Ansicht:   

#423585 Die Sicherheitshölle der IT (pc.security)

verfaßt von baeuchlein, 07.05.2018, 16:36:54

> Danke für deine ausführliche Antwort.

Wie du an diesem Posting hier sehen kannst, werde ich bei ausführlichen Antworten zum Wiederholungstäter. :-D

> Ich meinte übrigens diese Meldung bei Heise:
> Meltdown-Patch-fuer-Windows-7-verschlimmert-die-Lage-dramatisch
> - hab's jetzt wiedergefunden.
>
> Also war meine Entscheidung gar nicht so blöd, mit den Updates zu warten
> ..... (?!?)

Sagen wir mal so: In diesem speziellen Fall hatte es für eine kurze Zeit eher positive Auswirkungen, dass du gewartet hast... oder aber gar keine Auswirkungen. ;-)

Das dort beschriebene Problem ist eines, was prinzipiell immer aufreten kann: Jemand versucht, einen Fehler in der Software durch einen Patch bzw. ein Update zu "reparieren", macht dabei aber einen anderen Fehler, der irgendwas noch schlimmer macht. Habe ich ab und zu bei einzelnen Programmen tatsächlich auch schon erlebt. Es hat aber nichts mit Spectre/Meltdown an sich zu tun, es kann eigentlich bei allen Patches, Updates, Bugfixes, Programmverbesserungen (=neue Version eines alten Programms) usw. usw. passieren.

Vielleicht sind solche Fälle jetzt in Sachen Spectre/Meltdown etwas häufiger, z.B. weil da jetzt relativ kurzfristig sehr viel gepatcht werden soll/muss/müsste. Also einerseits evtl. "Hektik beim Programmieren", andererseits evtl. eine große Menge an nötigen Updates und damit auch eine größere Wahrscheinlichkeit, dass mal bei einem davon ein neuer Fehler drin eingebaut ist. Ansonsten sehe ich da aber jetzt wenig Schwierigkeiten, die es sonst überhaupt nicht gäbe.

Und schlimmer als ein Update, was eine Sicherheitslücke durch eine viel größere neue Lücke (die gar nichts mehr mit Meltdown/Spectre zu tun hat) ersetzt, wäre sicher sowas wie ein BIOS-Update, das schiefgeht und den Rechner evtl. permanent unbrauchbar macht. Hatte ich ja im anderen Posting schon erwähnt. Diese GAUs sind bisher wohl noch relativ wenig rund um Meltdown/Spectre passiert - was den Betroffenen aber auch nicht viel hilft.

> Kann ich es also - für mich in der Praxis - so sehen:
>
> Solange ich nur die "wichtigen" Sicherheitspatches installiere, werden nur
> sonstige Lücken geschlossen. Spectre/Meltdown-Patches sind immer optional?

Das weiß ich nicht. Ich kann mich auch nicht dran erinnern, dass jemand auf diese Frage mal je näher eingegangen wäre.

In jenen zwei Tagen, in denen ich in Paranoia schwelgte, habe ich ausschließlich neue Virensignaturen für den Windows-Defender als Update installiert, alles andere erst mal nicht. Für eine sehr kurze Zeit mag das ausreichen. Über Monate hinweg würde ich es lieber nicht so machen.

Man kann auch versuchen, die Bedeutung eines bestimmten Updates herauszufinden. Das habe ich in manchen Fällen schon gemacht, es dauert aber für jedes einzelne Update eine kleine Ewigkeit. Und ob es für die ca. 200 MB großen Updates, die inzwischen auch in Win7 etwa einmal pro Monat auftauchen, überhaupt möglich ist, die einzelnen kleinen Veränderungen durch die Einzelpatches im "200-MB-Sammelpaket" in Erfahrung zu bringen, habe ich bisher nicht ausprobiert.

Gegen fast alle Auswirkungen dieser Art von evtl. vermurksten Updates kannst du dich allerdings mit einem vollständigen Backup des Windows gut absichern. Oft reicht auch ein Backup von Partition/Laufwerk C:, wenn D: und weitere Laufwerke nur Daten, aber keine installierten Programme beinhalten. Wenn dann mal was schiefgeht, kannst du das Backup zurückholen.

Das hilft zwar nicht gegen ein relativ spät entdecktes "vermurkstes" Update, wie es in dem von dir verlinkten Artikel angesprochen wurde, denn dann hat man evtl. keine Backups mehr von "davor." Aber das Ganze ist eh ein sehr schwieriges Thema: Nehme ich an, dass die derzeitige Situation durch Updates eher besser oder eher schlechter wird? Kann man nicht wirklich gut beantworten.

> Derzeit betrifft es eh bei uns nur einen PC mit Win7, der andere hat noch
> einen älteren Prozessor, der (angeblich - lt. Liste damals im Jänner) noch
> nicht davon betroffen ist.

Inwiefern "nicht betroffen"? Hat dieser Prozessor gar kein Meltdown/Spectre-Problem, oder gibt es lediglich noch keinen Patch/kein Update für diesen Prozessor, so dass dadurch auch kein Folge-Problem entstehen dürfte?

Soweit ich weiß, gelten inzwischen nahezu alle Prozessoren nach den Pentium-I-CPUs als von den unter Meltdown und Spectre verstandenen Sicherheitsproblemen betroffen, v.a. im PC-Bereich. Bei den ganzen Smartphones, Smart-TVs und anderen Geräten, die auch solche Prozessoren benutzen, ist die Situation etwas unübersichtlicher, weil es da auch verbreitet moderne CPUs gibt, die dennoch keine Meltdown/Spectre-Probleme aufweisen.

> Und der alte mit XP wird sowieso nur offline betrieben.

Solange man nicht regelmäßig Daten u.ä. per USB-Stick oder ähnlichem Datenträger austauscht, würde ich mir um so einen Rechner auch keine großen Gedanken machen.

> Und weil wir beim Thema Super-GAU waren:
>
> Unsere Gesellschaft ist derart angreifbar geworden durch die ganze
> Online-Technik. Ich fürchte, der Super-GAU ist unausweichlich. Da kann die
> ganze Wirtschaft zum Erliegen kommen (Verkehr, Versorgung), wenn gewitzte
> Cyberterroristen die offensichtlich vorhandenen Möglichkeiten wirklich
> nützen. (Hoffentlich erleb ich das dann nicht mehr.) Die Menschheit könnte
> sich dann fühlen wie der Zauberlehrling in der bekannten Ballade ....

Einige haben das schon hinter sich. Irgendwann in der ersten Aprilhälfte hat einer der Autoren von heise.de mal einen Vortrag gehalten, auf den ich zufällig im Internet bei YouTube stieß. Darin berichtete er, was die Firma Mersk vor ca. einem Jahr mit einem der damaligen "Erpressungstrojaner" (ich glaube, es war "WannaCry" oder "NotPetya") erlebt hat.

Mersk ist eine Logistik-Firma, die Container um die ganze Welt schippert. Wer mal ein Bißchen auf Container-Aufschriften schaut, wird diesen Namen wohl gelegentlich dort lesen. Nun, Mersk fing sich wohl damals ähnlich wie manche andere Firma so einen Trojaner ein, und das Vieh hat denen den ganzen Betrieb lahmgelegt. Etwa 45.000 Rechner von denen waren tagelang unbenutzbar. Nur mit Papier und Bleistift konnten die arbeiten (das war wohl keine Überteibung!). Die IT-Abteilung von denen hat sich dann gehörig die Allerwertesten aufgerissen und diese irre Zahl von Rechnern in nur etwas mehr als einer Woche (!) wieder betriebsbereit gemacht. So lange aber lagen diverse Schiffe irgendwo in Häfen vor Anker und konnten nicht be- oder entladen werden, weil eben die (elektronische) Logistik völlig platt war. Hat wohl auch ein Schweinegeld gekostet: Evtl. Bezahlung des "Reparaturpersonals" und weiterer für's "Reparieren" nötigen Dinge, aber auch was entgangene Gewinne, d.h. Verluste, angeht. Da ist die deutsche Bahn mit "lediglich" ausgefallenen Anzeigetafeln vermutlich seinerzeit gut weggekommen im Vergleich.

Meltdown und Spectre sind vermutlich nicht dazu geeignet, eine ähnliche Katastrophe anzurichten. Man kann "nur" Daten damit auslesen, an die man eigentlich nicht drankommen können sollte. Was schlimm ist, aber für sich alleine erst mal keinen Rechner und kaum eine Firma lahmlegt. Aber davon mal abgesehen sind die weiteren Umstände dieser Prozessor-Sicherheitslücken schon genau das, was für eine "Zauberlehring-Katastrophe" prima Voraussetzungen sind: Es sind sehr viele Geräte betroffen. Es sind außerdem auch fast alle in den letzten 20 Jahren in einem bestimmten Bereich benutzten Geräte betroffen. Und es hat lange Zeit über keiner gemerkt, so dass man die Bauweise heutiger CPUs und des ganzen elektronischen "Drumherums" (Mainboard usw.) aufeinander abgestimmt hat und das Eregbnis davon für nahezu "alternativlos" hält - und jetzt sieht man (wenn man mal etwas mehr zu der hinter Meltdown/Spectre steckenden Problematik nachliest), dass diese Bauweise genau jene Probleme hervorgebracht hat, die nun plötzlich auftauchen. Zwar kann man prinzipiell wohl die Bauweise der CPUs verbessern, so dass die Sicherheitslücken vermutlich irgendwann mal ganz verschwinden, aber das dauert... und viel von unserer Elektronik ist halt voll und ganz auf diese Bauweise zugeschnitten, wobei wir wieder bei "alternativlos" sind.

Das ist dann der Stoff, aus dem die Alpträume sind. :lookaround: Zumal man jetzt ja sieht, dass selbst nach fast einem Jahr nicht so richtig viel an Verbesserungen da ist.

Ich vermute, erst wenn man rund um Elektronik ein völlig neues Sicherheitsdenken als Standard in die Köpfe vieler Leute "hineingerammt" hat, wird vielleicht die Bedrohung durch solche Sicherheitslücken abnehmen. "Erst Mist bauen, und dann können wir ja immer noch patchen", das reicht alleine definitiv nicht aus. Und dass man sich überlegen sollte, welche Geräte nix am Internet zu suchen haben, welche immer dran dürfen und welche nur unter Umständen, und dass man Entscheidungen darüber auch durch Programmierung und Hardwaredesign den Benutzern überlassen muss, das ist wohl auch erst in den Köpfen weniger Leute angekommen. Wobei die Benutzer dann auch erst wieder was damit anfangen können, wenn man ihnen so umfangreich wie nötig, aber so kurz wie möglich, erklärt, wo denn überhaupt die Probleme liegen, bei deren Bewältigung jene Benutzer zwangsweise mitarbeiten müssen, wenn es funktionieren soll.

Das "Internet of Things" ist für mich pesönlich derzeit die Hölle der IT. :devil: Wenn ich in diesem Laden wenigstens noch der Oberteufel wär', könnt' ich ja vielleicht noch Spaß dran haben, aber der bin ich halt nicht. :teufel:

 

gesamter Thread:

Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz