdienste fähig sind, haben sie in den letzten>>Jahren in Iran wirklich ausgiebig demonstriert,>> Na zum Glück!
Für wen?
> Auf einen Iran mit Atomwaffen kann ich verzichten.
kannst du?
Ach ja du bist ja auf der Seite der Guten?
Schön wenn man so ein einfaches und eingeschränktes Weltbild hat.
Das macht den Tag überschaubar.
> Ich frage mich nur, wieso der Pazifistenuhu das anders sieht und Iran mit> Nuklearwaffen will.
Will er das??
Und seid wann ist Pazifismus etwas ein Schimpfwort, oder Gutmensch oder,
oder Opfer. macht das aus Kriegstreibern schlechtmenschen und Tätern.
Bessere menschen?
Ghandi war Pazifist und Martin Luther King und und Nelson Mandela. Das
sind für mich Vorbilder.
Aber die wahren Terroristen besitzen schon lange Atomwaffen und sind
auch bereit diese einzusetzen wenn es ihren Zwecken dient.
Auf die könnte ich genauso verzichten wie auf jegliche Kriegswaffen bei
wm auch immer. Denn Keiner schafft so Zeug an um es ins Museum zu
stellen.
"Jehova!"
Namaste
Winfried J. schrieb:> Ein ganznormaler Anreisetag eines Produktionsstraßeneinrichters in Firma> trallala (Belegschaft in Betriebsferien), je größer je schlimmer.
Yup, schön beschrieben. Umgekehrt gehts aber auch. Beispielsweise
Anforderungs-Sheets seitens der installierenden Firma, die dem Admin die
Haare zu Berge stehen lassen. Die der Admin aber erst am Tag vorher zu
sehen kriegt, weil das Projekt zwar schon Wochen oder Monate läuft, aber
der IT kein Sterbenswörtchen davon verraten wurde.
Manche lassen sich in den Installationsvoraussetzungen die völlig
Freiheit der Systeme von jedeweden hinderlichen Sicherheitsmassnahmen
wie Virenscannern bescheinigen, weil die ja der Funktion irgendwie im
Weg stehen könnten.
Auf so einem Wisch stand auch schon mal drauf, dass auf den Rechnern der
Anwender nichts ausser Windows-Basis und maximal noch MS-Office drauf
sein dürfe. Rein garnix. Auf den normalen Anwender-PCs im normalen
Firmennetz wohlgemerkt. Da fragt sich der Admin schon mal, welchem
kranken Hirn... Bei Rückfrage stellte sich dann heraus, dass man mit
dieser Radikalforderung eigentlich nur einen Konflikt mit einem
bestimmten unpassenden Firebird-Client vermeiden wollte. Grrr.
Manchmal hat man als Admin allerdings genialische Eingebungen. So hatte
ich das Netz der vorhin skizzierten Anlage vorsorglich per Firewall fein
säuberlich abgekoppelt. Ergebnis: Dieses Netz war zu 100% verseucht,
weil sich das Tierchen, einmal drin, ohne USB-Stick autark per Netz
verbreitete. Aber der Rest hatte seinen Frieden.
vn nn schrieb:> sollte sich das in den Griff kriegen lassen.
Wie du leicht erkennen könntest, hast du den Konjuntiv vollkommen zu
Recht angewendet, denn die Praxis ist leider, zum Glück nicht der
Verwaltung unterzuordnen, obgleich viele das nur zu gern glauben
wollten.
;-) Namaste
vn nn schrieb:> Dann würde ich mir die Frage stellen, warum zum Teufel der Datenträger> der Putzfrau mit kritischen Anlagenteilen in Kontakt kommen kann.
Vielleicht, weil dort auch mal geputzt werden muß?
> Warum die Konfiguration unzureichend ist, ist unwichtig.
Woher weißt du, daß die Konfiguration unzureichend ist, wenn das System
kompromittiert wurde? Weil nicht sein kann, was nicht sein darf?
j. c. schrieb:> So, jetzt bitte die gleiche Aufregung, denn die Iraner machen mit dem> eigenen Volk nämlich genau das Gleiche. Sind die jetzt auch böse, UhU?
Nu, das ist doch völlig logisch. Würde ich auch ungefähr so machen, an
deren Stelle. Eine hiesige Variante wären VPN-Anbieter, die ja grad
gross in Mode kommen, um sich allerlei Schnüffler vom Leib zu halten.
Aber nicht mühsam per Trojaner, sondern schlicht indem man selbst als
solcher Anbieter in Erscheinung tritt. Einfacher gehts nicht. Billiger
auch nicht, denn der Überwachte zahlt ja dafür auch noch, dass man
seinen gesamten Traffic frei Haus geliefert bekommt.
Uhu Uhuhu schrieb:> vn nn schrieb:>> Dann würde ich mir die Frage stellen, warum zum Teufel der Datenträger>> der Putzfrau mit kritischen Anlagenteilen in Kontakt kommen kann.>> Vielleicht, weil dort auch mal geputzt werden muß?
