[Rika]

Zitat

die Protokolle sind soweit in Ordnung

Das möchte ich mal überlesen haben.
Unverschlüsselt sind die Big4 sowieso alle, aber das ICQ-Protokoll ist ja wirklich mies - Stichwort: Session Hijacking.

BTW, wir haben kürzlich mal so bei etwas Spielerei herausgefunden, daß WMF-Bildchen mit manipulierter Content-Type-Angabe wunderbar angezeigt werden.

Im übrigen zählt halt auch, wie schon benannt, ebenfalls als Riskware, was kaum bis keine Sicherheitslücke, aber sehr kritische Systemfunktionen bereitstellt und daher bei unsachgemäßer Verwendung auch sehr gut von Malware missbraucht werden kann oder wird. PsExec oder VNC beispielsweise.

[BlueChris17]

Mich würde mal eine genaue liste aller Riskware-Programme intressieren.



Gruß
BlueChris17

[BadAss]

@Graumagier:

Diese Sicherheitsseite kannte ich noch nicht, ist irgendwie beeindruckend wenn man im title bereits die Anzahl an un- & gepachten Sicherheitslücken für eine Software sieht

@BlueChris:

Ist eigentlich keine schlechte Idee. Also, falls jemanden noch eine verbreitete Software einfällt bitte hier posten. Optional kann ich meinen ersten Post zur Übersicht auch um die genannte SW ergänzen.

Wobei - wird das nicht ne ganze Menge? Wenn ich Rikas Definition von Riskware richtig verstehe, trifft da einiges zu...

Oder ist es doch sinnvoller, den Begriff Riskware noch einzuschränken?

[Talla]

Riskware hin oder her...

Wenn ich auf alle Programme verzichten würde die in die Kategorie reinfallen weil sie entweder unsicher sind oder halt kritische Systemfunktionen zur Verfügung stellen, dann könnte ich wohl kaum vernünftig mitm PC arbeiten.

Man muss sich einfach darüber bewusst sein. Die Größte Unsicherheit sitzt ja aber immer noch vor dem Computer

[sgerhards]

Man sollte meines Erachtens auch schauen wie Risikoreich solche Programme wirklich sind. Die, die natürlich sehr Risikobelastet sind sollte man nicht unbedingt nutzen und Alternativen suchen.
Bei einigen Dingen wie zBsp ICQ denke ich kann man mit dem Risiko ohne Probleme leben. Natürlich nur, wenn man damit vernünftig umgeht und nicht jede X-beliebige Datei von fremden Usern annimmt bzw jeden User in die Buddyliste aufnimmt.

[Rika]

@BlueChris:
Kannst ja mal einen Dump der Virenscannersignaturen anfertigen.
Teilweise besteht da auch echt Diskussionsbedarf. McAfee erkennt beispielsweise Nmap als Riskware, aber den Portscanner aus eigenem Hause nicht. Honi soit, qui mal y pense.

@Talla: Nope. Für jedes der kaputten Programme gibt es ordentliche Alternativen.
@sgerhard: Dito. Miranda, GAIM, Trillian und Co. verstehen allesamt das ICQ-Protokoll und sind keine Scheunentore.

[BadAss]

Außerdem muss man im Bereich Sicherheit soweiso stets absolute Wege gehen, sonst hat man schnell das sprichwörtliche schwächste Glied. Also nichts mit "man muss das selbst wissen/sorgen".

[BadAss]

Aber ich habe dann doch noch eine Frage:

Als Sicherheitsseite kannte und nutzte ich bisher secunia. Aber durch diesen Thread dachte ich mal, "MSN Messenger 7.x" und den ICQ-Client in die Suche einzugeben. Ergebnis:

Keine ungepachten Lücken weil keine bekannten Lücken
Wieso Riskware?

[Rika]

Secunia ist weder auf aktuellem Stand noch sind dort sämtliche bekannten Lücken verzeichnet. War dort beispielsweise verzeichnet, daß der MSN Messenger ebenfalls für den WMF-Bug anfällig war? Wird dort erwähnt, wieviele Lücken eEye und Co. noch zurückhalten?

Außerdem wurde auch ja schon benannt, daß die Historie der Lücken sehr entscheidend ist. Wer glaubt, daß sich ein Softwarehersteller von heute auf morgen ändert und mit der neusten Version sich die Qualität der Software entscheidend verbessert, der möge weiterhin "You may say I'm a dreamer, but I'm not the only one..." vor-sich-hin-pfeifen.

[BadAss]

Zitat

Secunia ist weder auf aktuellem Stand noch sind dort sämtliche bekannten Lücken verzeichnet. War dort beispielsweise verzeichnet, daß der MSN Messenger ebenfalls für den WMF-Bug anfällig war? Wird dort erwähnt, wieviele Lücken eEye und Co. noch zurückhalten?

eEye und Co halten Lücken zurück? Versteh ich nicht!?

OK, Secunia ist demnach nicht zu gebrauchen - schade eigentlich, die zeigen die Bugs sehr übersichtlich an und man hat schnell einen Überblick über un-/patched.

Gibt es denn einen vergleichbaren, vertrauenswürdigen Dienst mit übersichtlicher un-/patched-Liste?

[Rika]

Zitat

eEye und Co halten Lücken zurück? Versteh ich nicht!?

man "Responsible Disclosure"
Wobei das angesichts der extrem langen Reaktionszeiten mancher Hersteller (*hüstel* Microsoft, Oracle *hüstel*) einfach nur absurd ist.

Zitat

schade eigentlich, die zeigen die Bugs sehr übersichtlich an und man hat schnell einen Überblick über un-/patched.

Und das, obwohl beispielsweise bei den angeblichen Lücken in Mozilla/Firefox sogar explizit erläutert wurde, daß es sich eben nicht um Lücken im Webbrowser handelt, da nur RFCs streng interpretiert wurden und die Lücke in der beschissenen Domain-Verwaltung liegt.

Zitat

Gibt es denn einen vergleichbaren, vertrauenswürdigen Dienst mit übersichtlicher un-/patched-Liste?

Schön wär's.
Securityfocus bietet zumindest einen groben Überblick über die Historie.

[stefanra]

Generell ist es immer gut, wenn du einer jeden Anwendung mit größter Vorsicht begegnest und sie als nicht vertrauenswüdrig einstufst, bis sie dir das Gegenteil bewiesen hat. Daher ist es natürlich nicht schlimm, wenn du eine Anwendung fälschlich als Riskware eingestuft hast, deinem Rechner schadet es keinesfalls.

Bei Programmen wie MSN und ICQ kannst du zweifelsohne die Betaversionen als Riksware bezeichnen, weil meist nur neue Features hinzugefügt werden und nur sellten man sich um die alt bekannten Sicherheitslücken kümmert.

Im Allgemeinen kannst du aber nicht jede Betaversion als Riksware bezeichnen.

[Rika]

Mittlerweile hat Mark Russinovich einige meiner Erkenntnisse über Daemon Tools und Alcohol 120% replizieren können. Demnach verwenden sie definitiv diverse Rootkit-Techniken, um ihre Anwesenheit zu verbergen.

http://www.sysinternals.com/blog/2006/02/u...at-digital.html

[sgerhards]

Bedeutet also, dass Daemon Tools und Alcohol 120% jetzt definitiv ihre Namen im System verschleiern, damit sie nicht vollkommen gelöscht werden können oder wie darf man das verstehen?