Sasser & Co in den Medien
Georg Dingler
Hauptvirenquelle schimpfen:
http://www.heise.de/newsticker/meldung/47212
http://www.heise.de/newsticker/meldung/47209
http://www.heise.de/newsticker/meldung/47205
Interessant auch wie das ganze aufgeklärt wurde.
Aus Ticker von Bild:
"
Samstag, 8. Mai 2004, 21.05 Uhr
Die US-Softwarefirma Microsoft will den Informanten, die dabei geholfen
haben, den jungen deutschen Urheber des Internet-Wurms "Sasser" aufzuspüren,
eine Belohnung von 250 000 Dollar zahlen. Das Geld solle aber erst nach der
Verurteilung des Wurm-Urhebers gezahlt werden, sagte Microsoft-Vizepräsident
Brad Smith in den USA. Smith wollte den Namen des 18-Jährigen aus dem
600-Einwohner-Dorf Waffensen (Kreis Rotenburg/Niedersachsen) nicht nennen.
Der Schüler hat inzwischen die Programmierung des weltweit grassierenden
Wurms gestanden.
"
Es gibt doch soviel sinnvolles zu programmieren - wieso ausgerechnet Viren ?
Weil die Autoren ihre 10 Minuten vom (in diesem Fall zweifelhaften) "Ruhm"
haben wollen ?
--
Georg
www.dingler-it.de
Georg Dingler
--
Georg
www.dingler-it.de
Georg Dingler
Georg Dingler
Volker Birk
> Es gibt doch soviel sinnvolles zu programmieren - wieso ausgerechnet Viren ?
Gute Frage.
> Weil die Autoren ihre 10 Minuten vom (in diesem Fall zweifelhaften) "Ruhm"
> haben wollen ?
Du meinst wahrscheinlich 15 Minuten (Warhol).
VB.
--
X-Pie Software GmbH
Postfach 1540, 88334 Bad Waldsee
Phone +49-7524-996806 Fax +49-7524-996807
mailto:v...@x-pie.de http://www.x-pie.de
Oliver Gobin
> Es gibt doch soviel sinnvolles zu programmieren - wieso ausgerechnet
> Viren ? Weil die Autoren ihre 10 Minuten vom (in diesem Fall
> zweifelhaften) "Ruhm" haben wollen ?
Ehrlich gesagt finde ich solche Würmer gar nicht mal so schlimm, gut der
Traffic ist ein Argument, aber nicht der "Ausfall von Rechner durch
Sasser in Unternehmen". Es ist die Aufgabe der entsprechenden
Administratoren neue Patches zeitnah einzuspielen (Windows
Update Server) und diesmal hatte Microsoft die entsprechenden Patches
rechtzeitig herrausgebracht! Von der Seite der Firmen sollte es daher
kein Jammern geben.
Bei den Privatanwendern kann man nicht verlangen, dass sie immer ihr
Windows auf den neusten Stand halten, aber dort ist der Schaden auch
gering ausgefallen und durch solche Würmer werden die gröbsten
Sicherheitslücken in den Microsoft Betriebssystemen bei den
Privatanwendern zwangsgeschlossen, was im Prinzip in ihrem interesse
ist. Sädlicher als Sasser wäre sicherlich ein Script-Kiddy der mit den
aktuellen Exploits irgendwelche Sachen mit den ganzen ungepatchten
Windows Kisten macht. Von daher sollten sich die meisten Anwender über
so einen Wurm freuen, der noch nicht einmal meine Mailbox verstopft :)
Grüße,
Oliver
Jan Torben Heuer
> Es gibt doch soviel sinnvolles zu programmieren - wieso ausgerechnet Viren
> ? Weil die Autoren ihre 10 Minuten vom (in diesem Fall zweifelhaften)
> "Ruhm" haben wollen ?
Wenn du diese Frage wirklich ernst meinst, hast du nie einen
Kaugummiautomathen aufgebrochen, bist nie zu schnell Auto gefahren oder
hast dich gar mal *kreativ* mit deinen Computer auseinandergesetzt.
Mit steigendem Können steigt dann auch der Anspruch[1].
Oder mit anderen Worte: Warum leckt sich der Hund seinen Schwanz?
JT
[1] Wer jetzt meint ich rechtfertige das ganze hat sich verlesen.
--
"*eine ANSI-txt zbsp. braucht weniger speicher mit kleinen buchstaben und
moeglichst ohne leerzeichen!"
A. Mai in bvp0es$qee$02$1...@news.t-online.com
Georg Dingler
> Wenn du diese Frage wirklich ernst meinst, hast du nie einen
> Kaugummiautomathen aufgebrochen, bist nie zu schnell Auto gefahren
> oder hast dich gar mal *kreativ* mit deinen Computer
> auseinandergesetzt.
Was haben kriminelle Handlungen bitte mit Kreativität zu tun ? Es gibt viele
Sicherheitsexperten die Exploits finden (und auch Code zur Demonstration
schreiben), diese aber nicht für finstere Absichten einsetzen sondern das
den Herstellern mitteilen. Was ist bitte an massenhaft Schaden anrichten
"kreativ" ?
> Mit steigendem Können steigt dann auch der Anspruch[1].
Von der Codebasis her ist Virencode meistens eher primitiv. Jeder
Durchschnittsprogrammierer würde das hinbekommen.
--
Georg
www.dingler-it.de
Joerg-Olaf Schaefers
> Es ist die Aufgabe der entsprechenden
> Administratoren neue Patches zeitnah einzuspielen (Windows
> Update Server) und diesmal hatte Microsoft die entsprechenden Patches
> rechtzeitig herrausgebracht!
Du kannst dir aber schon vorstellen, dass es Gründe geben koennte,
Patches nicht zeitnah einzuspielen, sondern erst zu evaluieren?
Speziell in Unternehmen? Zugegeben, in 3 Wochen kann man einiges
evaluieren.
> Bei den Privatanwendern kann man nicht verlangen, dass sie immer ihr
> Windows auf den neusten Stand halten,
Wieso nicht? Man muss sich wirklich schon Mühe geben das freundlich
blinkende Update-Icon zu ignorieren (Ja, kann man einrichten/abstellen).
Die meisten Menschen schaffen es doch auch sich mehr oder weniger regel-
mässig zu waschen oder ihre Zähne zu putzen. Und da soll sie ausgerech-
net ein klein wenig Rechner-Hygiene überfordern?
> Von daher sollten sich die meisten Anwender über
> so einen Wurm freuen, der noch nicht einmal meine Mailbox verstopft :)
Ach, es ist schlimmer: Die Anwender ärgern sich über die mangelnde
Performance beim Zocken ,( Verhält sich ein Wurm zurückhaltend und
spammt nur ein wenig in der Gegend rum, wird er oft nicht einmal
bemerkt.
MfG
Olaf
--
np: Tori Amos - Smells Like Teen Spirit
Joerg-Olaf Schaefers
> Was ist bitte an massenhaft Schaden anrichten
> "kreativ" ?
Es gibt Menschen, die Terror als ausdrucksstärkste
aller Kunstformen bezeichnen, Herr Stockhausen z.B.
Andere glauben an das Chaos oder Dekonstruktion als
Chance Dinge wirklich nachhaltig zu verbessern.
Wieder andere wollen nur ein wenig randalieren.
MfG
Olaf
--
np: Catatonia - Do You Believe in Me (Live)
Hans-Jörg Schulze
> Oder mit anderen Worte: Warum leckt sich der Hund seinen Schwanz?
Weil er es kann ;-)
--
Die persönliche Homepage der Klitschko-Eiswürfel:
http://www.fc-paparazzis.de/
Peter Lemken
> On Sun, 9 May 2004 10:03:55 +0200 Georg Dingler wrote:
>
> > Es gibt doch soviel sinnvolles zu programmieren - wieso ausgerechnet
> > Viren ? Weil die Autoren ihre 10 Minuten vom (in diesem Fall
> > zweifelhaften) "Ruhm" haben wollen ?
>
> Ehrlich gesagt finde ich solche Würmer gar nicht mal so schlimm, gut der
> Traffic ist ein Argument, aber nicht der "Ausfall von Rechner durch
> Sasser in Unternehmen". Es ist die Aufgabe der entsprechenden
> Administratoren neue Patches zeitnah einzuspielen (Windows
> Update Server) und diesmal hatte Microsoft die entsprechenden Patches
> rechtzeitig herrausgebracht! Von der Seite der Firmen sollte es daher
> kein Jammern geben.
Kann man Dich irgendwo mieten?
> Bei den Privatanwendern kann man nicht verlangen, dass sie immer ihr
> Windows auf den neusten Stand halten, aber dort ist der Schaden auch
> gering ausgefallen und durch solche Würmer werden die gröbsten
> Sicherheitslücken in den Microsoft Betriebssystemen bei den
> Privatanwendern zwangsgeschlossen, was im Prinzip in ihrem interesse
> ist. Sädlicher als Sasser wäre sicherlich ein Script-Kiddy der mit den
> aktuellen Exploits irgendwelche Sachen mit den ganzen ungepatchten
> Windows Kisten macht. Von daher sollten sich die meisten Anwender über
> so einen Wurm freuen, der noch nicht einmal meine Mailbox verstopft :)
Er scheint bei Dir aber etwas ganz anderes verstopft zu haben.
Peter Lemken
Berlin
--
Life is not a journey to the grave with the intention of arriving safely in
a pretty and well-preserved body, but rather to skid in broadside, thoroughly
used up, totally worn out and loudly proclaiming, 'Wow, what a ride!'
Andreas Cerny
> Er scheint bei Dir aber etwas ganz anderes verstopft zu haben.
... und du glaubst auch alles???
irgendwie sieht diese story schwer nach ablenkung und taeuschung aus.
ein gelangweilter schueler soll diesen worm hervorgebracht haben?????
dann moechte ich erst garnicht wissen was die NSA so in der rueckhand hat!
ich kenne auch keine firma mit internetanbindung und ohne
richtige firewall!
> Peter Lemken
> Berlin
mfg
andreas
Georg Dingler
> irgendwie sieht diese story schwer nach ablenkung und taeuschung aus.
Wer, weshalb, wieso ?
> ein gelangweilter schueler soll diesen worm hervorgebracht haben?????
Nichts allzu kompliziertes für ein begabten Programmierer.
> dann moechte ich erst garnicht wissen was die NSA so in der rueckhand
> hat!
Die haben genug ernsthafte Arbeit am Hals als sich um solche Kindereien wie
Würmer zu kümmern.
> ich kenne auch keine firma mit internetanbindung und ohne
> richtige firewall!
Dann kennst du aber nicht viele Firmen. Großfirmen, Große Mittelständler und
auch Behörden sind meistens halbwegs gut geschützt. Jeder der genug im IT
Budget hat kann das realisieren. Equipment und Personal ist eine reine
Kostenfrage. Für kleinere und mittlere Firmen sind es allerdings da ziemlich
düster aus. Das Equipment ist in schlechtem Zustand/mangelnde Betreung -
sofern es überhaupt da ist - und das Personal ist nicht ausreichend
qualifiziert und wenn doch dann gibt es viel wichtigere Dinge als IT
Security die sie erledigen müssen: Der GL zeigen wie Word funktioniert, der
Sekretärin wie man im Internet surft usw.
--
Georg
www.dingler-it.de
Pascal Gienger
> Die US-Softwarefirma Microsoft will den Informanten, die dabei geholfen
> haben, den jungen deutschen Urheber des Internet-Wurms "Sasser" aufzuspüren,
> eine Belohnung von 250 000 Dollar zahlen. Das Geld solle aber erst nach der
Ich finde es bedenklich dass Microsoft quasi zum Mitfahnder werden darf
und dann auch noch auf einer LKA-Pressekonferenz dabei sitzt. Das ist
IMHO ein Skandal.
Was kommt als nächstes? Microsoft-Preisgeld an der Polizei vorbei?
Pascal
--
Pascal Gienger Scan my network fin...@gmx.de
Kanzleistrasse 14 and die. 167972935@icq
78462 Konstanz http://pgienger.de/ 07531/52709@pots
Jan Torben Heuer
>> Jan Torben Heuer wrote:
> Was haben kriminelle Handlungen bitte mit Kreativität zu tun ? Es gibt
Sie können kreativ sein. Kreativ heist doch nicht nützlich oder gut, etc.
Denk' doch mal an das Wort an sich.
>> Mit steigendem Können steigt dann auch der Anspruch[1].
> Von der Codebasis her ist Virencode meistens eher primitiv. Jeder
> Durchschnittsprogrammierer würde das hinbekommen.
"meistens, eher"... Es geht _hier_ _konkret_ um Sasser.
(Ich beziehe mich jetzt einfach mal auf deine genannten Quellen)
Mich wundert es überhaupt nicht, dass ein deutscher Schüler das Ding
programmiert hat. Ich kann es dir so pauschal nicht begreifbar machen, es
passt einfach so in mein Gesamtbild. Aber das ist ein anderes laaanges
Thema, das ich nicht tippen möchte ;-)
JT
Georg Dingler
http://www.spiegel.de/netzwelt/technologie/0,1518,299122,00.html
Auf den Verdächtigen kommen nur harte Zeiten zu: Er muss sich wegen
Computersabotage nach Paragraf 303 des Strafgesetzbuches verantworten,
Höchststrafe 5 Jahre Haft. Und er muss wohl Schadenersatz leisten, wenn er
verurteilt wird. Kleiner Hoffnungsschimmer: Er ist erst am 29. April 18
geworden und wird deshalb nach dem Jugendstrafrecht behandelt. Laut
Oberstaatsanwalt Helmut Trentmann aus Verden besucht er die Berufsfachschule
für Wirtschaftsinformatik und ist Hobbyprogrammierer. Seine Mutter betreibt
einen Computershop mit dem Namen "PC help".
--
Georg
www.dingler-it.de
Jan Lühr
Georg Dingler wrote:
>> Andreas Cerny wrote:
>
>> irgendwie sieht diese story schwer nach ablenkung und taeuschung aus.
>
> Wer, weshalb, wieso ?
Naja, wie kann so etwas ohne eine Verschwörungstheorie ab
>> ein gelangweilter schueler soll diesen worm hervorgebracht haben?????
>
> Nichts allzu kompliziertes für ein begabten Programmierer.
>
>> dann moechte ich erst garnicht wissen was die NSA so in der rueckhand
>> hat!
>
> Die haben genug ernsthafte Arbeit am Hals als sich um solche Kindereien
> wie Würmer zu kümmern.
Hmm... die haben das ernsthaft mal gemacht Magic(|RED?) Latern hieß das
Zeug.
Aber wieso willst du das wissen.
>> ich kenne auch keine firma mit internetanbindung und ohne
>> richtige firewall!
Achja? Toll. Was soll mir das sagen? Dass sie mit einer PFW besser dran
wären?
> Dann kennst du aber nicht viele Firmen. Großfirmen, Große Mittelständler
> und auch Behörden sind meistens halbwegs gut geschützt. Jeder der genug im
> IT Budget hat kann das realisieren. Equipment und Personal ist eine reine
> Kostenfrage. Für kleinere und mittlere Firmen sind es allerdings da
> ziemlich düster aus. Das Equipment ist in schlechtem Zustand/mangelnde
> Betreung - sofern es überhaupt da ist - und das Personal ist nicht
> ausreichend qualifiziert und wenn doch dann gibt es viel wichtigere Dinge
> als IT Security die sie erledigen müssen: Der GL zeigen wie Word
> funktioniert, der Sekretärin wie man im Internet surft usw.
Hmm... das ist in der Tat ein Problem. Aber RCP Dienste sollte trotzdem der,
der die Dinger aufstellt nicht über das I-net erreichbar machen.
KEep smiling
yanosz
Benjamin Zimmer
Georg Dingler schrieb am 09.05.2004 21:11:
> http://www.spiegel.de/netzwelt/technologie/0,1518,299122,00.html
In jedem der Artikel ist die Rede von dem selbstgebauten PC des
Jugendlichen. Ich frage mich schon die ganze Zeit, was die damit sagen
wollen!? Hat er sich selber einen PC gelötet, oder einfach nur die Teile
zusammengesteckt!?
Denn dann frage ich mich, was daran so besonderes sein soll. Macht
alleine dies einen schon zum Hacker bzw. Cracker?
Zum Bild - T-Online Artikel: Ich finde das klingt wie ein Artikel über
einen, der gerade ein Attentat durchgeführt hat, oder gerade jemanden
Vergewaltigt hat.
"Sven J. (18) aus Waffensen (Niedersachsen) lebt nach außen das Leben
eines unauffälligen Jugendlichen mit ganz normalen Zielen und Hobbys."
"„Er lebt zurückgezogen, aber er grüßt immer freundlich“, sagt
eine Nachbarin."
Z.B. das erinnert mich schwer an die damaligen Artikel des einen Roberts
(M.??) der den Attentat an der Schule in Erfurt verübt hatte.
Gruß,
Benjamin
Andreas Cerny
> ja halllo erstmal,..
auch ein hallo,
> Hmm... die haben das ernsthaft mal gemacht Magic(|RED?) Latern hieß das
> Zeug.
> Aber wieso willst du das wissen.
die magischen laternen gibts immer noch. in diesen zusammenhang faellt
mir da immer grafenwoehr aus oberfranken speziell fuer germanien auf.
>>> ich kenne auch keine firma mit internetanbindung und ohne richtige
>>> firewall!
>
> Achja? Toll. Was soll mir das sagen? Dass sie mit einer PFW besser dran
> wären?
... jeder auch noch so billige router stellt fuer den wurm ein huerde dar.
> KEep smiling
> yanosz
bis neulich
andreas
Juergen Nieveler
> Ich finde es bedenklich dass Microsoft quasi zum Mitfahnder werden
> darf und dann auch noch auf einer LKA-Pressekonferenz dabei sitzt. Das
> ist IMHO ein Skandal.
Wieso? Es ist niemandem verboten, Zeugen aufzutreiben und die
Zeugenaussagen an die Ermittlungsbehörden weiterzugeben.
> Was kommt als nächstes? Microsoft-Preisgeld an der Polizei vorbei?
Russisch-Inkasso bei Virenprogrammierern?
Juergen Nieveler
--
"It is clear our nation is reliant upon big foreign oil. More and more of
our imports come from overseas."George W. Bush --Beaverton, Ore., Sep. 25,
2000
Oliver Gobin
> Du kannst dir aber schon vorstellen, dass es Gründe geben koennte,
> Patches nicht zeitnah einzuspielen, sondern erst zu evaluieren?
> Speziell in Unternehmen? Zugegeben, in 3 Wochen kann man einiges
> evaluieren.
Klar, bisher habe ich aber nicht allzu schlechte Erfahrung mit den
microsoft Patches gemacht, aber du hast schon recht. Bei Mac OS X gab es
mal einen Patch, wo man sich gefreut hat den nicht sofort einzuspielen,
bei MS kann ich mich jetzt aber nicht mehr errinern...
> Wieso nicht? Man muss sich wirklich schon Mühe geben das freundlich
> blinkende Update-Icon zu ignorieren (Ja, kann man
> einrichten/abstellen).
Die meisten Privatanwender können sich aber nicht vorstellen, dass
dieses Icon etwas "Gutes" ist. Vielmehr denken sie, dass dadurch ihre
nicht registrierte Windowsversion bekannt wird und ähnliches.
Ansonten denke ich schon, dass man den Privatanwendern eine gewisse
Vergässlichkeit/Schlampigkeit erlauben darf, bei Administratoren
jedoch gewiss nicht. Wie weit diese gehen darf ist eine andere Frage,
ich würde aber auch sagen, dass fast 3 Woche genügen sollten um auf das
Icon zu klicken, vorrausgesetzt man gehört nicht zur oberen Gruppe und
kennt diesen Updatemechanismus (was viele wohl nicht tun).
> Verhält sich ein Wurm zurückhaltend und
> spammt nur ein wenig in der Gegend rum, wird er oft nicht einmal
> bemerkt.
Ja leider.
Grüße,
Oliver
Dennis Bliefernicht
> Klar, bisher habe ich aber nicht allzu schlechte Erfahrung mit den
> microsoft Patches gemacht, aber du hast schon recht. Bei Mac OS X gab es
> mal einen Patch, wo man sich gefreut hat den nicht sofort einzuspielen,
> bei MS kann ich mich jetzt aber nicht mehr errinern...
Kein Problem, da hilft man gerne aus :)
z.B. http://www.heise.de/newsticker/meldung/46716
Auf einem Produktivsystem macht das Spaß ;)
Greetz
TriPhoenix
--
In other words, comparing random crap can give random crap results.
Oliver Gobin
> > Es ist die Aufgabe der entsprechenden
> > Administratoren neue Patches zeitnah einzuspielen (Windows
> > Update Server) und diesmal hatte Microsoft die entsprechenden
> > Patches rechtzeitig herrausgebracht!
> Kann man Dich irgendwo mieten?
Ja, denn das aufspielen von Updates ist ja eine wahrlich schwere und
zeitraubente Aufgabe, da hast du aber recht. Mensch warum geht das bei
uns nur automatisch...
> Er scheint bei Dir aber etwas ganz anderes verstopft zu haben.
Ganz meine Meinung.
Oliver
Oliver Gobin
> > bei MS kann ich mich jetzt aber nicht mehr errinern...
> Kein Problem, da hilft man gerne aus :)
> z.B. http://www.heise.de/newsticker/meldung/46716
Schon richtig :) Kommt aber auch immer auf die Systeme an, wie viel man
evaluieren muss.
Joerg-Olaf Schaefers
> On Sun, 9 May 2004 13:42:35 +0200 Joerg-Olaf Schaefers wrote:
>
>> Du kannst dir aber schon vorstellen, dass es Gründe geben koennte,
>> Patches nicht zeitnah einzuspielen, sondern erst zu evaluieren?
>> Speziell in Unternehmen? Zugegeben, in 3 Wochen kann man einiges
>> evaluieren.
>
> Klar, bisher habe ich aber nicht allzu schlechte Erfahrung mit den
> microsoft Patches gemacht, aber du hast schon recht. Bei Mac OS X gab es
> mal einen Patch, wo man sich gefreut hat den nicht sofort einzuspielen,
> bei MS kann ich mich jetzt aber nicht mehr errinern...
Oh, die sind nicht gerade selten. Letztens erst wieder:
--snip-- http://www.heise.de/newsticker/meldung/print/46620
19.04.2004 10:37
Microsoft-Patch verhindert Verschlüsselung des Internet Explorer
Auf der Sicherheitsmailingliste Full Disclosure gibt es mehrere
Postings, die darauf hinweisen, dass der jüngst im Security Bulletin
MS04-011[1] empfohlene Sammelpatch -- zum Stopfen mehrerer
Sicherheitslücken in Windows[2] -- die SSL-Verschlüsselung des Internet
Explorer 6 unbrauchbar macht. In der Folge kann der Browser nicht mehr
mit SSL-gesicherten Servern (https://) kommunizieren, da die
Verschlüsselungsstärke nur mit 0 Bit verfügbar ist anstatt der nötigen
128 Bit. [..]
--snip--
Mein Liebling bleibt aber immer noch der hier:
--snip-- http://www.heise.de/newsticker/meldung/print/37174
28.05.2003 11:31
Sicherheits-Update verhindert Internet-Verbindungen (Update)
Microsoft[1] zieht das aktuelle Update für Windows XP zur Verbesserung
der Sicherheit zurück. Das am Freitag vergangener Woche bereitgestellte
Update zur Erhöhung der Sicherheit sorgte dann doch für zu viel
Sicherheit: Nach der Installation war nicht mehr jeder Rechner in der
Lage, eine Verbindung ins Internet aufzubauen. [..]
--snip--
...
> Die meisten Privatanwender können sich aber nicht vorstellen, dass
> dieses Icon etwas "Gutes" ist. Vielmehr denken sie, dass dadurch ihre
> nicht registrierte Windowsversion bekannt wird und ähnliches.
*tja*
...
> ich würde aber auch sagen, dass fast 3 Woche genügen sollten um auf das
> Icon zu klicken, vorrausgesetzt man gehört nicht zur oberen Gruppe und
> kennt diesen Updatemechanismus (was viele wohl nicht tun).
Den letzten beiden Rechner, die ich hier hatte lagen die Original-CDs
bei. Den Anwendern war schlicht nicht klar, dass man Schutzsoftware
regelmässig aktualisieren muss.
MfG
Olaf
Tor-Einar Jarnbjo
news:20040509224650.5c4...@ogobin.de:
> Klar, bisher habe ich aber nicht allzu schlechte Erfahrung mit den
> microsoft Patches gemacht, aber du hast schon recht.
Ich zuletzt vor einer Woche. Wie du sagst: es passt meistens. Meistens ist
aber für Serveradministratoren oft nicht gut genug und Patches werden nicht
ungeprüft installiert.
Letztes Wochenende habe ich die Patches von windowsupdate.microsoft.com
eingespielt. Das Ergebnis war, dass der Systemprozess nach einem Boot bei
100% CPU-Last blieb und den Rechner recht lahm gemacht hat. Die Patches
können ja nicht deinstalliert werden, eine Neuinstallation vom letzten SP
half nicht und die Reparationsroutine auf der Installations-CD hat zwar den
Hänger im Systemprozess gelöst, hat aber das System in einem kaputten
Zustand gelassen (IE und Office funktionierte z.B. nicht mehr).
Gruß, Tor
Tor-Einar Jarnbjo
news:Xns94E55F2E4776To...@130.133.1.4:
> Letztes Wochenende habe ich die Patches von
> windowsupdate.microsoft.com eingespielt. Das Ergebnis war, dass der
> Systemprozess nach einem Boot bei 100% CPU-Last blieb und den Rechner
> recht lahm gemacht hat.
Ich hätte vielleicht im Thread weiterlesen sollen:
http://www.heise.de/newsticker/meldung/46716
Gruß, Tor
Joerg-Olaf Schaefers
> Georg Dingler schrieb am 09.05.2004 21:11:
>
>> http://www.spiegel.de/netzwelt/technologie/0,1518,299122,00.html
*blablub*
> Denn dann frage ich mich, was daran so besonderes sein soll. Macht
> alleine dies einen schon zum Hacker bzw. Cracker?
Siehe http://www.kleinz.net/nerds/archives/cat_media.html#000137
Es ist nicht anzunehmen, dass der Rest wesentlich sorgfältiger
recherchiert wurde. Wozu auch? Schliesslich war Wochenende und
man hat ein paar griffige Phrasen gedroschen. Details sind für
die Masse der SpOn-Zielgruppe zudem verwirrend, das muss nicht
sein. Stereotypen sind da weit nützlicher.
MfG
Olaf
Jens Zimperfeld
Warum wird man bei sowas über so hart bestraft. Warum nicht Microsoft das
sie überhaupt so lücken im System haben? Wenn mir hier einer mein Auto klaut
weil ich die Türen offen gelassen habe ist man doch bei unserer Gesetzgebung
auch selbst schuld.
Das zählt doch dann als Verführung oder nicht?
hmm ist schon alles komisch.
Schöne Grüße
marcus lauster
> Warum wird man bei sowas über so hart bestraft.
Weil Millionen von Euros an Schäden entstehen können, vielleicht sogar Personenschäden bei kritischen Anwendungen, wobei die nicht
unbedingt auf Win laufen aber das sei mal so dahingestellt.
>Warum nicht Microsoft das sie
>überhaupt so lücken im System haben?
Wieso? dann müsstest du auch gleich die ganze Linux Community verknacken inkl. der freien unices ach ja und die kommerziellen haben
ja schließlich auch ein paar bugs. :)
>Wenn mir hier einer mein
>Auto klaut weil ich die Türen offen gelassen habe ist man doch bei
>unserer Gesetzgebung auch selbst schuld.
Das kann man nur schwer vergleichen aber siehs mal so dein Auto ist dein Rechner, Microsoft ist der Autohersteller, Person X ist der
Autoklauer.
Was kann der Autohersteller jetzt dafür das DU deine Türen offen lässt und somit Person X dein Auto klaut. Aber immerhin wurde hier
dein Auto geklaut und der jenige der es geklaut hat hat sich strafbar gemacht, egal ob er nun "verführt" wurde oder nicht, geklaut
ist geklaut. Zumal dieses Mal hat MS ja den Patch früh genug rausgebracht.
Ich habe eher so das Gefühl das es diesmal der Wurm zum Patch war und mächtig drauf spekuliert wurde das den Patch sowieso niemand
richtig wahrnimmt und erst recht nicht die Privaten wodurch wieder mal eine breite Masse zum angreifen da war. Nun ja zumal erinnert
mich das so ziemlich an die Sache mit der RPC Schnittstelle man müsste sich mal die Codes von beiden anschauen, wenn sie denn im
Netz rumgeistern.
bye
marcus
Peter Lemken
> On 9 May 2004 12:58:29 GMT Peter Lemken wrote:
>
> > > Es ist die Aufgabe der entsprechenden
> > > Administratoren neue Patches zeitnah einzuspielen (Windows
> > > Update Server) und diesmal hatte Microsoft die entsprechenden
> > > Patches rechtzeitig herrausgebracht!
>
> > Kann man Dich irgendwo mieten?
>
> Ja,
Dann ist gut. Clowns werden überall gebraucht.
> denn das aufspielen von Updates ist ja eine wahrlich schwere und
> zeitraubente Aufgabe, da hast du aber recht. Mensch warum geht das bei
> uns nur automatisch...
Weil Ihr offensichtlich einen guten Vorrat an Weihwasser habt, mit dem die
Patches eingesprüht werden. Andere berichten von diversen Problemen mit
Patches, aber die machen das wohl nicht automatisch, sondern per Hand.
Vielleicht testen die auch mal kurz.
Macht man ja heute nicht mehr, läuft ja alles automatisch und kaputt geht
garantiert gar nichts, dem steht schon die QA von Microsoft entgegen. Und
Schadenersatz für kaputte Patches, die mal eben ein ganzes Unternehmen
lahmlegen, den zahlt Microsoft ja unproblematisch und unbürokratisch.
> > Er scheint bei Dir aber etwas ganz anderes verstopft zu haben.
>
> Ganz meine Meinung.
Schön, daß wir uns so einig sind.
Peter Lemken
> Am Sun, 09 May 2004 12:58:29 +0000 schrieb Peter Lemken:
>
> > Er scheint bei Dir aber etwas ganz anderes verstopft zu haben.
>
> ... und du glaubst auch alles???
Ich glaube vor allem, daß Du eine neue Lesebrille brauchst.
Benjamin Zimmer
Joerg-Olaf Schaefers schrieb am 10.05.2004 01:49:
> Benjamin Zimmer wrote:
>
>>Georg Dingler schrieb am 09.05.2004 21:11:
>>Denn dann frage ich mich, was daran so besonderes sein soll. Macht
>>alleine dies einen schon zum Hacker bzw. Cracker?
>
>
> Siehe http://www.kleinz.net/nerds/archives/cat_media.html#000137
Full Ack!
> Es ist nicht anzunehmen, dass der Rest wesentlich sorgfältiger
> recherchiert wurde. Wozu auch? Schliesslich war Wochenende und
> man hat ein paar griffige Phrasen gedroschen. Details sind für
> die Masse der SpOn-Zielgruppe zudem verwirrend, das muss nicht
> sein. Stereotypen sind da weit nützlicher.
Ebenfalls full Ack
Gruß,
Benjamin
Benjamin Zimmer
marcus lauster schrieb am 10.05.2004 08:32:
>>Wenn mir hier einer mein
>>Auto klaut weil ich die Türen offen gelassen habe ist man doch bei
>>unserer Gesetzgebung auch selbst schuld.
>
>
> Das kann man nur schwer vergleichen aber siehs mal so dein Auto ist dein Rechner, Microsoft ist der Autohersteller, Person X ist der
> Autoklauer.
> Was kann der Autohersteller jetzt dafür das DU deine Türen offen lässt und somit Person X dein Auto klaut.
Stell dir ebenfalls vor, der Autohersteller liefert das Auto
standardmäßig ohne Schloss aus.
Man muss es erst nachrüsten (lassen) (wobei aber unter Umständen der
Motor kaputt gehen kann).
Gruß,
Benjamin
marcus lauster
> Stell dir ebenfalls vor, der Autohersteller liefert das Auto
> standardmäßig ohne Schloss aus.
Macht er ja nicht.
> Man muss es erst nachrüsten (lassen) (wobei aber unter Umständen der
> Motor kaputt gehen kann).
Dann bau das Schloss halt wieder aus, Hotfixes kann man deinstallieren zumindest stehen sie bei mir in der Softwareliste :)
bye
marcus
Ansgar -59cobalt- Wiechers
> Oliver Gobin <200404...@ogobin.de> wrote:
>
>> denn das aufspielen von Updates ist ja eine wahrlich schwere und
>> zeitraubente Aufgabe, da hast du aber recht. Mensch warum geht das
>> bei uns nur automatisch...
>
> Weil Ihr offensichtlich einen guten Vorrat an Weihwasser habt, mit dem
> die Patches eingesprüht werden. Andere berichten von diversen
> Problemen mit Patches, aber die machen das wohl nicht automatisch,
> sondern per Hand. Vielleicht testen die auch mal kurz.
Für die Automatisierung der Updates verwendet man SUS. Zum Testen hat
man ein Testnetz. Ja, man kann das auch staffeln. Könntest Du Deine
Selbstdemontage bitte an geeigneter° Stelle weiterführen? Danke.
F'up angepasst.
cu
59cobalt
--
"Ich heisse Li, mein Vorname ist Kao, und ich habe einen kleinen
Charakterfehler."
--Li Kao (Barry Hughart: Die Brücke der Vögel)
Benjamin Zimmer
marcus lauster schrieb am 10.05.2004 12:54:
> Benjamin Zimmer wrote:
>
>
>>Stell dir ebenfalls vor, der Autohersteller liefert das Auto
>>standardmäßig ohne Schloss aus.
>
>
> Macht er ja nicht.
Macht Microsoft leider doch.
>>Man muss es erst nachrüsten (lassen) (wobei aber unter Umständen der
>>Motor kaputt gehen kann).
>
>
> Dann bau das Schloss halt wieder aus, Hotfixes kann man deinstallieren zumindest stehen sie bei mir in der Softwareliste :)
1. Der Motor geht dann aber trotzdem nicht wieder,
2. ist wieder kein Schloss da, und das Auto wird geklaut.
Gruß,
Benjamin
marcus lauster
> marcus lauster schrieb am 10.05.2004 12:54:
>> Benjamin Zimmer wrote:
>>
>>
>>> Stell dir ebenfalls vor, der Autohersteller liefert das Auto
>>> standardmäßig ohne Schloss aus.
>>
>> Macht er ja nicht.
>
> Macht Microsoft leider doch.
Kommt drauf an was du unter Schloss verstehst.
>>> Man muss es erst nachrüsten (lassen) (wobei aber unter Umständen der
>>> Motor kaputt gehen kann).
>>
>>
>> Dann bau das Schloss halt wieder aus, Hotfixes kann man
>> deinstallieren zumindest stehen sie bei mir in der Softwareliste :)
>
> 1. Der Motor geht dann aber trotzdem nicht wieder,
> 2. ist wieder kein Schloss da, und das Auto wird geklaut.
Eigene Erfahrung? Oder hast du das nur "gehört"?
bye
marcus
Benjamin Zimmer
marcus lauster schrieb am 10.05.2004 13:24:
> Benjamin Zimmer wrote:
>
>>marcus lauster schrieb am 10.05.2004 12:54:
>>
>>>Benjamin Zimmer wrote:
>>>>Stell dir ebenfalls vor, der Autohersteller liefert das Auto
>>>>standardmäßig ohne Schloss aus.
>>>
>>>Macht er ja nicht.
>>
>>Macht Microsoft leider doch.
>
>
> Kommt drauf an was du unter Schloss verstehst.
Den Patch. Und es ist ja leider nicht nur einer. Wie kann es sein, dass
MS nach und nach einen Haufen Bugs fixt? Sind wir die Betatester? Es ist
zwar gut, dass MS die Patchs macht, aber eigentlich dürfte es in einem
*so* teurem Betriebssystem keine Fehler mehr geben.
>>>>Man muss es erst nachrüsten (lassen) (wobei aber unter Umständen der
>>>>Motor kaputt gehen kann).
>>>
>>>Dann bau das Schloss halt wieder aus, Hotfixes kann man
>>>deinstallieren zumindest stehen sie bei mir in der Softwareliste :)
>>
>>1. Der Motor geht dann aber trotzdem nicht wieder,
>>2. ist wieder kein Schloss da, und das Auto wird geklaut.
>
>
> Eigene Erfahrung? Oder hast du das nur "gehört"?
Lies ein paar Threads weiter oben [1], da wurde über solche Probleme
berichtet. Ich blieb bis jetzt zum Glück weitgehend davon verschont.
Aber ich bin mir sicher, dass wenn ein Problem durch einen Patch
ensteht, es nicht durch deinstallieren des Patches beheben lässt.
Und dass die Sicherheitslücke dann wieder da ist ergibt sich ja von selbst.
[1] news:Xns94E55F2E4776To...@130.133.1.4
Gruß,
Benjamin
Benjamin Zimmer
Gruß
Peter Lemken
>
> Für die Automatisierung der Updates verwendet man SUS. Zum Testen hat
> man ein Testnetz. Ja, man kann das auch staffeln. Könntest Du Deine
> Selbstdemontage bitte an geeigneter° Stelle weiterführen? Danke.
Komm bitte wieder, wenn Du weißt, wovon Du redest. Deine Vorstellung von
Patch- und Risikomanagement ist jedenfalls nicht geeignet, Kompetenz zu
vermitteln. Automatische Updates und ein kleines Testnetz reichen nicht aus,
um bei größeren Infrastrukturen die notwendige Betriebssicherheit zu
gewährleisten. Daß Du das mit Deinem Heim-PC anders siehst, mag aus Deiner
Sicht seine Richtigkeit haben, aber verwechsel das bitte nicht mit einer
vier- bis fünfstelligen Rechneranzahl, die man mal zwischen Frühstück und
Mittagspause patcht, es sei denn, das zitierte Weihwasser steht in
ausreichender Menge bereit.
> F'up angepasst.
Pack' mich in Dein Killfile, wenn Dir unangenehme Wahrheiten nicht in Dein
Weltbild hereinpassen. Nach Lektüre von
http://www.nwfusion.com/research/2003/1201howtopatch.html darfst Du
wiederkommen und uns alle über Deine Vorstellungen von Patchmanagement
erhellen.
Jochim Rolf Selzer
> Mensch warum geht das bei uns nur automatisch...
Wie arbeitet Eure QS?
Gruß
Jochim
Volker Birk
>> ich kenne auch keine firma mit internetanbindung und ohne
>> richtige firewall!
> auch Behörden sind meistens halbwegs gut geschützt.
Und Du scheints gar keine. Zumindest keine Großfirmen, Große Mittelständler
oder Behörden.
VB.
--
X-Pie Software GmbH
Postfach 1540, 88334 Bad Waldsee
Phone +49-7524-996806 Fax +49-7524-996807
mailto:v...@x-pie.de http://www.x-pie.de
Juergen Nieveler
> Dann bau das Schloss halt wieder aus, Hotfixes kann man deinstallieren
> zumindest stehen sie bei mir in der Softwareliste :)
Das ist ein bißchen schwierig wenn der Rechner schon beim Booten mit
Bluescreen hängenbleibt... ;-)
Juergen Nieveler
--
A lottery is just a tax on people who are bad at math
Arne Modersohn
> 1. Der Motor geht dann aber trotzdem nicht wieder,
> 2. ist wieder kein Schloss da, und das Auto wird geklaut.
Wie soll das Auto geklaut werden wenn der Motor nicht geht? ;)
Juergen Nieveler
> Klar, bisher habe ich aber nicht allzu schlechte Erfahrung mit den
> microsoft Patches gemacht, aber du hast schon recht. Bei Mac OS X gab es
> mal einen Patch, wo man sich gefreut hat den nicht sofort einzuspielen,
> bei MS kann ich mich jetzt aber nicht mehr errinern...
Letztes Jahr gab es einen Patch für NT4, der dummerweise bei
RAS-Servern Probleme bereitete. Eine korrigierte Version kam erst ca.
eine Woche später - man hatte die Wahl "unsicheres System" oder
"Außendienst kann sich nicht einwählen :-(
Juergen Nieveler
--
I am, therefore, I think. I think.
Benjamin Zimmer
Auch wieder wahr (:
frank paulsen
> Letztes Jahr gab es einen Patch für NT4, der dummerweise bei
> RAS-Servern Probleme bereitete. Eine korrigierte Version kam erst ca.
> eine Woche später - man hatte die Wahl "unsicheres System" oder
> "Außendienst kann sich nicht einwählen :-(
und was genau hat das jetzt mit dem patch zu tun?
--
frobnicate foo
Oliver Gobin
> Wie arbeitet Eure QS?
Recht klassisch würde ich sagen.
Ganz grob: mit SUS, mit selbterstellten Updates, mit den von Windows
gelieferten Updates und fein Tuning durch Gruppenrichtlinien aus dem
AD und einigen weiteren Tricks.
Gestestet wird auch vorher, da ich mich aber nicht primär um die Windows
Kisten kümmer, kann ich die Testumgebung nicht genau beschreiben.
Jedenfalls ist der Aufwand gering und Updates werden auf einfache
Weise auf eine dreistellige Anzahl von Windows Rechnern installiert.
Ich kann mir nicht vorstellen, dass die Probleme durch eine
vierstellige Zahl größer sind.
Grüße,
Oliver
Juergen Nieveler
>> Letztes Jahr gab es einen Patch für NT4, der dummerweise bei
>> RAS-Servern Probleme bereitete. Eine korrigierte Version kam erst ca.
>> eine Woche später - man hatte die Wahl "unsicheres System" oder
>> "Außendienst kann sich nicht einwählen :-(
>
> und was genau hat das jetzt mit dem patch zu tun?
Durch den Patch funktionierte RAS nicht mehr - was bei einem RAS-Server
eher von Nachteil ist.
Juergen Nieveler
--
"Get away from the dynamite," Tom said explosively
Marc Haber
>frank paulsen <frank....@gmx.net> wrote:
>>> Letztes Jahr gab es einen Patch für NT4, der dummerweise bei
>>> RAS-Servern Probleme bereitete. Eine korrigierte Version kam erst ca.
>>> eine Woche später - man hatte die Wahl "unsicheres System" oder
>>> "Außendienst kann sich nicht einwählen :-(
>>
>> und was genau hat das jetzt mit dem patch zu tun?
>
>Durch den Patch funktionierte RAS nicht mehr - was bei einem RAS-Server
>eher von Nachteil ist.
Aber das ist doch so sicher!!!
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Florian Weimer
> frank paulsen <frank....@gmx.net> wrote:
>
>>> Letztes Jahr gab es einen Patch für NT4, der dummerweise bei
>>> RAS-Servern Probleme bereitete. Eine korrigierte Version kam erst ca.
>>> eine Woche später - man hatte die Wahl "unsicheres System" oder
>>> "Außendienst kann sich nicht einwählen :-(
>>
>> und was genau hat das jetzt mit dem patch zu tun?
>
> Durch den Patch funktionierte RAS nicht mehr - was bei einem RAS-Server
> eher von Nachteil ist.
Den Patch muß man natürlich vorher testen. 8-/
--
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: atlas.cz, bigpond.com, di-ve.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.
Peter Fetzer
>>>Stell dir ebenfalls vor, der Autohersteller liefert das Auto
>>>standardmäßig ohne Schloss aus.
>>
>>
>> Macht er ja nicht.
>
> Macht Microsoft leider doch.
Sagt mal, seid ihr alle blind?
Da ist doch ein groszes Schlosz an der Fahrerseite. Der Hersteller wirbt
doch sogar mit Pauken und Trompeten fuer die Sicherheit dieses Schlosses.
Denn die Beifahrertuer klemmt sowieso und hinten gibt es keine weiteren
Einstiegsmoeglichkeiten.
Gut, die Heckklappe und das Schiebedach sind serienmaeszig nicht
abschlieszbar und durch sanften Druck auf den Tankdeckel oeffnet sich auch
das Schlosz und der Motor springt an.
Solange das undokumentiert bleibt...
/peter
Peter Fetzer
http://www.nethacker.de/cebit.jpg
/peter
Jochem Huhmann
> Jens Zimperfeld wrote:
>
>> Warum wird man bei sowas über so hart bestraft.
>
> Weil Millionen von Euros an Schäden entstehen können, vielleicht sogar
> Personenschäden bei kritischen Anwendungen, wobei die nicht unbedingt
> auf Win laufen aber das sei mal so dahingestellt.
Um die Auto-Analogie mal auszuwalzen: ein Hersteller verkauft Millionen
und Abermillionen eines bestimmten Modells, so dass er damit nahezu ein
Monopol hat. Er erzielt dabei über Jahre hinweg fast 50% seines Umsatzes
als Gewinn (das ist jetzt unrealistisch, sowas gibt es nur bei
Drogenhandel, Menschenhandel und Microsoft, aber egal).
Jetzt stellt sich heraus, dass die Elektronik dieses Autos eine
Schwachstelle hat, die man dazu benutzen kann, das Auto zu öffnen, um
damit zu fahren oder es leerzuräumen. Der Hersteller weiß das und setzt
nicht etwa eine Rückrufaktion in Gang, damit die Käufer in der
nächstgelegenen Werkstatt kostenlos ihr Auto umrüsten lassen
können. Nein, er veröffentlicht nur irgendwo auf seiner Website eine
Anleitung und Firmware für die Elektronik, die diese Lücke
schließt. Download und Umrüstung muß der Käufer selber erledigen. Wochen
später verbreitet ein 18jähriger ein Werkzeug, mit dem man diese Lücke
ausnutzen kann. Er wird geschnappt und muß mit ein paar Jahren Knast und
endlosen Schadensersatzforderungen rechnen, der Denunziant bekommt
250000 US$ vom Autohersteller, der sich noch für diese Großtat feiern
läßt.
Was fällt einem hierbei auf?
1. Jeder Autohersteller fährt in einem solchen Fall eine Rückrufaktion
mit kostenloser Reparatur in der Werkstatt. Microsoft müßte analog
jeden registrierten Benutzer per Post benachrichtigen und ihm einen
Termin anbieten, an dem ein Techniker den PC updated. Das tut MS aber
nicht, das würde ja auch die 50% Gewinnquote etwas verringern.
2. Der "Verbrecher" stattet sein Werkzeug *nicht* mit einer wirklich
schädlichen Nutzlast aus. Hätte er sein Werkzeug gar nicht verbreitet
und stattdessen wirklich boshafte Leute diese Lücke ausgenutzt
(Geheimdienste, Terroristen, etc.), *dann* hätte es enorme Schäden
gegeben. Was kann ein Team gut ausgebildeter Leute mir wirklich bösen
Absichten anstellen, wenn ein 17jähriger Schüler ohne böse Absichten
das anrichten kann, was er mit Sasser angerichtet hat? Die
Fantasielosigkeit derer, die Sasser als "Verbrechen" bezeichnen, ist
unfaßbar.
3. Microsoft maximiert seinen Profit auf Kosten der Anwender und mit
willfähriger Hilfe von Gesetzgeber und Polizei. Niemand wundert sich,
dass ein Unternehmen mit derartig astronomischen Umsatz- und
Gewinnsummen weder in der Lage ist, sichere Software auszuliefern,
noch sie auf eigene Kosten beim Anwender zu fixen, wenn doch eine
Lücke entdeckt wird. Ein Autohersteller würde dafür vor Gericht
gezerrt -- und zu Recht.
4. Diesem 18jährige Schüler gehört gehört das Bundesverdienstkreuz
verliehen, weil er auf *diese* Lücke wahrlich effektiv mit dem Finger
gezeigt hat und anfällige Rechner entweder durch Dauerboots vom Netz
genommen hat oder deren Anwender/Admins zum Update gezwungen hat,
bevor wirklich böswillige Aktionen durch andere passiert sind.
5. "After the fact" Aktionen wie "Täter fassen und verurteilen" sind
wirkungslos, weil das Kind bis dahin schon längst ins Wasser gefallen
ist. Und wenn es nur Wasser war, hat man noch verdammtes Glück
gehabt. Das Problem sind nicht Viren- oder Wurmprogrammierer, das
Problem ist, dass scheinbar jede Menge volks- und
betriebswirtschaftlich höchst empfindlicher Dinge auf Rechnern mit
Betriebssystemen laufen, die hochgradig unsicher sind und deren
Hersteller freiwillig nicht dazu bereit sind, einen Teil ihrer
jährlich 10 Milliarden US$ Gewinn in mehr Kundendienst umzusetzen.
Ich will nicht bestreiten, dass sich dieser Schüler strafbar gemacht
hat, er gehört genauso verurteilt wie jemand, der ein Auto aufgebrochen
hat. Aber jeder, den Sasser erwischt hat, sollte diesem Jungen auf den
Knien danken, dass er Sasser geschrieben und verteilt hat, bevor jemand
mit wirklich boshaften Interessen etwas viel Dramatischeres mit dieser
Lücke und mit anfälligen Rechnern angestellt hat.
Jochem
--
"A designer knows he has arrived at perfection not when there is no
longer anything to add, but when there is no longer anything to take
away." - Antoine de Saint-Exupery
Jochem Huhmann
4. Diesem 18jährige Schüler gehört das Bundesverdienstkreuz
Karsten Düsterloh
> Um die Auto-Analogie mal auszuwalzen: ein Hersteller verkauft Millionen
> und Abermillionen eines bestimmten Modells, so dass er damit nahezu ein
> Monopol hat. Er erzielt dabei über Jahre hinweg fast 50% seines Umsatzes
> als Gewinn (das ist jetzt unrealistisch, sowas gibt es nur bei
> Drogenhandel, Menschenhandel und Microsoft, aber egal).
>
> Jetzt stellt sich heraus, dass die Elektronik dieses Autos eine
> Schwachstelle hat, die man dazu benutzen kann, das Auto zu öffnen, um
> damit zu fahren oder es leerzuräumen. Der Hersteller weiß das und setzt
> nicht etwa eine Rückrufaktion in Gang, damit die Käufer in der
> nächstgelegenen Werkstatt kostenlos ihr Auto umrüsten lassen
> können. Nein, er veröffentlicht nur irgendwo auf seiner Website eine
> Anleitung und Firmware für die Elektronik, die diese Lücke
> schließt. Download und Umrüstung muß der Käufer selber erledigen.
Die Autoanalogie ist aber ziemlich unbrauchbar, da die vergleichsweise
"harten" Produkthaftungsregeln einen Hintergrund haben:
bei defekten Autos stehen *Menschenleben* auf dem Spiel!
Die Hausanalogie ist da bei weitem besser:
Der Hersteller verkauft Häuser, die formal vollständig sind: Türen und
Fenster können geschlossen werden. Allerdings stehen bei der
Schlüsselübergabe viele Fenster und Türen offen, und für die
geschlossenen existieren (ggf. unbekannte) Tricks, wie man sie öffnen
kann ("links oben vor den Fensterrahmen treten").
Natürlich gibt die Existenz dieser Tricks niemandem das "Recht auf
Einbruch", die Frage ist vielmehr: ist es sinnvoll, diejenigen zu
betrafen, die diese Tricks herausfinden?
Oder erst denjenigen, der Werkzeug verbreitet, daß für diese Tricks
benutzt werden kann? ZB Leiter-Verkäufer?
Oder erst denjenigen, der Roboter baut, die diese Tricks ausnutzen?
Oder erst denjenigen, der Roboter baut, die diese Tricks ausnutzen, um
Schaden anzurichten?
> Ich will nicht bestreiten, dass sich dieser Schüler strafbar gemacht
> hat, er gehört genauso verurteilt wie jemand, der ein Auto aufgebrochen
> hat. Aber jeder, den Sasser erwischt hat, sollte diesem Jungen auf den
> Knien danken, dass er Sasser geschrieben und verteilt hat, bevor jemand
> mit wirklich boshaften Interessen etwas viel Dramatischeres mit dieser
> Lücke und mit anfälligen Rechnern angestellt hat.
Es ist eh ein Wunder, daß noch kein wirklich fieser Wurm groß umgegangen
ist. Oder Flugzeuge in westlichen Atomkraftwerken gelandet sind.
Karsten
--
Freiheit stirbt | Fsayannes SF&F-Bibliothek:
Mit Sicherheit | http://fsayanne.tprac.de/
Juergen Nieveler
>>Durch den Patch funktionierte RAS nicht mehr - was bei einem RAS-Server
>>eher von Nachteil ist.
>
> Aber das ist doch so sicher!!!
Der Server ist danach sicher - aber meine persönliche Sicherheit wird
dadurch doch erheblich gefährdet, zumindest bis wir eine Stahltür für
das Adminbüro bekommen ;-)
Juergen Nieveler
--
You're schizophrenic? Gee, that makes four of us!
Juergen Nieveler
> Natürlich gibt die Existenz dieser Tricks niemandem das "Recht auf
> Einbruch", die Frage ist vielmehr: ist es sinnvoll, diejenigen zu
> betrafen, die diese Tricks herausfinden?
Nein. Bugtraq und Co. sind schon sehr wichtig und sollten erhalten
bleiben.
> Oder erst denjenigen, der Werkzeug verbreitet, daß für diese Tricks
> benutzt werden kann? ZB Leiter-Verkäufer?
Wenn er weiß das das Werkzeug für ein Verbrechen benutzt werden soll:
Ja, das ist IMHO Beihilfe. Leiter ist hier aber ein schlechtes Beispiel
- besser: Jemand der Schlüsseldienst-Werkzeuge verkauft.
IIRC kann man die Geräte zum öffnen von Sicherheitsschlössern nicht in
jedem Baumarkt kaufen...
> Oder erst denjenigen, der Roboter baut, die diese Tricks ausnutzen?
Wenn er sie an jemanden weitergibt und zu diesem Zeitpunkt schon wissen
kann das damit ein Verbrechen begangen werden soll: Ja.
> Oder erst denjenigen, der Roboter baut, die diese Tricks ausnutzen, um
> Schaden anzurichten?
S.O.
>> Ich will nicht bestreiten, dass sich dieser Schüler strafbar gemacht
>> hat, er gehört genauso verurteilt wie jemand, der ein Auto
>> aufgebrochen hat. Aber jeder, den Sasser erwischt hat, sollte diesem
>> Jungen auf den Knien danken, dass er Sasser geschrieben und verteilt
>> hat, bevor jemand mit wirklich boshaften Interessen etwas viel
>> Dramatischeres mit dieser Lücke und mit anfälligen Rechnern
>> angestellt hat.
Er hat aber auf allen befallenen Rechnern dafür gesorgt, das man mit
noch weniger Aufwand weiteren Schaden anrichten kann (Rootshell, Buffer
Overflow im FTP-Teil)
> Es ist eh ein Wunder, daß noch kein wirklich fieser Wurm groß
> umgegangen ist.
Wirklich fiese Würmer sind schwierig - wenn die Platte gelöscht wird
entzieht sich der Wurm selbst die Existenzgrundlage. Es gab aber z.B.
mal Viren, die Dateien von der lokalen Platte ins Usenet gestellt
haben...
> Oder Flugzeuge in westlichen Atomkraftwerken gelandet sind.
Mal bloß den Teufel nicht an die Wand - Ende August 2001 wurde in DATW
diskutiert, das man eine Boeing 747 auf einen Flugzeugträger stürzen
lassen könnte... ein paar Tage später war allen Beteiligten mehr als
ein bißchen mulmig zumute :-(
Juergen Nieveler
--
Take my advice, I don't use it anyway.
Juergen Nieveler
>>>> Letztes Jahr gab es einen Patch für NT4, der dummerweise bei
>>>> RAS-Servern Probleme bereitete. Eine korrigierte Version kam erst
>>>> ca. eine Woche später - man hatte die Wahl "unsicheres System" oder
>>>> "Außendienst kann sich nicht einwählen :-(
>>>
>>> und was genau hat das jetzt mit dem patch zu tun?
>>
>> Durch den Patch funktionierte RAS nicht mehr - was bei einem
>> RAS-Server eher von Nachteil ist.
>
> Den Patch muß man natürlich vorher testen. 8-/
Womit man wieder beim Dilemma "Patchen oder nicht patchen" ist.
Juergen Nieveler
--
As you can see, I have compassion for the mentally retarded
Henning Schlottmann
> Karsten Düsterloh <tr...@tprac.de> wrote:
>
> > Oder erst denjenigen, der Werkzeug verbreitet, daß für diese Tricks
> > benutzt werden kann? ZB Leiter-Verkäufer?
>
> Wenn er weiß das das Werkzeug für ein Verbrechen benutzt werden soll:
> Ja, das ist IMHO Beihilfe. Leiter ist hier aber ein schlechtes Beispiel
> - besser: Jemand der Schlüsseldienst-Werkzeuge verkauft.
>
> IIRC kann man die Geräte zum öffnen von Sicherheitsschlössern nicht in
> jedem Baumarkt kaufen...
Aber bei den Sportsfreunde der Sperrtechnik - http://www.ssdev.org
Ciao Henning
Henning Schlottmann
> Florian Weimer <f...@deneb.enyo.de> wrote:
>
> > Den Patch muß man natürlich vorher testen. 8-/
>
> Womit man wieder beim Dilemma "Patchen oder nicht patchen" ist.
Wenn deine Betriebsabläufe oder gar dein Geschäftsmodell von der
Funktionsfähigkeit deiner Computer und/oder deiner Internetanbindung
abhängig sind, dann musst du eben Geld in die Hand nehmen und diese
Funktionalitäten selbständig sicherstellen.
Ciao Henning
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> wrote:
>
>> Für die Automatisierung der Updates verwendet man SUS. Zum Testen hat
>> man ein Testnetz. Ja, man kann das auch staffeln. Könntest Du Deine
>> Selbstdemontage bitte an geeigneter° Stelle weiterführen? Danke.
>
> Komm bitte wieder, wenn Du weißt, wovon Du redest. Deine Vorstellung
> von Patch- und Risikomanagement ist jedenfalls nicht geeignet,
> Kompetenz zu vermitteln.
Das Kompliment gebe ich doch mit vorzüglicher Hochachtung zurück.
> Automatische Updates und ein kleines Testnetz reichen nicht aus, um
> bei größeren Infrastrukturen die notwendige Betriebssicherheit zu
> gewährleisten.
Was genau hast Du an "das kann man auch staffeln" nicht verstanden?
> Daß Du das mit Deinem Heim-PC anders siehst, mag aus Deiner Sicht
> seine Richtigkeit haben,
Hartge's Second Law again?
> aber verwechsel das bitte nicht mit einer vier- bis fünfstelligen
> Rechneranzahl, die man mal zwischen Frühstück und Mittagspause patcht,
> es sei denn, das zitierte Weihwasser steht in ausreichender Menge
> bereit.
Ich sprach nicht von "zwischen Frühstück und Mittagspause". Wenn aber
2-3 Wochen nicht genügen, um Patches zu testen und auszurollen, und man
stattdessen rumläuft und manuell Patches installiert, dann hat man ein
konzeptionelles Problem.
> Pack' mich in Dein Killfile, wenn Dir unangenehme Wahrheiten nicht in
> Dein Weltbild hereinpassen.
Ich habe kein Problem mit Wahrheiten, auch nicht mit unangenehmen. Das,
was Du hier als "Wahrheit" verkaufen willst, ist jedoch schlicht Unfug.
> Nach Lektüre von
> http://www.nwfusion.com/research/2003/1201howtopatch.html darfst Du
> wiederkommen und uns alle über Deine Vorstellungen von Patchmanagement
> erhellen.
Done. Ich finde dort keinen Widerspruch zu dem, was ich geschrieben
hatte. Testprozeduren und automatisiertes Ausrollen von Updates sind
sinnvolle Prozesse im dort beschriebenen Kontext. Bist Du sicher, dass
Du den Text verstanden hast?
cu
59cobalt
--
"Ich heisse Li, mein Vorname ist Kao, und ich habe einen kleinen
Charakterfehler."
--Li Kao (Barry Hughart: Die Brücke der Vögel)
Benjamin Zimmer
Henning Schlottmann schrieb am 11.05.2004 11:13:
> Wenn deine Betriebsabläufe oder gar dein Geschäftsmodell von der
> Funktionsfähigkeit deiner Computer und/oder deiner Internetanbindung
> abhängig sind, dann musst du eben Geld in die Hand nehmen und diese
> Funktionalitäten selbständig sicherstellen.
Und wofür hab ich dann Windows bezahlt?
Ist doch sowieso schon total überteuert (man überlege: nach der
Entwicklung des Systems kostet jede einzelne Kopie vielleicht 10 Cent,
wenn überhaupt), dann kann man doch eigentlich erwarten, dass ein
sicheres Betriebssystem ausgeliefert wird.
Gruß,
Benjamin
Florian Weimer
> Henning Schlottmann schrieb am 11.05.2004 11:13:
>
>> Wenn deine Betriebsabläufe oder gar dein Geschäftsmodell von der
>> Funktionsfähigkeit deiner Computer und/oder deiner Internetanbindung
>> abhängig sind, dann musst du eben Geld in die Hand nehmen und diese
>> Funktionalitäten selbständig sicherstellen.
>
> Und wofür hab ich dann Windows bezahlt?
Für das Vervielfältigungsstück. Support ist i.d.R. dabei nicht
enthalten.
Benjamin Zimmer
Peter Fetzer schrieb am 11.05.2004 01:07:
> btw. wem ist 'If Microsoft built cars' noch ein Begriff? :)
Mir.
Erinnert mich irgendwie an den Witz:
Ein Elektriker, ein Mechaniker und ein Microsoft programmierer fahren in
einem Auto. Auf einmal bleibt das Auto stehen und es geht gar nix mehr.
Mechaniker: Hey, das muss ein Problem mit der Kupplung sein. Kein
Problem, ich kann das reparieren.
Elektriker: Nein, das ist ganz klar ein elektrischer Fehler. Ich
analysiere das mal mit meinem Multimeter.
MS-Programmierer: Leute, ich hab eine viel einfachere Lösung. Wir lösen
das Problem so: Wir schließen alle Fenster, springen aus dem Auto raus
und wieder rein...und es läuft wieder.
:)
Is n bisschen OT, aber egal ;)
Gruß,
Benjamin
Benjamin Zimmer
Florian Weimer schrieb am 11.05.2004 13:57:
> * Benjamin Zimmer:
>
>
>>Henning Schlottmann schrieb am 11.05.2004 11:13:
>>
>>
>>>Wenn deine Betriebsabläufe oder gar dein Geschäftsmodell von der
>>>Funktionsfähigkeit deiner Computer und/oder deiner Internetanbindung
>>>abhängig sind, dann musst du eben Geld in die Hand nehmen und diese
>>>Funktionalitäten selbständig sicherstellen.
>>
>>Und wofür hab ich dann Windows bezahlt?
>
>
> Für das Vervielfältigungsstück. Support ist i.d.R. dabei nicht
> enthalten.
130€? Für einen Rohling? Da sollten die aber langsam mal darüber
nachdenken den Händler zu wechseln.
Peter Lemken
> > aber verwechsel das bitte nicht mit einer vier- bis fünfstelligen
> > Rechneranzahl, die man mal zwischen Frühstück und Mittagspause patcht,
> > es sei denn, das zitierte Weihwasser steht in ausreichender Menge
> > bereit.
>
> Ich sprach nicht von "zwischen Frühstück und Mittagspause". Wenn aber
> 2-3 Wochen nicht genügen, um Patches zu testen und auszurollen, und man
> stattdessen rumläuft und manuell Patches installiert, dann hat man ein
> konzeptionelles Problem.
