Wie wichtig sind eigentlich Sicherheitsupdates?

[Joshua]

Nabend allerseits

ich frage einfach mal in die Runde: wie oft spielt ihr Sicherheitsupdates ein, und habt ihr Systeme beziehungsweise trefft ihr oft auf Systeme, wo das überhaupt nicht gemacht wird?

Das ganze interessiert mich einfach aus aktuellem Anlass, weil ich gerade heute wieder einen Kunden an der Strippe hatte, der als Internet-Gateway und Mailserver noch ein uraltes, seit 2006 nicht mehr upgedatetes FreeBSD 4.11 laufen hat. Für Hinweise auf Sicherheitsmängel und die Möglichkeit eines Updates interessiert man sich kaum, weil: wieso, es funktioniert doch?
(FreeBSD läuft halt einfach viel zu gut )

Genauso gibt es noch etliche Netze, wo diverse Windows 2000 Rechner laufen und auch am Internet hängen (natürlich mit IE 6, was anderes geht ja nicht). XP oder gar Windows 7 ist nicht in Sicht weil viel zu teuer, und wozu denn auch, es funktioniert doch so wie es ist

Ich bitte also einfach mal um Meinungen:
bin ich richtig, wenn ich sage, es ist ein nicht unerhebliches Risiko, derart veraltete Software einzusetzen, oder ist der Kunde richtig, wenn er sagt, ach was, alles halb so wild?

Grüsse
Joshua (Joshy)

 

[Gulp]

...wieso, es funktioniert doch?...ach was, alles halb so wild

joo.
also wenn Demjenigen die eigene Datensicherheit worscht is
aber, soweit ich weiß, können unsichere Systeme Schadcode auch weiterverbreiten, grad wenn sie als Server am öffenlichen Netz hängen.
Unter diesem Aspekt is so'ne Ansicht schon fast bischen assozial.
Ich jedenfalls würde sofort meinen E-Mail-Provider wechseln, wenn ich wüsste, daß der so denkt.

 

[crotchmaster]

aber, soweit ich weiß, können unsichere Systeme Schadcode auch weiterverbreiten, grad wenn sie als Server am öffenlichen Netz hängen.

Ich würde sogar behaupten, das es heute das Hauptziel von Angriffen und Malware ist, nicht wie früher, wo den Leuten einer abging, wenn sie ne Website gehackt hatten. Heute kann man die Ressourcen der gehackten System einfach stillschweigend für andere schlimme Dinge nutzen, sei es für einen DDOS, als Zwischenlager für illegalen Content, Spam-Schleuder, Angrife auf SSH-Server usw.

Ich mache auch nicht jedes Update mit. Ich schaue da schon genau hin und informiere mich, ob mich das Problem betreffen könnte. Wenn ich betroffen bin, update ich auch zügig.

Gruß c.

 

[shakky4711]

ich frage einfach mal in die Runde: wie oft spielt ihr Sicherheitsupdates?

Auf Produktivsystemen an vorderster Front prüft cron jeden Tag ob es Updates gibt

und habt ihr Systeme beziehungsweise trefft ihr oft auf Systeme, wo das überhaupt nicht gemacht wird?

Ich kenne Leute mit 4 oder 5 Jahre alten Ubuntu Installationen, ich selber habe auf "nur-Surfstationen" alte PC-BSD 1.5.1 Installationen für die es seitens PC-BSD keine Updates mehr gibt und und und, laufen halt einfach. Auch ein Win98 Rechner den es noch für einen GDI Drucker und einen speziellen Scanner gibt läuft hier noch bei mir.

Ich unterstelle mal einfach dass alte Schadsoftware von jedem halbwegs aktuellen Virenscanner gefunden wird. Weiter behaupte ich einfach mal, dass das Programmieren von Schadsoftware heutzutage ein riesiger Geschäft ist, da werden gezielt Sachen in Auftrag gegeben, Botnetze vermietet, etc. Da ist es doch nur wirtschaftlich die Systeme anzugreifen von denen es am meisten gibt, Windows XP und aufwärts sowie vielleicht noch MacOS.

Wer möchte da Geld oder Ressourcen verschwenden für die Entwicklung von Schadsoftware für Alt- oder Nischensysteme, wie Windows98, Uralt-NT Systems, Linux 2.2 Kernel, selbst das FreeBSD 4.1 ist wahrscheinlich kein hochgradig gefährdetes oder interssantes Ziel.

Wenn das System an vorderster Front als Webserver steht ist es etwas Anderes...

 

[crotchmaster]

Wenn das System an vorderster Front als Webserver steht ist es etwas Anderes...

Ich denke auch, das größte Problem sind die Webanwendungen bei Webservern und danach die Serversoftware im Allgemeinen. also nicht nur bei Webservern, sondern für alle Serverdienste, die direkt am Netz hängen.

c.

 

[ed1949]

Bei meinen öffentlichen Servern prüfe ich normalerweise täglich die wichtigsten Meldungen. Installiert wird dann, wenn es den Server betrifft, ansonsten verschiebe ich es und mache das mit dem nächsten Update mit. So war meine Konfiguration z.B. von FreeBSD-SA-10:06.nfsclient nicht betroffen, daher habe ich dort nichts gemacht. Einen automatischen Fetch per cron mache ich nicht.

Ach ja zur Frage: 4.11 ist schon recht alt. Wie gross das Risiko ist kann man aber nicht pauschal sagen. Hängt stark von Services, Konfiguration und der Überwachung des Systems ab. Wenn man weiss was man tut, kann man m.E. so ein System gut laufen lassen. Ich hatte auch bis vor kurzem ein - gut überwachtes - FBSD 6.1.

 

[Athaba]

Ich mache es, wie shakky4711 und lasse mir Sicherheitsupdates per cron einspielen.

Anfangs war es nur eine Anzeige, aber da meine produktivsten System auch nicht überaus ausfallsicher sein müssen und sind, es regelmäßig Backups gibt, usw. installiere ich jetzt teilweise auch mit cron.

Allerdings nicht blind. Bei speziellen Anwendungen gibt es lediglich eine Info. Da alles gemeldet wird wären Ausfälle auch nicht lang. Bisher gab es Keine und es ist alles eher ein Hobby

Was Sicherheit betrifft muss man sich ohnehin den Einzelfall ansehen. Außerdem halte ich nicht viel von 'einigermaßen' sicheren Systemen. Wenn das System auf dem letzten Stand ist aber sonst alle Türen und Fenster weit offen stehen ist das auch sinnlos.

Klar einem DAU kann man nur sagen, dass er alle Autoupdates aktiviert haben soll, aber von einem Sicherheitskonzept ist man trotzdem noch weit entfernt. Pauschal kann man also schwer eine Antwort geben.

 

[pit234a]

Vielleicht sollte ich darüber mal ein wenig mehr philosofieren. Ich rede ja zu gerne über solche Themen, ohne wirklich was davon zu verstehen...

OK. Ich habe nur und ausschließlich private Rechner im Gebrauch, keinen öffentlich zugänglichen Server oder ähnliches. Fast immer sind das Desktop-PCs und Laptops.
Da habe ich Systeme, die niemals upgedatet werden und andere, die unregelmäßig, aber doch etwa monatlich updaten. Zu den ersten Systemen zählen zum Beispiel digitale Sat-Receiver, die ein busybox-Linux benutzen und die laufen dauernd und ohne Update.
Vor etwa fünf oder sechs Jahren hatte ich eine Textdatei an einem öffentlich angegebenen Ort auf einer meiner Sat-Boxen abgelegt und 100 Euro geboten, wenn mich jemand mit dem Inhalt dieser Datei überzeugen kann, dass er in mein Netz eingedrungen ist. Für 100 Euro nahm scheinbar niemand die Mühe auf sich, obwohl ich damals noch eine feste IP bei meinem Provider hatte und diese auch genannt habe.

Einen Virenscanner hatte ich mal in den späten 90ern des letzten Jahrhunderts im Betrieb und zwar auf dem damals mit meinem ersten PC ausgelieferten Win'95. Beides, das Win und den Scanner, hielt ich nur wenige Monate aus. Seither laufen bei mir alle PCs furchtbar offen und total ungeschützt und teilweise dauernd. Mein derzeit ältester FreeBSD ohne Updates ist ein 6.1er.

Ich halte die Feinde, die man sich selbst auf den PC einlädt für wesentlich gefährlicher, als solche, die nach Systemlücken schauen müssen.
Deshalb mein Credo: was wichtig ist, gehört nicht auf einen PC! Es gibt keine sicheren Systeme!

 

[Illuminatus]

dass Kunden ein System auf aktuellem Patchlevel haben ist absolut in meinem Interesse. Mindestens ein Hinweis dass Updates verfügbar sind gebe ich, sodass ich keine Anschuldigung bekomme ala: Sie haben uns nicht auf Sicherheitslücken hingewiesen, jetzt ist der Schaden da!

Eventuelle Downtimes werden abgesprochen und ggf. weitere anliegende Tätigkeiten mit eingeplant.

Ist ein Kunde ein eher sparsamer Typ gebe ich gerne eine Einschätzung wie wahrscheinlich es ist dass er von der Lücke X betroffen sein wird. Dann wird das Update aufgeschoben bis es wirklich kritisch/relevant wird.

Kunden bei denen Ein Monitoringsystem genutzt wird lassen sich leichter von regelmäßigen Updates überzeugen: "da ist was rot im nagios, machen sie das weg :-)"

Kunden die auch nach drei Jahren nicht updaten wollen bekommen weiterhin ihre Weihnachtsgrußkarten, und eben auch einmal im Jahr ein Angebot für ein Update pro forma.


Im privaten verfolge ich auch täglich die Updatesituation. Die FreeBSD SA finde ich hervorragend zu lesen. Ich kann das Risiko sehr gut einschätzen und den Zeitpunkt für ein Update einplanen. Installierte Ports behalte ich mit portaudit im Auge.

Hängt die gesamte Sicherheit eines Systems von einem Patch ab, sollte man sich daran erinnern dass es umfangreiche Bücher ausschließlich zu diesem Thema gibt, in der Sicherheitskonzepte als mehrschichtig aufzubauen empfohlen werden.

 

[Daemotron]

Hm, in meinen Augen gehört auf ein direkt mit dem Internet verbundenes System schon Software, die auch aktuell noch gepflegt wird. Sobald Dienste auf der Kiste öffentlich erreichbar sind, ist das IMO sogar Pflicht. Ein Dienst kann jederzeit kompromittiert werden (schlimmstenfalls Zero-Day), und wenn dann das Betriebssystem alt und ungepflegt ist, ist das Risiko einer Local Privilege Escalation einfach unkalkulierbar.

Die Folgen sind es auch - IANAL, aber mit Abmahnungen muss man IMO mindestens rechnen, wenn der eigene Server anfängt, Spam oder urheberrechtlich geschütztes Material zu verbreiten. Wenn man Pech hat, kommt noch ne Schadenersatzklage oben drauf, und wenn was ekelhaftes dazwischen war (Schadsoftware, Kinderpornos, etc.) interessiert sich auf einmal auch noch die Staatsanwaltschaft dafür. Das lohnt den Ärger nun wirklich nicht.

Für's Basis-System reicht's doch, die Feeds für Errata und Security zu lesen (so oft kommt da ja nix), und die Ports kann man relativ einfach mit portaudit automatisiert durchchecken lassen. Installieren ist bei mir allerdings Admin-Sache, das darf kein Cronjob