Skip to content

Wannacry?

Leider muss ich jetzt doch etwas längeres dazu schreiben, weil mich die polemisierenden Nachrichten nerven.

Kurz zusammengefasst:

Ich habe kein Mitleid mit Firmen, die von Wannacry betroffen sind. Mein Mitleid geht an die Menschen, die nichts damit zu tun hattem wie beispielsweise Patienten von Krankenhäusern.

Wannacry hat mit Admins zu tun, die ihre Hausaufgaben nicht gemacht haben; mit Entscheidern, die kein Geld für ein Update bewilligen und mit Anwendern, die auf alles klicken, was klickbar ist und Warnhinweise ignorieren. Es hat nichts mit Windows vs. Linux zu tun. Ein ungepatchtes und nicht supportetes Linuxsystem ist auch ein Sicherheitsproblem.

Längere Version:

Soweit ich verstehe und aus diesem Link mitnehme, läuft die initiale Verbreitung folgendermassen:

Ein Benutzer bekommt per Mail eine Passwort geschützte ZIP-Datei in der ein Dokument ist. Wenn das Dokument geöffnet wird, wird eine unsignierte ausführbare Datei nachgeladen und diese ausführbare Datei enthält alles, was der Wurm braucht, Code zur Infizierung, Vervielfältigung und Verseuchung der Zielsysteme, wobei eine Schwachstelle in SMB ausgenutzt wird. Durch den User erreichbare Dateien (insbesondere Netzwerkshares) werden verschlüsselt.

Der Benutzer muss mehrfach bestätigen, dass er Dinge "wirklich" tun will (Ungeschützte Datei öffnen, Makros ausführen, Datei aus unsicherer Quelle ausführen).

Erste Möglichkeit, es gar nicht erst zu solchem einem Eklat kommen zu lassen, wäre beispielsweise die Schulung der Nutzer.

Für noch im Support befindliche Betriebssysteme, also nicht Windows XP, hat Microsoft bereits Mitte März dieses Jahres einen Patch veröffentlicht.

Zweite Möglichkeit, kritische Patches kurz nach Erscheinen einspielen.

Das hilft nicht, wenn man nur Windows XP hat und die Entscheider kein Geld für neue Lizenzen ausgeben wollen. Hier ist die dreckige Wahrheit: Der Unterhalt einer IT-Infrastruktur kostet Geld für Hardware, Softwarelizenzen und Support-Personal. Es liegen vier aktuell supportete Versionen zwischen XP und heute (Windows Vista, Windows 7, Windows 8 und Windows 10). Selbst, wenn man sich entscheiden würde, nur jede zweite oder dritte Inkarnation von Windows einzusetzen, hätte es mit dem rechtzeitig veröffentlichten Patch keine Probleme gegeben.

Es geht nicht um "XP ist Mist", es geht in diesem Fall um abgelaufenen Herstellersupport.

Von einem Oldtimer würde man auch nicht erwarten, dass er einen Airbag hat ...

Um in der Analogie zu bleiben: Windows XP hat 2001 das Licht der Welt erblickt, das ist vor 16 Jahren. Wie viele Geschäftsführer fahren 16 Jahre alte Autos? Ich kenne keinen. Geld für ein neues Auto wäre also da, aber nicht für Softwarelizenzen. Das passt nicht.

Dazu gibt es noch mehrere Möglichkeiten, technisch dem Problem beizukommen, gekapseltes E-Mail-System, Paketfilter, ... aber die sind meiner Meinung nach nicht mit vertretbarem Aufwand handhabbar.

Fazit:

Es führt nichts, gar nichts daran vorbei Anwender zu schulen. Selbst, wenn das zu Grunde liegende System von Windows auf irgendetwas anderes wechselt, hilft die Schulung, dass die gleichen Fehler nicht auf den neuen Systemen gemacht werden.

Ebenfalls ist es nötig, zeitnah kritische Patches einzuspielen. Selbst Unternehmen mit sehr konservativen Patchzyklen (ein Mal pro Jahr) kennen "Emergency-Patching".

Egal, welches System eingesetzt wird, es muss durch den Hersteller oder die Community unterstützt sein (ich kenne reichlich Menschen, die ein lange nicht mehr gewartetes Debian einsetzen).
  • Wem die Supportzyklen zu kurz sind, muss auf etwas mit längeren Supportzyklen wechseln.
  • Wer lizenzpflichtige Betriebssysteme (oder auch andere Software) einsetzt, muss diesen Kostenpunkt dringend in seinem Budget einplanen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Mathias am :

*Tja, ich kann Dir nur zustimmen. Jetzt geht mal wieder kurz die Panik los "WIE viele Systeme laufen noch auf XP? Und warum?" und in weniger als einem Jahr ist wieder vergessen, wer dass Budget gekürzt hat...

Dirk Deimeke am :

*So ist es leider und das liegt vor allem daran, dass niemand die Konsequenzen tragen muss.

Henrik am :

*Da stimme ich Dir zu ca. 85% zu. Allerdings gibt es auch viele Systeme, die Zulassungsbeding für sagen wir mal 20-30 Jahre zum Zeitpunkt der Einführung aufgebaut wurden. Das kann eine Anzeigentafel Steuerung sein, das kann etwas im Schiffarts- oder Bahnwesen sein was Zulassungsbedingt eben entsprechende Zeiten durchläuft. Solche Entscheidungen werden (leider) viel zu oft von Leuten ausserhalb der IT getroffen. Dann werden oft Hard- und Software mit einer entsprechenden Ausfallsicherheit und Redundanz angeschafft aber dann wird z.B. spezielle Software programmiert, die eben z.B. speziell auf eine bestimmte Hardware programmiert wurde. Ein umstellen von z.B. ISDN auf LTE ist da nicht ohne umprogrammieren möglich. Eine solche Software muß aber z.B. erst vorher abgesegnet werden und solch ein Prozess kann mehrere Jahre oder Jahrzente dauern. DESHALB laufen oft solche Systeme noch auf alten Hard/Softwareständen. Traurig aber wahr.
Auch darf man nicht vergessen, das Ransomware erst in den letzten paar Jahren erst (wieder) aufegflackert ist. Klar hat man dann aktuell solche Szenarien auf dem Schirm, aber wenn die Systemadministration eben manchmal die Hände gebunden ist ...

Dirk Deimeke am :

*Ja, das Argument höre ich häufig.

Dazu nur zwei Punkte von meiner Seite:

Wenn ich mir für eine Appliance entscheide, in der eine bestimmte Version eines Betriebssystems verbaut ist, dann weiss ich welches Betriebssystem das ist und fordere den Dienstleister auf, das zu aktualisieren. Gibt es den nicht mehr oder kann ich keine rechtlichen Schritte einleiten, verschiebe ich das System in ein Netz, in dem es keinen Schaden anrichten kann, für so etwas gibt es Firewalls.

Der Ausgangspunkt für WannaCry war ein nicht gepatchter Client, der eine Mail mit Schadcode bekommen hat und keine Appliance. Da greift das Argument dann gar nicht mehr.

Jonny am :

*Sags doch gleich....

LAYER 8 Problem

;-)

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen