News Krypto-Trojaner WannaCry: Microsoft kritisiert Behörden, die Exploits horten

[andy_m4]

Wie kann MS auch die Lücken schließen, wenn ihnen niemand mit Absicht bescheid gibt.

Ähm bitte? Die haben die Software geschrieben. Die haben den Fehler gemacht. Jetzt auf Andere zeigen ist ja wohl das Letzte.

Außerdem ist MS in der Regel sehr schnell, wenn es um Sicherheitsupdates geht!

Ich sag nur Patchdays statt Zeitnahes fixen.
Und dann gibts ja auch hin und wieder Lücken, die trotz Patchday noch offen sind.

Allerdings muss man Microsoft zugute halten, dass sie noch fast als Einäugige unter den anderen blinden Softwareherstellern durchgehen.

 

[poly123]

Ist ja nicht so, dass die Sicherheitslücke mal im vorbei gehen zufällig jedem aufgefallen ist.... wenn kein Hinweis kommt oder in diesem Fall kam, sieht man schon, dass es etwas mehr Knowhow benötigt, um derartiges zu schreiben. Keine Software ist fehlerfrei ... ich kann Microsoft wegen mangelnder Mithilfe von Behörden voll und ganz verstehen. Denn nur durch das Abhandenkommen der Exploits konnte nun unter dessen Ausnutzung eine Wurm artige Variante des x-ten Teslacrypt Forks "fortentwickelt" werden.

Edit: und seit März war eigentlich lange genug Zeit, das notwendige Update, welches die SMB Schwachstelle behebt, einzuspielen.

Das Gegenbeispiel war die letztwöchige (?) Meldung von Project Zero - unter NDA an MS gemeldet, Problem mit Patchday bereits behoben... hieran sieht man ja, dass eine schnelle Abhilfe möglich ist, vorausgesetzt man ist in Kenntnis des Problems.

 

[keinbeinschwein]

Ihr fahrt ein Auto. Ihr bekommt den Hinweis von einer externen Institution, dass die Bremsen fehleranfällig sein könnten. Der Hersteller ruft alle Fahrzeuge in die Werkstatt. Ihr fahrt nicht hin, weil ihr zu faul seid. Zwei Monate später fallen die Bremsen aus und ihr wickelt euch um einen Baum. Wer ist Schuld? Klar, der Hersteller. Und das Beispiel hinkt sogar noch, weil der Bremsdefekt trivialer ist als ein Fehler im Code.
Man man man. Man kann auch aus allem was drehen.
An dieser Stelle gegen MS zu schießen, ist einfach unangebracht. Hat mit Patchdays, dem Kapitalismus als solchem (kostenlos verteilen - genau ^^) etc. gar nichts zu tun, zumindest mal in diesem speziellen Fall.
Es gab eine Lücke, die wurde öffentlich, weil eine Regierungsorganisation, die sie nicht selbst kommunizieren wollte, offenbar ein Problem hat und deren Daten regelmäßig online landen.
MS reagierte umgehend und hat's geschlossen - und zwar auf allen Systemen, die noch offiziell im Support sind. Und ein Update für's olle XP nachgereicht, obwohl hierfür der Support bereits ausgelaufen ist.
Was hätte MS denn hier bitte noch anders machen sollen?
PCs zwangssperren, wenn sie nicht auf dem aktuellsten Stand sind? Na, das Geheule will ich mal sehen

 

[Simon]

Wenn MS den Code endlich öffnen (und das Betriebssystem gratis an Konsumenten abgeben) würde, könnte der Code von unabhängigen, neutralen Instanzen auditiert werden. .

Der Windows-Code ist für alle größeren Lizenznehmer mit entsprechenden Verträgen einsehbar. Das dürften weltweit tausende von Kunden sein, wo auch reichlich qualifiziertes Personal sitzen dürfte.

_______________

Einen Ausweg gibt es praktisch nur, wenn man den Application-Stack vollends vom Betriebssystem entkoppelt (z.B. über JBOSS-Application Server) und Zwangsupdates forciert. Das wiederum wird von den Kunden aktuell aber oft als Gängelung angesehen, wenn man sich alleine ansieht, wieviele nach einer LTSB-Version von Windows 10 schreien.

 

[Quetzalkoatlus]

Man kann von MS ja halten was man will, aber in diesem Falle haben sie völlig recht. Die jetzige Attacke ist gänzlich auf dem Mist der Geheimdienste gewachsen, welche die Kenntnis über Sicherheitslücken sowie Tools um diese auszunutzen bei sich horten anstatt sie den Herstellern zu melden. Diese Praxis ist völlig inakzeptabel und durch nichts zu rechtfertigen... meines Wissens nach ist es immer noch die Aufgabe von Geheimdiensten und ähnlichen Behörden Schaden von der Öffentlichkeit abzuwenden.
Gegenteiliges ist aber inzwischen der Fall. Die Öffentlichkeit darf quasi doppelt zahlen: Erstens muss sie Geheimdienste mit Milliardenbeträgen finanzieren, zweitens muss sie für den Schaden aufkommen, welcher von diesen verursacht wurde.

 

[crashbandicot]

Ich sag nur Patchdays statt Zeitnahes fixen.

Vorallem dann, wenn Updates nicht zeitnah verteilt werden sondern stur am veralterten Patchday festgehalten wird.

Patchdays haben einen guten Grund: der Admin kann sich darauf einstellen und Zeit für Tests einplanen. Käme jeden zweiten oder dritten Tag ein Update, käme man aus dem ganzen Testen ja nie raus.

 

[cbtestarossa]

Darauf zu hoffen dass "die Geheimen" zu ihnen kommen und ihnen mitteilen ob sie Exploits gefunden haben?
Lachhaft, Schaut euch mal an was in D abgeht und wieviele Informationen Untersuchungsausschüsse erhalten.

Winzigweich kann ja ihren Hauptsitz in ein anderes Land verlegen wo ihnen weder der "oberschlaue Presi" noch "die ganz Geheimen" dreinreden können.
Dann sind sie aber nur 1 Übel los. Infos bekommen sie dann auch nicht.

Und überhaupt. Wer glaubt dem Verein nach dem ganezen Win10-Debakel überhaupt noch etwas?

 

[DeusoftheWired]

Leute an dieser ganzen WannaCry sache stinkt etwas ganz gewaltig,in all den Jahren gab es keine Malware die sich so einfach und in so kurzer Zeit abschalten ließ.Schadware ist sehr aufwendig Programmiert und das ist mehr als komisch.

Aluhut kann abgenommen werden. Und das sage ich als Aluhutträger.

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Kurz: Der Wurm hat geguckt, ob er auf www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com zugreifen kann. Wenn nicht, führt er sich weiter aus. Wenn ja, beendet er sich. Der Brite, der gerade als Held gefeiert wird, hat diese Domain am Freitag gekauft. Dadurch erhielt der Wurm immer ein Ja beim Nachschauen, ob die Seite online ist.

Der Code der Malware ist mittlerweile vollständig reverseengineered und es existieren Varianten ohne die Überprüfung der Domain.

 

[cbtestarossa]

Kurz: Der Wurm hat geguckt, ob er auf www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com zugreifen kann. Wenn nicht, beendet er sich.Wenn ja, führt er sich weiter aus.

Genau andersrum.

Darum hat FEFE auch die Sicherheits und AV Hersteller kritisiert die diese Domain auch noch blacklisten und sperren.

 

[DeusoftheWired]

Verdröselt, sorry! Wird angepaßt.

 

[cbtestarossa]

Ich denke auch die haben das nur bei der Entwicklung gebraucht.
Ales andere ergibt einfach keinen Sinn.

zb es sollte sich um einen Debugschutz handeln

Will ein Sicherhaitsteam das Teil untersuchen.
Isolierung in eine Sandbox.
Genau dann könnte das Teil doch gar keine Verbindung zum Server herstellen und würde zu wüten beginnen.

Wiederspricht sich irgendwie alles.

 

[Vindoriel]

Wieder typische PR-Masche, dass MS auf die Geheimdienste schimpft...

