Zur Zeit muss ich stark annehmen, dass das Windows 7, was es offiziell ab Donnerstag (den 22.10.) für Endbenutzer zu kaufen geben wird, von der Ferne aus abgeschossen werden kann, wenn ich SMB2 anhabe und an den Port rankomme.
Das BSI bewertet das Problem als "hohes" Risiko (Die 4. von 5 Stufen.): https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201 Die haben sicher Microsoft schon Tage vor der Meldung informiert. Mit einer gewissen Wahrscheinlichkeit kann aus einem solche "Abschiessen" auch ein Ausführen von Quelltext aus der Ferne werden.
Schon vor einigen Tagen gab es starke Hinweise, dass Microsoft auch intern bekannte Lücken erstmal nicht so schnell erledigt. (Die dortgenannte Lücke ist auch in SMB2, aber eine _völlig andere_: http://www.heise.de/security/meldung/SMB2-Luecke-offenbar-schon-laenger-bei-...)
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt. Das sollten die potentiellen Kunden doch wissen, bevor sie zur Packung greifen, oder?
(Hier zeigt sich auch eine allgemeine Schwäche der unfreien Software: Zu wenig Transparenz und Möglichkeiten das selbst nachzuprüfen. Natürlich ist Freie Software nicht einfach magisch sicherer.)
Die FSFE hat dazu gerade eine Pressemitteilung herausgegeben: http://fsfe.org/news/2009/news-20091019-01.de.html
Bisher haben die Medien das noch nicht größer aufgegriffen, vielleicht wird diese Art des Aussitzens von IT-Sicherheitsmeldungen - selbst bei einem neuen Produkt - auch als völlig normal begriffen. Wo ist die Stellungnahme von Microsoft zu der BSI-Meldung? Werden die Medien Windows 7 loben, oder auch gleich warnen?
Gruß, Bernhard
Bernhard Reiter reiter@fsfeurope.org schrieb:
Die FSFE hat dazu gerade eine Pressemitteilung herausgegeben: http://fsfe.org/news/2009/news-20091019-01.de.html
Bisher haben die Medien das noch nicht größer aufgegriffen, vielleicht wird diese Art des Aussitzens von IT-Sicherheitsmeldungen - selbst bei einem neuen Produkt - auch als völlig normal begriffen. Wo ist die Stellungnahme von Microsoft zu der BSI-Meldung? Werden die Medien Windows 7 loben, oder auch gleich warnen?
Mal eine naive, aber ernst gemeinte Gegenfrage: Wieso sollten es die Medien aufgreifen?
Werden FSFE-Pressemitteilungen regelmäßig von den Medien gesichtet? Werden BSI-Meldungen regelmäßig gesichtet? Existiert überhaupt ein allgemeines Medien-Interesse daran?
Versteht mich nicht falsch: Auch ich bin dafür, dass sich die Nachricht wie ein Lauffeuer verbreitet, mindestens genauso schnell wie die VZ-Pannen. Aber passiert das "von allein"?
Immerhin geht es hier "nur" um einen Denial-of-Service, nicht um ein Daten-Leck oder sowas. Und selbst wenn jemand in einem Proof-of-Concept zeigt, dass die Sicherheitslücke tiefer ausgenutzt wird, dann wird das schnell zu einer Meldung über den "bösen Hacker" statt über die Ignoranz des Software-Herstellers.
Hier ist ganz klar Lobbyarbeit gefragt (im positiven Sinne). Ich habe keine Ahnung, wie man das anstellt, doch in der FSFE, dem CCC oder ähnlichen Organisationen wird doch irgendwo das notwendige Wissen vorhanden sein, oder?
Sich hinzustellen und lauthals zu beschweren, dass sich "keiner dafür interessiert" - das ist _keine_ Erfolgs-Strategie, soweit ich weiß.
Gruß,
Volker
Am Dienstag, 20. Oktober 2009 13:46:18 schrieb Volker Grabsch:
Bernhard Reiter reiter@fsfeurope.org schrieb:
Die FSFE hat dazu gerade eine Pressemitteilung herausgegeben: http://fsfe.org/news/2009/news-20091019-01.de.html
Bisher haben die Medien das noch nicht größer aufgegriffen, vielleicht wird diese Art des Aussitzens von IT-Sicherheitsmeldungen - selbst bei einem neuen Produkt - auch als völlig normal begriffen. Wo ist die Stellungnahme von Microsoft zu der BSI-Meldung? Werden die Medien Windows 7 loben, oder auch gleich warnen?
Mal eine naive, aber ernst gemeinte Gegenfrage: Wieso sollten es die Medien aufgreifen?
Werden FSFE-Pressemitteilungen regelmäßig von den Medien gesichtet? Werden BSI-Meldungen regelmäßig gesichtet? Existiert überhaupt ein allgemeines Medien-Interesse daran?
Ja, wir haben auf viele Pressemitteilungen schon ein viel stärkeres Echo gesehen und zu dem Thema selbst auch. Ich bin halt überrascht, dass es etwas dauert und wohl nicht so heisst ist. Hier handelt es sich um das nächste Modell einer Software, welche sehr viele Computer-Nutzer verwenden (müssen).
Versteht mich nicht falsch: Auch ich bin dafür, dass sich die Nachricht wie ein Lauffeuer verbreitet, mindestens genauso schnell wie die VZ-Pannen. Aber passiert das "von allein"?
Nein, von Allein geschieht das nicht. Deshalb machen wir von der FSFE ja Pressearbeit, z.B. tragen wir die Quellen zusammen, übersetzen die BSI-Meldung und schrieben eine Pressemitteilung. (Okay, die haben wir schnell hergestellt, das geht sicherlich im Detail auch besser.)
Immerhin geht es hier "nur" um einen Denial-of-Service, nicht um ein Daten-Leck oder sowas. Und selbst wenn jemand in einem Proof-of-Concept zeigt, dass die Sicherheitslücke tiefer ausgenutzt wird, dann wird das schnell zu einer Meldung über den "bösen Hacker" statt über die Ignoranz des Software-Herstellers.
Hier ist ganz klar Lobbyarbeit gefragt (im positiven Sinne). Ich habe keine Ahnung, wie man das anstellt, doch in der FSFE, dem CCC oder ähnlichen Organisationen wird doch irgendwo das notwendige Wissen vorhanden sein, oder?
Na klar, klären wir über solche Dinge auf und erreichen damit ja auch was.
Sich hinzustellen und lauthals zu beschweren, dass sich "keiner dafür interessiert" - das ist _keine_ Erfolgs-Strategie, soweit ich weiß.
So möchte ich meine Email auch nicht verstanden wissen. Mir geht es einmal um eine Analyse, damit ich besser verstehen, warum das manche nicht interessiert. Das ist der Fragenanteil in meiner Email. Dann möchte ich Euch drauf aufmerksam machen, dass ich das für unterbewertet hielte. Und ich habe das Problem hier auf Deutsch noch etwas anders beschrieben, vielleicht trifft das den Kern auch besser.
Mittlerweile kommen nach dem http://pressetext.de/news/091020004/fsfe-sicherheits-kritik-an-windows-7/ auch weitere Meldungen zum Thema heraus, es wird also doch gelesen, z.B.:
http://www.pcwelt.de/specials/windows_7/news/2104758/sicherheits_kritik_an_w... http://www.pro-linux.de/news/2009/14842.html
Gruß, Bernhard
Hallo,
On Tue, 20 Oct 2009 15:08:56 +0200 Bernhard Reiter reiter@fsfeurope.org wrote:
Mittlerweile kommen nach dem http://pressetext.de/news/091020004/fsfe-sicherheits-kritik-an-windows-7/ auch weitere Meldungen zum Thema heraus, es wird also doch gelesen, z.B.:
http://www.pcwelt.de/specials/windows_7/news/2104758/sicherheits_kritik_an_w... http://www.pro-linux.de/news/2009/14842.html
Leider ist es so, wie auch gerade in den Kommentaren zu der Meldung auf pro-linux.de ersichtlich ist, dass die Pressemitteilung beim oberflächlichen lesen als reines Windows-Bashing missverstanden wird.
Das sieht man auch an den Überschriften zu den Meldungen:
"FSFE kritisiert Windows-Sicherheit" "Sicherheits-Kritik an Windows 7"
Dadurch entsteht der Eindruck, die FSFE hätte technisch etwas an Windows 7 auszusetzen. (das habe ich persönlich auch, aber das spielt in diesem Fall keine Rolle). Dass das Problem darin begründet ist, dass Windows proprietäre Software ist und die aktuelle SMB2-Lücke eigentlich nur ein Aufhänger wird zu wenig heraus gestellt. Die eigentliche Botschaft kommt zu kurz. Besser wären Überschriften gewesen wie
"FSFE kritisiert Abhängigkeit von unfreier Software wie Windows 7" (etwas holprig, aber trifft den Sinn besser).
Gruß,
Henry
Hallo Henry,
erstmal danke für die Rückmeldung: Es hilft uns mehrer Einschätzungen zu haben. Ich persönlich hatte es nicht so stark aus den Pro-linux Kommentaren herausgelesen, dass es nur Draufschlagen sei. Vi
On Tuesday 20 October 2009, Henry Jensen wrote:
Dadurch entsteht der Eindruck, die FSFE hätte technisch etwas an Windows 7 auszusetzen. (das habe ich persönlich auch, aber das spielt in diesem Fall keine Rolle). Dass das Problem darin begründet ist, dass Windows proprietäre Software ist und die aktuelle SMB2-Lücke eigentlich nur ein Aufhänger wird zu wenig heraus gestellt. Die eigentliche Botschaft kommt zu kurz.
Die Meldung geht sicherlich etwas besser, vermutlich hätten wir ohne den Aufhänger noch weniger Presse bekommen. Was Vielen beim flüchtigen Lesen nicht klar wird: Es handelt sich um eine _andere_ SMB2 Lücke, als die bereits verbesserte und bei Heise behandelte.
Den Aufhänger halte ich weiterhin für gut, weil das Dingen Donnerstag "im Laden steht" und diese Lücke einfach nirgendwo bekannt war, schon gar nicht in anderen Teilen der Welt. Es ist auch eine Besonderheit, dass vermutlich in Kenntnis des Problems der Hersteller die Kästen verkaufen möchte. Im Gegensatz zu vielen Sicherheitsproblemen, welche es bei jeder Software im wieder, ist der neue Verkaufsstart eine andere Art von Ereignis.
Besser wären Überschriften gewesen wie
"FSFE kritisiert Abhängigkeit von unfreier Software wie Windows 7" (etwas holprig, aber trifft den Sinn besser).
Unsere Schwester, die FSF hatte schon in das Horn gestossen. Aus meiner persönlichen Sicht nicht ganz optimal, weil die Kampagne weltweit lief, aber einen US-Stil hatte und mit windows7sins mir auch zu religös und negativ um die Ecke kam. Ich bin mir recht sicher, dass darauf noch weniger Reaktion gekommen wäre. Ich vermute auch, dass die FSF in Deutschland mehr vermeldet wird, also die FSFE, weil die FSF hier mit dem US-Stil einfach krasser rüber kommt. :)
Gruß, Bernhard
Hallo,
es gibt nun eine erste Reaktion auf die FSFE-Meldung:
http://derstandard.at/1254312007572/Update-Probleme-auch-bei-Open-Source
"FSFE-Kritik zu Windows 7 aus Expertensicht überzogen" steht dort und zitiert "IT-Security-Consultant" Thomas Mandl.
Dabei dürfte es sich um diesen Herrn handeln: http://www.uni-hildesheim.de/~mandl/
Gruß,
Henry
Henry Jensen hjensen@gmx.de schrieb:
es gibt nun eine erste Reaktion auf die FSFE-Meldung:
http://derstandard.at/1254312007572/Update-Probleme-auch-bei-Open-Source
"Dass sich Microsoft im Vergleich zu anderen Software-Anbietern besonders nachlässig verhalte, glaubt er nicht."
Das ist ein wichtiger Punkt, denn Microsoft hat in den letzten Jahren, auch durch Lobby-Arbeit, an seinem Image bzgl. Umgang mit Sicherheits-Schwachstellen stark verbessert. Ob dieses neue Image so gerechtfertigt ist, sei mal dahingestellt, aber zumindest geistert es in vielen Köpfen der IT-Welt herum.
