Updates - "Alte Software unsicher" warum?

[McMoneysack91]

Liebe Freunde,

Ich habe eine sehr globale Frage. Sie betrifft Updates in jeglicher Hinsicht. Angenommen wir haben eine Hardware X und auf ihr ist Betriebssystem Y und benutzt wird Software Z. Was an dieser software wird denn "unsicher" und wie äußert sich diese Unsicherheit?

Kann man ein System nicht einfach "einfrieren"? Also z.B. alte Hardware, darauf ein OS aus einem bestimmten Jahr und die dazu passende Softwareversion und das in der Konstellation für immer nutzen?

Beispiel aus dem Leben.

Ich habe in meiner Firma einen "Fuhrpark" an gewöhnlichen Office-PC Intel/AMD 64-Bit Rechnern, alles gut. Da drauf sitzt jeweils z.B. ein Debian 10 Buster als Desktop. Die PCs sind via Ethernet miteinander verkabelt und alle Mitarbeiter tippen ihre Berichte und Zahlen in sagen wir Libre Office Version 6.0.

Ich bin wirklich kein Hacker und für mich klingt "hacken" sehr 90'er, als alles Laser- Plasma- und Nano hieß. Wie genau wäre diese Firma jetzt für Hacker angreifbar? Wie würde sich die Angreifbarkeit steigern, wenn ich ab jetzt das obig genannte Beispielsystem nie wieder update. Nichts - keine Security Updates, keine Software updates, nichts. Für immer und ewig Debian 10 Stand 2019, für immer Libre Office 6, für immer etc etc etc.

Unter Windows verstehe ich Angreifbarkeit. Ich gehe auf wildfremde Seiten, lade mir eine .exe runter, führe sie als Admin aus und kreuze die Finger. Kann nach hinten losgehen, wenn in der .exe böse böse Codezeilen mit drin waren, nebst meiner erhofften Software. So "spionieren" "Hacker" vermutlich was aus oder manipulieren gar mein System. Klauen Daten, löschen sie, verändern sie etc.

Doch was soll unter Linux passieren? Meine Software habe ich aus den Repositories (also einem in sich geschlossenen System) zu einer Zeit, als diese noch aktuell waren und von zigtausend wachen Argusaugen überwacht wurden. Wie genau soll ein "Hacker" sich in das System "hacken"? Vielleicht fehlt mir ja das technische Know How über Server, IP-Adressen, Anfragen, Zugriffe etc.

Aber im Ernst - wie "hackt" man etwas in sich Geschlossenes? Und inwiefern wird das Hacken einfacher, je älter die Software ist? Was macht Libreoffice 3.0 unsicherer, als Libreoffice 6.0? Es sind offline Anwendungen...

Und los!

 

[Aduasen]

Anderes Beispiel aus dem sehr konkreten Leben:

Auf diversen Behördenrechnern läuft noch Software unter Windows 95.
Für irrsinnig viel Geld angeschafft und die regelmäßige Erneuerung mal munter weggespart.

Dein 'Fuhrpark' läuft läuft also komplett ohne jede Internetanbindung?
Wie geht sowas als Unternehmen in 2021 ?
Keine Möglichkeit, Smartphones oder andere Mobilgeräte zu verbinden usw. ?

 

[sandreas]

Wie genau wäre diese Firma jetzt für Hacker angreifbar?

• Wenn einer der Rechner Internet hat, könnte ein Mitarbeiter
  • Eine präparierte Webseite aufrufen
  • Eine präparierte E-Mail öffnen
• Andernfalls: Jemand könnte einen präparierten USB-Stick auf dem Firmengelände fallen lassen

Systeme nicht zu updaten ist keine gute Idee, auch wenn man DENKT, dass es isoliert ist, übersieht man oft viele Möglichkeiten. Das ist ja das perfide an Security: Man weiß als Laie einfach nicht, was geht.

Wenn du es mit einem Türschloss vergleichst: Nur weil du DENKST, dass das niemand aufkriegt und es noch niemand bisher gemacht hat, ist es noch lange nicht sicher, die Juwelen zu Hause aufzubewahren.

Es ist auch immer eine Frage: Wie groß wäre der Schaden, wenns passiert und wie hoch ist die Wahrscheinlichkeit, dass es passiert.

