“Unternehmen setzen bei Sicherheits-Updates die Prioritäten falsch” (heise.de)

Unternehmen setzen offenbar beim Schließen von Sicherheitslücken in Client-PCs die Schwerpunkte falsch. Obwohl Kriminelle fast nur noch Lücken im Adobe Reader, QuickTime, Adobe Flash und Microsoft Office ausnutzen, um Windows-PCs zu infizieren, verstreicht bis zum Installieren von Sicherheits-Updates doppelt so viel Zeit wie für das Schließen von Lücken in den Betriebssystemen

Dies liegt wohl primär daran, dass das Betriebsystem automatisch, sofern man es nicht deaktiviert hat, nach Updates schaut und, wenn vorhanden, selbstständig installiert. Bei anderer Software gibt es nicht immer diesen Automatismus. Der Adobe Reader z.B. melden sich wenn es ein Update gibt, aber der Flashplayer tut keinen Mucks.

Untersuchungen zufolge erhöhen stille Updates ohne Nachfrage beim Anwender die Patchrate.

Dies mag wohl stimmen, beinhaltet aber immer die Gefahr, dass andere Software plötzlich nicht mehr funktioniert. In einem Unternehmen wäre es natürlich tödlich, wenn plötzlich die Buchhaltungssoftware nicht mehr funktioniert und es für diese keine Updates zu dem gepatchten Betriebssystem gibt.

Schnell Updates einzuspielen ist zwar wichtig, aber wenn man nicht 100% sicher ist, dass auch die andere Software weiterhin reibungslos funktioniert, so ist dies schon ein Problem. Wenn man eine gut funktionierende IT-Abteilung hat, dann prüfen die, ob ein Update zum Totalausfall führen kann. Aber was macht der Privatnutzer oder der Kleinunternehmer der keine IT-Abteilung hat? Das ist gar nicht so leicht zu beantworten. Auf jeden Fall ist es immer gut, wenn man sich vor einem Update noch einmal ein Backup zieht, da es i.d.R. keine Möglichkeit gibt ein Update rückgängig zu machen.

Manchmal ahnt man auch gar nicht welche Software voneinander abhängig ist. Es ist noch immer Software in Unternehmen im Einsatz, die den Explorer 6 voraussetzt. Wer nun das automatische Update auf den 8er Explorer durchführt, könnte plötzlich ohne seine funktionierende Asbachuralt-Software dastehen.


Dies kennt wohl jeder Benutzer des Firefox: Man will ein Update auf die gepatchte Version machen und dann mault er, dass nach dem Update verschiedene Plugins nicht mehr funktionieren werden. Ja und nun? Den Firefox updaten oder warten bis auch die geliebten Plugins ein Update erfahren haben?

Für den Firefox gibt es da einen kleinen Kunstgriff: “Nightly Tester Tools” (addons.mozilla.org)

Mit diesem Plugin kann man den Firefox dazu zwingen, auch Plugins die angeblich nicht mehr funktionieren werden, trotzdem zu nutzen. I.d.R. steckt die Inkompatibilität nur in der im Plugincode enthaltenen FF-Versionsnummer, für die das Plugin entwickelt wurde. Bisher haben noch alle Plugins, die ich mit diesem Tool nachbehandelt habe, ohne Probleme funktioniert.


Und noch etwas aus dem Artikel:

60 Prozent aller Attacken im Internet richten sich mittlerweile gegen Webserver, um etwa SQL-Injection zu finden und auszunutzen. Mehr als 80 Prozent aller Lücken in Servern entfallen auf SQL-Injection- und Cross-Site-Scripting-Lücken.

“Shopping.De: Amazon-Klon Oder Mehr?” (alles2null.de)
Dort hinterließ ich am vergangenen Sonntag einen Kommentar:

Shopping.de mag zwar wie Amazon aussehen, aber was sie Sicherheit angeht ist es unvergleichlich…

In dem Shopsystem kann man reflektives und persistentes Cross-Site Scripting ausnutzen. Mit XSS kann man dann den Session-Cookie auslesen und mit dem ist es möglich sich in den Account des Opfers einzuloggen.

Einkaufen würde ich dort nicht, solange diese eklatanten Sicherheitslücken nicht geschlossen wurden.

Unister kam dann am Montag auch über den Kommentar auf mein Blog, hätte sich also evtl. auch etwas über XSS informieren können, sofern sie es nicht kennen. Bisher wurde nur eine Lücke geschlossen, aber auch nur weil dort schon jemand etwas für jeden Shopbesucher sichtbares hinterlassen hatte. Warum wurden die anderen Lücken noch nicht gefixt?

Sorry Unister, aber ich kann es einfach nicht verstehen, wie man Millionen für eine Domain ausgibt, aber dann bei der Sicherheit des Shops so versagen kann.

Gestern gabs auf der Demo “Freiheit statt Angst” (vorratsdatenspeicherung.de) Prügel von dem “Freund und Helfer” – der Polizei.

Das Video in einem etwas größerem Format http://ccc.mirrors.as250.net/fsa09-043.mp4 ist mit 236,7 MB nicht gerade klein, aber man sollte es sich runterladen und ganz genau anschauen.

Wenn man sich die ersten Szenen Bild für Bild anschaut, so kann man sehen, dass verschiedene Beamte mit der Situation vollkommen überfordert waren.

Der Beamte, der den Radfahrer an seinem blauem T-Shirt wieder zurück zerrt, blickt fragend und fordert in Richtung seiner Kollegen. Jemanden mit Block und Kugelschreiber bewaffnet zu überwältig, wird in der Ausbildung der Polizei auch nicht wirklich vermittelt. Mit solchen Bleistift- oder Kugelschreibertätern muss sich die Polizei i.d.R. ja nur in Staaten auf der Straße rumschlagen, in denen auch Blogger eingeknastet werden – aber das kommt sicher auch bald bei uns.

Wie der andere Beamte unvermittelt anfängt sein Faustrecht an dem Radfahrer auszuüben, ist ein anderer Beamte im ersten Moment etwas verwundert, weil er wohl auch den Grund für die Prügel nicht verstehen kann. Aber anstatt sich als “Freund und Helfer” des Bürgers zu outen, stellt er sich lieber vor diese Szenen, in der Hoffnung das niemand diese Polizeibrutalität filmen oder fotografieren kann.


So sicher, wie der Umstand das der Radfahrer vollkommen unbegründet von den Beamten, es war ja nicht nur der eine Faustschlag, verprügelt wurde, genau so sicher ist, das diese Polizeibrutalität mal wieder keine Konsequenzen nach sich ziehen wird. Da wird dann von einem Einzelfall gesprochen werden und da die Beamten die als Zeugen aussagen könnten, eh nichts sagen, um ihre Kollegen zu schützen, wird dieser Vorfall im Sande verlaufen.


Es ist schon sehr interessant, dass diese Polizeibrutalität genau bei solch einer Demonstration ausgeübt wird. Da könnte der eine oder andere Demonstrant bei der nächsten Demo dann doch lieber seine Schwiegerelter zum Kaffeeklatsch besuchen, als zur Demo zu gehen.

Wieder ein Sieg für die Sicherheit dieses Landes. :O(

Vielleicht ist es auch nur eine weiter Kerbe im Colt der Sicherheitspolitiker, die ja nur unser Bestes wollen, nämlich unsere Freiheit.


Update: 14.09.2009 – 9:35 Uhr

Ein weiteres Video, nur Sekunden vor dem obigen Vorfall. Hier sieht man auch den Boxer, von dem der Radfahrer die Dienstnummer haben möchte.

Update: 15.09.2009 – 19:10 Uhr

Noch ein Video, aus einer anderen Perspektive.

Hier gibt es weitere Videos: http://blog.adrianlang.de/?p=680