IT-Sicherheits Super-GAU – Meltdown und Spectre

,

Worum geht es überhaupt?

Die Design-Schwachstelle in aktuellen Prozessoren ist schon einige Jahre bekannt; eine Ausnutzung war bislang nur theoretisch möglich. Einem Forscher-Team ist es nun gelungen diese Schwachstelle praktisch auszunutzen.

Welche Hardware ist betroffen?

Während Meltdown nur Intel Prozessoren betrifft, betrifft Spectre ALLE Hersteller. Pauschal gesagt so ziemlich jedes Gerät der letzten 7-9 Jahre ist betroffen.

Was ist so schlimm an Meltdown und Spectre?

Meltdown und Spectre (1 & 2) sind Angriffsszenarien die es ermöglichen eigentlich isolierten Arbeitsspeicher auszulesen, bzw. die Sicherheitsmechanismen die dies verhindern sollen, umgehen. Besonders Rechenzentren trifft dies hart, da die Sicherheit von Kundendaten nicht mehr gewährleistet werden kann. Daten können übergreifend aus dem Arbeitsspeicher ausgelesen werden. Eben ein Super-Gau, schlimmer geht es nicht mehr.

Wie betrifft das mich?

Endkunden und deren Geräte sind zwar auch betroffen, jedoch ist es bei weitem nicht so kritisch und nur indirekt. Man benötigt Zugriff auf das System um den Schadcode auf dem betroffenen System auszuführen Dies ist in den meisten Fällen nicht gegeben. Prinzipiell könnten über Webseiten Angriffe gefahren werden, aber dies wurde von den Browser-Herstellern zügig mit Patches unterbunden.

Und nun? Was soll ich tun?

Wie bei jedem Problem diesen Ausmaßes, wird schnell an Lösungen gearbeitet. Dies führt aber dazu, dass die vermeintliche Lösung selbst fehlerhaft ist. So hat Intel bereits erste Micro-Code-Updates für die Prozessoren, sowie Microsoft Patches für die Betriebssysteme zurückgezogen, da diese ungewünschte Nebeneffekte hatten. Aktuell sind nur Dienst-Anbieter im Zugzwang ihre Systeme abzusichern, als Endkunde der nur indirekt betroffen ist, sollte man erst einmal abwarten bis sich der Staub gelegt hat und funktionierende Lösungen bereitstehen. Der einzige akute Angriffsvektor über Browser ist bereits geschlossen.

Weitere Vorgehensweise

Im Laufe des Jahres werden großflächig funktionierende Updates bereitstehen. Dann folgt folgende Vorgehensweise:

  • Schritt 1: Browser aktualisieren. Die großen Hersteller machen dies automatisch (Chrome, Firefox, Edge, …)
  • Schritt 2: Bios-Update durchführen. Diese enthalten Microcode Updates gegen Meltdown
  • Schritt 3: Antivirus-Programm auf die aktuelle Programmversion aktualisieren (Voraussetzung für Schritt 4)
  • Schritt 4: Nach Schritt 3 die entsprechenden Betriebssystem-Updates installieren. (generell ein aktuelles Betriebssystem verwenden wie z.B. Windows 10)

Sobald die Zeit gekommen ist, führe ich diese Schritt gerne durch, da besonders Schritt 2 nichts alltägliches ist. Als Aufwand schätze ich aktuell 30 Minuten pro Rechner.

Schnellstart deaktivieren nach Windows 10 Upgrade auf v1709

,

Beim Upgrade von Windows 10 auf Version 1709, wird leider der Schnellstart von Windows wieder aktiviert. Dies führt mitunter zu seltsamen Verhalten. Sehr häufig tritt z.B. auf, dass Netzwerkverbindungen nach dem Start noch nicht verbunden oder Netzwerkverbindungen noch nicht wiederhergestellt sind. Es erscheint dann z.B. folgendes Fenster:

Die Abhilfe ist denkbar einfach, der Schnellstart wird deaktiviert. Dies gelingt mit folgender >>Datei<< (Rechtsklick, speichern unter …).  Diese Datei speichern, doppelt anklicken, und die Meldungen mit Ja, Ja und OK bestätigen.

Sollte hierbei Hilfe benötigt werden, meldet euch kurz bei mir.

Installationsimages für Windows 10 v1709 (Fall Creators Update) stehen bereit

Das „Fall-Creators-Update“ wird ab sofort öffentlich verteilt.

Die Version 1709 bringt einige neue Funktionen, an der Optik wurde nur wenig geändert. Also kein Grund die Installation des Upgrades auf die lange Bank zu schieben. Probleme habe ich bislang keine ausmachen können.

Wie erkennt man schädliche E-Mails?

,

Die Zahl der von betrügerischen oder schädlichen E-Mails nimmt stetig zu. Zudem wird es immer schwieriger diese als solches zu entlarven.
Für die Erkennung solcher E-Mails gibt es 4 einfache Punkte die man befolgen sollte:

  • Mail-Adresse
    • Ist die E-Mail-Adresse verdächtig? Ausländische Kennung (z.B. .ru) bzw. seltsamer Aufbau
    • Ist der Versender eventuell bekannt?
  • Inhalt
    • Ist der Inhalt plausibel?
    • Rechtschreibung OK?
    • Konkreter Inhalt oder eher allgemein formuliert?
  • Anhänge
    • Ist ein Anhang vorhanden?
    • Welches Dateiformat(e) hat der Anhang?
  • Links
    • Sind Links in der Mail enthalten
    • Wohin führen diese (mit Maus darüber fahren = Ziel wird angezeigt)

 

Im Folgenden möchte ich gerne eine dieser Mails analysieren. Hier zunächst die Mail wie sie angezeigt wird (zum Vergrößern klicken):

 

Bemerkenswerte Punkte:

  • speziell auf den Empfänger zugeschnitten, eine Bewerbung auf eine teils tatsächlich vorhandene Stellenanzeige
  • perfektes Deutsch ohne Rechtschreibfehler
  • Anhänge die auf den ersten Blick als passend empfunden werden wie z.B. ein Lebenslauf
  • Anhänge die vom Datei-Format Sinn ergeben (z.B. Foto, PDF, ZIP-Datei)
  • ordentliche E-Mail-Adresse (wie z.B. von web.de, gmx.de, usw.)
  • Ansprechender Inhalt (Text sowie Foto)

Auffälligkeiten:

  • Es wurde keine Stellenanzeige aufgegeben
  • Es existiert keine Stellenanzeige …
  • keine namentliche Begrüßung
  • keine Nennung der angeblich ausgeschriebenen Stelle
  • Der Anhang ist bei genauerer Betrachtung auffällig

Anhang:

Der Anhang dieser E-Mail sieht auf den ersten Blick in Ordnung aus. Ein Bild und eine ZIP-Datei. Bei der ZIP-Datei sollte man dennoch Vorsicht walten lassen. Öffnet man diese, wird der eigentliche Charakter der E-Mail klar.

Die E-Mail versucht ein anderes Dateiformat vorzutäuschen. In diesem Fall soll ein Programm wie ein PDF aussehen. Gerne wird hierzu einfach vor der eigentlichen Dateiendung etwas anderes vertrautes gesetzt; wie hier z.B. .pdf

Wichtig: Die letzte Endung, also das was rechts vom letzten „Punkt“ steht, definiert das Dateiformat. Alles was davor steht, ist nicht von Belang.

Folgende Dateiformate sind Programme und sollten unter keinen Umständen ausgeführt werden:

  • .exe
  • .bat
  • .cmd
  • .com
  • .msi

Wichtig: Direkt nach dem Erhalten solcher Mails wird kein Antivirus-Programm in der Lage sein den Schädling zu erkennen. Erst einige Stunden später werden diese erkannt. Im Zweifel einfach ein paar Tage den Anhang nicht öffnen.

Angepasste Installationsimages für Windows 10 v1703 stehen bereit

Der öffentliche Startschuss für das „Creators-Update“ fällt am 11.04.2017.

Die Version 1703 von Windows 10 wurde schon ausgiebig auf meinen Testsystemen getestet und ist für den produktiven Einsatz geeignet. Der letzte Schritt war nun das Anfertigen von einem individuell angepassten Standard-Installation-Abbild.

Aaannd it’s done!

Der Frühjahrsputz der Rechner kann beginnen =)

Support-Ende für Windows Vista und Office 2007

Im April 2014 lief der Support für Windows XP aus. Viele Firmen waren hierauf nicht vorbereitet und kämpfen zum Teil bis heute mit der Umstellung.
Diesmal läuft im April der Support für Windows Vista und Office 2007 aus. Diese eher unbeliebten Produkte werden voraussichtlich einen stillen und zügigen Abschied nehmen.

Sollte man diese Produkte dennoch im Einsatz haben, ist es nun definitiv Zeit für einen Wechsel.

Internetausbau – Der aktuelle Stand

Seit nun 3 Jahren wird mit Hochdruck am VDSL-Ausbau gearbeitet, mit Erfolg. Viele, auch ländliche, Anschlüsse wurden erheblich in der Geschwindigkeit aufgewertet. „Betroffene“ Kunden werden von der Telekom vorbildlich über die neuen Möglichkeiten informiert.

Es gibt zwar noch viele „weiße“ Flecken auf der Ausbaukarte (siehe Breitbandausbau-Karte), diese schließen sich aber zunehmend.

Für die erhöhte Bandbreite müssen aber im Gegenzug Analoge- und ISDN-Anschlüsse weichen. Diese lieb gewonnene, alte, sehr zuverlässige und ausgereifte Technik wird nun in Rente geschickt und durch VOIP (Voice over IP, frei übersetzt „Stimme über Internet“) ersetzt. Dies hat jedoch meist zur Folge, dass man sich von bewährten, älteren Telefonanlagen trennen muss, da diese unter gewissen Gegebenheiten und Anforderungen nicht mehr mit den neuen Anschlüssen funktionieren. Der Abschied lässt sich zwar etwas hinauszögern, jedoch kündigt die Telekom mit Fristsetzung Verträge bei dem der Kunde keine Umstellung wünscht. Mittelfristig bleibt also nur der Sprung ins kalte Wasser in die Zukunft.

Vielmals gelingt es jedoch mit sehr überschaubarem Aufwand und Kosten sogar eine bessere Lösung zu schaffen. Die neue Technik eröffnet viele Möglichkeiten. Die „übliche“ Beratung und Begleitung der Telekom bei der Umsetzung ist aber eher oberflächlich und manchmal irreführend. Wer sich auf ein „ja das funktioniert“ der Hotline verlässt, steht am Tag der Umstellung leider meist im Regen. Besser vorher die Möglichkeiten und Anforderungen im Detail mit einem persönlichen Ansprechpartner abklären und mit einem passenden Konzept entspannt die Umstellung terminieren.

Ich persönlich schaue nun auf 2 Jahre kompetente Zusammenarbeit mit der Telekom zurück. Zusammen mit meinem persönlichen Ansprechpartner im Geschäftskundenbereich wurde jede auch noch so verzwickte Änderung punktgenau realisiert. Dafür möchte ich dieser Person hiermit herzlichst danken und freue mich auf viele weitere Herausforderungen.

Windows 7 kommt in die Jahre

Nach 7 sehr zuverlässigen Jahren, altert Windows 7 nun im Zeitraffer. 1 Jahr nachdem Windows 10 nun auf dem Markt ist, häufen sich die Probleme mit dem eigentlich zuverlässigen Vor-Vor-Vorgänger. Zu den Problemen zählen:

  • Keine Treiber / Updates mehr für aktuelle Prozessoren und Chipsätze
  • Neuere Programme verweigern den Dienst (z.B. Whatsapp für den Desktop)
  • Anhaltende Fehler im Windows-Update-Dienst

Besonders der letzte Punkt benötigt besondere Aufmerksamkeit. Seit Frühjahr 2016 häuft sich die Anzahl von Windows 7 Installationen, die nicht mehr in der Lage sind Updates zu beziehen. Die Ursache liegt in der Art wie die Prüfung nach Updates funktioniert. Die große Anzahl der zu prüfenden Updates und deren unzähligen Vor-Versionen, legt das System lahm. Abhilfe schafft hierbei die manuelle Installation der fehlenden Updates. In sehr vielen Fällen ist dies jedoch nur eine temporäre Lösung, nach 1-2 Monaten tritt das selbe Fehlerbild erneut auf.

Eine monatliche Reparatur ist natürlich definitiv nicht wirtschaftlich. In der aktuellen Windows 10 Version 1607  wurden vornehmlich Kinderkrankheiten beseitigt. Das System funktioniert nun sehr zuverlässig und zügig. Die Kompatibilität selbst zu sehr alter Software ist gut aber definitiv nicht allumfassend.

Ein Umstieg ist also mittlerweile definitiv ratsam, auch wenn Windows 7 noch weitere 3 Jahre mit Updates versorgt wird.
Mit einer guten Planung und Einführung funktioniert der Umstieg problemlos.

Windows 10 „Zwangs-Upgrade“ bald auch für Firmen!

Microsoft hat die Tage bekannt gegeben, dass nun auch kleine Organisationen und Firmen die Upgrade-Benachrichtigung auf Windows 10 bekommen sollen. Bisher wurden Rechner die Bestandteil eines Unternehmensnetzwerks sind davon verschont. So erhalten diese bald nicht nur die nervige Benachrichtigung in der Taskleiste, sondern Windows 10 automatisch über Windows Update.

Scheinbar sind die Rückmeldungen der Upgrades an Microsoft durchweg positiver Natur, so dass solche Experimente scheinbar tatsächlich Realität werden.

Nach wie vor gibt es genügend Software die nicht mit Windows 10 kompatibel ist. Typischer Weise haben branchenübliche Software von kleineren Unternehmen teils große Probleme mit Windows 10. Auf der anderen Seite versagt aber auch bekanntere Software wie z.B. ältere Adobe Creative Suites wie CS4, CS5 komplett den Dienst, während CS6 „läuft so lange es halt läuft“ (O-Ton-Adobe).

Es gibt somit durchaus Szenarien in denen ein Upgrade auf Windows 10 zu massiven Ausfällen führen kann; welche wiederum einen finanziellen Schaden für betroffen Firmen darstellen wird.

Die Lösung

Immerhin war Microsoft nun so gütig und hat offiziell eine Option freigegeben, die das Upgrade von Windows 10 sowie die Benachrichtigung deaktivieren. Im Folgenden findet sich eine einfache Anleitung die für Windows 7, 8 und 8.1 Abhilfe schaft.

  1. Diese Datei herunterladen: DOWNLOAD (Rechtsklick -> Speichern unter)
  2. Die Datei auf dem Rechner speichern (z.B. Desktop)
  3. Doppelt mit der linken Maustaste auf die Datei klicken
  4. Die beiden Benachrichtigungen bestätigen
  5. Die Datei wieder löschen und den Rechner neustarten
  6. Nach dem Neustart sollte nun die lästige Benachrichtigung in der Task-Leiste verschwunden sein.

Windows 10 Upgrade – Microsoft geht zu weit

Microsoft hat mit dem letzten Patch-Day seine Bemühungen Windows 10 zu bewerben erheblich verstärkt. Leider auf einer Art und Weise die nicht mehr in Ordnung ist. Windows 7 besitzt nach wie vor gute 4 Jahre Update-Support; Windows 8 und 8.1. gute 7 Jahre. Es besteht also keine Gefahr eines neuen „Windows XP“-Zombies.

Dennoch führt Microsoft eine Art Upgrade-Zwang ein. Bis vor ein paar Tagen nervte ggf. lediglich das System in der Taskleiste neben der Uhr; mitunter mit Benachrichtigungen zu Windows 10. Dieses konnte man durch das Entfernen des entsprechenden Updates unterbinden.

Sobald dieses Update jedoch durch Microsoft aktualisiert wird, installiert es sich erneut. Genau dies ist in den letzten Tagen erfolgt. Aber nicht nur das, hinzu kommt, dass die Nutzer zum Upgrade genötigt werden. Wer beim folgenden Fenster nicht aufpasst, installiert Windows 10 schneller, als ihm vielleicht lieb ist.

Win10_Upgrade_1

Win10_Upgrade_2

 

Zwar sind optionale Updates nicht zwanghaft nötig, jedoch ist die Installation von Windows 10 nun im Standard markiert. Ein Ausblenden des Updates hilft in diesem Fall auch nicht; es wird einfach wieder aktiviert. Die feine Art ist dies definitiv nicht!

Winfuture berichtet in diesem Artikel sogar von einer Art Zwangs-Installation, welches per Fenster mit Countdown angekündigt wird. Dieses Vorgehen kann ich bisher noch nicht bestätigen, jedoch sind die bisher von Microsoft ergriffenen Maßnahmen schon zu viel des Guten.

Es gibt aktuell noch sehr gute Gründe vorerst bei Windows 7/8 zu bleiben, einige sollen hier erwähnt werden:

  • Windows 10 ist noch sehr jung und hat entsprechende Kinderkrankheiten, diese halten sich zwar im Rahmen, sind aber definitiv vorhanden.
  • Die Kompatibilität zu eingesetzten Programmen ist noch nicht zu 100% gewährleistet; hier sollte man das OK der Hersteller abwarten bzw. vorher ausgiebig selbst testen.
  • Für kostenoptimale Nutzung sollte die Laufzeit eines Betriebssystem nach Möglichkeit bestmöglich ausgenutzt werden.
  • Bei Rechnern die bereits 4-6 Jahre im Einsatz sind und eh neu installiert oder getauscht werden sollen, macht der Einsatz der neusten Version natürlich Sinn. Bei einwandfrei funktionierenden Systemen, bzw. Installationen jüngeren Datums ist dieser Aufwand jedoch fragwürdig.
  • Die Gefahr eines zweiten Windows XP-Zombies ist aktuell nicht gegeben.

Empfehlung

Wie schon in meinem Artikel „Hallo Windows 10“ bleibt meine Empfehlung gleich. Lieber noch etwas abwarten und nichts überstürzen.

Wer dennoch schnellstmöglich wechseln möchte, sollte seine Arbeitsumgebung zunächst auf einem Testsystem ausgiebig prüfen und bei den Herstellern der eingesetzten Software nachfragen. Hierfür stehe ich natürlich jederzeit zur Verfügung.

Bis dahin gilt:
Lieber die Finger vom Upgrade lassen …