Eigentlich Werbung für Sicherheit & Vista

von Georg Binder 9. August 2008 17:48

Mal ein Artikel der anderen Art. Ich schreibe hier eine kleine Aufklärung oder Entgegnung zu Artikeln, die höchstwahrscheinlich erst in den nächsten Stunden/Tagen auf anderen Webmedien online gehen. Mal sehen ob ich recht habe :)

Worum geht es?

Auf der von Microsoft mitgesponsorten Black Hat Security Konferenz gab es einen Vortrag mit dem Titel "How to Impress Girls with Browser Memory Protection Bypasses". Den technischen Background dazu findet man diesem PDF: http://taossa.com/archive/bh08sotirovdowd.pdf

Windows Vista hat viele neue Sicherheitsmechanismen eingeführt, die Out-of-the-box mit dabei sind: ASLR, DEP, Heap Protection,... Wie jede Sicherheitsmaßnahme, lassen sich diese möglicherweise umgehen,... darum geht es jedenfalls in dem Vortrag.

Wir werden in Kürze ziemlich sicher tolle und super reißerische Artikel lesen mit knackigen Headlines wie "Vista Sicherheit komplett sinnlos",... obwohl die ganze Geschichte *eigentlich* eher Werbung ist für Vista, ... Die werte Presse wird das wohl nicht so sehen.

Deswegen hier ein paar Argumente vorab, warum man die Kirche im Dorf lassen sollte:

  • XP/Server 2003 wäre um ein vielfaches mehr betroffen, als Vista oder Server 2008, da die neu eingeführten Sicherheitsmaßnahmen in den alten Betriebssystemen nicht implementiert sind - und deshalb erst gar nicht umgangen werden müssen.
  • Die im Paper als Beispiel verwendete Sicherheitslücke (CVE-2007-0038) wurde sechs Tage nach der Entdeckung im März 2007 geschlossen. Siehe Security Bulletin. Deswegen funktioniert der Sample-Code auch nicht mit Vista SP1 bzw. Server 2008. Oder einem Windows, das automatische Updates einspielt. Es braucht für das Ausnutzen der beschriebenen Umgehungstechniken immer noch eine Sicherheitslücke,...
  • Die Lücke CVE-2007-0038, die als Beispiel für die Exploits dient, lief unter Vista schon damals nur, wenn der Internet Explorer als Administrator gestartet war (sprich UAC ausgeschalten).
  • Ebenso dient der IE nur als Beispiel. Andere Browser sind genauso, bzw. ähnlich betroffen. (in einem Punkt ist Firefox 3 dem IE voraus: dort ist DEP bereits aktiviert, beim IE erst IE8).
  • Kritisiert wird, dass PlugIns (Java, Flash, .net) im Browserprozess mit den selben Rechten laufen, wie der Browser. Tja, und der läuft allerdings (wenn man sein System nicht selbst unsicher macht) im Protected Mode. Protected Mode heißt: selbst wenn der Browser kompromitiert wird, ist der potentielle Schaden gering. Dennoch: Attacken richten sich immer mehr gegen PlugIns, da sie das leichtere (sprich unsicherere) Ziel sind. Wer die Wahl hat, Vista direkt anzugreifen oder Flash wird eher Flash attackieren (dann geht der Exploit oft auch gleich auf Macs und Linux).

Fazit: 

Jegliche Panikmache oder sensationslüsterne Artikel sind fehl am Platze. Neben einer - so weit ich das beurteilen kann - beachtlichen Leistung der Autoren und Speaker auf der Black Hat Alexander Sotirov (VMWare) und Mark Dowd (IBM), bleiben eigentlich bekannte Schlüsse:

  • Vista und Server 2008 heben die Hürde für Angreifer *ordentlich* an.
  • Jedes Sicherheitssystem kann irgendwie umgangen werden.
  • Einen Browser als Administrator zu starten (egal welchen) ist eine schlechte Idee.
  • Systeme müssen up-to-date gehalten werden.

Damit: Nicht neues im Westen.

Link auf Medien, die es nicht verstanden haben:

  • Platzhalter (vermutlich etwas das mit C beginnt und mit NET weitergeht)
  • Platzhalter d**S******* (deutsche Übersetzung von C***)
  • Platzhalter

Link auf Medien mit technischer Kompetenz
(sprich: die es verstehen, und auch korrekt die Tragweite und Relation erfassen,...)

Wer Links findet auf Medien über die Geschichte, immer her damit...

Tags:  Feed Tag,  Feed Tag,  Feed Tag

Allgemein

Bookmark and Share
Permalink | Comments (24) | Post RSSRSS comment feed

Comments

>

8/9/2008 5:48:00 PM #

Hallo!

Wieviel User es nutzen sagt nichts über die prinzipielle Sicherheit aus. Egal ob die Nutzung bei 1% oder 99% liegt,...

Beispiel: OpenBSD gilt als sehr sicher. Deswegen nutzen es trotzdem nur 0,0001% der User am Desktop (das ist jetzt mal nur geschätzt, bitte verzeihung wenn ich da falsch liege).

Weiters: ob jetzt auf MTV Vista gezeigt wird oder nicht, hat u.U. wenig mit den persönlichen Vorlieben zu tun. Vielleicht bekommen sie die Ausrüstung gesponsort (ja auch von Microsoft). Keine Ahnung, aber den Punkt frag ich nicht mal nach, es hat keine Bedeutung.

@zagibu
Also ich finde den Wert ziemlich gut, denn gerade Gamer sind superkritisch, vor allem weil es ja lange geheißen hat (und auch so war), dass Vista bei Spielen langsamer ist. Mittlerweile ist Vista schneller (oder zumindest gleich schnell): http://www.vistablog.at/stories/26901/

Trotzdem ist der Wert von über 17% (64 Bit mitgezählt) ganz ok. hatte ich auch mal auf Vistablog: http://www.vistablog.at/stories/26616/

@Georg:
Jup, das kenne ich, wenn man was schreibt wird man irre schnell zur Zielscheibe. Du wahrscheinlich noch viel mehr, da Gamestar sicher um einiges mehr Leser hat... Danke für den Link!

Georg Binder | Reply

>

8/9/2008 5:48:00 PM #

Noch eine Seite gefunden, mit einer netten Überschrift, der Text ist auch recht interesant zu lesen Smile
gamestar.de/.../windows_vista_schutzlos.html

Heiß Michael | Reply

>

8/9/2008 5:48:00 PM #

Ich kenne die Steam Statistiken. Es geht nicht darum ob jetzt mehr Leute Vista oder XP benutzen, sondern, ich wiederhole, das "Vista nicht ankommt". Das stimmt eben nicht. Vista kommt an. Sicher ist die Verwendung von Vista bei MTV und Giga nicht unbedingt aussagekräftig... aber sie verwenden es und nicht XP. Und sie scheinen ja wohl nicht so oft Probleme damit zu haben wie so gerne propagiert wird. Aber wieso äussere ich mich eigentlich noch dazu.

Grogoth | Reply

>

8/9/2008 5:48:00 PM #

Also ich stimme natürlich zu, wenn man Windows verwenden will, sollte man inzwischen Vista verwenden, wenn der eigene PC keine uralte Kiste ist. Natürlich ist GameStar kein Security-Portal, aber ich kann in den News auch keine seitenlangen Artikel mit Hintergrund-Informationen verfassen.

In den Kommentaren bekomme ich sowieso immer auf den Deckel, wenn ich irgendeine "negative" Sache berichte. Inzwischen dürfte ich Intel-, AMD-, Nvidia-, ATI-,Apple- und Microsoft-Hasser gleichzeitig sein Smile

Ich denke, ich werde diesen Eintrag hier in den News verlinken, damit sollte der Ausgewogenheit dann gedient sein.

Georg Wieselsberger | Reply

>

8/9/2008 5:48:00 PM #

Nicht nur vermutlich...

www.heise.de/.../114054

;)

PS: Also Heise hat stark nachgelassen! In meinen Augen nur noch eine mehr oder weniger Mainstreetseite mit etwas Know How.
Enorm viele Apple ist Gut Seiten und ausnahmslos Microsoft ist schlecht Seiten.

Oswilde | Reply

>

8/9/2008 5:48:00 PM #

Viele Patches fixen ja Lücken, die nur auf XP oder bei ausgeschaltener UAC angreifbar sind.
Gibt es eine Aufstellung von Sicherheitslücken, die auf einem Vista SP1 mit UAC angreifbar sind?

Daraus sollte eigentlich hervorgehen, dass so ein System relativ dicht ist...

LG

Christian Rackl | Reply

>

8/9/2008 5:48:00 PM #

Wäre spannend. Da frag ich mal nach...

Aber auch an der Umgehung von UAC wird gearbeitet bzw. wie man aus dem low integrity level des IE ausbrechen kann (z.B. theoretisch http://www.uninformed.org/?v=8&a=6&t=pdf ) bzw. kann Schadcode auch im userspace laufen (da gabs auch schon interessante Ansätze).

Georg Binder | Reply

>

8/9/2008 5:48:00 PM #

@Georg
Mein Titel mit der Werbung war so gemeint, dass Vista um einiges mehr Schutz bietet. Dass *jeglicher* Schutz irgendwie umgangen werden kann, das weiß man, wenn man sich mit Sicherheit beschäftigt ja auch durchaus länger.

Was ich vorab mit diesem Artikel erreichen wollte, ist darauf hinzuweisen, dass die verkürzte Panikmache ... nun ja, eben verkürzt ist. Und damit hatte ich eben 100% recht. Einige übliche Kandidaten fehlen mir noch auf meiner Liste (und ich wußte gar nicht, dass Gamestar neuerdings auch ein Security Portal ist, ich dachte eher an Golem, CNET, derStandard.at).

Denn (ohne jetzt einen Gamestar-Leser beleidigen zu wollen, kauf ich selbst öfter & GamePro auch) für den technisch nicht so versierten Leser liest sich das so:

Vista ist unsicher.

Dass er mit XP um x Faktoren unsicherer wäre, und dass diese Angriffe (z.B. auf die Sun Java VM) unter anderen Betriebssystemen 1:1 möglich wären, das wird der Leser nicht wissen (bzw. lesen). Beispiel: der Spraying Angriff auf ASLR ist ziemlich sicher unter OpenBSD auch machbar. Oder unter Leopard (ASLR gibts seit 10.5 auch unter MacOSX).

Dass sich Sotirov und Dowd natürlich das schwierigste Ziel raussuchen, wo vor allem alle Sicherheitsmechanismen in Kraft sind, ist völlig legitim. Die beiden haben auch nicht www.neowin.net/.../vista39s-security-rendered-completely-useless-by-new-exploit"> die NeoWin News verfasst, auf die ich nicht als Argumentation verlinken würde.

Mir gefällt der vergleich von Gorgoth: Letztlich ist es halt so: man kann schon die Hersteller einer Sicherheitstür dafür schlagen, dass man mit 10kg TNT die Tür trotzdem aufbekommt. Aber ist das ein Grund, deswegen die Tür gleich gar nicht zu versperren? Die Angriffe auf Vista / Server 2008 müssen schon um einiges mehr tun, als unter XP notwendig war.

Und deshalb, sei das Lob für Vista gestattet. Ich bin mir auch sicher, dass viele zum ersten Mal bestimmte Begriffe hören und gar nicht wußten, was da in Vista alles drin ist. Dass die "Gegenseite" aufholt, ist völlig klar, das Wettrüsten im Sicherheitsbereich wird wohl nie aufhören.

Der Gamestar Leser sollte nur wissen: wenn er nach Sicherheit geht, dann sollte er Vista verwenden. (au backe, für diesen marketinglastigen Spruch entschuldige ich mich sofort!).

[Für den Standard: Der/Die Gamestar LeserIn wenn er/sie nach SicherheitIn geht, dann sollte er/sie Vista/us verwenden.]

@Grogoth:
Auch UAC ist nicht alles,... in diesem Fall sind es eher die Mandatory Access Control bzw. die integrity level.

Georg Binder | Reply

>

8/9/2008 5:48:00 PM #

Und jetzt wiederholen wir es alle gemeinsam: Wenn die UAC abgedreht wird! Wenn die UAC abgedreht wird! Wenn die UAC abgedreht wird! Wenn die UAC abgedreht wird!

Wenn ich die Türen offen stehen lasse, mit einem Hinweisschild drüber "Hier ist nicht abgesperrt! Und gepatcht wird prinzipiell nicht, weil MS ja eh nur mein Surfverhalten ausspioniert (dann aber gleich Google anwirft)" ... ich mein, ok. Ja. Vista ist schutzlos. Wirklich. Wenn ich alle Schutzmechanismen abdrehe, und jedem Prozess Adminrechte gebe und blindlings herumklicke... dann ist es schutzlos. Zugegeben.

Ich weiss echt nicht was man auf sowas sagen soll. Wundern sich die Leute und beschweren sich beim Magistrat wenn sie nass werden wenn sie ohne Schirm in den Regen raus gehen?

Mir wird das zu blöd.

Grogoth | Reply

>

8/9/2008 5:48:00 PM #

Ja, dass das mit Heise positiv gemeint war, will ich nicht bestreiten!
In vielen Dingen liegen sie auch richtig! Aber oftmals muss ich bei Beiträgen über Apple eine gewisse... Naivität und Verblendenheit festellen.. das meinte ich.

Und die Kommentare darf man dort eh am besten nicht lesen! Laughing

OsWilde | Reply

>

8/9/2008 5:48:00 PM #

Passt zwar nicht mehr wirklich zum Thema, aber apropos Games, und mir fallen solche Dinge auf, wenn Vista nicht ankommt, wieso sehe ich dann bei MTV GameOne bei den PC Games Präsentationen nur noch Vista im Einsatz? Das gleiche Spiel auf Giga. Ihr glaubt mir nicht? zappt mal vorbei, so schwachsinnig das Programm auch sein mag.

Vista kommt nicht an.

Hmmm.

Womit wurden dann diese Screens gemacht:
Black Mesa Source (Half Life 2 Mod) Devblog Screen:
www.blackmesasource.com/.../jk_1.jpg

www.rockpapershotgun.com:
"My other life as a tech reviewer/upgrade obsessive means I do run Vista as my primary operating system, and I can honestly say that, the odd olden game incompatibility aside, I don’t suffer any more trauma from it than I did from XP."

Kotaku sagt Gamern doch was nehme ich an?
http://kotaku.com/search/vista/

Nein, Vista kommt nicht an. Es verwendet nur jeder. Aber es wird sich nicht durchsetzen.

Und dann liest man wieder im Standard, das laut Mojave die User schuld sind. Das es aber genau darum ging, das die Leute die KEINE User sind (und das sollten wohl nach allgemeiner Meinung die Mehrheit sein... oder etwa nicht?) diese Anti Vista Einstellung haben.

Was versteh ich jetzt falsch? Oder drehen sich die Leute die Meinungen und Fakten so hin wie sie sie brauchen? Ach nein, das macht ja nur Microsoft.

Leute ihr seid KRANK!

Grogoth | Reply

>

8/9/2008 5:48:00 PM #

Nein, das mit Heise war positiv gemeint. Ich mach da noch ein Update zur Überschrift. Heise hats - wie vermutet - kapiert und schreibt auch dazu:

"In der Veröffentlichung ist mit keiner Silbe die Rede davon, dass die mit Vista eingeführte Sicherheitsarchitektur der Mandatory Access Control angekratzt worden wäre. In Vista läuft der Internet Explorer und alle von ihm gestarteten Prozesse auf dem Integrity Level Low, von wo aus er nur eingeschränkten Zugriff auf die Dateien und Prozesse des Benutzers (Level Medium) und erst recht keinen auf das System (High und System) hat."

Klar, auch hier hätte man deutlicher dazuschreiben können, dass Betriebssysteme, die einen solchen Schutz gar nicht haben, natürlich umso mehr betroffen sind. Und dass viele Probleme, so gut wie alle Plattformen betreffen (z.B. Überall wo Flash oder Java eingesetzt wird).

Interessant sind noch teilweise die Kommentare, z.B. dass die umgehung von ASLR auch BSD betreffen kann.

Georg Binder | Reply

>

8/9/2008 5:48:00 PM #

Noscript for IE: leider nein. Was ich vor allem an der Erwiertung scätze ist die ienfach und schnelle Benutzung.

Für den IE8 kommt zumindest die Möglichkeit, ActiveX per Site zu erlauben: code.msdn.microsoft.com/.../ProjectReleases.aspx
Wie das dann in der GUI zu machen ist, wird sich zeigen,...

Sonst: zu Flash & Ad block (aber nicht JavaScript) schau mal auf http://www.ie7pro.com

Georg Binder | Reply

>

8/9/2008 5:48:00 PM #

@Georg W.
Es geht ja nicht darum dir eine "auf den Deckel zu geben" aber bei einem so reißerischen Newstitel und dem Inhalt muss auch eine andere Seite gezeigt werden die das ganze in einem anderen Licht darstellt.

