PC wiederherstellen?

Anzeige

AW: PC wiederherstellen?

Der große Unterschied ist eigentlich nicht Open oder Closed Source, sondern Standard- oder Individualsoftware. Letztere ist niemals Open Source, und man hat einen Auftragnehmer, der für Fehler und ggfls. Schäden haften muss.
Bei Standardsoftware ist das nicht der Fall; selbst Microsoft schließt die Haftung für seine Produkte praktisch komplett aus, obwohl die genug Geld hätten. Es bringt mir also keinen Vorteil, wenn ich den Urheber der Standardsoftware genau kenne, und dass es sich um Closed Source handelt, auch nicht.
Bei Open Source habe ich ebenfalls keine Gewährleistung, weiß aber wenigstens, dass die Verfasser sich von der Öffentlichkeit auf die Finger sehen lassen. Und ich bezahle nichts dafür, dass ich keine Rechte habe.
In Standardsoftware finden sich wahrscheinlich Backdoors, In Individualsoftware immer. Welcher Programmierer will schon bei Wartungsarbeiten den Kunden nach dem Passwort fragen?
Wer eine z. B. Produktionsanlage steuern lassen will, kommt um Individualsoftware nicht herum. Er muss sich entscheiden, unter welchem Betriebssystem. Wenn er keine Lust hat, täglich vor Produktionsbeginn den Virenscanner zu aktualisieren, nimmt er eben das, was alle in seiner Situation nehmen. Und seinen Programmierer beauftragt er auch mit der erforderlichen Anpassung des OS. Bei Open Source ist sowas kein Problem.

 

AW: PC wiederherstellen?

Sowas wird separat in Wartungsverträgen vereinbart.

Was für ein hanebüchener Unsinn.

Hast du eine Vorstellung davon, was die betreffenden Kunden mit dem Softwareunternehmen anstellen, wenn sowas rauskommt?

Manchmal finde ich die Naivität einiger hier erschreckend.

Man sieht, wieviel du von der Matierie verstehst.

Die Anlagensteuerung besteht aus einem Rudel SPS, die Überwachung und logische Steuerung darüber erledigen dann klassische Server. Das kann dann alles mögliche sein: Unix, AS/400, Windows.

Die User-Terminals sind dann je nach Server-Infrastruktur dann Thin-Clients mit Terminal-Emulation, Citrix-Clients, usw.

Einen Virenscanner brauchst du in einem autonomen System nicht. Gegen gezielte Hacker-Angriffe ist der ohnehin machtlos.

Genau. Und bei dem nächsten Sicherheitsupdate fliegt dir dann alles um die Ohren, weil die "Anpassungen" dann nicht mehr funktionieren.

Ich kenne kein Unternehmen, das "angepasste" Betriebssysteme verwendet, eben weil diese Anpassungen mit jedem Update überprüft werden müssen. Der Unterbau ist immer konventionell, so dass der Betrieb sichergestellt werden kann.

 

AW: PC wiederherstellen?

Der hanebüchene Unsinn wurde mir von mehr als einem Programmierer als etwas vollkommen Normales und Alltägliches geschildert. Und ja, es sind Programmierer, die Software für Großunternehmen entwickeln.

 

AW: PC wiederherstellen?

Na, dann hast du dir mal einen hübschen Bären aufbinden lassen.

Diese Geschichte ist aus mehreren Gründen hanebüchener Unsinn:

Die Server, auf denen Unternehmenssoftware läuft, stehen in gesicherten Rechenzentren, die von außen nicht erreichbar sind. Jedes Unternehmen nutzt da andere Strategien. Hier ein "Backdoor" einzubauen, ist mit erheblichem Aufwand verbunden und erfordert Spezialkenntnisse des jeweiligen Systems.

Doch wozu sollte man sich diesen Aufwand machen? Wenn der Kunde einen Wartungsvertrag hat, dann ist ein VPN-Zugang dafür Voraussetzung. Wenn der Kunde so etwas nicht einrichten kann -- Pech.

Wozu also eine Backdoor? Kunde will Support also hat sich Kunde darum zu kümmern, dass ich Zugang erhalte.

Mal dumm gefragt: Deine Autowerkstatt kommt also ungefragt zu dir nach Hause, bricht in deine Garage ein, nimmt einen Generalschlüssel, um dein Auto zu öffnen, um es dann zu reparieren?

Warum? Wer bezahlt diesen Aufwand?

Und vor allem: Sich unerlaubten Zugriff auf das System zu verschaffen, ist eine Straftat. Welches Software-Unternehmen würde sich auf derart dünnes Eis begeben.



