News „Grob fahrlässig“: Microsoft schob brisante Azure-Schwachstelle mehrere Monate auf
EdwinOdesseiron
Lt. Junior Grade
- Registriert
- Juni 2018
- Beiträge
- 363
Wer sich in fremde Hände begibt, wird durch fremde Hände umkommen.
Das Thema Cloud muss mal langsam sterben.
Das Thema Cloud muss mal langsam sterben.
![[wege]mini](https://pics.computerbase.de/forum/avatars/m/778/778975.jpg?1575883542){kind=avatar}
[wege]mini
Banned
- Registriert
- Juli 2018
- Beiträge
- 8.357
MDM schrieb:
Selbst wenn du in einem löchrigem Käse, noch ein Loch für deinen Sugardaddy einbaust, will der ganz sicher nicht, dass genau sein Loch von anderen benutzt wird.
Das muss dann geschlossen werden und er bekommt ein anderes
Im hier vorliegenden Fall, ist einfach ein Loch benutzt worden, dass so von MS nicht beabsichtig war.
Die Frage, warum es so lange gedauert hat, kann nur MS beantworten. Es stellt doch aber auch niemand die Frage, wie viel sie aus China bekommen haben, um den Schlüssel zu verkaufen, der "gestohlen" wurde.
mfg
SheepShaver
Commodore
- Registriert
- Nov. 2004
- Beiträge
- 4.242
Was hier wieder dummes Zeug über die Cloud gebrabbelt wird. 🙄
Am Ende läuft da Software von Drittanbietern. Ob diese nun Onprem läuft oder in der Cloud, die Schwachstelle existiert in beiden Fällen. Ich würde behaupten, dass die Cloud Umgebung in Punkto Hardening erheblich mehr Resourcen zur Verfügung hat, als die Infrastruktur eines durchschnittlichen Unternehmens.
Man sollte mal aufhören, hier ständig Halbwissen zu verbreiten. Am Ende glaubt das noch jemand.
Am Ende läuft da Software von Drittanbietern. Ob diese nun Onprem läuft oder in der Cloud, die Schwachstelle existiert in beiden Fällen. Ich würde behaupten, dass die Cloud Umgebung in Punkto Hardening erheblich mehr Resourcen zur Verfügung hat, als die Infrastruktur eines durchschnittlichen Unternehmens.
Man sollte mal aufhören, hier ständig Halbwissen zu verbreiten. Am Ende glaubt das noch jemand.
Zuletzt bearbeitet:
textract
Lt. Commander
- Registriert
- Aug. 2011
- Beiträge
- 1.724
Ferax schrieb:
Dann sollten jene Microsoft-Produkte im eigenen Datacenter eben ebenfalls ein Ablaufdatum bekommen. Es ist schon seit Jahren so, dass sich Microdoft grundsätzlich nicht für die Sicherheit ihrer Kunden interessiert, schon bevor sie die meisten Anwendungen Cloud-Only gemacht haben. Damals war das Gesamtproblem nur nicht so groß, weil es bei entsprechender Implementierung potentiell nur vereinzelte Kunden betraf, heutzutage betrifft es halt alle.
Wenn du das gut und richtig findest, kannst du das gerne machen.
Ich persönlich arbeite in der IT einer der größten Deutschen Banken und wir haben Windows nicht einmal als strategische Plattform definiert, wir setzen Windows nur da ein, wo wir durch Fremdsoftware keine andere Wahl haben.
Microsoft-Produkte zu nutzen ist, zum größten Teil, eine Entscheidung und für profesionelle Applikationen im Datacenter-Bereich gibt es für fast alles Kompatibilität zu Linux, AIX, z-Linux und häufig sogar noch Solaris.
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.108
@SheepShaver
Das kommt ein wenig drauf an was man als "Cloud" bezeichnet.
In der Regel wird Cloud als Synonym benutzt für "ich nehme das was ich jetzt als Physik irgendwo stehen habe und packe das 1: 1 in eine VM".
Und damit hast du in einer normalen (shared) Cloud erstmal keine Steigerung der Sicherheit in irgendeinem Kontext.
