Updates - "Alte Software unsicher" warum?

[TechX]

Vielleicht fehlt mir ja das technische Know How über Server, IP-Adressen, Anfragen, Zugriffe etc.

Streiche das "Vielleicht" u. ersetze es durch "Ganz sicher".

Aber im Ernst - wie "hackt" man etwas in sich Geschlossenes?

Selbst wenn es keinerlei Datenanbindung/Leitung nach extern gibt, kann man Systeme angreifen - über Datenträger die ausgetauscht werden. Physikalisch vor Ort wäre auch eine Option, wobei wohl doch eher nicht so häufig.

Aber ich denke nicht, dass Du als Firma keinerlei Internetnutzung u. Datenaustausch betreibst -> also nicht geschlossen.

Und inwiefern wird das Hacken einfacher, je älter die Software ist? Was macht Libreoffice 3.0 unsicherer, als Libreoffice 6.0? Es sind offline Anwendungen...

Je älter die SW, desto bekannter die Lücken, desto wahrscheinlicher eines Exploit für diese Schwachstellen.
Wobei alte u. lange bekannte Schwachstellen auch in neuester SW sein können - das wäre aber nur eine faule Ausrede.

Klar kann man alte SW gefahrlos nutzen - aber dafür muss man das System tatsächlich komplett, sichergestellt u. dauerhaft "offline" u. isoliert nutzen; das sind aber rare Einzelfälle.

Bei Firmenrechnern ist derlei eher kaum praktikabel - der isolierte Internet-PC im Büro ist schon vor zig Jahren selbst in der verstaubtesten Butze inzwischen ausgestorben.

 

[Helge01]

"Dein" Linux ist btw. so "sicher" weil sich keine Sau dafür interessiert.

Kleine Anmerkung, der größte Teil des Internet mit seinen unzähligen Servern (auch Router, Switches, Firewalls) läuft unter Linux bzw. Unix. Dafür interessieren sich eine Menge von Angreifern. Man darf nicht davon ausgehen das Linux = Desktop ist.

 

[Kenny [CH]]

Wenn ich einmal in deiner Firma war - habe ich Zugang zu deinem Firmennetz. Annahme du lebst nicht hinter dem Mond, hast ein "normales" Setup. Wir reden nicht von Hochsicherheitsinfrastruktur hier - deshalb bezweifle ich eine alles blockende Firewall und ein komplett Isoliertes Netzwerk.
Gibt genügend kleine Devices die man schnell einstecken kann und einen generellen Zugriff auf das Netzwerk hat. Dann kann man sich mit Exploits etc weiteren Zugang verschaffen.
Natürlich alles auch via Remote möglich - in deinem Zenario mit Debian - wird es aber deutlich schwerer geeignete Malware einzuschleusen. Da müsste ich auch wissen welchen PDF Viewer verwendet ihr und welche Lücken bietet dieser etc. Auch typische Office Makros werden schwer -> Open source Office und so.

Also ja dein Setup ist sicher "sicherer" als viele Firmen mit Windows - aber dennoch wenn der Angreifer will und die Ressourcen hat, ist dein System nicht sicherer von einem richtigen Angriff. Du schützt dich quasi von den meisten script kiddies aber nicht von richtigen hackern.

 

[BeBur]

Das kann so weit gehen, dass kritische Sicheheritslücken in libssl o.ä. bekannt werden und dann reicht es schon, eine falsche Website anzusurfen, damit Passwörter+Logindaten, sensible Daten und Co. abgefischt werden oder halt beliebiger Code ausgführt wird.

Solange Rechner offline bleiben gibt es erst einmal kein Problem, dann ist nur der physische Zugriff natürlich problematisch.

 

[Kenny [CH]]

libssl

Noice heartbleed2.0 - wäre ich voll dafür

 

[Rickmer]

Je nach Schwachstelle reicht es schon, eine email zu empfangen. Die muss unter Umständen nichtmals geöffnet werden, nur auf dem System landen.

Wenn du nicht updaten willst bist du nur sicher, wenn du das Netzwerkkabel ziehst und die USB-Ports deaktivierst.

