Sammelbeitrag: Sicherheitsvorfälle und -Meldungen (8.2.2024)

Sicherheit (Pexels, allgemeine Nutzung)Aktuell schwappt eine Welle an Meldungen zu Sicherheitsvorfällen durch das Internet, die eine regelrecht erschlägt. Das reicht vom Nonsense DDoS-Angriff "vernetzter Zahnbürsten", zu Cybervorfällen bei französischen Gesundheitsdienstleistern oder Datenschutzvorfällen bei deutschen Behörden. Und der Bundesrat will Firmen wie Microsoft in die Pflicht nehmen, dass deren Produkten DSGVO-konform sind. Ich habe einige Fälle, die mir gerade untergekommen sind, in einem Sammelbeitrag zusammen getragen.


Anzeige

Die Zahnbürsten und der DDoS-Angriff

Es war eine "Gaga-Meldung", die durchs Internet fegt: Cyberkriminelle hätten schon rund 3 Millionen smarte Zahnbürsten mit einer Schadsoftware infiziert, um die vernetzten Geräte in Botnetze einzugliedern und damit DDoS-Angriffe auf verschiedene Onlinedienste auszuführen. Golem hat das mit Verlinkungen auf diverse Quellen (u.a. die Aargauer Zeitung als Ursprung) hier aufgegriffen.

DDoS-Angriff per Zahnbürste?

Kevin Beaumont weist in obigem Tweet darauf hin, dass diese Geschichte über Zahnbürsten, die einen DDoS auslösen, fabriziert haben, wohl von Fortinet lanciert wurde (über Fortinet habe ich gerade was im Beitrag Niederlande: Militärnetzwerk über FortiGate gehackt; Volt Typhoon-Botnetz seit 5 Jahren in US-Systemen geschrieben). Die Firma weigerte sich, diese Geschichte zu kommentieren, aber deren Aktienkurs schoss plötzlich in die Höhe, heißt es im Tweet. Sicherheitsforscher Beaumont verlinkt auf diesen Beitrag von Bleeping Computer, dessen Kurzfassung besagt, dass keine 3 Millionen elektrische Zahnbürsten für einen DDoS-Angriff verwendet wurden. Lawrence Abrams weist darauf hin, dass die Annahme, dass elektrische Zahnbürsten mit Malware gehackt wurden, um DDoS-Angriffe (Distributed Denial of Service) durchzuführen, wahrscheinlich ein hypothetisches Szenario und kein tatsächlicher Angriff ist. Bleeping Computer hat eine Erklärung von Fortinet erhalten, die das bestätigt.

Sicherheitsupdates von Cisco, Fortinet, VMware

Von den drei genannten Anbietern Cisco, Fortinet und VMwaregibt es wohl neue Sicherheits-Updates, die Nutzer dringend einspielen sollten, da gravierende Gefahren durch die Übernahme der Systeme drohen. Das geht aus nachfolgendem Tweet hervor, der mir heute früh untergekommen ist.

Sicherheitsupdates von Cisco, Fortinet, VMware

The Hacker News hat in diesem Artikel die relevanten Informationen zu diesen Schwachstellen und den erforderlichen Updates zusammen gefasst. Cisco patcht drei Schwachstellen – CVE-2024-20252 und CVE-2024-20254 (CVSS-Score: 9.6) und CVE-2024-20255 (CVSS-Score: 8.2) – die sich auf die Cisco Expressway Series auswirken und es einem nicht authentifizierten, entfernten Angreifer ermöglichen könnten, Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen.

Fortinet hat von Updates veröffentlicht, um Umgehungen für eine zuvor bekannt gegebene kritische Schwachstelle (CVE-2023-34992, CVSS-Score: 9.7) in FortiSIEM Supervisor zu beheben. Diese kann laut dem Horizon3.ai-Forscher Zach Hanley zur Ausführung von beliebigem Code führen. VMware warnt vor fünf mittelschweren bis schwerwiegenden Fehlern in Aria Operations for Networks (ehemals vRealize Network Insight). Details finden sich im The Hacker News-Beitrag.

Datenpannen bei Gesundheitsdienst und Behörden

Dann hat es noch einen Cyberangriff auf den französischen Gesundheitsdienst Viamedis gegeben, bei dem persönliche Daten von Versicherten abgezogen wurden. Das geht aus nachfolgendem Tweet hervor, der gleichzeitig auf einen zweiten Vorfall bei Almerys hinweist.


Anzeige

Cyberangriff auf Gesundheitsdienstleister

CSOnline hat zu Viamedis mehr Details in diesem Beitrag zusammen getragen. Ein weiterer Beitrag dazu findet sich auf Bleeping Computer. Ergänzung: Bleeping Computer schreibt hier, dass der Datenschutzvorfall bei Viamedis und Almerys insgesamt 33 Millionen Franzosen betrifft. Sind aber halt "bloß Gesundheitsdaten" – da warten wir doch gespannt auf die super sichere deute ePA, da kriegen wir 70 Millionen GKV-Versicherte zusammen.

Blog-Leser Patrick sowie Honkhase weisen auf einen Datenskandal in Lörrach hin. Personenbezogene Daten von Grundbesitzern waren nach SWR-Recherchen offen im Internet abrufbar. Details finden sich in diesem SWR-Bericht.

Festes Passwort in Firmware von Wärmepumpen

Bolko hatte bereits zum 5. Februar 2024 im Diskussionsbereich auf ein Problem in der Firmware von Wärmepumpen diverser Hersteller hingewiesen. Die Firmware der Hersteller von Wärmepumpen (Alpha Inntotec, Novelan und deren OEMs AIT-Deutschland und Nathan/NIBE) weist im Luxtronic-Controller ein fest kodiertes Passwort ("eschi") auf, dass root-Rechte gewährt. Ein Nutzer mit dem Alias Jaarden hat das Ganze auf Github in diesem Beitrag offen gelegt.

Per RS-45-Netzwerk-Schnittstelle wären die Geräte so manipulierbar. Bolko erwähnt, dass, dank des laufenden ssh-Dienstes, die Wärmepumpen dieser Hersteller von außen über das Internet erreichbar  sind. Ein Angreifer könnte dann die Temperatur umstellen oder das Gerät abschalten. Laut der der Suchmaschine Shodan lassen sich 47 angreifbare Wärmepumpen im Internet finden.

Die Benachrichtigung über die Schwachstelle erfolgte bereits am 13.Juni 2023 an die Hersteller. Die Schwachstelle CVE-2024-22894 wurde erst am 30.Januar 2024 veröffentlicht. Der OEM AIT hat wohl einen Fix für die Geräte entwickelt, der aber nicht automatisch verteilt wird, sondern manuell heruntergeladen und installiert werden muss. Alle Firmware-Versionen des Luxtronic-Controller vor den Versionen V2.88.3, V3.89.0 und V4.81.3 sind verwundbar. Bei heise gibt es aktuell diesen Beitrag mit Erläuterungen zum Update der Firmware für Alpha Innotec- und Novelan-Wärmepumpen.

QNAP mit Firmware-Updates

NAS-Hersteller QNAP hat eine Reihe Firmware-Updates veröffentlicht. Details dazu gibt es bei heise in diesem Beitrag.

Weitere Nachrichten

Abschließend noch Themen, die irgendwie in den Bereich Sicherheit hinein passen. Der Bundesrat möchte Softwarefirmen in die Pflicht nehmen, DSGVO-konforme Produkte bereitzustellen. Und die CANN hat die Top-Level-Domain .internal vorgeschlagen.

Anbieter sollen für DSGVO haften

Bisher ist es so geregelt, dass Anwender für DSGVO-Verstöße durch die eingesetzte Software haften. Zum Problem wird dies, wenn Software angeboten wird, die per se nicht DSGVO-konform ist. Hier wird jeder spontan an Microsofts Office 365 und weitere Cloud-Lösungen oder auch Windows denken, die von der deutschen Datenschutzkonferenz als nicht DSGVO-konform eingestuft wurden.

Andererseits zeigen der EU Digital Service Act und Digital Markets Act, dass sich die US-Hersteller bewegen und es gesetzliche Auflagen gibt. Erwähnt sei die Anpassung von Windows, so dass sich die Bing-Suche und der Edge-Browser deinstallieren lassen. Auch der Microsoft Copilot wird in der EU nicht einfach so auf die Anwender losgelassen.

Die Tage ging die Meldung durch IT-Medien (heise hat hier berichtet, deskmodder hat es hier angesprochen), dass die Ländervertreter im Bundesrat die Anbieter von Software – vor allem zielt das auf Microsoft – in die Pflicht nehmen, ihre Produkte DSGVO-konform zu gestalten. heise formuliert es so, dass Anbieter wie Microsoft für die Einhaltung der DSGVO in ihren Produkten haften sollen. Der Beschluss des Bundesrats vom 2.2.2024 ist als PDF-Dokument abrufbar. Die Interpretation lest ihr in den beiden verlinkten Medien nach – bin gespannt, ob das in die 2024 stattfindenden EU-Evaluierung zur DSGV einfließen wird.

ICANN schlägt TLD .internal vor

Zum 26. Januar 2024 hatte ich im Blog-Beitrag FRITZ!Box-Problem: Eingabe der URL fritz.box leitet plötzlich auf externe Seite um über ein Problem berichtet, welches Besitzer einer FRITZ!Box von AVM plagen konnte. Versuchten die Nutzer die Oberfläche der FRITZ!Box über die Angabe der URL fritz.box zu erreichen, landeten sie nicht auf der Oberfläche des Geräts sondern wurden zu einer externen Webseite weitergeleitet. Jemand hatte sich die URL fritz.box abgegriffen und dort eine Webseite aufgesetzt.

Normalerweise ist das in internen Netzwerken kein Problem, weil die FRITZ!Box den Verkehr auf fritz.box intern auf die FRITZ!OS-Oberfläche umleitet und keine externe DNS-Auflösung vornimmt. Im aktuellen Fall war es aber so, dass externe Zugriffe auf die FRITZ!Box umgeleitet wurden – was vor allem auch für Apps ein Problem darstellen kann.

Mir ist Ende Januar 2024 bereits bei The Register der Beitrag ICANN proposes creating .INTERNAL domain to do the same job as 192.168.x.x aufgefallen, der sich mit einem seit 2020 bestehenden Vorschlag des ICANN Security and Stability Advisory Committee (SSAC) für private Top Level Domains (.tld) befasst. Konkret hat die Zentralstelle für die Vergabe von Internet-Namen und -Adressen (ICANN) die Einrichtung der neuen Top-Level-Domain (TLD)  .INTERNAL vorgeschlagen. Diese .INTERNAL TLD soll die Rolle des der IPv4-Block 192.168.x.x übernehmen und für den internen Gebrauch reserviert bleiben. Damit würde diese TLD niemals in das Domain Name System (DNS) oder eine andere Infrastruktur eingebunden werden. Damit würde nicht zugelassen, dass URLs aus diesem TLD zum Stammverzeichnis des globalen Domain-Namen-Systems (DNS) delegiert werden. Damit wären von dieser TLD keine Zugriffe vom offenen Internet aus möglich.

Mozilla wirft MS beim Edge Dark-Pattern-Verwendung vor

Noch eine Geschichte vom Monatsanfang. Die Entwickler von Mozilla werfen Microsoft vor, Dark Patterns einzusetzen, um Windows-Nutzer zu Microsoft Edge als Browser zu treiben. Unter Dark Patterns verstehen die Mozilla-Leute  Designelemente, die Menschen zu bestimmten Entscheidungen drängen sollen. The Register hat das Thema in diesem Beitrag aufbereitet.

NOYB obsiegt gegen Adresshändler Acxiom und Kreditauskunftei CRIF

Ich hatte im Blog-Beitrag DSGVO und die "Ohnmacht" der Datenschutzbehörden gegenüber Firmen – Teil 1 den Fall aufgegriffen, dass die deutschen Datenschutzbehörden im Verfahren wegen Datenschutzverstößen gegen den Adresshändler Acxiom versagen. Dieser hatte Daten an die Scoring-Agentur CRIF verkauft. Das war laut der Organisation noyb rechtwidrig, weil diese Daten ursprünglich nur zu Marketingzwecken erhoben wurden. Der Anbieter CRIF sie aber zur Einschätzung der Kreditwürdigkeit verwendet. Die Beschwerden bei den Landesdatenschutzbehörden in Hessen und Bayern verliefen aber zwei Jahre im Sande, bzw. Anwälte der Firmen verhinderten die Aufarbeitung.

Nun wies Norddeutsch im Diskussionsbereich (ich hatte es auch von noyb als Tweet gesehen) darauf hin, dass Max Schrems mit noyb einen Teilerfolg errungen hat. Wie Netzpolitik hier berichtet, hat noyb bei der bayerischen Datenschutzbehörde einen Erfolg errungen. Die Behörde stellte fest, dass die Kreditauskunftei CRIF personenbezogene Daten zweckentfremdet und somit die Datenschutz-Grundverordnung verletzt habe. Dürfte dann einen Bescheid geben, der eine Grundsatzentscheidung darstellt. Es bewegt sich also was, wenn auch langsam.

Meta darf Konto nicht ohne weiteres sperren

Noch ein Informationssplitter, der mich sofort getriggert hat. Bei Facebook teilt mit deren KI ja häufiger mit, dass die von mir geposteten Hinweise mit Links auf Beiträge hier im Blog "gegen Gemeinschaftsstandards verstoßen würden". Es wird auch schon mal eine Kontensperre angedroht. Sind zwar alles "Fehlarme", und oft heißt es beim Versuch, die beanstandeten Beiträge zu inspizieren "nein, alles in Ordnung". Bots, die massenhaft in meinen Facebook-Posts einschlagen und kommentieren "hast Du einen Sicherheitsvorfall, kontaktiere xyz und dir wird geholfen", werden von den Facebook-Algorithmen in meine Zeitleiste gespült und ich darf die melden sowie manuell löschen.

In diesem Kontext habe ich das Urteil des OLG Dresden zu Facebook-Kontensperren mit Interesse gelesen. "Die Deaktivierung eines Nutzerkontos in Sozialen Netzwerke ist ohne Anhörung des Users nur in besonderen Fällen zulässig.", schreibt heise in diesem Artikel. Der Betroffene muss angehört werden, sofern nicht besonders schwere Verstöße gegen die Gemeinschaftsstandards beziehungsweise strafbare Handlungen vorliegen. Obwohl, ganz ketzerisch: In Deutschland kann es ja schon strafbar sein, über Sicherheitslücken zu berichten, wie wir im Fall Modern Solutions gesehen haben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu Sammelbeitrag: Sicherheitsvorfälle und -Meldungen (8.2.2024)

  1. Gerold sagt:

    Sport ist gesund …

    Cyberangriff betrifft eine Million Schweizer Hobby-Sportler – das wissen wir
    Die Firma Datasport, bekannt für Breitensport-Anlässe wie den Engadiner Skimarathon, ist gehackt worden. Nun bieten Cyberkriminelle massenhaft gestohlene Daten zum Kauf an. Wohl auch die des watson-Redaktors.

    https://www.watson.ch/digital/sport/792031551-datasport-gehackt-1-million-hobby-sportlerinnen-und-sportler-betroffen

  2. mw sagt:

    Mal ganz abgesehen von der Bullshit Propaganda von Forti, was zum Teufel soll eine Zahnbürste mit Internet Konnektivität. Wie bekloppt müssen menschen sein, um sich so einen heißen Sch….ß zuzulegen. [kopfschüttel]

    • Hobbyperte sagt:

      Nicht die Käufer sind "blöd", sondern – wie so oft – der Gesetzgeber! Warum? Weil der Käufer keinen Einfluss auf die Konstruktion des Produktes hat, er kann sich nur für oder gegen den Kauf entscheiden. (Und erfährt meist erst nach dem Kauf, wie der Datenfluss durch die Programmierung der Software im Gerät vorgegeben ist.)

      Und warum werden derartige Produkte, zb. auch Blutdruckmeßgeräte oder Speicherkarten mit eingebautem WLAN (Für Fotoapparate ohne WLAN-Funktionalität) immer so Konstruiert, das die Daten erst zum Hersteller und dann wieder zurück zum Kunden fließen?

      Im schlimmsten Fall sind die Produkte noch so Programmiert (Software), dass sie überhaupt nur dann ihren eigentlichen Zweck erfüllen, wenn sie eine Internetverbindung haben, so dass der Datenfluss zu den Herstellern sichergestellt ist …

      Na warum wohl wird das so gemacht? Ich denke diese Frage kann sich jeder selbst beantworten…

    • Bolko sagt:

      Wenn solche Daten in die Hände von Versicherungen gelangen, dann können die damit Geld sparen.
      Der Kunde hat eine Zahnersatzversicherung abgeschlossen und im Kleingedruckten steht etwas über Anzahl und Dauer der Zahnputzvorgänge drin.
      Die Versicherung zahlt nicht, wenn der Kunde seine Zähne nur 2 mal am Tag oder nur 2 Minuten statt 3 Minuten geputzt hat.

      Manche Krankenversicherungen sind auch günstiger, wenn man sportliche Betätigung nachweist.
      Es gibt sogar Zuschüsse für Smartwatch.
      Die Krankenkasse kann einen dann ausspionieren, indem Bewegungsprofile angelegt werden.

      Autoversicherungen sind auch günstiger, wenn man sich einen Fahrtenschreiber ins Auto einbauen lässt.
      Dann hat die Versicherung nämlich mehr Möglichkeiten, die Zahlung zu verweigern.

      Weil da sehr viel Geld im Spiel ist könnten die Versicherungen die Hersteller schmieren, damit die dann Überwachungsfunktionen in die Geräte einbauen.

    • M.D. sagt:

      Die Zahnbürste könnte Dir, die richtigen Sensoren vorausgesetzt, direkt einen Termin beim Zahnarzt buchen, Meldungen über Putzvorgänge bei Deiner KK machen, die Zusammensetzung Deiner Mundflora — und je nach Ernährung auch Fauna — interessierten Firmen zur Forschung zur Verfügung stellen, etc …

      Wenn das kein Fortschritt ist … ? Ironie OFF.

  3. Ärgere das Böse! sagt:

    Die Aargauer Zeitung kann man schon lange nicht mehr ernst nehmen. Die tun seit langem alles, um nur ein paar mehr Besucher auf der Webseite zu haben.

    Dazu gehört auch, Menschen durch den Dreck zu ziehen, alles erstunken und erlogen natürlich, um ein paar Clicks zu erhalten. Ruft man dann dort an, und will wissen, ob sie den überhaupt richtig nachgeforscht hätten, bevor sie jemanden auf ihrer Webseite durch den Dreck ziehen, erhält man die Antwort, dass man in der heutigen Zeit dafür keine Zeit hätte, man brauche Besucher auf der Webseite. !

    • Bernd B. sagt:

      Das ist bei Weitem zu pauschal und in diesem Fall schlicht falsch.
      Übrigens haben sie heute eine Richtigstellung publiziert, lesen Sie die ruhig mal!

      www(.)aargauerzeitung(.)ch/wirtschaft/cyberangriff-die-gehackten-zahnbuersten-gehen-medial-um-die-welt-und-loesen-fragen-aus-wie-es-dazu-kam-ld.2577182

      • Ärgere das Böse! sagt:

        Zu pauschal?

        Mir sind 2 Personen bekannt, welche von der AZ verheizt wurden.
        "…Ruft man dann dort an, und will wissen, ob sie den überhaupt richtig nachgeforscht hätten, bevor sie jemanden auf ihrer Webseite durch den Dreck ziehen, erhält man die Antwort, dass man in der heutigen Zeit dafür keine Zeit hätte, man brauche Besucher auf der Webseite. !…"
        Ist eindeutig genug, oder nicht?

        • Bernd B. sagt:

          Hörensagen aus dem Paulanergarten als 'anekdotische Evidenz'. Jetzt haben Sie mich überzeugt!

          • Ärgere das Böse! sagt:

            Eine der Personen bin ich.
            Ich weiss, was die AZ über mich geschrieben hat, weil ich den Philipp Z. höchstpersönlich noch am Telefon hatte, und den Hanswurst gefragt habe, ob er denn richtig recherchiert hätte. Seine Qualitäts-Journalisten-Antwort steht oben. Ich hoffe, Du verstehst sie.

            Von der anderen Person wurde ein Leserbrief veröffentlicht, der die Machenschaften der AZ an den Pranger stellte.

          • Ärgere das Böse! sagt:

            Ist mir noch in den Sinn gekommen:
            Den Anstoss zur Hass-Kampagne hat der Islam-Wissenschaftler Daniel F., auch Qualitäts-Journalist der AZ, gemacht.
            Vermutlich, weil ich nicht an der Religions-Krankheit leide.

  4. Bernd sagt:

    Mit ist das nun alles zu unsicher geworden, dieses nimmt immer mehr zu. Ich habe nun bei meinem Provider alles gekündig und ziehe mich vollständig in den Analog-Bereich zurück, denn dieses Inet benötige ich nicht wirklich und ein Online-Bankkonto hatte ich nie und werde ich auch nie haben. Es wird immer eine Bank geben die sich auch über Offline-Kunden mit dicken Konto freuen wird. Haha! Macht es gut!

    • Hobbyperte sagt:

      Na mal sehen, wie lange diese an sich sinnvolle Einstellung durchhaltbar ist, jetzt wo wir endgültig von schwachsinnigen Idioten regiert werden, die alle staatlichen Dienste unbedingt "digitalisieren" wollen . . . Und bei der Wirtschaft, auch Banken, ist der Trend ebenso klar, das alles nur noch mit Internet funktioniert. Spätestens wenn der Lobbyismus es geschafft hat das Bargeld so weit zu verdrängen, das der Staat bereit sein wird es ganz Abzuschaffen, muss man Online-Konten haben. Und sei auch die kontaktlose Bezahlkarte die einzige Verbindung zum Netz. Zumal man die auch mit Offline-Konto, trotzdem im Portemonnaie mit sich herum tragen MUSS …

      Ich befürchte der Irrsinn Internet wird erst nach einem totalen Zusammenbruch enden, dann nämlich, wenn mit ihm auch die Zivilisation als solche ihr Ende findet … düstere Zeiten, die da kommen werden, irgendwann, vielleicht schon sehr bald, viel früher als uns allen lieb sein kann, wer weiß …

      (Kein Internet: keine Telekommunikation, keine Medien (Radio, TV …), keine Logistik, keine Bezahlfunktionen …. ohne I-Net geht schon heute gar nichts mehr, Dank blinder Profitgier in "der Wirtschaft" und schwachsinniger Entscheider, vor allem auch Politiker)

    • Gerold sagt:

      Dann kannst Du ja nicht mehr Günters Blog lesen und weisst dann gar nicht mehr was in der digitalen Welt so vor sich geht.
      Du hast ja viel Kohle, vielleicht kannst Du Günter dafür bezahlen dass er dir die täglichen Blogbeiträge ausdruckt und mit der Post schickt.

    • M sagt:

      zero-trust at it´s best ;)

    • Patrick sagt:

      Mit welcher Schreibmaschine hast du deinen Beitrag geschrieben? Ich such noch eine für meine Reportagen.

