Windows 10 und die OneDrive-Sicherheitslücken – Teil 3

[English]In Teil 1 und Teil 2 des Beitrags zum Thema Sicherheit des OneDrive-Clients ging es um die Lage der Programmdateien im ungeschützten Profilordner sowie um die Verwendung veralteter OpenSource-Bibliotheken mit Sicherheitslücken. In Teil 3 versuche ich eine Erklärung nachzuschieben und es gibt eine Stellungnahme von Microsoft.


Anzeige

Meine Erklärung, warum das so ist

Mir ist aber beim Qt5-Teil die Erklärung eingefallen, warum das von den Entwicklern so angelegt wurde (und erklärt für mich auch weitere, bereits in Teil 1 und Teil 2 angerissene Sachverhalte): Herr Satya Nadella hat Schuld! Er ist bei Microsoft mit ‘Mobile first, Cloud first’ eingestiegen – Windows spielt keine Rolle mehr, muss aber irgendwie weiter leben.

Die Entwicklung sollte so angelegt werden, dass Software wie Office, ein OneDrive-Client (ggf. als App) etc. auf verschiedenen Plattformen zu laufen hat! Also sind die Entwickler des OneDrive-Clients auf die Idee verfallen, neben OpenSSL auch die Qt5-Bibliothek einzusetzen. Denn diese ist laut Wikipedia:

ein GUI-Toolkit zur plattformübergreifenden Entwicklung grafischer Benutzeroberflächen und Programme. Darüber hinaus bietet Qt umfangreiche Funktionen zur Internationalisierung sowie Datenbankfunktionen und XML-Unterstützung an und ist für eine große Zahl an Betriebssystemen bzw. Grafikplattformen wie X11 (Unix-Derivate), macOS, Windows, iOS und Android erhältlich.

Und Android, iOS, macOS oder Linux besitzen keine Windows Krypto-API etc. Um nicht alles für jede Plattform neu zu stricken, setzt man auf Tools, um Software Plattform-übergreifen zu erstellen. Entsprechend sieht das Endergebnis aus ‘nicht Fisch, nicht Fleisch’.

Das erklärt für mich auch, warum man in der Entwicklung des OneDrive-Clients seit den Anfangstagen mehrfach alles einstampfte. Und bei jedem Neustart der Entwicklung rieb ich mir als Beobachter verwundert die Augen. Plötzlich waren Funktionen verschwunden, die der vorherige OneDrive-Client bestens konnte.

Gut, das wäre also geklärt, es gibt einen Grund für dieses Zeugs. Aber man muss sich spätesten an dieser Stelle von der romantischen Vorstellung verabschieden, dass in Redmond noch für Windows 10 programmiert wird. Die Leute schustern ihre Software für diverse Plattformen zusammen – und entsprechend fällt das Ergebnis aus.

Und an dieser Stelle dürfte auch der Schluss naheliegend sein, dass der OneDrive for Business-Client im gleichen Fahrwasser segelt. Von Stefan Kanthak gibt es zudem die Aussage, dass Dropbox keinesfalls besser sei.

Weiterhin habe ich Stefan Kanthak vorab den Text querlesen lassen. Seine Rückmeldung zum Thema:

all das, was Qt laut WikiPedia kann, beherrscht das Win32-API seit ueber 25 Jahren.

Eine Einschalung dieser Schnittstellen, was Qt5 leistet, ist fuer eine Software, die NUR fuer Windows verfuegbar ist, völlig ueberfluessig: es gibt keinen OneDrive-Client fuer Android oder iOS oder Linux.

Gut, für Linux gibt es keinen Client von Microsoft, aber die OneDrive-Apps für Android und iOS würde ich als Client sehen. Wo Kanthak aber berechtigte Kritik äußert, ist folgendes:

Auch auf Windows mit seinem reichhaltigen Win32-API missbrauchen immer mehr Entwickler, die anscheinend zu faul sind, sich mit dem Win32-API auseinanderzusetzen, Bibliotheken/Komponenten wie Boost, Qt, …, die dort völlig überflüssig sind.

Aus einem Problem (fehlendes Wissen ueber das bzw. Beherrschen des Win32-API) werden dann Zwei: die ueberfluessige Komponente, die von den Entwicklern
NICHT aktualisiert wird.

