WannaCry: Mitleid gleich null

onli blogging

WannaCry: Mitleid gleich null

Tuesday, 16. May 2017

Okay okay, das stimmt nicht: Wenn ein Privatanwender gerade seine Daten verloren hat, habe ich schon Mitleid. Wenn Patienten von Krankenhäusern nicht mehr richtig versorgt werde können, dann natürlich auch. Aber gegenüber den betroffenen Institutionen und betroffenen Ländern, da spiele ich Nelson, stehe in der Ecke und sage "Ha Ha".

Das Problem in diesem Fall ist doch nicht, dass die NSA Sicherheitslücken hortet und dann die Kontrolle verliert. Wir wissen doch, dass die das machen. Das Problem sind die Institutionen und Anwender, die ein uraltes Betriebssystem weiterbetreiben und nicht hören wollen. Microsoft und Sicherheitsleute sagen in seltener Einigkeit: Ihr müsst upgraden, es wird eine Sicherheitslücke geben. Die Reaktion war ein "mir doch egal". Und jetzt zahlen die so Denkenden den Preis für ihre Arroganz.

In meinem eigenen Umfeld habe ich genau das an der Uni gesehen. Meine erste, die hatte noch einen richtig guten Linux-PC-Pool. Diese technische Universität wird jetzt auch kein Problem haben. Die zweite, da lief zumindest anfangs Windows XP auf den Rechnern, direkt vor Supportende. Der Glaube war, dass die Sicherheitssoftware schon wirken wird - aber soweit ich weiß war der Glaube nicht stark, die haben inzwischen geupgraded. Aber die dritte Uni, da lief bei meiner Ankunft und nach Supportende noch Windows XP. Mit genau der gleichen Rechtfertigung: Wir haben spezielle Sicherheitssoftware, wir haben Sicherheitskontrollen auf Netzwerkebene, das passt schon.

Nein, es passt eben nicht. Irgendwann kommt, wie jetzt, eine neue Schadsoftware über einen nicht kontrollierten Weg und infiziert den PC. Die Arbeit, die mit dem gesparten Upgrade gespart wurde, haben die Betreiber solcher Systeme jetzt mit dem Kampf gegen die Malware.

Es gibt Alternativen

Was mich ärgert: Die tun so, als hätten sie keine Wahl. Aber das stimmt eben nicht. Sie können zu einem neuen Windows upgraden. Oder, noch besser: Sie können direkt zu Linux wechseln. Da werden dann Lizenzkosten für die Software angeführt. Aber wenn das IT-Budget nicht ausreicht, um die Software neu zu lizenzieren, dann muss man sie eben abschreiben. Lizenzen nur für veraltete Software zu haben ist genau so wertvoll, wie sie gar nicht zu haben. Und es ist ja nicht so, als gäbe es nicht für im Grunde alles eine freie Alternative. Gleiches gilt für Windows-only Software: Wenn eine wesentlich bessere TU ihre Studenten mit Linux versorgen kann, dann braucht eine kleinere technische Universität Windows erst recht nicht.

Und ich denke, diese Situation wird man tausendfach wiederfinden. China sitzt auf Windows XP? China hat doch sogar eine chinesische Linuxversion, dann nutzt sie halt. In Industrien mag es Arbeitsabläufe geben, die an einem uralten und nur auf XP noch laufenden Programm hängen. Das umzustellen mag teuer sein. Aber habt ihr wirklich die Rechnung damit gemacht, was passiert, wenn eine Lücke diesen PC und damit die Fabrik ungeplant stilllegt? Das kostet doch Millionen. Da hätte man doch besser mal vorher gehandelt.

Klar, ein nicht mit dem Netzwerk verbundenes Uraltsystem, das ist eine andere Geschichte. Aber darum geht es hier ja nicht.

Es braucht Konsequenzen

Ich habe kein Mitleid. Netzwerkfähige PCs, das sind für den Anwender simpel bedienbare Geräte. Aber in unserer vernetzten Gesellschaft haben diese Geräte Macht, ihre Besitzer Verantwortung. Wir müssen ein Mindestmaß an Sorgfalt aufbringen und einfordern. Es kann nicht sein, dass eine solche Lücke für ein Dinosaurierbetriebssystem überhaupt Opfer findet. Es geht noch viel weniger an, dass Institutionen wie Krankenhäuser deswegen nicht normal weiterfunktionieren können. Hier muss man die Verantwortlichen finden, und man muss sie zur Rechenschaft ziehen. Unsere Gesellschaft muss so etwas ächten, und (wenn nötig mit neuen Gesetzen) Leute für den Schaden haftbar machen. Und nein, nicht die Programmierer der Schafsoftware sind verantwortlich. Ich denke an solche Leute:

Und natürlich liegt es am fehlenden Geld. Dem Guardian zufolge hat zum Beispiel das britische Gesundheitsministerium im Jahr 2015 aufgehört, für Microsofts speziellen XP-Support in den nun betroffenen Kliniken zu zahlen. (via)

Ha Ha. Selbst schuld. Aber wenn jetzt ein Patient stirbt, dann gehört ihr in den Knast.

Kommentare (26) | Trackbacks (0) | in Linux

Trackbacks

Keine Trackbacks


Kommentare

Dirk Deimeke am :

*

Gebe Dir völlig Recht und argumentiere genauso.

Es ist übrigens nicht nur Windows XP betroffen, die Probleme gibt es bis einschliesslich Windows 8.1

onli am :

*

Das hat aber zumindest noch offiziellen Microsoft-Support, oder? Kann natürlich trotzdem die falsche Wahl sein, gerade durch das anstehende Upgrade oder verbundene Lizenzkosten.

onli am :

*

Ah. Ja, guter Punkt.

tux. am :

*

Das ist so der Denkfehler bei fast allen Linuxern: Sie verstehen technische Zusammenhänge nicht und schließen deswegen aus "Problem mit Windows" automatisch "kein Problem mit Linux".

> Oder, noch besser: Sie können direkt zu Linux wechseln.

Das Problem lautete: Monate alte Sicherheitspatches nicht eingespielt.

Machste das bei deinem Linux nicht, ist es genau so schnell hinüber. Glaubst du nicht? Versuch es mal!

onli am :

*

Hey, spar dir so Sprüche bitte. Du bist hier willkommen, kannst deinen Punkt ohne den Snark rüberbringen, dann muss ich auch nicht anfangen deine Kommentare zu löschen.

Zum Thema: Warum werden denn bei Windows XP die alten Sicherheitspatches nicht eingespielt?

tux. am :

*

"Snark" ist ein hübsches Wort, auch wenn ich die Aussage dahinter von mir weisen muss.

Windows-Updates werden aus dem gleichen Grund nicht eingespielt wie Linux-Updates: Manche Firmen wollen sie erst mal ausgiebig testen (da geht ja manchmal was gewaltig schief), manche Systeme wurden "aus Sicherheitsgründen" sowieso komplett auf manuelle Updates umgestellt. Auch in Hochschulen ist das leider so üblich. - Manche werden auch einfach irgendwann (Netzneustrukturierung) schlicht vergessen.

Also: Nicht das System wechseln, sondern den EDV-Vertragspartner ... :-)

onli am :

*

Einverstanden mit dem Fazit, insoweit dass ein guter EDV-Partner in diese Situation nicht hätte rennen dürfen, auch nicht mit Windows :)

Er würde dann halt kein XP mehr zulassen, wenn es da nicht mehr generell Updates gibt.

Ich denke aber wirklich, dass die Situation unter Linux anders aussieht. Sicherheitsupdates stabiler Distros werden meines Wissens oft automatisch eingespielt, und machen seltenst etwas kaputt. Und es fallen die ganzen Nutzer unlizenzierter Software weg, die aus Angst vor einer Sperrung durch Updates den Updateservice deaktivieren. Stichwort China, die haben gerade wohl ein massives Problem.

tux. am :

*

> Sicherheitsupdates stabiler Distros werden meines Wissens oft automatisch eingespielt

Unter Windows musst du sie auch erst mit voller Absicht und nach der Zurkenntnisnahme der damit verbundenen Warnungen deaktivieren, bevor so eine Situation überhaupt erst auftreten kann.

onli am :

*

Stimmt.

Dirk Deimeke am :

*

Gesetzt den Fall Deine Workstation hat direkten Internetzugriff oder der Admin hat die Updates auf dem zentralen Server bereitgestellt.

