Re: Patch Day November 2005
- From: "Michael H. Fischer" <M.H.Fischer@xxxxxxxxx>
- Date: Thu, 10 Nov 2005 12:10:38 +0100
softwarereparatur.com schreibselte am 09. Nov 2005:
<vieles>
Tja, was soll ich dazu sagen. Ich habe lange überlegt, was und ob ich
überhaupt *darauf* antworten soll. Es fällt mir wirklich schwer, mich da
aus lauter Verzweiflung nicht in schlichte Polemik zu flüchten. Ich
versuche es trotzdem einmal.
> Auch uns ist das Problem mit dem Buffer Overflows bekannt. Wir versuchen
> dieses Problem mit dem Browser Netcape zu lösen.
Was in dem Fall genau gar nichts hilft. Auch Netscape benutzt zum Anzeigen
dieser Grafikformate Windows eigenen Routinen und ist damit ein
potentielles Einfallstor. Es ist also völlig Wurscht, welchen Browser man
benutzt, sobald er die Formate grafisch darstellt, ist das Scheunentor
offen.
> zu den Patch gehört aber gesagt das beste updaten des IE-(Kernel Browser)
> nur sinnhaftig ist wenn eine entsprechende Vorschottung (Firewall die
> NAT,SPI,und Schutz gegen Dos-dential) vorhanden ist.
Das ist schlichter Blödsinn. Pardon, aber anders kann man das bezeichnen.
NAT ist kein Sicherheitsfeature, zumal manch ein Router aus dem Consumer
Bereich das nur unzureichend implementiert. Gegen einen (D)DoS gibt es
keinen Schutz. Wenn die Leitung dank massiven Traffics dicht ist, ist sie
dicht..
> die meisten Home User holen sich ja die Viren weil sie mit Schlecht
> ausgerüsteten Softwarefirewalls und Virenschutz downloaden.(Eine
> Softwarefirewall ist ja nur ein Filter und kann wie jeder andere Task
> hängenbleiben).
Das ist eine grobe Vereinfachung, die in dieser Form schlicht falsch ist.
Und es geht hier nicht nur um Viren, sondern um Malware in jeder Form.
Beispiel Blaster/Sasser. Dagegen hilft erst einmal gar kein Virenscanner,
weil die Malware zuerst im Speicher aktiv wird, der von so gut wei keinem
Virenscanner überwacht wird/werden kann. Ein korrekt konfigurierter
Paketfilter würde die Infektion verhindern, einfacher ist es, die
passenden Patche vor der ersten Onlinesession einzuspielen. Und die Patche
für die Sicherheitslücken langen _lange_ vor dem ersten Auftreten der
Schadsoftware zur Installation per Windows Update bereit.
> obwohl die Buffer Overflows ja eigentlich nur zur gänze in Windows XP und
> teilweise in Windows2000 vorhanden sind.
Das ist schlicht und einfach falsch.
> wir beitreiben zum beispiel Workstationen bei Kunden mit Windows NT- SP6
> hier sind diese Probleme unbekannt.
Das ist ebenfalls falsch. NT4 enthält diese Schwachstellen ebenfalls. Aber
NT4 ist End of Life und Out of Support, deswegen werden dafür ganz einfach
weder Patche noch Security Bulletins mehr veröffentlicht. Wer NT4 Clients
betreibt und darauf vertraut, dass diese keine der letztlich
bekanntgewordenen Sicherheitslücken enthalten, ist entweder sehr naiv oder
hat schlicht keine Ahnung. Und gefährdet seine gesamte Infrastruktur. Wie
war das doch gleich mit Blaster? Da war das gesamte Netzwerk von aussen
nach innen durch Firewalls massiv abgesichert und dann kam der Mitarbeiter
mit seinem ungepatchen Notebook an und hing es ins Netz... In diesem
Szenaruo sind alle NT4 Clients innerhalb von Sekunden infiziert. Super
Sicherheits-"Konzept".
> Kaspersky biete in seinen Viren schutz diese Patch bereits beim
> stündlichen Update an. In der Corporate Suite kann man jeden Download
> IFS -Krypt( verschlüsselung) versehen.
> http://www.bsi.de/fachthem/chiasmus/
Und? Wir befinden uns hier bei security.*HEIMANWENDER*. Dem hilft keine
aufwändig zu implementierende, unbezahlbare Corporate Suite. Und der
Zusammenhang zwischen Verschlüsselung und Virenschutz erschliesst sich mir
nicht wirklich.
> http://www.bsi.de/fachthem/chiasmus/
Zitat von dort:
<cit> Das Softwareprodukt Chiasmus für Windows ist
größeren Risiken ausgesetzt als eine Hardwarelösung. Bei einem an das
Internet angeschlossenen PC ist ein Schutz möglicherweise nicht in dem
erforderlichen Umfang gegeben. Der Schutzbedarf der zu sichernden
Informationen sollte daher nicht höher als "mittel" sein.
</cit>
Was soll uns das jetzt also sagen?
> Überings bin davon überzeugt das der obengenannte Links in spätereren
> versionen sicher so Ausgereift ist das die Virenschutz Hersteller
> ähnlich wie Kaspersky,Nod32,Symantec es nicht nur im Business Bereich
> sondern auch im SOHO Bereich zu Verfügung Stellen.
Mangels echten Bedarf oder gar Sinnhaftigkeit wage ich das zu bezweifeln.
> das >Problem das sich beim Download vom Microsoft Server stellt, ist ja
> das wenn man keine Vorschottung Besitz das man unfreiwillig Trojaner mit
> herunter zieht.
Auch diese Aussage ist so einfach falsch. Per windows Update wird man sich
mit Sicherheit keinen "Trojaner mit herunter" ziehen. Mit Malware infiziert
sich, wer mit einem gar nicht oder nur unzureichend gepatchen System das
erste Mal online geht. Abhilfe bei
W2K: SP4 und das Update Rollup 1 installieren, erst dann online gehen.
XP: Paketfilter per Hand aktivieren oder einfach das SP2 zuerst
installieren.
NT 4: Nicht ohne vorgeschalteten Router online gehen. Besser noch offline
bleiben.
Natürlich kann man auch einen Router mit Paketfilter benutzen und nach
einer Neuinstallation als erstes Windows Update besuchen, um die
notwendigen Patche installieren zu lassen. Das ist aber für ISDN und Modem
Nutzer wirklich keine Alternative. Und für Anwender mit nur einem PC auch
oft genug Overkill.
> Ebenso verhält es sich mit den Service Packes, wir sind die jenigen die
> SP schon als wichtig sehen aber sie sollten ausschliesslich von CD
> installiert werden.
Nein. Wer hinter einem vernünftig konfigurierten Router sitzt oder bei XP
den Paketfilter aktiviert hat, kann das bedenkenlos auch online tun. Aber
auch nur dann, wenn diese Aktion als *erstes* nach der Installation
erfolgt.
> (sind Gratis bei Microsoft und man kann sie auch über den Postweg
> bestellen)
Und wartet im Worst Case dann sechs Wochen darauf...
> Die Gefahr das man beim Download Trojaner herunter lädt ist meines
> erachteten weit aus höher als der Nutzen aus einen Sicherheitspatch oder
> einer Cap aktualisierung.
In keinster Weise. Wer seine Updates direkt vom Hersteller, am besten per
Windows Update, bezieht, wird sich mit Sicherheit darüber keinen Trojaner
"einfangen".
> (Für alle Leser dieses Beitrages die Netcap als Browser nicht kennen
> netscap besitz die Fähigkeit Cookies zu sperren.
Das können viele Browser. Und? wo ist der tiefere Sinn? Cookies sind per
se kein Sicherheitsrisiko.
> ähnlich wie Beonex 0.8 . ein vieleicht nützlicher Links aus der Linux -
> Unix Welt http://www.linux-magazin.de/Artikel/ausgabe/2002/12/browser/browser.html
> es würde mich freuen wenn sie mir antworten würden Hr.Fischer. (nebenbei
> hoffe ich das ich mit dem Linux Link allen jenen die ihren Browser
> Wechseln wollen etwas helfen kann.)
Da wäre es sinnvoller gewesen, auf den modernen Firefox zu verweisen. AOL
hat sich in den letzten Netscape Versionen wahrlich nicht gerade mit Ruhm
bekleckert, was die Sicherheit angeht.
Ach ja: Bitte unterlassen Sie doch das unreflektierte Abkippen von Links.
Das ist hier weder erwünscht noch haben die Produkte etwas mit dem
Gruppenthema zu tun. Danke.
MfG
Michael H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/ Die
XP Nano FAQ: http://www.derfisch.de/xpnf.php Windows Tuning Mythen:
http://www.derfisch.de/Tuning-Mythen.html
.
- Follow-Ups:
- Re: Patch Day November 2005
- From: Michael Bohr
- Re: Patch Day November 2005
- From: softwarereparatur.com
- Re: Patch Day November 2005
- References:
- Re: Patch Day November 2005
- From: softwarereparatur.com
- Re: Patch Day November 2005
- From: Michael H. Fischer
- Re: Patch Day November 2005
- From: softwarereparatur.com
- Re: Patch Day November 2005
- Prev by Date: Re: Patch Day November 2005
- Next by Date: Re: systemwiederherstellungs tool
- Previous by thread: Re: Patch Day November 2005
- Next by thread: Re: Patch Day November 2005
- Index(es):
Relevant Pages
|