Das konzeptionelle Problem scheint sich in Deinem Kopf zu befinden, der sich
offensichtlich Realitäten versperrt. Die Realität sieht leider so aus, daß
bei Unternehmen und Institutionen mit einer Anzahl von Rechnern in der
beschriebenen Größenordnung ein Zeitraum von 2-3 Wochen viel zu klein ist,
um alle Eventualitäten zu testen. Bei Mega-Callcentern mit einheitlichem
Softwarestand mag das eventuell möglich sein, das aber ist die Ausnahme
nicht die Regel.
Die entsprechende Replik wirst Du bestimmt auch über Nacht ausformulieren
können, aber ich empfehle Dir, den Denkschmalz in andere Kanäle zu leiten,
zum Beispiel in eine aussagekräftige Bewerbung.
Die British Coastguard z.B. braucht Experten wie Dich. Oder Zonealarm.
Peter Lemken
Berlin
--
Life is not a journey to the grave with the intention of arriving safely in
a pretty and well-preserved body, but rather to skid in broadside, thoroughly
used up, totally worn out and loudly proclaiming, 'Wow, what a ride!'
Thomas Borchert
> > Er scheint bei Dir aber etwas ganz anderes verstopft zu haben.
>
> .... und du glaubst auch alles???
>
> irgendwie sieht diese story schwer nach ablenkung und taeuschung aus.
>
Schon mal von Occams Rasiermesser gehört?
--
Thomas
Ansgar -59cobalt- Wiechers
> Ansgar -59cobalt- Wiechers <usene...@planetcobalt.net> wrote:
>> Peter Lemken wrote:
>>
>>> aber verwechsel das bitte nicht mit einer vier- bis fünfstelligen
>>> Rechneranzahl, die man mal zwischen Frühstück und Mittagspause
>>> patcht, es sei denn, das zitierte Weihwasser steht in ausreichender
>>> Menge bereit.
>>
>> Ich sprach nicht von "zwischen Frühstück und Mittagspause". Wenn aber
>> 2-3 Wochen nicht genügen, um Patches zu testen und auszurollen, und
>> man stattdessen rumläuft und manuell Patches installiert, dann hat
>> man ein konzeptionelles Problem.
>
> Das konzeptionelle Problem scheint sich in Deinem Kopf zu befinden,
> der sich offensichtlich Realitäten versperrt. Die Realität sieht
> leider so aus, daß bei Unternehmen und Institutionen mit einer Anzahl
> von Rechnern in der beschriebenen Größenordnung ein Zeitraum von 2-3
> Wochen viel zu klein ist, um alle Eventualitäten zu testen. Bei
> Mega-Callcentern mit einheitlichem Softwarestand mag das eventuell
> möglich sein, das aber ist die Ausnahme nicht die Regel.
Du hast eine umständliche Art, "Ja" zu schreiben.
Fabian Winkler
> Wie soll das Auto geklaut werden wenn der Motor nicht geht? ;)
Mitnehmen in Form von abschleppen, wo bei das dann mit dem Computer
problematisch werden dürfte ;-)
Jonathan Sauer
Und weiter? Occams Rasiermesser ist eine Faustregel und sagt nichts
darüber aus, was wirklich ist.
Gruß, Jonathan
Florian Weimer
>> Für das Vervielfältigungsstück. Support ist i.d.R. dabei nicht
>> enthalten.
>
> 130€? Für einen Rohling?
So ist es, AFAIK Rohling plus 90-Tage-Installationssupport.
> Da sollten die aber langsam mal darüber nachdenken den Händler zu
> wechseln.
Ich glaube, so etwas nennt man "Systemwechsel".
Jochim Rolf Selzer
> Es gibt viele Sicherheitsexperten die Exploits finden (und auch Code zur Demonstration
> schreiben), diese aber nicht für finstere Absichten einsetzen sondern das
> den Herstellern mitteilen. Was ist bitte an massenhaft Schaden anrichten
> "kreativ" ?
Das "kreativ" interpretiere ich bereits im Originalposting von Jan
Torben als in Anführungsstriche gesetzt. Wie auch immer, die Grenzen
zwischen Spaß, Idiotie und Verbrechen sind fließend. Ich kann
nachvollziehen - nicht gut heißen -, wenn jemand nicht nur um eine Lücke
weiß, sondern sich fragt, was passiert, wenn man sie ausnutzt. Der
Gedanke, mit ein paar Zeilen Programmcode Millionen Computer weltweit
kontrollieren zu können, ist nicht ganz ohne Reiz.
Die harmlose Variante dieses Gedanken kennt jeder ambitionierte
Programmautor. Wäre es nicht schön, wenn diese Software millionenfach
eingesetzt würde? Dieser Wunsch ist ein keiner Weise unehrenhaft und
eine Triebfeder für guten Code. Schlimm wird es, wenn man den Anwendern
nicht die Wahl überlässt, ob sie das Programm auch wirklich haben
wollen. Es ist etwa wie im Showgeschäft. Wenn jemand eine gute Idee
gekonnt umsetzt und damit bekannt wird, hat kaum jemand etwas dagegen.
Kritisch wird es, wenn die Kimbles und Küblböcks dieser Welt mit aller
Macht bekannt werden wollen und ihnen dabei jedes Mittel recht ist.
Abschließend hoffe ich, dass der Sasser-Autor nicht ernsthaft glaubt,
irgendwer kaufe ihm die Behauptung ab, er habe den angerichteten Schaden
nicht gewollt. Wer ein Programm mit diesen Funktionen schreibt, weiß was
er macht. Das kann man von einem 18-jährigen erwarten.
Gruß
Jochim
Michael Steinmetz
> Jens Zimperfeld wrote:
>> Warum wird man bei sowas über so hart bestraft.
Ack.
> Weil Millionen von Euros an Schäden entstehen können, vielleicht sogar
> Personenschäden bei kritischen Anwendungen, wobei die nicht unbedingt
> auf Win laufen aber das sei mal so dahingestellt.
Jemand, der einen neuen Sprengstoff erfindet, wird doch auch nicht fuer
saemtliche Schaeden haftbar gemacht, die damit passieren. Das
Programmieren eines Virus ist nur der Proof of Concept einer
Sicherheitsluecke. Nur das fahrlaessige/vorsaetzliche in-Umlauf-bringen
sollte meiner Ansicht nach strafbar sein.
Gruss,
St1
--
"Haben sie je von einem radikalen Abstinenzler gehört, der durch seine
Herzensgüte aufgefallen wäre oder sich in irgendeiner Lebenslage
intellektuell hervorgetan hätte?"
-- Norman Douglas
Michael Steinmetz
> Benjamin Zimmer wrote:
>> 1. Der Motor geht dann aber trotzdem nicht wieder,
>> 2. ist wieder kein Schloss da, und das Auto wird geklaut.
> Wie soll das Auto geklaut werden wenn der Motor nicht geht? ;)
Is mir wumpe. Ich setze mich rein und hoere Autoradio.
Lukas Barth
> Michael Steinmetz <pey...@snafu.de> wrote:
>
>
>>Jemand, der einen neuen Sprengstoff erfindet, wird doch auch nicht fuer
>>saemtliche Schaeden haftbar gemacht, die damit passieren.
>
>
> Mit Ausnahme von Berthold Schwarz, dem Mönch der angeblich das
> Schwarzpulver erfunden hat. Der Legende nach war ein Fürst so
> erschüttert über diese Erfindung, das er Schwarz mit einem Faß seines
> Pulvers in die Luft sprengen ließ.
>
Der war Mönch? Wieder was dazugelernt...
Hat der sich nicht selbst in die Luft gesprengt? Ich meine, der hätte
eine zu hohe Dosis seines Schwarzpulvers in einem Mörser gerieben und
sich selbst in die Luft gesprengt.
Lukas
Joerg-Olaf Schaefers
...
> Und wofür hab ich dann Windows bezahlt?
> Ist doch sowieso schon total überteuert (man überlege: nach der
> Entwicklung des Systems kostet
Ach, und wer genau bezahlt die Entwickler wovon?
Oder ist das nun wieder die merkwürdige Logik, nach der
Musik-CDs eigentlich auch nur 50 Cent kosten dürfen,
weil es Rohlinge ja auch schon für 30 Cent gibt?
MfG
Olaf
Benjamin Zimmer
Joerg-Olaf Schaefers schrieb am 11.05.2004 22:47:
> Benjamin Zimmer wrote:
> ...
>
>>Und wofür hab ich dann Windows bezahlt?
>>Ist doch sowieso schon total überteuert (man überlege: nach der
>>Entwicklung des Systems kostet
>
>
> Ach, und wer genau bezahlt die Entwickler wovon?
Da bliebe bei der Auflage die verkauft wird auch bei 50€ oder
wahrscheinlich sogar bei 30€ immernoch genug übrig.
>
> Oder ist das nun wieder die merkwürdige Logik, nach der
> Musik-CDs eigentlich auch nur 50 Cent kosten dürfen,
> weil es Rohlinge ja auch schon für 30 Cent gibt?
Wo schrieb ich, dass ich es so günstig haben will?
Trotzdem müsste es meiner Meinung nach erheblich günstiger sein.
Und wenn die Entwickler das Geld für ihr Produkt bekommen, dann sollten
sie allerdings meiner Meinung nach auch für ALLE entstandenen Schäden
aufkommen, die durch Fehler in der Software entstanden sind.
Vielleicht sollte man ja in Zukunft auf Software Verpackungen schreiben:
"Die Benutzung dieser Software kann dazu führen, dass alle Ihre Daten
verloren gehen und unbrauchbar sind. Dadurch können schwere Schäden für
Sie und/oder Ihr Unternehmen auftreten."
Ähnlich wie bei Zigarettenschachteln
Gruß,
Benjamin Zimmer
Florian Weimer
> * Benjamin Zimmer <benjami...@gmx.de> wrote:
>>
>> Vielleicht sollte man ja in Zukunft auf Software Verpackungen schreiben:
>> "Die Benutzung dieser Software kann dazu führen, dass alle Ihre Daten
>> verloren gehen und unbrauchbar sind. Dadurch können schwere Schäden für
>> Sie und/oder Ihr Unternehmen auftreten."
>
> Nun das gilt ja dann fuer jede Art von Software, nicht?
Eben, deswegen ist dieser Warnhinweis vollkommen sinnlos. Er würde
überall draufstehen.
Lutz Donnerhacke
> * Karl Voit:
>> * Benjamin Zimmer <benjami...@gmx.de> wrote:
>>> Vielleicht sollte man ja in Zukunft auf Software Verpackungen schreiben:
>>> "Die Benutzung dieser Software kann dazu führen, dass alle Ihre Daten
>>> verloren gehen und unbrauchbar sind. Dadurch können schwere Schäden für
>>> Sie und/oder Ihr Unternehmen auftreten."
>>
>> Nun das gilt ja dann fuer jede Art von Software, nicht?
>
> Eben, deswegen ist dieser Warnhinweis vollkommen sinnlos. Er würde
> überall draufstehen.
Nein. Es gibt durchaus ernsthafte Softwareentwicklung. Auch wenn fast alle
eher pröbeln.
