Microsoft: Nutzer hauptschuldig an Conficker-Plage

Der Software-Konzern Microsoft hat den Nutzern quasi die Schuld an der massiven Welle von Infektionen mit der Malware Conficker gegeben, die vor allem in den Jahren 2009 und 2010 aktiv war. So geht es zumindest aus dem aktuellen Microsoft Security ... mehr... Malware, Stuxnet, Zahlen, grün Bildquelle: marsmet481 / Flickr Malware, Stuxnet, Zahlen, grün Malware, Stuxnet, Zahlen, grün marsmet481 / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Würde da an Stelle von MS, Apple stehen, würde es jetzt losgehen mit: "so eine arrogante Firma"
 
@GlennTemp: und es gäbe bereits in den ersten 5 Min um die 40 Kommentare ! :D
 
@GlennTemp: Beschwer dich nicht über das gebashe MS vs. Apple wenn du selbst soeben versuchst dies zu entfachen. Fakt ist, das MS das Patchmanagement in den letzten Jahren extrem gut in den Griff gekriegt hat, da müssen andere erst einmal nachziehen!
 
@T!tr0: warum sollte er es nicht ? Bei apple Virus-Meldungen macht man das so wieso hier nicht ?
 
@GlennTemp: Nö weils ja nicht an der Firma lag sondern an den Daus die nicht gepatcht haben und seit 20 Jahren bekannte und unsichere Passwörter verwendet haben
 
@andreas2k: das ist den Anti-Apple-Trollen doch egal... Ich bin mir sicher, wenn es eine News darüber geben würde dass ein Fahrradfahrer vor dem Apple-HQ in Cupertino gestürzt ist würden die Trolle das auch Apple in die Schuhe schieben... obwohl sie nichts damit zu tun haben. Aber MS ist heilig, die können den größten Müll produzieren (siehe WP7) und werden trotzdem in den Himmel gelobt. Soviel zur Objektivität der WF-User
 
@Turk_Turkleton: Wieso ist WP7 der größte Müll? Aber darum geht es hier nicht. Auch Apple wäre bei sowas vollkommen im Recht. Denn wenn ich als Nutzer Start1234 als Passwort nehme ist es logisch, dass das über BruteForce geknackt werden kann...
 
@Knerd: Naja, "der größte Müll" ist schon übertrieben, aber ich wollte auch mal so sein wie die Anti-Apple-Trolle und einfach ein bisschen übertreiben. Hab ich hier auf WF so gelernt.
 
@Turk_Turkleton: Leider sind hier keine wirklichen fachlichen Diskussionen möglich, bzw. nur schwer möglich...
 
@Knerd: Das ist leider wahr, finde ich auch sehr schade. Aber ich stimme dir zu, leider wird in den meisten Fällen viel zu selten das Hirn eingeschalten. Selbst einem Menschen, der sich mit Computer, Internet und co. wenig auskennt sollte doch bewusst sein, dass ein Passwort a) einen Sinn hat und b) natürlich NICHT aus dem vornamen oder dem Wort "Passwort" bestehen sollte. Und das natürlich unabhängig davon, ob das jetzt MS, Apple, Google oder Oracle sagt.
 
@Turk_Turkleton: Eine coole Sache ist auch, du kannst in HTML das Speichern von Passwörtern verhindern. Es gibt Leute die diese Funktion tatsächlich für unnütz halten...
 
Ich empfehle Linux Ubuntu, wenn ihr euch nicht mehr mit Schadsoftware rumärgern wollt. Heute kommt übrigens die neue LTS-Version raus.
 
@GlennTemp: Sieh es so. MS haben nicht der Welt erzählt, Windows hätte keinerlei Sicherheitsprobleme. Apple über ihr MacOS schon.
 
Ja nee, is klar! Wer ist den an den Microsoft-Zertifizierungen, MCA, MCM, MCITP, MCPD, MCTS, MTA, MVP, MITM schuld?
 
@Stolzerprolet: was haben die mit der aussage von ms zu tun? Sie haben schlciht recht mit der aussage...neben den passwörtern könnten sie wenigstens auch noch den teils selbstverursachten fehler des immer admin arbeitens mit in den report mit aufnehmen...
 
@0711: Microsoft Admins mit Microsoft Schulungen und MS-Zertifikaten, finde den Fehler!
 
@Feuerpferd: Und? Je nach angesprochener zertifizierung/titel wird auch genau das von ms in den schulungen angesprochen/empfohlen (wobei einige nicht zwangsweise kompetenzen in security haben müssen wie zig mvp titel), wenn man sich an empfehlungen nicht hält ist man schlicht selbst schuld....was soll man da ms vorwerfen?
 
Viele Privatanwender sind sich wohl auch nicht bewusst, dass sie sich strafbar machen, wenn sie gar keine Anti-Viren-Software verwenden und ihr Computer als Zombie-PC Teil eines Bot-Netzes ist und Spam Mails versendet oder für DDOS Attacken missbraucht wird.
 
@Bitfreezer: manche haben einfach zu langsame rechner um die aktuelle antiviren software zu benutzen ;) da können die nichts für wenn die knette fehlt für etwas neues !
 
@ruhacker: MSE ist kostenlos und läuft sogar auf dem Asus eeePC 900HD von meiner Mutter.
 
@Knerd: ich sage ja nicht das du Unrecht hast! aber ;) es gibt Leute die haben ältere kisten.
 
@ruhacker: Schwächer als der eeePC 900HD? Ich denke nicht. Und wenn doch gehört denen das Internet gekappt.
 
@Knerd: ;) tja man das musst du schon mit dennen klären, ist ja Privateigentum.
 
@Bitfreezer: Du redest Schwachsinn! Die Verwendung von Schlangenöl ist freiwillig, niemand muss Schlangenöl schlucken!
 
@Feuerpferd: Hast du auch nur kurz versucht, den Inhalt von Bitfreezers Posting zu verstehen, oder hast du direkt Nonsens von dir geben müssen?
 
Wo sie recht haben, haben sie recht. Ich seh es immer wie die leute zu Faul sind den PC mal grad 5 Minuten für Updates Installieren am Patchday neuzustarten. Häufiger und schlimmer treff ich noch die leute die Windows Update auf Manuell gestellt haben und alle Warnungen ignorieren. Auch habe ich des öfteren gesehen wie faule Leute "asdf" als Passwort nehmen. Sowas gehört bestraft...
 
@Suchiman: Viel besser sind Passwörter wie start im Echtbetrieb^^
 
@Suchiman: naja manuell ist ja noch gerade so in grenzen aber die vögel die es glecih ganz deaktivieren, denen gehört langsam aber sicher der darwin award
 
@0711: Nein ich habe es auch auf Manuell aber sobald ich die Meldung: Updates verfügbar kommt bin ich sozusagen für die nächsten 10 Minuten AFK. Aber die ignorieren das dann Wochenlang
 
@Suchiman: die meisten user haben einfach kein verständnis für sicherheit. in meinem bekanntenkreis ist das auch schlimm. die sind regelrecht genervt von update mitteilungen. das interessiert die einfach nicht. vielleicht sollte ich mal selbst einen virus bei denen installieren, denn erst nachdem der gau passiert ist, kommt oft das erwachen.
 
@Lindheimer: Kleiner Tipp, du kannst ein Batch Datei schreiben die sich in den Autostart schreibt und den PC nach Anmeldung neustartet. Das wirkt.
 
@Knerd: klingt simpel aber effektiv ^^
 
@Lindheimer: Den Code kann ich dir bei pastebin reinstellen ;) Und ein Virenscanner erkennt die nicht mal ^^
 
@Knerd: lass mal sehen ^^
 
@Lindheimer: Für welches OS?
 
@Knerd: vista
 
@Lindheimer: Gegen 16 Uhr bekommste den Link ;)
 
@Lindheimer: http://pastebin.com/HhmXYrvZ Bitte sehr, läuft auf Vista und 7.
 
@Knerd: thx!
 