Erklärt noch nicht, was der Stick am Rechner zu suchen hat. Oder
schließt putzen neuerdings auch den USB-Port ein, mit speziellen
Reinigungssticks, analog zu den Reinigungs-CDs? Und können normale
Mitarbeiter überhaupt an den USB-Port gelangen?
Uhu Uhuhu schrieb:> Woher weißt du, daß die Konfiguration unzureichend ist, wenn das System> kompromittiert wurde? Weil nicht sein kann, was nicht sein darf?
Wilst du deinen Schwachsinn noch öfter wiederholen? Aber ja, dass ein
Stick von außen einfach mal an wichtigen Rechnern angesteckt werden
kann, darf schlichtweg nicht sein, es ist nun mal grob fahrlässig.
Winfried J. schrieb:> Wie du leicht erkennen könntest, hast du den Konjuntiv vollkommen zu> Recht angewendet, denn die Praxis ist leider, zum Glück nicht der> Verwaltung unterzuordnen, obgleich viele das nur zu gern glauben> wollten.
Mancherorts haut es ja doch hin.
j. c. schrieb:> So, jetzt bitte die gleiche Aufregung, denn die Iraner machen mit dem> eigenen Volk nämlich genau das Gleiche.
Tja Jesus, auch wenn du das nicht begreifen willst: Im Krieg stirbt die
Freiheit auf allen beteiligten Seiten. Man braucht noch nichtmal
Mullahs, um auf solche Ideen zu kommen. Alles andere wäre
selbstmörderisch.
vn nn schrieb:> Wilst du deinen Schwachsinn noch öfter wiederholen?
Das solltest du dich mal langsam fragen. Deine Weltfremdheit ist
rekordverdächtig.
Ich würde es ja eher als weltfremd erachten, wenn man es als nötig
erachtet, dass die Putzfrau Zugang zu wichtigen Rechnern hat (nein, mit
Zugang ist nicht abstauben gemeint).
vn nn schrieb:> Wilst du deinen Schwachsinn noch öfter wiederholen?
oweh!
> Aber ja, dass ein> Stick von außen einfach mal an wichtigen Rechnern angesteckt werden> kann, darf schlichtweg nicht sein, es ist nun mal grob fahrlässig.
Klar sicher ist nur ein Rechner ohne jeden Input
Ich kann auch über die Maus oder noch einfache über jede
Tastaturschnittstelle einen Rechner Kompromittieren
oder jede andere Input.
Man begreifst du's oder nicht?
Es genügt irgend eine beliebige Inputschnittstelle und wenn es eine Maus
über deren Treiber ist. Wichtig ist nur ein Loch im System zu finden und
das passiert meist an völlig unverdächtiger Stelle.
vn nn schrieb:> Dürfte für politisch oder wirtschaftlich motivierte Angreifer> uninteressant sein, die wollen Spionieren.
Na und, zum Spionieren genügt es u.U. schon, einen mit der Technologie
von Teamviewer arbeitenden Trojaner unter Userrechten laufen zu lassen.
Alles was der User am Rechner macht und worauf er Zugriff hat, kann
unbemerkt nach draußen übermittelt werden. Dafür braucht es keine
Adminrechte.
> Macht Malware doch schon ewig, Firewalls haben noch nie gegen Malware> geholfen, die sich bereits auf dem Rechner befindet.
Ich rede nicht von Personal Firewalls, sondern von richtigen, zentral im
Netzwerk installierten. Einen Teil der Schädlinge kann man an der
Kommunikation hindern, indem nur die Ports freigeschaltet werden, die
für das Arbeiten zwingend notwendig sind. Die Nobelmodelle ermöglichen
sogar Contentfilterung auf den verbleibenden, unverschlüsselten Ports.
Schwierig wird es, wenn der Trojaner per https plaudert. Port 443 kann
man nicht einfach zumachen, weil für gesicherte Verbindungen nötig. Der
Stream läßt sich wegen der Verschlüsselung nicht überwachen. Als
Kompromiss bleibt nur die Filterung der Ziel-IPs auf Basis von Black-
oder Whitelists. 100%ige Sicherheit gewährleisten diese Maßnahmen auch
nicht, aber das Risiko wird drastisch reduziert.
vn nn schrieb:> Dazu, dass ein fähiger Admin in kritischen Anlagen> auch dafür sorgen sollte, dass gar nicht erst Schadcode von außen> reinkommt, schweigst du sowieso. Dein tolles PDF hast du nun mal nur auf> Rechnern zu öffnen, welche von kritischen Teilen abgegrenzt sind.
Was in Hochsicherheitsumgebungen notwendig und sinnvoll ist, läßt sich
in 99% der produktiv genutzten "Normal"-Systeme unmöglich durchsetzen,
weil der Arbeitsfluß zu stark behindert würde. Theoretisch kann man fast
alles einschränken, in der Praxis muß man zu Lasten der Sicherheit eben
Kompromisse eingehen.
vn nn schrieb:> Einen Admin, der ganz offensichtlich grundlegende Regeln missachtet,> kann man getrost als Volldepp bezeichnen (den Nutzer, der den Stick> ansteckt, eher nicht, der kann es ja nicht besser wissen). Aber du hast> Recht, Volldepp ist tatsächlich etwas hart, inkompetent reicht.
