Benutzer Monopoly schrieb:
Benutzer comedian schrieb:
Benutzer Monopoly schrieb:
Dass in einer Bank mit dem Internet Explorer gesurft wird, spricht auch Bände.
Ooch, dafür daß große Unternehmen Internet Explorer verwenden gibts viele Gründe...warum wechseln, wenn man den IE in ein stimmiges Verteidigungskonzept integriert hat?
http://www.heise.de/newsticker/data/ecp-16.09.01-002/ http://www.heise.de/newsticker/data/wst-14.09.01-004/
In beiden Fällen wurde Microsoft-Software als Schwachstelle ausgemacht.
Nö! Lies Deinen Link mal genau:
Der thüringische Hacker Thomas Vosseberg nutzte die Tatsache aus, dass die Administratoren der Bank den Webserver einen Internet Information Server (IIS 4.0) von Microsoft so konfiguriert hatten, dass man mit entsprechenden Tricks auch Systembereiche des Servers manipulieren konnte
Die Hacker nutzten die Tatsache aus, dass die Techniker der Bank den Webserver völlig falsch konfiguriert hatten.
Die Schwachstelle war also die Konfiguration der Software durch die Techniker - nicht jedoch ein Softwarebug.
Microsoft-Software ist nicht nur wegen mangelhafter Programmierung und überhaupt wegen der grundsätzlichen Unsicherheit von Closed-Source-Software (außer dem Hersteller kann ja niemand reinschauen) unsicherer als andere, sondern auch deshalb, weil Studien zufolge Microsoft-Administratoren und -Nutzer unerfahrener als etwa Linux-Nutzer sind. Schreibt zumindest Heise.
Im Enduserbereich ist die Unerfahrenheit der MS-User erschreckend. Ich erlebe es jeden Tag bei der Betreuung unserer User. Ein Linux User ist bereits vor Inbetriebnahme seines Systems gezwungen, sich mit dem System auseinanderzusetzen, weil er sonst schon die Installtion nicht zum Laufen bringt, spätestens jedoch bei der Erstanmeldung scheitert.
Du generalisierst etwas stark, wenn du behauptest, NT-Administratoren wären generell unerfahrener wie UNIX Admins. Ausschlaggebend bei Admins ist Berufserfahrung - unabhängig davon, welches System administriert wird. Allerdings habe ich bereits die Erfahrung gemacht, daß ein Server-Techniker nicht in der Lage war, die Queue eines absaufenden Novell 4 Printservers zu löschen, und ein NT-Admin wußte nicht, wie man ein Netzlaufwerk verbindet. Andererseits kam ein UNIX Admin mit Hardwareproblemen seiner Workstation nicht klar. Vor diesem Hintergrund kann ich mir gut vorstellen, was da bei der Konfiguration des IIS bei der Hypobank abgegegangen ist. Schuld daran war aber menschliche Fehlleistung - und eben kein Softwarebug.
Der Streit zwischen Open -und Closed Software ist alt.
Nachteile kommerzieller Lizenzen:
1. Kosten (Lizenzkosten, Wartungsgebühren)
2. Sicherheit (siehe Deine Anmerkung oben)
3. Stabilität und Performance (OSS ist ausgiebiger getestet)
4. Support (Kostenpflicht)
Vorteile kommerzieller Lizenzen:
1. Zukunftssicherheit (OSS Entwicklung kann jederzeit eingestellt werden; bei einer kommerziellen Lizenz wird die Weiterentwicklung zB mit MS oft vereinbart)
2. Entwicklungsknowhow (bei OSS ist die Beschaffung von Programmieren mit den erforderlichen Skills oft ein Problem)
3. Stabilität und Performance (bei OSS besteht trotz meist ausgiebigen Tests die Gefahr, dass durch ungeschickte Programmierung Probleme im Bereich Stabilität und Performance auftreten)
4. SEHR WICHTIG: Bei OSS idR KEINE GEWÄHRLEISTUNG, bei kommerziellen Lizenzen schon!
5. Umfangreicher Support vertraglich garantiert. Bei OSS idR kein vertraglich vereinbartes Recht auf Support
OSS hat deutliche Schwachstellen im Datenbankbereich.Der Grund hierfür ist oft darin zu finden, dass bei OSS ohne ein professionelles Projektmanagement und -planung "auf der grünen Wiesen" begonnen wird, zu programmieren. Gerade Fehler im Datenbankdesign lassen sich jedoch nachträglich sehr schwer wieder ausgleichen.
Ausführlich:
http://www.contentmanager.de/
magazin/artikel_257_open_source_kommerzielle_cms.html
Wechseln auf die Bugs der anderen Hersteller ist Zeit- und Geldverschwendung...
Absolute Sicherheit gibt es zwar nicht. Aber Microsoft-Software ist de facto nun mal risikoreicher.
Dafür gibt es aber Patches. In kommerziellen Unternehmen hat man eine Patchverwaltung für alle Systeme, die man fährt. Sicherheitslücken und Bugs tauchen nicht nur bei MS auf, sondern zB sehr häufig bei Lotus Notes (R 5.05 -> R 5.0.10: über 1500 Bugs beseitigt), bei SAP (neuester Bug: SAPGUI 6.20 bereitet Probleme mit der Archivsoftware von IXOS, die SAP und Lotus angeblich so gut integriert haben wollen).
Eine effektive Patchverwaltung prüft, ob die gemeldete Sicherheitslücke für das Unternehmen relevant ist (nicht alle sind es), testet das Patch und verteilt es so schnell wie möglich.
auch deswegen, weil es die meisten Bastler direkt auf Microsoft-Systeme anlegen. Klar: Damit erreichen sie nämlich 90 Prozent aller Computer, sonst nur unter 10 Prozent.
Das ist schon richtig. Im kommerziellen Bereich sind aber nicht nur MS Server verbreitet. Viele Maschinen laufen unter nicht NT Systemen. Verbreitet sind Novell, UNIX (Derivate). Diese sind ebenfalls Ziele von Industriespionage. Diese müssen alle durch Perimeterverteidigung geschützt werden.
Und bei den Daten einer Bank geht es ja wohl nicht nur um einen Appel und ein Ei.
Richtig! Bei der Bank hakte es einerseits an der Qualifikation der Techniker. Damit war die sog. Hostverteidigung nicht gegeben. Im Rahmen der Hostverteidigung hätten die Techniker den IIS durch Konfiguration so sichern müssen, daß er nur die ihm zugewiesenen Aufgaben erfüllen kann.
Andererseits scheint mir eine weitere Schwachstelle in der Perimeterverteidigung gelegen zu haben. Es handelte sich nämlich um einen externen Angriff. Dieser hätte am Zugriffspunkt auf das Netzwerk durch Überwachung und Identifizierung von Eindringversuchen (sog. Intrusiondetection) erkannt werden.´
Gruß
Comedian