Serverhack

[timo]

MichaelB postete
Die allermeisten "Webmaster" haben keinen Zugriff auf den Code der Foren oder Datenbanken, die sie benutzen. Daher könnten sie nur ihren Provider nerven und haben sonst keinen weiteren Einfluß auf Softwareupgrades.

Wenn sie den Provider "nerven" müssen, läuft m.E. schon etwas verkehrt. Wenn der Provider ausschließlich gleichartige Dienste anbietet (z.B. nur Webforen unter einer einzigen Forensoftware), sollte er selber den Überblick über bekannt gewordene Sicherheitslücken behalten und die notwendigen Maßnahmen treffen. Handelt es sich um einen allgemeinen Anbieter von individuellen Webdiensten mit verschiedener Software, muß es für den Kunden einen Ansprechpartner geben, der gegebenenfalls kurzfristig Updates vornehmen kann.

Viele Bugs sind aber so kompliziert, dass alleine die Analyse schon Tage dauert.

Das ist schon richtig - aber fast immer lassen sie sich innerhalb weniger Stunden zumindest so weit einkreisen, daß man dem Kunden ein Workaround zur Verfügung stellen kann, notfalls durch die Deaktivierung von Funktionen.

Bei einem Cisco-Router mag es möglich sein, Sicherheitslücken geheim zu halten, bis sie gefixt sind. Bei einer quelloffenen Forensoftware halte ich das für utopisch. Und, wie gesagt: In der "Szene" kommen solche Informationen mit hoher Wahrscheinlichkeit schneller (und wahrscheinlich schon inklusive der passenden Exploit-Scripts) an als bei den Anwendern, wenn die Entwickler nicht gezielt auf diese zugehen.

Die Probleme mit dem Mailprogramm und dem Browser eines großen amerikanischen Softwarehauses sind eher symptomatisch denn typisch. Jedes Programm ist grundsätzlich angreifbar. Egal auf welchem Betriebssystem es läuft. Selbst der Wechsel zu einem anderen Mailprogramm hilft nichts, wenn der User trotzdem noch jeden Dateianhang anklickt und öffnet.

Erklär' mich für verrückt, aber ich behaupte, daß locker 90% der entsprechenden Fälle softwareseitig vermeidbar sind. Wenn ein Mailprogramm es dem Benutzer gestattet, ausführbare Dateien, die einer Mail angehängt sind, direkt zu starten, ist das schlicht und ergreifend fahrlässig. Da klickt ein unbedarfter Anwender nur allzu leicht mal drauf (zumal man bei einigen Mailprogrammen Endungen wie "exe" oder "bat" mit einfachen Tricks sogar verschleiern kann). Der Umweg über das vorherige Speichern wendet vermutlich schon mal die meisten Schadensfälle ab. Und unter Unix, wo vor der Ausführung auch noch das Setzen der entsprechenden Dateirechte steht, müßte jemand schon leichtsinnig großen Aufwand betrieben, um ungewollt schadhaften Code aus einem Mailanhang auszuführen.

Außerdem hat das Mailprogramm, auf das ich mich bezog, ja noch ganz andere Scheunentore. Daß Viren und Trojaner über die ActiveX-Schnittstelle Adressbücher auslesen und sich selbst an die dort aufgeführten Adressen verschicken können (was ja inzwischen das Standardvorgehen solcher Schädlinge ist), finde ich schon ziemlich bedenklich.