Einem Admin, der wie hier...
vn nn schrieb:> Und doch erklärt dein wunderbarer Schwachsinn eben immer noch nicht, was> eine Sicherheitslücke in Anwendersoftware großartig ausrichten soll,> wenn keinerlei Adminrechte vorhanden sind (oder über eine weitere Lücke> in der Rechteverwaltung des Betriebssystems beschafft werden können,> womit wir wieder bei den 0,x% Restrisiko wären, wo beides zusammentrifft> und auch über längere Zeit erfolgreich genutzt werden kann).> Was es mit Glauben zu tun hat, dass eine simple Lücke in> Anwendersoftware dank der Rechteverwaltung heutiger Systeme keine> gröberen Auswirkungen haben sollte, musst du erst erklären.
...behauptet, daß ohne Adminrechte nur unbedeutende Restrisken
verbleiben, würde ich zumindest unterstellen, daß er entweder hochgradig
naiv oder komplett ignorant ist.
Winfried J. schrieb:> Ich kann auch über die Maus oder noch einfache über jede> Tastaturschnittstelle einen Rechner Kompromittieren> oder jede andere Input.>> Man begreifst du's oder nicht?>> Es genügt irgend eine beliebige Inputschnittstelle und wenn es eine Maus> über deren Treiber ist. Wichtig ist nur ein Loch im System zu finden und> das passiert meist an völlig unverdächtiger Stelle.
Du hast auch an keinerlei Schnittstellen zu gelangen, genau das ist es,
was ich schon die ganze Zeit schreibe. Vor dir liegen Maus, Tastatur und
Monitor, zum Rechner selbst brauchst du keinen physikalischen Zugang.
Icke ®. schrieb:> Na und, zum Spionieren genügt es u.U. schon, einen mit der Technologie> von Teamviewer arbeitenden Trojaner unter Userrechten laufen zu lassen.> Alles was der User am Rechner macht und worauf er Zugriff hat, kann> unbemerkt nach draußen übermittelt werden. Dafür braucht es keine> Adminrechte.
Erstens ist es keine "Technologie von Teamviewer", als ob die das
erfunden hätten. Zweitens muss der Schadcode immer noch auf den Rechner
gelangen. Was bei sinnvoller Konfiguration (die logischerweise auch
Hardware miteinschließt) immer noch nicht möglich ist, weil die
Mitarbeiter keine CDs einzulegen und keine USB-Sticks anzuschließen
haben. Für anderes, insbesonders Firewire, welches per Design eine
einzige potentielle Schwachstelle ist, gilt das natürlich auch.
Icke ®. schrieb:> Ich rede nicht von Personal Firewalls, sondern von richtigen, zentral im> Netzwerk installierten.
Nur können die auch nicht mehr ausrichten. Ports tunneln kann jeder
Depp, Contentfilterung lässt sich auch umgehen. Es hat auch nur wenig
Sinn, nach der Kompromittierung noch irgendwas versuchen zu wollen.
Wesentlich sinnvoller ist es, Firewalls für das zu nutzen, was bereits
der Name suggeriert: die Abtrennung einzelner Netzwerkabschnitte
untereinander, um zu verhindern, dass sich Malware vom Rechner einer
Sekretärin auf kritische Teile des Netzwerkes verbreiten kann.
Icke ®. schrieb:> Was in Hochsicherheitsumgebungen notwendig und sinnvoll ist, läßt sich> in 99% der produktiv genutzten "Normal"-Systeme unmöglich durchsetzen,> weil der Arbeitsfluß zu stark behindert würde. Theoretisch kann man fast> alles einschränken, in der Praxis muß man zu Lasten der Sicherheit eben> Kompromisse eingehen.
Nicht wirklich. Kritische und eher unkritische Teile lassen sich oft
relativ leicht abgrenzen, außer natürlich, es sind tatsächlich keine
besonders brisanten Informationen vorhanden.
Icke ®. schrieb:> Einem Admin, der wie hier...>> ...behauptet, daß ohne Adminrechte nur unbedeutende Restrisken> verbleiben, würde ich zumindest unterstellen, daß er entweder hochgradig> naiv oder komplett ignorant ist.
Gratuliere, dass du eine wichtige Information, welche von Beginn an
immer betont wurde, weglässt: Es ging mir um eine tiefgreifende
Infektion, wie hier im konkreten Fall. Mit Userrechten kann
Schadsoftware ohne weitere Lücken eben nur machen, was der aktuelle User
darf, und das sollte möglichst wenig sein. Da externe Datenträger auf
Rechnern mit brisanten Informationen nichts zu suchen haben, kannst du
also der Sekretärin beim Tippen eines Briefes für die Geschäftsführung
zusehen.
> Vielleicht geht das auch einfacher, wenn sich ein USB-Device> gleichzeitig als Tastatur und als Storage anmelden kann (weiss nicht ob> das geht). Dann startet sich der Inhalt auch ohne Autostart magisch von> selber, sobald er drinsteckt.