 

[--//--]

Kleine Anmerkung, der größte Teil des Internet mit seinen unzähligen Servern (auch Router, Switches, Firewalls) läuft unter Linux bzw. Unix. Dafür interessieren sich eine Menge von Angreifern. Man darf nicht davon ausgehen das Linux = Desktop ist.

Hab ich auch nicht gesagt, da es darum nicht geht. Angriffe auf Serverebene auf Unix-Systeme gibt es btw. viele. Das ist aber eine ganz andere Hausnummer.

Auf der Ebene hat sich allerdings der Open Source sehr gut gemacht und gezeigt, dass viele Augen mehr sehen als ein paar geschlossene.

 

[McMoneysack91]

@Tramizu du hast zwar meine Frage zitiert, aber beantwortet hast du sie nicht. Doch ich höre Nachrichten. Aber Nachrichten sagen für Ottonormalos "Firma xy wurde gehackt". Das ist so aussagekräftig, wie bei Command and Conquer die kleinen Hacker immer sagten "I will hack the internet". Okay.

@Ost-Ösi meine Autos sind ein Hyundai von 2009 und ein BMW von 2004. Das einzige, was da eingespielt wird sind MP3 mit Phil Collins, Bryan Adams und co. Und nein, ich mache mir keine Sorge, dass ich mit Schadsoftware mein Auto zu einem rebellierenden Terminator mache.

Spaß beiseite jetzt. Ich finde bislang, dass die angesprochenen Gefahren in diesem Thread eher abstrakt sind. Ewiges Wettrüsten, schon verstanden. Aber irgendwo hörts auch auf.

Jeder kann ein Schloss mit 5 zylindern knacken. Selbst ich. Mit Büroklammer und Feder von einem Kulli. Und jeder Hobby Lockpicker kann das sowieso im Schlaf. Müssen wir jetzt alle 6-zylindrige Schlösser verbauen? Danach 7, danach 10? Laufen wir irgendwann mit 70cm langen Haustürschlüsseln mit 250 Zähnen rum?

Ich übertrags mal bewusst auf Nicht-IT. Leute machen sich um ihre Daten Sorgen, als bräche ein Atomkrieg aus. Aber die Haustür, welche Hab und Gut oder gar das eigene Leben schützt ist nur zugezogen oder währenddessen Garagentor zum Garten und damit zur Terrassentür offen. Und selbst wenn meine Haustür eine mit Stolperdraht versehene Sprengvorrichtung, Alarmanlagen, Ketten, sieben Buchsiegel und den Segen des Dorfpriesters hätte, die Dreifachverglasung meiner Fenster halten denjenigen auch nicht davon ab, reinzukommen, wer reinkommen will. Da müsste ich schon im gegossenen Bunker hausen.

Selbes sehe ich bei IT. Wenn jemand etwas will, wird er es schaffen. Ob ins Pentagon, in Intels Büros, bei EA, wie man neulich gesehen hat, in Müller Meier Schulze GmbH. Und definitv auch zu mir, ob ich nun Windows XP im Jahr 2021 nutze, oder das allerneueste Arch Bleeding ultra edge und alle 20 Minuten mein System update.

Ich habe einen Rechner, der fungiert tatsächlich rein als Retro-Spiele PC. Dort ist Windows XP drauf und das ganze System sowie Treiber etc sind in etwa im Jahre 2003 - 2006 eingefroren. Für einige Treiber bin ich mit dem Ding tatsächlich auch online gegangen - Gott behüte.

Dass ein solcher "Angriff" stattfinden kann, dessen bin ich mir bewusst. Allerdings sehe ich es nicht als grobe Fahrlässigkeit an, sondern als etwas, das nunmal passiert. Ich kann mein Auto morgen früh zerkratzt und ohne Räder vorfinden. Es wird keine Fahrlässigkeit sein, es auf der Straße stehen gelassen zu haben, wo ja eigentlich jeder dran vorbeigeht.

Ich kann mich selbst morgen mit einer blutenden Nase vorfinden, weil beim Vorbeigehen jemandem meine Nase nicht gepasst hat. Das sind Dinge, die wohl passieren. Frage ist meiner Meinung nach die Abwägung zwischen Investition von Zeit/Aufwand gegenüber Ertrag. Okay, ein Klick auf einen Update-Button ist kein Aufwand. Aber der ständige Rüstkrieg ziwschen "Hackern" und "den Guten".