 

[Thor9]

Hi,

1. Software hat Fehler, diese Fehler werden entdeckt und damit ausgenutzt---> Update Fehler wird behoben --> Zurück zum Anfang..
2. Wenn es ein komplett lokales Netz ist, ohne jeden Internetzugang und externen Datenkontakt (USB Stick etc) wird vermutlich ohne Updates nichts passieren .
3. ABER: Mitarbeiter / Externe Siehe 2 (Tolle Arbeitshilfe gefunden, nutze ich mal in der Firma, habe hier auf dem Smartphone die Daten, lade sie die doch nur kurz runter)
.
.
.
Wenn mit Updates Sicherheitslücken behoben werden und das Szenario, wo dieser Fehler ausgenutzt wird auftreten kann, sollte man Updaten.

Wenn Fehler bekannt sind, gibt es meistens irgendwann ein Tool welche das Ausnutzen vereinfacht, ein Angriff wird einfach ..

Debian Sicherheits-Informationen
Libreoffice

Schau dir mal die alten Jahre an, es kommen eine Menge hinzu..

 

[Punctum Maximum]

Wenn du das Netzwerkkabel raus ziehst, dann kannst du in meinen Augen so alte Software nutzen, wie du willst...

 

[Kenny [CH]]

Auch Linux ist nicht sicher - also 100% - Google mal nach Shellshock oder Suidbash -> Zero Day exploits!
Einige können/konnten sogar remote verwendet werde. Aka eine Webseite ansurfen und diese hat remote unfug auf deinem System gemacht. Kann mit Updates gefixt werden, dafür müsste man diese aber auch installieren.
Nächster Punkt: Auch ein Debian ist mal EOL und es gibt keine Updates mehr, dann musst du deine Version Updaten von Deb 10 auf Deb 11 z.B. - Bei Debian kommen rund alle 2 Jahre eine neue Version. Wenn du weniger "Systemupgrades" machen möchtest würde ein Rolling Release (Arch/Manjaro) eine bessere Wahl sein, als eine Releases-Distribution.

 

[KnolleJupp]

Software wird von Menschen geschrieben, egal ob Betriebssysteme, Anwendungsprogramme, Treiber usw.
Und Menschen sind nunmal nicht unfehlbar.
Software wird also immer Sicherheitslücken und Bugs enthalten. Die Frage ist nur wie gravierend sie sind und ob/wann diese gefunden werden.
Je älter eine Software ist, desto mehr Zeit hat man, solche Fehler, Lücken usw. zu finden.

Eine Software wird nicht immer unsicherer. Sie ist von Anfang an unsicher. Nur, eine Sicherheitslücke, die man noch nicht kennt, kann man auch nicht ausnutzen.

Mit der Zeit wird es immer einfacher in ein System einzubrechen, da es dann Tools gibt, die einem die Arbeit abnehmen.
Man braucht immer weniger Skills und muss nicht mehr echter Experte sein. Man wird immer angreifbarer, weil der Aufwand immer kleiner wird.

Selbst wenn deine Systeme nicht mit dem Internet verbunden wären, Sicherheitslücke Nr. 1 ist und bleibt der Mensch, also der Anwender vor dem Bildschirm.
Da kommen Passwörter abhanden, da werden USB-Sticks verwendet, da werden eMail-Anhänge geöffnet, da wird mal eben dieses oder jenes gemacht, weil es so schön einfach ist uvm.

Zwei Denkweisen sind "tödlich", wenn es um Datensicherheit geht (und auch um vieles andere im Leben):
"Das haben wir schon immer so gemacht" und "Das haben wir noch nie so gemacht".

Alte Systeme sind oft auch nicht in der Lage moderne Schnittstellen bereitzustellen.
Das heißt ein "mit der Zeit gehen", mit Angeboten und "Features", die die Konkurrenz bietet, mindestens gleichzuziehen, wird immer schwieriger bis unmöglich.

"Hacken" ist ein extrem breites Feld. Es kommt ganz auf die Absichten an.
Sollen Daten entwendet werden? Sollen Systeme unbrauchbar gemacht werden? Ist so ein Angriff zielgerichtet oder seid ihr dann nur zufälliges Opfer?
All das bedingt teilweise völlig unterschiedliche Herangehensweisen.

Oft reicht es schon aus eine Internetseite aufzurufen, eine eMail abzurufen usw. Oder jemand verschafft sich direkten Zugang zu den Rechnern in den Betriebsräumen.
Schadsoftware wird oft vom Anwender selber aktiv aber unbemerkt auf den Rechner gelassen.

Moderne Rechnersysteme, mit aktueller Hard- und Software, sind ein Baustein Sicherheit zu gewährleisten.
Absolut sicher geht vermutlich niemals, aber Risiken, die vermeidbar wären, sollte man vermeiden, sonst handelt man grob fahrlässig.

Ein System das man irgendwann mal angeschafft und das man auf seine Bedürfnisse angepasst hat, einfach immer weiter zu verwenden,
führt dazu das man langfristig aus Bequemlichkeit "betriebsblind" wird. Man sieht irgendwann nicht mehr das das System nicht mehr zeitgemäß ist.

 

[Tramizu]

Aber im Ernst - wie "hackt" man etwas in sich Geschlossenes?

Alles, was im Netz ist, ist auch angreifbar. Hörst du nie Nachrichten oder liest Berichte über gehackte Firmen oder öffentliche Institutionen?
Wenn das so einfach zu sichern wäre, würde es solche Berichte nicht geben. Der moderne Krieg findet im Netz statt. Egal ob politisch oder wirtschaftlich.

 

[Tzk]

Was an dieser software wird denn "unsicher" und wie äußert sich diese Unsicherheit?

Die Software wird nicht unsicher, die ist unsicher. Der Unterschied ist, ob jemand weiß an welcher Stelle die Software einen Fehler hat. Also läuft es im Prinzip auf einen Wettlauf zwischen dem Entwickler und den "Hackern" (also den Leuten die Lücken entdecken) raus. Wird eine Lücke bekannt, dann wird sie meist geschlossen. Interessant wird es dann, wenn die Lücke entdeckt wurde, das aber noch nicht bekannt ist - sprich ein kleiner Personenkreis nutzt die Lücke aus, ohne das jemand den Fehler behebt.

Was nun on/offline angeht:
Wenn ein System komplett offline ist, also keinerlei Verbindung nach außen hat, dann ist es relativ sicher. Aber welcher Rechner ist noch komplett offline? Selbst ein iranisches Atomkraftwerk konnte man irgendwie infizieren, eventuell sogar mittels eines Eingeweihten, der den Virus z.B. via USB Stick reingeschmuggelt hat siehe: Stuxnet

Es ist meist nicht die Frage ob etwas hackbar ist, sondern nur wie viel Aufwand es bedeutet und ob es einfachere Alternativen gibt.

 

[h00bi]

Doch was soll unter Linux passieren?

Es hies auch lange, dass MacOS sicher(er) wäre.
Damals als es so selten war, dass kein Malware Entwickler sich damit beschäftigt hat.
Seit die Verbreitung zunimmt gibt es auch viel mehr MacOS Malware.

 

[Kenny [CH]]

Ah und btw wenn wir von Hacking Sprechen:
Social Engineering ist das wichtige Mittel für die Hacker - Zugriff auf ein System/Netzwerk wird in quasi allen Fällen via irgendeiner Social Engineering Attacke bewerkstelligt. Phising Mail / USB Sticks / die Tür aufgehalten bekommen wenn man mit einer Leiter / Rollstuhl kommt etc pp.
Das Hacking also irgendwo sitzen und in einem Terminal (oder wie in Filmen 10-20Terminal Fenster) herumtippen und so den Zugriff auf ein Netzwerk zu erhalten wird quasi nie eingesetzt. Viel zu schwer und aufwändig - social Engineering ist viel einfacher

 

[Tzk]

die Tür aufgehalten bekommen wenn man mit einer Leiter / Rollstuhl kommt etc pp.

Da muss ich die Mitarbeiter meiner alten Firma loben. Dort war das quasi unmöglich... Entweder man kannte sich oder (fast) alle Mitarbeiter haben darauf bestanden zumindest den Türchip zu sehen oder haben explizit abgelehnt jemanden mit rein zu nehmen. Alternativ wurden Besucher immer bis zum jeweiligen Kollegen begleitet, damit sich kein Fremder frei im Gebäude bewegen kann.

Und das war keine Firma wo irgendwas sicherheitsrelevantes entwickelt wird. Allerdings kommt Röntgenstrahlung und Klasse 4 Laser zum Einsatz, eventuell waren deshalb alle sensibilisiert.

 

[KnolleJupp]

Das erinnert mich an meine Bundeswehr-Grundwehrdienstzeit. Eines Tages gab es in meinem Bereich eine unangekündigte Sicherheitsüberprüfung.
(Das war auf einem Bundeswehrflugplatz im sog. Vorfeldbereich, mit unmittelbarem Zugang zu den Taxi- und Runways, zu den Flugzeugen/Hubschraubern usw., wo halt nicht jeder rein durfte.)
Am Ende des Tages war unser Chef "not amused". Wir hatten Zitat: "dem Sicherheitspersonal alles gezeigt was es sehen wollte..."

 

[TriggerThumb87]

Erinnert mich an die Burn Notice Folge, in der die Protagonisten auf einer Insel mit Söldnern gestrandet sind und sich als Sicherheitsdienst ausgeben.

 

[wern001]

man muss nicht unbedingt eine .exe ausführen um sich einen Virus oder Trojaner einzufangen.
Das geht auch mit .doc .xls .jpg sogar in .pdf
z.B.: ein Virus ist in einem PDF eingebettet. Diese nicht vorhergesehene Funktion funktioniert z.B von Acrobat Reader 3-7 in neueren nicht mehr.

 

[Ost-Ösi]

Selbst wenn du nie eine Internetverbindung anschließen gedenkst, hast du auch andere Möglichkeiten dir Schadsoftware einzuschleusen. Da wären auch CD, DVD und vor allem USB-Sticks. Ich versteh nur nicht warum du vorhast, dein Equipment so fahrlässig zu behandeln; selbst bei deinem Auto wird von Zeit zu Zeit ein Softwareupdate eingespielt.

 

[Michael-Menten]

Sinnvolle Grundannahme: alles ist unsicher
update = jemand hat mal genau hingesehen also fixen wir jetzt das Problem

Sicherheit ist daher also ich hab ein unsicheres System von dem noch niemand weiß, dass es unsicher ist, also ist es sicher.

 

[--//--]

Oke, da noch auf ist...

Du hast eine Firma mit mehreren PC und die sind alle offline? MA tippen da irgendwelche Daten in LO ein? Und die haben die dann alle nur auf ihrem PC oder gibt es ein ein geschlossenes internes Netzwerk in dem die Daten abgelegt werden? WLAN ist aus? USB und andere Datenträger lesen ist im OS deaktiviert? Dann kannste das so weiter machen und deine MA mit alter Software belasten. Und dich selbst dann später, wenn die Daten aufgrund der alten Software nicht mehr migriert werden können.

Beantworte lieber eine Frage: Warum verwendet man als Gewerbe veraltete Software?

Arbeiten die MA auch für Gehälter von 1950?

"Dein" Linux ist btw. so "sicher" weil sich keine Sau dafür interessiert. Es lohnt sich einfach nicht Schadcode für Linux zu entwickeln, weil man ihn beim Endanwender nicht anwenden kann. Das wäre so, als würde ich einen Generalschlüssel für eine Ente feilen. Wobei es durchaus auch entsprechenden Code für Linux als auch MacOS gibt.

Den kauft nur niemand, denn das Thema Sicherheit ist in dem Bereich mittlerweile ein Geldgeschäft auf beiden Seiten.

 

[firexs]

Erinnert mich an die letzten Lebensjahre von win7. Das OS hat immer seine Updates bekommen von Microsoft, mit SP1 sogar eine Firewall integriert und dennoch wurden immer wieder Systeme kompromittiert. Durch Flash, Java, Office Makroviren.. alles Dinge, die vor ein paar Jahren quasi auf den meisten Office PCs zu finden waren.
Es wird immer ein Katz und Mausspiel bleiben.. Updates können helfen und Offline Systeme mit gesperrten USB ebenso.

 

[sven69]

Da muss man nur einen präparierten USB Stick mit der Aufschrift ‚Nacktbilder von Frau X aus der Buchhaltung‘ auf dem Firmengelände platzieren und dein System ist kompromittiert