Gar kein Problem. Bau den Stick als Hub mit Tastatur(emulator) und
Mass-Storage. Solange noch noch so Riesen-Oschis in der Form von
Schweizer Taschenmessern unterwegs sind, ist das mit minimalem
technischen Aufwand möglich, sind dann halt 3 Chips statt einem ;)
Aja,
dann komt der Rechner in den Stahlschrank, Monitor, Maus und Tastatur
mit Kabel herausgführt. Und wenn es ein Problem gibt wird die
Servicebude gerufen weil nicht mal mehr ein Reset geht, wenn nichts mehr
geht.
Na das verkaufe mal dem Mittelständischen oder Kleinunternehmen oder
gar deinen Privatkunden.
Weffe, auf welchem Sstern lebst du den. Monopole ala Post 1970 sind
dahi, als man nicht mal die Telefonstrippe selber wechseln durfte und
das habe ich ignoriert. Der Tag an dem ich mir von einem Admin
vorschreiben ließe was ich auf meinem Rechner oder in meinem Netzwerk
tun darf ist sein letzte in unserer Zusammenarbeit.
Mit dem Versuch ist A1 bei mir auch gescheitert als sie auf die Idee
kamen mein Netzwerk auf Ihrem Router verwalten zu wollen zu dem sie mir
das Passwort nicht zu geben bereit sind. Nun dann musten sie alle
Routerfunktionen inklusive WLAN deaktivieren und mir nur das WAN an
Ihrem tollen Routerbereitstellen. Alles andere macht nun mein Router,
Fernwartung ausgeschlossen.
Ein Admin/Techniker darf mich beraten und mir helfen, wenn ich nicht
weiterweis. Mehr nicht. Auf meinem Rechner habe ich die Hoheit und nicht
irgend ein Admin der wohlmöglich alle 2 Jahre reinschauen muss und dann
wieder anders heist. Einen Job bei dem ich mein eigenes Werkzeug nicht
einsetzten darf nehme ich gar nicht erst an, es sei denn, es wird mir
welches gestellt, dass meinem in nichts nachsteht und das voll einsatz
und funktionsfähig ist. Mit Kastrierten Werkzeugen dürfen andere
Arbeiten, die benötige ich nicht.
Namaste
vn nn schrieb:> Zweitens muss der Schadcode immer noch auf den Rechner gelangen.
Eben. Und das macht man (nicht nur) in der Spionagebranche per Social
Engineering.
http://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29
Wenn du das durch technische Maßnahmen mit 100%-iger Sicherheit
unterbinden kannst und die Systeme noch benutzbar sind, dann hast du
eine sichere Zukunft.
Das Problem wird nur sein, daß du beweisen mußt, daß du das kannst.
Bis dahin ist Skepsis angesagt...
Winfried J. schrieb:> dann komt der Rechner in den Stahlschrank, Monitor, Maus und Tastatur> mit Kabel herausgführt. Und wenn es ein Problem gibt wird die> Servicebude gerufen weil nicht mal mehr ein Reset geht, wenn nichts mehr> geht.
Keine Servicebude, Admin. Wenn du willst, kannst du ja auch den Reset
herausführen. Ist auch allgemein üblich, dass kritische Rechner von
fähigen Admins weggesperrt werden. Server stehen ja auch nicht
unverschlossen herum.
Winfried J. schrieb:> Na das verkaufe mal dem Mittelständischen oder Kleinunternehmen oder> gar deinen Privatkunden.
Um die ging es nie, solange es sich nicht um brisante Daten handelt. Und
nach wie vor musst du nicht jeden Rechner derart absichern.
Winfried J. schrieb:> Weffe, auf welchem Sstern lebst du den. Monopole ala Post 1970 sind> dahi, als man nicht mal die Telefonstrippe selber wechseln durfte und> das habe ich ignoriert. Der Tag an dem ich mir von einem Admin> vorschreiben ließe was ich auf meinem Rechner oder in meinem Netzwerk> tun darf ist sein letzte in unserer Zusammenarbeit.
Man merkt, du hast mit IT nichts zu tun. Dass es in anständigen Firmen
allgemein üblich ist, dass der Admin über die Rechner bestimmt, hat sich
anscheinend noch nicht rumgesprochen. Du willst auch nicht, dass der
Hausmeister in der Aufzugsteuerung rumpfuscht.
Winfried J. schrieb:> Mit dem Versuch ist A1 bei mir auch gescheitert als sie auf die Idee> kamen mein Netzwerk auf Ihrem Router verwalten zu wollen zu dem sie mir> das Passwort nicht zu geben bereit sind. Nun dann musten sie alle> Routerfunktionen inklusive WLAN deaktivieren und mir nur das WAN an> Ihrem tollen Routerbereitstellen. Alles andere macht nun mein Router,> Fernwartung ausgeschlossen.
Äpfel != Birnen
Winfried J. schrieb:> Ein Admin/Techniker darf mich beraten und mir helfen, wenn ich nicht> weiterweis. Mehr nicht. Auf meinem Rechner habe ich die Hoheit und nicht> irgend ein Admin der wohlmöglich alle 2 Jahre reinschauen muss und dann> wieder anders heist.
Grtuliere, du hast erfasst, was das Aufgabengebiet eines Administrators
ist. Nicht.
Winfried J. schrieb:> Einen Job bei dem ich mein eigenes Werkzeug nicht> einsetzten darf nehme ich gar nicht erst an, es sei denn, es wird mir> welches gestellt, dass meinem in nichts nachsteht und das voll einsatz> und funktionsfähig ist. Mit Kastrierten Werkzeugen dürfen andere> Arbeiten, die benötige ich nicht.
Du darfst damit arbeiten, es ist nicht kastriert, es gehört auch dir. Wo
liegt das Problem?
vn nn schrieb:> Man merkt, du hast mit IT nichts zu tun. Dass es in anständigen Firmen> allgemein üblich ist, dass der Admin über die Rechner bestimmt, hat sich> anscheinend noch nicht rumgesprochen.
Ja und das ist im Zweifelsfall eben dein Problem - du hast das nur
noch nicht begriffen...
Uhu Uhuhu schrieb:> Eben. Und das macht man (nicht nur) in der Spionagebranche per Social> Engineering.
Dafür muss nach wie vor ein Weg existieren. Kritische Rechner werden
weggeschlossen, denn mit physikalischem Zugang ist Sicherheit sowieso
nicht möglich. Und wenn die wenigen Personen, die phys. Zugang haben,
kompromittiert sind, ist es ohnehin zu spät über Sicherheit zu
diskutieren, denn der Admin könnte gleich seine täglichen Backups an die
Amis weiterleiten. Fort Knox wäre auch offen wie ein Scheunentor, wenn
die obersten Mitarbeiter es ausrauben wollten.
Uhu Uhuhu schrieb:> Ja und das ist im Zweifelsfall eben dein Problem - du hast das nur> noch nicht begriffen...
Was genau ist mein Problem? Dass ein Einzelunternehmer nicht weiß, dass
andere ganze IT-Abteilungen anstellen?
vn nn schrieb:> Dafür muss nach wie vor ein Weg existieren. Kritische Rechner werden> weggeschlossen, denn mit physikalischem Zugang ist Sicherheit sowieso> nicht möglich.
Ja natürlich. Und da heutzutage kritische Rechner auch niemals irgendwie
vernetzt sind und ganze Netzwerke - sofern es die wider Erwarten doch
irgendwo geben sollte - niemals kritisch sein können, ist es ein
Kinderspiel, das zu garantieren...
glaub doch was du willst dein system ist nicht mal ansatzweise
soweitabsicherbar wie des wünscht es ist wie mit jeder Kytographie
sicherheit läst sich nur begrennzt unter enormen Aufwand zulastender
einsetzbarkeit erzielen 100% Sicherheit ist unmöglich. 90%ige in
vollständig isolierten Netzen. Jeder Port verringert die Sicherheit.
Damit ist das Inet level zero und alles was drannhängt mit ihm. Je layer
kommt man höchsten 1-2 Stufen darüber hinaus. Letztendlich ist ein
vollisoliertes Netz aber nur verwendbar wenn er beedinbar und wartbar
ist und hierkommt Mistake numere uno der Bediener ins spiel.
meine These: Jedes System muss als Kompromittiert gelten. Nur die
Auswirkungen diese Zustandes lassen sich von fähigen nicht aber
arroganten Betreibern und Mitarbeitern im Schach halten. Wer glaubt er
habe alles im griff hat noch nie auch nur irgend etwas im Griff gehabt.
Er macht nur allen anderen und vor allem sich selbst das Lleben schwer.
Der Kluge weis was er alles nicht weis, aber das ist bei VN
auszuschließen, da er alles weis. ;-)
Das Problem ist übrigens das erste was man im Studium militärischer
Nachrichtentechnik lernt und ein Netzwerk ist nichts anderes als ein
Nachrichtennetz.
[ironie]
Namaste
[/ironie]
Netzwerke lassen sich per Firewall in mehrere Segmente unterteilen. Ist
auch allgemein üblich, denn genau dafür sind Firewalls da. Die haben
eben nur genau die drei Ports offen, auf denen die zwei Netzwerke
untereinander kommunizieren.
Natürlich ist dir das nicht bewusst. Dabei sagt es ja schon der Name.
Winfried J. schrieb:> glaub doch was du willst dein system ist nicht mal ansatzweise> soweitabsicherbar wie des wünscht es ist wie mit jeder Kytographie> sicherheit läst sich nur begrennzt unter enormen Aufwand zulastender> einsetzbarkeit erzielen 100% Sicherheit ist unmöglich. 90%ige in> vollständig isolierten Netzen. Jeder Port verringert die Sicherheit.> Damit ist das Inet level zero und alles was drannhängt mit ihm. Je layer> kommt man höchsten 1-2 Stufen darüber hinaus. Letztendlich ist ein> vollisoliertes Netz aber nur verwendbar wenn er beedinbar und wartbar> ist und hierkommt Mistake numere uno der Bediener ins spiel.
Nun mangelt es nicht nur an Fachkompetenz, auch an Deutschkenntnissen.
Gratuliere.
