opensky :: Thema anzeigen - MICROSOFT sabotiert die Sicherheit ihrer Kunden!

[Update 4 vom 18. Okt. 2007, 19:00 MEZ, im 4. Kommentar]

Reiben Sie sich die Augen? Das tu ich auch - nach einer langen Nacht, in der ich mich wieder einmal mit MicroSchrott herumgeschlagen habe:

Haben Sie die folgenden Meldungen mitbekommen:

URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig [2.Update] 05.10.2007
http://www.heise.de/newsticker/meldung/96921

Anstatt die Fehler im IE7 zu beheben, koedert Microsoft die Windows-Benutzer, vom (etwas) sicheren Internet-Exploer 6 auf die neue unsichere Version 7 upzugraden, indem auf die sonst zunehmend schikanoese Lizenz-Gueltigkeitspruefung verzichtet wird:

Internet-Explorer-Update schafft Gültigkeitsprüfung ab, 05.10.2007
http://www.heise.de/newsticker/meldung/96965

Microsoft weigert sich aber unter fadenscheinigen Begruendungen, einen Patch zur Verfuegung zu stellen, der die Sicherheitsluecken schliesst und nimmt damit vorsaetzlich in Kauf, dass die Rechner ihrer Kunden mit Trojanern infiziert werden koennen. Auch in den fuer mitte Oktober angekuendigten Microsoft-Sicherheitsupdates sucht man einen Patch fuer den IE 7 vergeblich:

Sieben Sicherheits-Updates von Microsoft am nächsten Patchday, 05.10.2007
http://www.heise.de/newsticker/meldung/96963

Auf diesem Hintergrund erhalten die folgenden Meldungen zusaetzliche Brisanz:

Microsoft spielt heimlich Updates ein, 14.09.2007
http://www.heise.de/newsticker/meldung/95970

Zitat:

Mehrere Anwender staunten nicht schlecht, als sie in ihr System-Ereignis-Log schauten: Microsoft hatte offensichtlich Updates ausgeliefert und eingespielt, obwohl die Anwender lediglich über neue Updates informiert werden wollten. Das Unternehmen hat diese Beobachtung jetzt bestätigt und das Vorgehen verteidigt.

-------------------------

Update vom 7. Okt. 2007, 16:15 MEZ

Folgende Files wurden in den Tagen um den 24. Aug. 2007 auf den Rechnern von WINDOWS-Anwendern klammheimlich veraendert:

In Windows VISTA:

* wuapi.dll
* wuapp.exe
* wuauclt.exe
* wuaueng.dll
* wucltux.dll
* wudriver.dll
* wups.dll
* wups2.dll
* wuwebv.dll

In Windows XP SP2:

* cdm.dll
* wuapi.dll
* wuauclt.exe
* wuaucpl.cpl
* wuaueng.dll
* wucltui.dll
* wups.dll
* wups2.dll
* wuweb.dll

Quelle: Confirmation of stealth Windows Update
http://blogs.zdnet.com/hardware/?p=779

------------------------------

Entsprechend scharf faellt Adrian Kingsley-Hughes Kommentar in seinem Blog bei ZDNet aus:

Zitat:

Confirmed: Microsoft is fiddling with system files without permission.
http://blogs.zdnet.com/hardware/?p=774

If this turns out to be true (and I want to make it clear that I’ve not confirmed this) then this will be a very serious betrayal of trust on Microsoft’s part. Not only is it hard enough to keep track of changes done to a Windows installation as it is, but if Microsoft (or other companies) start updating systems without consent, this will lead to all sorts of trouble. On top of that, it paves the way for companies to make silent updates to technologies such as DRM and anti-piracy features.

Microsoft needs to address this issue and address it fast because the fallout from this could be very damaging.

Ich bin derselben Meinung: Voellig unannehmbar! Ein klarer Verstoss gegen Treu und Glauben, voellig egal was die Microsoft- (Un-) Verantwortlichen wieder daherlabbern! Genau ins Bild passt die naechste Meldung:

Internet-Telefonate werden abgehört, 06.10.2007
http://www.heise.de/newsticker/meldung/97012

Hier ist wieder von der Infektion des Rechners des Ueberwachten mittels eines Trojaners die Rede, im Gegensatz zur "Forensic Remote Software" des BKA, welche dem Betroffenen manuell auf dem Rechner installiert werden soll:

Zitat:

Nach Ansicht des Innenministeriums ist die sogenannte Quellen-Telekommunikationsüberwachung (TKÜ) rechtlich gedeckt, da es sich um die Kontrolle des Fernmeldeverkehrs handle und nicht um die Ausspionieren von Daten. Auch die Installation eines Trojaners, der bei Internet-Telefonaten die Gespräche noch vor der Verschlüsselung abhört, sei in diesem Zusammenhang legitim. So hatte auch die Bundesjustizministerein Brigitte Zypries (SPD) im September argumentiert, als sie im September die Sicherheitsbehörden aufforderte, die technischen Vorraussetzungen dafür zu verbessern

Auch wenn wir keine Veranlassung (?) zur Befuerchtung haben, von deutschen Diensten abgehoert zu werden, entschloss ich mich gestern abend - aufgrund der Empfehlung von JonDonym - zur Deinstallation des IE 7 auf einem unserer Rechner:

Installation des Internet Explorer 7 führt zu Sicherheitsloch
https://www.jondos.de/de/node/630

Zum Glueck hatte ich vorher ein Image erstellt, mittels dem ich das OS wiederherstellen konnte. Nach dem Neustart wimmelte es nur so von Fehlermeldungen, weil Progs wie TOR/Vidalia und SandBoxie, die nach dem IE 7 installiert wurden, in Mitleidenschaft gezogen wurden, WinPatrol war voellig zerschossen. Im Klartext: Das Betriebssystem war beschaedigt, ergo futsch!

--------------------

Update, 8. Okt. 2007, 07:50

Ich habe anhand des Images einen Rechner geklont und die Deinstallation des IE7 wiederholt, bin dabei aber etwas anders vorgegangen. Ruft man in der Systemverwaltung unter Software den IE7 auf und leitet die Deinstallation desselben ein, erhaelt man in einem kleinen Fenster eine Liste der nach der Installation von IE 7 installierten Programme und Windows-Updates und einen Warnhinweis, wonach diese durch die Deinstallation beschedigt werden koennten. Ich habe daraufhin alle aufgefuehrten Programme (ex Windows-Updates) VOR dem IE7 deinstalliert. Nach dem Neustart war wie angekuendigt die fruehere Version IE 6 aktiv. Es waren daraufhin 2 Windows-Updates faellig, anschliessend installierte ich die vorgaengig deinstallierten Programme wie SandBoxie, TOR Vidalia, GnuPG4Win, WinPatrol, etc. erneut. Die Klone scheint nun fehlerfrei zu funktionieren. Trotzdem - eine Zumutung!

--------------------

Konsequenz: Die LEIDENschaft, die Microsoft schafft, hat nun (auch bei uns) ein ENDE!

Das ist der Anfang vom ENDE von Microsoft-Produkten in unserer neuen (thailaendischen) Firma! Da wir ein neues Office mit voellig neuer Infrastruktur einrichten, werden alle Workstations mit Internetanschluss auf UBUNTU mit JonDonym und/oder PHANTOMIX laufen.

Rechner, auf denen sensible Daten liegen / zu liegen kommen und die wir aus div. Gruenden (noch) unter WINDOWS betreiben muessen, kommen nie ans Netz, auch nicht bei der Neu-Installation mit der ganzen anfallenden Latte von MS-Updates. Weil diese offline durch die fehlende Activation und "Microsoft Genuine Validation" verhindert werden, werden wir gecrackte Versionen installieren. Wohl verstanden, zu jedem Rechner ist aber eine Original-Lizenz vorhanden.

Aber auch so: Die vollstaendige Migration auf Linux ist (auch) bei uns nur noch eine Frage der Zeit.

--------------------------

Ich kann gar nicht zaehlen, wieviele Stunden ich innert der letzten 5 Jahre fluchend mit Windows-Updates, also mit der (nun auch noch zunehmend erschwerten, ja verunmoeglichten) REPARATUR eines von mir gekauften Microsoft-Produktes verplempert habe, die ich lieber mit ein paar huebschen Maedchen und Kathoys an der Beach oder im Bett verbracht haette!

Aber ich habe mir dabei geschworen: Die Quittung dafuer erhaelt Microsoft auch von mir - und zwar hier!

--------------------------

Wie ich in unserer in Arbeit befindlichen Studie zur (Wirtschafts-) Spionage feststellte, arbeiten Regierungsorganisationen - die fuer unsere Sicherheit sorgen sollten! - mit Crackern zusammen, um an die von ihnen benoetigten ZeroDay-Exploits und Trojaner zu gelangen:

4.) Der Handel mit Sicherheitsluecken (Wirtschaftsspionage)
http://forum.opensky.cc/viewtopic.php?t=242

Das koennen wir auch, zB. um an gecrackte WINDOWS-Versionen zu gelangen, die sich offline updaten lassen!

Vorher werden wir aber - und das empfehle ich Ihnen dringend auch zu tun - von MICROSOFT verlangen, unsere gekauften, lizensierten Versionen - die sich nicht offline installieren, resp. updaten lassen - gegen solche auszutauschen, die dies ermoeglichen.

Fuer den Fall, dass MICROSOFT dieser Aufforderung nicht nachkommt, habe ich meine Fuehler bereits ausgestreckt und ein Mitglied der Cracker-Gilde gefunden, welches bereit ist, auf Anfrage (die meist schnell wechselnden) Downloade-Links zur Verfuegung zu stellen.

-------------------------

Update vom 7. Okt. 2007, 16:30 MEZ

Nach reiflicher Ueberlegung habe ich mich entschlossen, dass wir noetigenfalls die Downloade-Links HIER publizieren werden.

------------------------

Ich werde sie hier publizieren, falls sich MICROSOFT auf unsere in den naechsten Tagen geplante Anfrage bloed und taub stellen sollte - was aufgrund unserer bisherigen Erfahrungen mit diesem Saftla ... sorry... SoftLaden die Regel ist - es handelt sich naemlich um ein Inkompetenz-Zentrum! Wie ich soeben erfahre, haben meine thailaendischen Partner mit dem Microsoft- Support in Malaysia bessere Erfahrungen gemacht, aber auch sie mussten wiederholt bei Microsoft in den USA vorstellig werden - eine Zumutung!

Ihr Peter Schlegel alias Opensky

----------------------

Disclaimer:

Wir machen Sie ausdruecklich darauf aufmerksam, dass Sie sich strafbar machen, wenn Sie eine gecrackte Windows-Version installieren, OHNE ueber eine gueltige Lizenz (zB. Ihrer bisherigen) verfuegen. Sollte Ihnen aber jemand ans Bein pinkeln wollen, obwohl Sie ueber eine Lizenz verfuegen, koennen sie unter Bezug auf diesen Artikel darauf hinweisen, dass es absolut unzumutbar ist, mit einen produktiven Rechner unter WINDOWS online zu gehen, nur um die WINDOWS-Aktivierung durchzufuehren und das gekaufte Produkt zu reparieren!.

[Update 1 + 2, 10.Oktober 2007, 07:15]

Nun warnt ADOBE ebenfalls vor URI-Problemen: 08.10.2007
http://www.heise.de/security/news/meldung/97071

Das laesst Microsoft kalt:

Zitat:

Demnächst will Adobe auch ein Update der Software bereitstellen, das vor diesem Problem schützt. Netscape, Miranda, mIRC und vermutlich eine ganze Reihe weiterer Applikationen können jedoch ebenfalls als Einfallstor dienen. Nachdem der Internet Explorer 7 – seit neuestem auch ohne WGA-Prüfung – über die automatische Update-Funktion an Windows-XP-Systeme ausgeliefert wird, dürfte sich die Zahl der betroffenen Anwender noch weiter erhöhen.

Die einzige Möglichkeit, das Problem grundsätzlich aus der Welt zu schaffen, wäre ein Patch von Microsoft, der das Verhalten von Windows XP beispielsweise dem von Vista angleicht. Doch wie eine Nachfrage von heise Security ergab, ist der derzeit nicht in Aussicht.

[Update 2] Auch OUTLOOK und OUTLOOK EXPESS sind betroffen und sollten bis zur Bereitstellung eines Patches (wann?!) nicht benutzt werden:

Microsofts Outlook tappt ebenfalls in URI-Falle 09.10.2007
http://www.heise.de/newsticker/meldung/97133

Soeben sind die neuesten WINDOWS Updates (Patches) erschienen, aber die URI-Schwachstelle wird nicht beruecksichtigt:

Sechs statt sieben Bulletins am Oktober-Patchday von Microsoft 09.10.2007
http://www.heise.de/security/news/meldung/97150

-----------------------------

Hab ich vor ein paar Jahren geschrieben, immer noch aktuell:

Zitat:

Es war einmal ein Gartenzaun,
mit Zwischenraum, hindurchzuschaun.

Ein Programmierer, der dies sah -
er lebte in den USA -

der nahm den Zwischenraum heraus
und baute Betriebssysteme draus.

Nun war der Zaun zwar virendicht,
seine Betriebssysteme aber nicht!

Das war dem Programmierer zwar nicht recht,
aber Verdienen tat er so nicht schlecht!

Sollten sie doch Patchen, die dummen Kunden -
die letzten bissen dann die Hunden!

Opensky, frei nach Morgenstern