  5. J.M sagt:

    Ich muss "Hobbyperte" gewissen Sinne recht geben.Die allgemeinen Auswüchse was die"Digitalisierung"betrifft sind manchmal hanebüchen.Habe mal geschrieben das wir eh bald von den Maschinen geleitet werden.Die KI halte ich für eine gewisse "Gefahr".
    Der Co-Pilot schreibt mittlerweile in sehr gutem Text auf meine "Wünsche".
    Der erste Patient bekam nun seinen "Chip"eingepflanzt.Daher grösste Gefahr falls wir
    in einem totalitärem System landen.Das Internet ist ein Segen und Fluch gleichzeitig.
    Segen:Ein gigantischer "Wissensbrunnen",Fluch:Abhängigkeit vom System selbst!!!
    Es gibt kein Zurück mehr!!!.Wir wären wieder im Mittelalter,Chaos inklusive.
    Ja Daten sind ein wertvolles Gut.Dieselben dürfen nur nicht in falsche Hände gelangen.
    Zu den Vorfällen:Das Hauptübel ist die Person an der Tastatur!!!,dies wurde schon x-mal hier vorgebracht.Daher müssen die Admins und Privat-User ihre System im Griff
    haben.Manche User sind realitätsfremd.Die meinen,ach ich sitze vor meiner Kiste,was
    soll mir schon passieren.DAS NETZ IST EIN EIGENES UNIVERSUM.
    Zu Risiken und Nebenwirkungen fragen sie bitte……

  6. Bolko sagt:

    Windows hat viele ernste Sicherheitsprobleme, die konstruktiv bedingt sind und sich nicht auf patchbare Sicherheitslücken beschränken.

    – Benutzer mit eingeschränkten Rechten können im Hauptverzeichnis oder im Windows-Ordner Unterordner anlegen.
    Korrekt wäre, wenn die Benutzer das nur innerhalb ihres Home-Ordners machen dürften

    – Benutzer mit eingeschränkten Rechten haben Ausführungsberechtigung in den Ordnern, wo sie Schreibrechte haben.
    Korrekt wäre, wenn die Benutzer nur in den Ordnern Ausführungsberechtigung hätten, wo der Administrator die Programme installiert hatte und wenn diese Ausführungsberechtigung extra ausdrücklich als Dateiattribut manuell von einem Administrator vergeben werden muss.
    Bei Windows reicht runterladen, ausführen, fertig ist die Infektion (auch unerkannt als Drive-by).
    Bei Linux geht sowas gleich zweimal nicht, da falscher Ordner und fehlendes Attribut.

    – Man kann Mock-Ordner anlegen, also Ordner, mit einem Leerzeichen hinter bekannten Ordnernamen, wie etwa "Windows \\System32", die dann für das Betriebssystem wie ein Betriebssystemordner verarbeitet werden (eat-space Routine von den Microsoft-"Genies").
    Dadurch kann man zum Beispiel die UAC umgehen.

    – Software Restriction Policies (SRP) hat einige Lücken.
    Im Windows-Ordner sind nicht alle Ordner verboten, wenn man das nicht noch zusätzlich korrigiert.
    Scripte müssen auch noch extra verboten werden, weil die SRP diese sonst nicht erfasst.
    Ein Standard Windows 7 braucht noch zwei Hotfixe oder das Convenience Rollup, weil sonst die Datei APPCERT.DLL fehlt und man dadurch SRP umgehen könnte.
    Aber auch andere Windows-Systeme brauchen noch hier und da ein paar Updates, damit SRP wirklich funktioniert (siehe der lange Artikel von Stefan Kanthak zu SAFER, Abschnitt Prerequisites).

    – mit rundll32.exe lassen sich auch fremde dll-Dateien wie eine exe starten, auch aus diesen Mock-Ordnern, unter Umgehung der UAC.

