Sasser und andere Würmchen

Zitat von iCA-

also ich versteh net ganz wie ein laptop mit dem wurm das ganze firmennetzwerk lahm legen kann - haben die auf den einzelnen pcs keine softwarelösungen installiert?

Meist nicht => sehr oft gemischter Betrieb, d.h. auf einigen uralt-Rechner würde dann erst recht wieder kein Firewall laufen usw., oder die Lösung würde zu viel kosten, oder es gäbe dann intern Probleme mit SW, oder die Administrierung würde zu viel kosten, oder oder oder ...

Zitat von DJ_Cyberdance

Das mit den Notebooks leuchtet mir noch immer nicht ein... Ein Netzwerk läßt sich, wie jeder Admin weiß, in unterschiedliche Zonen einteilen (malt man oft als Wolken), Notebook-Zone, Firmenrechner-Zone, dazwischen Linuxkiste, fertig. Auch kein großer administrativer Aufwand.

Die Zonen entstehen übrigens durch unterschiedliche IPs/Subnets, nicht zwangsläufig durch völlig unterschiedliche Verkabelung. Dh. zB Firmenrechner fixe IP, Firmen- und private Notebooks dynamische IP aus anderem Subnet. Gut, evtl. eine Linuxkiste mehr :-)) Aber immer noch weit billiger als sich tagelang von Würmern lahm legen zu lassen...

Am Papier kannst solange hübsche Wolken malen bis der erste daherkommt, seinen Rechner absteckt und sein verseuchtes NB ansteckt ...

Dann infiziert er mal alles rundherum => die neueren Viren suchen dann selbständig nach anderen Netzen btw. verseuchen bruteforce => kannst dir ausmalen wie viele Wölkchen dann auf "Gewitter" umspringen, noch dazu wo intern oft viele ports offen sein müssen weil sonst manche SW nicht funktioniert ...

Zitat von HaBa

Dann infiziert er mal alles rundherum => die neueren Viren suchen dann selbständig nach anderen Netzen btw. verseuchen bruteforce => kannst dir ausmalen wie viele Wölkchen dann auf "Gewitter" umspringen, noch dazu wo intern oft viele ports offen sein müssen weil sonst manche SW nicht funktioniert ...

Naja, einfach anstecken läßt sich unterbinden. Mir ist schon klar, daß man dadurch auch nicht aller Probleme Herr wird. Daß es praktisch funktionieren kann, weiß ich, da ich bei einem bekannten Halbleiterhersteller arbeite. Dort ist das Netz zwar mit mächtigem Aufwand nach außen abgeschirmt, allein schon wegen der Gefahr des Datenklaus, aber es gibt einen Grundgedanken in der Netzwerkstruktur: Kaum ein Rechner braucht einen vollwertigen Internetanschluß. Klar läuft auch das Firmennetz über ein VPN und ist damit letztlich auch verwundbar. Aber nicht jede Workstation benötigt einen _vollwertigen_ Internetanschluß. HTTP/FTP/Mail übern Proxy reicht in den meisten Fällen aus.

Imo gilt: Vorbeugen ist besser als heulen. Und zumindest rudimentäre Sicherheitsvorkehrungen könnte man IMO von den bereits angeführten Beispielen ÖBB und Flughafen Wien schon erwarten.

Ich bin halt der Meinung, daß schon einfach gestrickte Linux-Rechner, je nach Unternehmensgröße mehr oder weniger, ein gewisses Maß an Sicherheit gewährleisten. Auch nicht der Weisheit letzter Schluß. Es kann Würmchen sicher auch nicht verhindern, aber zumindest einschränken und das kann schon viel wert sein.

Was ich ja auch nicht verstehe ist, daß unzählige Unternehmen öffentlich zugeben, welchen Schaden ein Wurm angerichtet hat und lautstark über selbigen schimpfen. Mir wär das ja peinlich, überall hinauszuposaunen, daß ich versagt habe. (Ich würds nicht vertuschen, aber an die große Glocke hängen würd ichs auch nicht.)

Es ändert nichts daran, daß ein paar gute Sysadmins billiger kommen als der Schaden, den Würmer anrichten. (Rechnet mal nach, was es für ein mittelgroßes Unternehmen heißt, einen Tag ohne Rechner auskommen zu müssen...)

Es ist ebenfalls Tatsache, daß Linux seltener von Würmern angegriffen wird als Windows. Also warum diese Tatsache nicht zu seinen Gunsten ausnutzen? Insbesondere Klein- und Kleinstbetriebe sind damit sofort viele Sorgen los...

Zitat von that

Wie?




Die Klein- und Kleinstbetriebe müssen ständig mit proprietären Formaten wie .DOC und .XLS hantieren, die ihnen von Kunden und Lieferanten zugemutet werden...

Nicht nur das.

Selbst wenn ich wollte könnte ich nicht umsteigen @work: gibt einfach auch viel zu viel SW die unter Linux nicht läuft.

So wärs ja eh nett, alle Sorgen mit Lizensierung etc. los.
Aber: wenn dann mal alle auf Linux umgestiegen sind gibts dort annähernd genauso viele Viren. Ist halt derzeit ähnlich uninteressant wie Apple, und Sicherheitslücken gibts bei Linux genauso Ja, bei Linux schauts mit Rechten etc. anders aus, trotzdem gilt nicht Linux=Abrrahams Schoß).