Für die FSFE bedeutet das, dass Pressemitteilungen, die in diese Kerbe schlagen, stets ein paar Quellenangaben mitliefern sollten. Das könnte in Zukunft verhindern, dass Pressemittelungen wie im obigen Artikel pauschal als Microsoft-Bashing abgetan werden.
Es gibt zum Beispiel gruselige Bugs, die erst Jahre später beseitigt wurden, wenn überhaupt. Und es gibt ein sensationelles Interview mit Gates, in dem er behauptet, Windows sei exakt so sicher, wie es die Anwender haben wollen - eine Verharmlosungs-Taktik, die noch _vor_ dem Aufpolieren des Images geschah. (Vielleicht war es sogar der auslösende PR-Patzer dafür.)
Leider habe ich die Quellen auch nicht parat, aber eventuell sollte die FSFE ein paar davon sammeln und vorrätig halten, damit sie sie in zukünftigen, kurzfristigen Pressemitteilungen gleich parat liegen hat.
Gruß,
Volker
* Volker Grabsch:
Es gibt zum Beispiel gruselige Bugs, die erst Jahre später beseitigt wurden, wenn überhaupt. Und es gibt ein sensationelles Interview mit Gates, in dem er behauptet, Windows sei exakt so sicher, wie es die Anwender haben wollen - eine Verharmlosungs-Taktik, die noch _vor_ dem Aufpolieren des Images geschah. (Vielleicht war es sogar der auslösende PR-Patzer dafür.)
Sie haben ihre Quasi-Monopolstellung ausgenutzt, um Sicherheitsfeatures durchzudrücken, die niemand haben wollte (UAE und Kernel-Treiber-Signaturen). Die (nicht vollständig erfolgreichen) Projekte zum Aufräumen der eigenen Code-Basis konnten sie sich wohl auch nur leisten, weil sie obszöne Gewinne einfuhren.
Auf der anderen Seite hatten sie vor zwei Jahren noch erhebliche strukturelle Defizite als Organisation, die den Einbau von bekannt unsicherer Funktionalität gestattete (d.h. nicht Flüchtigkeitsfehler). Naturgemäß kann man erst mit einiger Verzögerung erkennen, ob Verbesserungen eingetreten sind, und von außen bekommt man nur die Rückschläge mit.
Am Mittwoch, 21. Oktober 2009 15:14:13 schrieb Volker Grabsch:
Henry Jensen hjensen@gmx.de schrieb:
es gibt nun eine erste Reaktion auf die FSFE-Meldung:
http://derstandard.at/1254312007572/Update-Probleme-auch-bei-Open-Source
"Dass sich Microsoft im Vergleich zu anderen Software-Anbietern besonders nachlässig verhalte, glaubt er nicht."
(Ich zweifele, dass es sich um Herrn Mandl http://www.uni-hildesheim.de/~mandl/ handelt, dort steht nichts prominentes über das Thema Sicherheit.)
Das ist ein wichtiger Punkt, denn Microsoft hat in den letzten Jahren, auch durch Lobby-Arbeit, an seinem Image bzgl. Umgang mit Sicherheits-Schwachstellen stark verbessert. Ob dieses neue Image so gerechtfertigt ist, sei mal dahingestellt, aber zumindest geistert es in vielen Köpfen der IT-Welt herum.
Ja, unsere Pressemitteilung enthält zwei deutliche Beispiele, welche für einen besonders nachlässiges Verhalten sprechen. Vermutlich hätten wir das noch besser herausarbeiten müssen.
Für die FSFE bedeutet das, dass Pressemitteilungen, die in diese Kerbe schlagen, stets ein paar Quellenangaben mitliefern sollten. Das könnte in Zukunft verhindern, dass Pressemittelungen wie im obigen Artikel pauschal als Microsoft-Bashing abgetan werden.
Darüber hatte ich nachgedacht - es aber als zu verwirrend empfunden und wenig neu. Recht gut für die Vorgeschichte bis 2007 ist übrigens: http://www.dwheeler.com/oss_fs_why.html#security
Gruß, Bernhard
Bernhard Reiter reiter@fsfeurope.org schrieb:
Am Mittwoch, 21. Oktober 2009 15:14:13 schrieb Volker Grabsch:
Henry Jensen hjensen@gmx.de schrieb:
es gibt nun eine erste Reaktion auf die FSFE-Meldung:
http://derstandard.at/1254312007572/Update-Probleme-auch-bei-Open-Source
"Dass sich Microsoft im Vergleich zu anderen Software-Anbietern besonders nachlässig verhalte, glaubt er nicht."
Das ist ein wichtiger Punkt, denn Microsoft hat in den letzten Jahren, auch durch Lobby-Arbeit, an seinem Image bzgl. Umgang mit Sicherheits-Schwachstellen stark verbessert. Ob dieses neue Image so gerechtfertigt ist, sei mal dahingestellt, aber zumindest geistert es in vielen Köpfen der IT-Welt herum.
Ja, unsere Pressemitteilung enthält zwei deutliche Beispiele, welche für einen besonders nachlässiges Verhalten sprechen. Vermutlich hätten wir das noch besser herausarbeiten müssen.
Ja, wahrscheinlich.
Für die FSFE bedeutet das, dass Pressemitteilungen, die in diese Kerbe schlagen, stets ein paar Quellenangaben mitliefern sollten. Das könnte in Zukunft verhindern, dass Pressemittelungen wie im obigen Artikel pauschal als Microsoft-Bashing abgetan werden.
Darüber hatte ich nachgedacht - es aber als zu verwirrend empfunden und wenig neu. Recht gut für die Vorgeschichte bis 2007 ist übrigens: http://www.dwheeler.com/oss_fs_why.html#security
Das geht in die richtige Richtung, ist aber nicht das, was ich meinte. Die Webseite zeigt auf, inwiefern Microsoft-Produkte von Sicherheitslücken betroffen sind, aber nicht, wie Microsoft damit umgeht. Das geht dort etwas unter, und wird eher indirekt erwähnt.
Natürlich ist es wichtig, Sicherheitsprobleme von vornherein zu vermeiden. Aber für die Pressemitteilung ist gerade die andere Seite der Medaille wichtig: Wenn ein Problem bekannt geworden ist, wie ging Microsoft in den letzten Jahren damit um?
Wie schnell warnten sie ihre Nutzer, wie wahrheitsgetreu/aufrichtig waren ihre Pressemitteilungen, wie schnell wurde Abhilfe bereit gestellt, etc.?
Gibt es zu diesem Aspekt gute Quellen? Wenn ja, hätte eine solche in die FSFE-Pressemitteilungen hinein gemusst, damit sie nicht pauschal als MS-Bashing abgetan werden kann.
Gruß,
Volker
Am Donnerstag, 22. Oktober 2009 14:56:57 schrieb Volker Grabsch:
Für die FSFE bedeutet das, dass Pressemitteilungen, die in diese Kerbe schlagen, stets ein paar Quellenangaben mitliefern sollten. Das könnte in Zukunft verhindern, dass Pressemittelungen wie im obigen Artikel pauschal als Microsoft-Bashing abgetan werden.
Darüber hatte ich nachgedacht - es aber als zu verwirrend empfunden und wenig neu. Recht gut für die Vorgeschichte bis 2007 ist übrigens: http://www.dwheeler.com/oss_fs_why.html#security
Das geht in die richtige Richtung, ist aber nicht das, was ich meinte. Die Webseite zeigt auf, inwiefern Microsoft-Produkte von Sicherheitslücken betroffen sind, aber nicht, wie Microsoft damit umgeht. Das geht dort etwas unter, und wird eher indirekt erwähnt.
Natürlich ist es wichtig, Sicherheitsprobleme von vornherein zu vermeiden. Aber für die Pressemitteilung ist gerade die andere Seite der Medaille wichtig: Wenn ein Problem bekannt geworden ist, wie ging Microsoft in den letzten Jahren damit um?
Wie schnell warnten sie ihre Nutzer, wie wahrheitsgetreu/aufrichtig waren ihre Pressemitteilungen, wie schnell wurde Abhilfe bereit gestellt, etc.?
Gibt es zu diesem Aspekt gute Quellen? Wenn ja, hätte eine solche in die FSFE-Pressemitteilungen hinein gemusst, damit sie nicht pauschal als MS-Bashing abgetan werden kann.
Ich empfand die Heise-Meldung als eine solche gute Quelle, da Heise das ja als Fachzeitschrift über längere Zeiten beobachtet. Du hast recht, dass wir noch bessere Quellen hätten gebrauchen können. Mir zumindest lagen die nicht vor, vielleicht würde eine Recherche etwas bringen. (Mit*dem*Zaunfahl*wink)
Gruß, Bernhard
* Bernhard Reiter:
Darüber hatte ich nachgedacht - es aber als zu verwirrend empfunden und wenig neu. Recht gut für die Vorgeschichte bis 2007 ist übrigens: http://www.dwheeler.com/oss_fs_why.html#security
In neueren Statistiken wird wild renormiert. Ein kleines Problem ist nämlich, daß die Anzahl der behobenen Schwachstellen pro Zeitraum in Distributionen wie Debian mittlerweile um eine Größenordnung über dem liegt, was Microsoft veröffentlicht. Würde man diese Rohdaten veröffentlichen, nähme niemand die Studie ernst.
Letztlich ist die Debatte aber verfehlt. Wenn ein Windows-Benutzer eine kompromittierte, auf GNU/Linux gehostete Webseite besucht und ein Trojanisches Pferd installiert bekommt, hat wer schuld? Das ist gar nicht so einfach zu beantworten. Wenn wir das nicht gemeinsam in den Griff bekommen, wird am Ende der Allzweckrechner abgeschafft, und dann sind sowohl mit Freie Software, als auch das Windows-ISV-Modell Geschichte. Das will eigentlich niemand.
Bernhard Reiter reiter@fsfeurope.org schrieb:
So möchte ich meine Email auch nicht verstanden wissen. Mir geht es einmal um eine Analyse, damit ich besser verstehen, warum das manche nicht interessiert. Das ist der Fragenanteil in meiner Email.
Ach so. Na, da hatte ich ja eine Hypothese geäußert:
Volker Grabsch schrieb:
Immerhin geht es hier "nur" um einen Denial-of-Service, nicht um ein Daten-Leck oder sowas.
Will sagen, das ist einfach zu harmlos. Es werden keine sensiblen Daten ins Netz gepustet, und auch nicht gelöscht. Es kann niemand fremde Rechner dadurch unter Kontrolle bringen. Man kann lediglich fremde Rechner "abstürzen" lassen.
Einmal ganz gehässig ausgedrückt: Wenn das neue System _trotz_ dieses Mangels seltener abschmiert als sein Vorgänger, ist das immer noch ein Vorteil.
Interessant ist die Meldung höchsten für Unternehmen, die Windows7 auf ihren Servern einsetzen wollen. Die sind aber nicht die Zielgruppe der Massenmedien.
Natürlich ist mir klar, dass so eine DoS-Attacke oft zu einem härteren Angriff ausgebaut wird. Aber solange das nicht geschehen ist, fehlt der Sicherheitslücke einfach die Brisanz.
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
Aber an dem konkreten Beispiel kann man diese Problematik nicht gut hochziehen. Ein DoS auf einen privaten Computer tut einfach nicht wirklich weh tut.
Versteht mich bitte nicht falsch. Das soll jetzt _kein_ Aufruf sein, irgendwelche Netzwerke mit Windows7-DoS-Attacken zu über- schwemmen, damit es den Benutzern richtig weh tut.
Ich meine einfach nur, dass die Presse-Mitteilung stärker eingeschlagen wäre, wenn sie eine richtig _haarige_ Sicherheits-Lücke zum Anlass hätte.
Gruß,
Volker
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 20.10.2009 17:34, schrieb Volker Grabsch:
Einmal ganz gehässig ausgedrückt: Wenn das neue System _trotz_ dieses Mangels seltener abschmiert als sein Vorgänger, ist das immer noch ein Vorteil.
Sollte aber trotdem gefixt werden.
Interessant ist die Meldung höchsten für Unternehmen, die Windows7 auf ihren Servern einsetzen wollen. Die sind aber nicht die Zielgruppe der Massenmedien.
Windows 7 ist kein Serverbetriebsystem. Für Server heist die entsprechende Variante Windows Server 2008 R2. Außerdem besitzen Firmen in der Regel eine dedizierte Firewall, um ihr internes Nezwerk gegenüber dem Internet abzuschotten.
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
Das ist halt der Nachteil properitärer Software. Als Kunde bist Du halt auf dem Anbieter der Software angewiesen.
mfg: Jochen Schmitt
Jochen Schmitt Jochen@herr-schmitt.de schrieb:
Am 20.10.2009 17:34, schrieb Volker Grabsch:
Einmal ganz gehässig ausgedrückt: Wenn das neue System _trotz_ dieses Mangels seltener abschmiert als sein Vorgänger, ist das immer noch ein Vorteil.
Sollte aber trotdem gefixt werden.
Klar, keine Frage. Aber darum geht es nicht. Es ging um die Frage, warum es kaum jemanden interessiert.
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
Das ist halt der Nachteil properitärer Software. Als Kunde bist Du halt auf dem Anbieter der Software angewiesen.
Das ist richtig, aber um dieses Problem medienwirksam zu präsentieren braucht man mehr als einen DoS in der Dateifreigabe.
Gruß,
Volker
Erstmal hallo zusammen,
ich bin neu hier auf der Mailingliste.
Volker Grabsch schrieb:
Bernhard Reiter reiter@fsfeurope.org schrieb:
So möchte ich meine Email auch nicht verstanden wissen. Mir geht es einmal um eine Analyse, damit ich besser verstehen, warum das manche nicht interessiert. Das ist der Fragenanteil in meiner Email.
Ach so. Na, da hatte ich ja eine Hypothese geäußert:
Volker Grabsch schrieb:
Immerhin geht es hier "nur" um einen Denial-of-Service, nicht um ein Daten-Leck oder sowas.
Will sagen, das ist einfach zu harmlos. Es werden keine sensiblen Daten ins Netz gepustet, und auch nicht gelöscht. Es kann niemand fremde Rechner dadurch unter Kontrolle bringen. Man kann lediglich fremde Rechner "abstürzen" lassen.
Wobei es sich hierbei ausschließlich um Windows Rechner handelt. Leute, die sich ein proprietäres System kaufen, müssen damit rechnen, dass die geringe Anzahl von Entwicklern, die dieses programmieren nicht alle Fehler finden (können). Die Schlussfolgerung daraus ist wiederum, wenn man ein freies System benutzt, ist das Risiko solcher Fehler deutlich minimiert. Warum sollte man also Mitleid haben. Jeder Mensch hat die frei Wahl, was er sich installiert oder nicht.
Einmal ganz gehässig ausgedrückt: Wenn das neue System _trotz_ dieses Mangels seltener abschmiert als sein Vorgänger, ist das immer noch ein Vorteil.
Dass Windows 7 besser läuft, als Windows Vista, ist sicherlich keine Kunst. Einem System, das so viele Ressourcen verbraucht hat wie Vista kann faktisch nichts schlechteres folgen.
Interessant ist die Meldung höchsten für Unternehmen, die Windows7 auf ihren Servern einsetzen wollen. Die sind aber nicht die Zielgruppe der Massenmedien.
Natürlich ist mir klar, dass so eine DoS-Attacke oft zu einem härteren Angriff ausgebaut wird. Aber solange das nicht geschehen ist, fehlt der Sicherheitslücke einfach die Brisanz.
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
War das nicht schon immer so??
Aber an dem konkreten Beispiel kann man diese Problematik nicht gut hochziehen. Ein DoS auf einen privaten Computer tut einfach nicht wirklich weh tut.
Versteht mich bitte nicht falsch. Das soll jetzt _kein_ Aufruf sein, irgendwelche Netzwerke mit Windows7-DoS-Attacken zu über- schwemmen, damit es den Benutzern richtig weh tut.
Ich meine einfach nur, dass die Presse-Mitteilung stärker eingeschlagen wäre, wenn sie eine richtig _haarige_ Sicherheits-Lücke zum Anlass hätte.
Ich denke, die "haarigen" Meldungen kommen noch. Jetzt wird es ja erst mal veröffentlicht. Die einzige Möglichkeit, die ich sehe (außer den Pressemitteilungen) ist schlicht und ergreifend der Boykott von proprietärer Software a la Microsoft. Damit ist schon viel gewonnen. Diejeningen, die weiterhin auf diese Software setzen, müssen sich dann eben auch mit den daraus resultierenden Problemen auseinandersetzen.
Gruß,
Volker
Schönen Abend noch an alle
bye
sudo
Peter Botschafter singlespeed@t-online.de schrieb:
Volker Grabsch schrieb:
Will sagen, das ist einfach zu harmlos. Es werden keine sensiblen Daten ins Netz gepustet, und auch nicht gelöscht. Es kann niemand fremde Rechner dadurch unter Kontrolle bringen. Man kann lediglich fremde Rechner "abstürzen" lassen.
Wobei es sich hierbei ausschließlich um Windows Rechner handelt. Leute, die sich ein proprietäres System kaufen, müssen damit rechnen, dass
[...]
Warum sollte man also Mitleid haben. Jeder Mensch hat die frei Wahl, was er sich installiert oder nicht.
Du hältst die warnende Pressemitteilung der FSFE also für ein Zeichen von unangebrachtem Mitleid gegenüber Windows-Nutzern?
Einmal ganz gehässig ausgedrückt: Wenn das neue System _trotz_ dieses Mangels seltener abschmiert als sein Vorgänger, ist das immer noch ein Vorteil.
Dass Windows 7 besser läuft, als Windows Vista, ist sicherlich keine Kunst. Einem System, das so viele Ressourcen verbraucht hat wie Vista kann faktisch nichts schlechteres folgen.
Das haben die Leute schon von Windows 98, Windows ME und Windows XP gesagt. Eine Steigerung ist immer möglich, und gekauft wird es trotzdem.
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
War das nicht schon immer so??
Ja, aber wie präsentiert man diesen Missstand medienwirksam?
Offenbar ist das bisher nicht gelungen, über Jahre hinweg, daher ist die Frage umso wichtiger! Gerade ein _andauernder_ Missstand sollte möglichst bald ins Bewusstsein der Öffentlichkeit gelangen.
Die Pressemitteilung der FSFE ist ein guter Schritt in diese Richtung.
Ich meine einfach nur, dass die Presse-Mitteilung stärker eingeschlagen wäre, wenn sie eine richtig _haarige_ Sicherheits-Lücke zum Anlass hätte.
Ich denke, die "haarigen" Meldungen kommen noch. Jetzt wird es ja erst mal veröffentlicht. Die einzige Möglichkeit, die ich sehe (außer den Pressemitteilungen) ist schlicht und ergreifend der Boykott von proprietärer Software a la Microsoft. Damit ist schon viel gewonnen.
Dieser "Boykott", wie du es nennst, funktioniert in keiner Weise. Man müsste schon die Massen erreichen. Und wenn man die erstmal erreicht hat, braucht es den Aufruf zum Boykott gar nicht mehr - dann reicht es schon, wenn die Kunden ständig bei ihrem PC- Händler nachfragen, ob dieses oder jenes System freie Software sei, und wie das mit der Sicherheit aussehe.
Privater "Boykott" ist erst dann wirksam, wenn man ihn seinen Freunden und Bekannten vorlebt, und auf diese Weise Alternativen aufzeigt. Ohne erhobenen Zeigefinger, einfach vorleben. Nicht als etwas Besonderes, sondern als eine Selbstverständlichkeit. Das bewirkt viel mehr als der bloße Boykott an sich.
Doch das ist immer noch zu wenig. Man erreicht damit nur sehr wenige Menschen.
Diejeningen, die weiterhin auf diese Software setzen, müssen sich dann eben auch mit den daraus resultierenden Problemen auseinandersetzen.
Es nützt überhaupt nichts, nach dem Motto "Selbst schuld!" hämisch mit dem Finger auf die vielen Windows-Nutzer zu zeigen. Denn mit ihrem Verhalten schädigen sie nicht nur sich selbst, sondern auch uns, die Entwickler und Nutzer freier Software.
Wenn der bloße Umstieg auf freie Software ausreichen würde, hätten wir schon seit 20 Jahren keine Probleme mehr mit proprietären Systemen. Wir würden einfach umsteigen und die anderen Computer-Nutzer links liegen lassen. Die würden schon kommen, und wären natürlich herzlich eingeladen. Politisches Engagement für freie Software wäre völlig unnötig. Es hätte niemals Bedarf nach Organisationen wie der FSF oder FSFE gegeben.
Gruß,
Volker
Volker Grabsch schrieb:
Peter Botschafter singlespeed@t-online.de schrieb:
Volker Grabsch schrieb:
Hallo Volker,
Will sagen, das ist einfach zu harmlos. Es werden keine sensiblen Daten ins Netz gepustet, und auch nicht gelöscht. Es kann niemand fremde Rechner dadurch unter Kontrolle bringen. Man kann lediglich fremde Rechner "abstürzen" lassen.
Wobei es sich hierbei ausschließlich um Windows Rechner handelt. Leute, die sich ein proprietäres System kaufen, müssen damit rechnen, dass
[...]
Warum sollte man also Mitleid haben. Jeder Mensch hat die frei Wahl, was er sich installiert oder nicht.
Du hältst die warnende Pressemitteilung der FSFE also für ein Zeichen von unangebrachtem Mitleid gegenüber Windows-Nutzern?
Einmal ganz gehässig ausgedrückt: Wenn das neue System _trotz_ dieses Mangels seltener abschmiert als sein Vorgänger, ist das immer noch ein Vorteil.
Dass Windows 7 besser läuft, als Windows Vista, ist sicherlich keine Kunst. Einem System, das so viele Ressourcen verbraucht hat wie Vista kann faktisch nichts schlechteres folgen.
Das haben die Leute schon von Windows 98, Windows ME und Windows XP gesagt. Eine Steigerung ist immer möglich, und gekauft wird es trotzdem.
Leider ist immer wieder zu beobachten, dass die Menschen aus Fehlern nicht lernen. Sie kaufen ein überteuertetes Betriebssystem, das von Fehlern nur so wimmelt und denken trotzdem, Sie hätten etwas besonderes. Der Grund dafür liegt auf der Hand - die Masse nutzt es.
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
War das nicht schon immer so??
Ja, aber wie präsentiert man diesen Missstand medienwirksam?
Will die Masse dies überhaupt hören? Die Mehrheit der Deutschen Bevölkerung hat schwarz/gelb in die Regierung gewählt. Gestern Abend im Fernsehen bei der "Münchner-Runde" in BR3 war ein TED geschaltet, mit der Frage, ob sich die Menschen durch die neue Regierung eine Verbesserung ihrer bisherigen Situation versprechen. Das Ergebnis war, dass sich 80% KEINE Verbesserung versprechen. Nun frage ich mich doch, warum wurden die dann gewählt (und von wem)?? Warum kaufen die Menschen dann Windows um anschließend darüber zu schimpfen und es jedes Jahr 3 mal neu installieren müssen, weil es nicht mehr läuft??
Offenbar ist das bisher nicht gelungen, über Jahre hinweg, daher ist die Frage umso wichtiger! Gerade ein _andauernder_ Missstand sollte möglichst bald ins Bewusstsein der Öffentlichkeit gelangen.
Die Pressemitteilung der FSFE ist ein guter Schritt in diese Richtung.
Ich meine einfach nur, dass die Presse-Mitteilung stärker eingeschlagen wäre, wenn sie eine richtig _haarige_ Sicherheits-Lücke zum Anlass hätte.
Ich denke, die "haarigen" Meldungen kommen noch. Jetzt wird es ja erst mal veröffentlicht. Die einzige Möglichkeit, die ich sehe (außer den Pressemitteilungen) ist schlicht und ergreifend der Boykott von proprietärer Software a la Microsoft. Damit ist schon viel gewonnen.
Dieser "Boykott", wie du es nennst, funktioniert in keiner Weise. Man müsste schon die Massen erreichen. Und wenn man die erstmal erreicht hat, braucht es den Aufruf zum Boykott gar nicht mehr
- dann reicht es schon, wenn die Kunden ständig bei ihrem PC-
Händler nachfragen, ob dieses oder jenes System freie Software sei, und wie das mit der Sicherheit aussehe.
Privater "Boykott" ist erst dann wirksam, wenn man ihn seinen Freunden und Bekannten vorlebt, und auf diese Weise Alternativen aufzeigt. Ohne erhobenen Zeigefinger, einfach vorleben. Nicht als etwas Besonderes, sondern als eine Selbstverständlichkeit. Das bewirkt viel mehr als der bloße Boykott an sich.
Damit hast Du sicherlich recht. Allerdings musste ich auch schon sehr schlechte Erfahrungen machen. Es gibt leider viele Menschen, die denken, wenn sie Linux installieren ist es damit getan und alles läuft damit fast genauso wie vorher unter Windows. Ich bin immer gerne bereit, Feunden, Bekannten, aber auch Fremden in meiner Freizeit Linux näher zu bringen. Allerdings muss auch ein bisschen Eigeninitiative vorhandensein. Ich verweise da immer ganz gerne auf den Artikel "Linux ist nicht Windows". Helfen ja, aber missionieren um jeden Preis - nein.
Doch das ist immer noch zu wenig. Man erreicht damit nur sehr wenige Menschen.
Es gibt auch Menschen, die nicht erreicht werden wollen. Sie sind glücklich mit ihrem Windows und sollten auch dabei bleiben. Diese Menschen würden mit Linux sicher nicht glücklich.
Diejeningen, die weiterhin auf diese Software setzen, müssen sich dann eben auch mit den daraus resultierenden Problemen auseinandersetzen.
Es nützt überhaupt nichts, nach dem Motto "Selbst schuld!" hämisch mit dem Finger auf die vielen Windows-Nutzer zu zeigen. Denn mit ihrem Verhalten schädigen sie nicht nur sich selbst, sondern auch uns, die Entwickler und Nutzer freier Software.
Damit hast Du Recht. Allerdings bin ich als kleiner Privatanwender auf diesem politischen Gebiet nicht so sehr bewandert, um groß mitreden zu können.
Wenn der bloße Umstieg auf freie Software ausreichen würde, hätten wir schon seit 20 Jahren keine Probleme mehr mit proprietären Systemen. Wir würden einfach umsteigen und die anderen Computer-Nutzer links liegen lassen. Die würden schon kommen, und wären natürlich herzlich eingeladen. Politisches Engagement für freie Software wäre völlig unnötig. Es hätte niemals Bedarf nach Organisationen wie der FSF oder FSFE gegeben.
Gruß,
Volker
mfg.
Peter
Am Mittwoch, 21. Oktober 2009 10:37:47 schrieb Volker Grabsch:
Das eigentliche Problem ist doch die Art und Weise, wie Microsoft mit diesem Mangel umgeht, und dass selbst Geschäftskunden keine Möglichkeit haben, einfach einen Dritten mit der Behebung des Mangels zu beauftragen.
War das nicht schon immer so??
Ja, aber wie präsentiert man diesen Missstand medienwirksam?
Offenbar ist das bisher nicht gelungen, über Jahre hinweg, daher ist die Frage umso wichtiger! Gerade ein _andauernder_ Missstand sollte möglichst bald ins Bewusstsein der Öffentlichkeit gelangen.
Die Pressemitteilung der FSFE ist ein guter Schritt in diese Richtung.
Danke, obwohl ich ein größeres Interesse erwartet habe, halte ich die Pressemitteilung für einen Erfolg, weil wir belegt darauf hingewiesen haben.
* Bernhard Reiter:
Zur Zeit muss ich stark annehmen, dass das Windows 7, was es offiziell ab Donnerstag (den 22.10.) für Endbenutzer zu kaufen geben wird, von der Ferne aus abgeschossen werden kann, wenn ich SMB2 anhabe und an den Port rankomme.
Die Firewall dürfte in der Voreinstellung aktiv sein. Die relevanten Ports von vielen Internet-Providern gefiltert. Microsoft bietet funktionierende, automatische Software-Updates an. Für besorgte Nutzer gibt es eine einfache Möglichkeit, die SMB2-Erweiterung abzuschalten.
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt.
Ja, und? Natürlich liefern wir alle Software mit Fehlern und Schwachstellen aus. Auch die SMB2-Schwachstelle wird nicht der letzte dieser Art sein.
Wenn ein einziger Hersteller keine solchen Schwachstellen mehr produzierte, müßten wir ernsthaft darüber nachdenken, ob die Herstellung von Software unter Umständen, die vergleichbare Fehler nicht ausschließt, ethisch vertretbar ist.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 21.10.2009 20:46, schrieb Florian Weimer:
Die Firewall dürfte in der Voreinstellung aktiv sein. Die relevanten Ports von vielen Internet-Providern gefiltert. Microsoft bietet funktionierende, automatische Software-Updates an. Für besorgte Nutzer gibt es eine einfache Möglichkeit, die SMB2-Erweiterung abzuschalten.
Normalerweise sollte der entsprechende Port gefilltert werden.
Man möchte ja sowieso nicht, dass irgendjemand aus dem Internet versucht die lokale Laufwerke des Benutzers aus der Ferne zu mounten.
mfg. Jochen Schmitt
Am Mittwoch, 21. Oktober 2009 20:46:10 schrieb Florian Weimer:
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt.
Ja, und? Natürlich liefern wir alle Software mit Fehlern und Schwachstellen aus. Auch die SMB2-Schwachstelle wird nicht der letzte dieser Art sein.
Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung. Das halte ich für etwas Besonderes! Wenn der Hersteller eine Aussage treffen würde, wie: "Ja, prüfen wir." - oder "Ja ist kaputt, bitte das und das machen, bis wir das erledigt haben." wäre das was anderes.
Gruß, Bernhard
Bernhard Reiter reiter@fsfeurope.org schrieb:
Am Mittwoch, 21. Oktober 2009 20:46:10 schrieb Florian Weimer:
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt.
Ja, und? Natürlich liefern wir alle Software mit Fehlern und Schwachstellen aus. Auch die SMB2-Schwachstelle wird nicht der letzte dieser Art sein.
Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung. Das halte ich für etwas Besonderes!
Einen DoS auf Privatrechner, in der nur im lokalen Netzwerk ausgelöst werden kann, wenn auf dem Zielrechner die Firewall abgeschaltet ist ... das würde ich nicht als "hohes" Sicherheitsrisiko bezeichnen.
Oder habe ich da etwas übersehen?
Wenn der Hersteller eine Aussage treffen würde, wie: "Ja, prüfen wir." - oder "Ja ist kaputt, bitte das und das machen, bis wir das erledigt haben." wäre das was anderes.
Das ist was dran.
Gruß,
Volker
Am Donnerstag, 22. Oktober 2009 14:45:53 schrieb Volker Grabsch:
Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung. Das halte ich für etwas Besonderes!
Einen DoS auf Privatrechner, in der nur im lokalen Netzwerk ausgelöst werden kann, wenn auf dem Zielrechner die Firewall abgeschaltet ist ... das würde ich nicht als "hohes" Sicherheitsrisiko bezeichnen.
Oder habe ich da etwas übersehen?
Der Cert-Bund vom BSI betrieben, ordnet das Risko innerhalb von fünf Stufen ein: (5 - sehr hoch | 4 - hoch | 3 - mittel | 2 - niedrig | 1 - sehr niedrig)
Und die kommen da auf "4 - hoch" in https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201
Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat die FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon abzuweichen. Oft ist übrigens wahrscheinlich, dass aus einem "Abschiessen" auch eine Möglichkeit zur Befehlsausführung wird. Weiterhin nehme ich an, dass viele Anwender, gerade um Drucker und Dateiinformationen auszutauschen den Port halt auch offen haben. Ich meine, damit der Dienst wirklich funktionieren kann, muss der Port halt auch von anderen Rechenern erreichbar sein.
Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf das BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade vor dem Produktstart, finde ich schon bemerkenswert. Wenn nichts dran wäre, warum sagen die das dem BSI und der Öffentlichkeit nicht gleich?
Gruß, Bernhard
Bernhard Reiter reiter@fsfeurope.org schrieb:
Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat die FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon abzuweichen.
Man müsste mal schauen, wie die Fristen beim BSI für "responsible disclosure" aussehen. Wieviel Zeit geben sie dem Hersteller, um die Lücke zu schließen, bevor sie im Interesse der Allgemeinheit die Details veröffentlichen?
Sollte sich herausstellen, dass sie sich mit Microsoft besonders viel Zeit lassen, dann muss das natürlich angeprangert werden. Sonst IMHO nicht.
Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf das BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade vor dem Produktstart, finde ich schon bemerkenswert.
2 Wochen im Vergleich wozu? Wie viel Zeit lässt das BSI den Herstellern normalerweise?
Gruß,
Volker
Am Freitag, 23. Oktober 2009 12:20:49 schrieb Volker Grabsch:
Bernhard Reiter reiter@fsfeurope.org schrieb:
Da das BSI wohl eine "responsible disclosure" betreibt fehlen uns weitere Details, um die Höhe des Risikos selbst bewerten zu können. Deshalb hat die FSFE ja auch das BSI Aufgerufen, in diesem Falle mal davon abzuweichen.
Man müsste mal schauen, wie die Fristen beim BSI für "responsible disclosure" aussehen. Wieviel Zeit geben sie dem Hersteller, um die Lücke zu schließen, bevor sie im Interesse der Allgemeinheit die Details veröffentlichen?
Keine Ahnung, ich erwarte auch nicht umbedingt, dass es da Fristen gibt.
Sollte sich herausstellen, dass sie sich mit Microsoft besonders viel Zeit lassen, dann muss das natürlich angeprangert werden. Sonst IMHO nicht.
An den Pranger wollte ich das nicht stellen, ich denke die sitzen ein wenig in der Klemme: Machen sie nichts, dann geht eine bekannte Gefahr für Ihre Nutzer aus. Veröffentlichen sie alles sofort, dann wird die Gefahr u.U. größer.
Sprich: Wir können es nicht abschliessend bewerten, sondern uns nur auf das BSI verlassen. Aber das Microsoft mehr als 2 Wochen zu einer seriösen Sicherheitsmeldung einer offiziellen deutschen Stelle schweigt, gerade vor dem Produktstart, finde ich schon bemerkenswert.
2 Wochen im Vergleich wozu? Wie viel Zeit lässt das BSI den Herstellern normalerweise?
2 Wochen im Vergleich zu dem, was es brauchen würde, den Bericht nachzuvollziehen und eine Antwort ans BSI zu formulieren oder eine Warnung. Das sollte innerhalb weniger Tage gehen, vielleicht sogar innerhalb eines Tages. Sollte die Prüfung von ernsthaften Bedenken länger dauern, dann könnte ich auch den Verkauf des Produktes etwas verschieben.
Gruß, Bernhard
* Bernhard Reiter:
Am Mittwoch, 21. Oktober 2009 20:46:10 schrieb Florian Weimer:
Diese beiden Ereignisse lassen vermuten, dass es kein Einzelfall, sondern eine Einstellung des Herstellers ist, der vermutlich in Kauf nimmt, dass eine solche Lücke beim Kunden aufschlägt.
Ja, und? Natürlich liefern wir alle Software mit Fehlern und Schwachstellen aus. Auch die SMB2-Schwachstelle wird nicht der letzte dieser Art sein.
Hier nimmt eine Hersteller zu einem "hohen" Sicherheitsrisiko in einem neuen Produkt, was er verkaufen möchte, nicht einmal Stellung. Das halte ich für etwas Besonderes!
Ich kann die BSI-Einstufung nicht nachvollziehen. Ich kenne nicht mal die Skala, die sie verwenden. Die anderen Meldungen liefern auch ein eher unheitliches Bild (Schwachstellen, die den Befall des Computers durch Besuchen von Webseiten ermöglichen, bekommen mitunter nur eine "3"). Das ist muß kein Verschulden des BSI sein, die Einstufung von Schwachstellen ist schwierig.
Wenn der Hersteller eine Aussage treffen würde, wie: "Ja, prüfen wir." - oder "Ja ist kaputt, bitte das und das machen, bis wir das erledigt haben." wäre das was anderes.
Hast Du ihn überhaupt gefragt?