WannaCry: Microsoft beschuldigt Geheimdienste, Lücken zu "horten"

Ende der vergangenen Woche gab es den bis dato größten weltweiten "Cyberangriff", vor allem zahlreiche veraltete und ungepatchte Windows-Systeme waren von einer Ransomware namens WannaCry betroffen. Im Mittelpunkt der nun aufgeflammten ... mehr... Microsoft, Management, Brad Smith Bildquelle: Microsoft Microsoft, Management, Brad Smith Microsoft, Management, Brad Smith Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Um Lücken "horten" zu könnrn, muss es erstmal einen geben, der diese produziert. ;)
 
@iPeople: schöner Satz... jeder der mehr als 100 Zeilen Code schreibt, produziert Lücken! Und jede vermeintlich "sichere" Software wurde bisher früher oder später "geknackt" ... daher:
Lücken wird es IMMER geben und Menschen welche Lücken finden ebenso.

Ich warte schon (ängstlich) auf dem Tag, an welchen KIs nach Sicherheitslücken suchen
 
@bear7: Nichts anderes sagt mein Kommentar aus, völlig wertungsfrei.
 
@iPeople: naja... dann tut es mir leid, dass einige das nicht so verstehen wie du es meinst...

Aber für mich klingt das nach: "schuld ist doch derjenige welcher die Lücken produziert" ...

und NATÜRLICH trägt auch (in dem Fall) Microsoft die Mitschuld und keine Angst, es werden wieder viele "Hater" auferstehen welche genug gegen Microsoft vorgehen werden. Dennoch frage ich mich, auf wem du mehr böse bist.
=> Ich öffne deine Haustüre... und irgendwelche >Personen< räumen deine Bude aus (was sie natürlich nie gemacht hätten, hätte ich deine Bude nicht geöffnet)...
PS. der Türhersteller hat zu wenig Stahl verwendet, ansonsten hätte ich die Tür nicht öffnen können.
 
@bear7: Der Witz ist doch, dass es per se ja keine Lücken gibt. Lücken werden erst geschaffen, indem man versucht, etwas zu umgehen. Um bei deinem Beispiel mit der Wohnungstür zu bleiben: Früher reichte ein einfaches Schloss. Die sich steigernde Rafinesse der Gauner und auch die Weiterentwicklung von Tools machen es notwendig, inzwischen Querriegel und andere zusätzliche Sicherheitsmaßnahmen zu ergreifen. In meinem Eingangskommentar habe ich nämlich als Produzenten von Lücken ausdrücklich nicht auf MS verwiesen. Es ist allerdings wieder lustig zu sehen, wie interpretiert wird.
 
@iPeople: okay, das versteh ich... aber das hättest du dazu schreiben MÜSSEN! ...

es stimmt schon, dass derjenige mit der "Brechstange" die Lücke erst als Lücke ~erschaffen~ hat. Aber trotzdem gibt es ja die Tools bzw. diese Tools (z.B. Ditrich) lassen sich mit vertretbaren Aufwand anfertigen. Also muss der Hersteller der Tools doch auf dem Hersteller der "Türen" zugehen und sagen, pass auf, man kommt hier leicht rein...

Wie schon gesagt, ich (und ich denke die anderen auch) haben deine Nachricht so verstanden, dass Microsoft mit voller Absicht "Lücken" fabriziert hat.
 
@bear7: Warum sollte ich MS Absicht unterstellen?

BTW , der Hersteller der Türen könnte auch die Tools untersuchen um zu sehen, wie seine Schwachstellen sind.
 
@iPeople: klar, und das macht der Hersteller auch... Allerdings, wenn der Hersteller der Tools, seine Tools zwar für "einige" Zugänglich macht, aber den Hersteller der Türen nichts sagt,... <- dann haben wir den oben genannten Fall!
 
@iPeople Ich habe deinen Ursprungspost auch so interpretiert, dass Du hier eine Schuldzuweisung vollziehst. Da es in dem Artikel um Microsoft geht, zieltest Du also explizit auf Microsoft. Und soweit ich weiß, gibt es KEINE Software, die keine Lücken hätte.
 
@SunnyMarx: Wenn ich auf etwas angezielt hätte, hätte ich das explizit geschrieben. Lesen und verstehen, nicht interpretieren.
 
@iPeople: Würde ich vom Textverständnis aus deinen Beitrag benoten müssne, würde er ne glatte 5 bekommen. Also kann ich diese paar Worte nur interpretieren. Hättest Du etwas mehr Worte benutzt, hätte ich lesen und verstehen können.
 
@SunnyMarx: Würdest Du weiter denken, als nur bis zu den Fußspitzen, würdest du wenigstens mit 3 benoten ;)
 
@iPeople: Hey, Noten sind subjektiv. Und ich würde nur ne 5 geben. ;-)
 
@iPeople: Das mit dem weiterdenken könnte man dir aber auch sagen. Nämlich so weit weiter zu denken, das du ein: wann und wieso könnte ich wo mißverstanden werden .. schon im Vorfeld bzw. freiwillig eindämmst. Denn nicht jeder kennt dich so gut oder möchte dich so gut kennen, wie du bei sowas meinst anwenden zu dürfen bzw. bei der Entscheidung, wieviel Eindämmung du weglassen darfst .. ;-)
 
@SunnyMarx: Du bist fies :p
 
@DerTigga: Alle hier kenn mich hier, ich bin der böhse Apple-Jünger.
 
@iPeople: Was issn Apple nu schonwieder fürn Dingens ? :-p
 
@DerTigga: Apple ist eine geldgierige, amerikanische Firma, die in China extrem billige und technisch total veraltete Smartphones und Tablets von kleinen Sklavenkindern herstellen lässt und diese überall auf der Welt als high End sehr teuer verkauft und so den Kunden auf erpresserische Art und Weise das Geld aus der Tasche zieht.
 
@DerTigga: Lies mal im alten Testament nach. Hebräisch sind Apfel und Böse das Gleiche und wird mit Tod und Hölle in Verbindung gesetzt.
 
@iPeople: Wenn du Code ohne schreiben kannst, dann darfst du das fordern.
 
@Alexmitter: Du liest ein Forderung ?
 
@iPeople: kein Betriebssystem bzw. keine Software mit einer gewissen Komplexität hat keine Lücke .. aber wenn du so schlau bist kannst du es ja gerne probieren und uns ein lückenloses OS bereitstellen.
 
@coi: Ich kann beim besten Willen nicht erkennen, in welchen Teil meines Kommentars ich Gegenteiliges behauptet hätte.
 
@iPeople: "muss es erstmal einen geben, der diese produziert" unterstellt gewissermaßen eine absicht, zumindest mMn
 
@My1: Was Du verstehen willst, ist Deine Sache.
 
@iPeople: Quatsch! Niemand produziert Lücken. So ein Blödsinn behauptet nur jemand, der von Programmierund überhaupt keine Ahnung hat. Das wäre so, als wenn Du behauptest: Häuser stürzen bei Erdbeben ein, weil jemand Schwachstellen produziert.
 
@Nunk-Junge: Vielleicht machst du dir ja mal die Mühe und liest auch die anderen Kommentare dazu, vor allem den von 11:04 Uhr ;) Ich habe nämlich mit keiner Silbe behauptet, MS würde Lücken produzieren.
 
@iPeople: "...muss es erstmal einen geben, der diese produziert." - das sind DEINE Worte.
 
@Nunk-Junge: Ja und ? Denk weiter
 
@iPeople: Ja und? Es gibt keinen fehlerfreien Code. Das ist ausschließlich eine theoretische Möglichkeit im Bereich der theoretischen Informatik. In der Praxis völlig unrealisierbar. Also geht es darum, WIE man mit Lücken umgeht. Also WIE man die Gefahr minimieren kann und WIE man Lücken erkennen kann und WIE man mit dem Patch Management umgeht. Wege dazu gibt es sehr viele. Ein paar Schlagworte dazu: Virtualisierung, Sandboxen, Zertifikate, Bug Bounty, ...
 
