News Hackerangriffe: Sicherheitslücke in Exim-E-Mail-Server wird ausgenutzt

Frank

Chefredakteur
Teammitglied
Dabei seit
März 2001
Beiträge
5.808

yummycandy

Commander
Dabei seit
März 2005
Beiträge
2.816
Das Exim auf 50% der Server läuft, ist übrigens übertrieben (nicht von euch). Der Grund ist, daß die meisten Server keinen Ident-String schicken, sondern anonym bleiben. Auf den verbleibenden könnten es allerdings 50$ sein. ;)
 

Highspeed Opi

Admiral
Dabei seit
Nov. 2007
Beiträge
8.312
@yummycandy
Wenn man Statistiken erstellt, muss man nicht unbedingt 100% aller Server auswerten.
So wie bei Umfragen, muss man je nach Thema nur einen gewissen kleinen Bruchteil befragen, um eine ungefähre Hochrechnung auf die ganze Bevölkerung machen zu können.
 

yummycandy

Commander
Dabei seit
März 2005
Beiträge
2.816
@yummycandy
Wenn man Statistiken erstellt, muss man nicht unbedingt 100% aller Server auswerten.
So wie bei Umfragen, muss man je nach Thema nur einen gewissen kleinen Bruchteil befragen, um eine ungefähre Hochrechnung auf die ganze Bevölkerung machen zu können.
Nochmal, die meisten Server lassen sich nicht identifizieren und das aus Sicherheitsgründen. Genau deshalb sind diese Statistiken kaum sinnvoll. Klar ist Exim verbreitet, aber wieviel, das wissen wohl nichtmal die Entwickler.
 

Highspeed Opi

Admiral
Dabei seit
Nov. 2007
Beiträge
8.312
@yummycandy
Das hast du bereits geschrieben und es zu wiederholen macht es nicht besser, richtig (falsch) oder sonst was.
 

shuikun

Lieutenant
Dabei seit
Apr. 2012
Beiträge
648
Oder kurz: Auf allen unmanaged 50 cent im jahr Linux Frickelservern....
 

yummycandy

Commander
Dabei seit
März 2005
Beiträge
2.816

Askat86

Lt. Junior Grade
Dabei seit
Dez. 2011
Beiträge
328
Was opi damit sagen will:
Auch nicht identifizierte Server werden im Schnitt auf die gleichen Technologien setzen wie ihre identifizierten Kollegen. Daher kann man mit den bekannten eine Hochrechnung machen und wird grob richtig liegen. Dein Argument das sie unbekannt wären ist da hinfällig.
 

yummycandy

Commander
Dabei seit
März 2005
Beiträge
2.816
Was opi damit sagen will:
Auch nicht identifizierte Server werden im Schnitt auf die gleichen Technologien setzen wie ihre identifizierten Kollegen. Daher kann man mit den bekannten eine Hochrechnung machen und wird grob richtig liegen. Dein Argument das sie unbekannt wären ist da hinfällig.
Es gibt neben exim noch Postfix, Sendmail, Exchange und eine Menge anderer MTAs, wie will ich da ne Hochrechnung machen, wenn die Masse sich nicht identifziert? Sry, das geht mir nicht in den Kopf.

Das ist mit Programmen schwer, weshalb die Anbieter meißt auf Feedback (Telefmetrie, Schlüssel, Downloads, etc.) Wert legen, um überhaupt einen Überblick zu behalten. Wer im Internet einen MTA betreibt, hat sich meißt bewußt dafür entschieden. Da die Programme aber nicht einzeln runtergeladen werden, ist es nunmal schwer, das überhaupt abzuschätzen.
 

Der-Orden-Xar

Lt. Commander
Dabei seit
Okt. 2007
Beiträge
1.823
Gegenfrage: Warum sollten die Hochrechnungen nicht stimmen? Hast du irgendwas, was dafür spricht, dass die Software im Schnitt signifikant anders ist auf den verstecken Servern?
Also mehr als deine Vermutung "wer versteckt, nutzt vielleicht andere Software"

Es gibt nicht ohne Grund statistische Methoden um von einer hinreichend großen, aber im Vergleich zur Gesamtmenge immer noch kleinen Stichprobe auf die Gesamtheit zu schließen.

Zur Einsortierung: Landtagswahl in Bremen 2019.
Die letzte Umfrage vor der Wahl war von der Forschungsgruppe Wahlen.
CPU: 26% (nach dem vorläufigen amtlichen Endergebnis 26,7%), SPD 24,5% (24,9%), Grüne 18% (17,4%), FDP 5% (5,9%), Linke 12% (11,3%), AfD 7% (6,1%), BIW 3% (2,4%), andere 4,5% (5,1%).

Also eine Abweisung von unter einem Prozentpunkt pro Partei bei nur 1664 Befragten im Vergleich zu 297.553 gültigen Stimmzetteln.

Wieso sollte es nicht möglich sein, auch die Softwarekonfiguration von Servern derart gut abzuschätzen?
 

Palmdale

Commander
Dabei seit
Apr. 2009
Beiträge
2.201
@Bob.Dig
Im Konjunktiv ja, wie ers geschrieben hat als Fakt nein. Wenn man die These aufstellt, dass die Verteilung der anonymen Server sich signifikant der identifizierbaren Server unterscheidet sollte man erklären, wie man zu dieser Vermutung kommt. Die alleinige Tatsache, dass es weitere Namen in dieser Branche gibt tut das nämlich nicht.