Also wir haben von allen unseren Kunden vorkonfigurierte VPN-Verbindungen, sowie die entsprechenden Zugangsdaten. Liegt alles dem Support vor. Wer sowas nicht organisiern kann und statt dessen zu illegalen Mitteln greifen muss, der hat seinen Beruf verfehlt.

 

AW: PC wiederherstellen?

Ich möchte dir ja gerne glauben, aber: woher weiß ich, wer du bist und in wessen Auftrag du hier schreibst?

Na, kommt dir diese Argumentation bekannt vor?

 

AW: PC wiederherstellen?

In "wessen Auftrag" und mit welchen Zweck soll ich dir denn weismachen wollen, dass es im B2B-Umfeld üblich ist, dass man im Rahmen von Wartungsverträgen VPN-Verbindungen zu den Kundensystemen einrichtet?



Au Mann... Das tut schon echt weh.

Ja. Wem nichts mehr einfällt, der bedient sich billiger Retourkutschen.

 

AW: PC wiederherstellen?

Es ist schon herausgekommen, auch bei den großen der Branche:

HP:
Backdoor in Backup-Servern von HP | heise Security
HP: Neue Hintertüren in Server-Produkten | heise Security
US-Cert warnt vor Backdoor in HP-Druckern | heise Security

Cisco:
Cisco warnt vor Backdoor in Identity Services Engine | heise Security

weitere:
Hintertür in Netzwerk-Hardware für Industrieanlagen | heise Security
Backdoors in vielen Barracuda-Appliances | heise Security
Hintertür in amerikanischen Notfallwarnsystemen | heise Security

Und dann noch die ganzen "bekannten" Service-Accounts von EMC, Brocade & Co.

Und was ist passiert?

Nicht zu vergessen die zahlreichen Wartungszugänge, die Firmen wie EMC, IBM & Co. wünschen und meistens auch bekommen.

 

AW: PC wiederherstellen?

Ich kenne auch solche Unternehmen. Und was in irgendwelchen Richtlinien steht, und wie die Praxis aussieht, steht auf einem anderen Blatt.

Wer die Richtlinien geschrieben hat, weiß oft gar nicht, wo überall OpenSource im Einsatz ist.

Nahezu jedes kommerzielle UNIX nutzt:

• X11
• OpenSSH (Client und Server)
• ISC BIND (Resolver und DNS server)

Ein Brocade SAN-Switch wird von Linux gesteuert.
EMCs Control-Stations ihrer SAN/NAS-Systeme VNX sind ebenfalls Linux.

Und selbst in Windows findet man vereinzelt noch Reste des Network-Stacks von BSD.

etc. etc.

 

AW: PC wiederherstellen?

Hier ging es um Individualsoftware, die im Auftrag des Kunden hergestellt wird.

Ja, und? Davon spreche ich doch. Zur Wartung werden nicht irgendwelche verstecken Backdoors verwendet, sondern die vom Kunden eingerichteten Zugänge.

Früher hatten Anlagensteuerungen dafür sogar Modems eingebaut, mit dem sich die Wartungsfirma dort aufschalten konnte. Doch das ist keine "Backdoor", sondern eben ein stinknormaler Fernwartungszugang.

"Backdoor" impiziert, dass man sich unter Umgehung sämtlicher Sicherheitsvorkehrungen und unbemerkt Zugriff auf ein System verschaffen könne. Das ist bei Fernwartungszugängen nicht der Fall.

Dass in bestimmten Produkten fest Default-Anmeldedaten implementiert sind, ist oft schlicht Dummheit oder Nachlässigkeit der Entwickler.

 

AW: PC wiederherstellen?

au man, hier schneidest du aber ein Thema an dessen Tragweite du wohl nicht so richtig einzuschätzen vermagst.
Was nun den Support anlangt, da hast du ja wirklich sehr gut aufgepaßt, als dieses Theme behandelt wurde, denn das was du hier verbreitest ist inzwischen verdammt weltfremd und trägt wohl kaum im entferntesten dazu bei einen soliden Kundenstamm aufzubauen und vor allem, es gäbe eminente Sicherheitsdefizite! Vielleicht hast du es auch schon bemerkt, die Welt hat sich inzwischen weitergedreht und wirklich potente Kunden erzählen Dir gewiß was sie leisten wollen und was nicht. Schließlich willst du ja deine Anlagen plus dazugehöriger Software incl. Support verkaufen, oder?
Eine Ausnahme wäre sicherlich der Umstand Alleinhersteller gewisser Produkte zu sein und die Abnehmer stünden Schlange, um Kunde werden zu dürfen, lol!
Merke, der heutige Markt ist wie ein Mimöschen, extrem eigen.