@Nunk-Junge: Ubd genau das habe ich ausgesagt. Deswegen sagte ich "denk weiter"
 
nun, die Geheimdienste behalten sich solche Lücken natürlich in der Hinterhand um "später" mal Gezielt einen Angriff gegen Terroristen (oder was auch immer) zu machen...

Was "die Geheimdienste" dabei aber vergessen, wenn Sie in der Lage sind eine solche Lücke zu finden, sind das andere auch. Und andere haben selten vor damit "gutes zu tun". Ich finde es Fahrlässig und hoffe dass hier aktiver dagegen vorgegangen wird. <- Vor allem weil der NUTZEN dieser Geheimdienste momentan den Kostenfaktor eh nur schwer gerecht werden.
 
@bear7: Die Geheimdienste haben ja Aufgaben, die sie erfüllen müssen. Um diese erfüllen zu können, müssen sie entweder vorhandene Lücken suchen und ausnutzen (und dies so lange wie möglich) oder sie bekommen von den Firmen die Hintertüren frei Haus geliefert, was aber zumindest offiziell keine Option ist.
Geheimdienste und Strafverfolgung werden deshalb immer ein Problem für die IT-Sicherheit bleiben.
 
@gutenmorgen1: ich frage mich halt ob man das wirklich muss!? ...

ich meine die Polizei hat jederzeit die Möglichkeit auf Verdacht in eine Wohnung einzudringen! Hierfür müssen die aber durch die Haustüre rein... und es ist jedem selbst überlassen "wie stabil" er seine Haustüre baut. Wenn es aber die "Möglichkeit" bestehen soll, dass die Polizei "unentdeckt" in Wohnungen rumschleichen können soll, dann frage ich mich warum man überhaupt noch Haustüren verbauen darf! ...

=> und das Argument, es soll ja nicht jeder sondern nur die Polizei funktioniert eben nicht...

Wenn dann bräuchte es einen "Generalschlüssel" also ein Komplexes Zertifikat, welches nur der Polizei zugänglich ist... "das werden die bestimmt auch NIE verlieren *zwinker*" ...
=> daher, macht die Systeme so sicher wie möglich und ändert die Gesetze an der Verpflichtung der Herausgabe der Passwörter!
 
@gutenmorgen1: So wie der Jurist aus der News sich aufregt, bin ich wirklich unsicher, ob und das Microsoft eins zu eins über dieselbe Menge an Lücken Bescheid wusste. Für mich klingt das eher so, als ob der Geheimdienst eine ganze Latte davon in der Schublade hatte, über deren Existenz sie bisher niemandem sonst gegenüber ein Wort verloren haben / hatten. Womöglich jene Schublade, die gewisse Hacker bzw. Diebe neulich erfolgreich aufgezogen und geleert haben. Und Microsoft muss es nun ausbaden bzw. fixen und muss sogar die (juristischen) Zähne zusammenbeißen und (ver)schweigen, das sie's in Wahrheit noch garnicht wussten ..?
 
Ich kann M$ hier verstehen, Sicherheitsinstitutionen auf der ganzen Welt suchen nach Lücken in Systemen um gezielt agieren oder angreifen zu können. Jedoch finde ich das man als "Finder" einer solchen Lücke dazu verpflichtet werden sollte diese auch zu melden um einem Missbrauch vorzubeugen, siehe WannaCry.
 
Das "Bounty-Programm" finde ich gut und müsste von den "Nutzern" mehr gefördert werden.

