Aktuelle PC und Internetsicherheit (2017-....)

Das mit den MS Sicherheitsupdates ist aber auch eine Flexibilitätsfrage. So bleibt mehr Zeit zum Testen, speziell wenn eine Lücke noch nicht public ist, und Administratoren sehr großer Infrastrukturen (die sowieso erst Mal alles lokal in der Testumgebung ausprobieren und dann per WSUS ausrollen müssen) haben ein besseres Leben, und bekommen ihren Job auch erledigt. Also der Patch Day macht schon Sinn auch, und wenn's wirklich kracht, rollens eh außerhalb der Patchdays aus.

Ist halt auch eine Frage der Severity..

@Handy: Ich denke auch daran, auf Blackberry umzusteigen. Gibt sicher auch noch bessere Möglichkeiten, was Android angeht, aber schaun wir Mal.

Ansonsten mache ich auch einiges wie du, z.B. nutze ich nur VMs für fragwürdige Dinge oder Webseiten, die ich noch nicht kenne bzw. denen ich eher kein Vertrauen entgegenbringen kann. Hier am XP x64 läuft auf Desktop #4 immer eine Win7 VM für genau sowas mit, zur Not sind auch noch BSD und Linux VMs da. Auf der Arbeit dasselbe. Da gibt's eine eigene Win7 VM und eine Linux VM für derartigen "Blödsinn". Hypervisor sind nicht unfehlbar, aber diese Art der Kapselung ist schon nicht dumm.

Auf FreeBSD kann man hier neben VBox z.B. auch gut Jails einsetzen, auf Linux auch chroots (oder heutzutage Docker?). Es muß nicht gleich immer eine VM sein.

Bei einem Spielerechner (rofl, hab meinen noch IMMER ned fertiggebaut, ich brauch's einfach gar ned...) wär mir wohl fast alles egal. Da surf ich ned und les keine eMails. Steam drauf, Origin (wäh) drauf, fertig. Einschalten, spielen, fertig, ausschalten. Sonst gar nichts. Hin und wieder das OS updaten. Ende der Geschichte. Wenn er doch kompromittiert wird (extrem unwahrscheinlich), wipen. Resetup, Update, Steam, PWD ändern, done.

Lediglich TOR verwende ich wirklich fast nie. Ich habe idR den Fall nicht, daß ich meine Identität wirklich unbedingt komplett verschleiern müßte (also auch vor Instanzen wie der Polizei/Regierung meines Landes). Würde ich jetzt in China sitzen, würde ich vielleicht prepaid Karten für Onlinezugänge nutzen und ein wenig anders über TOR reden...

Edit: Die prepaid SIMs gab's tlw. bei Straßenhändlern unter der Hand zu kaufen, habe ich auch gemacht. Weiß Gott wo die hergekommen sind...

Ich meine ich hätte das schon mehrmals gesehen (also Hotfixes außerhalb der Patchdays), aber ich kann jetzt nicht direkt KB-Nummern nennen, also müßte ich erst Mal noch recherchieren.

@AV: Hatte ewig lange keinen, jetzt wieder MSSE laufen, mehr aus akademischem Interesse, was XP x64 Support angeht. Aber Avast war ja z.B. echt nicht mehr tragbar. NOD32 wollte ich noch Mal testen, sehe aber aktuell auch ned wirklich einen Grund. MSSE mag alles andere als perfekt sein, aber wenigstens zerfaked es meine SSL Zerts nicht und popped mir nicht permanent irgend eine Werbemüll auf, gegen sowas werde ich recht schnell allergisch.

XIN.at ist btw. auch schon alles andere als eine Ausgeburt der System- und Netzwerksicherheit, aber mir sind schon direkt die Hände gebunden. Einen ordentlichen Let's Encrypt Zert Updater habe ich noch nicht ans Laufen bekommen, noch nicht Mal die Perl Versionen. Es wäre ja schon nicht ganz blöd, die als CA für meine Zerts zu nutzen.. DNSSEC wäre auch noch nice.. Dazu endlich neuere SSL Versionen (manche Services nutzen absolut aktuelles TLS mit entsprechenden Ciphern und Hashalgos bei mir, andere... sind "schwieriger*" zu aktualisieren).

Generell gehörte das komplette Betriebssystem durch ein UNIX ersetzt, aber bei der Migration stellts mir nicht nur die Haare auf, das ist direkt eine senkrechte, 2km hohe, eingeölte Mauer ohne Stufen vor mir...

*man lese: "Unmöglich für jemanden, der kein Hardcore C/C++ Guru und large-scale platform porter ist"...

Es ist halt wie einen zusätzlichen Deflektorschild aufzuspannen, der aussieht wie Schweizer Käse. Wenn du Pech hast, kommt die Kugel geradewegs durch's Loch und dann durch deine Birne geschossen, und wenn du Glück hast.. dann halt nicht.

Komplett sinnlos isses sicher auch nicht. Aber wenn, dann bitte mit NULL Popups, NULL Werbung, mit VT-x/AMD-V gestütztem Sandboxing (Microsoft Malware Protection Engine, JO, ich rede von dir!), und niedriger CPU-Last, gerne durch Nutzung sämtlicher Befehlssatzerweiterungen, die ich so habe... Dafür würde ich ggf. sogar Geld bezahlen, wenn die Erkennungsrate hoch und die False Positives minimal sind.

Is ja ned so, als hätte ich nicht schon früher Powertools für Windows auch Mal geKAUFT zur Abwechslung. Nur Dreck darf's dann halt echt keiner sein.

Nur zur Kenntnisnahme: Ähnlich GAT habe auch ich mehrere PCs mit POSready2009 gepatchtem XP laufen, nur einen davon allerdings (fast) 24/7. Keiner meiner PCs ist befallen. Wahrscheinlich, weil der Ransomware - Schrott sich nur automatisch über lokale Netzwerke verbreitet(?).

IST so!

Du brauchst schon ein Einfallstor, sonst passiert dir genau gar nichts, zumindest was WannaCry und seine Killswitch-befreiten Kollegen angeht, die sich mittlerweile im Umlauf befinden.

Angst mußt du mit solchen Systemen nur haben, wenn du dich in einem großen Firmen- oder Uni-LAN oder ähnlichem befindest. Deswegen hatte ich Sorge wegen meiner produktiven POSReady2009 Maschine auf der Arbeit. Weil ich mir nicht sicher war, ob MS den Patch auch wirklich auf POSReady2009 ausgerollt hatte. Aber die Sorge war unbegründet: Es IST ja passiert, schon im März. Die Kiste rennt auch jetzt noch sauber.

So gesehen bin ich froh, "Herr" unserer kleinen Substruktur zu sein. Da kann ich Updates auch zeitnah installieren, wo es nötig ist, ohne rumtesten und "Corporate Policies" befolgen zu müssen. Dafür habe ich halt einen heterogenen Sauhaufen aus Windows 7, XP, CentOS 5, 6 und 7, Gentoo Linux und tlw. Testmaschinen mit OS X und weiß Gott was noch alles, anstatt eine "saubere, streamlined" Umgebung.. najo.

Kann man sich wenigstens sicher sein, daß nie alles auf einen Satz verreckt.

Haiku ist obskur, aber dennoch nur sehr bedingt ein Netzwerk-OS. Bitte bedenke, daß BeOS strikt als Singleusersystem ausgelegt war, ähnlich Windows 98. Es sieht zwar oberflächlich aus wie ein POSIX kompatibles System, aber laß dich davon nicht täuschen: Auf BeOS und damit auch Haiku OS bist du automatisch "root" (`id` gibt immer 0 zurück.) und es gibt kein Multiuserkonzept. d.h. dein Loginuser hat automatisch alle Rechte am System, und damit auch jeder Code der es irgendwie auf deine Maschine schafft.

Wenn du ein sicheres System als Grundbasis willst, würde ich dir eher OpenBSD UNIX empfehlen, wobei du dabei drauf achten solltest, so wenige Pakete wie nur möglich zu nutzen, die nicht in der Basis des Systems mitgeliefert werden (weil die werden nach extrem strikten Richtlinien des OpenBSD Security Teams audited, und auch von deren Entwicklern gebaut, gehört laut div. Entwicklern zum saubersten Code der Welt).

Dieses UNIX ist also nicht nur ungleich sicherer als Haiku OS, sondern es rennt zur Not auch weit mehr Software drauf, wenn es doch Mal sein muß.

Haiku OS würde ich also nur für unkritische Dinge nutzen wollen.

OpenBSD ist ein gängiges OS für Network Appliances und Embedded Systems, deswegen unterstützens auch so viel. Es gibt sonst KEIN UNIX, daß so viele Plattformen supported wie OpenBSD, allerdings wirst auf den obskureren ziemlich sicher fast alles aus dem ports Tree kompilieren müssen (vgl. Gentoo portage). Für x86_32 und amd64 gibt's aber das meiste als einfach zu installierende Packages.

@Xeon Phi: Nein. Das ist ein kommerzielles Produkt (also auch die Software!), die Supportmatrix findest du [hier]. Im Prinzip nur SuSE Enterprise Linux, RedHat Enterprise Linux und Windows NT 6.1 (Win7, Server2008 R2) oder neuer. Solange die Software nicht quelloffen und frei ist, kann es keinen Support unter irgendeinem OS geben, daß Intel nicht von sich aus versorgt.

Außerdem, ohne unhöflich klingen zu wollen, aber: Was willst du mit einem Xeon Phi? Kannst du mit den Karten und den Software APIs überhaupt was anfangen?! Endbenutzersoftware gibt's eh keine, und von Linux Clusterbetreibern wird erwartet, daß sie ihre Applikationen selbst auf Phi portieren, und dann mit MOAB/MPI arbeiten. Schätze Mal in C, C++ oder Fortran oder sowas.

Edit: Intel's Itanium bzw. die IA-64 Architektur ist jetzt nicht direkt "embedded", wohl der Grund, warum's das nicht supporten. Es gibt einen halbfertigen Port, aber ich hab mir das Zeug nie angesehen. Muß hier meine Frage wiederholen: Was willst mit einem Itanium? Das war bisher die denkbar mieseste CPU die ich je gesehen habe, was die Verwendung "normaler" Software angeht.

Mit Phi kannst als Enduser genau GAR nicht umgehen, weil's nichts dafür gibt. Das macht nur Sinn, wenn du selbst Entwickler bist, und einen Fall hast, bei dem du massiv parallelen Code entwickeln sollst/mußt.. Also der Phi wird in deinen Händen wohl nichts anderes sein als ein totes Stück Blech und Plastik, weil keine Software... Außer du entwickelst wirklich selbst entsprechenden Code.

Zu OpenBSD: Es empfiehlt sich wärmstes, bei der Erstinstallation das [Handbuch] auf einem Zweitrechner nebenan offen zu haben, vor allem dann, wenn das das erste UNIX ist, das du aufsetzt. Speziell der "Installation Guide" Teil ist da Gold wert.

...und XP x64 und Server 2003 auch. Die meisten haben kein Rating, aber nachdem das alles Infoleak und vor allem RCE Exploits sind (stellenweise mit bereits existierender Malware), dürfte sich eine Installation auf entsprechenden Systemen wohl dringendst empfehlen. Ich gehe bei den meisten von "Critical" aus.

Und mich wundert's, daß MS immer noch damit weitermacht... Welchen kommerziellen Nutzen ziehen die noch daraus, diese Fixes öffentlich zu machen? Ich mein, ich bin erfahrungsgemäß der letzte der dem Gaul ins Maul schaut bei sowas, aber .