Einige Fragen zur Zukuntssicherheit, Haltbarkeit, zu Programmen

[ProUser]

Dein Verfolgungswahn ist beeindruckend

Du brachst Dir nur die Diskussion mal rückblickend anschauen, es zieht sich wie ein roter Faden..

 

[tocotronaut]

Dem TE wurde schon in Post #13 adäquat geholfen. Alles danach war für ihn nicht mehr relevant...
(auf ihn brauchen wir keine Rücksicht mehr nehmen)

 

[LosDosos]

Die Probleme gab es doch nur weil Apple mit dem Java Update für Version 6 geschlampt hat. Version 7 in aktueller Version war doch "nie" von einem dieser Trojaner betroffen oder irre ich mich da?

Ich weiß es nicht mehr so genau, aber kann es sein, dass ich nach 5 Tagen News über diese Trojaner und dem ausprobieren verschiedener Virenscanner und Tips über einen Beitrag in ganz kleiner Schrift gestolpert bin in dem in Spiegelschrift stand, dass mich der ganze Kram gar nicht zu kümmern brauch, weil ich Version 7 nutze?

Gruß ticaki

Nein, da irrst Du Dich.
https://www.macuser.de/threads/java-6-update-13-7-update-15.669677/

(Ja, Flashback hat eine Lücke unter java 6 ausgenutzt; Lücken auch im aktuellen Java 7 haben Hacker ausgenutzt, um auch die Rechner von Apple Mitarbeitern zu kompromittieren)

 

[ticaki]

@ticaki
Java7 war auch schon von massiven Sicherheitslücken betroffen. Selbst die aktuelle 7u17 wird (unter windows) schon wieder aktiv angegriffen.
http://www.pcwelt.de/news/Oracle_stellt_Notfall-Updates_fuer_Java_bereit-Java-Luecken-7617584.html

Das ist mir bekannt, im Sinne von Java hat keine Sicherheitslücken, Java ist eine Sicherheitslücke.
Jedoch sprechen wir hier über Mac Trojaner und eine Gruppe möchte gerne Software mit Adminrechten laufen lassen um damit bekannte Schädlinge zu bannen die Sicherheitslücken in anderer Software ausnutzen. Um ihre Argumentation zu stützen greifen sie auf 2 Trojaner zurück die auf einem aktuellen System keinen Effekt hatten, wenn der Nutzer sie nicht installierte.

Ich halte dass nicht für zielführend. Wenn ein Mac aktuell gehalten wird, ist er im Vergleich zu anderen System bei gleichem Wartungsaufwand am sichersten. Virenscanner ist nur nötig wenn man ausführbare Dateien verteilt.

Nein, da irrst Du Dich.
https://www.macuser.de/threads/java-6-update-13-7-update-15.669677/

(Ja, Flashback hat eine Lücke unter java 6 ausgenutzt; Lücken auch im aktuellen Java 7 haben Hacker ausgenutzt, um auch die Rechner von Apple Mitarbeitern zu kompromittieren)

Nicht versuchen mich zu verwirren: Ich habe recht, wie du schreibst.
Die Lücke in 7 die du beschreibst ist eine andere Baustelle.

Gruß ticaki

 

[LosDosos]

Das ist mir bekannt, im Sinne von Java hat keine Sicherheitslücken, Java ist eine Sicherheitslücke.
Jedoch sprechen wir hier über Mac Trojaner und eine Gruppe möchte gerne Software mit Adminrechten laufen lassen um damit bekannte Schädlinge zu bannen die Sicherheitslücken in anderer Software ausnutzen. Um ihre Argumentation zu stützen greifen sie auf 2 Trojaner zurück die auf einem aktuellen System keinen Effekt hatten, wenn der Nutzer sie nicht installierte.

Nein, das ist nicht richtig.

Ich hatte schon mehrfach erwähnt, dass eine Variante des Flashback sich ohne Passwortabfrage durch dass alleinige Ansurfen einer befallenen Webseite heruntergeladen, installiert und Schadcode nachgeladen hat.

Ich halte dass nicht für zielführend. Wenn ein Mac aktuell gehalten wird, ist er im Vergleich zu anderen System bei gleichem Wartungsaufwand am sichersten. Virenscanner ist nur nötig wenn man ausführbare Dateien verteilt.

Es ging hier um den Sinn und Nutzen von Apples Security Updates.

Ein AV-Scanner unter OS X kann man aktuell weder pauschal als notwendig noch pauschal als unsinngig bezeichnen.

 

[ticaki]

Nein, das ist nicht richtig.

Ich hatte schon mehrfach erwähnt, dass eine Variante des Flashback sich ohne Passwortabfrage durch dass alleinige Ansurfen einer befallenen Webseite heruntergeladen, installiert und Schadcode nachgeladen hat.

Ja richtig und der hat welche Java Lücke ausgenutzt?

JAVA CVE-2012-0507 ?

Wurde am 14.02.12 in Java 7 geschlossen AFAIK

Gruß ticaki

 

[minilux]

Du brachst Dir nur die Diskussion mal rückblickend anschauen, es zieht sich wie ein roter Faden..

hab ich jetzt mal gemacht: Dosos und maba haben sich nicht nur gegenseitig gedankt, sondern auch von anderen Danke bekommen. Ich habe -glaub ich- gar keins, du hast ein paar (aber auch oft von den gleichen Leuten. Was soll ich jetzt daraus schliessen

 

[minilux]

Ich halte dass nicht für zielführend. Wenn ein Mac aktuell gehalten wird, ist er im Vergleich zu anderen System bei gleichem Wartungsaufwand am sichersten. Virenscanner ist nur nötig wenn man ausführbare Dateien verteilt.

genau das war mal der Ausgangspunkt der Diskussion: Apple kündigt alte OS Versionen schnell ab. Und auch ältere HW. Und dann gibt es halt keine Sicherheitsupdates mehr um den Rechner aktuell zu halten.
Ein Mac mit allen updates ist klaro sehr sicher.

 

[minilux]

Wurde am 14.02.12 in Java 7 geschlossen AFAIK

ja, aber die zögerliche und halbherzige Reaktion Apples wurde kritisiert

 

[ProUser]

Und überhaupt, minilux, was wird das eigentlich..

Das hab ich ja auch mit anderen diskutiert, bis Du dich in diese Diskussion eingemischt hast - sag, geht's Dir net gut oder bist schlicht übermüdet oder einfach desorientiert?

unter ein Zitat von mir antwortest du das:

Fashback ist der einzige, weitere können in diesem Zusammenhang nicht genannt werden, weil nicht existent, mit anderen Worten 1 gegen wie viele Windows-Schädlinge, die Sicherheitslücken ausgenutzt haben - so viel zur "gleichen" Bedrohungslage unter Windows und Mac OS X..

Ja antworte ich (im Beitrag #111), nachdem Du dich etliche Beiträge zuvor (ab Beitrag #98 und nachfolgende) in diese Diskussion eingemischt hast - sollte ich Dich etwas ignorieren sollen?

ich habe den Eindruck dass du den Überblick verlierst

Entweder Du fängst Dich wieder oder lässt das Diskutieren sein, offenbar überfordert Dich das Ganze..

 

[LosDosos]

Ja richtig und der hat welche Java Lücke ausgenutzt?

JAVA CVE-2012-0507 ?

Wurde am 14.02.12 in Java 7 geschlossen AFAIK

Gruß ticaki

nope, das Update für CVE2012-0507 für Java 6 OS X kam am 12.April 2012 von Apple raus.
https://support.apple.com/kb/HT1222?viewlocale=en_US&locale=en_US

Die von Dir angesprochene CVE2012-0507 war nicht der Fix, sondern die von der Sicherheitslücke betroffene Version.
Das steht übrigens auch in dem Link zur ausführlichen Flashback-Analyse, den ich vor ein paar Seiten in #119 gepostet hab - wie ich sagte, man muss die Informationen denn auch einfach mal lesen.

Im von Dir angesprochenen Februar kam der Fix für die Windowsversion raus.

Java 7 gibt es AFAIK erst seit Sommer 2012.

 

[ticaki]

Im von Dir angesprochenen Februar kam der Fix für die Windowsversion raus.

Java 7 gibt es AFAIK erst seit Sommer 2012.

http://en.wikipedia.org/wiki/Java_version_history#Java_7_updates

Update 3 hatte den Fix und ab Version 7 kamen die Zeitgleich...

EDIT: Hast recht, Version 7 kam später jetzt bin ich verwirrt...

Ach zu deinem "Hackerangriff auf Apple" Der Fix kam am 1 Februar für Java 7, also rund 14 Tage vor dem Hack.
Vorletzter Satz: http://www.heise.de/security/meldung/Apple-Erfolgreiche-Angriffe-ueber-Java-Luecke-1806460.html

Gruß ticaki

Edit: Ich diskutiere hier nur mit, weil mich tatsächlich nur wirkliche Bedrohungen interessieren und die gab es in den letzten 2 Jahren nicht und es nervt wenn bei jedem kleinen Sicherheitsding wieder ne riesen Welle gemacht wird um am Ende war die Lücke schon 12 Stunden vor der News dicht. (wie jetzt die Passwortlücke und die heise news)

 

[LosDosos]

Stimmt, was Java 7 angeht, habe ich mich geirrt.

Die Lücke in Java 6 wurde aber erst am 12. April 2012 geschlossen.
Bis dahin gab es defakto keinen Schutz, außer Java im Browser zu deaktivieren.

Flashback ist hier übrigens herangezogen worden, um die Wichtigkeit von Apples Security Updates zu veranschaulichen, die hier manche infrage gestellt haben.

Davon ab solltest Du genauer lesen was ich schreibe.
Ich schrieb nicht von einem "Hackerangriff auf Apple", sondern einem Hackerangriff, bei dem auch die Macs von Applemitarbeitern kompromittiert wurden.
Das ist ein großer Unterschied.
Eine Quelle hatte ich dazu verlinkt.

Wie vorhin angekündigt hat Apple soeben ein Java-Update veröffentlicht. Apple reagierte damit auf den erfolgreichen Hackerangriff, der eine Sicherheitslücke in Java ausnutzte und den Angreifern Zugriff auch unternehmensinterne Computer ermöglichte. Die aktualisierte Version von Java schließt die ausgenutzte Sicherheitslücke, sodass Anwender mit aktiviertem Java-Plugin nicht mehr auf diese Weise angreifbar sind.

Nur wenige Tage nachdem Facebook Angriffe auf Rechner seiner Mitarbeiter gemeldet hatte, zu denen offensichtlich auch Macs gehörten, bestätigt nun auch Apple selbst erfolgreiche Attacken auf Maschinen in seinem eigenen Firmennetzwerk. Wie der Konzern erklärte, hätten einige seiner Mitarbeiter – ähnlich wie Mitarbeiter von Facebook – infizierte Entwickler-Webseiten besucht und sich so einen Schädling eingefangen, der sich über eine zu diesem Zeitpunkt noch nicht geschlossene Lücke in Oracles Java einnisten konnte. Die betroffenen Rechner habe man nach Bekanntwerden der Infektion vom Firmennetzwerk getrennt. Daten seien durch die Angriffe nicht gestohlen worden.

http://www.heise.de/newsticker/meldung/Apple-Erfolgreiche-Angriffe-ueber-Java-Luecke-1806460.html

Der Fix kam am 19.02.2013.
Die Angriffe fanden vorher statt, am 19.02. wurden diese von Apple bestätigt.
http://www.loopinsight.com/2013/02/19/apple-attacked-by-hackers/

 

[maba_de]

...

Edit: Ich diskutiere hier nur mit, weil mich tatsächlich nur wirkliche Bedrohungen interessieren und die gab es in den letzten 2 Jahren nicht und es nervt wenn bei jedem kleinen Sicherheitsding wieder ne riesen Welle gemacht wird um am Ende war die Lücke schon 12 Stunden vor der News dicht. (wie jetzt die Passwortlücke und die heise news)

ein erfolgreiches Eindringen über Mac (und andere) Rechner in Netzwerke von Facebook, Twitter und Apple siehst Du also nicht als real existierende Bedrohung an?
Ah ok ... .
Klar, es gab bereits Security Fixes, aber die waren nicht installiert. Ein funktionierendes Patch Management gehört ebenso zur IT Security wie andere Dinge auch.

Gab es schon im IT Grundschutz nach BSI:
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b01/b01014.html

 

[ProUser]

hab ich jetzt mal gemacht: Dosos und maba haben sich nicht nur gegenseitig gedankt, sondern auch von anderen Danke bekommen. Ich habe -glaub ich- gar keins, du hast ein paar (aber auch oft von den gleichen Leuten. Was soll ich jetzt daraus schliessen

Ich oft von den Gleichen? Ich hab dezente zwei und das auch von zwei unterschiedlichen Leuten. Du bist ausnahmsweise wirklich leer ausgegangen - haben sie Dich ausgeschlossen? Maba und Dosos haben sich jedenfalls schon gut beglückwünscht, gleichstand um genau zu sein (3 Maba->Dosos und 3 Dosos->Maba) - das ging aber auch schon mal besser..