Das Bauen von OpenSSL oder Qt5 ist unter Windows eine QUAL!

Dieser OpenSource-SCHROTT hat selbst wieder VIELFAELTIGSTE Abhaengigkeiten von “Tools” wie CMake, Python/Perl, einem URALTEN MS-Compiler fuer MS-DOS,

Das sagt Microsoft zum OneDrive-Client

Ich habe in dieser Artikelreihe einige Schwachstellen im OneDrive-Client, auf die mich Stefan Kanthak aufmerksam gemacht hat, offen gelegt und versucht, eine logische Erklärung für die Design-Entscheidungen von Microsoft zu finden. Mir liegt aber keine Rückmeldung Microsofts vor, ob meine obigen Schlussfolgerungen korrekt sind – es bleibt also eine Arbeitshypothese.


Anzeige

Stefan Kanthak hat Microsoft bzw. deren Security Response Team (MSRT) aber konkret auf die Sicherheitslücken, die sich mit der gegenwärtigen Implementierung in OneDrive ergeben, aufmerksam gemacht. Mir liegt der Mails-Austausch zwischen Stefan Kanthak und Microsoft vor, den ich in Auszügen wiedergebe.

Mitte Juli 2018 wurde das MSRT von Stefan Kanthak auf die Sicherheitsprobleme aufmerksam gemacht (er beschrieb im Grund das, was ich in Teil 1 und Teil 2 dokumentiert habe). Microsoft hat dann folgendes geantwortet:

Thank you very much for your report.

I have opened case 46989 and the case manager, Kamuran will be in touch when there is more information.

In the meantime, to protect the ecosystem, we ask that you respect coordinated vulnerability disclosure (see here for details) and not report this publicly before we have notified you that this issue is fixed.

Es wurde also ein Fall bei Microsoft eröffnet und man bittet, die gemeldete Schwachstelle nicht zu veröffentlichen, bis das gefixt ist. Gut, ist eine Standard-Floskel. Dann gab es aber ein paar Wochen später folgende Antwort:

From: “Microsoft Security Response Center” <secure@microsoft.com>
To: “Microsoft Security Response Center” <secure@microsoft.com>; “Stefan Kanthak” <******>
Sent: Wednesday, August 08, 2018 2:09 AM
Subject: RE: ?MSRC Case 46989? CRM:0461058631

> Hello Stefan,
> Thank you again for submitting this issue to Microsoft. We determined that a fix for this issue will be considered in a future version of this product or service.

At this time, we will not be providing ongoing updates of the status of the fix for this issue, and we have closed this case.

Thank you very much for working with us.
> Regards,
> Kamuran
> MSRC

In schmalen Worten: Man folgt den internen Richtlinien, dass die Schwachstellen keinen sofortigen Fix erfordern (siehe Sicherheit: Wie Microsoft Patch-Entscheidungen trifft). Aber man will das Problem irgendwann in Zukunft angehen und schließt den Fall erst einmal ab. Status-Updates, wann Microsoft den Client überarbeitet, wird es nicht mehr geben.

Meine abschließenden 2 Cent

Gut, ist jetzt ein etwas längerer Beitrag in drei Teilen geworden. Ich habe das Ganze breiter aufbereitet, damit Blog-Leser das Ganze nachvollziehen und einordnen können. Bezüglich der Sicherheitsbewertung mag man zu anderen Schlüssen kommen. Für mich hat diese Geschichte aber eine andere Dimension und beim Schreiben ist mir manches plötzlich klar geworden.

Früher gab es von mir die Vorstellung ‘Im Grunde hat Windows 10 ja eine solide Basis, hier und da ein paar Anpassungen/Änderungen, dann passt es schon, Microsoft muss nur wollen’. Gemeint waren Auto-Updates, Funktionsupdates steuer- und abwählbar machen sowie das Basis-Betriebssystem über abwählbare Features quasi zu einem Rumpf-Windows mit konfigurierbaren Zusatzfunktionen machen.

Diese naive Vorstellung habe ich die letzten Wochen und spätestens nach diesem Artikel abgelegt. Je mehr ich mich mit bestimmten Aspekten im Hinblick auf die Windows 10-Entwicklung und Implementierung diverser Funktionen unter Stabilitäts- und Sicherheitsaspekten befasse (als Blogger kratze ich oft nur an der Oberfläche), um so klarer wird für mich: Das Ding geht momentan in der Entwicklung den Bach herunter.