Du hast dann verglichen mit einer physikalischen Umgebung (auf der durchaus VMs laufen können, halt nur deine eigenen), die ebenfalls bei einem Drittanbieter steht, dann mindestens vier potenzielle Nachteile:
1. Zugriff auf deine Daten durch Hardwarefehler in der CPU (eher theoretischer Natur)
2. Sicherheitslücken auf dem Hypervisor selber.
3. Sicherheitslücken in der Administrations-software
4. Sicherheitsprobleme durch Configfehler des Anbieters (gibt es natürlich auch bei Physik, aber in der Cloud kommt die Komponente Administrationssoftware dazu).
Wenn Cloud für dich an der Stelle meint, dass man statt einen eigenen Dienst zu betreiben den Dienst als solches irgendwo anmietet (und auch nur den Dienst, keine VM auf dem man den Dienst dann selber wieder betreibt), dann gebe ich dir recht, das kann (muss aber nicht) dann durchaus in Summe sicherer sein weil der Anbieter tendenziell einfach viel mehr Ahnung hat als der Admin, der das Ding neben 100 anderen Services betreibt und sich die config einfach nur aus 2x Google und 1x Stackoverflow zusammenkopiert hat.
Aber die konzeptionellen Nachteile einer Cloud komplett zu ignorieren oder zu behaupten dass es keine gäbe, ist bestenfalls sehr naiv.
Das kommt ein wenig drauf an was man als "Cloud" bezeichnet.
In der Regel wird Cloud als Synonym benutzt für "ich nehme das was ich jetzt als Physik irgendwo stehen habe und packe das 1: 1 in eine VM".
Und damit hast du in einer normalen (shared) Cloud erstmal keine Steigerung der Sicherheit in irgendeinem Kontext.
Du hast dann verglichen mit einer physikalischen Umgebung (auf der durchaus VMs laufen können, halt nur deine eigenen), die ebenfalls bei einem Drittanbieter steht, dann mindestens vier potenzielle Nachteile:
1. Zugriff auf deine Daten durch Hardwarefehler in der CPU (eher theoretischer Natur)
2. Sicherheitslücken auf dem Hypervisor selber.
3. Sicherheitslücken in der Administrations-software
4. Sicherheitsprobleme durch Configfehler des Anbieters (gibt es natürlich auch bei Physik, aber in der Cloud kommt die Komponente Administrationssoftware dazu).
Wenn Cloud für dich an der Stelle meint, dass man statt einen eigenen Dienst zu betreiben den Dienst als solches irgendwo anmietet (und auch nur den Dienst, keine VM auf dem man den Dienst dann selber wieder betreibt), dann gebe ich dir recht, das kann (muss aber nicht) dann durchaus in Summe sicherer sein weil der Anbieter tendenziell einfach viel mehr Ahnung hat als der Admin, der das Ding neben 100 anderen Services betreibt und sich die config einfach nur aus 2x Google und 1x Stackoverflow zusammenkopiert hat.
Aber die konzeptionellen Nachteile einer Cloud komplett zu ignorieren oder zu behaupten dass es keine gäbe, ist bestenfalls sehr naiv.
SheepShaver
Commodore
- Registriert
- Nov. 2004
- Beiträge
- 4.242
Ist ja nicht so, als ob nur Microsoft keine on-premise Lösungen mehr anbietet. Das machen Atlassian und Co. genauso. Es rechnet sich schlicht nicht mehr.
@Blutschlumpf
Das von dir beschriebene Vorgehen bezeichne ich in der Tat nicht als Cloudloesung, zumal das schon vor der Cloud üblich war, dass man neben baremetal Servern auch VMs mieten kann.
Beispiel Atlassian: die SaaS Lösung kostet ein Bruchteil von der DataCenter-Lösung. Wie oben gesagt, das rechnet sich nicht.
@Blutschlumpf
Das von dir beschriebene Vorgehen bezeichne ich in der Tat nicht als Cloudloesung, zumal das schon vor der Cloud üblich war, dass man neben baremetal Servern auch VMs mieten kann.
Beispiel Atlassian: die SaaS Lösung kostet ein Bruchteil von der DataCenter-Lösung. Wie oben gesagt, das rechnet sich nicht.
Zuletzt bearbeitet:
Muntermacher
Lieutenant
- Registriert
- Sep. 2022
- Beiträge
- 811
Je nachdem worauf sich das bezirht, fände ich das wenig. Z.B. auf Betriebssysteme wäre das weniger als ich gedacht hätte, da aufgrund,der Verbreitung auch mehr ausprobiert.Riou schrieb:
Woher stammt die Zahl?
pseudopseudonym
Admiral
- Registriert
- Mai 2017
- Beiträge
- 8.825
Natürlich hat die Cloud Nachteile. Aber einige hier schmeißen Windows vs Linux mit Cloud ja/nein durcheinander und empfehlen als Alternative einen selbstgebasteteln Server in der Besenkammer.Blutschlumpf schrieb:
Der Vorschlag, einen Server irgendwo bei einem Anbieter dafür aufzustellen, ist schon etwas besser (wobei es dann min 2 sein müssten), ignoriert aber völlig, dass das geile an Cloud-Services ist, dass CPUs, RAM, OS usw für die Kunden transparent sind, man sich mit dem Mist also nicht rumärgern muss. Man kauft einen Service und der läuft. Egal, wie viele Hardwareressourcen gebraucht werden. Das sieht man nur an der Rechnung.
Dass man bei Cloud-Lösungen im Idealfall eine komplett fertige Lösung bekommt, wird hier munter ignoriert. Viele scheinen zu glauben, dass Cloud immer sowas wie ein V-Server ist.
Ergänzung ()
Andersrum, hier tummeln sich verdammt viele Hobbyisten, die eine völlig falsche Vorstellung von Cloud haben und ihre paar Consumer-Produkte auf alles übertragen.mojitomay schrieb:
Die denken, Cloud ist ein gemieter Speicher oder sowas wie Windows 365
Ich, als Hobbyist auf diesem Gebiete, denke, dass eine Cloud aus mehrere verteilten/redundanten Rechnerkapazitäten besteht. Was auf diesen Rechnern für ein OS/VM läuft, ist dabei erstmal nebensächlich - je nachdem welchen Layer man attackieren will. Spielt doch damit keine Rolle ob Azure nun auf Linux/Windows/DOS läuft - es wird ja die Applikation und nicht das OS angegriffen?pseudopseudonym schrieb:
Bitte gerne um Korrektur.
Meine Arbeitslaptops (Win7/Win10/Win11) kriege ich gestellt - mit einem Single-Login. Da kann ich dann alles mit machen: VPN, Exchange, Teams, etc.
Mal 'ne Frage an die Profis hier:
Kann man solche Windows-Clients denn überhaupt ohne Azure (AD) erstellen?
Da fiele doch dann auch automatisch Exchange, Teams und anderer MS-Kram gleich mit weg, oder?
Ich könnte auch einen Mac kriegen. Höre aber immer, dass es hier und da doch Gefrickel/Gefummel gibt.
Zuletzt bearbeitet:
Cloud mag für viele sinnvoll sein. Es gibt aber auch Unternehmen für die es nicht sinnvoll ist und da mangelt es teilweise inzwischen an modernen Lösungen. Man kann mit Cloud richtig Geld verdienen als Hersteller, dann mach ich das omPrem Produkt so unattraktiv das der Kunde natürlich die Cloudlösung nutzten "will".
Ein Nachteil: Ein Problem kann sich auf alle Kunden auswirken und das gleichzeitig. Ein Anbieter mit hohem Kundenstamm wird deutlich schneller zum Ziel, mal ausgenommen Schadsoftware die eigenständig im Netz rumgeistert. Ich bin gespannt wie lange die Telematik Infrastruktur ungehackt bleibt. Wenn erstmal alle Gesundheitsdaten jedes Einwohners im Netz um geht dann kann man auf Datenschutz auch scheissen. Da bleibt dann nur noch "oh sorry, tut uns soooo leid".
