News Windows hacken leicht gemacht

[Jan]

Als in der letzten Woche gut 15 Prozent des Quellcodes von Windows NT 4.0 und Windows 2000 im Internet auftauchten, wusste niemand so recht, wie hoch er das dadurch entstandene Sicherheitsrisiko einzustufen hat. Microsoft spielte die Gefahr herunter.

Zur News: Windows hacken leicht gemacht

 

[Green Mamba]

hehe, das war zu erwarten...
bin gespannt wie microsoft DAS problem wieder in den griff bekommen will!?

 

[Toys'R'us]

Es ist nur eine Frage der Zeit, bis der ganze Quellcode zum Vorschein kommt....

 

[iView]

@3 und woher soll der kommen? ich bin mir sicher das MS jetzt noch besser auf seinen Code aufpassen wird.

 

[Green Mamba]

naja, das glaube ich wohl weniger, nach der schlappe wird ms wohl seine sicherheitspolitik etwas "aufpolieren"!

 

[Morgoth]

"30 Millionen Zeilen"

Wer sich da durcharbeiten und Fehler finden will, hat aber dann kein Privatleben mehr.

Im IE Fehler zu finden sollte auch nicht schwer sein: er ist ein Fehler. Ich würde diesen Bug also nicht als zu dramatisch ansehen.

Gruß
Morgoth

 

[Michi]

Tja... soviel zum Thema Closed Source ... kaum draussen schon die ersten Exploits

Jedem das was er verdient.

 

[value]

Lustig wäre sicher die Klage von Microsoft, wenn sie den "Übeltäter" erwischen. Ob wir so viele Nullen wohl noch Zählen können wie der zahlen müsste ?

 

[Michi]

@6 Morgoth

Glaubst du man muss die ganzen Zeilen lesen um Fehler zu finden ? Der hier angesprochene Fehler wurde bereits in den ersten Zeilen der Deklaration gefunden. Sowas kann man Parsen lassen um Fehler zu finden. Und dank MS wird da jeder Parser fündig.

@4/5 Mehrwegmamba

Der Source ist zu sehr großen Teilen schon unterwegs, nur leider bei den entsprechdenden Developern und Institutionen. Auch in Asien wird der Source der neueren Betriebssysteme bald vorhanden sein und bis er dann da geklaut wird ist nur eine Frage der Zeit. Man muss nicht an Microsoft rankommen um an den Source zu kommen.

 

[Morgoth]

Aber 30 Millionen ist eine ganze Menge Holz, die man erstmal überblicken muss. Und selbst wenn man das Parsen könnte, hätte der Parser auch ne Zeit zu tun.

@value:
Interessant dazu vielleicht diese Meldung auf bugtraq:

Hi

if someone have the code and take a look on this file.
./private/security/msv_sspi/core
( its not source code or part of windows , so not ilegal)

gdb -c ./private/security/msv_sspi/core
Core was generated by `vi nlmain.c'.

The file is realy old: Aug 3 2001

If you make an strings on it you could discover some extrange things..

HOSTNAME=voltaire
LOGNAME=eyala
REPLYTO=eyala@mainsoft.com
ORGANIZATION=Mainsoft Co. Ltd.
PWD=/usr/ms/win2k_sp1/private/security/msv_sspi

Quote from mainsoft website
Mainsoft has been a long-time partner of Microsoft since 1994, when Mainsoft and Microsoft first entered into a source code licensing agreement whereby Mainsoft gained access and distribution rights to Windows operating system source code.

Kann nichts zu bedeuten haben, aber ganz offensichtlich ist der Code ein Teil dessen, was Mainsoft von MS lizenziert hatte.

Gruß
Morgoth

 

[Michi]

@10 Morgoth

Klar eine Menge Holz ist es immernoch, aber da setzt sich ja auch nur ein 'Idiot' alleine dran. Eine organisierte Truppe die es schön auf einige Leute verteilt kommt da dann doch schon recht schnell durch. Und Freiwillige finden sich hierfür erstaunlich schnell ^_^'.

 

[Morgoth]

Da ist was dran. Hoffen wir mal, dass die lieber MS auf Lücken hinweist und nicht gleich die Exploits veröffentlicht.

Gruß
Morgoth

 

[cpt.nemo]

man müsste eine sammelklage aller betroffenen gegen MS anstreben.alle firmen und anwender die sensible daten haben, sind nun gefährdet und müssen sich eigentlich ein anderes BS besorgen.MS hat die pflicht dafür zu sorgen das soetwas nicht passiert und hat VERSAGT.

MS sollte allen betroffenen die neueste Linuxversion+trainer+admins bezahlen.

 

[noob-hunter]

und ein kaffe mit kuchen gleich mit serviren ? ...

 

[Morgoth]

Das ist ja mal ausgemachter Schwachfug. MS wurde bestohlen und soll dafür auch noch büßen?
Wenn ich hier ne scharfe Waffe im Schrank habe und die wird bei einem Einbruch gestohlen, dann wird jemand mit dieser Waffe erschossen, bin ich dann daran schuld? Irgendwer muss abdrücken, und das war nicht ich.
Genauso muss die Source von Windows bzw. die darin entdeckten Fehler "angewendet" werden. Und dann ist der "Anwender" schuld, nicht MS.

Gruß
Morgoth

 

[Michi]

@15 Morgoth

Microsoft tägt zumindest zu 100% die Schuld der der Quellcode so fehlerhaft und massiv anfällig ist. Fehlerhaften Code verstecken in der Hoffnung das niemand die Fehler entdeckt und ausnutzt ist nicht gerade profesionell oder gar vertrauenswürdig.

 

[Morgoth]

Das bestreitet ja auch keiner. Security by obscurity funzt nicht, irgendwann kommts trotzdem raus. Ich bezweifle allerdings auch, das MS alle Fehler in seiner Software kennt und diese fehlerhaften Stellen bewusst verschleiert.
Allerdings ist nichts perfekt, auch OSS nicht. Wer hier einen Fehler für schädliche Aktivitäten ausnutzt, ist auch schuld. Nicht der Programmierer. Der ist dann nur angehalten, den Fehler zu beseitigen, um ein erneutes Ausnutzen nicht zuzulassen.

Gruß
Morgoth

 

[Leisetreter]

Nana, nun geht euch nicht gleich an die Kehle.
Es wird sicherlich zu keinen Klagen aufgrund nun neu aufgetauchter Sicherheitslücken kommen, erstens ist das bislang auch noch nie geschehen, Sicherheitslücken weitaus größeren Ausmaßes gab's schließlich auch als der komplette Quellcode noch in den Tresoren von MS schlummerte, und zweitens kann man sie nicht dafür verantwortlich machen, daß ihnen der Sourcecode "gestohlen" wurde.

Interessanter finde ich allerdings, daß es bereits so schnell Anleitungen gibt, und da muß ich den Stimmen beipflichten die MS vorwerfen bei der Sicherheit ihrer Programmierung geschlampt zu haben.
OpenSource-Projekten stellt sich dieses Problem eben kaum, da sie gar nicht die Möglichkeit haben irgendwo ein größeres Loch ungestopft zu lassen, da jederman sofort den Quellcode vor sich hat und so etwas auffallen würde. Die Transparenz der Entwicklung ist eben der große Vorteil von OpenSource.
Aber Microsoft kann ich bezüglich der Restriktionen durchaus verstehen, daß hat weniger etwas mit Sicherheitsbedenken zu tun als mit knallharter Geschäftspolitik, wär ja schön blöd wenn man potentiellen Konkurrenten seine Ideen kostenlos weitergibt. (ob sie nun gut oder schlecht sind spielt ja keine Rolle, Geld wird damit genug verdient )

Worauf ich aber noch gespannt bin ist ob MS, wie oft vorgeworfen wird, absichtlich Hintertüren in ihren Betriebssystemen gelassen hat.

 

[blabla]

Langsam ist eigentlich schon fast nichtmehr daran zu glauben, dass diese Fehler aus versehen geschehen sind. Wie kann es möglich sein, dass Entwickler von Microsoft die Fehler jahrelang übersehen und nun Hacker nach nur ein paar Tagen einsicht in den gigantischen Quellcode schon so viele Fehler entdeckt haben?

Achja, dachte immer Windows2000 baut vollkommen auf NT 4.0 auf und hat nichts mit Windows98 zu tun? Deswegen heisst Windows2000 ja auch NT5.0. Gabs da nicht 2 Produktionslinien?
Win 3.1 --> Win95 --> Win98 --> WinMe
Win NT4.0 --> Win2000 ( 5.0 ) --> WinXP --> Win2003 Server

Lieg ich da falsch ?

 

[Nicie]

Mich würde mal interessieren wo Firmen eigentlich ihrer wichtigsten Daten speichern? Ich würde einen alten Rechner ohne Netzwerkarte oder jegliche Form von Modem holen, das Zeug draufspielen und in einen Fort-Knowartigen Safe stellen.
Man hört ja in letzter Zeit fast jede Woche, dass ein Sourcecode ins Netz kommt, z.B. Half-Life2.
Ich denke ja schon, dass gerade Microsoft sehr viel Wert auf Sicherheit legt und sowas eigentlich nur durch eigene Mitarbeiter geschehen kann, die käuflich sind.

Ein anderer Grund könnte doch auch sein, um so einen Begründung für Verschiebungen oder Sicherheitslücken zu stellen. Denn jetzt kann man sich immer auf diese "Veröffentlichung" beziehen. Ich kann mir gut vorstellen, bei der nächsten großen Lücke , die man entdeckt, sagt MS, dass es nicht ihr Schuld sei, sondern die der bösen Diebe.