Aktuelle PC und Internetsicherheit (2017-....)

  • Mit PosReady kommt man aber auch nicht ohne viel händisches Zutun, Einlesen und Recherchieren weiter, kann sein
    System u.U. auch unbrauchbar machen, bringt ein wenig, kann aber zu Fehlern führen. Die EierWollMilchSau isses net.

    Und da die bei WinzigWeich schon ein update gebaut haben und es dem Altuser mit XP nicht ausrollen, grenzt
    das m.M.n. nach an absolute Frechheit, oder totale Ignoranz und Dummheit. Schongar, wenn der aktuelle Fehler in
    den meisten MS OS in ähnlich bis gleicher Form vorliegt und binnen kürzester Zeit gefixt werden kann!
    In irgendeiner Form kommt der Boomerang sonst immer wieder auf sie selber zürück..
    Mit großer M(arktm)acht kommt auch große Verantwortung. ;)

    Es gibt genügend PCs die noch auf XP rennen, und viele davon nur mit XP sonst schleichen ebenjene..
    Meine Ansicht nach besteht da im (Inter-)Netzverbund sogar die PFLICHT! seitens des Distributors/Entwicklers,
    besonders seitens eines Marktführers!!, bei nicht unmaßgeblicher Menge an alten Maschinen im Netz, daß soweit
    wie möglich sicher für die Alten selber und als potentielle Verbreiter zu Schaden Anderer (neuerer OC ala Vista, 7,
    8 10 blah) zu halten.
    Allein die mglw. geringere Rendite lasse ich als Argument bei allgemeinen Infrastrukturen nicht gelten!
    Den Göttern sei es getrommelt, daß keine wirklich schädlichen (z.B. AKW) mit kompromitierbaren Systemen aus dem
    normalen Netzverbund erreichbar sind! (Stichwort: Iran, Stuxnet, Zentrifugen)
    Ich würde sogar eine jährliche Gebühr als Zugabe berappen, allein schon, weil mir viele neue MS OS nicht zusagen,
    Ausnahme Win7. Sollen sie doch die BS vermieten.. wobei die Idee des ständigen Updatens von Win10 auf allen
    Plattformen an sich nicht schlecht ist, nur muss es auch sinnig umgestzt werden, nicht nur in Firmen internen Kalkül.

    Sich hinzustellen und zu sagen:"Zeit für ein bereinigendes Feuer..!" halte ich für zu oberflächlich bis arrogant,
    besonders in Hinblick auf Gewöhnung, effektives Arbeiten, bestehende Hardwarestrukturen und Gesamtkosten
    eines (evtl. nicht. einfach und somit nicht günstig) umzusetzenden Generalupdates (HW + SW).
    Da gilt es seitens MS def. die Firmenpolitik und Handhabung zu überdenken!. Kann sich auch nicht jeder bzw.
    jeder Unternehmen leisten, da immer up2date zu sein, auch wenn die Kosten dafür geringer sein sollten, als die,
    das Resultat eines Angriffes auszubügeln - ich kenne das Argument und sehe diese Sichtweise auch als i.O. an,
    aber ein Altbestand ist nunmal immer vorhanden.. damit gilt es schadensreduzierend umzugehen.

    MS hat sich meines Erachtens nach sowieso zuviele eklatante handwerkliche Fehler geleistet und sollten zusehen,
    immer zügig und ohne Aufsehen die Sicherheit insgesamt zu erhöhen. Allein der massive Gebrauch von Port 445
    für BS /OS internen Kram, das grenzt an Idiotie oder totale Faulheit, damit so ein sperrangelweites Tor für Angreifer
    aufzureißen..


    Zum Schädling selber
    Wie verbreitet sich das Teil eigentlich? Wurm.? Also auf gekaperten Rechnern am Laufen und scannt das Netz
    (intra und inter) auf potentielle Opfer?
    Oder auch driveBy? Emailanhänge ist klar, gibt ja genug Leute und passiert leider manchmal leicht, das entweder
    durch Unachtsamkeit oder Hektik Code ungewollt ausgeführt wird.. da kann man noch so viel warnen..

    Vorbeugung:
    Theorethisch sollte das Einspielen des KB 4012598 ja reichen, wenn man zudem hinter einer Firewall, insbesondere
    Hardwarefirewall sitzt und der Rechner von I-net unsichtbar ist sollte allein das schon Befall zu vermeiden helfen.
    Die Ports 135, 139, 445, und 3389 sowieso, gehören closed, oder noch besser stealth closed; sowas beherrscht ja
    fast jeder normale Router seit Jahren.
    Router bzw. Rechner sollten außerdem ein ungefordertes Ping aus dem Netz verwerfen (kein Rechner hinter dieser IP..).

    Vor dem Hintergrund - was taugen die folgenden OnlinePortScanner?:
    https://www.grc.com/x/ne.dll?rh1dkyd2
    https://www.dnstools.ch/port-scanner.html
    https://www.whatsmyip.org/port-scanner/server/

    Ich komme bei allem zu fully passed, kann mal jemand eine einwandfreie Fuktion gegentesten/bestätigen?!.
    Hinterher neu connecten, damit man per neuer IP im Netz steht und potentiellen Hintermännern es nicht zu leicht macht,
    während man ggf. noch sein Netzwerk weiter absichert.. (besonder bei DSL Modem! genau überprüfen)

    Habe noch was über exploit scanner gelesen, wie soll das funktionieren? Damit schadet man sich doch eher selber, oder?


    Mehr noch als Diskussionen des "Für" oder "Wieder" sind mir hier im Thema schnelle Tippsammlungen (Workarounds) am
    liebsten, damit auch User mit weniger Einblick in diesen Themenbereich zügig Abhilfe schaffen können ;)
    Nicht jeder kennt sich bei jedem PC Teilgebiet hinreichend aus, und zusammen, wenn jeder einen Teil seines Wissens
    beisteuert, wird es für alle besser (auch weil zukünftige Angriffe vermehrt ins Leere laufen und keinen/weniger cash bringen..)

    So denn.. Grüße
    - sytvi -

    Gesendet von meinem T43p mit WinXP32 :D
    (hoffentlich kann ichs noch ne Zeit unter Win (statt Dualboot mit Linux fürs Netz) nutzen, sonst ausgelacht :-/

    Weiterführende Links:
    https://de.wikipedia.org/wiki/Liste_der…disierten_Ports
    https://de.wikipedia.org/wiki/Exploit
    https://www.grc.com/x/ne.dll?rh1dkyd2
    https://www.dnstools.ch/port-scanner.html
    https://www.whatsmyip.org/port-scanner/server/

    http://www.zdnet.de/88194135/windo…is-2019-update/
    http://www.zdnet.de/88296223/ranso…00-windows-pcs/
    ^(selten so einen schlecht zusammengeschusterten Text gelesen :rolleyes::spitze:

    Achja, grad vergessen:
    Zur Überprüfung shell/command aufrufen: netstat [ENTER]
    unter Windows detailiert: netstat -an -o

    Edit 1:
    Und noch n bissl was zu Port 445
    https://www.administrator.de/frage/smb-port…3%BCr-6846.html
    http://www.giga.de/downloads/micr…oder-nuetzlich/

    Edit 2:
    Noch was, daß mir gestern beim Überlegen in den Kopf kam:
    Diese Dreistigkeit seitens MS, über die Updatefunktion immer und immer wieder das unsägliche Win10 allen aufdrücken
    zu wollen!!!! Wie oft wurde es in den Updates deaktiviert und von MS wieder auf anderem Wege (anderes KB) erneut
    versucht den Usern unterzujubeln?!
    Lustigerweise scheint im Gegensatz zu Win10 das ältere Win7 kaum bis wesentlich weniger betroffen zu sein.
    Ein supertolle Verschlimmbesserung ala Balhorn! OMFG - so kann man sich auch ins Knie schießen..

    Sehe ich jedenfalls als ein unmögliches Verhalten dieser Kackbude! Möchte nicht wissen (doch, will ich!), wieviele User
    sich dieser Gängelei durch deaktivieren der automatischen Updates zu entziehen versuchten - - und wo deswegen die
    Autoupdates NOCH IMMER auf disabled stehen!

    So fördert man sicherlich kein Sicherheitsdenken oder schärft gar das Bewußtsein dafür!

    Der Schreiber bringt es in seinem Kommentar insgesamt recht gut auf den Punkt:
    https://www.heise.de/newsticker/mel…en-3713450.html

  • Verbreitung ist klassisch per Mail. Ob es auch über kompromittierte Webseiten passiert weiß ich nicht, kann schon sein. Sobald gestartet geht er einfach alle Rechner im LAN an, und bricht in selbige ein wo möglich.

    Im schlimmsten Fall geht bei einer Infiltration dein komplettes internes Netz nieder.

    Ich hatte btw. mit POSReady2009 bisher super Erfahrungen. Bei meinen Abgleichen mit Server 2003 (als dieser noch Updates bekommen hat) hat sich gezeigt, daß 32-Bit XP durch POSReady2009 auch ziemlich vollumfänglich gepatched wurde. Also darauf will ich mich Mal verlassen, bis 2019 halt, dann is eh alles aus.

    Maschinen die potentiell problematisch sind, muß man dann halt sorgsamer behandeln, abhärten und besser von INet und LAN abschirmen. Oder halt planieren und ein anderes OS drüber..

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Habe das andere Thema grad entdeckt und ein wenig kommentiert Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm

    Wenn eine Kompromittierung nur per mail attechment erfolgen kann, wäre es ja gut, da meidet man wie bisher einfach
    alles Unbekannte, also nix Neues..

    Die Win 9x und Midrange XP Kisten hängen zum Spielen nur intern bei mir drin, internet geht da nicht, Zugriff nur zum Datenaustausch
    auf 2 weitere Rechner, Internetverbindungsfreigabe aus. Wenn da was schiefgeht ists kein Beinbruch, Backup drauf
    und gut. Da die eh nur noch 2-3 bis max. 10 mal im Jahr an sind hält sich die Gefahr in starken Grenzen ;)
    Bei den alten Laptops mit XP siehts da schon kritischer aus, aber auch da dann eben Backup drauf und gut solls sein.

    Wird wohl sowieso massiv auf MS basieren, gegen PosReady Nutzung zu unken, mir sind da auch nur wenige Fälle bekannt,
    wo es zu Fehlern kam, aber XP ist eben nicht PosR oder embedded..

    Schlußendlich wird man mit Gefahren aus dem Netz zu Leben lernen müssen, es wird eher mehr werden und die Anzahl an
    möglichen Fehlerstellen und somit Eintrittspforten logischerweise zunehmen.

    Das es aktuell offensichtlich hauptsächlich mal wieder ganz banal per mail verschickter Schadcode ist, zeugt nicht grad
    zuversichtlich von gestiegener Vorsicht. Ist wie bei HIV oder Krieg - die Menschen stumpfen ab oder vergessen..

  • Windows XP gibt es seit 2001. Microsoft hat nicht von einem auf den anderen Tag den Supporthahn zugedreht. Wenn dann sollen alle Hersteller von Betriebssystemen gesetzlich verpflichtet werden mind. 20 Jahre Sicherheitsupdates zu bringen. Das gilt dann auch für die Smartphones dieser Welt. Ich wünsche viel Spaß bei der Umsetzung...

    Und Microsoft als den Schuldigen für die Geschichte hinzustellen ist etwas kurzsichtig. Es gab schon einen Patch für das Teil als es noch ein 0day war.

    Zitat

    MS hat sich meines Erachtens nach sowieso zuviele eklatante handwerkliche Fehler geleistet und sollten zusehen,
    immer zügig und ohne Aufsehen die Sicherheit insgesamt zu erhöhen. Allein der massive Gebrauch von Port 445
    für BS /OS internen Kram, das grenzt an Idiotie oder totale Faulheit, damit so ein sperrangelweites Tor für Angreifer
    aufzureißen..

    Ich frage mich ja, warum du nicht im Entwicklungsteam sitzt, wenn du mit Bewertungen wie Idiotie und Faulheit um dich wirst.
    Und die Sicherheit insgesamt erhöhen...hm...oben erzählst du was von Windows XP. Wenn ich mein Sicherheitslevel erhöhen will, steht da kein XP.
    Ich sage nicht, dass Microsoft fehlerfrei ist. Sie haben oft bewiesen, dass ihre Patches nicht unbedingt sauber waren, aber die Komplexität des Umfelds in dem sie sich bewegen sollte man zumindest einmal betrachten.


    Mir fallen ein paar Punkte ein, um das reinigende Feuer im Funken schon zu ersticken können:
    - Haltet die Systeme aktuell
    - Habt Budget für Tests und Patches
    - Verbietet den Diensten Sicherheitslücken zu horten
    - Holt euch gute ITler (Psst...die wollen Geld und machen das nicht mal nebenbei)
    - Investiert in die Bildung (gilt immer und überall...also auch hier)

  • Ich sehe den Ransomware/Cryptotrojanern ziemlich gelassen entgegen.

    Habe bei mir (und bei den meisten Kunden die ich betreue) regelmäßige Backups, auf die nur die Backup Software zugreifen bzw. schreiben kann.
    Meistens ist nur eh ein Client und Freigaben des Servers betroffen.

    D.h. für den Kunden kaum Ausfallzeit, bis auf den einen Client, der dann meistens einen Tag in der Werkstatt verbringt.

    Zitat

    - Haltet die Systeme aktuell


    @Chosen
    Deine Punkte sind schon richtig, leider bringt aktuell halten nicht mehr sehr viel.
    Hier kam der Patch ja auch erst nach dem Befall.

    Zitat

    - Holt euch gute ITler


    Leider gibt es sehr viele Schauspieler die im IT Bereich tätig sind.


    Und so langsam stellt sich auch die AV-Branche auf "Die neue Bedrohung" ein.

    https://www.sophos.com/de-de/products/intercept-x.aspx

    Anstatt es als Feature in die AV Software einzubauen, wird es nun einfach als zweite Software für zusätzlichen Schutz vermarktet.

    3 Mal editiert, zuletzt von Grindhavoc (15. Mai 2017 um 00:22)

  • Grade bei mir am 32-bit XP mit POSReady2009 geschaut. Und was überall steht, ist offensichtlich wahr: Auch wenn ich Updates des öfteren verschleppe, dieses hat die Kiste am 28.03.2017 installiert, weil POSReady2009 offiziellen Support hat, also keine manuelle Installation nötig. Vielleicht der Grund warum die Kiste jetzt nicht kompromittiert ist (kA ob unsere Infrastruktur überhaupt irgendwo erwischt wurde, ich sehe ja nur einen winzigen Teil des ganzen).

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Moinsen

    @ chosen

    Man muß doch kein Maurer sein, um zu erkennen, ob ne Wand schief steht ;)

    Die haben bei MS in den letzten Jahren einfach zuviel falsch gemacht und damit einen möglichen Sicherheitslevel
    durch Frustration auf Userseite noch weiter in den Keller gedrückt. Gibt doch reichlich Beispiele.
    Und ob XP oder irgendwas danach spielt m.E. kaum eine Rolle, hat doch quer durchs Beet sämtliche OS erwischt.

    Sicher ist IT ein komplexes Umfeld und irrsinnig viel zu beachten, aber ich werde das Gefühl nicht los, daß MS bei
    einigen Sachen mit Absicht Dinge verschleppt oder verschlimmbessert, deswegen mein harscher Tonfall bzgl. MS.


    @ GAT
    Also läuft Dein XP Hobel noch? Der grad erwähnte PosReady ist Besagter auf Arbeit?

    Ich betrachte den T43p und L40 mit XP ohne Updates seit April 2014 als Langzeittestobjekte inkl. täglicher iNet
    Nutzung. Nach dem, was es so in den letzten Jahren an Schadsoftware gab, hätten die nach als allgemein gültig
    betrachteter Meinung schon X-mal an i-was verrecken müssen. Tun se aber net. Nur der geringe RAM nervt ab
    und an. Vielleicht erwischts die nun, vielleicht später.


