Diese Massnahmen helfen vielleicht gegen Skriptkiddies und die
handelsueblichen 0815-Viren, Wuermer und anderes Kleintier aus
dem Baukasten. Das ist allerdings nur die Spitze des Eisbergs.
Denn jemand der einen vorsaetzlichen Angriff plant, hat entweder
selbst die Faehigkeiten auch eine nur grob beschriebene
Sicherheitsluecke auszunutzen, bzw. sich detailliertere
Informationen ueber sie zu besorgen, oder er kann Leute
bezahlen die das fuer ihn tun.
Diese Leute und ihre Aktionen sind aber wesentlich gefaehrlicher,
als ein Wurm, der in den meisten Faellen eine vergleichsweise
harmlose Schadroutine hat, und eher durch seine Verbreitungsroutine
Schaden anrichtet. Zudem ist ein Wurm meist schnell zu erkennen
(allein durch den Netzwerkverkehr), waehrend Verbrecher, die
aus ihren Taten Profit schlagen wollen wohl meist eher anstreben
unerkannt zu arbeiten. Der Schaden des Virus laesst sich meist in
Ueberstunden der Admins ausdruecken, der Schaden eines vorsaetzlichen
Einbruchs kann in die Millionen gehen, wird eventuell erst bei
einer Monatsabrechnung oder aehnlichem erkannt, und vermutlich
oft nichtmal angezeigt, weil das Unternehmen Imageverluste fuerchten
muss.
Nun ist es trotzdem nichts schlechtes, es den Skriptkiddies zu
erschweren bekannte Sicherheitsluecken auszunutzen. Allerdings
haben die Wuermer auch ein Gutes gehabt: Sie haben naemlich
die Aufmerksamkeit fuer Sicherheitsprobleme erhoeht. Zudem
haben sie aufgezeigt, dass eine erhoehte Sicherheit nur durch
bessere und aufmerksamere Systemadministration erzielen laesst.
Wenn Microsoft *wirklich* die Sicherheit der Windowssysteme
weltweit erhoehen will muessen sie daher vor allem eine
aggressive Informationskampagne betreiben, die Windowsnutzer
und Admins ueber Sicherheitskonzepte informiert, und dazu draengt,
sich regelmaessig auf dem laufenden zu halten (z.B. ueber
Mailinglists). Das hier eine Schwachstelle ist hat sich schon
daran gezeigt, dass die Hauptverbreitungsphase vieler Wuermer
erst deutlich *nach* Bereitstellung der Patches stattfand.
Leider ist von einer solchen Kampagne nichts zu erkennen,
vielmehr legen sowohl die Begruendungen Microsofts fuer
zurueckhaltendere Ankuendigungen von Sicherheitsloechern,
als auch die lange Zeitspanne *nach Veroeffentlichung* des
Patches (wird kein Patch veroeffentlicht, so koennen mit
dieser Regelung auch keine Details veroeffentlicht werden)
nahe, dass Microsoft hier vor allem versucht das Image seiner
Produkte aufzuwerten indem Sicherheitsloecher vertuscht,
oder als ungeefaehrlich abgetan werden.
Zudem ist diese Regelung ohnehin zu einseitig: Erst durch
veroeffentlichung der Sicherheitsloecher, und teilweise
sogar erst durch das Aufkommen von Wuermern (ILOVEYOU)
wurden Microsoft und andere grosse Softwarehersteller
ueberhaupt erst dazu bewegt, Patches zu veroeffentlichen.
Diese Regelung erlaubt es den Herstellern auch, Hinweise
auf Sicherheitsluecken zu ignorieren, wie sie das auch
vorher schon getan haben.
Ein letzter Punkt ist, dass sich solche Informationen nicht
unterdruecken lassen. Wer weiss, wo er danach suchen muss
wird die Informationen finden, und ein paar Gewitzte, die
aus wenigen Hinweisen ueber ein Sicherheitsloch einen
Exploit basteln und meinen ihn verbreiten zu muessen gibt
es immer. Diese Infos werden sich noch schwerer unterdruecken
lassen, als copyrightgeschuetzte Musik. Und sie nicht
auf Securitysites zur Verfuegung zu stellen bedeutet,
dass Sysadmins schlechter informiert werden als Skriptkiddies.
Ich bin durchaus der Meinung, man sollte keine fertigen Exploits
zur Verfuegung stellen, aber trotzdem sollten alle Hinweise,
die irgendwie zur Sicherung eines Systems helfen koennten
(ob/welches scripting verwendet wird, welche Ports, welche
Teile einer Anwendung betroffen sind, ...) so frueh wie moeglich
veroeffentlicht werden, um bis zum Bereitstehen eines Patches
Workarounds (Abstellen von Scripting, sperren bestimmter Ports
durch Firewalls, Abschalten entsprechender Optionen in der
betroffenen Anwendung, ...) dort zu ermoeglichen, wo diese
den Betrieb nicht zu stark einschraenken.
handelsueblichen 0815-Viren, Wuermer und anderes Kleintier aus
dem Baukasten. Das ist allerdings nur die Spitze des Eisbergs.
