News SolarWinds-Attacke: Angreifer hatten Zugang zu Microsofts Quellcode

[D1visionByZer0]

Also manchmal verstehe ich das alles nicht. Warum werden Entwicklungsbereiche von Unternehmen nicht einfach vom Rest der Welt abgekoppelt?

Es könnte doch so einfach sein, man baut 2 Netzwerke auf, einmal für den Entwicklungsbereich und das zweite für alles andere. Okay, klar, ich bin (leider) kein Fachexperte und kenne mich absolut nicht mit Netzwerk-/Software-Infrastrukturen aus, aber soviel Verstand habe ich mMn, dass sowas doch einfach möglich wäre ! Wieso sollte das nicht möglich sein? Verstehe ich echt nicht

€dith: das gleiche ja auch bei Angriffen zb auf die Regierung oder Geheimdienste (kann mich gerade nicht mehr ganz erinnern, wer da in letzter Zeit alles von außen mit Hacks bombadiert wurde), wieso müssen immer alle Unternehmensbereiche mit der Außenwelt komplett vernetzt sein?

Wenn Bereiche abgekoppelt sind, können sie auch nicht gehackt werden.

Aus dem gleichen Grund, wesshalb Atomwerke noch am Netz angeschlossen sind (Quelle Sempervideo )

Okay, jetzt aber Spaß beiseite..... Von der Umsetzung denke ich, dass das deutlich schwieriger ist, als einfach ein "Hey, hier habt ihr euer eignes Netz und hier kann euch nichts passieren".

Die Entwickler brauchen ja auch Anschluss ans Netz, wenn man mal was in einer Dokumentation nachschauen muss oder besonders jetzt gerade gezwungen ist, Homeoffice zu betreiben. Demnach ständen wir dann wieder bei der selben Ausgangslage und wir könnten nicht garantieren, dass dieses Netzt infiltriert wird....... Somit hätten wir mehr Aufwand für das gleich Resultat...... So sehe ich das zumindest

 

[highwind01]

Nein, für ein Closed Source Programm bzw. OS ist das der Super Gau. Da bei Linux jeder rein schauen kann gibt es allgemein eine Sicherheit. Es gibt nicht umsonst das Sprichwort 4 Augen sehen mehr als 2. Das ist einer der Gründe warum Linux so sicher ist - alles ist offen und jeder kann den Code einem Audit unterziehen.
Bei MS sieht das halt anders aus. Man muss keine Backdoor einbauen wenn man den Code gesehen hat oder im besten Fall kopiert hat. Da kann man durchaus Schadsoftware schreiben die ein Schwachpunkt angreift.

Nach der "Theorie" wäre Android auch sicherer als iOS...

Realistisch betrachtet ist das System mit der größten Verbreitung das "unsicherste" - nicht weil es per se mehr Sicherheitslücken hat, sondern weil viel mehr Versuche unternommen werden diese aufzudecken.
Mit einer aufgedeckten Sicherheitslücke in 90% der PCs lässt sich potentiell nämlich viel mehr "anfangen", als mit einer aufgedeckten Sicherheitslücke in 10% der PCs.

 

[Enurian]

Wieso sollte das nicht möglich sein?

Na weil man dran arbeiten muss. Die Entwickler sitzen im Home Office, klar muss das übers Netz.
Entscheidender ist, dass nicht jeder Zugriff auf alles hat, die Änderungen überwacht werden und Änderungen nicht von jedem einfach so gemacht werden können.

 

[d0xs]

Also die hatten kein Zugriff auf den Quellcode, der Quellcode soll im Unternehmen für alle Sichtbar sein bzw. irgendwie Open source sein.
Ok, wie konnten die denn dann jetzt für Orion ein fehlerhaftes Update einschleusen?
Irgendwie erschließt sich mir das nicht so ganz.

 

[Goatman]

Aus dem gleichen Grund, wesshalb Atomwerke noch am Netz angeschlossen sind (Quelle Sempervideo )

Okay, jetzt aber Spaß beiseite..... Von der Umsetzung denke ich, dass das deutlich schwieriger ist, als einfach ein "Hey, hier habt ihr euer eignes Netz und hier kann euch nichts passieren".

