Automatische Deaktvierung veralteter Plugins, deaktivieren?

Zitat von Puemer

für User einer Firma

Unter dieser Prämisse ist dass was du vor hast, keine gute Idee.

Eine VM ist zwar relativ sicher, sie aber als belastbaren Teil eines Sicherheitskonzeptes innerhalb eines Produktivsystems zu betrachten, ist nicht ungefährlich.

Wenn dann auch noch bewusst auf die Updates des Browsers ( Versionen vor Fx 17.0 und ESR 10.0.11 ) und obendrein auch noch auf die Updates von Add-ons verzichtet wird, reißt du weitere Löcher ins System. Insbesondere die sattsam bekannten Sicherheitslücken in Java und Adobe Flash-Player hageln dir dann ins Konzept. - Die dadurch vorsätzlich erzeugten Sicherheitslücken kann die VM nicht kompensieren.

Zitat von Puemer

Eine mMn perfekte und sehr sichere Lösung!

Da der Browser inkl. die Plugins virtualisiert sind, brauche ich auch nicht so oft zu updaten.

Nicht einmal in dem Fall, daß VmWare weniger lässig upgedatet wird, ist das unsicher und von Perfektion um Lichtjahre entfernt.

Erstens schreibst du nichts darüber, ob die VM nach jeder Verwendung sofort zurückgesetzt wird, wenn nein, ist das virtuelle System angreifbar wie jedes andere auch. Wenn ja, dürfte der Aufwand, das System zumindest up-to-date zu halten, bereits die Perfektion deutlich vermindern.

Vor allen Dingen aber: Angriffe, die erfolgreich durch veraltete Software und Browser (und deren Sicherheitslücken sind zumindest bei OpenSource dokumentiert, bei proprietärer Software aber in "Fachkreisen" ebenso bekannt) erfolgen und es ermöglichen, daß Daten über das Internet abgegriffen werden können, sind auf eurem virtuellen System mit genau derselben Erfolgschance durchführbar wie bei einem echten. Und ihr mögt vielleicht die VM zurücksetzen zu können, das Internet dagegen nicht!

Den Beweis dafür hast du gleich selber mitgeliefert: Plugins in einem Browser haben von ihrem Zweck her die Aufgabe, im Online-Betrieb Daten auszutauschen. Mit Sicherheitslücken behaftete Plugins liefern aber möglicherweise ein mehrfaches, als was der Anwender wirklich möchte. Es ist bekannt, daß Plugins zu den häufigsten Sicherheitslücken überhaupt führen.

Ich kann nur hoffen, daß ich nicht unwissentlich mit einer solchen Firma zu tun habe. Die Zahl der Firmen, bei den Kundendaten - zum Teil hochkritische - verloren gehen ist mittlerweile Legion. Und immer wieder zeigte sich hinterher, daß die betreffenden Firmen ein gerüttelt Maß Schuld an diesen Datendiebstählen tragen.

Selbstverständlich gibt es für eine solche Strategie keine Hilfe.

EDIT: Aus aktuellen Anlaß verweise ich auf diesen Thread. Ich unterstelle euch nicht, Warez-Seiten zu besuchen oder Raubkopien zu verwenden, aber das dort beschriebene brandaktuelle Thema ist ja generell nicht neu und das Stehlen von Paßwörtern ist auch nicht erst jetzt erfunden worden. Es ist klar, daß eure VM-Lösung nur in einem einzigen Punkt (vielleich) das Attribut "perfekt" verdient: Nämlich zum perfekten Selbstbetrug.

Ich habe ja schon vieles erlebt, aber daß der Administrator eines Firmennetzwerkes (wenn ich das zwischen den Zeilen richtig verstanden habe) die Philosophie vertritt, daß 40 % Sicherheitslücken (100 - 60 %) ein erstrebenswertes Ziel sind, ist ein neuer Höhepunkt. Und es scheint sich um keine so kleine Firma zu handeln, denn eine ThinApp-Lizenz einschließlich 50 Client-Lizenzen kostet schlappe 5000 US-$, die leistet sich niemand mal so eben. Daß diese Lösung (deren Sinn die vereinfachte Verwendung von Applikationssoftware ist) von VMWare angeboten wird, damit man Browser und Plugins mit bekannten Sicherheitslücken munter weiter verwenden kann, wird niemand als offizielle Herstellerinformation finden.

Noch erstaunlicher liest sich das obige wenn man erfährt, daß die User in diesem bemerkenswerten Unternehmen so einfach Alternativ-IT-Systeme verwenden können, wenn ihnen die von der Firma bereitgestellte IT-Lösung nicht paßt. Ich weiß noch nicht, ob mein Zweifel ob solcher Behauptungen oder meine Konsternierung über den Umgang eines zumindest mittelgroßen Unternehmens mit IT-Sicherheit größer sind.

Mein Glaube, daß sich solche unglaubliche Einstellung durch Argumente der Vernunft korrigieren läßt, ist im Lauf der Jahre auf Null gesunken. Ich denke, daß ich oben in verständlichen Worten klar gemacht habe, wo die Probleme bei dieser "Lösung" liegen und daß diese "Lösung" nichts anderes ist als eine Selbstlüge. Insofern werde ich weiter in der Hoffnung leben, mit dieser verantwortungslosen Firma niemals unwissentlich in Kontakt zu geraten und es dabei belassen, daß es so ist.

Da du dich allerdings an das Forum gewendet hast, um für diese unglaubliche Haltung auch noch Unterstützung zu erhalten, ist es eben nicht nur dein eigene Angelegenheit, sondern auch das Forum ist betroffen. Deshalb hier noch einmal in unmißverständlicher Härte: Für so etwas Support zu leisten wäre ebenso unverantwortlich wie diese "perfekte und" (wahrheitswidrig so genannte) "sehr sichere Lösung". (Daß ein denkender Mensch Perfektion mit 60% gleichsetzt, läßt tief blicken.) Und das ist keine Frage der Philosophie.

Zitat von Puemer

IT-Sicherheit ist die Summe aller Sicherheitsmassnahmen

Das ist der Kernsatz, und heißt nichts anderes, als das die exponierteste und stärkst frequentierte Sicherheitslücke innerhalb des Systems, das maximal erreichbare Maß an Sicherheit markiert. - Und das schwindet bei Verwendung veralteter Browser, Software und Plugins fast gegen Null.

Wir sprechen hier ja nicht von irgendwelchen abstrakten Szenarien und latenten Sicherheitslücken, deren Dokumentation in den Giftschränken der Softwarehersteller schlummern und in the wild noch nicht bekannt sind. Es geht um Angreifbarkeiten, die unter Cyberkriminellen sattsam bekannt sind, und mit professionellen Mitteln weltweit aktiv ausgenutzt werden.

Nur ein paar Beispiele in Bezug auf die Angreifbarkeit veralteter Versionen von
- Java Runtime (Version vor 7 Update 9)
- Adobe Flash Player (Version vor 11.5.502.110)
sowie auf
- Firefox (Version vor 17.0):

securelist.com - IT Threat Evolution Q3/2012: http://www.securelist.com/en/analysis/20…tion_Q3_2012#14
securelist.com - IT Threat Evolution Q2/2012: http://www.securelist.com/en/analysis/20…tion_Q2_2012#16
Security Advisories for Firefox: http://www.mozilla.org/security/known…es/firefox.html

Diese Sicherheitslücken lassen sich allein schon durch zeitnahe Updates komplett schließen, so dass die Angreifbarkeit eures Firmennetzwerks fast nur noch auf Zero Day Exploits und gezielte Angriffe z. B. via USB-Stick beschränkt bleibt. In diesem Fall wäre das System (ein voll gepatchtes Betriebssystem ist zwingend vorausgesetzt) auch ohne VM und Sandbox um ein vielfaches sicherer, als auf dem von dir angestrebten Weg.

Das lässt sich auch im begrenzten Zeitrahmen einer 60-Prozent-Stelle realisieren. Zumindest aber sollte es dem SysAdmin eines mittelständischen Unternehmens möglich sein, den Rollout an die Clients entsprechend effizient zu organisieren. Unterm Strich wäre gegenüber der VM/Sandbox-Methode sogar ein deutlicher Zeitgewinn drin.

Sandboxes und VMs sind da zahnlose Tiger, die vielleicht ein Fallback ermöglichen würden. Aber eine Kompromittierung bleibt trotzdem eine Kompromittierung. Im laufenden Betrieb, also während eines Arbeitstages, können die (wissentlich erzeugten) Sicherheitslücken dennoch ausgenutzt werden. Das heißt, dass Login-Daten, Passwörter oder vertrauliche Unternehmensdaten von einem Schädling protokolliert, manipuliert, abgegriffen oder umgeleitet werden können.

Auch dein Argument, dass die Mitarbeiter es bequem haben sollen, greift nicht. Durch die regelmäßigen Updates steigt sogar die Arbeitseffizienz, da das System unterm Strich stabiler und performanter läuft. Damit wäre dann auch das Argument ausgehebelt, dass die Mitarbeiter die von dir genannten "alternativen IT-Systeme" einsetzen werden. Warum sollten sie das tun, wenn Ihr Rechner wie ein Uhrwerk läuft!?

Und: Wenn IT-Sicherheit in eurem Haus einen so hohen Stellenwert genießt, warum gibt es dann keine für jeden Mitarbeiter verbindliche IT-Richtlinie, die die dienstliche und private Nutzung von "alternativen IT-Systemen" am Arbeitplatz ausschließt??

Zitat von Puemer

Wenn die oben von mir geschilderte Methode ins Internet zu gehen, recht sicher ist und mir Zeit spart, damit ich an anderen Stellen IT-Sicherheitsmassnahmen umsetzen kann, ist das legitim.

Die von dir angestrebte Sicherheit lässt sich mit deiner Methode gar nicht darstellen. Du verzettelst dich lediglich mit völlig untauglichen Maßnahmen. Wobei das Prinzip "Hoffnung" darin noch am belastbarsten ist. Ich halte das schlichtweg für verantwortungslos.