Wieso sollte am Kern von Windows 10 solider als beim zusammengefrickelten OneDrive-Client gearbeitet werden? Die vielen angeflickten ‘Balkone’ im Umfeld der Windows Updates (Stichwort: Neben Windows Update gibt es weitere Mechanismen wie USOclient, Remsh etc. , um Updates zu laden und deren Installation anzustoßen), die Probleme mit Patches oder die Bugs in Funktionen vermitteln mir das Bild: Da hat man die Entwicklung längst nicht mehr im Griff.

Auf heise.de gab es die Tage einen schönen Artikel Das Problem mit der Agilität von Eberhard Wolff, der sich mit Continuous Architecture befasst. Er skizziert, was sich hinter dem Begriff Agile Software-Entwicklung versteckt und berichtet von seinen Erfahrungen aus der Praxis. Da fiel bei mir ein weiteres Mosaiksteinchen ins Bild, verwendet Microsoft doch in letzter Zeit ebenfalls den Begriff der Agilität oder des Continous Delivery im Umfeld der Windows 10- und Office 365-Entwicklung.

Bleibt die Frage, ob man mit einer Plattform wie Windows 10 (oder zumindest des Basis-Betriebssystems) wirklich mit agiler Entwicklung und Continous Delivery arbeiten kann und soll. Im heise.de-Artikel gab es einen schönen Satz: ‘Agilität funktioniert in der Mehrheit der Fälle nicht’. Der war zwar auf kulturelle Probleme, die eine erfolgreiche Umsetzung agiler Projekte verhindern, gemünzt. Aber ich finde, der Satz passt auch auf große Teile von Windows. Oder wie seht ihr das so?

Artikelreihe:
Windows 10 und die OneDrive-Sicherheitslücken – Teil 1
Windows 10 und die OneDrive-Sicherheitslücken – Teil 2
Windows 10 und die OneDrive-Sicherheitslücken – Teil 3

Ähnliche Artikel:
Microsoft und die Office 20xx-Sicherheitslücke in ose.exe
Sicherheitslücken in InfoZips UnZip-Programm
Warnung: Auf 7-Zip verzichten
F-Secure Sicherheitsupdates für 7-Zip-Schwachstellen


Anzeige


Dieser Beitrag wurde unter Onlinespeicher, Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Windows 10 und die OneDrive-Sicherheitslücken – Teil 3


  1. Anzeige
  2. Swedish Chef sagt:

    Schöne Artikel Serie, danke dafür.
    Zur Entwicklung von Windows habe ich soetwas schon befürchtet, da man das Ungetüm Microsoft nicht mal eben so umbaut und plötzlich ganz andere Grundsätze in der Marschrichtung für Programme vorgeben kann. Bei Microsoft hieß es immer “wir machen Windows und da laufen unsere Programme”. Wenn man nun glaubt sich “mal eben so” um 180° im Kerngeschäft wenden zu können und für viele Plattformen entwickelt, dann muss man schon viel Vertrauen haben oder einfach die Augen zu machen.
    Und ja, mit welch eklatanten Fehlern dort Software gestrickt wird ist schon ne Nummer. Ich finde es aber von Stefan etwas gewagt so viel von “OpenSource-SCHROTT” zu reden. Ich glaube nicht das die Qualität einer Software darunter leidet open source zu sein, denn Gegenbeispiel Windows, Internetexplorer, Edge… oder Flash zeigen ganz klar das die Qualität offensichtlicht von denen abhängt die die Software programmieren und nicht vom Modell der Zugänglichkeit. Mag sein das es viele Programme gibt die im Bereich open source schlecht sind, aber dann weiß man das (hoffendlich) und setzt es eben nicht ein.
    Das Microsoft in seiner Kehrtwende nun Software wie Qt oder OpenSSL einsetzt wundert mich nicht, schmeißt damit aber natürlich seinen wohl behüteten Schatz Win32-API uvm. über Bord und damit sich selbst. Microsoft muss aufpassen mit seinem Betriebssystem nicht austauschbar zu werden, denn mal ehrlich warum sollte man ne Windows Lizenz kaufen wenn die ganzen hippen Microsoft Produkte auch unter Linux, Android oder iOS laufen?
    Falls Microsft wirklich irgendwann mit Windows 10 die Kunden ins Boxhorn jagt und die “As a Service” Falle zuschnappt und jeder in Zukunft ein Windows Abo nicht mehr für Umme ist sonderen in einem 365 Modell aufgeht wird die Luft glaube ich dünn.
    So das waren meine 2cent…. haben wir schon vier.

    P.s.: Das die Entwicklung bei Microsoft irgendwie quer geht war mir auch schon aufgefallen als in Windows 10 (eigentlich gepatchte) Fehler in der GUI nach dem Upgrade auf 1803 plötzlich wieder da waren. Da drängt sich bei mir der Verdacht auf, es gibt ein Team für die “schlechte” 10 Version in der ersten Jahreshälfte und ein “gutes” für die zweite.

  3. Andres Müller sagt:

    Derzeit habe ich den Eindruck das wir uns mitten in einer seit Jahren vorhersehbaren IT Krise befinden, die aber ihren Ursprung nicht nur bei Microsoft hat. Ihre Arbeit Herr Born um Artikel wie diesen verfassen zu können wird (leider) kaum abnehmen, aber herzlichen Dank dafür.

    Ich habe früher mal 12 Jahre lang als Applikationsentwickler gearbeitet, wobei ich zuvor mein Handwerk mit Werkzeugen aus dem Umfeld von Nikolaus Wirth gelernt hatte.
    Da wurde mit Modula-2, Oberon und Pascal als Programmiersprachen gearbeitet.

    Ich bin mir ziemlich sicher dass dann die massenhafte Ausbreitung von Programmiersprachen wie C++ und Java uns in die Krise geführt hat. Die Mächtigkeit dieser Sprachen führte auf der anderen Seite gleichzeitig zu erhöhtem Risiko für Fehler. Das hat damit zu tun dass zum Beispiel die Benutzung von Zeigern auf Speicher-Adressen nur schwer über die Analyse zu überblicken ist.

    Die Anwendung solcher mächtiger Sprachen durch “zweitklassige” Programmierer führte meiner Meinung dann zur gegenwärtigen Situation das überall Sicherheitsprobleme auftreten und Programme fehlerhaft arbeiten.
    In Modula-2- Sourcecode kann man eher schlecht unsichtbare Hintertüren einbauen, zum Beispiel für Spionagezwecke durch Geheimdienste. Der Code von Sprachen wie Modula-2 ist von Menschen derart gut zu überblicken, das solche Machenschaften viel schwieriger im Quellcode versteckt werden könnte. Fehler werden schneller gefunden und können sich weniger gut im Datenspeicher ausbreiten. das sich C++ und Java etc. gegenüber einfach zu überblickenden Sprachen durchgesetzt haben, das mag auch an Interessen gelegen haben von denen man besser nichts weiss. Nur soviel dazu, die Entdecker von Meltdown und Spectre leben auch von Geldern die vom US (Geheim)diensten gespendet werden.

    Ich bin kein Hardwarespezialist, aber diese C- Sprachen hat man glaube ich irgendwann auch eingesetzt um Maschinencode zu erzeugen, die dann Dinge wie virtuelle Kerne ermöglicht haben. Gleichzeitig kann man den Überblick verlieren und es werden Sachen wie “Spectre” möglich.

    Die gegenwärtig ausgebauten Fähigkeiten über den Einsatz von KI können zwar theoretisch dabei helfen Schwachstellen im Programmcode zu erkennen, aber bestimmt werden sie auch genutzt um dort weitere Features bis hin zu Hintertüren einzubauen. Die Eigenschaften von KI sind aber noch weniger gut mit Analyse zu überblicken, da man vor deren Arbeit nicht weiss zu welchen (logischen) Schlüssen die KI kommt. Aus meiner Sicht können die KI die ultimativsten Adresspointer auf Datenspeicher bilden, so ultimativ dass sie mit normaler menschlicher Logik nicht mehr zu überblicken sind.

    Und auch Microsoft wird kaum davor zurückschrecken sowas einzusetzen, und zwar ohne das wir es durch ein Häkchen noch abwählen können…..

    • ralf sagt:

      zu “Ich bin mir ziemlich sicher dass dann die massenhafte Ausbreitung von Programmiersprachen wie C++ und Java uns in die Krise geführt hat. Die Mächtigkeit dieser Sprachen führte auf der anderen Seite gleichzeitig zu erhöhtem Risiko für Fehler”:

      sehe ich anders. problem nummer 1 ist fuer mich die hohe komplexitaet der aufgaben, die mit den programmierspachen geloest werden sollen – nicht die programmiersprache selber. problem nummer 2 sehe ich im oftmals sehr kurzen zeithorizont, der fuer die loesung dieser komplexen aufgaben vorgesehen ist. daher verlaesst man sich zunehmend auf die vorarbeit dritter etwa in form von betriebssystem-apis oder bibliotheken. dadurch gewinnt das eigene programm zwar schnell an “maechtigkeit”, der programmierer verliert damit aber gleichzeitig das detailverstaendnis und somit die kontrolle ueber das darunterliegende programmgeruest.

  4. Anzeige

  5. Joey sagt:

    @Andres Müller: Ich finde ihre Aussagen schon weit hergeholt. C++ und Java als der Anfang des Übels darzustellen ist mutig.
    Jede Sprache später hat sich als ein weiteres Layer FÜR den Entwickler entwickelt, damit dieser einfacher sehr guten Code produzieren kann, ohne sich über grundsätzliches wie Speichersicherheit kümmern zu müssen.

    Aber ich teile ihre Meinung mit der Tendenz, wohin das ganze geht. Es kommen immer mehr Sprachen und innerhalb der Sprachen immer mehr Möglichkeiten. Die Entwickler vergessen auch immer mehr, was sich da eigentlich in den unteren Layern tut. Weil sie es nicht wissen müssen.

    Und das ruft auch immer mehr “Scriptkiddies” auf den Plan; “zweitklassige” Programmierer, die zwar eine gute Idee haben, aber verantwortungsvolle und nachhaltige Umsetzung nie lernen mussten (Speicher und Rechenpower gibt’s ohne Ende, um die Typisierung kümmert sich der Compiler oder die Laufzeit, …).

    Es gehört jedoch m.E. nach zu der Verantwortung des Managements und der Leads diese Prinzipien zu verteidigen. Aber das strebt gegen Shareholder-Orientierung.
    Microsoft macht gute Software – fürs Business; denn Businesskunden sind die gut bezahlenden. Und ich bin mir recht sicher, dass für Core-Themen auch die alten Hasen richtig gute Dinge tun.
    Aber für die Enduser “reichen” die Scriptkiddies mit obigem Ergebnis.
    Schade drum; ich bin mir aber sicher, dass Microsoft irgendwann erkennt, dass Businesskunden auch ein Privatleben haben. Und was ein Businesskunde zuhause nicht nutzt, wird er auch in der Arbeit nicht nutzen…

  6. Picard87 sagt:

    Vielen Dank für diesen aufschlussreichen Artikel. Fundiert und meinungsstark wie immer! Was ich aber schwer kritisieren muss ist die Wortwahl von Herrn Kanthak und die Tatsache, dass Sie die Auszüge aus den Mails auch noch veröffentlichen – bei allem Respekt lässt mich das doch ein wenig an der Intention (und Kompetenz) von Herrn Kanthak zweifeln.

    • Martin Feuerstein sagt:

      Die Wortwahl muss man nicht mögen, Unrecht hat er aber meistens nicht. Hat wahrscheinlich nur etwas hohen Puls, an der Kompetenz zu zweifeln wäre mMn verfrüht. Wenn man sich intensiv mit solchem Kram beschäftigt und von früh bis spät nix anderes als Sicherheitslücken sieht, kann einem schon mal das Gesäß platzen. In anderen Bereichen ist das ähnlich, wenn man beständig Unfähigkeit anderer erfahren und auch noch ausgleichen muss.

      • Paule21 sagt:

        Ja das stimmt schon. Wenn man immer wieder auf Missstände hinweist und dann mit 0815-Floskeln abgespeisst wird, dann ist eine entsprechende Reaktion sicher menschlich und verständlich. Der eigenen Sache schadet es aber massiv und so landet man schnell in einer Schublade.

  7. Paule21 sagt:

    Wenn das alles so stimmt, dann wundert es mich schon sehr, dass noch kein Malware-Autor auf die Idee gekommen ist den OneDrive-Client anzuzapfen. Das wäre ja ein lohnendes Ziel. Oder geht es eben doch nicht so leicht? ;-)

    Meine Kenntnisse auf diesem Gebiet reichen nicht aus um das zu bewerten, einiges klingt plausibel, anderes aber auch recht konstruiert. Vermutlich liegt die Wahrheit mal wieder irgendwo in der Mitte. Die Vulgärsprache des Herrn Kanthak lässt auch mich an seiner Kompetenz zweifeln. Wie ein kleines Kind das besonders laut wird, damit man es beachtet. Aber wer weiß…

  8. Günter Born sagt:

    @Picard87 und @Paule21: Nun ja, es gehört sich, da auch Auszüge der Quelle zu zitieren. Alles ist als Zitat gekennzeichnet und oft von mir entschärft. Mag man mögen oder nicht – die Quelle sieht halt so aus.

    Ansonsten: Ich gebe im Blog Hilfe zur Selbsthilfe – die Meinung muss sich jeder selbst bilden. Aber dass ihr auf der Sprache von H. Kanthak herumreitet und dann auf dessen Kompetenz schließen wollt, ist ein Nebenkriegsschauplatz. Getreu dem Motto ‘Köpft den Boten der schlechten Nachricht’ …

    Ich plane bei Gelegenheit noch einen Blog-Beitrag, in dem ich einfach mal ein wenig aufbereite, wie man sich selbst so ein Testfeld (mit Hilfstools von Herrn Kanthak) erzeugt, um Software auf solche potentiellen Schwachstellen zu prüfen. Ich finde es – seit ich gelegentlich mal .exe-Dateien in ein solches Testfeld einstelle – erschreckend, was mir da gemeldet wird.

    Aber unter dem Strich: Das Thema Sicherheit scheint irgendwie unsexy zu sein – sehe ich jedenfalls an den Abrufzahlen solcher Beiträge. Würde ich dagegen über das nächste Supa-Dupa-Wumme-Update von Kaspersky & Co. berichten, fliegt die Leserschaft drauf wie die Fliegen auf die ****. Verkehrte Welt?

    • Paule21 sagt:

      Nein, das ist jetzt zu einfach. Niemand bestraft den Boten. Wie gesagt, vielleicht hat er inhaltlich recht, ich kann das nicht beurteilen. Aber wen jemand seine Argumente in solch einer Sprache versucht aufzuwerten, dann ist das zumindest mal zu hinterfragen. Auf mich macht das zumindest keinen seriösen Eindruck.

      Ihre Leser als Fliegen zu bezeichnen die auf die S… fliegen, finde ich auch unsexy.

  9. Anzeige

  10. Hans Brender sagt:

    Günter,
    Ich weiss ja nicht, warum Herr K. so gefrustet ist. Denn kein Satz kommt ohne Angriffe im niedrigstem Level. Ich will seine Kompetenz überhaupt nicht in Frage stellen, aber ich habe das Gefühl, dass er immer und überall nur noch das Gefühl ausdrückt, von lauter Schwachmaten umgeben zu sein. Und er nicht den nötigen Respekt bekommt. Muss er sich nicht wundern. Denn mit vielen Microsoft Menschen kam man diskutieren, aber nicht in diesem Ton.

    • Günter Born sagt:

      @Hans Brender: Zu ‘Denn mit vielen Microsoft Menschen kann man diskutieren,’ ymmd

      Ich muss ja nicht die Sprache von Herrn K. verteidigen. Aber alleine zum Sachverhalt. Es klang ja in meinen Kommentaren weiter oben schon an – ihr bekommt nur einen kleinen Ausschnitt dessen (und das gefiltert) mit, was Stefan Kanthak mit den ‘Profis von der US Westcoast’ von Intel bis Microsoft und den vielen Anwendungsentwicklern so erlebt. Mir liegt oft der Mail-Austausch über 10, 12 und mehr Monate vor.