Ein Nachteil: Ein Problem kann sich auf alle Kunden auswirken und das gleichzeitig. Ein Anbieter mit hohem Kundenstamm wird deutlich schneller zum Ziel, mal ausgenommen Schadsoftware die eigenständig im Netz rumgeistert. Ich bin gespannt wie lange die Telematik Infrastruktur ungehackt bleibt. Wenn erstmal alle Gesundheitsdaten jedes Einwohners im Netz um geht dann kann man auf Datenschutz auch scheissen. Da bleibt dann nur noch "oh sorry, tut uns soooo leid".
pseudopseudonym
Admiral
- Registriert
- Mai 2017
- Beiträge
- 8.825
Je nach Verwendungszweck definitiv
Discovery_1
Rear Admiral
- Registriert
- März 2018
- Beiträge
- 5.322
"Microsoft schob brisante Azure-Schwachstelle mehrere Monate auf". Absicht will ich Microsoft hier nicht unterstellen, eher die Inkompetenz darin, die Lücke
schließen zu können. Das würde für mich auch eher nach Microsoft klingen. Aber ich bin natürlich kein Experte.
schließen zu können. Das würde für mich auch eher nach Microsoft klingen. Aber ich bin natürlich kein Experte.
Intruder
Captain
- Registriert
- Juni 2011
- Beiträge
- 3.396
floTTes schrieb:
wenn DEIN Arbeitgeber dir ein Arbeitsnotebook zur Verfügung stellt, dann ist auch DEIN Arbeitgeber dafür verantwortlich, das DEIN Arbeitsnotebook so eingerichtet ist das du uneingeschränkt damit arbeiten kannst und dies ganz ohne jegliche Bastel-, Frickel- oder Fummelarbeiten.floTTes schrieb:
Diese Aufgabe wird in dem Fall von der zuständigen Fachabteilung (IT) übernommen und sollte dir keine Kopfzerbrechen bereiten und wenn die es nicht hinbekommen = nachbessern bis es läuft 😉👍
Falls dich das Thema aber dennoch interessieren sollte, ist deine Frage durchaus berechtigt 🙂
Ist ja auch ein sehr spannendes und auch vor allem wichtiges Thema wo man sich drin weiter bilden sollte.
roaddog1337
Lieutenant
- Registriert
- Apr. 2017
- Beiträge
- 566
zu Active Directory und Azure?Miuwa schrieb:
cansys
Lt. Junior Grade
- Registriert
- Mai 2018
- Beiträge
- 362
Ich vermute, dass du noch nie einen Kostenvergleich durchgeführt oder gesehen hast. Und die Allgemeinen Geschäftsbedingungen (AGB) scheinen dir auch ein Fremdwort zu sein. Die Ressourcen eines RZ sind endlich und die Dienstqualität kann nur dann für alle Kunden gewährleistet werden, wenn nach Möglichkeit kein hoher Outbound-Traffic erzeugt wird. Genau das ist der Grund, warum es in den AGB die eine oder andere Einschränkung gibt. Man müsste sie eben nur lesen, um zu verstehen, dass das fremde RZ in vielen Fällen als Infrastrukturlösung ausscheidet.pseudopseudonym schrieb:
Das soll jedoch nicht bedeuten, dass das RZ a. k. a. "die Cloud" keine Daseinsberechtigung hat. Sich mit Dritten die Hardware eines RZ zu teilen, ergibt z. B. bei Forschungs- und Entwicklungsszenarien einen Sinn (Einschränkung: Solange die Sicherheitsinteressen der Beteiligten gewahrt sind.). Für viele Prozesse scheidet das fremde RZ a. k. a. "die Cloud" aus.
Man muss schon ein Unternehmen mit 0815-Tätigkeiten sein, um eine "komplett fertige Lösung" zu bekommen. In meiner bisherigen beruflichen Laufbahn habe ich noch kein Unternehmen gesehen, dass eine "fertige Lösung" - egal, ob On-Premises oder Off-Premises (im Rechenzentrum a. k. a. "Cloud") - einsetzen konnte.pseudopseudonym schrieb:
