Ist das Rennen gegen bösartige Hacker verloren?



  • Wenn ich mir so ansehe, wie viele CERT Sicherheitslücken Meldungen ich im vergangenen Monat in meinem E-Mail Postfach erhalten habe, dann ist die Summe an Sicherheitslücken und somit Bugs erschreckend.

    Nicht wenige dieser Sicherheitslücken waren bezüglich dem Risikolevel als sehr hoch eingestuft worden und zu viele davon alle mit einer Remoteangriffsmöglichkeit und das alles bei gängiger Software, die fast jeder installiert hat und jeder nutzt.

    Bedenkt man, dass diese Sicherheitslücken alle öffentlich sind und Exploits somit leicht realisierbar sind, dann ist praktisch fast jeder Rechner, der direkt am Internet hängt und dessen Updaterrei nachlässig gewartet wird, innerhalb weniger Sekunden kompromittiert, wenn ein automatisierter Angriff gegen diesen erfolgt.

    Es ist einfach absolut erschreckend.

    Das gute an den CERT Meldungen, wenn man sie ans eigene Postfach schicken lässt, ist, dass man ein ganz anderes Sicherheitsbewusstsein bekommt.
    Das man immer und regelmäßig Updaten muss, war schon immer klar, aber das man sich dafür nicht einmal ein paar Stunden Zeit lassen sollte, wird einem erst wirklich bewusst, wenn einem klar ist, auf was für einem Kriegsgebiet man sich befindet. Das ist so, als würden überall Granaten einschlagen und man steht mitten drin.

    Geräte, für die es keine Updates mehr gibt, darf man so betrachtet praktisch nie mehr im Internet benutzen. Die wenigsten dürften das wissen.
    Und selbst bei aktuellen Geräten wird die Sicherheitspolitik sehr nachlässig von den Herstellern gehandhabt.

    Meiner Meinung nach ist der Krieg gegen bösartige Hacker im Grunde verloren, man kann nur Schadensbegrenzung machen und fortwährend mit Zig Adrenalin im Blut hinterherrennen.

    GAME OVER



  • Um mal ein Beispiel herauszupicken:

    https://www.cert-bund.de/advisoryshort/CB-K17-2217

    Ganz aktuell:
    Betroffene Software: Thunderbird
    Rikisikostufe: sehr hoch (also maximum)
    Remoteangriff: Ja
    Betroffene Thunderbirdversionen sind alle Versionen < 52.5.2

    Die dazugehörige CERT Meldung (siehe Link) kam vor 7 h in mein Postfach, aber bei Ubuntu 16.04 LTS gibt es noch kein Update.
    Ubuntu 16.04 LTS verwendet noch Version 52.5.0.

    In den nächsten Stunden dürfte das Update wohl reinkommen, aber bis dahin haben Angreifer genug Zeit.



  • Wenn es nicht so allgemein akzeptiert wäre, dass Software schrottig programmiert sein darf, hätten wir das Problem nicht in dem Maße.



  • Bashar schrieb:

    Wenn es nicht so allgemein akzeptiert wäre, dass Software schrottig programmiert sein darf, hätten wir das Problem nicht in dem Maße.

    Ich teile zwar Deinen Frust (den ich zw. den Zeilen lese) weil ich auch mit viel Schrott zu tun habe, aber gerade das genannte Beispiel Thunderbird, ist doch hoffentlich qualitativ eher oben angesiedelt.

    Selbst Microsoft kann man ja nicht schlechte Programmierung vorwerfen (soweit ich weiß), die Welt ist halt nur noch nicht bereit für Scriptausführung in .doc-Dateien.



  • Zuviel "hoffentlich" und "soweit ich weiß", ich weiß nicht was ich darauf antworten soll, sorry.



  • "hoffentlich" weil mozilla, "soweit ich weiß", weil man Code und APIs von Microsoft kennt.

    Ich wollte damit sagen, die Programmierer tun oft auch einfach das, was sie können (und bei dem Problem helfen auch keine einsichtigeren Manager, die kritischer auf die Code-Sicherheit gucken).
    Wie könnte man den Schrott denn reduzieren?



  • Bashar schrieb:

    Wenn es nicht so allgemein akzeptiert wäre, dass Software schrottig programmiert sein darf, hätten wir das Problem nicht in dem Maße.

    Ich stimme dir zu.

    Zum der obigen Thunderbird Sicherheitslücke finde ich es übrigens schlimm, das Canonical noch gar nicht reagiert hat.
    Die haben zwar von der Sicherheitslücke schon lange Kenntnis erhalten,aber ein Paket ist immer noch nicht draußen und Canonical scheint auch noch nicht entschieden zu haben, wie sie diesbezüglich weiter vorgehen werden.
    Da steht jedenfalls zu allen aktuellen Ubuntu Versionen: needs-triage

    https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-7845.html

    Debian hat zum Vergleich schon längst mit einem Sicherheitspatch reagiert:
    https://security-tracker.debian.org/tracker/CVE-2017-7845



  • Die Seite ist übrigens auch recht aufschlussreich über die Sicherheitspolitik bei Ubuntu:
    https://people.canonical.com/~ubuntu-security/cve/main.html


Log in to reply