WinFuture-Forum.de: WSUS Offline - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Software
Seite 1 von 1

WSUS Offline


#1 Mitglied ist offline   Ler-Khun 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.963
  • Beigetreten: 16. Dezember 06
  • Reputation: 237
  • Geschlecht:unbekannt
  • Wohnort:Hätte schlimmer kommen können

geschrieben 27. Februar 2015 - 05:12

Moin,

ich nutze schon seit längerem oben genanntes Tool um ein neues System schnell upzudaten.

Nun kam mir der Gedanke, was ist eigentlich wenn das System unwissentlich kompromittiert ist?
Ist irgendetwas über Fälle bekannt in denen es Schadsoftware geschafft hat die Updates in irgendeiner Weise zu manipulieren, Schadsodtware als Update zu tarnen, usw, so dass das neue System auch gleich infiziert ist?

Nicht dass mein System verseucht ist. In dem Fall würde ich mir per Live CD lieber ein Update Pack von WF saugen. Ich frage rein interessehalber.
Es ist nicht alles Chrome was glänzt. Firefox -Der bessere Browser
0

Anzeige



#2 Mitglied ist offline   Future010 

  • Gruppe: aktive Mitglieder
  • Beiträge: 696
  • Beigetreten: 02. Januar 14
  • Reputation: 69
  • Geschlecht:Männlich

geschrieben 27. Februar 2015 - 07:21

Da müssten vielleicht mehrere Fälle unterschieden werden.

Fall 1 wäre beispielsweise Schadsoftware, die das System so manipuliert, als das Updates heruntergeladen werden, die das System "noch mehr" verseuchen. Das wäre durchaus möglich, ich könnte mir vorstellen, dass man hier eine Art Abgleichsliste manipulieren müsste. Ich denke Windows Update arbeitet in etwa so, es wird angefragt ob Updates zur Verfügung stehen. Falls ja werden diese heruntergeladen, anschließend nochmal verglichen. Man müsste nun ein entsprechendes kaputtes Update platzieren und dieses in eine "offizielle" Liste eintragen, das ist an sich machbar ist aber in der Realität kaum umsetzbar, oder nur schwer.

Fall 2 Trojaner oder ähnliches läuft im Hintergrund und lädt für ein anderes Programm manipulierte Software Updates herunter. Dieser Fall ist der am einfachsten durchsetzbarste.

// Ich denke kaum, dass es jemandem gelungen ist, in die Windows Updates Schadsoftware einzufügen. Aber mein zweiter Fall wurde und wird natürlich von Kriminellen praktiziert...
Ein(e) Danke(positive Bewertung) für einen guten Beitrag kann nicht schaden ;-) Danke!j Dateien und Ordner Verwaltung by Future010
0

#3 Mitglied ist offline   Ler-Khun 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.963
  • Beigetreten: 16. Dezember 06
  • Reputation: 237
  • Geschlecht:unbekannt
  • Wohnort:Hätte schlimmer kommen können

geschrieben 01. März 2015 - 02:13

An Fall 2 dachte ich auch eher.
Denn die Arbeitsweise des Programm scheint ja so zu sein dass es erst mal schaut welche Updates auf dem Systen installiert sind. Diese werden dann nicht vom laufenden System gesichert, sondern von MS' Server runtergeladen. Halt wie du meinst anhand einer Abgleichliste sozusagen.

Aber in diesen Vorgang könnte sich doch theoretisch eine böse Software einklinken, parallel etwas anderes Böses runterladen, umbenennen in ein bereits von WSUS heruntergeladenes echtes Update und gegen dieses austauschen.
Würde doch gar nicht auffallen.
Vllt bin ich auch nur etwas zu paranoid.
Es ist nicht alles Chrome was glänzt. Firefox -Der bessere Browser
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.877
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 01. März 2015 - 06:07

Gilt das nicht für jede, x-beliebige Software?

Klar gilt, daß mit jeder zusätzlich eingefügten Ebene (hier: WSUSOffline zwischen WindowsUpdate und Endbenutzer) die Angriffsflächen größer werden und damit die Chancen/die Risiken größer werden, daß sich da wer "unerlaubt" reinhängt.

