FreeXP

Sicherheitsrisiken durch Technik-Info?

Michael Heydekamp my-news at freexp.de
Sam Aug 14 23:57:00 CEST 2004 

Stefan 'Steve' Tell <stv-news at crashmail.de> wrote on 14.08.04:

> * Michael Heydekamp <my-news at freexp.de> wrote:
>> Stefan 'Steve' Tell <stv-news at crashmail.de> wrote on 14.08.04:

>>> ,----
>>> | Apache/2.0.49 (Debian GNU/Linux) Server at www.martinwodrich.de Port 80
>>> `----

>> Aber es ist ja erstens möglich, von 2.0.49 auf 2.0.50 upzudaten
>> (nehme auch mal an, dass das demnächst passieren wird), und zweitens
>> ist es auch Dir ja offenbar ohne grösseren Aufwand gelungen, die
>> Version herauszufinden.

> Ob das Update passieren wird, möchte ich nach der flappsigen Antwort
> von Martin bezweifeln.

Lass doch jetzt mal solche Wertungen beiseite.

Sicher wäre eine ausführlichere Antwort vielleicht angemessener und
wünschenswerter gewesen, aber ich krieg' auch nicht immer die Antworten
in der Form und Auführlichkeit, wie ich mir das wünsche.

Tatsache ist, dass er die "Warnstufe" des von Dir angegebenen Links
zitiert hat, und daran ist nichts Verwerfliches - auch dann nicht, wenn
sie als "Weniger kritisch" klassifiziert wird und vielleicht von daher
nicht ganz in das Bild der Sicherheitsrisiken passt, das hier entworfen
werden sollte.

Auf jeden Fall hat die Frage, ob und wann auf v2.0.50 upgedatet wird,
nichts damit zu tun, welche Sicherheitsrisiken durch die Info-Postings
konkret ausgelöst werden, und um *diese* Klärung geht es ja eigentlich.

> Er schätzt das Potential eines etwaigen Angriffs offenbar anders ein
> als ich.

Das war wie gesagt ein Zitat des von Dir selbst geposteten Links, nicht
seine eigene Einschätzung.  Du kannst jetzt natürlich sagen, dass diese
Einschätzung falsch sei, aber man muss sich seine eigenen Belege
mitunter auch vorhalten lassen können.

>> Ich unterstelle mal [ ... ]

> Wenn Euer Sicherheitskonzept auf Unterstellungen basieren soll, ist
> das in Ordnung. Bleibt zu hoffen, dass die Realität dem Folge
> leistet.

Sorry, das ist nicht redlich.  Es ging in dem Text, den Du
rausgeschnitten hast, gar nicht um ein "Sicherheitskonzept", mithin auch
um keines, das auf Unterstellungen basiert.

Es ging vielmehr um das Verhalten möglicher böswilliger Angreifer und
die Wahrscheinlichkeit, dass sie die verwendete Apache-Version nicht
durch ein Script o.ä., sondern durch das Lesen solcher Info-Postings in
öffentlichen Foren herausbekommen.

Und nur, wenn man diese Wahrscheinlichkeit bewertet, kann man zu einer
Einschätzung kommen, welche Bedrohungen und Sicherheitsrisiken von
solchen Postings *tatsächlich* (und nicht theoretisch) ausgehen.

Dazu hätte mich Deine Bewertung schon interessiert, denn ich kann mir
nicht vorstellen, dass Du ernsthaft behaupten willst, dass das Lesen
solcher Postings der Weg ist, den böswillige Angreifer systematisch
verfolgen.  IOW: Selbst wenn es diese Postings nicht gäbe, wäre kein
Jota an Sicherheit hinzugewonnen.

Der Einfachheit halber zitiere ich nochmal vollständig, dann kannst Du
ggf. gleich darauf Bezug nehmen:

------------8<------------
>> Ich unterstelle mal, dass diejenigen, die es böswillig auf die 2.0.49
>> oder früher abgesehen haben, schneller ein Script geschrieben haben,
>> mit dem sie in kürzester Zeit weltweit Hunderttausende oder Millionen
>> von möglichen Angriffspunkten ermittelt haben, als mühsam die
>> Support-Mailinglisten oder -Newsgroups von Projekten wie FreeXP nach
>> entsprechenden Postings abzusuchen, in denen solche Infos
>> möglicherweise enthalten sein könnten.
------------8<------------

> Wie gesagt, ich habe mein Statement nochmal ausführlich dargelegt, und
> da alle anderen die Diskussion bereits beendet haben, würde ich das an
> dieser Stelle - zumindestens öffentlich - auch gerne tun.

Scheint irgendwie in Mode zu kommen, diese Methode, und ich schätze sie
nicht gerade.  Entweder setzt man was in die Welt und ist auch bereit,
es en detail zu diskutieren und argumentativ zu vertreten, oder man
lässt es gleich bleiben.

Speziell, wenn die Antwort weiteren Diskussionsbedarf erzeugt.   
Ausserdem haben gar nicht "alle anderen" diese Diskussion beendet,
sondern lediglich HJT hat eine Diskussion zu einem ganz anderen Thema
(mit einem anderen Subject) für sich beendet - zum Glück.

*Diese* Diskussion wurde doch noch gar nicht richtig geführt.

> Ich setze also auch hier ein fup2p, dem Folge zu leisten natürlich Dir
> überlassen bleibt.

Aus den genannten Gründen ignoriert.  Aber so habe ich zumindest
mitbekommen, dass Du jetzt auch über die Newsgroups hier teilnimmst. ;)

Du musst nur - auch für zukünftige Fälle - bedenken, dass ein F'up2 bei
den Mailinglisten-Teilnehmern nicht wirkt.

>> Zumal sich die exakte Apache-Version aus dem Info-Posting auch gar
>> nicht ergibt.

> "die neuste für sarge" ist aussagekräftig genug (ich glaube, es heißt
> im Infoposting so, oder so ähnlich, habe jetzt nicht nachgesehen).

Ja, so ähnlich.  Und welche Version ist das im Moment genau?  Könnte mir
nämlich vorstellen, dass wir mit der v2.0.49 schon 'ne neuere haben als
die, die für Sarge momentan aktuell ist (weiss es aber nicht sicher).

Wäre jedenfalls dann doch die perfekte Irreführung. ;)  Die nur auch nix
hülfe, weil's von den Bösewichten ja doch keiner liest.


        Michael

Mehr Informationen über die Support-List Mailingliste