Software Updates werden vollkommen überbewertet

HeartOfGermany said:
Ok, durch Videomaterial?
Click to expand...
Ja, passiert täglich millionenfach beispielsweise auf nahezu allen illegalen Streaming-, Download- und Torrentportalen.

HeartOfGermany said:
Ich kenne zwar die Möglichkeit, Daten in andere Datein (z.B. JPEG) einzubinden, ohne, dass man es merkt, aber wie das über das Decodieren Schaden anrichten kann, kann ich mir wirklich nicht vorstellen. Das übersteigt bei weitem meinen Horizont.
Click to expand...
Man kann es machen wie von ThomasChr skizziert, oder auch mit Methoden ähnlich der Steganographie, oder innerhalb der Metadaten, oder so gar ganz simpel indem man die Intelligenz der Decodierer ausnutzt und falsche MIME-Kodierungen verwendet. Intelligente Malware nutzt eine belibiege Kombinationen dieser Techniken.
Dagegen helfen Virenscanner übrigens gar nicht, ebenso wenig bei Bilddaten, denn diese können sie entweder nicht parsen oder das Parsen würde zuviel Zeit und/oder RAM benötigen, weshalb nahezu alle Virenscanner Bild-, Video- und Audiodaten gar nicht erst anfassen.
Virenscanner können in diesen Fällen nur noch zuschlagen, wenn es bereits zu spät ist aka sich die Malware bereits in der Ausführung befindet.


Unabhängig davon sollte man auf Rechnern welche man für Onlinebanking oder Onlineshopping nutzt, grundsätzlich einen permanennt aktualisierten Virenscanner laufen haben, denn andernfalls hat man ein Haftungsproblem und darf gegebenenfalls auch noch Schadenersatz leisten.
Banken können einen Kunden ohne Virenscanner beispielsweise wegen Vertragsverstosses (Mitwirkungspflicht des Kunden) fristlos und gebührenbehaftet kündigen und dies nicht nur im konkreten Schadensfall.


Ohne Virenscanner steht man auch sonst rechtlich sehr schnell sehr weit im Abseits, denn man hat (vorsätzlich) nicht ausreichend genug versucht, etwaigen Schaden vom Geschädigten fernzuhalten.

Letzteres gilt rechtlich auch bei nicht zeitnah durchgeführten Updates...
 
Das ist wohl der vom gemeinen Deutschen gefundene "Gesunde Menschen Verstand".
Auch der wird völlig überbewertet!
 
Es geht mir darum, dass seit Wochen ein Patch für die Lücke bereit steht (sogar für Windows XP!), nun aber Systeme (die offensichtlich am Internet hängen) angegriffen werden, die nicht up to date sind. QED.
 
Leider ist es die Realität dass viele Systeme (unter anderem aus Faulheit und möglichen Problemen) gerade von großen Firmen sehr selten upgedated werden. Ein Krankenhaus kann halt manche Computer nur schwer in eine (schlimmstenfalls) stundenlange "Updates werden installiert. Schalten Sie den Computer nicht aus." Schleife zwingen während das System vielleicht gerade fürs Röntgen gebrauch wird...
 
Selbstverständlich können auch Krankenhäuser und andere kritische Infrastrukturbetreiber ihre Systeme zeitnah updaten und die Updatezeiten überbrücken, denn dafür gibt es Stand-by-Systeme, man muss sie nur vorhalten.

Interessanter ist da die Frage, weshalb derart kritische Systeme überhaupt am (internen) Netz hängen, denn da gehören sie definitiv und unter keinen Umständen hin.

Naja, so einfache Regeln aka Grundlagenwissen wird heutzutage den IT-Studenten und -Azubis wohl nicht mehr vermittelt...
 
Wenn aber das komische Programm für die tausende von Euro teure Röntgenmaschine nur unter Windows XP läuft?

Klar, dass das nicht am Internet hängen sollte ist eine andere Sache...
 
Last edited by a moderator:
ThomasChr said:
Wenn aber das komische Programm für die tausende von Euro teure Röntgenmaschine nur unter Windows XP läuft?
Click to expand...
Dann muss man halt Siemens auf die Finger klopfen und sie vor die Wahl stellen, dass man künftig auch bei den Mitbewerbern fündig wird.

Die Siemens-Dinger laufen übrigens oft noch unter Win2k und selbst WinNT habe ich dort vor Kurzem noch gesehen. Und nein, es waren keine Embedded-Versionen, sondern die Desktop-Versionen.

Solch alte OS habe ich bisher auch nur bei Siemens-Systemen gesehen, alle anderen Hersteller hatten aktuelle supportete (Embedded) Windows-Versionen, oder gleich RTOS.
 
ThomasChr said:
Leider ist es die Realität dass viele Systeme [...] sehr selten upgedated werden. Ein Krankenhaus kann halt manche Computer nur schwer [zu Updates] zwingen während das System vielleicht gerade fürs Röntgen gebrauch wird...
Click to expand...

Das ist noch schlimmer. Ich hatte da vor einiger Zeit mal ein interessantes Gespräch mit einer Person, die irgendwas mit Gen-Diagnostik macht und die erzählte davon, dass ihnen eine Malware ihren Wärmeschrank kaputt gemacht hat. Das Problem bei den Dingern ist, dass die Hardware von Software gesteuert wird, die meistens auf Windows läuft. Die Hersteller betrachten das System aber als Solid-State und gehen mit der Software um wie mit Hardware. Es wird also nicht geupdated. Natürlich darf der Kunde aber nichts dran verändern, sonst geht die Lizenz/der Support flöten. Ignoranz pur und Updates Fehlanzeige.

Deshalb werden diese Systeme alle mit Air-Gap betrieben. In dem Fall, in dem es um einen Befall eines solchen Systems ging, kam die Malware übrigens per USB-Stick vom Service-Techniker. Ach und die Service-Firma sah übrigens überhaupt nicht ein, dass sie da irgendeine Schuld hätte.

Und da der ganze Markt durch Regulierung und Notwendigkeit zu Zertifizierungen zu einem enorm teuren Betätigungsfeld gemacht wird, können die großen Firmen völlig ungestört an dieser Praxis festhalten. Die Zertifizierungen sind sogar teilweise mit Schuld an der Nicht-Update-Praxis, da das Gesamtsystem zertifiziert wird und nicht nur die Software des Geräts. Somit invalidiert ein Update das Zertifikat.

Das oben geschilderte ist wohl beispielhaft für den gesamten Medizin- und Laborgeräte-Bereich.
 
Joe User said:
Dann muss man halt Siemens auf die Finger klopfen und sie vor die Wahl stellen, dass man künftig auch bei den Mitbewerbern fündig wird.
Click to expand...

Wie das Produkt eines Unternehmen auszusehen hat, welche Bedingungen erfüllt sein müssen, welche Funktionen uvm. wird alles in einer Ausschreibung (und durch "Gesetze") geregelt. Wenn die Kunden jedes mal vergessen mit anzugeben, dass Updates selbst durchgeführt werden können, bekommen sie halt irgendwas.

Das Problem liegt eindeutig beim Käufer, der sich vorher nicht vernünftig informiert hat.
Auf der anderen Seite bedeutet das für ein Unternehmen mehr Support und höhere Kosten.
 
Joe User said:
Dann muss man halt Siemens auf die Finger klopfen und sie vor die Wahl stellen, dass man künftig auch bei den Mitbewerbern fündig wird.
Click to expand...

Ich wollte mich hier eigentlich garnicht äußern, aber ich möchte an der Stelle mal auf das hier verlinken:

https://blog.fefe.de/?ts=a7e3ab79

Der Kontext dazu ist das hier: https://blog.fefe.de/?ts=a7e797db


Das ist aber exakt das, was ich auch hier immer erlebe - zuletzt mit der Software für IPMI-Karten (resp. die Derivate der anderen Hersteller).
Fast immer braucht man Java dafür, nicht selten in einer älteren Version mit abgeschalteten Sicherheitsoptionen, weil es sonst (trotz aktuellster Firmware) nicht läuft.
Am liebsten hätte ich überhaupt kein Java auf meiner Maschine, aber nunja...

Das Problem ist einfach, dass du keine echte Konkurrenz findest. HP oder Dell mögen das in dem Punkt vielleicht besser machen, dafür stören dann andere Sachen. Manchmal hast du einfach keine echte Alternative und die Hersteller wissen das.


Nachtrag:
Meine Umlaute sind auch kaputt. In einem Firefox 53.0.2 x64, die derzeit aktuellste Version.
Und ich musste mich beim Absenden des Posts erneut einloggen - obwohl ich mich erst wenige Minuten vorher angemeldet hatte.
Könnte das der Grund für die kaputten Umlaute sein?
 
[Anm.: Kaputte Umlaute in den Quotes manuell repariert]

Lord Gurke said:
Der Kontext dazu ist das hier: https://blog.fefe.de/?ts=a7e797db
Click to expand...
Das unterschreibe ich sofort!


Lord Gurke said:
Am liebsten hätte ich überhaupt kein Java auf meiner Maschine, aber nunja...
Click to expand...
Das unterschreibe ich ebenfalls.
Dass Java eine der schlimmsten jemals ersonnenen Sprachen ist, sage ich nun auch schon seit über 15 Jahren. Mich wundert dabei am Meisten, dass dieser Schrott in fast allen IT-Studienfächern und IT-Ausbildungen gelehrt wird und nicht selten ohne Alternative. Da kann dann nur noch so ein Müll wie etwa bei den Remote-Management-Karten bei rumkommen.
Auch der exorbitante RAM-Verbrauch von Java-basierter Software wie OpenOffice/LibreOffice wäre mit einer geeigneteren Sprache nicht gegeben.


Lord Gurke said:
Das Problem ist einfach, dass du keine echte Konkurrenz findest. HP oder Dell mögen das in dem Punkt vielleicht besser machen, dafür stören dann andere Sachen. Manchmal hast du einfach keine echte Alternative und die Hersteller wissen das.
Click to expand...
Naja, HPs iLo ist durchaus eine Alternative und kommt ohne Java aus, da es das deutlich angenehmere (aber bei Weitem nicht optimalste) Net verwendet.
Bei den Oszilloskopen aus Deinem ersten Fefe-Link sind es dann LeCroy und HP welche sich weitestgehend vorbildlich verhalten, dafür kosten die Geräte aber auch mehr. Abgesehen davon sind die Geräte der beiden Hersteller auch deutlich leistungsfähiger und vor Allem auch genauer als die der Mitbewerber.
Naja, wir kommen langsam vom Thema ab...
 
You must log in or register to reply here.
Back
Top