News SolarWinds-Attacke: Angreifer hatten Zugang zu Microsofts Quellcode

[Monstranz]

entfernt

Wenn es so ist, ist es ein Super-Gau. Alle Updates werden zur Lotterie wenn Fehler-Luecken im Quellcode weiter gegeben werden. Die Mittel fuer diese aus zu nutzen liegen ja dann schon parat. Aber was solls, die NSA hat eh einen direkten Zugriff (dumme hiesige Industrie). Das die Russen meine Daten haben, wissen geht mir am Arsch vorbei, wobei das bei unserer Regierung und der Eu mir nicht egal ist.

 

[Enurian]

Wenn es so ist, ist es ein Super-Gau. Alle Updates werden zur Lotterie wenn Fehler-Luecken im Quellcode weiter gegeben werden. Die Mittel fuer diese aus zu nutzen liegen ja dann schon parat.

Nein ist es nicht, egal wie oft du das wiederholst.
Was hat das zudem mit Updates zu tun? Updates ändern erstmal gar nichts. Wenn sie dann "zufällig" eine potentiell gefundene Lücke schließen, ist das nur positiv. Also Updates sind da alles andere als schlecht.

 

[Monstranz]

Entfernt

Wenn im Quellcode, der eingesehen werden konnte Fehler sind die MS nicht findet, weiss und dann. MS sagt es ist alles gut und gibt eine Garantie. Das ist der Gau.
Hoffentlich gibt es in Zukunft optimale DX Kompatinbilitaet fuer Spiele unter Linux.

 

[master030]

Quellcode von was eigentlich? Office, Word, Paint?

Windows Vista

 

[Monstranz]

Windows Vista

Der des Kernels ist schon brisant. Ring 0 Module, oh je.

 

[Enteignet]

Da von dem Hack doch grundsätzlich mehr als 18.000 Kunden betroffen sind, würde ich mal behaupten, dass Microsoft eine der Firmen ist, wo man sich wahrscheinlich weniger Gedanken machen muss. Auch wenn das natürlich schon ziemlich kass ist, dass sie Quelltext-Zugang hatten, ist das doch schon mal ein gutes Zeichen, dass MS das überhaupt erkannt hat.

Aber ich glaube, dass in der Liste der Firmen sicherlich die ein oder andere dabei ist, die sicherlich, zum einen gar nicht so das Augenmerk auf IT-Sicherheit legt und zum anderen sicherlich brisantere und interessante Daten hat. Oder auch so Firmen Cisco, die ebenfalls betroffen sind, halte ich für sehr brisant, denn eine mögliche Manipulation am Netzwerkequipment bietet doch sicherlich auch sehr gute Chacnen für weitere Angriffe.

Ich glaube, dass wir gerade erst an der Spitze des Eisberges sind und da sicher noch einige solcher Meldungen kommen werden.

Und dann ist natürlich immer noch die Frage wer es denn tatsächlich war und was das Ziel des Angriffs ist.

 

[Monstranz]

Entfernt

Wer es war und was das Ziel eines solchen Angriffes ist, interessiert nicht die Bohne bei garantet bei MS. Nicht die Kunden, Firmen haben ein Problem in erster Linie, sondern MS und nur MS erstmal alleine. Die haften in Zukunft fuer alles was auf diese Attacke zurueck zu fuehren ist, auch in der EU. Das wird ein Fest fuer Anwaelte, wenn das Kreise zieht.
Was Cisco betrifft, die sind auch unter dem Patriotact und haben sich nicht mit Ruhm beckleckert in der Vergangenheit. Ebenso ander US-Firmen was Backdoors betrifft. Welche eigentlich von der Presse hierzulande eher schmeichelhaft behandelt wurden. Ich wuensche mir eine saubere IT Infrastruktur ohne US Backdoors (die auch von anderen aus genutzt wird). Die IT welche die NSA beruecksichtigt, wie hiesige Geheimdienste auch ist nicht vertrauenswuerdig.

 

[Klassikfan]

Zugang zum Quellcode, das ist der Super-Gau.

Nö. Das nennt sich "Open Source" und gilt sogar als besonders sicher.

 

[D_S]

Eigentlich dachte ich es wäre hinlänglich bekannt, aber Windows ist zwar prinzipell Closed Source aber alles andere als geheim. Es gibt weltweit tausende von Menschen, die jederzeit Einblick haben in den Source Code. Das System wird von Microsoft "Shared Source" genannt und gilt in der Regel für Regierungen und zahlende Firmen und das schon seit Anfang der 2000er Jahre.
Und dass der Windows Source Code mal geleakt wird ist auch schon mindestens einmal vorgekommen, ebenfalls Anfang der 2000er. Damals war es der Source Code von Windows 2000. Den konnte man danach auch recht einfach über peer to peer Netzwerke runterladen und jeder der nur ein wenig Interesse daran hatte wird den auch haben.
Steht aber auch im Artikel, dass Microsoft den "Diebstahl" von Source Code nicht als kritisch ansieht und der Angreifer wird einen so komplexen Angreif nicht gemacht haben um Source Code zu klauen. Das Ziel wird eher eine andere Art von Spionage oder System-Manipulation gewesen sein.

 

[Nordm4nn]

Bei Wikipedia ist der Angriff auch nach zulesen. Interessant finde ich folgendes:

"Der Sicherheitsforscher Vinoth Kumar erklärte, er habe SolarWinds schon im Jahr 2019 vor dem sehr schwachen Passwort „solarwinds123“ auf einem Update-Server gewarnt. Das FTP-Passwort war auf Github in ein öffentliches Repository eingecheckt.[5] Solarwinds brachte Kunden dazu, Teile seiner Software von der Überwachung durch Virenschutzprogramme mittels Whitelisting auszunehmen"

hier noch ein paar kunden

"Acxiom, Ameritrade, AT&T, Bellsouth Telecommunications, Best Western Intl., Blue Cross Blue Shield, Booz Allen Hamilton, Boston Consulting, Cable & Wireless, Cablecom Media AG, Cablevision, CBS, Charter Communications, Cisco, CitiFinancial, City of Nashville, City of Tampa, Clemson University, Comcast Cable, Credit Suisse, Dow Chemical, EMC Corporation, Ericsson, Ernst and Young, Faurecia, Federal Express, Federal Reserve Bank, Fibercloud, Fiserv, Ford Motor Company, Foundstone, Gartner, Gates Foundation, General Dynamics, Gillette Deutschland GmbH, GTE, H&R; Block, Harvard University, Hertz Corporation, ING Direct, IntelSat, J.D. Byrider, Johns Hopkins University, Kennedy Space Center, Kodak, Korea Telecom, Leggett and Platt, Level 3 Communications, Liz Claiborne, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, National Park Service, NCR, NEC, Nestle, New York Power Authority, New York Times, Nielsen Media Research, Nortel, Perot Systems Japan, Phillips Petroleum, Pricewaterhouse Coopers, Procter & Gamble, Sabre, Saks, San Francisco Intl. Airport, Siemens, Smart City Networks, Smith Barney, Smithsonian Institute, Sparkasse Hagen, Sprint, St. John’s University, Staples, Subaru, Supervalu, Swisscom AG, Symantec, Telecom Italia, Telenor, Texaco, The CDC, The Economist, Time Warner Cable, U.S. Air Force, University of Alaska, University of Kansas, University of Oklahoma, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, Volvo, Williams Communications, Yahoo"

kann auf jeden Fall interessant werden was da so rauskommt.

 

[Bright0001]

Microsoft nutzt demnach intern eine Open-Source-ähnliche Kultur. „Das bedeutet, dass wir uns bei der Produktsicherheit nicht auf die Geheimhaltung des Quellcodes verlassen und unsere Bedrohungsmodelle davon ausgehen, dass Angreifer Kenntnisse vom Quellcode haben“, heißt es in der Mitteilung. Somit sei eine Einsicht in den Quellcode nicht mit einem erhöhten Sicherheitsrisiko verbunden.

Dieser Absatz ist mMn einer der Wichtigsten im ganzen Artikel. (Wenn man es weiter als zu Überschrift geschafft hat )

Die können den Code auch durch nen Buchstabentanz lesen und einchecken - was bei den Firmen intern gelebt wird, hat nichts mit der Außenwelt zu tun. Wenn der Code nicht öffentlich ist, ist er nicht öffentlich, so stumpf es klingt.

security through obscurity wird schon lang nicht mehr gelebt.

Auf gut Deutsch: Reverse Engineering für Leute mit Schadensabsicht weniger ein Problem, für Leute die den Code auf Sicherheit untersuchen wollen trotzdem ein (ggf. sogar illegales) Hindernis.

Nö. Das nennt sich "Open Source" und gilt sogar als besonders sicher.

Wenn nur Interne und Hacker Zugang zum Code haben, dann ist das noch lange kein Open Source.

wird von Microsoft "Shared Source" genannt

Wenn er öffentlich genug ist, dass ihn jeder auf Sicherheit überprüfen könnte, dann könnte man ihn auch direkt öffnen. Wenn er es nicht ist, dann braucht es auch keine besonderen Begriffe.

Das Russlands seine politischen Feinde vergiftet ist ja auch nur ein Hirngespenst. Und sowas wie Software Spionage wäre Russland natürlich überhaupt nicht zuzutrauen lol

Ich will mich hiermit auf keine Seite schlagen, aber finde es dennoch recht überraschend, dass Russland genau das Gift benutzt, mit dem man alles auf Russland zurückverfolgen kann - ohne dass es überhaupt "ordentlich" wirkt.

Genauso die Hackerangriffe: Alle zwar smart genug um Regierungsbehörden auf der ganzen Welt zu hacken, aber keiner auf die Idee gekommen nen VPN am Rand der Welt zu nutzen?

Mag sein dass Russland das alles getan hat, aber auf der einen Seite den mächtigen James-Bond Bösewicht aus Ivan porträtieren, gleichzeitig durch solchen Dilettantismus sofort den Schuldigen haben? Passt für mich eher semi.

Ihr verkennt, das diese Attacke auch politische Brisanz ohne Ende besitzt.
[...] Wahlcomputer [...]

Alleine beim Wort "Wahlcomputer" sollten bei allen die Alarmglocken angehen, das Thema (leider) wahrscheinlich nur das erste Beispiel, weshalb.

Nicht einmal die Ossis in der Sowjetischen Besatzungszone hatten in der Realität ein "gutes Verhältnis" zu den Russen.

Ich glaub selbst die meisten Russen hatten ein höchstens mittelprächtiges Verhältnis zur UDSSR.

würde ich mal behaupten, dass Microsoft eine der Firmen ist, wo man sich wahrscheinlich weniger Gedanken machen muss.

Ich hab zwar das gleiche Gefühl wie du, glaub aber auch, dass man den "Großen" zu viel zutraut.

Sry aber lebst du hinterm Mond?
als das mit der NSA aufgedeckt wurde war es ein Riesen Skandal der Monate bis Jahre durch die Medien ging

Und jetzt sag du uns, was sich in Konsequenz darauf geändert hat, außer dass Informanten, die die Welt davor gewarnt hatten, gesucht oder verhaftet sind? Die Reaktionen aller (und vor allem der EU) haben die Welt ein Stückchen schlechter gemacht, nicht besser.

 

[aid0nex]

Schade, dass das Thema außerhalb von Technik Seiten kaum repräsentiert ist. StaatsHack, 123 Passwörter bei Update Servern, exploits ohne Ende, Betroffene Firmen ohne Ende, lange Verheimlichung, MS Quellcode eingesehen, am Schluss sogar noch insiderhandel... Eigentlich große Nachrichten wert!

 

[KitKat::new()]

Wenn er öffentlich genug ist, dass ihn jeder auf Sicherheit überprüfen könnte, dann könnte man ihn auch direkt öffnen. Wenn er es nicht ist, dann braucht es auch keine besonderen Begriffe.

Warum nicht?
Der Begriff füllt eine Lücke.

 

[Faust II]

Was haben die denn für Server? Windows Server? 😂😂😄

 

[HeinMueck]

Mich wundert es immer wieder, was wären wir ihnen die bösen Russen oder Chinesen, müssen ja für alles herhalten. Wie gut, dass solche Behauptungen immer von den guten, der USA kommen.

Und mich wundert, dass es mittlerweile systemisch ist, dass Leute, die "kritisch denken", einfach alles, was durch unsere oder verbündete Regierungen und Medien verkündet wird, ins Gegenteil verkehren und dann meinen, das müsse der Wahrheit eher entsprechen (mehr Indizien werden von entsprechenden Leuten nicht geboten, mal abgesehen vielleicht von irgendwelchen komischen Youtube Videos). Dabei nimmt man natürlich gern in Kauf, sich mit Autokratien gemein zu machen. Das Ganze hat so einen Anschein von spätrömischer Dekadenz.

 

[MC´s]

Naja, so ist es halt heutzutage in der digitalen Welt. Rechner aus und raus gehen.

 

[thuering]

Identifizieren, ausfindig machen und ausschalten (lassen). So würde ich das an MS Stelle machen.

 

[Tulol]

Ein Großteil der US-Regierung machte vor Weihnachten Russland für den Angriff verantwortlich, die russische Regierung bestreitet das.

Das ist jetzt aber mal eine Überraschung!

Welche Regierung dieses Planeten hat sich denn jemals zu einer Geheimdienstaktion offiziell bekannt?!

Ich will das jetzt nicht runterspielen, aber solche Attacken sind eher die Regel denn die Ausnahme.
Mich wundert mal wieder das dies so breitgetreten wird. Ist Covid19 nicht mehr ausreichend für Clicks?

 

[Haldi]

ich frage mich aber auch wie kann man so fahrlässig sein und den Quellcode ins Netz so zugänglich stellen ?! Firmeninterner und Geheimnisse sollte man von außen nie ansteuern können.Das weiß jede IT Laie.Und falls man darauf zugreifen muss dann nur Zeitlich begrenzt.

Eigentlich dachte ich es wäre hinlänglich bekannt, aber Windows ist zwar prinzipell Closed Source aber alles andere als geheim. Es gibt weltweit tausende von Menschen, die jederzeit Einblick haben in den Source Code. Das System wird von Microsoft "Shared Source" genannt und gilt in der Regel für Regierungen und zahlende Firmen und das schon seit Anfang der 2000er Jahre

Danke! Mir war doch was das gewisse Microsoft Partner schon längst auf den Source Code Zugriff hatten.
Also so schlimm kann es nicht sein wenn jemand unbefugtes den sieht.

 

[Goatman]

Also manchmal verstehe ich das alles nicht. Warum werden Entwicklungsbereiche von Unternehmen nicht einfach vom Rest der Welt abgekoppelt?

Es könnte doch so einfach sein, man baut 2 Netzwerke auf, einmal für den Entwicklungsbereich und das zweite für alles andere. Okay, klar, ich bin (leider) kein Fachexperte und kenne mich absolut nicht mit Netzwerk-/Software-Infrastrukturen aus, aber soviel Verstand habe ich mMn, dass sowas doch einfach möglich wäre ! Wieso sollte das nicht möglich sein? Verstehe ich echt nicht

€dith: das gleiche ja auch bei Angriffen zb auf die Regierung oder Geheimdienste (kann mich gerade nicht mehr ganz erinnern, wer da in letzter Zeit alles von außen mit Hacks bombadiert wurde), wieso müssen immer alle Unternehmensbereiche mit der Außenwelt komplett vernetzt sein?

Wenn Bereiche abgekoppelt sind, können sie auch nicht gehackt werden.