Von hundertprozentiger Sicherheits war übrigens meinerseits nie die
Rede, nur würde ich nun echt gern wissen, wie denn nun der Schadcode
eingeschleust werden soll, wenn man sich nicht wie im konkreten Fall
ebenso wie bei Stuxnet darauf verlassen kann, dass irgendwer USB-Sticks
an Rechner anstecken kann, an die er es nicht können sollte. Zauberei?
Dass der Bediener Fehlerquelle Nr. 1 ist, wurde ja ausgerechnet von mir
von Anfang an vertreten. Hingegen lässt sich konsequente Abschottung mit
einem im Verhältnis zum potentiellen Verlust stehendem Aufwand
realisieren. Dass in deinem Büro der Aufwand übertrieben wäre, hat ja
keiner bestritten.
Winfried J. schrieb:> Das Problem ist übrigens das erste was man im Studium militärischer> Nachrichtentechnik lernt und ein Netzwerk ist nichts anderes als ein> Nachrichtennetz.
Und nirgends ist die Hirarchie so streng wie beim Militär. Deshalb haut
das mit der Sicherheit bei Geheimdiensten eben auch besser hin, denn
dort ist man es schon gewöhnt, dass manche Dinge eben nicht jeder darf.
und du meinst die Ports kontrollieren zu können, auch wenn du den Inhalt
der übermittelten Daten udnnderen auswirkungen aufs System nicht
kontrolliern kannst. Vemutlich weil du glaubst das regeln zu könen mit
den Rechten welche die Portserviceroutinen innehaben und jeglichen
Missbrauch auschließen zu können? Naja deinen glauben wollen wir dir mal
lassen. Du weißt es ja eh besser.
Hoffentlich hast du nicht im Hochsicherheitsbereich zu tun, das gibt ein
böses Erwachen, für deinen Cheffe.
vn nn schrieb:> Und nirgends ist die Hirarchie so streng wie beim Militär. Deshalb haut>> das mit der Sicherheit bei Geheimdiensten eben auch besser hin, denn>> dort ist man es schon gewöhnt, dass manche Dinge eben nicht jeder darf.
Und nirgends wird soviel ausspioniert wie dort und das weil jeder kleine
Möchtegernkönig glaubt so wie du glaubt er sei sicher.
Ich kenne den Laden von innen, glaub es nur. Es hat Gründe, dass ich die
Tür hinter mir zu gemacht habe. Nicht zuletzt wegen Leuten deiner
Selbstherrlichkeit.
armens D.
Winfried J. schrieb:> und du meinst die Ports kontrollieren zu können, auch wenn du den Inhalt> der übermittelten Daten udnnderen auswirkungen aufs System nicht> kontrolliern kannst
Nun, es wird schon lange recht erfolgreich praktiziert. Natürlich ist
dir das nicht bekannt, woher auch.
Winfried J. schrieb:> Naja deinen glauben wollen wir dir mal> lassen. Du weißt es ja eh besser.>> Hoffentlich hast du nicht im Hochsicherheitsbereich zu tun, das gibt ein> böses Erwachen, für deinen Cheffe.
Schön, sich sowas von jemandem sagen zu lassen, der meint, Admins müssen
Rechner doch bitte so einrichten, wie der unbedarfte User es fordert,
und dass Sicherungsmaßnahmen ja sowieso nur stören und deswegen
hinfällig sind.
Winfried J. schrieb:> Und nirgends wird soviel ausspioniert wie dort und das weil jeder kleine> Möchtegernkönig glaubt so wie du glaubt er sei sicher.>> Ich kenne den Laden von innen, glaub es nur. Es hat Gründe, dass ich die> Tür hinter mir zu gemacht habe. Nicht zuletzt wegen Leuten deiner> Selbstherrlichkeit.
Ich kann ja eigentlich nirgends Selbstherrlichkeit entdecken. Aber es
ist mir klar, dass du es selbstherrlich findest, wenn man es kritisiert,
dass an sämtlichen großen Angriffen in letzter Zeit menschliches
Versagen schuld war, schließlich würdest du die Dinge, die zu diesen
geführt haben, ja bereitswillig zulassen. Klar, USB-Sticks irgendwelcher
Mitarbeiter an iranischen Atomanlagen und Internetzugriff für die Server
der GIS, auf denen die Kundendaten liegen (nach monatelangen
Sicherheitshinweisen) ist ja völlig normal. Ist doch echt unzumutbar,
wenn kritische Rechner nur dafür genutzt werden können, wofür sie
vorgesehen sind. Trennung des Netzes, wofür denn?
Auch interessant, dass jemand von Möchtegernkönig schreibt, der laut
eigener Aussage keine Admins mag, weil die ja alles besser wissen. Der
könnte am Ende gar getrennte Konten am Rechner einrichten, oder deinen
lokalen Server mit brisanten Daten vom Internet abschneiden.
vn nn schrieb:> Nun, es wird schon lange recht erfolgreich praktiziert. Natürlich ist> dir das nicht bekannt, woher auch.
siehst du das ist Dein selbstherrlicher Glaube an technische Perfektion,
doch die war schon immer die Achillesferse allen Fortschrittglaubens.