Und wenn ich ausrechne, was ich hier mal wieder an Zeit verschwendet habe - sowas ist nur mit Humor zu ertragen..

 

[LosDosos]

Mal ne Frage - ich bin mit grade nicht sicher.

War nicht Java 7 Update 6 die erste 7er Version für OS X?
http://www.heise.de/developer/meldung/Java-7-fuer-Mac-OS-X-fertig-1667648.html

Ich bin mir nämlich auch relativ sicher, dass es zu Flashback-Zeiten kein Java 7 für OS X gab, sondern nur Java 6.

 

[ticaki]

@LosDosos
Ja, Java 6 war offen. Java 7 war aber 14 Tage vorher geschlossen.

Zur Mac Version von Java 7: Du hattest recht und ich unrecht. Ich war fest der Meinung ich hätte da Java 7 genutzt. Sabpab hat auf jeden Fall eine gestopfte Lücke versucht auszunutzen.

ein erfolgreiches Eindringen über Mac (und andere) Rechner in Netzwerke von Facebook, Twitter und Apple siehst Du also nicht als real existierende Bedrohung an?

Ich verstehe nicht worauf du hinaus willst. Wenn eine Lücke existiert und das schon so lange dass sie schon einen Fix hat, gehe ich mal davon aus, das es gefährlich ist eine Version ohne diesen Fix zu verwenden. Du nicht?

Gruß ticaki

 

[LosDosos]

@LosDosos
Ja, Java 6 war offen. Java 7 war aber 14 Tage vorher geschlossen.

Zur Mac Version von Java 7: Du hattest recht und ich unrecht. Ich war fest der Meinung ich hätte da Java 7 genutzt.

Ok, danke für die Info.
Ich war mir nämlich noch relativ sicher, dass im Laufe der Flashback-Diskussion im März 2012 und dem lang auf sich wartenden Fix von Apple alle darauf gewartet haben, dass mit Java 7 ab Sommer 2012 dann wieder Oracle und nicht wie beim 6er Apple für die Implementierung und die Fixes verantwortlich ist.

Was den Angriff auf die Rechner von Apple-Mitarbeitern angeht - der war ja nun erfolgreich.
Also kann der Fix nicht installiert gewesen sein.

 

[maba_de]

...
Ich verstehe nicht worauf du hinaus willst. Wenn eine Lücke existiert und das schon so lange dass sie schon einen Fix hat, gehe ich mal davon aus, das es gefährlich ist eine Version ohne diesen Fix zu verwenden. Du nicht?

Gruß ticaki

Richtig.
Vorher schreibst Du aber, das es in den letzten zwei Jahren keine Bedrohung gab.

Das ist faktisch falsch, weil eine Bedrohung nicht die Sicherheitslücke einer Software ist sondern z. B. der Cracker, der über diese Lücke mein Netz infiltrieren will.
Nach BSI wirkt eine Bedrohung auf eine Schwachstelle ein und daraus resultiert ein Risiko.
Ebenso nach ISO27000, CoBit und wie sie alle heißen.
Selbst die Schwachstelle muss nicht einmal die Schwachstelle einer Software sein, sondern, wie von mir geschrieben, das nicht funktionierende Patchmanagement.

 

[ticaki]

Richtig.
Vorher schreibst Du aber, das es in den letzten zwei Jahren keine Bedrohung gab.

Ich bin kein Ziel folglich stellen die Hacker die die Großen angegriffen haben für mich keine Bedrohung dar. Für mich ist sowas wie Flashback nur mit Schadfunktion eine Bedrohung und seit diesem Trojanerversuch reagiert Apple wesentlich schneller auf Bedrohungen und deaktiviert auch mal systemweit Java. Deshalb fühlte ich mich nach Kenntnis der Fakten in den letzten 2 Jahren nicht einmal bedroht.

Und dass ist das Problem, die Newsticker leutchen verdienen Geld mit "bedroht" fühlen und haben kein Interesse an "nach Kenntnis aller Fakten"

Noch ein Beispiel zur Verdeutlichung? iOS 6 Sicherheitslücke im Zusammenhang mit Sprachwahl: Das man sich nicht bedroht fühlen muß kommt in der Regel erst am Ende des Artikels, vorher wird gezeigt wie einfach man rein kommt.

Das Problem an diesen Meldungen ist, man stumpft ab.

Gruß ticaki