      So gut wie jede Geschichte hat, bevor sie hier im Blog als Auszug erscheint, ein langes Vorleben. Da wird eine ‘Vulnerability’ z.B. an das Microsoft MSRT gemeldet (mit Zitat-Links auf MS-Dokument mit don’ts) – es gibt einen MS-Case – es gibt eine Rückmeldung, aus der oft klar wird, dass man bei MS nix verstanden hat. Genau so gut kann man auch mit der Wand vor der Nase reden. Den obigen Namen kann man durch Intel, VMware und was auch immer ersetzen. Es gibt dann oft ein Hin und Her – und am Ende des Tages die freudige Nachricht ‘Thanks for your feedback, we have fixed’. Stefan schaut sich das Ergebnis an, es hat sich prinzipiell nix geändert oder es sind neue Löcher aufgerissen …

      Wenn Du dann einen Blick in die Dokumentation von Microsoft oder CVE-Seiten wirfst, die vor 20 Jahren erstellt wurden und Basics beschreiben, was man tunlichst nicht, niemals nicht, unter keinen Umständen tun soll …

      … wenn man mitbekommt, das ausgelobte Bug-Bouty-Prämien nicht, nur halb oder verzögert (nach zig Nachfragen) ausgezahlt werden …

      … und dann in einer Präsentation, z.B. vom MS Upper Management auf der Bühne nach dem unweigerlichen ‘incredible’ oder ‘awsome’ der Spruch ‘we have build the most secure Windows ever’ kommt …

      ja, dann fällt es schon sehr schwer, die Contenance zu behalten, und mit denen kann man ja reden, zu verinnerlichen. Und jetzt stelle dir vor, Du erlebst diesen Sachverhalt seit 10, 20 Jahren …

      Anmerkung: Leute, die sich auf Sicherheitsthemen fokussieren, müssen eh speziell gestrickt sein und alles und jedem misstrauen (ich bin es nicht, sonst würde ich nicht so oft auf Neuankündigungen hereinfallen). Und dann stelle dir vor: Du willst eigentlich richtige Sicherheitslücken finden und stößt seit Jahren auf immer die gleichen Anfängerfehler …

      Ich gestehe, ich bin auch nicht mehr ganz neutral. Microsoft, das waren für mich viele Jahre lang die Götter. Ich habe für deren Ideen (so ca. bis zur Jahrtausendwende) gebrannt und z.B. auf einer BASTA 2005/2006 noch gebannt den Ideen von Jason Zander (heute VP bei MS) zu diversen .NET Framework-Entwicklungen etc. gelauscht. Es klang alles logisch, warum man wo was ändern muss (u.a. Registry werden wir ersetzen müssen, um die Mobilgeräte-Welt abdecken zu können). Heute sehe ich, was von den Ideen umgesetzt wurde -> Nix.

      Bei Produktgroup Interactions für MVPs hatte ich eine Zeit lang die Hoffnung, ein wenig Insides, Antworten und Hinweise auf Fehler für meine Arbeit als MS Answers-Community-Moderator zu bekommen. Hat vor langer Zeit auch schon das eine oder andere Mal geklappt. Inzwischen nehme ich nicht mehr an so was teil. Du schaufelst dir Termine frei, um am Abend (Zeitverschiebung zu der US-Westküste) an so was teilzunehmen – stößt auf einen ‘Kindergarten’ und klinkst dich nach 15 Minuten frustriert aus, weil es Null bringt. Wahrscheinlich werde ich langsam zu alt für so etwas …

      @Paule21: Ich schreibe mir hier im Blog seit Jahren die Finger wund, dass mit den diversen (vor allem Free) AV-Suites & Co. kein Blumentopf zu gewinnen ist. Beschreibe ich mal wieder einen Sachverhalt in diesem Bereich, der eine Sicherheitslücke aufreißt, oder Windows brickt, bekomme ich meist zu hören ‘na ja, die anderen sind auch nicht besser’. Die Tischkante hier am Schreibtisch ist darob schon arg abgebissen …

      und wenn ich sehe, wie Beiträge, die irgend ein neues Feature bei Free-AV xyz, CCleaner & Co. thematisieren, ‘rennen’ – tscha, da schlägt bei mir der Bauernsohn durch. Als ich früher als Kind die Kühe im Sommer hüten musste, da saßen die Fliegen immer (vereinzelt) auf der Kuh – oder aber irgendwo im Massen da, was ich oben mit **** verewigt habe. Solche Erfahrungen schlagen halt durch und werden hier blumig transportiert.

      Der Vergleich in obigem Kommentar wurde durch den letzten Artikel zum CCleaner geprägt, wo ich einen Abriss eines bestimmten Sachverhalts gab und in Links auf weitere Blog-Beiträge auf den Malware-Befall von CCleaner, die Telemetrie und weitere ‘Incidents’ gab. Ich dachte noch so bei mir ‘ok, nu müssen die Leute mit Nachdenken anfangen, und ihre Schlüsse ziehen’. Aber was passierte? Da kamen dann (u.a. auch auf FB) Kommentare der Art ‘ich hole mir eine alte, unverseuchte CCleaner Build und setze eine Personal Firewall von xyz sowie einen Free AV-Scanner von xyz ein, da passiert dann nix’.

      Ich sehe, dass der Vergleich in obigem Kommentar missinterpretiert werden könnte – es lag mir fern, die Leserschaft als ‘Fliegen’ zu kategorisieren. Aber es ist schon ein Stück weit frustrierend zu sehen, was im Sinne von Seitenabrufen funktioniert. Führt etwas weiter weg – aber es ist bezeichnend, wenn man in diese Top 10-Liste schaut und sieht, was auf den ersten Plätzen segelt.

      Da poppt das Bild der Wiese mit den vielen Fliegen aus meiner Jugend schon mal vor meinem geistigen Auge auf. Es lag mir aber fern, meine Leserschaft als Fliegen zu bezeichnen.

      Damit soll es an der Stelle genug sein. Als Blogger sitze ich zwischen den Stühlen, versuche die Extrempositionen abzuschleifen und so zu verpacken, dass vielleicht einige Leute was damit anfangen können. Gelegentlich (oder öfters) verliere ich aber die Contenance und es bricht halt was hervor, was separiert.

      Ich habe zur Kenntnis genommen, dass bestimmte Begriffe Dritte einfach stören. Da ich euch mit den Blog-Beiträgen zum Nachdenken bringen und Hilfestellung geben möchte, werde ich das alles zum Anlass nehmen, in mich zu gehen und nachzudenken, was ich verbessern, weich spülen und anpassen kann. Ich kann allerdings nicht versprechen, dass in dunklen Stunden dann das Eine oder Andere doch wieder ungefiltert durchschlägt. Jeder Mensch ist halt ein Spiegel dessen, was er erlebt hat.

      Und ansonsten: Es gibt für mich viele Exit Szenarien, falls es einmal keinen Spaß mehr machen sollte (noch bin ich mit Feuer und Flamme beim Bloggen). Ab 3.2019 wäre abschlagsfreie Rente möglich, ich könnte mehr im 50Plus oder im Reiseblog tun, noch mehr Sport treiben. We will wait and see ;-).

  11. Sherlock sagt:

    > Oder wie seht ihr das so?

    Ganz einfach: Als Nicht-Sicherheitsexperte nehme ich es interessiert (und schulterzuckend) zur Kenntnis. Solange ich Windows nach meinen Bedürfnissen einstellen, durch Skripte automatisieren, meine Software problemlos zum Laufen bringen, Updates/Upgrades problemlos installieren kann, bin ich zufrieden. Ich halte Malware in jeder Form von Windows fern, installiere also weder Dummenfang wie AV-Schlangenöl noch sonstige Malware/Crapware (auch der Windows-Defender ist deaktiviert).
    Als Anwender habe ich nur ein Interesse: alles muss problemlos laufen. Das ist nun mal der Fall seit Win XP bis heute in Win 10 – trotz und mit der oben geschilderten Problematik. Diese läuft für mich unsichtbar unter der Oberfläche zwischen MS und den diversen Sicherheitsexperten ab.
    Der Sicherheitsexperte Sandro Gaycken hat mal erwähnt, dass man es durchaus besser machen könnte und als Beispiel das CRASH-Projekt genannt, Stichwort “Sichere IT statt IT-Sicherheit”.
    https://breakingdefense.com/2012/12/darpa-crash-program-seeks-to-reinvent-computers-for-better-secur/
    Da müsste man aber all den stümperhaft gefrickelten Betrübssystem-Müll wie Windows, Linux usw. in die Tonne kippen und grundsätzlich neu anfangen. Vielleicht kommt das ja mal in ferner Zukunft.
    Siehe auch: https://www.youtube.com/watch?v=sxzCbLRbIkA&t=72

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.