Unter M$ fährt man allerdings mit einer Firewall ins Netz und Virenscanner auf jedem Rechner schonmal fast sicher, und wenns jemand drauf anlegt hackt er sowieso _überall_ rein => mit "sicher" meine ich Infektionen und nicht Datensicherheit.

Ich nehme mal das Bsp. Datenklau her, afaik sagt die Statistik dass 80 oder 90% des Datenklaus von Innen kommt, nicht von aussen.

@DJ_Cyberdance: "rudimentäre Maßnahmen": erinner dich an den Blaster zurück, da hats auch sehr viele getroffen weil sie eben 135 nicht dichtmachen können.

Dann kann man nicht einfach so updates einspielen weil z.B. zuerst getestet werden muss ob dann danach auch noch alles funktioniert (wäre unter Linux nichts anderes).

Unterm Strich: natürlich, wer sich nicht mindestens mit einer FW schützt sollte nicht verärgert sein wenns mal was hat, aber _alles_ wird man _niemals_ abblocken können etc.

Zitat von spunz

gegen notebook user gibts sehr einfache, aber teure lösungen. zonelabs bietet entsprechende client/server dienste welche notebook user erst ins netz (egal ob dialin, vpn, lokales lan) wenn der virenscanner/windows updates/fw rules aktuellen stand haben.

kleine betriebe können davon natürlich nur träumen.

Auch mittelgroße

Und: sowas schützt einen leider immer noch nicht vor dem User der glaubt sich auszukennen und den privaten ins Netz hängt, denn um das zu unterbinden brauchts wieder einiges an Zeugs und SW die sich ein mittlerer Betrieb nicht leisten kann.

Und: ich denke z.B. die ÖBB sind sicher so zersplittert das es keine Gesamt-EDV-Verwaltung gibt...

ich hatte noch nie den msblast oder sasser
Ein router faengt schon viel ab, wenn man genug ports sperrt.
Zumindest aus dem inet..

Zitat von that

Wie?

man koennte bei den workstations z.b. passwoerter verwenden, die nur der admin kennt, damit nur diese zugriff auf das netzwerk bekommen

Zitat von HaBa

Selbst wenn ich wollte könnte ich nicht umsteigen @work: gibt einfach auch viel zu viel SW die unter Linux nicht läuft.

So wärs ja eh nett, alle Sorgen mit Lizensierung etc. los.
Aber: wenn dann mal alle auf Linux umgestiegen sind gibts dort annähernd genauso viele Viren. Ist halt derzeit ähnlich uninteressant wie Apple, und Sicherheitslücken gibts bei Linux genauso Ja, bei Linux schauts mit Rechten etc. anders aus, trotzdem gilt nicht Linux=Abrrahams Schoß).

Du mißverstehst mich. Ich hab nirgendwo gesagt, daß man die Workstations auf Linux umstellen sollte. (Falls möglich sollte man das auch, aber das will ich hier ja gar nicht diskutieren.) Es geht auch nicht um Viren, die unter Windows laufen, sondern um Angriffe, die von außen kommen, zB Würmer.

IMO ist es, wie schon erwähnt, in den wenigsten Firmen nötig, daß alle Rechner einen vollwertigen Internetanschluß besitzen. Für alle gängigen Protokolle lassen sich Proxies verwenden. Daß jeder Arbeitsplatzrechner ein Protokoll nach draußen benötigt, für das es keinen Standard-Proxy gibt, ist doch eher die Ausnahme als die Regel.

Ich will ja auch gar nicht sagen, daß man durch solche Maßnahmen das Problem Würmer von heute auf morgen los ist. Aber ich bin sehr sicher, daß mindestens 50% aller nun von Sasser befallenen Firmennetzwerke mit sehr simplen Mitteln hätten geschützt werden können. Und damit meine ich nicht nur das Einspielen der Patches.

"Wenn dann mal alle umgestiegen sind..." - Das Argument ist richtig, hab auch gesagt, daß Linux nicht 100%ig sicher ist. Aber es ist nun mal Tatsache, daß - zur Zeit, wie ich deutlich sagte - Windows jenes OS ist, das weit öfter von Würmern heimgesucht wird.

@that:
Einfach anschließen unterbinden: Fixe Adressen für Workstations vergeben, Notebooks dürfen nur mit DHCP ins Netz und kriegen anderen IP-Bereich zugewiesen. Aufwändiger wäre noch ein Gegencheck mit der MAC-Adresse. Klar kann einer herkommen und seinem Notebook eine fixe IP aus dem anderen Pool geben - aber es gibt Firmenvorschriften, an die man sich halten sollte, und sollte eruiert werden können, woher ein Wurm kommt, kann man den Verantwortlichen zur Rechenschaft ziehen, das wird wohl keiner riskieren wollen. Der Unsicherheitsfaktor Mensch spielt wieder mal mit, klar.

@hanzi:
Wenn Du einen Linux-Rechner als Router verwendest und dahinter keine öffentlichen IPs, so wie ich das mache, brauchst theoretisch net amal Ports sperren. Die Würmer versuchen, den Linux-Rechner anzugreifen - und scheitern daran. Wenn Du von außen auf so einen Rechner zugreifst, siehst Du auch nur ihn und nicht die Rechner, die dahinter sind.