Hallo,
bei allen Bemerkungen zu dem aktuellen Wurm bleibt bislang eine Frage offen: Wie fange ich mir ihn eigentlich ein? Per email wohl nicht, wie ich las. Wie also dann? Über den Besuch eines infizierten Servers? Beim Öffnen der Morgenzeitung? Sollte ich die Fenster geschlossen halten?
Gruß und Danke für Infos,
Christian
Hallo,
bei allen Bemerkungen zu dem aktuellen Wurm bleibt bislang
eine Frage offen: Wie fange ich mir ihn eigentlich ein? Per
email wohl nicht, wie ich las. Wie also dann? Über den Besuch
eines infizierten Servers? Beim Öffnen der Morgenzeitung?
Sollte ich die Fenster geschlossen halten?
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal tatsächlich ein Windows ausreicht - die Lücke braucht keine bestimmte Software, keinen SQL-Server wie der SQLslammer oder sonstwas - nur Windows. Selbst, wenn Du einen Virenscanner mit aktuellen Signaturen laufen hast, bist Du verwundbar - Du kannst zwar nicht infiziert werden im Sinne von "Ich fange mir das Ding ein und verbreite es weiter", aber das beobachtete Verhalten des Herunterfahrens tritt dennoch bei Dir auf - Du gibst den Schaden also nicht weiter, aber Du erleidest ihn. Man kann froh sein, daß das Ding nichts wirklich böses macht, das wäre nämlich ohne weiteres möglich (Festplatte löschen etc.).
Desweiteren behebt der Patch von M$ zwar die Verwundbarkeit, wenn Du aber infiziert bist, entfernt er den Wurm nicht und jener verbreitet sich fröhlich von Deinem Rechner aus weiter.
Wirkliche Hilfe kann also nur beides sein: Rechner säubern UND Patchen.
Der Infektionsweg läuft wie von Seb. beschrieben ab, also stichwortartig
- Buffer Overflow durch eintreffendes IP-Paket
-> Administrationsshell
-> Herunterladen des Wurms vom infizierenden PC via tftp (eine rudimentäre und maximal unsichere Variante vom FTP)
-> Installation und Start des Wurms
HTH,
Malte.
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal
tatsächlich ein Windows ausreicht - die Lücke braucht keine
bestimmte Software, keinen SQL-Server wie der SQLslammer oder
sonstwas - nur Windows.
Der Anwender muss schon noch aktiv werden - er muss den Rechner mit dem Internet verbinden. Wer diesen Fehler nicht macht, Windows also bestimmungsgemäß als Inselrechner ohne Netzanbindung fährt, braucht sich keine Sorgen zu machen.
Und andere Chancen hat ein Windows-User in einem nicht von einer professionell konfigurierten Firewall geschützten Umgebung nicht. Der Fehler liegt nicht in einem Pufferüberlauf in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist in der Architektur des Betriebssystems begründet. Diese unterscheidet ab w2k (bei NT40 immerhin noch teilweise) in keiner Weise mehr zwischen sicheren, unsicheren Netzen bzw. dem PC selbst. Damit ist das System inhärent unsicher und ohne einfach zu administrierende sinnvoll voreingestellte Paketfilter vollständig unbrauchbar.
Angriffe wie den jetzigen werden wir in Zukunft noch häufig erleben.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC genervter
Schorsch
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal
tatsächlich ein Windows ausreicht - die Lücke braucht keine
bestimmte Software, keinen SQL-Server wie der SQLslammer oder
sonstwas - nur Windows.
Der Anwender muss schon noch aktiv werden - er muss den
Rechner mit dem Internet verbinden. Wer diesen Fehler nicht
macht, Windows also bestimmungsgemäß als Inselrechner ohne
Netzanbindung fährt, braucht sich keine Sorgen zu machen.
Die "Bestimmung" wird imho vom Hersteller vorgegeben - auf was anderes kann sich der User ja leider zunächst mal nicht beziehen. Auch, wenn ich Dir in der Sache natürlich recht gebe.
Und andere Chancen hat ein Windows-User in einem nicht von
einer professionell konfigurierten Firewall geschützten
Umgebung nicht.