    Wenn ich so über den Wannacryptkram sinnier frage ich mich, ob es echt nur ne Erpressung sein soll, oder ob jemand
    versucht den Bitcoinkurs zu pushen, oder ein Ablenkungsmanöver um irgendwas anderes durchzuziehen..
    Vielleicht auch nun ein Bitcoinverbot ins Gespräch bringen und dadurch den Kurs crashen lassen..
    NSA Trojaner im MS Update? Oder oder oder.. große Organisationen sind ja teils so mies, denen traue ich alles (Un-)
    Mögliche zu.. Soll ja sone Irren geben, die wegen Aktienkursmanipulation BVB Busse inne Luft jagen.. also abwarten.

    Vor dem Hintergrund kann ich es gut nachvollziehen, daß sich in sensiblen Bereichen aktive Unternehmen durchaus
    Zeit zum Testen angebotener Updates nehmen. Die möchten ja nicht den Teufel mit dem Beelzebub austreiben.

  • Jo, die Kiste rennt. Wie gesagt, bei mir war das Update schon längst installiert, weil POSReady2009 eben noch ordentlich versorgt wird. Wobei ich auch nicht weiß, ob es überhaupt Einbrüche bei uns gegeben hat, da muß ich erst mal mit irgendwem von der zentralen IT reden, vielleicht Mal beim Kaffee die Woche.

    Die Nutzung von Bitcoin sehe ich da aus völlig anderen Gründen: Nämlich einfach der Verschleierung bzw. Anonymisierung des Zahlungsflusses wegen. Du kannst ja schwer sagen "Bitte überweisen sie $xxx auf folgendes Konto: ...". ;)

    Zur Kursmanipulation sollte sich so eine Maßnahme gar nicht eignen, bzw. sollte sie auch zu klein sein. Um den Kurs maßgeblich zu beeinflussen isses besser für Panik zu sorgen, indem man die Währung an sich bedroht. So gsehen z.B. in China, wo "Untersuchungen" angekündigt wurden, um "Marktrisiken abzuwehren" und illegale BC Transaktionen aufzudecken, und das in den Businbessmetropolen Shangai und Peking. Das hat den chinesischen BC Kurs z.B. fallen lassen, was auch den internationalen Markt beeinflusst hat.

    Dagegen ist das hier wohl Miniatur. Wennst $300 nimmst und eine Million Rechner infizierst, sind das grade Mal 300 Mille (ich geh Mal davon aus, daß der der zahlt das gleich macht, bevor WannaCry auf $600 hochschraubt). Und eine Million Rechner? Das scheint sich nie im Leben auszugehen. Die Gesamtkapazität der BC liegt irgendwo bei 25 Mrd. €. Ich glaub das Lösegeld is wirklich einfach nur das: Lösegeld.

    Sonst brauchst mehr BC-fokussierten Medienrummel. Aber hier liegt der Fokus der Medien ganz klar auf Windows Security, und daß man mit BC zahlen muß, interessiert die so gut wie gar nicht...

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • @ chosen

    Man muß doch kein Maurer sein, um zu erkennen, ob ne Wand schief steht ;)

    Die haben bei MS in den letzten Jahren einfach zuviel falsch gemacht und damit einen möglichen Sicherheitslevel
    durch Frustration auf Userseite noch weiter in den Keller gedrückt. Gibt doch reichlich Beispiele.
    Und ob XP oder irgendwas danach spielt m.E. kaum eine Rolle, hat doch quer durchs Beet sämtliche OS erwischt.

    Sicher ist IT ein komplexes Umfeld und irrsinnig viel zu beachten, aber ich werde das Gefühl nicht los, daß MS bei
    einigen Sachen mit Absicht Dinge verschleppt oder verschlimmbessert, deswegen mein harscher Tonfall bzgl. MS.

    Klar hat Microsoft Fehler gemacht und unsauber gearbeitet. V.a. die Hotfix-Fails nach Win10-Release waren teilweise unfassbar chaostisch.
    Aber Absicht unterstelle ich denen nicht. Was bringt es, wenn Windows kaputt ist? Das bringt ein noch schlechteres Image als bisher schon und mehr Geld macht man damit auch nicht.

  • Mehr braucht man zu diesem Thema eigentlich nicht zu sagen, sofern man unbedingt mit dem Firmennetz im "Netz" hängen will/ muss.
    MS hier den schwarzen Peter unterzujubeln ist geradezu absurd. Bei CB wurde MS gar unterstellt das man hiermit die Migration zu Win 10 (was ja nicht betroffen war/ist) zu fördern. :rolleyes:

  • Unschuldig sind die nicht, da diese Lücke evtl seit 10 oder mehr Jahren bestehen könnte. Warum wurde der nicht gefunden? Das müssen die sich ankreiden lassen.
    Wobei ich da keine Absicht unterstelle...aber Fahrlässigkeit. Das müssen die sich gefallen lassen. Und als es bekannt wurde haben sie gehandelt. Das finde ich gut. Wenn man bedenkt, dass der Patchday 02/17 ausgefallen ist...hm...warum eigentlich? :rolleyes:

  • Bei einer derart komplexen Software wie einem OS gibt es eben solche Lücken. Völlig egal von welchem Hersteller - auch wenn gerne das Gegenteil behauptet wird. Ist das Fahrlässig? K.a.
    Da die Lücke offenbar schon seit zehn Jahren bestand, war sie wohl ganz offensichtlich nicht ganz so einfach zu finden.

    Wie erwähnt, die Lücke wurde gefunden und geflickt. Mehr hätte man rückwirkend kaum machen können.

  • Eine Möglichkeit zum Vorsatz gäbe es aber... Ob das eine reale Möglichkeit ist, werden wir aber wohl nie rausfinden. Diese Lücke war ja angeblich der NSA schon bekannt, und das seit einiger Zeit (im übrigen läßt mich das grübeln: Auf wievielen Systemen läuft wohl schon NSA Code?). Jetzt kann es natürlich gut sein, daß die NSA das schön fein säuberlich unter Verschluß gehalten hat. Was keiner weiß, macht keinen heiß, so in der Art.

    Möglichkeit zwei wäre es, daß die NSA Microsoft aktiv "nahegelegt" hat, nicht auf eigene Faust gegen diese Lücke vorzugehen, es sei denn sie wird durch einen Dritten publik, so wie jetzt geschehen. Natürlich könnte man dagegen argumentieren, daß der Patch ja VOR WannaCry schon da war, daß MS also proaktiv gehandelt habe. Allerdings liegen beide Ereignisse auch zeitlich extrem nahe beisammen, schwer zu sagen wer da was gewußt hat.

    Keine Ahnung wie wahrscheinlich das Szenario ist... Wohl nicht besonders.

    Eines ist jedenfalls klar: Wer den Updates auf offiziell unterstützten Systemen normal gefolgt ist, der wurde auch nicht befallen. Da war - haben ja andere schon bemerkt - sogar genug Zeit für interne Tests und anschließendes Ausrollen.

    Edit:

    Zitat von http://www.zeit.de/digital/internet/2017-05/wannacry-microsoft-nsa-hackerangriff-usa-regierung

    [...] Nach der Ransomware-Attacke hat der leitende Anwalt von Microsoft die US-Regierung für den Angriff mitverantwortlich gemacht. US-amerikanische Geheimdienste wie CIA und NSA hätten für Hacker nützliche Softwarecodes gehortet, schrieb Brad Smith in einem Blogeintrag des Unternehmens. Er forderte Regierungen auf, entdeckte Sicherheitslücken an Softwareunternehmen zu melden, anstatt sie zu horten, zu verkaufen oder auszunutzen. [...]


    Bei einem derartigen öffentlichen Auftritt ist wohl anzunehmen, daß es eher nicht so gelaufen ist wie von mir oben aus dem Sud gelesen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    3 Mal editiert, zuletzt von GrandAdmiralThrawn (15. Mai 2017 um 20:52)

  • Der Vergleich mit dem Diebstahl von Cruise Missiles erschien mir ja anfangs maßlos übertrieben, aber wenn man bedenkt was eine solche Attacke mit Krankenhäusern, Transportinfrastruktur oder sogar Atomanlagen anrichten kann, ist es vielleicht gar nicht Mal sooo weit hergeholt. Grade im Krankenhausfall ist der Verlust menschlichen Lebens bei sowas vielleicht nicht mehr so ganz unmöglich.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Hejho,

    ich dachte bevor ich mich groß in die Diskussion einmische gebe ich einen Abriss wie ich es halte.
    Das schwierigste finde ich oft eine gute Balance zwischen Nutzbarkeit und Sicherheit zu finden. Ich kenne mich grundsätzlich aus und könnte immer alles verbieten und dann nur explizite Dinge zulassen wenn ich mir sicher bin, dass sie harmlos sind, ist aber nicht überall machbar/man wäre nur noch damit beschäftigt.

    Zunächst einmal unterscheide ich bei mir zwischen im großen 4 Arten von prinzipiell Internet fähigen Geräten die ich so einsetze und die ich auch sehr unterschiedlich behandel:

    • Arbeitslgerät:
      Gestellt vom Arbeitgeber mit nur begrenztem Einfluss meinerseits auf die Sicherheit, da einige Dinge vorgegeben sind. Hier sehen die Sicherheitsvorkehrungen in etwa wie folgt aus:

      • Windoof IMMER aktuell halten
      • keine Webseiten Aufrufen die nicht vertrauenswürdig sind, keine unnötigen Programme installieren, bei Programmen gut überprüfen wo sie her kommen etc.
      • Nur für Arbeit verwenden
      • Sehr regelmäßige Backups von ALLEM
      • gut gewartete Firewalls und allgemein gute Netzwerkinfrastruktur (nicht auf meinem Gerät sondern beim Firmennetz allgemein) die sehr rigeros verbieten und Ports die wir nicht dringend brauchen sowieso dicht machen (zum Glück auch mit recht unbürokratischem: ich muss da mal was machen, erlaub mal für (nur) mein Gerät xyz, sonst könnte ich nicht arbeiten)
      • KEIN AV außer dem Microsoft Defender
    • Privatgerät Office/Programmieren/Surfen etc:
      Mein privates Hauptgerät

      • Aktuelles Linux das IMMER mit updates versorgt wird
      • Kritische Dinge in VM ausführen oder angucken
      • Backups von allem
      • Wichtige Daten gut verschlüsselt halten
      • verschlüsselte Messenger (aktuell Tox, wenn jemand eine bessere Idee hat her damit) verwenden
      • Bei besonders kritischen Dingen TOR oder gleich von CD Booten und TOR (aus Praktikabilitätsgründen aber nur wenn ich "wirklich dringend anonym sein muss".)
    • Spiele/Retrorechner:
      Geräte die zum Spielen sind. Von Windows 7 für LANs bis zum T23 Thinkpad, leider aktuell hier in Peru kein Voodoo Rechner *schnüff* muss ich mich noch drum kümmern aber Transport im Flugzeug ist doof und mir fehlen andere Dinge aktuell dringender, die in DE geblieben sind.

      • Nach Möglichkeit KEIN Internetzugang (geht für den Windows 7 Rechner leider nur wenn ich meine 2 Steam Spiele nicht spielen will)
      • Keine kritischen/privaten Dinge ausführen/öffnen (keine E-Mails nicht mal eben darauf was arbeiten etc.)
      • Geräte in einem: und wenn damit was passiert, scheiß drauf ich setze sie für jede größere Aktion neu auf und lasse sie nicht ins Internet Zustand halten
    • Handy

      • Go fuck your self. Weiß jemand ein gescheites aktuelles Schmartphone mit echter QWERTZ Tastatur, das gescheit sicher ist? Vorschläge nehme ich gerne entgegen. Aktuell nutze ich privat ein Blackberry Classic und beruflich ein IPhone 6S Plus aber die letzten male die ich das Weltweite Netz nach Handys durchsucht habe die meinen Anforderungen entsprachen kamen genau 0 Vorschläge und gerade was das Betriebssystem angeht ist man doch ziemlich eingeschränkt...

    Dazu kommen ein paar allgemeine Dinge, die ich unabhängig vom OS und Einsatzzweck versuche zu erfüllen:

    • Im Browser genau wie im Mailprogramm ALLES verbieten was nicht plain HTML (bzw. im Mailprogramm plain text) ist und nur explizit Dinge erlauben
    • Auch wenn GAT recht hat, dass Transportverschlüsselung eigentlich nicht die Lösung ist sondern die Daten selber verschlüsselt werden müssen: Gute Transportverschlüsselung wo immer möglich
    • GPG verschlüsselte Mails mit jedem der das auch unterstützt (wie z.B. meine Mutter, :thumbup: )
    • Bei wichtigen Zertifikaten lieber eine Überprüfung zuviel als zu wenig machen, Signaturen von Softwarepaketen überprüfen, wo besonders wichtig versuchen auf verschiedenen Wegen zu prüfen (Bsp. TOR / Tails Linux)
    • Wo immer möglich Open Source Software einsetzen und bei Bedarf/Möglichkeit ihre Sicherheit selber überprüfen und zur Entwicklung beitragen (gut, das ist vielleicht kein Punkt den jeder umsetzen kann, aber ich liebe Krypto, wozu sonst hab ich den Scheiß studiert?)
    • Beim OS allen Scheiß den ich nicht brauche nach Möglichkeit deaktivieren und oder löschen (Bsp. Cortana)
    • "Experimentelles" erst mal in einer VM machen (das Betrifft nicht nur die Sicherheit im Sinne von Security und ich führe Dinge aus die ich nicht kenne, sondern auch im Sinne von "Safety", ich will das nicht versehentlich was ausfällt, auch ohne (externe) malware, betrifft z.B. meine eigenen Programmier Basteleien von denen ich manchmal nicht weiß ob sie mir vielleicht den Rechner zerschießen oder experimentelle Modifikationen vom Betriebssystem^^)

    Ich denke das ist im großen und ganzen was Aufwand/Erfolg angeht recht OK, man könnte mehr machen, manche Kleinigkeiten werde ich vlt. auch noch verbessern, aber viel mehr wäre auch mit deutlich mehr Einschränkungen verbunden und ich muss auch noch Arbeiten können.

    Was mich immer wieder aufregt, ist das in der Debatte dann das BSI kommt (und die Zeitungen viele auf das BSI aufspringen) und sagt: Jaaaa, siehste mal, so schlimm ist es aber zum Glück gibt es ja uns. Lasst euch von uns beraten und Zertifizieren, dann ist alles gut. NEIN die ganze Zertifizierwut ist teil des Problems. Wenn ich alles immer Zertifiziert haben muss hinke ich gezwungenermaßen hinterher und bin nie aktuell. Und Software aktuell zu haben und sicherheitslücken SCHNELL (und mit schnell meine ich so innerhalb von 4h nach bekanntwerden der Lücke) zu reparieren ist einer der wichtigsten Gegenmaßnahmen.

    Des weiteren schlage ich vor Softwarefirmen zumindest eingeschränkt haftbar(er) zu machen. Wenn jemand wirklich schlampig programmiert, dann soll er auch die Schäden tragen. Und das z.B. Bahnautomaten noch mit XP rumlaufen und nicht gepatcht werden... Das ist so ein Problem wie: Und wer patcht jetzt den Drucker und den Fernseher? Wenn man dafür ein Bewusstsein hat eigentlich kein Problem, aber in der Realität geht es leider oft unter.

    all I can do is be me, whoever that is. -Bob Dylan

    Römer sind keine Bieber!

  • zum Handy:

    ich mache natürlich schon ein paar Dinge um meine Handys sicherer zu bekommen. Dazu gehört natürlich erstmal eine ganze Menge Blödsinn NICHT mit dem Handy zu machen und keine blödsinnigen Apps installiert zu haben die kein Mensch braucht. Das geht dann natürlich weiter bei den Sicherheitseinstellungen vom Browser, zu den Einstellungen von Messengern oder dem Gebrauch eben der selben im allgemeinen.

    all I can do is be me, whoever that is. -Bob Dylan

    Römer sind keine Bieber!

  • Tripplepost :/

    Bei Microsoft würde es imo schon einiges helfen wenn die Sicherheitspatches immer sofort bringen würden und nicht erst am patch day. War diesmal nicht das problem aber es gab mehrfach bekannte sicherheitslücken die MS nicht oder nicht schnell genug gestopft bekommen hat und die dann öffentlich waren und zu denene es dann einen halben Monat später am Patchday einen Patch gab.

    Und das bei MS die eigentlich genügend Sicherheitsmenschen auf ihrer Gehaltsliste stehen haben...

    all I can do is be me, whoever that is. -Bob Dylan

    Römer sind keine Bieber!