Aber ohne jetzt doof klingen zu wollen: wenn man WSUSOffline nicht vertraut - was macht dann das WF-Update-Pack zuverlässiger? Da gilt doch ganz genau dasselbe. Man müßte schon die Updates direkt von Microsoft besorgen und zusätzlich(!) aus dritter(!) vertrauenswürdiger(!) Quelle Signaturen ausreichend vertrauenswürdiger Natur dazubesorgen, um die Integrität prüfen zu können (und das vor allem auch tun).

Was natürlich enormen Mehraufwand kostet - womit wir wieder bei "Komfort oder Sicherheit?" wären. Außerdem halten sich da 99% der Inhaltsanbieter nicht dran (Downloads + Signaturen auf demselben Server = sicherheitstechnisch Blödsinn).


TLDR; es gibt keinen speziellen Grund, WSUSOffline aufgrund von Sicherheitsbedenken nicht einzusetzen - zumindest keinen, der es von anderen (Drittanbieter-)Tools herausstellt.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   Future010 

  • Gruppe: aktive Mitglieder
  • Beiträge: 696
  • Beigetreten: 02. Januar 14
  • Reputation: 69
  • Geschlecht:Männlich

geschrieben 01. März 2015 - 14:44

Zitat

Aber ohne jetzt doof klingen zu wollen: wenn man WSUSOffline nicht vertraut - was macht dann das WF-Update-Pack zuverlässiger? Da gilt doch ganz genau dasselbe. Man müßte schon die Updates direkt von Microsoft besorgen und zusätzlich(!) aus dritter(!) vertrauenswürdiger(!) Quelle Signaturen ausreichend vertrauenswürdiger Natur dazubesorgen, um die Integrität prüfen zu können (und das vor allem auch tun).


Genau so ist es. Ich könnte mir vorstellen, dass tatsächlich solche abgleichs Listen verwendet werden, gekoppelt mit dem Hashingverfahren. Nun müsste man also in einen MS Server eindringen, diese Liste Manipulieren und gleichzeitig eine andere parallel dazu auf dem eigenen Rechner, damit die "falschen" Werte übereinstimmen...

Ich würde mal behaupten, dass kein System sicher ist. Und natürlich gibt es drive by Downloads. Aber diese Prozedur bei MS Updates durchzuführen ist schon sehr schwierig. Da müsste man auf jedenfall einen Insider ins System einschleusen. Und daher halte ich das für sehr unwahrscheinlich. Viel wahrscheinlicher ist es da, dass sich beim Downloaden einer Datei ein zweiter Download im Hintergrund anschließt und somit Schadsoftware heruntergeladen wird. Das wiederum kann man recht einfach zusammenbasteln...

Zitat

Vllt bin ich auch nur etwas zu paranoid.

Das würde ich nicht sagen, denn gerade durch solche Denkanstöße konnten in letzter zeit wichtige Sicherheitsfragen geklärt und Sicherheitslücken geschlossen werden...

Dieser Beitrag wurde von Future010 bearbeitet: 01. März 2015 - 14:45

Ein(e) Danke(positive Bewertung) für einen guten Beitrag kann nicht schaden ;-) Danke!j Dateien und Ordner Verwaltung by Future010
0

#6 Mitglied ist offline   RalphS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.877
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 01. März 2015 - 15:33

Meh, Sicherheits"lücken" sind solange uninteressant, wie solche grundlegenden Dinge wie "Checksums und Downloads aus verschiedenen Quellen" nicht mal ansatzweise berücksichtigt wird.

Wow, die Prüfsumme stimmt überein. Na und? Reine Augenwischerei. Wenn da einer irgendwo eingedrungen ist, dann werden eben außer Download-Dateien auch noch die Prüfsummen angepaßt.

Ich möchte auch gar nicht wissen, wieviele Angreifer über Privilege Escalation an den privaten Schlüssel von Webservern gelangt sind.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0