Und selbst in solch einer Umgebung ist er nicht geschützt. Es soll eine große Firma geben, in der der Wurm sich über einen (Firmen-)Laptop eingeschlichen hat, der illegalerweise in einem Internetcafé angeschlossen und infiziert wurde. Dagegen schützt auch keine Firewall.
Angriffe wie den jetzigen werden wir in Zukunft noch häufig
erleben.
Ich hoffe im Sinne der Erkenntnisgewinnung auch für Executives, daß dem so ist und daß auch mal ein richtiger Schaden entsteht.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervter
Hoffend ein in einem 20000-Clients-Netzwerk erschütterter
Malte.
Und selbst in solch einer Umgebung ist er nicht geschützt. Es
soll eine große Firma geben, in der der Wurm sich über einen
(Firmen-)Laptop eingeschlichen hat, der illegalerweise in
einem Internetcafé angeschlossen und infiziert wurde. Dagegen
schützt auch keine Firewall.
Du hattest (vor?)gestern schon so was geschrieben, woraufhin ich baff erstaunt war und eigentlich gleich rückfragen wollte. Aber mit dem Firmenlaptop ist das natürlich vorstellbar.
Aus diesem Grunde habe ich, soweit Anwender bei uns Firmen-Laptops haben,das Patch im Vorfeld installiert, soweit sie von dahääm über private PC ins Firmennetz gehen den Zugang per DFÜ gesperrt, den Zugang per VPN freigegeben nur für Rechner, die mir hier im Büro persönlich vorgestellt und von mir konfiguriert wurden. Gibt natürlich im Moment etwas Ärger mit Mitarbeitern die Bereitschaftseinsätze von zu Hause erledigen wollen und nicht mehr dürfen. Und Fernwartung durch Fremdfirmen gibt's derzeit auch nicht mehr.
Wie ich die Situation im Moment sehe, werden ich RAS (ausser für mich selbst) nie mehr aufmachen, VPN nur noch durch eine DMZ schicken und bis dahin nur noch Tunneln über ssh zulassen. Müssen die Kollegen sich halt auf Linux (oder Putty) umstellen.
Gruss,
Schorsch
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal
tatsächlich ein Windows ausreicht - die Lücke braucht keine
bestimmte Software, keinen SQL-Server wie der SQLslammer oder
sonstwas - nur Windows.
Der Anwender muss schon noch aktiv werden - er muss den
Rechner mit dem Internet verbinden. Wer diesen Fehler nicht
macht, Windows also bestimmungsgemäß als Inselrechner ohne
Netzanbindung fährt, braucht sich keine Sorgen zu machen.
Das sehe ich (heutzutage) nicht als Aktivitaet an. Dann koenntest Du auch behaupten, dass der Anwender den Rechner ja immerhin einschalten muss, um sich der Gefahr auszusetzen. Ein Rechner ohne Netz ist (in meinen Augen) kein Rechner (YMMV).
Und andere Chancen hat ein Windows-User in einem nicht von
einer professionell konfigurierten Firewall geschützten
Umgebung nicht. Der Fehler liegt nicht in einem Pufferüberlauf
in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist
in der Architektur des Betriebssystems begründet.
Ein buffer overflow ist kein Fehler? Merkwuerdige Ansichten vertrittst Du da.
Diese
unterscheidet ab w2k (bei NT40 immerhin noch teilweise) in
keiner Weise mehr zwischen sicheren, unsicheren Netzen bzw.
dem PC selbst.
ACK, der RPC laesst sich nicht ausschliesslich ans lokale Interface binden. Das ist ein Fehler im Konzept.
Damit ist das System inhärent unsicher und ohne
einfach zu administrierende sinnvoll voreingestellte
Paketfilter vollständig unbrauchbar.
ACK.
Angriffe wie den jetzigen werden wir in Zukunft noch häufig
erleben.
Mal abwarten.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervter
Du hast den falschen Umgang. Bei mir war noch keiner.
Schorsch
Gruss vom Zentrum.
Der Fehler liegt nicht in einem Pufferüberlauf
in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist
in der Architektur des Betriebssystems begründet.
