1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Nordrhein-Westfalen: Mehrere…

Re: Desaströse IT

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Beitrag
  1. Thema

Re: Desaströse IT

Autor: cpt.dirk 14.02.16 - 03:31

mikehak schrieb:
--------------------------------------------------------------------------------
> @cpt.dirk
>
> Zu deinem blackbox system und Sicherheit Kommentar. Das war ja gerade eine
> richtige Steilvorlage für mich. Wenn opensource so gut ist, warum gab es in
> letzter Zeit so massive Lücken (openSSL etc)...

Weil es a) keine fehlerfreie Software gibt und b) viele Hersteller zwar liebend gern Open Source kostenlos einsetzen, aber keinen Cent in die Weiterentwicklung investieren wollen.

Ich denke, die meisten Sicherheitsexperten von Rang und Namen sind sich mittlerweile einig, dass "Security by Obscurity" Wunschdenken ist - natürlich gibt es noch Einige, die um ihre proprietären Pfründe fürchten. Dass die Fehler gefunden (und behoben) werden, bedeutet nichts anderes, als dass Open-Source funktioniert.

Glücklicherweise haben "Heartbleed" & Co. die Unternehmen aufwachen lassen und sie stellen nun selbst mehr Resourcen für die Entwicklung - zum gegenseitigen Nutzen - zur Verfügung.

Fehler, die durch offene Audits gefunden werden, sind tausendmal besser, als solche, die intern bekannt sind, aber verschwiegen werden, dafür aber von findigen Crackern durch Reverseengineering und andere Techniken oder wegen Leaks einer kleinen Gruppe mit bösartigen Absichten zugänglich werden.

Und dafür sind Microsofts Produkte leidlich bekannt, zeigt ein kurzer Blick auf Google.

> Und das Schlimme ist, da ja
> viele Appliance auf Linux laufen sind eine Menge appliances immer noch
> nicht gepatched, da der Hersteller schon gar kein Update ausliefert.
> Auf Seite Windows kann ich meist die Patches selber einspielen.

Ich bin mir nicht sicher, ob ich das richtig verstehe, kannst du das bitte näher erläutern? Appliances sind meines Wissens etwas anderes, als Applications, für die Device Guard gedacht ist - nämlich dedizierte, kombinierte Hardware-/Softwaresysteme, z. B. für spezielle Sicherheitsanwendungen.

Auch erschließt sich mir nicht, inwiefern es unter Linux oder OpenBSD länger dauern sollte, bis Bugs gefixt werden und Patches zur Verfügung stehen (es ist sogar nur hier wirklich möglich, selbst Bugfixes zu schreiben), als bei proprietären Systemen, wo man auf die Gnade der Hersteller angewiesen ist. In der Praxis kann das ganz schön lange dauern.

> Wie ich merke, hast du keine Ahnung von ganzen Whitelisting unter
> Windows. [...] Somit kann ich noch lange versuchen einen USB Stick
> anzuschliessen, der irgend eine Malware hat. Da es einfach mal nicht
> möglich ist, etwas was nicht bekannt ist, über die Scripting engine
> auszuführen.

Tja, ob DeviceGuard ein Mehr an Schutz vor bösartiger USB-Firmware bietet - vielleicht nicht, wenn die Kommunikation auf Controller- und Treiberebene abläuft, und wenn Sicherheitslücken im mit Rootrechten laufenden Treiber (und sei dieser auch signiert) auf diese Weise ausgenutzt werden können.

Jedenfalls ist die AWL von Windows 10 offensichtlich sehr starr konzipiert und kann lediglich mit vorsignierten "trusted" Apps arbeiten. Es gibt von M$ noch ein Tool zur Selbstsignatur von Anwendungen, damit fällt aber sehr viel Verwaltungsaufwand und Arbeit auf die Pflege der Signaturinfrastruktur und das Deploying signierter Apps.

Abstecher:

Was das Thema "Trustability" bei den von an Gag-Orders gebundenen US-Unternehmen vergebenen Zertifikaten oder ein möglicherweise mit Doppelsignaturen arbeitendes Signaturtool aus solchen Quellen angeht, würde ich sagen, dass deren Systeme eigentlich in hochsensiblen Bereichen nichts verloren haben sollten, da sie als möglicherweise kompromittiert angesehen werden müssen.

Weder schafft hier die "Anonymity Revocation Authority"-Option bei TPM unbedingt Vertrauen, noch das gegen starke Bedenken auch weiterhin bei TPM 2.0 zugelassene unsichere Hashingverfahren SHA-1 und andere Punkte wie das zunehmende Hardwarediktat der der TCG vorsitzenden Unternehmen. Ich verweise an dieser Stelle auf etwas Lektüre zu den Gefahren bei TPM:

https://netzpolitik.org/2015/wir-leaken-deutschland-und-china-gegen-den-rest-der-welt-wundersame-einigkeit-bei-trusted-computing/

Weiter im Text:

Soweit ich sehe, bietet Microsofts Ansatz im Übrigen auch nicht die Vorteile moderner AWL-Systeme, welche selbstlernend sind, über feingranulare Steuerungsmöglichkeiten verfügen und verschiedene Level an Verantwortungsdelegation an die Clients erlauben. Also geringen Administrationsaufwand und hohe Praxistauglichkeit.

Was macht da DeviceGuard im Detail besser, als z. B. IMA, TPM-basierte Modulsignaturen und Apparmor bei Linux oder Veriexec bei OpenBSD?

> So und nun kommen wir zu deinem Letzten Punkt. Wegen Windows 10..
> Nun auch da bist du nicht mehr aktuell, seit dem letzten Update gibt es für
> enterprise einen punkt um die Telemetrie komplett abzuschalten.

Auch hier gilt leider: Microsoft hat sich als wenig vertrauenswürdig entpuppt (und nein, ich werde an dieser Stelle nicht das Googeln der langen Liste von Microsofts Missetaten übernehmen!), ob man nun auf diverse diesbezügliche Erfahrungen über die Jahre, oder auf Snowdens Enthüllungen in jüngerer zurückblickt.


Neues Thema Ansicht wechseln


Thema
 

Desaströse IT

DeutschlandIstToll2 | 12.02.16 - 17:35
 

Re: Desaströse IT

mastert19 | 12.02.16 - 18:32
 

Re: Desaströse IT

cpt.dirk | 12.02.16 - 20:08
 

Re: Desaströse IT

mikehak | 13.02.16 - 00:43
 

Re: Desaströse IT

cpt.dirk | 13.02.16 - 14:40
 

Re: Desaströse IT

mikehak | 14.02.16 - 00:45
 

Re: Desaströse IT

cpt.dirk | 14.02.16 - 03:31
 

Re: Desaströse IT

CraWler | 13.02.16 - 03:06
 

Re: Desaströse IT

sofries | 13.02.16 - 03:30
 

Re: Desaströse IT

Panty160215 | 15.02.16 - 15:11
 

Re: Desaströse IT

Panty160215 | 15.02.16 - 15:06
 

Re: Desaströse IT

cpt.dirk | 15.02.16 - 23:23
 

Re: Desaströse IT

Quantium40 | 12.02.16 - 22:53
 

Re: Desaströse IT

mikehak | 13.02.16 - 00:48

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Support- und Digitalisierungsmanager(in) (w/m/d)
    Krone gebäudemanagment und technologie gmbh, Berlin
  2. Field Support Engineer L3 (m/w/d)
    NTT Germany AG & Co. KG, München, Teltow
  3. Technical Account Manager (m/f/d)
    SoSafe GmbH, Köln (Home-Office möglich)
  4. Chief Information Security Officer / CISO (m/f/d
    J.M. Voith SE & Co. KG, Heidenheim

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Hades PS5 für 15,99€, Doom Eternal PC inkl. Metal Plate für 14,99€,)
  2. 1.000€ MMOGA-Gutschein gewinnen
  3. 29,99€
  4. 4,89€


Haben wir etwas übersehen?

E-Mail an news@golem.de