@Knerd: Und morgen dann in den Virensignaturen: Trojan.Knerd :D
 
@Lindheimer:
Da ist MS aber nicht ganz unschuldig und hat seinen Nutzern über die Jahre eine Anti-Update-Haltung anerzogen. Ich weiß nicht, wie es jetzt mit Windows 7/8 ist, aber unter XP war das ja mal auch sowas von nervig mit den Updates. Ich benutze jetzt seit 6 Jahren einen Mac und musste vor einem Jahr für die Uni, mal wieder Windows benutzen. Also fix eine Partition gemacht, alle wichtigen Programme installiert usw.. Dann fing der Updatewahnsinn an. Dann musst er erstmal gefühlte 100 Updates, in Intervallen runterladen. Ich weiß nicht wie oft de Rechner dabei neustarten wollte, oft. Ein paar Stunden später war alles gegessen (ich hab neulich nen OSX fresh install gemacht, 2mal Neustarten und alle Updates waren durch, vermutlich weil unter OSX nicht soviele Anwendungene einen Systemneustart nach Update einfordern). Dann wollte ich neulich mit nem Kumpel ne fixe Runde Diablo2 im Netzwerk zocken, gesagt getan. Ich dachte mir mit den Updates is alles ok, denkste. Der Rechner läuft schon 3-4h, auf einmal ploppt ein Update Dialog mitten im Spiel hoch: "jetzt updaten" den man einfach nicht ausschalten konnte, es ging nur "später" oder "jetzt updaten". Der nette Dialog kam dann munter alle 15 Minuten und hat mich aus dem Spiel gekickt. Es war einfach nur belastend und absolut unnötig. Wie kann man denn als Programmierer sagen "du musst jetzt updaten, ganz egal was du machst und du kriegst keine Chance, dass evtl. erst morgen zu machen, deswegen nerven wir in 15 Minuten wieder rum." Wenn man jetzt über die Jahre mit WIndows gearbeitet hat, und eine handvoll dieser Episoden gesammelt hat, versteh ich, warum Leute nicht updaten wollen. Zumal für viele unbedarfte User der Rechner eine Art Zaubermaschine ist, die nach dem Update, also einer großen Veränderung, nicht mehr funktionieren könnte, und es ist ja auch so. Es heißt ja nicht umsonst, "never touch a running system". Verwendet man ältere Peripherie, kann es gut sein, dass die nach einem größeren Update einfach so nicht mehr geht (gleiches Spiel unter Linux und MacOSX). Dann muss man als unbedarfter Nutzer erst wieder einen erfahrenen Nutzer anrufen (ich krieg solche Anrufe immer mal von meinem alten Herrn). Was ich damit sagen will ist. dass die Anti-Update Haltung vieler Menschen nicht aus dem Nichts entsteht, sondern anerzogen wurde, durch z.B. schlechte Programmierung.
 
@GlennTemp: unter 7/vista kannst du für den hinweis auch auf 4 stunden einstellen ;) man kann auch einstellen, dass die updates automatisch heruntergeladen und erst beim nächsten runterfahren installiert werden. es stimmt schon, dass ms bei den updates nicht ganz klug vorgegangen ist. mich nervt es mitunter selbst, wenn schon wieder ein update vorliegt, obwohl es gestern erst eins gab, und schon wieder neu gestartet werden muss. andererseits ist es mir so lieber, als gänzlich ohne updates auszukommen. jemand, der nur einmal einen angreifer auf seinem system hatte, entwickelt dafür eine sensibilität. und wer sein "running system" möglichst unberührt lassen will, der installiert nur die sicherheitsupdates und blendet die anderen aus. dass das alles für normale anwender schon zu kompliziert ist, kann ich gut verstehen. allerdings wäre das im grunde auch so, als würde man vor dem schlafen gehen auch seine türen und fenster nicht schließen, weil man zu faul dafür ist und bisher ja auch nix passiert ist.
 
@GlennTemp: deine beispiele hören sich nach "schnell mal installiert" an und spiegeln eigentlich nicht den täglich gebrauch wieder...einmal im monat rebooten ist bei laufenden systemen die regel was updates angeht, so wirklich stressig finde ich das nicht. "never touch a running system" ist einfach nur bullshit, weil die updates um die es geht i.d.R. fehler beheben, also läuft das system fehlerhaft und kann nicht als "running system" betitelt werden...es eiert maximal
 
die nutzer sind ja auch schuld, warum sollte man ihnen das nicht auch mal sagen?
 
tzzzt, die nutzer sind schuld weil sie windows benutzen. also dann doch mal umsteigen, mal schauen was ms dann dazu sagt! laufend halbfertige betas unters volk bringen und dann auf die nutzer schieben wenn was nicht stimmt!
 
@snoopi: *schnarch*
 
@snoopi: Gut das du den Durchblick hast! :(
 
Naja. Unschuldig sind die User da mit Sicherheit nicht, aber Microsoft trifft dennoch eine große Mitschuld.
 
@noneofthem: Naja, wie willst du denn den Nutzer dazu zwingen ein sicheres Passwort zu nutzen?
 
@Knerd: Mit einer Kennwort-Richtlinie im AD. Ganz einfach.
 
@CitrixOlm: Wobei jetzt in den Privathaushalten nicht ganz so oft eine Client/Server-Struktur samt AD anzutreffen ist...
 
@CitrixOlm: Sry, aber selbst mit Richtlinien bekomme ich Passwörter hin die über BruteForce ermittelbar sind. Außerdem sind das Problem eher Privatnutzer... EDIT: DON666 war schneller ^^
 
@DON666: Diese GPOs kann man auch lokal konfigurieren. Per Script.
@Knerd: Dann ist Deine Richtlinie nicht sauber konfiguriert.
 
@Knerd: Deswegen ja sichere Passwörter mit willkürlichen Zeichensätzen. Entschlüssele mal ein Passwort mit 8 Zeichen (alle Zeichen verwendbar). Diese gängigen Passwörter die es in ladbaren Listen gibt sind in ca. 1 Stunde runtergenudelt. Aber dann geht es los mit den Kombinationsmöglichkeiten. Wenn man aber weiss, wo das Passwort in der Datei abgespeichert ist (das gibt es sogar oft), dann löscht man "einfach" das komplette Passwort (egal wie es heisst). Bei Brutforceangriffen über Netz schmeisst dich ein gute Firewall nach wenigen Sekunden raus. Daher sucht man in der Regel erst mal offene Ports um über die reinzukommen. Kommen aber noch mehr Faktoren hinzu die nicht so leicht zu umschiffen sind. Da dies aber alles vor allem zeitaufwändig ist und oft in keiner Realtion zum Ergebnis steht, sind Trojaner die effektivere Lösung, da diese die Systeme von innen aufbrechen. Bei Brutforce-Attacken benötigt man immense Rechenleistung und hilft auch nur bei schwachen Zielen. Lohnende Ziele sind mit Brutforce kaum zu knacken. Kannst du aber leicht selbst überprüfen. Geb einer Zip-Datei ein Passwort mit 8 Zeichen und starte z.B. mit ElcomSoft Password Recovery Bundle Forensic Edition einen Bruteforce Angriff. Dort kriegst du dann angezeigt, wie lange er noch braucht. Nicht überrascht sein.
 
@Knerd: Das geht ganz einfach: Mindestlänge, Kombination aus Ziffer, Zahlen, Sonderzeichen, Gross-Kleinschreibung. Admin-Name nicht gleich username etc. Und diese Aufforderung bleibt solange stehen, bis es passt. Fertisch.
 
@LastFrontier: Nochmal, da gehen auch einfache Kennwörter mit. Nenn mir eine Richtlinie und ich erstelle dir dazu ein einfaches Passwort.
 
@Knerd: So, wie es viele Webseiten auch vorschreiben. Minimum X viele Zeichen, ein Mix aus Zahlen, Buchstaben und Sonderzeichen. Wenn man das soweit einhält, schaut es schon viel besser aus als mit dem üblichen "1234" oder "passwort", was nachweislich viele nutzen.
 
Viele Anwender von privaten IT-Systemen (Computer, Handy, Spielekonsole usw.) haben einfach nicht bzw. noch nicht das nötige Wissen ihre Systeme richtig abzusichern. Warum gehen so viele davon aus das jeder ein Experte ist, welcher sich ein technisches Gerät anschafft. Bei der schnellen Entwicklung im technischen Bereich, ist das Wissen genauso schnell vergänglich. Also müsste der sogenannte Otto-Normalverbraucher mindesten alle 3 Monate eine Sicherheitsschulung besuchen, um sich selbst vor rechtlichen Konsequenzen zu schützen. Wie normal ist dieses Szenario überhaupt?
 
@Kartello: Nicht alle drei Monate eine Schulung, sondern einen Sinn für die grundsätzliche Problematik und nach welcher Logik das vorgeht. Wenn jemand erst einmal ein Verständnis für eine Sache hat, entwickelt sich der Rest von ganz alleine. Es müsste dazu aber auch echte Ausbilder geben, die die Komplexität anhand einfacher Beispiele vermitteln können. Die Anwender sind nicht zu dumm, zu jung oder zu alt, sondern nur unwissend. Gut - die eine ondere kartoffel ist da schon mit dabei; aber auch dafür gibt es Lösungen.
 
Nicht nur an der Confickerverbreitung sind User schuld, sondern an vielen anderen Verbreitungen auch. Ich erinnere da mal an die Anna Kournikova-Mails mit Anhang. Viele Leute bringen dem PC so ein Gottvertrauen entgegen wie nichts anderem. Bei der Bank geben sie die PIN-Nummer im Geldautomaten nur bei abgedeckter Tastatur und Schulterblick ein, aber im Webbrowser braucht nur ne Seite aussehen wie die Hausbank und schon werden PIN- und TAN-Nummern ohne zu zögern eingetippt. Ich verstehs langsam echt nicht mehr.
 
@DennisMoore: Der Schulterblick nutzt auf Online Banking Webseiten mit XSS Sicherheitslücken groß wie Scheunentore gar nichts.
 
@Feuerpferd: Na Schulschluss?
 
@Rumulus: Hole deine Hausaufgaben endlich nach: http://heise.de/-1179476
 
@Feuerpferd: Mhh, ich soll meine Hausaufgaben machen und das sagt einer der uns vorenthaltet, dass das Problem bereits gelöst ist und nicht verstanden hat, dass es kein Grundsätzliches Problem darstellte? Dies nenne ich mal Selbstüberschätzung von sich selbst. Zitat aus deinem Link:"Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben." Wohlverstanden es waren nur einige wenige Banken, im Artikel werden genau 6 genannt von den ca. x tausend die es weltweit gibt.
 
@Rumulus: Diese Serie von Sicherheitslücken auf Online Banking Webseiten zieht sich schon über Jahre. Falls die mal eine Lücke schließen sollten, reißen die doch zwei neue Lücken auf. Banking Webseiten sind grundsätzlich nicht vertrauenswürdig und daher ist Online Banking zu meiden. So einfach ist das! Dass käufliche SSL Zertifikate unsicher sind, den CAs nicht zu vertrauen ist, das alles hast Du wohl auch verdrängt.
 
@Feuerpferd: Onlinebanking per se meiden will ich nicht. Ich verwende aber auch keine Onlinebankingwebseiten. Da kauf ich mir lieber ne Bankingsoftware der man vertrauen kann und verwende sichere DNS-Server.
 
@Feuerpferd: Es war von Bankautomaten die Rede und nicht von Webseiten.
 
@DennisMoore: Und um der Ironie noch eine drauf zu setzen, genau solche Leute meinen dann noch, dass sie das Internet verstehen und sich über jegliche Schutz- bzw. Regelungsmassnahmen aufregen. Aber wem sag ich das? Wenn einer hier den Sinn hinter meiner Aussage verstehen kann, dann bist du hier in WF einer der seltenen Leser.
 
@Rumulus: Die Leute die sagen: Ich brauch keine Virenscanner uind ich brauch keine Firewall, weil ich mir noch nie eine Schadsoftware eingefangen habe? ^^
 
Gebe Microsoft vollkommen recht!
Das Problem liegt immer zwischen Tastatur und Stuhl.
Der Nutzer ist selber schuld an seiner Dummheit.
 
Um am Straßenverkehr mit einem motorisierten Fahrzeug teilnehmen zu dürfen, muss man einen Führerschein machen. Wenn man mit dem PC ins Internet möchte, reicht da vollkommenes unwissen aus. Es wird schon irgendwie funktionieren..........
 
Da gebe ich Microsoft absolut Recht. Ein Betriebssystem ist wie ein Auto, man muss es "warten". Das Auto wird jährlich zum Service gebracht, den Computer kann man bequem und monatlich zu Hause "patchen". So ist es halt. Und Microsoft hat standardmässig die Updatefunktion aktiviert. Aber die dummen User schalten diese einfach aus. Ich möchte mal sehen, wer mit abgefahren Reifen und ohne Ölservice jahrelang herumfährt... Dies würde dem Besitzer teuer zu stehen kommen.
 
@thomas.g: eben.
 
Microsoft und Sicherheit. Hä???
 
@ichbinderchefhier: Kannst Du da auch eine Begründung abgeben? Oder nur mal ein bisschen Müll in die Runde werfen?
 
@ichbinderchefhier: Du und der Chief. Hä???
 
Ganz einfach: MS sollte immer bei der Passwortvergabe checken ob es so einigermaßen sicher ist: Groß- und Kleinschreibung und min eine Zahl und min. 8 Zeichen.
 
Man denke nur mal an Blaster und Sasser, die beide mehrere Wochen nach Verfügbarkeit von Sicherheitsupdates ihr Unwesen treiben... für mich nichts neues leider. Die sichersten Systeme bringen nichts, wenn der User das Thema Sicherheit nicht wahrnimmt... man sieht ja an Facebook oder auch an der MacOS-Malware mit falscher Flash-Player-Installation, dass man gar keine Sicherheitskonzepte aushebeln muss, wenn der Nutzer stupide eh zu allem "Ja" sagt, was auf den Bildschirm kommt..
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles