T
Tank1966
Gast
? 
Wieso "nette Ausdrucksweise"?
Wieso "nette Ausdrucksweise"?
XP Support Ende 2014 - Wie XP zukünftig absichern bzw. noch verwenden?
- Ersteller User77
- Erstellt am
Lübke
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 21.162
mal ne frage in die runde: warum glaubt ihr wird eine potentielle sicherheitslücke, die schon seit 13 jahren (!) da sein muss, durch die einstellung des supports jetzt plötzlich kritisch? die war seit deutlich mehr als einem jahrzehnt die ganze zeit da und es gab keine panik und kein chaos. also falls ms und co es trotz 13 jahre langer intensiver suche nicht geschafft haben sollten, diese fiktive sicherheitslücke zu entdecken und zu schließen, warum war die verwendung von xp dann jemals in ordnung und ist es auf einmal wegen der selben lücke nicht mehr?
ich hätte viel mehr panik vor win8, weil da gerade erst angefangen wird, nach schwachstellen zu suchen und es noch voller lücken und kinderkrankheiten steckt.
die ganze panikmache dient imho nur einem zweck: hunderte millionen menschen zu nötigen, geld für ein neues os auszugeben, dass sie nicht brauchen. und selbst wenns nur 30 € wären, wären das global zusätzliche milliardeneinnahmen, die ohne die panik nicht da wären.
wer ernsthaft glaubt, xp sei am 8.4. sprunghaft unsicher geworden, der hat das system nicht verstanden.
ich hätte viel mehr panik vor win8, weil da gerade erst angefangen wird, nach schwachstellen zu suchen und es noch voller lücken und kinderkrankheiten steckt.
die ganze panikmache dient imho nur einem zweck: hunderte millionen menschen zu nötigen, geld für ein neues os auszugeben, dass sie nicht brauchen. und selbst wenns nur 30 € wären, wären das global zusätzliche milliardeneinnahmen, die ohne die panik nicht da wären.
wer ernsthaft glaubt, xp sei am 8.4. sprunghaft unsicher geworden, der hat das system nicht verstanden.
D
desmond.
Gast
Lübke ~ so sehe ich das auch.
Panikmache = Geld! Ganz einfach.
XP war unsicher, ist unsicher und wird unsicher bleiben.
Es gibt mittlerweile so viele Bedrohungsarten, da spielt es meist keine Rolle ob w7 oder w8 oder eben XP.
Panikmache = Geld! Ganz einfach.
XP war unsicher, ist unsicher und wird unsicher bleiben.
Es gibt mittlerweile so viele Bedrohungsarten, da spielt es meist keine Rolle ob w7 oder w8 oder eben XP.
Es ist ganz einfach: Viele Fragmente von XP finden sich auch in Vista, 7 und 8 wieder. Warum, glaubst du, wurden bei bisherigen Patchdays dieselben Lücken in allen 4 Systemen gefixt?Lübke schrieb:
So... Jetzt wird eine Lücke für V/7/8 gefixt. Was fällt dem findigen Angreifer ein? Hey, ich guck mal, was der Patch so ändert. Danach guck ich mal, ob die betreffenden Stellen in XP auch existieren.
Ich dachte eigenlicht, du wärst kompetent genug, um so ein offensichtliches Szenario zu erkennen.
Blöd nur, dass:
a) Vista/7/8 so oder so signifikant sicherer als XP sind (ASLR lässt größen, und auch die UAC ist für was gut)
b) V/7/8 auf XP-Rechnern kaum laufen -> neue Hardware wird angeschafft, neue Hardware braucht weniger Strom -> alle gewinnen
c) neuere OS bieten viele Funktionen, die XP nicht bietet (z.B. DX10+). Allein hier kann sich der Wechsel lohnen.
Außerdem: In dem Moment, wo XP endlich mal verschwindet, verschwinden auch IE6&7, während der IE8 deutlich seltener anzutreffen ist.
Für mich als Webentwickler wird der Tag, an dem Nicht-HTML5/CSS3-Browser <5% Marktanteil fallen, ein Freudentag. An dem Tag mach ich n mörderisches Fass auf.
Lübke
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 21.162
dann kannst du mir in deiner endlosen kompetenz sicher sagen, was so offensichtliches fatales in den letzten sagen wir drei jahren bei xp gefunden wurde, dass eine massenpanik rechtfertigt? hast ja genug logs zur verfügung...
anscheinend hälst du microsoft für komplett dämlich, dass sie nicht in der lage sind in über einem jahrzehnt ein einigermaßen sicheres os hinzubekommen?
die fragmente, die von win nt5 noch in v/7/8 stecken, sind bis ins letzte von angreifern wie verteidigern auf angreifbare stellen durchsucht worden. aber es ist jede menge neuer code dazugekommen, der bei weitem nicht so lange und intensiv durchsucht wurde.
diese signifikanz musst du mir mal näher erläutern. was ist denn an xp bitte so signifikant unsicher (und den banken und ministerien, die ja seit jahren auf xp setzen so unbekannt), dass 7/8 signifikant sicherer sein sollen? und warum konnten dann all die firmen, behörden, banken und privatuser mit dieser signifikanten sicherheitslücke so lange leben? bei so signifikanten sicherheitslücken hätten die häcker und virenschreiber die welt schon lange ins chaos stürzen müssen.
alle bis auf dem user, der geld für hardware und os ausgeben muss um einen bruchteil dessen an strom zu sparen. ganz toller tip. nebenbei bemerkt ist mein ältestes system mein sparsamstes, mein neuestes mein stromfressenstes. soviel zu deinen pauschalisierungen...
und das hat genau was mit der panikmache um das angeblich fatale sicherheitsrisiko zu tun? wenn ich wegen der tollen features umsteigen will, dann tu ich das einfach. dazu muss ich mir keine angst vor dem magaangriff auf meinen pc machen lassen.
und das begründet die panikmache jetzt wiederum wie?
du hast ja viele tolle argumente für neue os angebracht nur hat das wenigste was mit der panik um die vermeindlich plötzlich verschwundene sicherheit zu tun.
Da brauch ich nicht so weit zurück.Lübke schrieb:
- dieses Jahr im Februar/März: schwere RTF - Lücke. Dokumenten-Vorschau hat schon ausgereicht, um Schaden anzurichten
- letztes Jahr: Mehrere schwere Lücken in der XML-Implementierung aller IE-Versionen.
Zusätzlich wäre da noch die schwere GDI/TIFF-Lücke, die zwar XP nicht betrifft, wohl aber Office 2k3 (dessen Support ebenfalls diesen Monat ausgelaufen ist).
Shit happens. Aber ja, viele Lücken existieren seit Jahren... das betrifft aber nicht nur MS. Ich denk da nur an Heartbleed.
Belies dich hinsichtlich Address Space Layout Randomization. Das macht verdammt viel aus.
Vor >10 Jahren war XP eben DAS aktuellste System. Es war auch das stabilste und sicherste auf dem Markt. Oder anders: Aufgrund des Microsoft'schen Quasi-Monopols war es das EINZIGE System auf dem Markt.
Dass sowohl Firmen als auch Behörden danach nicht migriert haben ist kein Zeichen für die XP-Qualität sondern für die grenzenlose Inkompetenz der Entscheidungsträger in diesen Firmen & Behörden.
Lübke
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 21.162
das ist n sehr guter satz. genau das. diese lücken sind immer da und sie betreffen jedes os (nicht nur die von ms). wer jetzt noch xp hat und sich in sagen wir zwei - drei monaten erst nen neuen rechner holen möchte (konkretes beispiel aus meinem bekanntenkreis), dem empfehle ich auf keinen fall sofort umzusteigen, sondern bei xp zu bleiben und den nächsten rechner dann mit einem aktuellen os zu nehmen. alles andere ist in meinen augen unfug. und wer damit sowieso nicht ins internet will, für den machts schon mal gar keinen sinn. ich hab ein notebook zum musik machen, da ist (und bleibt!) win2k drauf.
schwere lücken hatten wir z. b. bei win 2k, wo man sich mit tools einfach remote auf einen fremden rechner aufschalten konnte, ohne dass der nutzer was davon mitbekommt und man vollzugriff hatte, wenn der nutzer mit adminrechten drin war. das ist ne wirklich schwere sicherheitslücke. heartbleed ist ne schwere sicherheitslücke. das was man auf xp finden könnte, ist mit einem aufwand verbunden, den lieschen müller und otto normal-user als angriffsziel nicht wert sind. firewall und av-programme bleiben auch weiterhin aktuell, java, ff, flashplayer... alle tun neue lücken auf und schließen sie durch updates wieder, egal in welchem windows. und jedes os ist angreifbar, immer.
die sicherheit von win xp war nie höher und kein anderes os bietet die perfekte sicherheit.
Zuletzt bearbeitet:
Du behauptest hier 2 Dinge:
1.) XP hat aktuell keine so schweren Lücken, dass es sich lohnt. Kann man nicht nachprüfen, außer man hätte den Quellcode und würde einen kompletten Audit machen.
2.) XP hatte in jüngerer Vergangenheit keine schweren Lücken. Du bringst dazu noch eine Win2k-Lücke, die in die Kategorie "arbitrary code execution" fallen dürfte. Das wiederum lässt sich sehr wohl überprüfen.
http://www.cvedetails.com/vulnerabi...min-9/cvssscoremax-/Microsoft-Windows-Xp.html
Ganz schöne Latte, vor allem das Ding auf von diesem März ist doch lustig. Manipuliere eine JPG auf einer Webseite und BÄM!
1.) XP hat aktuell keine so schweren Lücken, dass es sich lohnt. Kann man nicht nachprüfen, außer man hätte den Quellcode und würde einen kompletten Audit machen.
2.) XP hatte in jüngerer Vergangenheit keine schweren Lücken. Du bringst dazu noch eine Win2k-Lücke, die in die Kategorie "arbitrary code execution" fallen dürfte. Das wiederum lässt sich sehr wohl überprüfen.
http://www.cvedetails.com/vulnerabi...min-9/cvssscoremax-/Microsoft-Windows-Xp.html
Ganz schöne Latte, vor allem das Ding auf von diesem März ist doch lustig. Manipuliere eine JPG auf einer Webseite und BÄM!
Lübke
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 21.162
mal kurz direkt aus der erstbesten meldung:
fällt dir was auf?
niemand behauptet xp sei absolut unangreifbar, es geht darum dass die gewaltige bedrohung, die uns ms hier nur zu gern suggeriert, nichts anderes ist wie eh und je und bei jedem anderen os auch. nur dass hier nicht mehr nachgebesser wird und somit im laufe der zeit die sicherheit neuerer os potentiell höher sein wird.
der 8.4. ist schon seit wochen vorbei, das gros meiner rechner hat noch immer win xp und weißte was? die laufen alle noch und sind noch immer genau so sicher wie die, auf denen win7 ist.
fällt dir was auf?
niemand behauptet xp sei absolut unangreifbar, es geht darum dass die gewaltige bedrohung, die uns ms hier nur zu gern suggeriert, nichts anderes ist wie eh und je und bei jedem anderen os auch. nur dass hier nicht mehr nachgebesser wird und somit im laufe der zeit die sicherheit neuerer os potentiell höher sein wird.
der 8.4. ist schon seit wochen vorbei, das gros meiner rechner hat noch immer win xp und weißte was? die laufen alle noch und sind noch immer genau so sicher wie die, auf denen win7 ist.
Es ist genau das, was ich beschrieben habe:Lübke schrieb:
So manche Lücke existiert in Codesegmenten, die in vielen Windows-Versionen enthalten sind. Wenn jemand jetzt den Win7-Patch analysiert kann er Rückschlüsse auf die Lücke in XP schließen.
Potentiell? Jede Lücke, die in einer neuen Version gefixt wird, aber in XP nicht, verbessert die Sicherheit von den gepatchten Versionen.
Gleichzeitig, gemäß dem von mir beschriebenen Vorgehen, sinkt die Sicherheit von XP deutlich. Es macht einen großen Unterschied, ob eine Lücke existiert und niemand davon weiß, oder ob sie bekannt ist. Was, denkst du, war denn das Problem bei Heartbleed?
NOCH ist kein Patchday durch, noch gab es keine Updates für Vista/7/8, aus denen man Fehler in XP ableiten kann.
Aber siehe oben: solche Updates kommen mit Sicherheit. Dementsprechend kommen auch diese Angriffsvektoren für XP.
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.082
Hi,
das was Daaron schreibt hat doch absolut Hand und Fuß! Es wäre in meinen Augen aussergewöhnlich, wenn so etwas nicht eintreffen würde!
Man kann das sehr schön mit folgender evolutionsbiologischer Situation vergleichen: du bist ein Höhlenmensch. Du stehst vor einem Busch. Es raschelt. Jetzt gibt es zwei Möglichkeiten:
1. Es ist ein Tier, dass dich fressen will (worst-case Szenario, Angriff)
2. Es war ein Windhauch (nicht passiert, alles besser als erwartet)
Folgende Optionen hast du jetzt: du bleibst stehen (bleibst bei XP) oder du läufst weg (aktualisierst dein System). Bleibst du stehen und es war ein Windhauch - Glück gehabt. Du läufst weg und es war ein Windhauch - du schaust ein bisschen doof aus. Du läufst weg und es war ein Tier - Glück gehabt. Du bleibst stehen und es war ein Tier - maximaler Schaden.
Übersetzt auf dieses Beispiel heißt das: es ist deutlich sinnvoller, sein System zu aktualisieren, auch auf die Gefahr hin, dass nichts passiert was erwartet wird, da der Aufwand dafür sehr gering ist (in meinem Beispiel "laufen", in der realen Welt 40 Euro für ein neues System, das man Jahre lang nutzen kann). Stehen bleiben, hoffen und abwarten ist im Grunde immer der falsche Weg, weil das Risiko dabei ungleich höher ist, einen erheblichen, nicht wieder gut zu machenden Schaden davon zu tragen. Denn ist das System dann erst einmal kompromittiert ist das Kind in den Brunnen gefallen. Würde ich nicht riskieren - schon gar nicht wegen der paar Euro, die ein neues System kostet.
Und um das Beispiel von oben abzuschließen: die Leute die gewartet haben und es war ein Tier sind mittlerweile so gut wie ausgestorben, schlicht weil sie dank dem Tier gar nicht mehr zur Fortpflanzung gekommen sind
VG,
Mad
das was Daaron schreibt hat doch absolut Hand und Fuß! Es wäre in meinen Augen aussergewöhnlich, wenn so etwas nicht eintreffen würde!
Man kann das sehr schön mit folgender evolutionsbiologischer Situation vergleichen: du bist ein Höhlenmensch. Du stehst vor einem Busch. Es raschelt. Jetzt gibt es zwei Möglichkeiten:
1. Es ist ein Tier, dass dich fressen will (worst-case Szenario, Angriff)
2. Es war ein Windhauch (nicht passiert, alles besser als erwartet)
Folgende Optionen hast du jetzt: du bleibst stehen (bleibst bei XP) oder du läufst weg (aktualisierst dein System). Bleibst du stehen und es war ein Windhauch - Glück gehabt. Du läufst weg und es war ein Windhauch - du schaust ein bisschen doof aus. Du läufst weg und es war ein Tier - Glück gehabt. Du bleibst stehen und es war ein Tier - maximaler Schaden.
Übersetzt auf dieses Beispiel heißt das: es ist deutlich sinnvoller, sein System zu aktualisieren, auch auf die Gefahr hin, dass nichts passiert was erwartet wird, da der Aufwand dafür sehr gering ist (in meinem Beispiel "laufen", in der realen Welt 40 Euro für ein neues System, das man Jahre lang nutzen kann). Stehen bleiben, hoffen und abwarten ist im Grunde immer der falsche Weg, weil das Risiko dabei ungleich höher ist, einen erheblichen, nicht wieder gut zu machenden Schaden davon zu tragen. Denn ist das System dann erst einmal kompromittiert ist das Kind in den Brunnen gefallen. Würde ich nicht riskieren - schon gar nicht wegen der paar Euro, die ein neues System kostet.
Und um das Beispiel von oben abzuschließen: die Leute die gewartet haben und es war ein Tier sind mittlerweile so gut wie ausgestorben, schlicht weil sie dank dem Tier gar nicht mehr zur Fortpflanzung gekommen sind
VG,
Mad
Tatsächlich funktioniert so ein Darwinismus in der IT ebenfalls, wenn auch weniger deutlich.
So manche Firma hat die IT-Sicherheit ganz weit unten in die Prioritätenliste gesetzt. Die meisten dieser Firmen sind heute insolvent, andere haben richtig schwer geblutet und einen bleibenden Image-Schaden davon getragen.
Ich erinnere hier nur an Sony. Also wer sich mit ner SQL Injection hacken lässt, der verdient jede Millionen, die daraus an Schaden entsteht.
So manche Firma hat die IT-Sicherheit ganz weit unten in die Prioritätenliste gesetzt. Die meisten dieser Firmen sind heute insolvent, andere haben richtig schwer geblutet und einen bleibenden Image-Schaden davon getragen.
Ich erinnere hier nur an Sony. Also wer sich mit ner SQL Injection hacken lässt, der verdient jede Millionen, die daraus an Schaden entsteht.
Lübke
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 21.162
ich glaub ihr versteht nicht was ich zu sagen versuche. ich greife mal das beispiel mit den büschen auf:
die büsche waren schon immer da. die höhlenmenschen laufen da immer rum und es is auch mal vorgekommen, dass einer angegriffen wurde. jetzt kommt höhlenmensch ms und sagt: da können tiere drinsitzen. daarons lösung: vernichtet augenblicklich sämtliche büsche und schafft eine wüste. die tiere sind zwar noch da und greifen weiter menschen an, aber zumindest verstecken sie sich dann nur noch hinter felsen und nicht hinter büschen.
ich sage, wer die letzten jahre und jahrzehnte mit xp überlebt hat, braucht nich gleich in panik zu verfallen. auch in der vergangenheit (und in der zukunft) wurden und werden immer wieder lücken von angreifern entdeckt werden bevor ms oder kasperski und co sie schließen kann.
es soll künftig immer mehr dienste geben, bei denen man sich auch mit seinem facebook- oder googleaccount anmelden kann. sogar für windows soll sowas geplant sein. eine solch enorme sicherheitslücke wird es in windows xp wohl niemals geben. die daten, die über jeden freien hotspot an einige der hauptangriffsziele von hackern gesendet werden zur sicherung seiner daten? da macht sich keiner gedanken drüber. hab erst letztens von einem sicherheitsexperten gehört wie leicht man solche daten massenhaft an bahnhöfen, cafes, hotellobbys und anderen sammelpunkten massenhaft abfarmen kann. und da spielt das os überhaupt keinen walzer bei. ob win xp, win8, android oder win95 is da wurst. dagegen sind die potentiellen sicherheitslücken von xp einfach nur lächerlich.
und was ist mit denen, die mit einem smartphone ins internet gehen? womöglich noch ganz ohne antivirensoftware und firewall? dagegen ist win xp fort knox.
wer so eine panik hat vor potentiellen lücken hat, der sollte am besten sein internet ganz abmelden. denn das ist das einzige, was ihn wirklich vor angriffen schützen kann.
ansonsten schützt am besten der gesunde menschenverstand. nicht jeden shice von dubiosen internetseiten anklicken und seine antiviren- und firewallsoftware aktuell halten, dann ist man schon relativ sicher. mit win 7/8 künftig noch ein kleines bisschen sicherer als mit xp, aber das wars. mit xp steigt die bedrohung eines angriffs gegenüber win7/8 dann von 0,0001 % auf 0,00011 %. irgendwie lässt mich das noch ganz ruig schlafen.
die büsche waren schon immer da. die höhlenmenschen laufen da immer rum und es is auch mal vorgekommen, dass einer angegriffen wurde. jetzt kommt höhlenmensch ms und sagt: da können tiere drinsitzen. daarons lösung: vernichtet augenblicklich sämtliche büsche und schafft eine wüste. die tiere sind zwar noch da und greifen weiter menschen an, aber zumindest verstecken sie sich dann nur noch hinter felsen und nicht hinter büschen.
ich sage, wer die letzten jahre und jahrzehnte mit xp überlebt hat, braucht nich gleich in panik zu verfallen. auch in der vergangenheit (und in der zukunft) wurden und werden immer wieder lücken von angreifern entdeckt werden bevor ms oder kasperski und co sie schließen kann.
es soll künftig immer mehr dienste geben, bei denen man sich auch mit seinem facebook- oder googleaccount anmelden kann. sogar für windows soll sowas geplant sein. eine solch enorme sicherheitslücke wird es in windows xp wohl niemals geben. die daten, die über jeden freien hotspot an einige der hauptangriffsziele von hackern gesendet werden zur sicherung seiner daten? da macht sich keiner gedanken drüber. hab erst letztens von einem sicherheitsexperten gehört wie leicht man solche daten massenhaft an bahnhöfen, cafes, hotellobbys und anderen sammelpunkten massenhaft abfarmen kann. und da spielt das os überhaupt keinen walzer bei. ob win xp, win8, android oder win95 is da wurst. dagegen sind die potentiellen sicherheitslücken von xp einfach nur lächerlich.
und was ist mit denen, die mit einem smartphone ins internet gehen? womöglich noch ganz ohne antivirensoftware und firewall? dagegen ist win xp fort knox.
wer so eine panik hat vor potentiellen lücken hat, der sollte am besten sein internet ganz abmelden. denn das ist das einzige, was ihn wirklich vor angriffen schützen kann.
ansonsten schützt am besten der gesunde menschenverstand. nicht jeden shice von dubiosen internetseiten anklicken und seine antiviren- und firewallsoftware aktuell halten, dann ist man schon relativ sicher. mit win 7/8 künftig noch ein kleines bisschen sicherer als mit xp, aber das wars. mit xp steigt die bedrohung eines angriffs gegenüber win7/8 dann von 0,0001 % auf 0,00011 %. irgendwie lässt mich das noch ganz ruig schlafen.
Zuletzt bearbeitet:
Ja, allerdings war das nicht schlimm, da Microsoft die Lücken dann immer zum nächsten/übernächsten Patchday geschlossen hat, also noch bevor sie groß ausgenutzt werden konnten.Lübke schrieb:
Wenn jetzt eine Sicherheitslücke auf einem Windows XP-Rechner ausgenutzt wird, wird sie nicht mehr geschlossen und man könnte die XP-Rechner sogar zur Verbreitung von Schadsoftware an weitere XP-Rechner nutzen.
Sobald ein Hacker nun EINE EINZIGE Sicherheitslücke findet, kann er damit ALLE Windows XP-Rechner angreifen. Deshalb ist Windows XP nun auch ein lukratives und einfaches Ziel.
Naja, wer in einem öffentlichen WLAN surft ist selbst Schuld.
Dies hat aber eigentlich gar nichts mit Windows XP zu tun.
Auf einem Smartphone läuft Software üblicherweise in einer Sandbox und niemals mit Administratorrechten. Selbst ein 2 - 3 Jahre Android ist deshalb sicherer als ein Windows XP in 2 - 3 Monaten. Virenscanner und Firewalls helfen nicht gegen Sicherheitslücken.
Mit Windows XP wird es wohl irgendwann so sein, dass das einfache Aufrufen einer infizierten Website bzw. eines infizierten Ad-Servers ausreichen wird, das System zu übernehmen (siehe z. B. Lücken den den Grafik-Bibliotheken).
Gerade im Zeitalter der Heartbleedlücke, durch die einige Server bis heute noch anfällig sind, darf man keiner Website mehr vertrauen.
Zuletzt bearbeitet:
Jetzt streichen wir mal "Tiere" und ersetzen durch etwas, dass erhöhte kognitive Fähigkeiten hat und sich situative Änderungen sehr leicht zu Nutze machen kann... so wie ein Mensch.Lübke schrieb:
Situation am Anfang:
- alle Höhlenmenschen werden ab und zu gefressen
Nach einigen Warnungen (Sicherheitsupdates) durch den Stammesfürsten:
- alle Höhlenmenschen wissen, dass Büsche gefährlich sind
Jetzt kommt die Aufspaltung. Unsere Räuber haben erkannt, dass jeder inzwischen gegen Büsche sensibilisiert ist, nicht aber gegen trübe Wasseroberflächen.
- 50% der Höhlenmenschen erhalten ein Update. Sie wissen, dass sie trübe Wasseroberflächen meiden sollten
- 50% der Höhlenmenschen erhalten das Update nicht.
Welche 50% werden jetzt mit deutlich höherer Wahrscheinlichkeit angefallen?
Ja, diese Zero Day - Problematik existiert.
Aber wieder verkennst du die Realität aufs Gröbste.
Zero Days sind schweine teuer. Für die Dinger gibt es einen Schwarzmarkt. Niemand zündet die "grundlos" und kommt mit der Lücke aus der Deckung. Man muss sie zwar irgendwann nutzen, bevor sie jemand anders nutzt oder das Ziel sie selbst findet, aber man kann sich erst einmal Zeit lassen, war teuer genug.
Wenn ich von zeinem Zero-Day in allen Windows-Versionen weiß, dann feuer ich auf großer Bandbreite. Microsoft wird hier zügig reagieren. Vista+ erhält mit etwas Glück sogar ein Update außerhalb des Zyklus, maximal aber zum nächsten Zyklus. XP bleibt dauerhaft auf der Lücke sitzen.
So, das war die erste Angriffswelle. Die fordert viele Opfer und die Katze ist aus dem Sack. Ab jetzt ist der Zero-Day keiner mehr, die Lücke ist fast wertlos, jeder Hobby-Hacker kennt sie und kann versuchen sie zu nutzen. Sie ist gut dokumentiert.
FAST wertlos? Genau... denn es gibt immer Systeme, die kein Update erhalten haben. Gleichzeitig hast du nicht mehr einen koordinierten Angreifer, sondern eine Vielzahl. Die Bedrohungslage durch dieselbe Lücke ist exponentiell gestiegen.
Tatsächlich ist oAuth-Login sogar ein wichtiger Sicherheitsfaktor. Wieso?
Nun, für Otto-Normal-User, was ist das häufigste Sicherheits-Ups, das ihm passiert? Genau: Er meldet sich mit den selben Credentials bei zig Diensten an. Einer der Dienste (nennen wir ihn mal Mister Spex) speichert jetzt das Passwort im Klartext und lässt sich hacken. BÄM, so schnell kommt man an Mailadresse + Passwort, also quasi die digitale Identität.
Bei je mehr Diensten (Shops, Foren,...) du dich registrierst, desto zäher wird es, die Passwörter zu verwalten und desto verlockender, ein generisches für vieles/alles zu nutzen.
Hast du hingegen oAuth, dann hast du EIN Passwort bei einem Dienstanbieter, der die Sicherheit seiner Systeme im Griff hat, z.B. Facebook.
Aber: Das ist so oder so kein Windows-Problem, vor allem keins von XP vs. "Vista/7/8 oder Linux"
1.) Wer freien Hotspots vertraut ist selbst schuld.
2.) Wer für freie Hotspots kein VPN (im eigenen, heimischen Router) verwendet, ist selbst schuld.
Aber: wieder kein XP-Problem.
Dank komplexerer Rechte-Struktur in den vornehmlich unix'oiden Betriebssystemen sowie den Sandbox-Mechanismen... Vergiss es.
Ich sage: Investiere 40€ und einen Nachmittag, und du bist weitestgehend (und vor allem langfristig) auf der sicheren Seite
Du sagst wahlweise: "Steck den Kopf ind en Sand, es passiert dir nichts" oder "Zieh alle Stecker, wander in die Walachei aus"
Sorry, aber deine beiden Lösungen sind, verglichen mit meiner, totaler Schwachsinn.
Und schon wieder verbreitest du Bullshit. Schon wieder plapperst du den Schwachsinn nach, den andere gebetsmühlenartig herunterleiern, um sich selbst ein sicheres Gefühl zu geben.
Lies die verdammte Sicherheitslückenseite, die ich dir gepostet habe. Denk über die Implikation einer Lücke in GDI nach.
Oder halt... offensichtlich kannst du das ja doch nicht. Ich habe dich maßlos überschätzt. Also erklär ichs dir...
- Browser öffnet (legitime) Webseite
- Webseite enthält, z.B. durch angegriffenen Ad-Server, manipuliertes Bild (z.B. jpg)
- Fehlerhafte GDI - Implementierung reagiert auf manipuliertes Bild
- Angreifer erhält tiefgreifenden Systemzugriff
NIRGENDWO in dieser Kette greifen "gesunder Menschenverstand" (oftmals brain.exe genannt, von Idioten, die ihre eigene nicht starten können), Antivirus oder Firewall.
- Firewall... Es erfolgt kein illegitimer Zugriff. Alles läuft durch den authorisierten Browser auf Port 80
- Antivirus... Es wird keine obskure Binary-File übertragen. Kein AV scannt Grafiken oder Audio-Dateien. Solche Angriffe lösen keine Heuristik aus
- Menschlicher Faktor... wieder nix. Du bist ja hier nicht auf wilde-warez-site.cn, sondern (wie vor 2-3 Jahren erst passiert) auf wetter.com.
Und auch die vielgerühmten Scriptblocker wie NoScript helfen hier genau NULL. Der Vektor über die GDI-Komponente ist so elementar, dass nur ein Fix von GDI etwas dagegen ausrichtet.
Lübke
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 21.162
keine, denn da am trüben wasser 50% weniger zu holen ist werden unsere intelligenten hacker... äh tiere sich eine neue list suchen, wo sie 100% erreichen können. die dummen tiere lauern noch hinter den büschen. nur ein geringfügiger teil wird es noch am wasser versuchen und sich mit der restmenge zufrieden geben.
für unsere höhlenmenschen bedeutet das: wurden vorher 0,001 % opfer einer tieratacke, sind es bei einer hälfte jetzt 0,001 %, bei der anderen wenns hochkommt und 20% der tiere dumm sind 0,0012 %.
und darum sind sie auch für xp nicht gefährlicher als für win7/8. denn für eine lücke die nur einen teil der user betrifft, ist sowas vollkommen sinnfrei. wenn ich einen solchen aufwand betreibe, will ich alle treffen und mich nicht mit einer teilmenge zufrieden geben.
das soll nur dieses achso gewaltige xp-problem in relation setzen. es gibt weit größere sicherheitsprobleme, die seltsamerweise keine massenhysterie auslösen.
ich habe überhaupt keine lösungen geboten, ich habe nur deine panikmache bewertet. zumal deine "lösung" ja auch nichts löst, sondern das problem erstmal nur minimalst verringert und in keinster weise löst.
hab ich. hab immernoch xp und bin immernoch kein hackeropfer. was lernen wir daraus? realität > propaganda
gutes beispiel. vor 2-3 jahren mit win7 drauf: betroffen, weil lücke bei allen os. heute mit win xp drauf: nicht betroffen, weil wetter.com das problem gefixed haben.
du hast noch immernicht verstanden was ich die ganze zeit sage: deine angst ist irrational. sie steht in keinem verhältnis zur geringfügig gestiegenen problematik. beim nächsten rechner win7/8 drauf und gut is. ok, sollte der nächste rechner erst in etlichen jahren anstehen, dann wäre ein os-wechsel vorher natürlich ratsam, aber keiner muss jetzt in panik verfallen.
ok versuchen wirs mal andersrum: wie lange hast du jetzt internet und wie oft wirst du durchschnittlich pro jahr gehackt?
@anyone23: sry hatte deinen post übersehen.
das entdecken und schließen der lücken dauert sehr viel länger. nur hält ms das problem solange unter verschluss, bis sie eine lösung gefunden haben, um keinen imageschaden zu nehmen.
die allerwenigsten lücken erlauben dir einen vollzugriff aufs system. und selbst wenn: der aufwand zur programmierung von schadsoftware ist der gleiche wie für eine lücke, mit der er alle windows treffen kann. sagen wir er schafft es so eine schadsoftware in nur drei monaten zusammenzuklickern. jetzt haben sich in diesen drei monaten weitere 10% neue rechner gekauft, die mit win8 ausgeliefert werden und ein paar sind so umgestiegen. wenn er sich jetzt auf win xp spezialisiert hat, schlüpfen ihm immer mehr potentielle ziele durch die finger. es macht wenig sinn auf ein sterbendes pferd zu wetten.
es gibt übrigends massen an systemen, auf denen autoupdate aus ist. manche leute verwenden noch sp2 oder älter. es gibt sogar noch einen geringen anteil an win2k-rechnern im netz. wir erleben also schon seit jahren die fatalen folgen von nicht geschlossenen lücken...
richtig, dennoch tuns millionen. aber wie gravierend sind denn die auswirkungen? der sicherheitsfachmann von dem ich geschrieben hab hat auf einer veranstaltung referiert wos um das thema it-sicherheit ging. bereits zu beginn der veranstaltung hatte er von fast allen teilnehmern wichtige email-zugangsdaten, weil er seinen laptop als t-com zugangspunkt getarnt hatte und ihm alle ins netz gegangen sind. wohlgemerkt auf eine veranstaltung zum thema netzsicherheit wo man eigentlich für das thema sensiebel sein sollte.Naja, wer in einem öffentlichen WLAN surft ist selbst Schuld.
xp ist nicht sicher, aber alles andere ist es auch nicht. aber die größte sicherheitslücke ist der nutzer vor dem bildschirm.
falls noch so eine krasse lücke existieren sollte und ms sie nicht finden konnte, werden seriöse seiten bei bekanntwerden des problems dieses beheben. wer natürlich dubiose warez- und pornoseiten besucht, muss mehr für seine sicherheit tun und eben zeit und geld investieren, um sein system besser zu schützen als andere. dem würd ich tatsächlich auch empfehlen, lieber ein os mit permanenten updates zu nutzen.
ist wie mit dem autofahren: jeden tag sterben menschen bei verkehrsunfällen. als der airbag aufkam, hast du da sofort dein auto verschrotten lassen und dir ein neues mit airbag gekauft? ich für meinen teil jedenfalls nicht. und ich hänge an meinem leben.
Zuletzt bearbeitet:
Dem ist nicht so. Als Beispiel soll mir mal Conficker dienen, du erinnerst dich sicher noch an das Monster.Lübke schrieb:
ANFANGS zielte er auf eine Zero Day - Lücke. Dagegen kann man nichts machen. Microsoft haben aber ungewöhnlich schnell reagiert und sogar ein Update außerhalb des Zyklus veröffentlicht, um die Lücke zu schließen. Das war im Oktober 2008. 3 Monate später waren immer noch gut 30% der Windows-Maschinen verwundbar. Auch wenn die Verbreitung der Patches die Welle langsam eindämmen konnte, 3 Monate sind eine laaaaaange Zeit, sowohl für ein OS als auch für Angreifer.
Es gibt Probleme, die man leicht lösen kann, und es gibt welche, deren Lösung schwerer wiegt. Nur weil man nicht in der Lage ist, die großen Probleme anzugehen, sollte man die leicht zu lösenden nicht vernachlässigen.
Analog: Ich kann nichts dagegen tun, dass mich ein übermüdeter Trucker in die Leitplanke matscht, also muss ich meine rutschende Fußmatte auch nicht austauschen.
Außerdem: Das von dir beschriebene Szenario betrifft nur den User selbst. Er selbst büßt Daten ein. Das ist übel, aber kommt vor. Ein XP-Szenario hingegen... Hier wird die XP-Mühle zu einem Bot und dient als Malwar- und Spam-Schleuder sowie für DDoS.
Analog: Weil DU zu geizig warst, deine Fußmatte in Ordnung zu bringen und du nicht bremsen konntest, mussten jetzt 20 Leute an einer Bushaltestelle bluten und sterben.
40€, um das Problem mehrere Jahre einzudämmen.
Zähl mal deine Ausgaben. Rauchst du? Trinkst du? Gönnst du dir z.B. sogar edlen 18-jährigen Single Malt Scotch? Gehst du ins Bordell? Oder hängst du mit Kumpels im Kino rum (10€+ pro Besuch), gehst du zum Bowling (10€ Minimum), besuchst du Konzerte (20-30€) oder gehst du gar auf Festivals (80-180€ + Anfahrt, Futter,...)? Führst du deine Freundin zum Essen aus (60€+)?
Also wirklich: 40-50€ für ne neue Windows-Lizenz alle 7-8 Jahre ist total pille-palle. Tatsächlich kannst du den Kram sogar von der Steuer absetzen.
Ich hab Trucker gesehen, die sich während der Fahrt die Fußnägel geschnitten haben. Sie hatten noch nie einen Unfall. Was lernen wir daraus?
Wieder machst du den gleichen Fehler. Du denkst, du wärst sicher, weil dir bisher nichts passiert ist und weil du bisher Patches erhalten hast, die dich schützen.
Folge meinem Gedankenspiel mit der GDI - Lücke. Lass eine analoge Lücke HEUTE auftreten. Ist das undenkbar? Keineswegs, war doch vor wenigen Monaten erst eine aufgetaucht (die schon über ein Jahrzehnt existiert).
Wenn die Lücke HEUTE entdeckt wird, dann leiden alle Windows-Versionen kurzfristig. MS bringt einen Patch, alles ist wieder gut.... außer für XP. Das leidet bis zum Sankt-Nimmerleins-Tag.
Erfolgreiche Angriffe bei mir: 0... aber ich surfe meist unter Linux und immer mit aktueller Software
Erfolgreiche Angriffe bei Kumpels: einige
Andererseits: Versuchte Angriffe auf Server, die ich administriere: Zahllos.
Und wieder liegst du meilenweit daneben.
Ja, einige Lücken entdeckt MS selbst und behebt sie unter der Hand. Alle? keinesfalls.
Neben den Lücken, die von Angreifern entdeckt werden (und aus denen die richtig bösen Zero-Days werden), existieren viele weitere Lücken, die von legitimen Dritten gefunden und gemeldet werden. Einer der großen Spieler hier ist Google.
Beispiel? http://cvedetails.com/cve/CVE-2012-1889/
Hier meldete Google die Lücke Ende Mai an MS, Mitte Juni erschien der öffentliche CVE und der Patch... Tja. Der kam erst im Juli.
Windows XP still has 27 per cent market share on its deathbed
Klingt für mich nicht nach "sterbendes Pferd", sondern eher nach "fette Beute".
Du gehst davon aus, dass die Seiten darauf viel Einfluss haben. Haben sie aber nicht. Indem du ein Ad-Netzwerk zur Verteilung deines Schadcodes verwendest triffst du großflächig. Genau das hat ja z.B. Wetter.com damals erwischt: eine Lücke in dem OpenX - Server, der ihre Werbebanner zur Verfügung stellt.
Außerdem... Kind im Brunnen und so... Vor 1-2 Jahren wurden alle Seiten von Computec Media gehackt. Würde der Angreifer jetzt getarnte Schadcode-Bilder einbetten anstatt offensichtlich mit Defacements durchzuführen, könnte der Hack über Tage unbemerkt bleiben. Die potentielle Zielgruppe wäre enorm.
Außerdem, was heißt "...und ms sie nicht finden konnte"? Die obige GDI-Lücke existierte MINDESTENS seit XP, also weit über 10 Jahre. Ähnliche Lücken sind ähnlich alt, z.B. die RTF-Lücke neulich.
Blödes Beispiel. Ein Auto, vor allem ein Neuwagen, kostet eine beachtliche Summe. Selbst die kleinsten Printen kosten 10k aufwärts, wofür ne alte Frau schon lange putzen muss. Ob du nun lieber einen Airbag hättest oder nicht, das Geld für das Auto mit Airbag hast du nicht.
Ein OS-Upgrade hingegen... 3-4x nicht ins Kino gegangen, 3 Blueray-Filme nicht gekauft, 1-2x nicht aufs Konzert gegangen... schon hat man das Geld.
Naja XP is jetzt nicht sicherer oder unsicherer als vor paar Monaten.
Nur weils 1 Monat keine patche mehr gibt is das Scheunentor für malware nicht automatisch weit offen.
Tw bekam man durch patche auch einfach nur neue/andere Probleme
ja auf Dauer sollte man umsteigen aber jetzt in Panik zu verfallen halte ich für überzogen.
Das OS is schließlich nicht das einzige Einfalltor. Java, Browser bzw plugins tun da ihr übriges.
Und es gibt genug Firmen die XP noch nutzen und das wird auch erstmal so bleiben.
IdR läuft auf den ganzen Geldautomaten zB noch XP und da fangen die nicht morgen an auf Win 7 zu migrieren.
Häufig wird in Firmen auch nicht am patchday alles brav installiert sondern man wartet erstmal (zumindest im Sparkassenumfeld) bis die IT das alles validiert hat.
Is ja nicht so das MS nicht mal den ein oder anderen fehlerhaften patch wieder zurückgenommen hat
Nur weils 1 Monat keine patche mehr gibt is das Scheunentor für malware nicht automatisch weit offen.
Tw bekam man durch patche auch einfach nur neue/andere Probleme
ja auf Dauer sollte man umsteigen aber jetzt in Panik zu verfallen halte ich für überzogen.
Das OS is schließlich nicht das einzige Einfalltor. Java, Browser bzw plugins tun da ihr übriges.
Und es gibt genug Firmen die XP noch nutzen und das wird auch erstmal so bleiben.
IdR läuft auf den ganzen Geldautomaten zB noch XP und da fangen die nicht morgen an auf Win 7 zu migrieren.
Häufig wird in Firmen auch nicht am patchday alles brav installiert sondern man wartet erstmal (zumindest im Sparkassenumfeld) bis die IT das alles validiert hat.
Is ja nicht so das MS nicht mal den ein oder anderen fehlerhaften patch wieder zurückgenommen hat
Nun. Bisher kann man sagen: Schwein gehabt.U-L-T-R-A schrieb:
Es war auch absolut plausibel, dass die Bösen Jungs bereits im Februar/März eine Reihe von Zero-Days in der Hinterhand hatten und nur auf April gewartet haben, um sie zu zünden.
Ein verwundbares OS ist aber das einfachste und gefährlichste Einfallstor. Nehmen wir mal die angesprochene GDI-Lücke... Es wäre total egal, ob du einen uralten, ungepatchten IE6 oder einen hochgerüsteten Chrome/FF hast. Genauso wäre es egal, ob du Scriptblocker verwendest, kein Flash/Java drauf hast,... alles vollkommen egal. Eine Webseite mit einer manipulierten JPEG hätte dich trotzdem in deine Einzelteile zerlegt.
...und diese Firmen und Behörden werden dafür auch kräftig bluten. Hier waren wieder einmal wasserköpfige, träge Buchhalter bei der Arbeit.
Das ist nicht XP sondern Embedded XP. Dafür gibts erstens noch ne Weile Support, andererseits hängen Geldautomaten nicht am Internet. Die Dinger bilden ein eigenes, geschlossenes Netzwerk. Ein Angriff ist hier zwar nicht ausgeschlossen, aber extrem unwahrscheinlich.
Sicher, aber auch das ändert nichts. Firmen, die ein solches Patch-Konzept haben, haben auch ein paar andere restriktive IT-Guidelines. Das kannst du nicht mit inkompetenten Privatusern vergleichen.
Oder hast du ein komplexes Intrusion Detection System laufen?
T
Tank1966
Gast
und was bedeutet das nun für einen unbedarften User wie mich?
Ich kenne mich mit Quellcodes usw. gar nicht aus.
Ich nutze mein XP nur für meinen TV-Server ohne aktive Nutzung des Internets. Autom. Updates deaktiviert.
Virenscanner wird regelm. aktualisiert.