Gerade MS (aber auch viele andere IT-Unternehmen, darunter Intel und Cisco) arbeitet seit kurz nach dem Anschlag aufs WTC (noch) eng(er) mit der NSA zusammen, angeblich als Schutz vor Terrorismus (wurde damals schon bekannt, nicht erst durch Snowden). Wem aber "Echelon" ein Begriff ist, weiß, dass die NSA auch Wirtschaftsspionage für die amerikanische (Groß-)Industrie betreibt.
Der immer lockerer werdende "Datenschutz" von Windows passt hervorragend dazu und wer kein Windows 10 haben möchte, wird durch Roll-Up-Pakete dazu gezwungen, die ganzen Telemetrie- und sonstwas Updates zu installieren, um geschützt zu sein.

Nur will nicht jeder Win 10 wegen dem Datenschutz.

Und auch nicht die Roll-Up-Pakete, weil die darin enthaltenen (vorher abwählbaren) Patches Windows 7 auf nahezu Windows10-Stand bringen.

 

[winni71]

Wer Windows XP nutzt hat IMHO nichts besseres verdient und NEIN(!), es gibt keinen Grund heute noch XP zu verwenden, auch nicht in Firmen.

Doch, es gibt noch Gründe für XP. Wozu sollte man funktionsfähige Hardware wegschmeißen, nur weil kein Windows Vista/7/8/10 oder sonstwas drauf läuft? (und die Funktionalität mit Linux nicht erreicht werden kann)
Es gibt noch zig XP-Kisten, grad im industriellen Bereich. Wozu da überall neue Hardware mit neuen Betriebssystemen einsetzen, die neue Lücken haben und wo man nichtmal mehr Kontrolle über die Updates hat? (gilt nicht für Linux).
Als Privatanwender sagt es sich leicht, daß XP tot wäre (bzw. endlich tot sein sollte), im gewerblichen Umfeld ist es das aber noch lange nicht.
Wirklich schlimm ist ja nur, wenn die XP-Kisten dann übers (Inter)Net angreifbar sind. Standalone oder in einem abgeschottetetn Bereich ist das kein Problem.

 

[NoXPhasma]

[...]im gewerblichen Umfeld ist es das aber noch lange nicht.

Genau das ist das Problem, XP ist tot, wird dort nur künstlich am Leben gehalten. Hardware die noch XP benötigt ist veraltet und wer diese benutzt schadet nicht nur sich selbst sondern auch andere Menschen, wenn es einen Zugang zum Internet gibt.

Schau dir doch nur mal den aktuellen Fall in England an, dort hat es Krankenhäuser getroffen! Da hängen direkt Menschenleben dran. Verstehst du vielleicht jetzt warum XP und veraltete Software im allgemeinen weg muss? Die Ausreden "das geht nicht mit anderer Software" ist lächerlich.

"Herr Wachtmeister, ich muss diese kaputten Bremsen nutzen, denn es gibt keine neuen mehr für meinen Oldtimer!" Passt natürlich nicht, weil wir im Straßenverkehr ordentliche Gesetze haben, die das unter Strafe stellen. So sollte es in der IT auch sein!

 

[Drummermatze]

Doch, es gibt noch Gründe für XP. Wozu sollte man funktionsfähige Hardware wegschmeißen, nur weil kein Windows Vista/7/8/10 oder sonstwas drauf läuft? (und die Funktionalität mit Linux nicht erreicht werden kann)

Dann muss man als Firma abwägen was letztendlich teurer ist.
Neue Hardware mit aktuellem Betriebssystem und aktuellen Sicherheitsstandarts anzuschaffen, oder eventuelle Ausfälle der veralteten Systeme durch Viren oder sonstwas in Kauf zu nehmen. Ist ne simple Rechenaufgabe.
Manche Firmen können sich das garnicht erlauben. Da ist der Fall klar.

 

[andy_m4]

Patchdays haben einen guten Grund: der Admin kann sich darauf einstellen und Zeit für Tests einplanen. Käme jeden zweiten oder dritten Tag ein Update, käme man aus dem ganzen Testen ja nie raus.