Denn jemand der einen vorsaetzlichen Angriff plant, hat entweder
selbst die Faehigkeiten auch eine nur grob beschriebene
Sicherheitsluecke auszunutzen, bzw. sich detailliertere
Informationen ueber sie zu besorgen, oder er kann Leute
bezahlen die das fuer ihn tun.
Diese Leute und ihre Aktionen sind aber wesentlich gefaehrlicher,
als ein Wurm, der in den meisten Faellen eine vergleichsweise
harmlose Schadroutine hat, und eher durch seine Verbreitungsroutine
Schaden anrichtet. Zudem ist ein Wurm meist schnell zu erkennen
(allein durch den Netzwerkverkehr), waehrend Verbrecher, die
aus ihren Taten Profit schlagen wollen wohl meist eher anstreben
unerkannt zu arbeiten. Der Schaden des Virus laesst sich meist in
Ueberstunden der Admins ausdruecken, der Schaden eines vorsaetzlichen
Einbruchs kann in die Millionen gehen, wird eventuell erst bei
einer Monatsabrechnung oder aehnlichem erkannt, und vermutlich
oft nichtmal angezeigt, weil das Unternehmen Imageverluste fuerchten
muss.
Nun ist es trotzdem nichts schlechtes, es den Skriptkiddies zu
erschweren bekannte Sicherheitsluecken auszunutzen. Allerdings
haben die Wuermer auch ein Gutes gehabt: Sie haben naemlich
die Aufmerksamkeit fuer Sicherheitsprobleme erhoeht. Zudem
haben sie aufgezeigt, dass eine erhoehte Sicherheit nur durch
bessere und aufmerksamere Systemadministration erzielen laesst.
Wenn Microsoft *wirklich* die Sicherheit der Windowssysteme
weltweit erhoehen will muessen sie daher vor allem eine
aggressive Informationskampagne betreiben, die Windowsnutzer
und Admins ueber Sicherheitskonzepte informiert, und dazu draengt,
sich regelmaessig auf dem laufenden zu halten (z.B. ueber
Mailinglists). Das hier eine Schwachstelle ist hat sich schon
daran gezeigt, dass die Hauptverbreitungsphase vieler Wuermer
erst deutlich *nach* Bereitstellung der Patches stattfand.
Leider ist von einer solchen Kampagne nichts zu erkennen,
vielmehr legen sowohl die Begruendungen Microsofts fuer
zurueckhaltendere Ankuendigungen von Sicherheitsloechern,
als auch die lange Zeitspanne *nach Veroeffentlichung* des
Patches (wird kein Patch veroeffentlicht, so koennen mit
dieser Regelung auch keine Details veroeffentlicht werden)
nahe, dass Microsoft hier vor allem versucht das Image seiner
Produkte aufzuwerten indem Sicherheitsloecher vertuscht,
oder als ungeefaehrlich abgetan werden.
Zudem ist diese Regelung ohnehin zu einseitig: Erst durch
veroeffentlichung der Sicherheitsloecher, und teilweise
sogar erst durch das Aufkommen von Wuermern (ILOVEYOU)
wurden Microsoft und andere grosse Softwarehersteller
ueberhaupt erst dazu bewegt, Patches zu veroeffentlichen.
Diese Regelung erlaubt es den Herstellern auch, Hinweise
auf Sicherheitsluecken zu ignorieren, wie sie das auch
vorher schon getan haben.
Ein letzter Punkt ist, dass sich solche Informationen nicht
unterdruecken lassen. Wer weiss, wo er danach suchen muss
wird die Informationen finden, und ein paar Gewitzte, die
aus wenigen Hinweisen ueber ein Sicherheitsloch einen
Exploit basteln und meinen ihn verbreiten zu muessen gibt
es immer. Diese Infos werden sich noch schwerer unterdruecken
lassen, als copyrightgeschuetzte Musik. Und sie nicht
auf Securitysites zur Verfuegung zu stellen bedeutet,
dass Sysadmins schlechter informiert werden als Skriptkiddies.
Ich bin durchaus der Meinung, man sollte keine fertigen Exploits
zur Verfuegung stellen, aber trotzdem sollten alle Hinweise,
die irgendwie zur Sicherung eines Systems helfen koennten
(ob/welches scripting verwendet wird, welche Ports, welche
Teile einer Anwendung betroffen sind, ...) so frueh wie moeglich
veroeffentlicht werden, um bis zum Bereitstehen eines Patches
Workarounds (Abstellen von Scripting, sperren bestimmter Ports
durch Firewalls, Abschalten entsprechender Optionen in der
betroffenen Anwendung, ...) dort zu ermoeglichen, wo diese
den Betrieb nicht zu stark einschraenken.