Michael Heiß | Reply

>

8/9/2008 5:48:00 PM #

Vielen Dank für die Statistik, sehr interessant zu lesen. Das Alter des Durchschnittlichen Steam-Spielers würde mich auch mal interessieren. Ganz krass sind aber natürlich die drei Gamer mit 127 cpus  :-D

Halti | Reply

>

8/9/2008 5:48:00 PM #

ach scheiß schluchtenscheißer ihr habt überhaupt keine ahnung über vista lernt erstmal deutsch

- | Reply

>

8/9/2008 5:48:00 PM #

Zu diesem unnötigen Beitrag sag ich nur:
http://pixary.net/oesterreich/

Du kannst dir vorstellen welche Position du einnimmst...

Mario | Reply

>

8/9/2008 5:48:00 PM #

So wie ich das sehe ist es das Beste, wenn man Java, JavaScript und Flash grundsätzlich ausschaltet.
Im "Notfall" kann man es ja selektiv für eine Seite aktivieren.
Vor allem im Firefox gibts praktische Erweiterungen dazu wie z.B. Noscript (beim IE hingegen gibts da wieder mal nix und man darf sich durch diverse Menüs hangeln.)

Matthias Strammer | Reply

>

8/9/2008 5:48:00 PM #

Besonders dumm, The Inquirer.

"Muss man an dieser Stelle hinzufügen, dass Rechner mit Linux und Mac OS X nicht von dieser Sicherheits-Problematik betroffen sind?"

www.theinquirer.de/.../...erer-als-angenommen.html

Hannes | Reply

>

8/9/2008 5:48:00 PM #

Bei den oben genannten Systemen handelt sich ja auch nicht um Windows. Kann ja eigentlich nicht funktionieren, weil die ihre Speicherverwaltung usw. ganz anders handhaben. Man darf nicht Äpfel mit Birnen verwechseln.

Genrich | Reply

>

8/9/2008 5:48:00 PM #

Danke für den Link zum IE7Pro, den kannte ich noch nicht Smile

Mathias Strammer | Reply

>

8/9/2008 5:48:00 PM #

Wie ich in den Kommentaren zu den News schon geschrieben habe: Aus den Forschungen und Ergebnissen von Sotirov und Dowd ein "Lob" für Windows Vista herauszulesen, dazu gehört schon ein besonderer Blickwinkel. Es steht eindeutig im Dokument, dass die Schutzmaßnahmen der neueren Windows-Versionen Angriffe zwar schwieriger machen, aber die Attacken immer noch eine gute Chance auf Erfolg haben. Das heißt nichts anderes, als dass die Schtzmaßnahmen nicht wirklich effektiv sind. Und das ist ein Lob? ;)

Dann frage ich mich, warum Sotirov und Dowd erwarten, dass neue Windows Versionen und Browser-Plugins sich dieses Problems annehmen? Wenn doch alles so gut ist, dass "gelobt" wird...

Ich verwende selbst Windows Vista x64 und bin einer derjenigen, die Vista oft gegen dumme Behauptungen verteidigen. Aber in diesem Fall kann selbst ich kein "Lob" erkennen.

Georg Wieselsberger | Reply

>

8/9/2008 5:48:00 PM #

Naja, laut der ständig laufenden Steam-Umfrage verwenden erst 15% der Gamer Windows Vista und noch über 80% Windows XP. Die Umfrage wird direkt aus Steam gestartet, man muss nur anwählen welche Internet-Verbindung man hat, und ob man ein Mikrofon verwendet, die restliche Info holt sich Steam direkt aus dem System. Und statistisch signifikant ist die Umfrage wohl schon bei 1.5 Millionen Teilnehmern.

zagibu | Reply

>

8/9/2008 5:48:00 PM #

Hoppla, hab ich doch glatt den Link vergessen: http://www.steampowered.com/status/survey.html
Windows Version ist der 7te Punkt von unten gezählt.

zagibu | Reply

Add comment




  Country flag

biuquote
Loading



Menü

Home
Über WindowsBlog.at
Archiv
Abonnieren Feed
Kontakt
Twitter

Follow Me

Dieser Blog wird von Microsoft Österreich betrieben.

Offizielle Facebook Fan Page:
facebook.com/windowsdeutsch

Poll

Braucht WindowsBlog ein neues Hintergrundbild?
Show Results

Kommentare

Kommentare RSS

http://www.microsoft.com/austria | © 2009 Microsoft Corporation. Alle Rechte vorbehalten.
BlogEngine.NET 1.5.0.7 powered by atwork