Die Entwickler brauchen ja auch Anschluss ans Netz, wenn man mal was in einer Dokumentation nachschauen muss oder besonders jetzt gerade gezwungen ist, Homeoffice zu betreiben. Demnach ständen wir dann wieder bei der selben Ausgangslage und wir könnten nicht garantieren, dass dieses Netzt infiltriert wird....... Somit hätten wir mehr Aufwand für das gleich Resultat...... So sehe ich das zumindest

Na weil man dran arbeiten muss. Die Entwickler sitzen im Home Office, klar muss das übers Netz.
Entscheidender ist, dass nicht jeder Zugriff auf alles hat, die Änderungen überwacht werden und Änderungen nicht von jedem einfach so gemacht werden können.

Hallo Ihr beiden, danke für Eure RM, aber ist es nicht so, dass Zugriffe von außen grundsätzlich über spezielle VPNs laufen? Zugriffsrechte sind dadurch doch von vornherein automatisch beschränkt, oder?

 

[bluedxca93]

Dos 2.0 ist doch schon online , warum die Aufregung?

 

[Enurian]

Hallo Ihr beiden, danke für Eure RM, aber ist es nicht so, dass Zugriffe von außen grundsätzlich über spezielle VPNs laufen? Zugriffsrechte sind dadurch doch von vornherein automatisch beschränkt, oder?

Microsoft nutzt git, keine Ahnung wie/wo genau gehostet.
Und ein VPN werden sie natürlich auch haben.

Hier Infos, dass Regierungen schon lange Zugriff haben:
https://blogs.microsoft.com/eupolicy/transparency-center/

Und hier ein Reddit Thread von vor 3 Jahren, wo einige MS-Entwickler ein paar mehr Infos geben, die sehen die Einsicht / einen potenziellen Leak auch nicht so dramatisch:
https://www.reddit.com/r/microsoft/comments/5ustv2/where_does_microsoft_keep_the_source_code_for/

 

[Hakubaku]

Artikel gelesen?

Das war vermutlich eine rhetorische Frage. Die Frage, ob Kundendaten betroffen sind, wird meist mit "Nein" beantwortet. Die Suggestion, dass das wohl nicht der Wahrheit entspricht liegt auf der Hande.
Aber wo macht das jetzt einen Unterschied. Man gibt seine Daten eh überall aus der Hand. Außer bei der Corona App! Da ist Datenschutz unablässlich und diesem Staatstrojaner misstraue ich!
Ups, ich muss schnell zu meinem Sektentreffen - ohne Maske, versteht sich.

 

[Goatman]

Microsoft nutzt git, keine Ahnung wie/wo genau gehostet.
Und ein VPN werden sie natürlich auch haben.

Hier Infos, dass Regierungen schon lange Zugriff haben:
https://blogs.microsoft.com/eupolicy/transparency-center/

Und hier ein Reddit Thread von vor 3 Jahren, wo einige MS-Entwickler ein paar mehr Infos geben, die sehen die Einsicht / einen potenziellen Leak auch nicht so dramatisch:
https://www.reddit.com/r/microsoft/comments/5ustv2/where_does_microsoft_keep_the_source_code_for/

Hey Enurian,

vielen Dank für die Links, sehr interessant, werde ich mir mal durchlesen.

 

[roaddog1337]

Was sonst.

Es war die "Achse des Bösen" aus Russland, Iran, China und Nordkorea.
Zum Glück ist ja Biden bald im Amt, da freuen sich dessen Freunde der Rüstungsindustrie schon das man bald wieder "zuschlagen" kann.

Komisch wenn US Attacken von NSA und Co. kommen regt sich nie jemand auf.

japp, folgende Lektüre kann ich bezüglich USA sehr empfehlen. Spoiler: kein Verschwörungstheoretiker, sondern ein seriöser Friedensforscher hat dieses Buch geschrieben:
Imperium USA

 

[Cool Master]

Nach der "Theorie" wäre Android auch sicherer als iOS...

Kann man nicht vergleichen, weil jeder Hersteller noch seine eigene Sauce dazu gibt und dadurch unweigerlich auch Lücken mit rein haut. Dazu kommt auch bei Android ist nicht alles Open Source. Siehe z.B.:

https://www.howtogeek.com/217593/android-is-open-and-ios-is-closed-but-what-does-that-mean-to-you/

Realistisch betrachtet ist das System mit der größten Verbreitung das "unsicherste" - nicht weil es per se mehr Sicherheitslücken hat, sondern weil viel mehr Versuche unternommen werden diese aufzudecken.

Nein die Verbreitung hat nichts damit zu tun. Das ist und bleibt ein Mythos. Hacker sind, wie alle Programmierer, faul. Warum sollte man z.B. für Linux Malware programmieren wenn man weiß, dass der Großteil der Leute schön apt verwendet und man somit kaum Chancen hat ins System zu kommen? Gleiche gilt für MacOS. Der Großteil der User nutzt nur den App Store und da ist es halt schwer bis unmöglich Malware rain zu bekommen. Wer nutzt den Windows Store exklusiv? Die Zahl dürfte im einstelligen Bereich liegen.

Wenn deine Aussage wahr wäre warum gibt es dann nicht mehr Linux hacks? Du willst ein paar Zahlen bitte:

• In 2019 liefen 100% der Supercomputer mit Linux
• Aus den Top 25 Webseiten der Welt nutzen nur 2 kein Linux
• 96,3% der Weltweiten Server laufen mit Linux
• 90% aller Cloud Dienste laufen mit Linux

Quelle: https://hostingtribunal.com/blog/linux-statistics/

Fakt ist Windows ist und bleibt einfach - sorry - ein Clusterfuck. Evtl. kennst du Barnacules Nerdgasm der ist ehemaliger MS Angestellter und sagt selbst, dass er Bugs entdeckt hat und es kam nur ein "Will not fix" zurück weil mit dem Beheben des Bugs 3 neue ins System kommen würde. Der hat auch noch in seinem Livestream gestern einige coole Details gesagt wie es bei MS abläuft bzw. ablief vor rund 7 Jahre:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Falls es nicht passend startet Microsoft Hack wird ab 02:14:20 angesprochen. Sehr interessant das aus Sicht eines ehemaligen MS Mitarbeiters zu hören.

 

[IHEA1234]

"Achse des Bösen" aus Russland, Iran, China und Nordkorea.

Das IST die Achse des Bösen. Mit der winzigen Abstufung, dass in Russland noch Reste von Freiheit vorhanden sind. Aber China, Nordkorea und Iran sind keine Kuschelprtner, sondern menschenfressende Diktaturen. In diesen Ländern gibt es keine Demokratie, keine individuellen Feiheitsrechte, keine freie Meinungsäußerung. Jedes Medium wird zensiert, überwacht und jeder "Abweichler" wird bestraft. Die Länder rüsten auf und haben auch keine Skrupel, ihre Macht einzusetzen. Die genannten vier Länder schicken Killerkommandos ins Ausland, betreiben Folter und die Schulen sind reinste Gehirnwäsche.

Ich bin immer wieder entsetzt, welche unfassbar naive und beschönigende Meinung man zu diesen Ländern hört. Die haben keine Demokratie und keine individuelle Freiheit (weder Religionsfreiheit noch bei der sexuellen Selbstbestimmung) und werden die nächsten 100 Jahre auch keine haben. Wie gesagt, mit der feinen Abstufung, dass in Russland Reste von Freiheit vorhanden sind.

Die USA mag uns manchmal merkwürdig vorkommen, aber das systematische Bashing der USA im Vergleich zur systematischen Weißwaschung der bösen Vier ist eine komplette Verdrehung der Realität.

In so weit ist die These einer staatlichen Attacke durchaus realistisch.

 

[Cool Master]

Mit der winzigen Abstufung, dass in Russland noch Reste von Freiheit vorhanden sind.

Guter Witz... Wehe du sagst etwas gegen König Putin. Da ist doch auch schon klar wer bei der "Wahl" gewinnt.

 

[gustl87]

Microsoft nutzt demnach intern eine Open-Source-ähnliche Kultur. „Das bedeutet, dass wir uns bei der Produktsicherheit nicht auf die Geheimhaltung des Quellcodes verlassen und unsere Bedrohungsmodelle davon ausgehen, dass Angreifer Kenntnisse vom Quellcode haben“, heißt es in der Mitteilung. Somit sei eine Einsicht in den Quellcode nicht mit einem erhöhten Sicherheitsrisiko verbunden.

Bwahahahaha entweder es ist Open-Source oder nicht. Ein "Open-Source-ähnlich" gibt es nicht und was das mit Kultur zu tun haben soll ist auch schleierhaft.

Doch, es gibt ganz klar ein erhöhtes Sicherheitsrisiko und zwar weil jetzt Leute außerhalb von Microsoft im Code Bugs suchen und dann ausnützen können. Das konnten sie vorher nicht. Da konnten sie nur in den Binarys nach Bugs suchen was deutlich schwieriger ist.

 

[Helge01]

Dann wäre Linux ein Super-Gau... Der Super-Gau wären Änderungen, die man nicht findet.

Wieso? Linux ist quelloffen, dadurch mussten sich die Entwickler schon immer etwas mehr Mühe beim Programmieren geben, da von jedem einsehbar. Unter Windows wird man das nicht so genau nehmen, da durch Closed Source Sicherheitslücken und Backdoors nicht in dem Umfang auffallen würden. Das sieht natürlich anders aus, wenn man an den Quelltext ran kommt und ihn mal ordentlich untersucht.

 

[screwdriver0815]

Liest echt keiner erst mal den/die Artikel zum Thema und kommentiert erst dann?

habe ich.
Mein Fazit nach dem Lesen: alles was man in letzter Zeit von Microsoft sieht und hört, ist einfach nur noch ein Trauerspiel. Dass dieser Laden überhaupt noch existiert und im Gegenteil sogar noch auf Wachstumskurs ist, spricht Bände über diese Welt.

 

[Cool Master]

Ein "Open-Source-ähnlich" gibt es nicht und was das mit Kultur zu tun haben soll ist auch schleierhaft.

Klar gibt es das. Android ist das perfekte Beispiel für "Open Source Ähnlich". Siehe mein Link aus #71.

Die Kultur ist auch leicht zu erklären. Es gibt gewisse Unternehmen die sagen bei uns kommt kein Open Source ins Netzwerk! Daimler ist so ein Beispiel. Keine Ahnung ob es noch so ist aber da war lange kein Firefox erlaubt weil der "unsicher" ist, da er Open Source ist. Frag mich wie man darauf kommt aber das ist bzw. war halt die Unternehmenskultur. Dann gibt es andere die sagen es kommt nur Open Source auf die Rechner. Die sind genau so schlimm wie die Verweigerer. Zuletzt gibt es das Mittelmaß wie es bei MS wohl ist wo einige Systeme OSS sind und andere nicht.

 

[gustl87]

Dann besagt also eine "Open-Source-ähnliche Kultur" nur, dass Microsoft auch Open-Source im Unternehmen verwendet. Toll, ja machen sie an vielen Stellen, ist bekannt, auch in Windows ist viel Open-Source dabei.

Das begründet aber nicht, wieso bei einem Quellcodezugriff kein erhöhtes Risiko bestehen sollte. Die haben da nämlich auch nicht Open-Source Teile und um deren Quellcode geht es. Darin können jetzt Dritte Fehler suchen und ausnützen.
Dieses Aussage von Microsoft ist reine Beschwichtigung und Ablenkung für Leute die eben solche Aussagen glauben und nicht verstanden haben wo das Problem liegt.

 

[KitKat::new()]

Linux ist quelloffen, dadurch mussten sich die Entwickler schon immer etwas mehr Mühe beim Programmieren geben, da von jedem einsehbar. Unter Windows wird man das nicht so genau nehmen, da durch Closed Source Sicherheitslücken und Backdoors nicht in dem Umfang auffallen würden.

Ich glaube eher, dass man dort mehr Wert auf gute Programmierung legt: Immerhin spart Microsoft dadurch Geld, denn jeder weiß: Technische Schulden holen dich irgendwann ein.

 

[DiePesto]

japp, folgende Lektüre kann ich bezüglich USA sehr empfehlen. Spoiler: kein Verschwörungstheoretiker, sondern ein seriöser Friedensforscher hat dieses Buch geschrieben:
Imperium USA

Ein bisschen Einlesen zu seiner Person gibt da einen gegenteiligen Eindruck. Mal ganz davon abgesehen, dass seine Buchtitel reißerischer nicht sein könnten, sieht sachliche, neutrale Auseinandersetzung mit solchen Themen anders aus. Absolut nicht seriös.