Noch jede neue technische Erfindung wurde bejubelt, bis sich deren
Kehrseiten offenbarten.
Nichtbeachtete Randbedingungen und ignorierte Probleme. Und du tappst
genau mittenrein in diese Falle des Technikeregos "Wenn etwas
prinzipiell funktioniert, sei es nur eine Frage der logischen
Konsequenz, dass es perfekt funktioniere.
Zur Not ist der beschränkte User schuld an Mängeln und Fehlern bei der
Anwendung, aber es ist die tecnnische Umsetzung eines Projektes welche
den perfekten User erfordert. Und genau den wird es nie geben. Also ist
es erforderlich die Technik den Menschen anzupassen. Nur sind Entwickler
leider auch nicht besser als die User und der unbedarfteste Dau ist in
der Lage alle Bemühungen des Supergenies zu sabotieren,
> Schön, sich sowas von jemandem sagen zu lassen, der meint, Admins müssen> Rechner doch bitte so einrichten, wie der unbedarfte User es fordert,
Ja was sonst? Es ist ein Werkzeug und nicht weniger und nicht mehr. Der
User muss damit zurechtkommen, unter allen denkbaren undenkbaren
Umständen und ohne mehrjährige Schulung, denn meist dient dieses
Werkzeug nur untergeordneten, aber wichtigen Aufgaben und nicht dem
Zweck seiner eigenen Existenz.
> und dass Sicherungsmaßnahmen ja sowieso nur stören und deswegen> hinfällig sind.
Im Gegenteil, sie sollten jedoch angemmessen und wirksam sein
"Behindere den User maximal" ist keine brauchbare option,
perfekte Sicherheit ist eh nicht zu gewährleisten soosehr auch
wünchenswert.
> Ich kann ja eigentlich nirgends Selbstherrlichkeit entdecken. Aber es> ist mir klar, dass du es selbstherrlich findest, wenn man es kritisiert,> dass an sämtlichen großen Angriffen in letzter Zeit menschliches> Versagen schuld war,
[ironie]
Ja ja der blöde User und der inkompetente Admin sind Schuld,
oder die schlampige Verwaltung.
[/ironie]
Ist dir je der Gedanke gekommen das es bei dem Thema systematisch
statistische Probleme gibt, sowohl technischer, wie menschlicher Natur,
welche die von dir angestrebte Perfektion unmöglich macht.
< schließlich würdest du die Dinge, die zu diesen
> geführt haben, ja bereitswillig zulassen. Klar, USB-Sticks irgendwelcher> Mitarbeiter an iranischen Atomanlagen und Internetzugriff für die Server> der GIS, auf denen die Kundendaten liegen (nach monatelangen> Sicherheitshinweisen) ist ja völlig normal. Ist doch echt unzumutbar,> wenn kritische Rechner nur dafür genutzt werden können, wofür sie> vorgesehen sind. Trennung des Netzes, wofür denn?
Du raffst es wirklich nicht, zitierst mich und meinst ich halte all das
von mir angeführte für Unfug, dabei zeige ich dir nur die Grenzen des
möglichen auf und die Unbegrenztheit der Möglichkeiten.
> Auch interessant, dass jemand von Möchtegernkönig schreibt, der laut> eigener Aussage keine Admins mag, weil die ja alles besser wissen. Der> könnte am Ende gar getrennte Konten am Rechner einrichten, oder deinen> lokalen Server mit brisanten Daten vom Internet abschneiden.
Ich habe nichts gegen Admins, sondern gegen Leute die glauben den Stein
der Weisen ihr eigen zu nennen. Auch habe ich nichts gegen sinnvolle
Sicherheitsmaßnahmen, nur sollte die Arbeitsfähigkeit nicht derart
leiden, dass die Sicherheit zum Selbstzweck verkomme, auch wenn manche
Fanatiker dies wünschen. Uund da soll es auch unter den Admins welche
geben die am Ende gar glauben sie hätten ein perfektes System, müssten
es nur gegen die Dummen der Welt durchsetzen.
Das Problem aber an allen perfekten Systemen ist, sie sind zu allem
fähig aber zu nichts zu gebrauchen, so wie der perfekte Soldat auch.
....
Ich hoffe auf deine Erleuchtung, doch die mußt du selbst erreichen.
Namaste
... das ist ohnehin meine Lebensaufgabe, denn Ungeduld wurde mir in die
Wiege gelegt. Dafür habe ich, so meine Hoffnung, schon reichlich
hinzugewonnen.
Namaste
Winfried J. schrieb:> Zur Not ist der beschränkte User schuld an Mängeln und Fehlern bei der> Anwendung, aber es ist die tecnnische Umsetzung eines Projektes welche> den perfekten User erfordert. Und genau den wird es nie geben. Also ist> es erforderlich die Technik den Menschen anzupassen. Nur sind Entwickler> leider auch nicht besser als die User und der unbedarfteste Dau ist in> der Lage alle Bemühungen des Supergenies zu sabotieren,
Genau deswegen, weil Menschen fehler machen, sind eben gewisse
Vorkehrungen zu treffen, dass sie dies nicht können. Natürlich wird der
unbedarfte User es als Einschränkung sehen, er erkennt ja den Sinn
dahinter nicht. Deshalb ist er auch der User und nicht der Admin.
Deshalb reparierst du Aufzüge und andere benutzen sie, ohne Ahnung davon
haben zu müssen. Auch wenn sie leidige Gewichtsbeschränkungen vielleicht
nicht verstehen.
Winfried J. schrieb:> Ja was sonst? Es ist ein Werkzeug und nicht weniger und nicht mehr. Der> User muss damit zurechtkommen, unter allen denkbaren undenkbaren> Umständen und ohne mehrjährige Schulung, denn meist dient dieses> Werkzeug nur untergeordneten, aber wichtigen Aufgaben und nicht dem> Zweck seiner eigenen Existenz.
Und der User wird immer noch in keinster Weise eingeschränkt, zumindest
kannst du nicht erklären wo.
Winfried J. schrieb:> [ironie]> Ja ja der blöde User und der inkompetente Admin sind Schuld,> oder die schlampige Verwaltung.> [/ironie]>> Ist dir je der Gedanke gekommen das es bei dem Thema systematisch> statistische Probleme gibt, sowohl technischer, wie menschlicher Natur,> welche die von dir angestrebte Perfektion unmöglich macht.
Tja, leider spricht die Statistik eine andere Sprache. Erfolgreiche
Angriffe sind kein Zufall, fast immer ist irgendwo ein Scheinentor
offen. Seien es aus dem Internet erreichbare Server, die eigentlich nur
lokal erreichbar sein müssten, oder Steuerungsrechner, welche
Internetzugang aufweisen oder mit eignen Datenträgern gefüttert werden
können. Diese Dinge liesen sich leicht unterbinden und würden keine
Einschränkung darstellen.
Winfried J. schrieb:> Du raffst es wirklich nicht, zitierst mich und meinst ich halte all das> von mir angeführte für Unfug, dabei zeige ich dir nur die Grenzen des> möglichen auf und die Unbegrenztheit der Möglichkeiten.
Falls du dich nicht mehr erinnern kannst, was du geschrieben hast,
kannst du gerne nachlesen. Du hälst es pauschal für Unfug, wenn der
Admin dem User irgendwas vorschreibt. Sämtliche Angriffe in den Medien
beweisen das Gegenteil, denn es sind immer die selben Probleme: Leute,
die es schlicht nicht besser wissen können, weil sie die Rechner eben
nur als Werkzeug nutzen, dürfen Dinge, die sie nicht bräuchten. Bis das
eben wer ausnutzt.
Winfried J. schrieb:> Ich habe nichts gegen Admins, sondern gegen Leute die glauben den Stein> der Weisen ihr eigen zu nennen. Auch habe ich nichts gegen sinnvolle> Sicherheitsmaßnahmen, nur sollte die Arbeitsfähigkeit nicht derart> leiden, dass die Sicherheit zum Selbstzweck verkomme, auch wenn manche> Fanatiker dies wünschen. Uund da soll es auch unter den Admins welche> geben die am Ende gar glauben sie hätten ein perfektes System, müssten> es nur gegen die Dummen der Welt durchsetzen.>> Das Problem aber an allen perfekten Systemen ist, sie sind zu allem> fähig aber zu nichts zu gebrauchen, so wie der perfekte Soldat auch.
Komisch, schreiben tust du nämlich immer genau das Gegenteil. Angriffe
geschehen sowieso, Sicherungsmaßnahmen sind unnötig und es ist sowieso
alles eine Einschränkung. "Was, der Steuerungscomputer einer Atomanlage
darf nicht zum Surfen oder für eigenen Kram genutzt werden? So eine
Frechheit!!!elf"
Uhu Uhuhu schrieb:> Da wirst du wohl lange warten können...
So lange wie auf sinnvolle Beiträge deinerseits?
schließe mich icke an?
uhu ich fürchte noch ein wenig geduld üben zu müssen
VN
Du hast Recht IT hat das Primat und nicht die Produktion.
Bin gespannt ob du von deinen Bits satt wirst, aber wenn est mal der
letzte Chip geknabbert ist ....
EOF
Die diversen Schilderungen, wie Stuxnet in Iran in die Anlage geschleust
wurde und wie er dann in die freie Wildbahn gelangte, sollten unserem
allwissenden Freund vn nn jedenfalls zu Denken geben...
Ich finde zwar schön, dass du mich für allwissend hälst, aber warum mir
das zu denken geben soll, musst du erst erläutern. Denn schließlich habe
ich mich bereits in einem anderen Beitrag darauf bezogen, dass Stuxnet
ein wunderbares Beispiel für fahrlässige Administratoren ist. Stuxnet
gelang per USB-Stick in die Anlagen, Preisfrage, warum darf ein Stick,
bei dem nicht sichergestellt werden kann, dass er sauber ist, einfach so
an wichtige Rechner einer Atomanlage angesteckt werden?
Dein Freund bin ich übrigens nicht und will ich auch nicht sein, danke
der Nachfrage.
Thread beobachten
Seitenaufteilung abschalten