Aber wo wir nun bei den "Hackern" sind.

Kann mir bitte jemand etwas ganz konkretes benennen? Irgendeine bekannt gewordene Masche (darf ruhig uralt sein).

Angenommen ich nehme jetzt Windows XP SP2 und surfe jetzt tralalalala im Internet rum. Besuche allerlei dubiose Websites und downloade Bilder und Musik, also quasi der Horror eines jeden IT-Sicherheitlers.

Wie genau kann ich nun gehackt werden? Ist in der fraglichen Bilddatei eine Codezeile, die meinem Rechner unterschwellig befiehlt, z.B. Log-File Daten aus irgendwelchen Zwischenspeichern an Server xyz (Server des Hackers) zu senden? Oder wie darf ich mir sowas vorstellen? Einfach frei heraus einige solcher typischen Hack-Methoden, wenn jemand welche parat hat.

 

[KnolleJupp]

Kann mir bitte jemand etwas ganz konkretes benennen? Irgendeine bekannt gewordene Masche (darf ruhig uralt sein).

Das ist relativ einfach. Es gibt viele Wege, die nach Rom führen.

- "Slow and Low", man versucht z.B. Login-Passwörter zu erraten von deinem eMail-Postfach usw.
Der eMail-Server akzeptiert X Fehlversuche pro Tag, egal, man hat ja Zeit...
Dagegen kann man kaum etwas machen. Dauert u.U. lange, führt bei entsprechender Beharlichkeit aber zum Ziel.
Hat man erstmal Zugang zu deinem eMail-Konto, geht es von da aus weiter. Finden sich da Zugangsdaten zu Facebook? Kommt man an Homebanking-Daten? Usw.

Dagegen helfen oft Zwei-Faktor-Authentifizierungen und Passwörter regelmäßig zu ändern.

- Man nutzt Sicherheitslücken aus, um in Rechner-Netzwerke einzubrechen.

• Man versucht dem Anwender Schadsoftware unterzujubeln über Software, wie z.B. präparierte Webseiten, eMail-Anhänge, Office-Dokumente aller Art, über Bilder, Archivdateien usw.
• Man versucht dem Anwender Schadsoftware unterzujubeln über Hardware, wie z.B. präparierte USB-Sticks usw. Diese können sogar vermeintlich leer sein und es reicht sie einfach nur einzustecken.

Über all diese Vektoren kann Schadsoftware auf einen Rechner gelangen, da werden z.B. umbemerkt im Hintergrund Makros ausgeführt, die dann ihrerseits die Schadsoftware auf den Rechner bringen.
Dann ist die einzig relevante Frage ob dieser Einfallweg offen steht oder nicht. Bei einer alten, ungepatchten Software ist das weit wahrscheinlicher als auf einem Up-to-Date-System.

Das tröstet nicht darüber hinweg das es immer wieder Zero-Day-Exploits gibt, also Sicherheitslücken, die selbst in der neuesten Software entdeckt werden
und evtl. bereits ausgenutzt werden, bevor es einen Patch gibt.

- Man verschafft sich physischen Zugang zu Rechnern, um dort Schadsoftware direkt aufzuspielen.

Gegen Sicherheitslücken helfen weder Firewalls noch Antivirenprogramme.

Jetzt kommt der obligatorische Auto-Vergleich: Jemand will in dein Auto einbrechen. (Das Beispiel funktioniert auch mit einem Wohnhaus.)
Jetzt hast du das beste Türschloss, die beste Wegfahrsperre usw.
Und du rüstest das Schloss mit immer mehr Features aus, der Hersteller bietet Software-Updates, tauscht sogar das Schloss gegen ein besseres usw.
Und dann hast du aber leider eine Sicherheitslücke im Auto, z.B. in Form einer kaputten Scheibe.
Anstatt sich nun mühsam die Zähne auszubeißen am hochgerüsteten Türschloss, steigt der Täter einfach durch die kaputte Seitenscheibe ein.
Alle Sicherheitsmerkmale werden damit schlicht umgangen.

Je nach dem wie alt das Betriebssystem usw. ist, reicht es sogar schon aus einen Internetzugang herzustellen, um sich Schadsoftware einzufangen.
Dazu musst du u.U. nichtmal einen Browser geöffnet haben.

Wie weit ein Schutz gehen sollte, wie viel Aufwand man investieren sollte, hängt auch davon ab wie relevant mögliche abgreifbare Daten sein könnten,
also wie lukrativ ein Einbruch wäre. Gibt es nichts zu holen, werden nicht viele versuchen bewusst in dieses System einzudringen.
Dann kannst du aber immer noch Opfer werden von allgemein gehaltenen Angriffen, die jeden erwischen können.

Wenn da aber schon Firmen-/Kundendaten zu holen sind, kompromittierte Rechner dazu führen würden das der Betrieb still steht, daraus also schnell ein großer finanzieller Schaden entstehen kann,
sollte man aufpassen. Man setzt damit auch seine Reputation und das Vertrauen seiner Kunden aufs Spiel, es kann daraus also auch ein langfristiger Schaden entstehen.
Das kann auch den heimischen Spiele-Rechner betreffen, wie viele haben z.B. eine umfangreiche und teuer erkaufte Steam-Bibliothek uvm.

Wenn man will kann man mit dem nötigen Wissen, dem nötigen Aufwand, dem nötigen Geld, der nötigen kriminellen Energie in so gut wie jedes System einbrechen.
Aber man muss es auch nicht herausfordern, in dem man Tür und Tor offen lässt, z.B. indem veraltete Software eingesetzt wird. Das ist dann nämlich grob fahrlässig...

Es ist ein großer Unterschied so was als "allgemeines Lebensrisiko" abzutun oder präventiv zu versuchen das Risiko zu minimieren.
Deine Beispiele funktionieren nämlich nicht bzw. können nicht auf IT übertragen werden.
Wenn ich auf dem Weg morgens zum Bäcker von einem Meteoriten erschlagen werde, dagegen kann ich nichts machen.

Wenn ich aber - wider besseren Wissens - Einfalltore offen lasse, ist das ein vermeidbares Risiko und im Schadensfall bist du der Dumme.
Dann bist du derjenige, der bei Gewitter einen Spaziergang macht. Damit nimmst du ein vermeidbares Risiko bewusst in Kauf.

Beispiel: Der Support von Windows 7 wurde Januar 2020 eingestellt. Seit dem werden keine neuen Sicherheitslücken mehr gepatcht.
Das heißt, ein Hacker braucht seit dem nur eine neu gefundene Schwachstelle auszunutzen.

 

[Web-Schecki]

Jeder kann ein Schloss mit 5 zylindern knacken.

Hier wirfst du offenbar Begrifflichkeiten durcheinander. Und du solltest bedenken, dass ein physischer Angriff nunmal ganz anderer Natur ist als ein Angriff über das Internet, bei dem man nicht vorort sein muss.

Ich übertrags mal bewusst auf Nicht-IT

Diese Vergleiche hinken oft - genau wie der des "ewigen Wettrüstens".

Wenn jemand etwas will, wird er es schaffen.

Es gibt für dich als Anwender einen Unterschied zwischen vermeidbaren Angriffen (durch ungepatchte Sicherheitslücken oder unzureichende Konfiguration oder falsches Verhalten) und weniger vermeidbaren Angriffen (trotz guten Maßnahmen und verantwortungsvollem Verhalten durch zero-day-Sicherheitslücken).
Für Entwickler stellt sich ggf. noch die Frage, wie vermeidbar zero-days in den einzelnen Fällen gewesen wären (durch bessere Tests/Kontrolle/Konzepte).

Allerdings sehe ich es nicht als grobe Fahrlässigkeit an, sondern als etwas, das nunmal passiert.

Solange du nur dich und deine eigenen Daten gefährdest, dürfte das anderen ohnehin ziemlich egal sein.
Ansonsten ist es defintiv grobe Fahrlässigkeit.
Ich weiß auch ehrlich gesagt nicht, was es da zu diskutieren gibt. So etwas passiert nunmal nicht einfach so. Mit einem aktuellen System und ein wenig gesundem Menschenverstand bei der Benutzung passiert dir eben praktisch nichts. Fehlt aber das eine, hilft das andere auch nicht viel.

 

[whats4]

man sollte anmerken, daß die wenigsten firmen zielgerichtet "gehackt" (brr, was für ein wort!) werden.
es ist bloß eine gute ausrede, um kaputtgesparte it, viel zu billige administration und allgemeine führungssschwäche zu kaschieren.

denn die überwiegende anzahl von problemen enstehen durch (nicht zielgerichtetes) social engeneering.
aber it kostet geld, gutes it personal kostet noch mehr geld, und das thema mitarbeiterschulung ist in der praxis oft eine halbe stunde oberflächlicher vortrag. und das oft außerhalb der normalen arbeitszeit, nach acht stunden dienst. was resultiert in links rein, rechts raus.

und wenn die kacke am dampfen ist, trachten die, die "verantwortung tragen" (und sich das meist gut bezahlen lassen) sofort danach, diese verantwortung ja nicht wahrnehmen zu müssen.

ist ja auch soo billig & easy, der böööhse hacker wars. bevorzugt russe, chinese, koreaner, oder sonst wer, der grade im fadenkreuz ist.

 

[--//--]

man sollte anmerken, daß die wenigsten firmen zielgerichtet "gehackt" (brr, was für ein wort!) werden.

Dann sind wir einige der wenigen. Emotet besuchte uns über das WLAN. Der Erpresseranruf erfolgte am nächten Tag.

 

[leonavis]

Doch was soll unter Linux passieren? Meine Software habe ich aus den Repositories (also einem in sich geschlossenen System) zu einer Zeit, als diese noch aktuell waren und von zigtausend wachen Argusaugen überwacht wurden. Wie genau soll ein "Hacker" sich in das System "hacken"? Vielleicht fehlt mir ja das technische Know How über Server, IP-Adressen, Anfragen, Zugriffe etc.

Die "Hackbarkeit" steigt mit zwei Dingen: Der Benutzung und der Unachtsamkeit. "Hacken" ist ja doch ein ziemlich allgemeiner Begriff. Fangen wir ganz einfach an.

Wenn Du einen Computer nicht am Strom hast, ist er unhackbar, logischerweise. Der größte Hacker der Erde wird sich nicht in Dein System einhacken können, wenn es gar nicht am Stromnetz angeschlossen ist. Naja, offensichtlich.

Hast Du, sagen wir mal, gerade eben ein frisches Arch installiert, so hat dies noch praktisch keine Pakete, nicht mal einen Display-Manager. Auch wenn ein solches System mit dem Internet verbunden ist ist es praktisch unmöglich es zu "hacken" - außer man macht halt Unfug. Schickst Du Person xy Dein Root-PW und installierst nebenbei noch eine Software, die ihm remote access zusichert, ja, dann hat er Dein System in null-komma-nix "gehackt". Deshalb sag ich, der Begriff ist sehr allgemein. Eigentlich ist "hacken" ja nur Zugriff gewinnen.

Wenn Du in Deinem Fuhrpark jetzt nur geschulte Anwender hast, die nur Software benutzen, die sicher ist, niemals ein Passwort eintippen (es am besten nicht mal wissen) und in Debian 10 niemals ernsthafte, ohne solche Aktionen ausnutzbare Sicherheitslücken entdeckt werden - die es natürlich trotzdem gibt - dann ja, ist das ganze "praktisch unhackbar". Natürlich nur praktisch, nicht theoretisch, denn auch eine Sicherheitslücke, auf die niemals jemand aufmerksam wird, gibt es natürlich trotzdem - zumindest in meiner in der Hinsicht sehr objektivistischen Weltsicht.

 

[BeBur]

aber it kostet geld, gutes it personal kostet noch mehr geld, und das thema mitarbeiterschulung ist in der praxis oft eine halbe stunde oberflächlicher vortrag. und das oft außerhalb der normalen arbeitszeit, nach acht stunden dienst. was resultiert in links rein, rechts raus.

Updates kosten kein Geld und selbst die werden hier ja gerade in Frage gestellt "wofür brauchen wir die überhaupt".

 

[whats4]

naja, in vielen strukturen habens die admins auch recht schwer.

wenn der admin seinen job nahezu ideal macht, ist seine arbeit so unauffällig, daß bald die einspar instinkte in der führung durchschlagen.
spielt er brav alle updates ein, so wird er gekreuzigt, wenn mal was schiefgeht. was bei ms... nuja, offensictlich schon vorgekommen sein soll.
wobei die backup infrastruktur in vielen firmen recht dürftig ist. ebenso wie nichtproduktive, abgeschottete testumgebungen. die hardware gibts oft schlicht und einfach ned.

zudem ist z.b. windows, aber auch andere, derartig komplex geworden sind, daß es zunehmend unmöglich wird, einen echten überblick im sinn von durchblick zu haben.

bleibt er superkonservativ und greift funktionierende konfigurationen ned an, wird er gekreuzigt, falls irgendwer den berüchtigten usb stick "mal schnell" einsteckt.

ist er restriktivst, und dreht alles ab, was nur den schatten eines problems werfen könnte, erzeugt er frust bei mitarbeitern/innen, weil halt viele bequemlichkeiten fallen, und theoretische arbeitsabläufe selten mit der realität konform gehen.
und die restriktion scheitert meist schon am chef(in)/abteilungsleiter(in)/manager(in, aber gibts das wort überhaupt?), der/die natürlich für sich lokale admin rechte haben will, und auch auf seine usb sticks ned verzichten will. weil bei ihm ist das ganz was anderes.

bestes beispiel: deutsche linux erfahrungen im öffentlichen dienst.

in summe nicht zu gewinnen, diese situation.

 

[KnolleJupp]

Updates kosten mitnichten kein Geld.

Sei es die Zeit, die dafür investiert werden muss, sei es Anwendersoftware, die nach einem Patch vielleicht nicht mehr läuft und angepasst oder im Extremfall neu angeschafft werden muss,
gewohnte Arbeitsabläufe, die dann vielleicht nicht mehr funktionieren, Einarbeitsungszeit für die Mitarbeiter, Betriebssystem-/Programmversionen, die keinen Support mehr erhalten
und neu gekauft/lizensiert werden müssen, um auf dem aktuellen Stand zu bleiben uvm.

Geld sind nicht nur unmittelbare Kosten, sondern auch Zeit, die Mitarbeiter nicht mehr in ihre normale Arbeitstätigkeit investieren können, weil der Admin dummerweise ein Update einspielen musste,
also kurzfristiger Rückgang der Produktivität usw.

Klar, es ist immer ein Kompromiss. Macht der Admin zu wenig, ist er am Ende der Dumme, macht der Admin zu viel, nervt es die Mitarbeiter.
Läuft irgendwas nicht so wie Chef es gerne hätte, steht man auf der Abschussliste. Allen gleichzeitig kann man es nicht Recht machen.

Sicherheit ist ein ganzheitliches Konzept und hört nicht bei Software-Patches auf. Und wenn Chefs und Mitarbeiter das Konzept torpedieren, nützt das alles genau gar nichts.
Dann hat man irgendwann mal gehört das Linux ja viel sicherer wäre als Windows uvm. Das sind alles nur Halbwahrheiten.

Am Ende ist die Kette nur so stark wie ihr schwächstes Glied.

 

[--//--]

Updates kosten kein Geld

Bitte?

 

[BeBur]

Ok, ja, sie kosten auch Geld.

 

[Tramizu]

Sei es die Zeit, die dafür investiert werden muss, sei es Anwendersoftware, die nach einem Patch vielleicht nicht mehr läuft und angepasst oder im Extremfall neu angeschafft werden muss,

Das kann auch wirklich richtig teuer werden. Bei uns werden die halbjährlichen Updates mit großer Verzögerung erst aufgespielt. So wurde jetzt gerade erst 20H2 freigegeben.
Wenn dann noch die Software bestimmter Maschinen neu angepasst werden muss, steht für eine einzelne Maschine mal schnell ein hoher 4-stelliger bis 5-stelliger Betrag im Raum.