Fragen? Antworten! Siehe auch: Alternativlos
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.
Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.