VMware-Forum

Hallo,

ich bei euch schon mal dazu eine Anfrage/ Kommentar angekommen von Kunden angekommen?
Mich persönlich würde es ja eher überraschen wenn es da keine Manipulationen gibt aber offensichtlich hat ja noch nicht einmal ein Bruchteil der Bevölkerung kapiert was da eigentlich gerade passiert.
Allerdings soll es ja auch IT-Entscheidgungsträger geben die jetzt doch was ändern wollen.

Gruss

Nein, bisher keine Anfrage in der Form. Auch zu anderen Herstellern nicht. Die Kunden sind sensibilisiert, sind sich aber auch der möglichen Handlungsalternativen bewusst.

Ich glaube das es höchstens ein Schulterzucken bei den meisten Entscheidungsträgern gibt.

Ich wüßte nicht, weshalb dazu Fragen kommen sollten. Wer seinen VMware-Host, egal ob Desktop- oder Serverprodukt, direkt aus dem Inet erreichbar macht, ist selbst Schuld und für den Rest gibt es Firewalls oder managbare Switches, die man immer vor dem Host positioniert. Ein Angreifer braucht ja nicht mal den Host anzugreifen, die Gäste selbst sind ausreichend unsicher genug. Sieh dir einfach mal an, wie Winzigweich ein neues Stammzertifikat automatisch über das "Automatic Root Certificate Update" nachlädt. Details dazu finden sich unter anderem bei Heise unter Windows: Dynamische Zertifikat-Updates gefährden SSL-Verschlüsselung.

Auf der anderen Seite hält VMware zu jedem seiner Produkte auch den Source-Code vor, aber inwieweit man daraus sich das jeweilige Produkt selbstkompilieren kann, entzieht sich meiner Kenntnis.

Nur der Quellcode der Teile, die unter der GPL stehen, sind öffentlich und können heruntergeladen werden.

Es sieht so aus, als ob die NSA einfach etwas tiefer ansetzt: Sie baut die Malware gleich ins BIOS (IRONCHEF, in Zusammenwirkung mit einem RF-Hardware-Modul: WAGONBED) der auch hier recht beliebten HP Server ein:

https://www.schneier.com/blog/archives/ ... _of_1.html

Zur Problematik muß man sich nicht extra bei Bruce Schneier einlesen, obwohl manche Themen dort noch von einem anderen Ansichtpunkt dargestellt werden, weil der Spiegel bereits letztes Jahr dazu unter Interaktive Grafik: Hier sitzen die Spähwerkzeuge der NSA umfangreiches Material veröffentlicht hat.
Schneller als über Heise unter NSA-Skandal: Hardware-Hersteller wehren sich gegen Spionagevorwürfe habe ich aber keinen direkten Weg zu den Antworten vieler darin erwähnter Hersteller gefunden.

bla!zilla hat geschrieben:Die Kunden sind sensibilisiert, sind sich aber auch der möglichen Handlungsalternativen bewusst.

Bist Du sicher, dass man tatsächlich eine ernsthafte Wahl hat. Ich muss das mit einem klaren Nein beantworten. In der heutigen Zeit nicht. Zumindest nicht in der Geschäftswelt. Etwas entschärfen kann man es nur mit völlig abgeschotteten System ohne Verbindung ins Netz. Ziemlich undenkbar.

Die NSA und ihr eigentlicher Zweck wäre mir ehrlich gesagt scheissegal. Im Grunde ist das Gut was sie tun. Nicht Gut ist das Missbrauchspotential wenn eine Institution über eine solche Macht verfügt. Sprich unliebsamen Leuten Dinge unterzujubeln, Wirtschaftsspionage usw. Dazu braucht es dann nicht die ganze Organisation, sondern nur einzelne Personen die sich das System zu nutze machen.

Klar hast du als Unternehmer Handlungsalternativen, wovon eine immer die Unterlassungsalternative ist. Wenn ich Systeme wirklich absichern will, dann bleibt mir immer die Möglichkeit die Systeme mittels Luft zu trennen. Wo kein kein Kabel reingeht, da kommt auch die NSA über Backdoors nicht rein. Aber die meisten möchten das aus Bequemlichkeit nicht. Alle Prozesse lassen sich so gestalten das derartig abgetrennte Systeme eingebunden werden können, im Zweifel durch Ausdrucken von Dokumenten und wiedereingabe der Daten. An dieser Stelle kann man als Kunde dann abwägen was man möchte.

Du kannst dir das, bzw. du magst dir das, nicht vorstellen. Aber so sieht die Handlungsalternative aus. Es ist in der Entscheidungsgewalt des Unternehmers dann zu wählen. Das betrifft im übrigen nicht nur die NSA, sondern allgemein Angriffe auf IT-Systeme. Es ist immer wieder schön zu sehen wie leichtsinnig viele Unternehmen sind und wie wenig Eier IT-Dienstleister haben, entweder weil sie zur Unsicherheit beitragen, oder weil sie Angst haben dem Kunden auf die Füße zu treten.

Weil du den Leichtsinn viele Unternehmen und die fehlenden bzw wenigen Eier von IT-Dienstleister angesprochen hast...
Ich finde es immer wenig amüsant, mit welchen fadenscheinigen Antworten man abgespeist wird, wenn man mal Auskunft zum Umfang der bei einem Unternehmen oder IT-Dienstleister gespeicherten Daten haben will. Extrem beliebt ist die Aussage, daß man die Daten aufgrund des Datenschutzes nicht herausgeben kann oder erst langwierig über das Recht auf Selbstauskunft einholen muß. Das die Daten dabei häufiger sogar völlig ungeschützt in einer falsch verstandenen DMZ lagern oder über diese sogar gleich komplette Administrationsoberflächen im Inet erreichbar sind, paßt dazu irgendwie genauso wenig, wie der ungestörte und anscheinend völlig zulässige Handel mit den beim Dienstleister/Unternehmen lagernden oder zumindest von ihm verwalteten Daten. Als Dienstleister/Unternehmen verstehe ich hier Provider, Anstalten bzw Körperschaften des öffentlichen Rechts, Banken etc und als Daten kommen neben Email auch Anschrift oder Kreditwürdigkeit etc in Betracht.

Solange die möglichen Strafen bei Vergehen gegen den Datenschutz so gering wie jetzt bleiben oder selbst wenn sie verdoppelt würden, kann man mit dem Handel von Daten immer noch wesentlich mehr verdienen und die Strafen anscheinend auch aus der Portokasse bestreiten. Der Heise-Verlag beispielsweise hatte sich im August 2013 mal die Mühe gemacht und zumindest die aufgrund des BDSG gemeldeten Verstösse seit März 2011 bis zum Zeitpunkt der Artikelveröffentlichung bei allen Landesdatenschutzstellen angefragt. Das lesenswerte Ergebnis findet sich unter Transparente Datenpannen und das ist ja beileibe nicht alles. Neben den stillschweigend nicht gemeldeten oder auch wieder verworfenen Meldungen hatte selbst die Bundesregierung einige Verluste an "Ausrüstung" zu vermelden, wie diese durch kleine, durch die Opposition initiierte Anfragen beantwortet mußte...


Damit Daten "andersweitig verwendet" werden können, braucht es also nicht die NSA. Das schaffen Firmen wie Sony, Adobe, Vodafone, nVidia etc millionenfach auch ganz alleine.
Trotzdem sollte sich jeder unabhängig vom Bestreben von Geheimdiensten dazu mal Gedanken machen und auch die Sinnhaftigkeit einiger der neuesten bzw festgezurrten "Errungenschaften" im deutschen Mail-Bereich kritisch hinterfragen.