Genau. Muss ja alles intensivst getestet werden. Daher hatte WannaCry auch so leichtes Spiel. Die Patches gab es schon seid März, aber viele der Betroffenen haben sie noch gar nicht eingespielt. Nu frag ich mich natürlich, was schlimmer ist. Das wegen ein Patch vielleicht mal irgendwo irgendwas nicht funktioniert, oder so ein Ransomware-Flächenbrand mir die halbe Firma lahmlegt.
Ich würde wohl doch eher den Patch riskieren.

Außerdem was passiert denn, wenn bei Deinen Tests irgendeine Software nicht tut? Wird der Patch dann nicht eingespielt und man lässt die Lücke einfach offen so nach dem Motto "Wird schon nicht so schlimm sein" ?

 

[user4base]

...
zb es sollte sich um einen Debugschutz handeln

Will ein Sicherhaitsteam das Teil untersuchen.
Isolierung in eine Sandbox.
Genau dann könnte das Teil doch gar keine Verbindung zum Server herstellen und würde zu wüten beginnen.

Wiederspricht sich irgendwie alles.

Wenn eine Malware in einer (Forensik) Sandbox untersucht wird, werden normalerweise zunächst alle externen Verbindungsversuche umgeleitet. Sprich, es werden alle Verbindungen auf eigene Adressen umgeleitet und beantwortet. Findet die Schadsoftware die unregistrierte Domain nicht, weiß diese, dass sie nicht in einer Sandbox ist, und kann das tun für was sie programmiert wurde. Wenn aber eine "Antwort" kommt, weiß sie, dass hier was nicht stimmt und die Software verhält sich so gut es geht unauffällig um so wenig wie möglich zu verraten.
Zugegeben ist diese Methode einer statischen URL nicht die eleganteste....

Dies wäre aber auf jeden Fall eine plausible Erklärung, die sich auch nicht widerspricht.

 

[NoXPhasma]

Außerdem was passiert denn, wenn bei Deinen Tests irgendeine Software nicht tut? Wird der Patch dann nicht eingespielt und man lässt die Lücke einfach offen so nach dem Motto "Wird schon nicht so schlimm sein" ?

Offensichtlich scheint es ja ganz genau so abzulaufen...

 

[crashbandicot]

Außerdem was passiert denn, wenn bei Deinen Tests irgendeine Software nicht tut? Wird der Patch dann nicht eingespielt und man lässt die Lücke einfach offen so nach dem Motto "Wird schon nicht so schlimm sein" ?

Ja. Außer der Hersteller der Software bessert dort nach. Es gibt Hersteller die prüfen 2x jährlich (!) ihre Software auf Kompatibilität der Windows Updates. Ohne Freigabe des Herstellers dürfen keine Updates installiert werden.

 

[user4base]

Genau. Muss ja alles intensivst getestet werden. Daher hatte WannaCry auch so leichtes Spiel. Die Patches gab es schon seid März, aber viele der Betroffenen haben sie noch gar nicht eingespielt. Nu frag ich mich natürlich, was schlimmer ist. Das wegen ein Patch vielleicht mal irgendwo irgendwas nicht funktioniert, oder so ein Ransomware-Flächenbrand mir die halbe Firma lahmlegt.
Ich würde wohl doch eher den Patch riskieren.

Außerdem was passiert denn, wenn bei Deinen Tests irgendeine Software nicht tut? Wird der Patch dann nicht eingespielt und man lässt die Lücke einfach offen so nach dem Motto "Wird schon nicht so schlimm sein" ?

weil ich zu faul bin, als kleiner Denkanstoß:
...
Rechner an denen spezielle Hardware hängt darfst du meistens gar nicht updaten.
Mit ein bissel Pech gibt es für diesen einen Rechner, an dem dieses eine Gerät hängt, einen speziellen Dienstleister und erst wenn der sich bewegt...

Darunter fallen dann diverse Maschinen, das fängt bei Medizinischer Hardware (wer möchte nicht verrecken weil das EKG/CT seit dem letzten Windows Update falsche Werte zeigt und jeder glaubt es sieht doch gut aus - nur weil MS mal wieder an einer API gefeilt hat) an und geht dann weiter über diverse Managementsysteme.
... https://www.heise.de/forum/heise-on...n/Das-doch-alles-Unfug/posting-30387150/show/