Florian Weimer
Ich glaube, wir reden von COTS-Software. Dort gibt es das nicht.
Georg Dingler
Vergleiche zwischen Autos und Software sind zwar kindisch - der
Komplexitätsgrad ist völlig unterschiedlich. Aber ich gebe trotzdem mal
meinen Senf dazu :)
> 1. Jeder Autohersteller fährt in einem solchen Fall eine Rückrufaktion
> mit kostenloser Reparatur in der Werkstatt. Microsoft müßte analog
> jeden registrierten Benutzer per Post benachrichtigen und ihm einen
> Termin anbieten, an dem ein Techniker den PC updated. Das tut MS
> aber nicht, das würde ja auch die 50% Gewinnquote etwas verringern.
Das glaubst auch nur du ! Es hat in den USA über Jahrzehnte immer wieder
Fälle gegeben wo Autohersteller wissenlich von tödlichen Gefahren (z.b. bei
Unfall explodierende Tanks) wussten nichts gemacht haben. Im Gegenteil es
wurde sogar berechnet, daß es für den Konzern billiger wäre wenn Menschen
sterben und verletzt werden da bei Vergleichen gezahlte Summen weniger teuer
wie eine komplette Umrüstaktion wären. In einem Fall mussten deswegen
Manager dafür in den Knast. Warum soll Microsoft jemanden anschreiben ?
Windows Update liegt jedem PC bei und wer es nicht benutzt ist selber
schuld. Ist bei anderen OSsen genauso. Nahezu alle Viren/Würmer etc. nutzen
entweder die Faulheit aus diese Patche nicht einzuspielen oder das grob
fahrlässige Ausführen von allen Dateien. Das Problem liegt damit auf der
Anwenderseite.
> 2. Der "Verbrecher" stattet sein Werkzeug *nicht* mit einer wirklich
> schädlichen Nutzlast aus. Hätte er sein Werkzeug gar nicht
> verbreitet und stattdessen wirklich boshafte Leute diese Lücke
> ausgenutzt (Geheimdienste, Terroristen, etc.), *dann* hätte es
> enorme Schäden gegeben.
Gähn. Die ausgenutzen Sicherheitslücken waren uralt und ausserdem gibt es
noch so Sachen wie Firewalls, Antvirenssysteme, usw.
> Was kann ein Team gut ausgebildeter Leute
> mir wirklich bösen Absichten anstellen, wenn ein 17jähriger
> Schüler ohne böse Absichten das anrichten kann, was er mit Sasser
> angerichtet hat? Die Fantasielosigkeit derer, die Sasser als
> "Verbrechen" bezeichnen, ist unfaßbar.
Sorry, aber das Inverkehrbringen derartiger Software ist eindeutig ein
Verbrechen. Da gibt es keinerlei Spielraum.
> 3. Microsoft maximiert seinen Profit auf Kosten der Anwender und mit
> willfähriger Hilfe von Gesetzgeber und Polizei. Niemand wundert
> sich, dass ein Unternehmen mit derartig astronomischen Umsatz- und
> Gewinnsummen weder in der Lage ist, sichere Software auszuliefern,
> noch sie auf eigene Kosten beim Anwender zu fixen, wenn doch eine
> Lücke entdeckt wird.
Kleinkindargumentation. Das Problem liegt auf Anwenderseite. MS stellt gute
Möglichkeiten bereit die Systeme sicher zu halten. Wer zusätzliche
Sicherheit will muss in Personal und zusätzliches Equipment investieren.
Warum hat MS so hohe Gewinnspannen ? Weil ernsthafte Konkurrenz fehlt. Und
weil Microsoft im Vergleich zu anderen Firmen nur selten geschäftspolitische
Fehler macht und falls doch, diese sehr schnell korrigiert. Vgl. das Buch
"In Search of Stupidity". Die Konkurrenz von Microsoft hat sich durch ihre
eigene Unfähigkeit selbst fertig gemacht.
> Ein Autohersteller würde dafür vor Gericht
> gezerrt -- und zu Recht.
Für was denn ? Dafür dass er Gewinn macht.
> 4. Diesem 18jährige Schüler gehört das Bundesverdienstkreuz
> verliehen, weil er auf *diese* Lücke wahrlich effektiv mit dem
> Finger gezeigt hat und anfällige Rechner entweder durch Dauerboots
> vom Netz genommen hat oder deren Anwender/Admins zum Update
> gezwungen hat, bevor wirklich böswillige Aktionen durch andere
> passiert sind.
Er hätte wie seriöse Exploiter den Wurm/Code an die Presse geben können.
> Aber jeder, den Sasser erwischt hat, sollte diesem
> Jungen auf den Knien danken, dass er Sasser geschrieben und verteilt
> hat, bevor jemand mit wirklich boshaften Interessen etwas viel
> Dramatischeres mit dieser Lücke und mit anfälligen Rechnern
> angestellt hat.
Sowas passiert doch wöchentlich mit diversen Hard- und Softwareprodukten.
Nur regelmäßiges Patchen und zusätzliche Sicherheitsmaßnahmen helfen. das
war auch schon vorher klar.
--
Georg
www.dingler-it.de
Lutz Donnerhacke
> * Lutz Donnerhacke <lu...@iks-jena.de> wrote:
>> Nein. Es gibt durchaus ernsthafte Softwareentwicklung. Auch wenn fast
>> alle eher pröbeln.
>
> hatte ich gar nicht gemeint) Software als verantwortlicher Chef
> behaupten, dass die Software aus deiner Firma auf keinen Fall
> Datenverlusste bringen kann und sie immer fehlerfrei funktionieren wird?
Ja, bei Bedarf.
> Ich denke dazu muesste man die Software zumindest mathematisch
> verifizieren und das wird AFAIK - aus gutem Grund - sehr selten gemacht
> *g*
Richtig. Es lohnt sich aber. Weil es im Endeffekt schneller geht.
Roy Batty
>> Aber bei den Sportsfreunde der Sperrtechnik - http://www.ssdev.org
>
>Aber nur als Mitglied: "Nichtmitglieder können nur das Anfänger-Set
>nebst Handbuch für 45,- € oder das Standard-Pick-Set nebst Handbuch für
>60,- € bestellen"
>
>Und wer Mitglied werden will muß diese Klauseln beachten:
Die Jungs und Mädels vom Lockpicking verkaufen auf den Kongressen auch
an Nichtmitglieder. Verstösse gegen die Sportordnung können zum
Ausschluss aus dem Verein führen - aber das Werkzeug bleibt im Besitz
des Käufers. Also gross Kontrolle ist da auch gar nicht möglich.
Die Sportordnung sieht übrigens ausdrücklich vor, dass der Besitzer
des Schlosses der Öffnung zugestimmt haben muss. Damit sind dann die
Schlapphüte&Co. gleich wieder aussen vor, da die ja eher selten
nachfragen, ob sie das denn nun dürften.
Roy
--
>Die kommen gar nicht bis zum Abschuß der Raketen, da bereits die
>Radarstrahlung als Auslöser eines amerikanischen Angriffs hergenommen wird.
Was uns zur wichtigen Frage zurückführt: Darf man Portscans mit atomaren
Waffen beantworten? (aus d.a.s.r)
Sebastian Gottschalk
Microsoft kümmert sich ernsthaft um die User]
https://ds.ccc.de/071/wir-haben-uns-alle-lieb :-)
--
http://piology.org/ILOVEYOU-Signature-FAQ.html
begin LOVE-LETTER-FOR-YOU.txt.vbs
I am a signature virus. Distribute me until the bitter
end
Jochim Rolf Selzer
> Mit Ausnahme von Berthold Schwarz, dem Mönch der angeblich das
> Schwarzpulver erfunden hat.
Krämer / Trenkler, "Lexikon der populären Irrtümer", Piper 2446, S. 325:
"Schwarzpulver hat seinen Namen von der schwarzen Farbe." Weiter heißt
es dort, dass möglicherweise Bertoldus Niger um 1380 herum an der
Verbesserung des Pulvers beteiligt gewesen sein kann, Feuergeschütze
aber schon seit 1326 in Europa in Gebrauch waren.
Panati, "Universalgeschichte der ganz gewöhnlichen Dinge", dtv 36088, S.
97: "[Die Benutzung des Schießpulvers für militärische Zwecke] blieb
ausgerechnet einem deutschen Mönch aus dem 14. Jahrhundert vorbehalten,
Berthold Schwarz, der als Erfinder des Schießpulvers gilt und der die
ersten Geschütze in der Geschichte der Menschheit herstellte."
Sucht Euch aus, was Euch passt ;)
Gruß
Jochim
Sebastian Gottschalk
> Sebastian Gottschalk wrote:
>
>> https://ds.ccc.de/071/wir-haben-uns-alle-lieb :-)
>
> Windows-Bashing.
Nö, eine klare Darstellung der Dinge, so wie sie sind.
Jochim Rolf Selzer
> Nö, eine klare Darstellung der Dinge, so wie sie sind.
Qui bono?
Georg Dingler
>>> https://ds.ccc.de/071/wir-haben-uns-alle-lieb :-)
> Nö, eine klare Darstellung der Dinge, so wie sie sind.
Sorry, selten so einen Unfug gelesen. Die Unsicherheiten kommen wohl zum
geringsten Teil vom Betreibsystem (egal welches) sondern von unsicheren
Verhaltensweisen der Benutzer/Administratoren und die wären in der Regel:
- Unsichere Vorkonfigurationen von gelieferten PC's (FAT32 als Dateisystem,
Administratoraccount zum Arbeiten/Surfen)
- Nicht einspielen von Patches
- Surfen als Administrator/Root
- Verzicht auf zusätzliche Schutzmassnahmen (Antivirenprogramm, Firewall,
...)
- Mangelnde Grundkenntnisse über OS und IT Security allgemein
- In Firmen zusätzlich kein oder mangelhafte Sicherheitskonzepte
Würmer und Expolits gab es schon lange vor Windows auf Unixsystemen. Aber
das wissen 14 jährige kewle CCC Usenetposter wohl nicht mehr ... Auch
Unix/Linuxsysteme haben am laufenden Meter schwere Sicherheitslücken (und
das seit vielen Jahren). Doch da gibt es nicht so viele Anwender die mit
diesen ins Internet gehen und Viren/Würmern millionenfach Ziele zur
Verfügung stellen. Natürlich schiessen sich Hacker/Virenautoren/Exploiter
auf die Systeme ein die am weitesten verbreitet sind.
Die "gefährlichen" Hacks finden eher auf diversen Unix/Linux Systemen statt.
Sie werden geknackt, aber es wird nicht publik gemacht - mit diesen (Server)
Maschinen kann ein ambitionierter Hacker nämlich viel mehr anfangen als mit
einem popligen Anwender-Windows-PC.
--
Georg
www.dingler-it.de