(Ist aber mit Linux das Gleiche).

onli am :

*

Und dass es generell noch Patches gibt ;)

MaM am :

*

Ich sehe das zwar sehr ähnlich, halte aber einige Aussagen für doch zu stark vereinfacht:
- für alles gibt es FLOSS und ein Linux
- für FLOSS gibt es immer Updatestrategien
Da ich in einem ähnlichen Umfeld sitze und nun "DESHALB meinte ich das XP Mist ist" sage, dass die Entscheider doch etwas Verständnis entwickeln. Leider ist es oft so, dass die Budgets und Prozesse in den technischen Abteilungen nicht unbedingt von den Technikern getroffen worden. Oft sind auch ältere Kollegen (welche u.U. nur die Windows-Welt kennen), auch nicht mit dem Bewußtsein für Update-Management im Beruf groß geworden. Da wird eben immernoch die Software händisch von Webseiten geholt, eingespielt und der Lizenzschlüssel eingegeben. War ja schon immer so ...

Dirk Deimeke am :

*

Es mag nachvollziehbare Gründe geben, weiterhin auf XP zu setzen, aber dann darf man nicht jammern, wenn es kaputt geht, weil der Supportzeitraum abgelaufen ist.

IT kostet Geld und der geringste Teil der Kosten sind Lizenzkosten. Es liegen vier supportete Versionen zwischen XP und heute (Windows Vista, Windows 7, Windows 8 und Windows 10). Selbst, wenn man sich entscheiden würde, nur jede zweite oder dritte Inkarnation von Windows einzusetzen, hätte es mit dem rechtzeitig veröffentlichten Patch keine Probleme gegeben.

Es geht nicht um "XP ist Mist", es geht um abgelaufenen Herstellersupport.

Mit Autos geht man auch regelmässig in die Inspektion ("Patching") oder kauft sich ein neues (gebrauchtes) Gefährt, wenn es nicht mehr repariert werden kann, weil es keine Ersatzteile mehr gibt.

Fryboyter am :

*

> Was mich ärgert: Die tun so, als hätten sie keine Wahl. Aber das stimmt eben nicht. Sie können zu einem neuen > Windows upgraden. Oder, noch besser: Sie können direkt zu Linux wechseln.

So einfach ist das oft dann doch nicht. Es gibt genug spezielle Hardware (CNC-Maschinen, medizinische Geräte, Laborgeräte usw.) die beispielsweise nicht mit einer aktuellen Version von Windows laufen sondern z. B. XP (teilweise mit einem bestimmten Patch-Stand) benötigen. Und die Dinger kosten richtig Geld. Da kann man nicht mal eben wechseln. Schon gar nicht auf ein oft nicht unterstütztes Betriebssystem wie Linux.

Der Fehler ist bei solchen Fällen in der Regel "nur", dass man den Zugriff von außen erlaubt. Solche Sachen gehören abgeschottet bzw. sollten in einem extra internem Netzwerk laufen (sofern überhaupt ein Netzwerkzugriff nötig ist).

Weiterhin sind auch nicht die Admins das Problem sondern die Entscheider (aka BWLer). Die Rechner mit XP laufen doch, warum also wechseln? Ich kenne den einen oder anderen Admin die sich für solche Fälle die E-Mails, Briefe usw. kopieren und in einem Bankschließfach aufbewahren um im Fall der Fälle eine Absicherung zu haben.

dakira am :

*

Gerade bei Spezialmaschinen, die teilweise Millionen gekostet haben, ist es kein wirklich großes Problem mal eine Spezialfirma zu beauftragen die Schnittstelle vom nicht mehr supportteten Gerät zu "reverse-engineeren".

Bei neueren und sehr großen CNC-Maschinen ist das etwas schwieriger, weil die Kommunikationsschnittstelle und die ganze Maschine zusätzlich DRM-Verplombt ist (die Maschinen laufen aber auch noch mit aktuellen Windows-Versionen). Für die meisten anderen hat man innerhalb eines Tages nen Treiber für Visicut fertig.

Die Ansteuerung von MRT-Maschinen ist auch kein Hexenwerk. Die meisten schmeissen einem schichtweise rohe Bilddaten raus.

Die paar tausend Euro sollte man investieren, wenn so viel von den Geräten abhängt. Und bei der nächsten Anschaffung gleich darauf achten, dass der Scheiss nicht von einem WindowsXP abhängt (bzw. drauf bestehen die Schnittstellen dokumentiert zu bekommen).

dakira

onli am :

*

> Ich kenne den einen oder anderen Admin die sich für solche Fälle die E-Mails, Briefe usw. kopieren und in einem Bankschließfach aufbewahren um im Fall der Fälle eine Absicherung zu haben.

Ziemlich gute Idee!

Dirk Deimeke am :

*

Über "Spezialappliances" würde ich nicht reden wollen, da man die in ein Spezialnetz ohne Zugriff von aussen kapseln könnte.

Ich würde wirklich mal den BWLer oder Geschäftsführer fragen, wie häufig das Auto gewechselt wird.

MaM am :

*

Das ist zwar ein einsichtiges Argument, aber ich vermute, es hinkt etwas :-)
Die Systeme laufen doch nicht isoliert, sondern sind die Basis für (Spezial)Anwendungen, welche mit den neuen OS-Versionen klar kommen müssen. Manchmal sind die Softwarebuden schon verschwunden, aber es gibt / es wurde keine Alternative angeschafft. Für die meisten in einer Firma ist eben wichtig(er), dass die internen Prozesse laufen und womit ist eher zweitrangig. So lässt sich auch erklären, wieso an einigen Stellen dann eben bewußt auf Isolation in Netzwerken verzichtet wird, weil man muss ja an die Dateifreigaben, ...

Wie schon oben (und auch von anderen) gesagt, das sind meist dann doch eher organisatorische Probleme in den Firmen und gar nicht unbedingt technische oder das Leute dumm sind ;-)

dakira am :

*

Wie schon weiter oben geschrieben: Wenn ich im Krankenhaus ein MRT für mehrere Millionen Euro einsetze, sollte mich meine IT-Abteilung davor warnen, dass das Ding nur noch mit XP läuft und ggf. rechtzeitig vorschlagen eine Firma zu beauftragen das woanders lauffähig zu machen. So viel Geld ist das auch nicht. Und bei der nächsten Anschaffung mit Blick auf die Aktuelle Situation gewährleisten, dass Geräte zukunftssicher sind. Im CNC-Bereich habe ich schon erlebt, dass Firmen bei unsupporteten Geräten die Spezifikationen von selbst rausgegeben haben (oder gar jmd. beauftragt haben einen Opensource-Treiber zu entwickeln).

MaM am :

*

Naja, es geht ja auch um Haftund und die Schuldfrage, wenn mal was passiert. Der gute Fefe hat da noch einige sehr nette Rückmeldungen von Leuten aus der Wirtschaft veröffentlicht: https://blog.fefe.de/?ts=a7e262f4

onli am :

*

Dessen Fazit aber ist "alles kein Hexenwerk eigentlich". Aber Danke für den Link

MaM am :

*

Gern, ganz passend ist da auch sein neuer Alternativlos-Podcast http://alternativlos.org/39/

dakira am :

*

Der Köhntopp beschreibt der sehr gut, wie's gemacht wird. Das bezieht sich aber eher alles auf Updates der eigenen Software (und Abhängigkeiten) und nicht auf Windows-Updates, die man aufgrund von Spezielanwendungen (MRT, CNC-Fräse) nicht machen kann. Was er beschreibt sind übrile Rollout-Strategien. Interessant fand ich, dass die bei booking.com auch auf Experiments setzen, was m.E. auch für "small-scale"-Anwendungen interessant ist.

Hier ging es aber wie gesagt eher darum, dass Leute bei WindowsXP bleiben (müssen), weil ihre Geräte nur damit funktionieren. Und da sage ich ganz klar, müssen sie nicht. Schon zum Support-Ende von XP hätte man die Geräte (auch von nicht mehr existenten Herstellern) updaten können.

Klaus am :

*

Hmm, bei entsprechender Firmengröße wird das im Handumdrehen verwickelt und schwierig. Ich erinnere mich an irgendwelchen Java-Kram, der per SAP auf Oracle-Datenbanken zugreift und nur mit einer bestimmten Version des IE mit nur der und jener Java-Version funkioniert ... da tun sich Abgründe auf.

Tante hat das anschaulich geschildert:
https://tante.cc/2017/05/15/dont-just-update/

onli am :

*

Naja, er geht da ja auch drauf ein: Es ist halt notwendig. Da tun sich Abgründe auf, klar, aber das sind technische Schulden die Firmen und Institutionen nicht länger ignorieren dürfen. Sonst zahlen sie später drauf, gehen kaputt, oder wie im Fall der Krankenhäuser gefährden durch nicht mehr funktionierende kritische Systeme gar Menschenleben.


Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne machen ein Wort kursiv (*wort*), per **wort** wird es fett. [http://www.example.com Link] fungiert als URL-Tag.
 
 
Datenschutzerklärung