    – Zertifikate werden gar nicht richtig überprüft, denn wenn man ein gültiges Zertifikat von einer legitimen korrekt signierten Datei einfach kopiert und an eine andere Datei "klebt", dann wird die zweite so maskierte Datei von Windows nicht blockiert, sondern sie bleibt startfähig. Das kann man zwar mit Applocker durch die Hashprüfung verhindern, aber Applocker ist im Standard ausgeschaltet und bei den Home- und Pro-Versionen nicht verfügbar, weil der Gruppenrichtlieneneditor fehlt. Nur Enterprise- und Ultimate-Versionen haben diesen Editor und damit Applocker.

    – Manche Windows-eigenen Dateien sind gar nicht signiert.
    Audio-Codecs wie l3codeca.acm zum Beispiel.
    Windows versucht aber trotzdem, für solche Dateien Hashes zu finden im Ordner \\Windows\\System32\\catroot und sucht sich da einen elendigen Wolf angesichts von dort gespeicherten tausenden, manchmal zehntausenden Dateien.
    Sowas ist auch für manchmal minutenlange Startverzögerungen verantwortlich, sobald ein neuer User angemeldet wird. Das kann sogar zu Verbindungsabbrüchen bei Remoteverbindungen führen, weil die Hash-Suche länger dauert als der Timeout für die Verbindung.

    – Dateinamenerweiterungen sind ausgeblendet (Info.pdf.exe)
    Im email-Anhang sieht man eine Info.pdf und wenn man da drauf klickt hat man die exe im System.

    – Der Ransomwareschutz (Ordner-Überwachung) funktioniert offensichtlich bei Windows 10 nicht, denn sonst wären die Ransomwareangriffe ja allesamt erfolglos.

    Mir fallen noch mehr Schwachstellen im Windows ein, aber die Mühe das alles aufzulisten ist eh vergeblich, weil sich ja sowieso seit Jahrzehnten daran überhaupt nichts bessert, obwohl man Microsoft da mehrfach drauf hingewiesen hat. Die können es nicht und die wollen es nicht ändern.

    Also praktisch nahezu freie Fahrt für Infektionen aller Art.

    Da Microsoft auch nach Jahrzehnten diese offensichtlichen Schwachstellen nicht korrigieren will, sollte man Windows und sonstige Software von Microsoft prinzipiell gar nicht mehr einsetzen, weil der Aufwand zur Absicherung enorm hoch ist.
    Einfach europaweit diesen Müll gesetzlich verbieten, am besten noch im Grundgesetz festschreiben. Erst dann wird sich was ändern.
    Dass es auch ohne Windows funktioniert zeigen Staaten wie China, wo der Einsatz von Windows in Behörden verboten wurde.

    Man muss konsequent nur noch open-source einsetzen und Betriebssysteme, die schon beim Entwurf auf Sicherheit und strikte Rechteverwaltung ausgelegt worden sind.

    Da schlage ich openSUSE und Debian vor.

    Manche Programme laufen zwar bisher nur unter Windows, aber das sollte dann ein Problem der Hersteller dieser Software sein, diese auf funktionierende Betriebssysteme zu portieren.
    Es gibt Software, die muss nichtmal portiert werden, sondern läuft sofort ohne die geringsten Änderungen, da ist nichtmal eine Neukompilierung nötig (Java).
    Programme wie Gimp, Blender oder Lightworks beweisen auch, dass man mit geringem Aufwand sowohl auf Windows als auch auf Linux nativ lauffähig sein kann.
    Warum also stellt sich Adobe so quer mit Photoshop oder Lightroom? Das sind doch keine technische Probleme, sondern benutzerfeindliche Firmenpolitik eines Kartells.

  7. Bolko sagt:

    Facebook hatte mich vor einigen Jahren mal angeschrieben, die wollten eine Ausweiskopie von mir haben.
    Habe ich verweigert.
    Mein Konto wurde daraufhin gesperrt.
    Einfach so ohne sonstigen Grund.
    Facebook und Meta stehen bei mir auf der ganz schwarzen Liste.
    Wo kommen wir denn hin, wenn jeder dahergelaufene Konzern meinen Ausweis haben will?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.