Gäbe es ein Konto wo der "User" die Möglichkeit hätte, das finden und stopfen der Lücken zu unterstützen, müsste jeder "Windows 10 Nutzer" durchschnittlich nur 1€ Spenden und schon hätte man ne halbe Milliarde €... 100000€ für 5000 Lücken! <- WinWin
 
apropo Schlüssel in falsche Hände: wieso geben Vermieter der DHL/Post Hausschlüssel von ihren vermieteten Häuser? Warum dürfen die das ... wieso wird das so allgemein gehandhabt ... Hat sich damit jemand beschäftigt?
 
@achtfenster: Weil der Eigentümer mit seinem Eigentum machen kann, was er will, solange es keine Gesetze verletzt. Er kann also auch dem Postboten einen Schlüssel geben, um die Post ins Haus tragen zu können. Es gibt schließlich kein Gesetz, was das verbietet.
 
@achtfenster: Bei einer ordentlichen Schließanlage sind nicht alle Haustürschlüssel auch gleichzeitig Wohnungstürschlüssel. Wie weit der Postbote also nach der ersten Tür kommt bzw. käme, gesetzt den Fall, er / sie würde es drauf anlegen, könnte ne ziemlich gute Frage bzw. schneller zu Ende sein, als der oder eben du so denk(s)t ;-)
 
Man kann über Geheimdienste geteilter Meinung sein, aber geheime Schwachstellen zu nutzen gehört wohl zum Core-Business von Geheimdiensten.

Was ist daran überraschend?
 
@rw4125: Das Core-Business der Geheimdienste sollte der Schutz des eigenen Staates sein, nicht die Gefährdung.
 
@Nunk-Junge: Deiner Logik zufolge müsste man auch alle Polizisten entwaffnen, weil deren Dienstwaffe in unbefugte Hände geraten kann.

Oh, und LKW's, Flugzeuge etc --> alles hochgefährlich. Schnellstens verbieten!
;-)
 
@rw4125: Ja, wenn die Waffen frei für jeden herumliegen würde ich auch fordern die Polizisten zu entwaffnen. Die kann man aber wegsperren und zumindest die Deutschen Polizisten scheinen ja gewissenhaft damit umzugehen, wie sperrt man allerdings Fehler von Software weg, sodass diese nur für die Polizei zu nutzen wären? Mal abgesehen davon, dass diese Hacking Teams oft genug selbst zum Opfer eines Angriffs wurden, wie es auch hier der Fall war.
 
@theBlizz: Natürlich gehören bekannte Softwarefehler behoben.
Die Aufgabe der NSA ist es aber nicht darauf hinzuweisen.

Die Aufgabe der NSA ist es Informationen zu beschaffen, und Geheimdienste haben das schon immer mit allen zur Verfügung stehenden Mitteln getan.
 
@rw4125: Leider scheint es, dass Du in den letzten Jahren wohl keine Nachrichten gelesen hast. Die NSA beschafft nicht nur Informationen, sondern ist sehr aktiv in Sicherheitsfragen (sie haben zum Beispiel den Sicherheitsteil von Linux SELinux entwickelt, was heute Bestandteil jeder Distribution ist), sie haben sehr aktiv Cyberterrorismus betrieben (siehe die Snowden-Dokumente). Wenn sie also die IT-Infrastruktur der USA gefährden, weil sie bekannte Angriffsvektoren verheimlichen, dann gefährden sie nationale Sicherheit.
 
Qui in gladio occiderit, oportet eum gladio occidi.
 
@Synapsis: na dann viel erfolg
 
@mjolnir: Ich glaube Du hast mich falsch verstanden, mit dem Zitatt meinte Ich, dass wenn eine Regierung/Gehimdienst Hackingangriffe entwickelt/verwendet wird auch diese Regierung von derartigen Angriffen betroffen, wieso sich jetzt alle drueber wundern ist fuer mich nicht ganz verstaendlich - und WannaCry ist eben das Schwert hier.
 
@Synapsis: Also ich bin mir zu 99.999% sicher, dass Hacker (egal ob von fremden Geheimdiensten, Regierungsgegner oder diverse 'Spaßvögel') die US-Regierung auch dann angreifen würden, wenn die US-Geheimdienste keinerlei Exploits horten/verwenden würden.

Insofern wäre es eher strohdumm von den Geheimdiensten, das (als einzige) nicht zu tun.

Auch wenn sich das mit ein bisschen Nachdenken eigentlich jedem erschließen sollte, freu ich mich trotzdem schon auf (d)ein Minus. :-)
 
@rw4125: "Auch wenn sich das mit ein bisschen Nachdenken eigentlich jedem erschließen sollte, freu ich mich trotzdem schon auf (d)ein Minus. :-)" - Allein für den geistigen Dünnpfiff hast Du mein Minus verdient. Wer eine Diskussion verhindern will indem er im Vorhinein andere Meinungen herabwürdigt, dessen soziale Kompetenz ist sehr früh stecken geblieben.
 
@Nunk-Junge: Anstatt auf die Sachargumente einzugehen, bist du persönlich geworden.

Tolle Antwort!
 
@rw4125: Leider hast Du mit Deinem Kommentar ja jede Diskussion schon vorher abgewürgt. Aber gut, Dir zuliebe: 1. Hacker greifen nicht (nur) die US-Regierung an, sondern vornehmlich Personen und Unternehmen. 2. Die von WannaCry genutzt Lücke wurde von der NSA entdeckt. 3. Die NSA hat NICHTS unternommen die Gefahrenstelle zu schließen. 4. Somit hat die NSA in bewusst Kauf genommen, dass US-Regierungstellen, US-Unternehmen und US-Bürgern erheblicher Schaden zugefügt wird. 5. Durch einen Leak aus der NSA wurde die Lücke Terroristen bekannt und dann für Angriffe genutzt. - Nach deutscher Rechtsprechung (ich weiß, die gilt da nicht und Geheimdienste stehen eh weitgehend außerhalb der Gesetze) wäre die NSA schuldig an den Angriffen, denn billigend in Kauf nehmen gilt als vorsätzlich in der Rechtsprechung. Die NSA hätte also mit Vorsatz Rechner sabotiert. :-)
 
@rw4125: Du hast natuerlich recht- aber ich habe ja nicht anderes behauptet (oder habe ich?) Ich glaube Ihr musst in die Wikipedia nachschauen woher der Zitat kommt.
 
@Synapsis: Du hast recht, ich habe dich dahingehend verstanden, das du selbst lücken horten willst ;)
 
@mjolnir: Nee, ich lebe in einer BSD basierten Realitaet was OS angeht, so gesehen verschwende ich lieber meine Zeit mit Shitposting als mit Virenscanner, AntiMalware und sonstigen ;-)
 
hm also für mich gibt es da keine Diskussion. Freiheit und Privatsphäre um jeden Preis! Mit dem Risiko eines Anschlags muss man eben leben bzw. dass die Geheimdienste solche dann nicht aufdecken können. Ich denke hier müsste man sich mal klipp und klar zu bekennen, dann wäre das ein für allemal geklärt!
 
@legalxpuser: Ich greife gleich vorweg. Die Anschläge und Attentate sind wirklich schlimm. Schlimm für die Beteiligten wie auch die Hinterbliebenen. Aber es ist nun einmal Fakt, dass im Straßenverkehr bedeutend mehr Menschen Jahr für Jahr ihr Leben lassen müssen. Und da wurde noch nie solch ein Fass für aufgemacht. Nicht mal das 120 Km/h-Limit auf Autobahnen wurde umgesetzt. Aber für 3 Anschläge und 5 vereitelte Anschläge, wird das Grundgesetz bis zum bersten gebogen. Meiner Meinung nach ist das schon von Grundsatz her ein absoluter Schwachsinn.
 
@legalxpuser: Oder von vornherein so handeln das nicht noch mehr potentielle Terroristen und Verbrecher dazu kommen. Indem z.B. nicht jeder einfach ins Land gelassen wird weil er irgendeinen Asylgrund für sich sieht und dann später nicht wieder nach Hause geschickt wird.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles