Was an Deinem Satz falsch ist wurde Dir erläutert in
- dem jetzigen Eröffnungsbeitrag von mir
- Antwort #2 von Knut
- Antwort 4 von mir

Das Wort "bekannt" taucht erstmalig auf in Deiner Antwort #5
worauf ich Dir in Antwort #8 erklärt habe, was man darunter versteht.

Auf Deine Frage in #9 von Dir:

Frage: Wie stürzt ein Angreifer sich denn auf einen "offenen Port" und wie bekommt er heraus bzw. wie kann er sicherstellen, welche Software in welcher Version dahintersteckt? Greift er in seinen Exploit-Bausatz und testet alles mögliche aus? Wie soll man einen erreichbaren Dienst ohne solche Hintergrundinfos aus der Ferne auf noch UNBEKANNTE Lücken hin untersuchen?

habe ich Dir geschrieben, wie man diese Hintergrundinfo organisiert. Was willst Du hier eigentlich von mir? Den Rest habe ich nie behauptet - Das hast Du mir unterstellt. Vllt weiss ich das - vllt auch nicht. Suchs Dir aus, ist völlig egal für diese Diskussion. 

Also was begreifst Du hier eigentlich nicht?

Bist Du wirklich so naiv und denkst, Sicherheitslücken werden ausschließlich von Herstellern/Entwicklern entdeckt?
-> dann schlaf weiter.

Du diskutierst hier nach der Methode "was ich nicht weiß geht auch nicht".

So @cosinus, jetzt kannst Du weiter heulen wie ein Mädchen und Deine eigenen Worte abstreiten, umdrehen (oder meine in gewohnter Manier) - was auch immer.
Es interessiert mich nicht.

 

Das Wort "bekannt" taucht erstmalig auf in Deiner Antwort #5
worauf ich Dir in Antwort #8 erklärt habe, was man darunter versteht.

In meinem ersten Satz, der ja mal wieder Anlass für dieses ganze Geschreibsel hier ist, hab ich erwähnt, dass eine Software (ein Dienst) Sicherheitslücken enthalten muss. Veraltete Software (die nicht mehr gepflegt wird) hat solche - neue Software hat theoretisch auch solche, das wurde aber in meiner Urspungsaussage nicht erwähnt und somit wurde auch nicht gesagt, dass eine aktuelle Software frei von Lücken sei. 

 

habe ich Dir geschrieben, wie man diese Hintergrundinfo organisiert

Jaha, der war gut, Tante Google fragen - so kann man jede Frage mit diesem Hinweis abstempeln, lachhaft 

 

Also was begreifst Du hier eigentlich nicht?
Bist Du wirklich so naiv und denkst, Sicherheitslücken werden ausschließlich von Herstellern/Entwicklern entdeckt?
-> dann schlaf weiter.

Meine Güte, genau darum frag ich dich ja, wie man Sicherheitslücken entdeckt. Anscheinend nicht nur von Sicherheitsfirmen, sondern auch von Datenbank-Freaks, zumidnest behaupten sie es. 

 

Du diskutierst hier nach der Methode "was ich nicht weiß geht auch nicht".

Das ist völliger Unsinn, es kommt zwar immer sehr auf den Einzelfall d.h. Dienst im speziellen an, aber ein aktuell gepatchter und sinnvoll eingerichteter Dienst ist erstmal hinreichend sicher und v.a. sicherer als ein ungepatchter Dienst. Es gibt auch keine Alternative zu einem aktuellen Dienst oder willst du den jetzt einstampfen weil er Lücken enthalten KÖNNTE? Was ist jetzt nochmal genau falsch an meiner Ursprungsaussage?

Natürlich ist es möglich Lücken zu finden, aber das erfordert Zeit und Wissen, beides scheinst du ja zu haben wenn du meinst es sei nach deinem Wissensstand kein Kunststück, kannst/willst es aber nicht belegen. Auf Google hinzuweisen ist übrigens kein Beleg.

 

So @cosinus, jetzt kannst Du weiter heulen wie ein Mädchen und Deine eigenen Worte abstreiten, umdrehen (oder meine in gewohnter Manier) - was auch immer.
Es interessiert mich nicht

Du hast mit dem Unsinn angefangen und musstest doch meine ja angeblich völlig falsche Aussage kommentieren. Wenn du in Erklärungsnot bist und Sachen immer wieder falsch interpretierst, musst du anderen nicht unterstellen, sie verdrehten die Worte. Dass du Worte verdrehst, da gibt es einen handfesten Beweis: ich schrieb veraltet, du entgegnest, ein alter Dienst wird nicht automatisch unsicher. Das eine hat mit dem anderen rein garnix zu tun!

Vllt erkennset es, falls es dich überhaupt noch interessiert.

@cosinus
Du verfällst schon wieder in dein altes Verhaltensmuster - andere zum Belegen von Aussagen nötigen und selbst jede Erklärung schuldig bleiben.

Schauen wir uns mal deinen Satz an.

 

« Antwort #7 am: 29.08.11, 19:10:09 » 
3.) Ist der Dienst erreichbar (durch Forwarding im Router und der Dienst lauscht auch auf dem richtigen im Router eingestellten Port) so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten, dann kann man diesen Port (eigentlich den auf diesem Port lauschenden) Dienst angreifen und Schadcode auf deinem System ausführen lassen.

Jetzt würde mich interessieren was bedeutet?
 

so muss dieser extrem schlecht konfiguriert

Was versteht man unter
 

veraltet sein

Hat nur 

veraltet

Software Sicherheitslücken?
 

damit Sicherheitslücken enthalten,

Wie kann man das machen
 

dann kann man diesen Port (eigentlich den auf diesem Port lauschenden) Dienst angreifen

Wie kann man das machen?
 

Schadcode auf deinem System ausführen lassen. 

Es ist der  dritte Absatz und damit mind. der  3. Satz
 

In meinem ersten Satz, der ja mal wieder Anlass für dieses ganze Geschreibsel hier ist

 

hab ich erwähnt, dass eine Software (ein Dienst) Sicherheitslücken enthalten muss.

Wo in deinem  ersten Satz?
der lautet
 

So allgemein ausgedrückt ist das nicht möglich, aber die Softwareindustrie will ja Panik schüren um besser ihre Produkte verkaufen zu können.

 

Veraltete Software (die nicht mehr gepflegt wird) hat solche - neue Software hat theoretisch auch solche, das wurde aber in meiner Urspungsaussage nicht erwähnt und somit wurde auch nicht gesagt, dass eine aktuelle Software frei von Lücken sei.
 

Steht nicht davon in deinem  ersten Posting
erst nach dem anderen sich in dieser Richtung geäußert haben kam auch was von dir!

Ich schrieb
 

Es ist doch egal ob "alt" oder "veraltet" jede Software und ein Server ist nun mal Software wird Fehler und damit potenzielle Sicherheitslücken haben und dadurch angreifbar sein!
Dadirch ist auch der Releasestand vollkommen unerheblich.

Und das ist nun mal Tatsache, das jede Software,
- ob alt,
- ob veraltet
- ob aktuell
- ob neu
- ob updatet
Softwarefehler enthält und damit auch potenzielle Sicherheitslücken!

Wenn es nicht so wäre  - Warum gibt es dann Updates?
und was auch interessant ist es gibt auch Updates zu Updates - was als logische Folge hat das auch update fehlerhaft sein können und die dazu gehörigen Updates ebenfalls - schon seltsam!

und zu diesen Satz
 

Unter Windows sagt man bei Updates
"Das ersetzen alter bekannter Fehler, durch neue unbekannte Fehler"

wobei man das eigentlich auf jede Software verallgemeinern kann!

Auch dieser stimmt ist auch ganz einfach zuerkennen dass es für XP, das du vorhin erwähntes, gibt es seit erscheinen weit über 100 Updates, und auch zu den Updates wieder neue Updates - schon seltsam!

Und das gilt auch für andere Software
hast du vllt. schon selbst bemerkt unter Linux zB gibt es auch Updates, und auch Updates zu den Updates!

Ich denke es reicht an dieser Stelle!

Fazit:
Wie jedes mal bei solch einer "Diskussion"

@cosinus überlege dir was du schreibst und ob du es so meinst wie du schreibst oder vllt. anders meinst als du es schreibst, weil du denkst das du das so meinst wie du es schreibst aber manchmal anders schreibst als du es meinst - Du verstehst?

Ihr sucht euch immer und immer wieder ein Detail heraus, was man falsch verstehen KÖNNTE und reitet darauf herum, ist doch kein Wunder, dass es hier immer so ausartet.

 

so muss dieser extrem schlecht konfiguriert

Kann man einige Beispiele nennen. FTP oder SSH, Login per root möglich, unsichere Passwörter, FTP nicht in chroot
Oder: Jemand verwendet PHP und hat da dooferweise register_globals = on  (manuell umgestellt, ok ziemlich an den Haaren herbeigezogen aber es geht ja nur um Beispiele)

 

Software Sicherheitslücken?

Ihr habt euch auf meinen Satz gestürzt, dieser enthielt nichtmal ansatzweise die Aussage, dass aktuelle Software frei von Fehlern sei. Ich kann nichts dafür wenn andere sich Sachen dazureimen.

 

Wie kann man das machen?

Ist nicht dein ernst das zu fragen?! Wurde mehrmals erwähnt wie man das machen kann wenn man einen Dienst erkannt hat, der bekannte Sicherheitslücken aufweist. Wieso muss ich das für dich wiederholen? Darum ging es in dem gesamten Strang hier!

 

So allgemein ausgedrückt ist das nicht möglich, aber die Softwareindustrie will ja Panik schüren um besser ihre Produkte verkaufen zu können.

Natürlich ist das so auch nicht möglich, deswegen hab ich die Voraussetzungen ja aufgezählt, die erfüllt sein müssen.

 

Steht nicht davon in deinem  ersten Posting
erst nach dem anderen sich in dieser Richtung geäußert haben kam auch was von dir!

Nö, aber da steht auch nicht, dass neue Software überhaupt keine Lücken mehr hat. Wann begreift ihr das eigentlich endlich?

 

Softwarefehler enthält und damit auch potenzielle Sicherheitslücken!

Sry aber reimt euch was in meinen Satz rein - kritisiert mich für Aussagen, die ihr falsch interpretiert habt.
Natürlich enthält auch neue Software Lücken, aber es ist nicht egal ob eine Software aktuell, alt oder veraltet ist.
Lässt du lieber einen Dienst in aktueller bzw. in einer Version ohne bekannten Lücken laufen oder lieber einen veralteten, hm?
Genausowenig schrieb ich aber auch, dass man sich in Produktivumgebungen sofort und unverzüglich jeden Patch auf Teufel komm raus installieren muss:

 

was als logische Folge hat das auch update fehlerhaft sein können und die dazu gehörigen Updates ebenfalls - schon seltsam!

Natürlich kann das sein. Deswegen sollte man sich ja vorher informieren bevor man an was "schraubt" - jaja ich weiß, hab ich nicht geschrieben 

 

@cosinus überlege dir was du schreibst und ob du es so meinst wie du schreibst oder vllt. anders meinst als du es schreibst, weil du denkst das du das so meinst wie du es schreibst aber manchmal anders schreibst als du es meinst - Du verstehst?

Ja, aber das ist jedesmal hier mir uns dreien. Ich hab ja schonmal erwähnt, ich müsste alles in 10 seitigem Juristendeutsch verpacken und ich glaube selbst dann würde ihr noch was falsch verstehen oder gar partiell falsch zitieren und/oder den Sinn verdrehen bzw. Sachen hineindichten.

Niemand reimt oder interpretiert.

Das ist der strittige Satz in voller Schönheit:

3.) Ist der Dienst erreichbar (durch Forwarding im Router und der Dienst lauscht auch auf dem richtigen im Router eingestellten Port) so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten, dann kann man diesen Port (eigentlich den auf diesem Port lauschenden) Dienst angreifen und Schadcode auf deinem System ausführen lassen.

Diese Formulierung schließt Sicherheitslücken in aktueller Software - sofern richtig konfiguriert - explizit aus!
und zwar damit:
so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten
Du nennst diese beiden Bedingungen als Grundvorausetztung.
Da kann nix mehr interpretiert/gedeutet/mißverstanden usw. werden.

Eine klare und leider auch falsche Aussage von Dir.
Dies und nix anderes war/ist der Kernpunkt der Diskussion hier. Alles andere sind "taktische Manöver" und Schönrederei.

 

ich müsste alles in 10 seitigem Juristendeutsch verpacken
 

Nicht nötig fach korrekt  schreiben

und ich glaube selbst dann würde ihr noch was falsch verstehen oder gar partiell falsch zitieren und/oder den Sinn verdrehen bzw. Sachen hineindichten.

Hier wird nichts hinein interpretiert und/oder falsch zitiert jedenfalls nicht von mir, Schönreden um/verdrehen das machst du wie man hier wieder deutlich sehen/lesen kann


es geht nur hier rum
 so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten
nicht mehr nicht weniger!
Wobei  "veraltet sein" auch noch nicht spezifiziert ist?

Was heißt "veraltet sein"?

Was ist mit aktueller Software? - in deinem Post keine Rede!


Mann, lass es einfach alles nachträglich schön zu reden!

Du wirst es wieder als "Schönrederei" abtun - was anderes kennt man von dir ja nicht - aber da ist nicht direkt erwähnt, dass man mit aktueller Software 100% sicher ist oder diese keine Lücken mehr enthalten kann.

 

so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten

Das bedeutet mein Satz:

schlecht konfiguriert => unsicher
veraltet => Sicherheitslücken => unsicher

gut konfiguriert und aktuell => sicher bzw. sicherer als die o.g. Szenarien => es gibt keine Alternative zu einer sicheren Konfig und einer aktuellen (nicht veralteten!) Software bzw. zu einem Dienst, wenn dieser zwingend benötigt wird - es wird aber weder ausgeschlossen noch erwähnt, dass aktuelle SW Lücken enthält.

Vllt ist mein Satz etwas unvollständig und sollte ausgebaut werden, aber du ziehst absichtlich die Schlussfolgerung, dass mein Satz Lücken in aktueller Software ausschließt! Da du das hier auch nicht zum ersten Mal bei mir machst (das mit den absichtlich falschen Schlussfolgerungen), kann man das nur noch als reine Provikation => Trollerei auffassen!

 

Nicht nötig fach korrekt  schreiben

Ihr vllt mal weniger Erbsen zählen? Wenn man alles falsch verstehen will, dann ist alles falsch.

Wobei  "veraltet sein" auch noch nicht spezifiziert ist?

Wurde schon längst von mir erwähnt, außerdem wurde in meiner unendlichen Naivität vorausgesetzt, ihr wüsstest wann man eine SW "veraltet" nennt. 

 

Mann, lass es einfach alles nachträglich schön zu reden!

Ihr fangt doch mit diesem ganzen Schrott immer erst an! 

hr fangt doch mit diesem ganzen Schrott immer erst an!

dann schreib nichts Falsches und reagiere nicht jedesmal mit Schönrederei und Geeier auf entsprechende Hinweise, dann kommentiere ich es auch nicht auf diese Weise.

Dein Satz ist nicht "unvollständig" oder "könnte falsch interpetiert werden", sondern ist schlichtweg falsch.

Es ist in diesem Forum mit anderen Kollegen möglich, untereinander Hinweise auf Irrtümer zu geben, ohne dass es permanent derartig ausartet wie mit Dir. Denk mal drüber nach und lies Deinen Satz morgen nochmal in Ruhe oder besser noch: zeig ihn einem unbefangenem Dritten. 

 

Wurde schon längst von mir erwähnt,
 

Nö
 

außerdem wurde in meiner unendlichen Naivität vorausgesetzt, ihr wüsstest wann man eine SW "veraltet" nennt.  

darum geht es nicht deine Aussage war "veraltet sein", also bitte definieren du dieses "veraltet sein" hier geht es nicht darum ob und wie ich das interpretieren, sondern einfach darum was  du unter "veraltet sein" verstehst!

 

Ihr vllt mal weniger Erbsen zählen? Wenn man alles falsch verstehen will, dann ist alles falsch.

Das hat nichts mir Erbsenzählerei zu tuen dein Satz ist einfach falsch und das war nun nicht das erste Mal!

Dann erkläre mir mal was ich hier falsch verstehen sollte

 so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten
Heißt
 schlecht /fehlerhaft konfiguriert oder  veraltet sein
(Was dass auch immer heißen mag)  und dann hat man Sicherheitslücken

so hab ich das verstanden

Ich hab dazu geschrieben
 Es ist doch egal ob "alt" oder "veraltet" jede Software und ein Server ist nun mal Software wird Fehler und damit potenzielle Sicherheitslücken haben und dadurch angreifbar sein!
Dadirch ist auch der Releasestand vollkommen unerheblich.

Die Nummer mit der "veralteten" Software kommt bei dir bei fast jeder Gelegenheit!


Erinnere dich an die "sandbox"
Er war nicht ein kleiner dezenter Hinweis den du zum Anlass genommen
hast,  wieder schön zu reden und die Schuld auf anderen ab zu wälzen!
Dein fachlich falscher Satz
 Deshalb empfehle ich eher die Methode Router und/oder Windows-Firewall als unnötige Dienste abschalten zB mit dem ntsvcfg.de Script.

und mein kleiner Hinweis
 Na, den Satz verstehe ich jetzt mal nicht so richtig?

 Fazit:
Wie jedes mal bei solch einer "Diskussion"

@cosinus überlege dir was du schreibst und ob du es so meinst wie du schreibst oder vllt. anders meinst als du es schreibst, weil du denkst das du das so meinst wie du es schreibst aber manchmal anders schreibst als du es meinst - Du verstehst?

Lies dir einfach den Strang durch Knut, da hab ich min. 1x erwähnt, wann eine Software den Status "veraltet" verdient

 

schlecht /fehlerhaft konfiguriert oder  veraltet sein
(Was dass auch immer heißen mag)  und dann hat man Sicherheitslücken

Ja hat man dann auch. Ist er schlecht konfiguriert oder veraltet, sind Sicherheitslücken vorhanden.

Nochmal: Wo steht da explizit, dass neue Software KEINE Lücken enthält?

 

Dadirch ist auch der Releasestand vollkommen unerheblich.

Klar. Völlig unerheblich. Dann kann man ja auch mit einem WindowsXP ohne SP ins Netz gehen, weil release- oder Patchstand völlig unerheblich sind. Sicher. 


Was soll das eigentlich, geht es hier nur darum auf meinen Satz herumzureiten?

Veraltete nicht mehr gepfegte Software => enthält bekannte Sicherheitslücken
Aktuelle Software => enthält keine bekannten Sicherheitslücken

Was kommt? Prinzipienreiterei, JEDE Software enthält Lücken oder kann sie enthalten. Darauf schlussfolgert ihr bzw. Knut: es ist egal welche Software man verwenden, es ist alles gleich unsicher. 

 

Dein Satz ist nicht "unvollständig" oder "könnte falsch interpetiert werden", sondern ist schlichtweg falsch.

Nein, du hast ihn eindeutig falsch interpretiert bzw. eine Schlussfolgerung gezogen, obwohl von aktueller Software und ihren Lücken keine Rede war. 

Edit: Achja, die Sache mit dem Router habt ihr auch falsch verstanden weil ihr es mal wieder unbedingt falsch verstehen wolltet. Herrlich von Euch, weiter so 

Das veraltet wurde spezifiziert, als ich ihn versehentlich falsch zitiert habe. in Antwort #5

Was aber nicht relevant ist, weil es an der felschen Aussage des Satzes nichts ändert.

Nochmal: Wo steht da explizit, dass neue Software KEINE Lücken enthält?

na hier:
so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten

Was soll das eigentlich, geht es hier nur darum auf meinen Satz herumzureiten?

Worum sonst? Klar geht es um diesen Satz.

Darauf schlussfolgert ihr bzw. Knut: es ist egal welche Software man verwenden, es ist alles gleich unsicher.

nein

 

na hier:
so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten

Eben NICHT, da steht nicht, dass aktuelle Software keine Lücken enthält. Es wird auch nicht geschrieben, dass aktuelle Software Lücken enthalten kann, trotzdem erlaubst du dir die Schlussfolgerung, dasas mein Satz falsch ist => du willst meine Sätze immer falsch verstehen 

Edit: Eine Sicherheitslücke in einem bislang "sicheren" Programm will erstmal gefunden sein

 

Darauf schlussfolgert ihr bzw. Knut: es ist egal welche Software man verwenden, es ist alles gleich unsicher.
nein

Aber sicher doch. Ganz eindeutig, denn es wurde gesagt der Releasestand sei ja völlig egal, alles enthält Lücken.

@cosinus
Das ist aus dem Zusammenhang gerissen
 

Dadirch ist auch der Releasestand vollkommen unerheblich.

Klar. Völlig unerheblich. Dann kann man ja auch mit einem WindowsXP ohne SP ins Netz gehen, weil release- oder Patchstand völlig unerheblich sind. Sicher

Weil der Satz so lautete!
  Es ist doch egal ob "alt" oder "veraltet" jede Software und ein Server ist nun mal Software wird Fehler und damit potenzielle Sicherheitslücken haben und dadurch angreifbar sein!
Dadurch ist auch der Releasestand vollkommen unerheblich.

Es ist vollkommen unerheblich welchen Releasestand eine Software hat
- ob alt,
- ob veraltet
- ob aktuell
- ob neu
- ob updatet
Jeder Releasestand enthält Softwarefehler und damit auch potenzielle Sicherheitslücken!

Wenn es nicht so wäre  - Warum gibt es dann Updates?
und was auch interessant ist es gibt auch Updates zu Updates - was als logische Folge hat das auch update fehlerhaft sein können und die dazu gehörigen Updates ebenfalls - schon seltsam!

Also bitte wer reist hier zusammenhanglos aus einander!
Jetzt ist es wieder soweit  - Es werden wieder einzelne Worte zitiert!

Und zum Rest:

Eben NICHT, da steht nicht, dass aktuelle Software keine Lücken enthält.

genau das wird damit gesagt:
so muss dieser extrem schlecht konfiguriert oder veraltet sein und damit Sicherheitslücken enthalten

Das ist eine klare eindeutige Aussage, da kann ich /wir nix falsch verstehen/auslegen/interpretieren.

Willst Du's oder kannst Du' wirklich nicht begreifen?