Die These wäre per se nur dann richtig, wenn technisch/softwaretechnisch ein Exim Server immer einen Ident-String schickt und dies nicht durch den Admin & Co unterbunden werden könnte.
 

mensch183

Captain
Dabei seit
Jan. 2008
Beiträge
3.587
Nochmal, die meisten Server lassen sich nicht identifizieren und das aus Sicherheitsgründen.
Die meisten lassen sich sehr wohl identifizieren. Du darfst nicht nur auf die Begrüßung schauen und aufgeben, wenn der Server dir nicht gleich ein "Exim" o.ä. entgegenschleudert. Genau das meinst du doch mit Servern, die "keinen Ident-String schicken", stimmts?

Sobald man bischen mit dem Server "spricht", wird anhand der Eigenheiten i.a.R. schnell klar, welche Software sich dahinter verbirgt. Es gibt nur wenige, häufig eingesetzte Programme für den Job, die man für so eine Statistik auseinanderhalten muss. Die paar verbleibenden, unsicheren Kandidaten spielen mengenmäßig keine Rolle.

Es gibt neben exim noch Postfix, Sendmail, Exchange und eine Menge anderer MTAs, wie will ich da ne Hochrechnung machen, wenn die Masse sich nicht identifziert? Sry, das geht mir nicht in den Kopf.
Setz dir mal die 4 benannten Server auf und sprich via Telnet mit denen bischen SMTP. Ignoriere die Begrüßung. Schau dir alle anderen Antworten genau an: Die Formatierung der Freiformfelder, die Reihenfolge von Aufzählungen, die Fehlermeldungen. Logge mit, vergleiche, notiere Unterschiede. Jede Wette, dass du nach einer halben Stunde die 4 Server voneinander zu unterscheiden gelernt hast, selbst wenn hier und dort mal eine Voreinstellung des Servers verändert wurde.
 
Zuletzt bearbeitet:

Arcturus128

Commander
Dabei seit
Apr. 2015
Beiträge
2.700
Es gibt nicht ohne Grund statistische Methoden um von einer hinreichend großen, aber im Vergleich zur Gesamtmenge immer noch kleinen Stichprobe auf die Gesamtheit zu schließen.
Das stimmt, allerdings sind die Stichproben häufig nicht hinreichend groß und deshalb statistisch nicht relevant. Wer weiß schon, wie viele Server für diese Statistik ausgewertet wurden? Aber das geht am Thema vorbei.
 

yummycandy

Commander
Dabei seit
März 2005
Beiträge
2.816
Sobald man bischen mit dem Server "spricht", wird anhand der Eigenheiten i.a.R. schnell klar, welche Software sich dahinter verbirgt. Es gibt nur wenige, häufig eingesetzte Programme für den Job, die man für so eine Statistik auseinanderhalten muss. Die paar verbleibenden, unsicheren Kandidaten spielen mengenmäßig keine Rolle.
Das ist natürlich richtig, aber die Serverstatistik wird ja nicht manuell aufgebaut. :D
Mir ging es um die weltweite Verbreitung und ja, ich meinte den typischen Ident String.
 

mensch183

Captain
Dabei seit
Jan. 2008
Beiträge
3.587
Nix manuell. Die Erkennung ist leicht automatisierbar und beliebig parallelisierbar.
 

yummycandy

Commander
Dabei seit
März 2005
Beiträge
2.816

snaxilian

Commander
Dabei seit
Jan. 2016
Beiträge
2.549
Weil? Auch weiterführende Abfragen mit Ein- und Ausgaben lassen sich problemlos automatisieren.

An die Redaktion: wann lernt ihr endlich, dass Versionsnummer != Sicherheitsstand unter Linux oder schreibt ihr nur blind ab ohne selbst zu denken? Viele Distris wie z.B. RHEL, SLES oder Debian erhöhen in einem Release idR nicht die Versionen von Software, Patches werden jedoch zurück portiert.
 

andr_gin

Lt. Commander
Dabei seit
Jan. 2004
Beiträge
1.950
Die Angabe von 50% der Server an sich ist schon einmal nicht wirklich aussagekräftig. Die entscheidende Frage ist eher wieviele User dahinter stecken und dann noch einmal wieviele Businessuser das sind.
Sicherheitstechnisch relevant sind nicht die 80% Testserver oder private Hobbyserver, die genau eine Mailbox hosten und sowieso seit 10 Jahren kein Update gesehen haben.

Wichtig sind die Server, die die Firmenmails der meisten Firmen hosten und hier ist der Anteil an Exchange Servern oder anderen proprietären Lösungen deutlich größer. Genauso werden diese Server auch im Schnitt besser konfiguriert sein bzw. durch zusätzliche Firewalls geschützt sein, die entweder die Attacken von sich ais schon erkennen und abfangen oder auch die Erkennung der verwendeten Software erschweren.

Sekundär sind vielleicht noch die Mailserver von Internetprovidern relevant, die Mailboxen für Privatkunden hosten (GMX/Gmail etc.). Diese sind jedoch mit Sicherheit die ersten, die die entsprechenden Sicherheitsupdate einspielen werden.
 
Top