Ein buffer overflow ist kein Fehler? Merkwuerdige Ansichten
vertrittst Du da.
Da verstehst du mich gründlich miß. Natürlich ist ein Pufferüberlauf ein Fehler, dieser war es aber nicht, der zu der derzeit katastrophalen Situation geführt hat. Pufferüberläufe hat es bislang noch in jedem Betriebssystem gegeben, dies aber noch nie zu einer mit dieser auch nur annähernd vergleichbaren Situation geführt. Und das liegt sicher nicht nur daran, dass andere BS seltener verbreitet sind.
Ein Pufferüberlauf kann passieren. Dass dieser aber per Architekturdefault jeden einzelnen eingesetzten Rechner zu einem ferngelenkten Monster mutieren lässt (was ja wohl auch letztlich die Intention Microschrotts war, siehe TCPA, siehe autom. Updates, siehe Online-Registrierung, sieh DHCP-Client-Dienst, siehe...), das gibt es nirgends sonst. Und da liegt das Problem - nicht bei einem schlechten Programmierer, sondern bei den Architekten dieses Spionagesystems.
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervter
Du hast den falschen Umgang. Bei mir war noch keiner.
Naja, an wen wenden sich die Leute - an den Netzwerkadmin ausse Firma, der hat ja eh immer Zeit. Inzwischen habe ich meinen Support aber eingestellt, ich habe keine Rohlinge mehr, um Knoppix zu brennen.
Gruss,
Schorsch
Der Fehler liegt nicht in einem Pufferüberlauf
in der DCOM-Schnittstelle, wie oft berichtet wird, sondern ist
in der Architektur des Betriebssystems begründet.
Ein buffer overflow ist kein Fehler? Merkwuerdige Ansichten
vertrittst Du da.
Da verstehst du mich gründlich miß.
Ja, ich neige manchmal dazu.
[Text, dem ich voll zustimme.]
Schwarzsehend ein von hundert Anwendern mit ihren Privat-PC
genervter
Du hast den falschen Umgang. Bei mir war noch keiner.
Inzwischen habe ich meinen Support aber eingestellt, ich habe keine
Rohlinge mehr, um Knoppix zu brennen.
Mein Gott, bei Waldbrandstufe 28?! Disketten! Wie spielst Du mit Knoppix den Patch ins Windows?
Gruss,
Schorsch
Gruss vom Zentrum.
Mein Gott, bei Waldbrandstufe 28?! Disketten! Wie spielst Du
mit Knoppix den Patch ins Windows?
Gute Frage. Ich glaub, Knoppix ist in der CD-Boot-Version gar nicht darauf eingerichtet, Windows von der Platte zu schmeissen. Müssen die Leute wohl doch zur Dos-Diskette mit fdisk greifen.
Vorhin hab ich übrigens fast die Panik gekriegt. Da hat eine Anwenderin angerufen und geklagt, ihr PC im Firmennetz fahre seit heut mittag dauernd runter.... Ich wollte schon alle Kollegen aus dem Urlaub zurückpfeifen. War aber dann doch nur ein defektes Netzwerkkabel, und der PC nicht automatisch heruntergefahren, den hat sie selbst in ihrer Panik ständig neu gebootet.
Aber lasst mich Hiobsbotschaften hören. Je schlimmer je besser. Was ich jetzt alles genehmigt bekomme, mein Gott, ich schäme mich selbst schon fast, wenn ich sehe, welche Gimmicks ich in die Liste eingeschmuggelt habe.
Gruss,
Schorsch
Hallo,
lasst doch mal den armen Wurm (ich meine das Programm, niemanden anderen) in Ruhe. Ich meine, DDoS-Attacke auf MS, da kriegen die doch endlich mal ihre eigenen Sicherheitslücken auf die Füsse geschmissen. Vielleicht sieht man so dort mal deutlich mögliche Auswirkungen der in der Vergangenheit eher stiefmütterlich behandelten Sicherheit.
Das soll aber jetzt bitte keinen Krieg der Betriebssysteme auslösen (frei nach "Mein BS ist länger...")