.: Michael Korp :.

Rund um die Windows Plattform, Systems Management und Virtualisierung

January, 2010

The best way to predict the future is to invent it.
(Alan Kay)
Artikel
  • Thema Sicherheit: Aktueller Internet Explorer Patch

    Keine Sorge, ich möchte jetzt nichts zu dem Patch oder der zugrunde liegenden Lücke ergänzen, da hier bestimmt schon genug gesagt wurde, aber ein paar Gedanken sind mir dann doch durch den Kopf gegangen, die mir wichtig genug sind, sie hier niederzuschreiben.

    Ein wenig “verrückt” habe ich das Ganze schon erlebt, aber das kommt daher, dass ich dieses Ereignis wie auch die Katastrophe in Haiti irgendwie eher am Rande bemerkt habe, da ich zur Zeit noch auf Reisen bin und daher fast keine Nachrichten mitbekomme. Interessant fand ich aber, dass ich hier an der amerikanischen Westküste von “Leuten” auf die deutsche Reaktion dazu angesprochen wurde. Bemerkenswert, dass ein Software Problem aus Deutschland heraus solche Wellen schlägt.

    Aber was sind jetzt meine Punkte, weswegen sich das Lesen lohnen sollte?

    Zugegeben: Von IE6 bis IE8 war das Problem vorhanden. Ausgenutzt wurde es aber nur mit dem IE6. Warum? Weil die neueren Browser, speziell der IE8, hier weiterentwickelte Schutzmechanismen enthalten. Außerdem wirken hier noch spezielle Schutzmechanismen von Vista und Windows 7 hilfreich mit.

    Trotz aller Updates darf man nicht vergessen, dass die Architektur vom IE6 mit Windows XP entstanden ist – und das war Anfang des Jahrtausend. Heute, knapp 10 Jahre später, habe sich die Methoden und Kenntnisse der Angreifer entsprechend weiterentwickelt.

    Manch einen mag wundern, dass der IE8 trotz der Lücke “sicherer” ist. Aber das passt zu dem Thema, wie Sicherheit in allen Infrastrukturen implementiert werden sollte – als mehrstufiges geschachteltes System, manchmal auch mit “Defense in Depth” bezeichnet. Wird eine Barriere überwunden, steht die nächste da und hält den Eindringling (hoffentlich) auf. Interessant fand ich da eine (nicht zitierfähige ;) ) Quelle, deren Tests ergeben haben, dass unter Laborbedingungen auch die neueren Kombinationen (IE + OS) gelegentlich infiltriert werden konnten, es dafür aber mehrere hundert Versuche bis zu einem jeweiligen Erfolg bedurfte und jeder erfolgreiche Versuch dann von Microsoft Security Essentials bemerkt wurde. Ein guter aktueller Virenscanner ist also eine weitere Hürde, die sich dem Angreifer in den Weg stellt – es gibt hier sicherlich auch Alternativen zu Security Essentials, aber dieser wurde in dem Zusammenhang genannt. Eine Sicherheitsgarantie, im Sinne eines Freibrief, ist das aber auch nicht. Schon aber ein etwas beruhigendes Gefühl.

    Wichtig bleibt aber auf jeden Fall eine Feststellung: Sicherheit ist kein Zustand, den man einmal erreicht hat, sondern bedarf einer regelmäßigen Weiterentwicklung. In Dingen Software heißt das Aktualisierungen, also zumindest Service Packs und regelmäßige Updates. Daher sträuben sich mir auch die Nackenhaare, wenn ich im Fernsehen (auf einem regionalen Kanal im Kabel gesehen) einen Experten höre, der allen Ernstes den Zuschauern empfiehlt Windows Update (neben anderen Dingen) abzuschalten, da es den Rechner unnötig belastet und man es eh nicht braucht. Das ist übrigens kein Jahr her, fällt also nicht in die Zeit, wo jeder hinter allen Dingen eine bösartige, oder zumindest Spionage trächtige, “phone home” Angelegenheit vermutet hat.

    Die Administratoren haben jetzt leider etwas Arbeit, da sehr bald nach dem Bekanntwerden von uns der außerplanmäßige, da kritische, Patch veröffentlich wurde. Ich habe ihn dann gestern morgen (GMT-8) installiert, seit heute ist er bei uns dann verpflichtend. Akute Probleme bedürfen einer beschleunigten Behandlung…

    Manche einer ist vielleicht dem Rat der Nachrichten gefolgt und hat direkt nach der Tagesschau einen anderen Browser installiert. Zumindest muss man das vermuten, da nach den hiesigen Nachrichten deren Download Zahlen deutlich nach oben gegangen sind. Aber: Erinnert sich noch jemand daran, dass vor noch nicht allzu langer Zeit der IE8 der einzige Browser war, der eine bestimmte (kritische) Sicherheitslücke nicht hatte? Mein Kollege Daniel Melanchthon hat damals dazu etwas geschrieben. Fazit: Jeder Browser hat Sicherheitslücken. Wichtig ist, dass man sich darüber im Klaren ist und dementsprechend verhält. Dazu gehört einmal das Aktualisieren der Software (s.o.) und vielleicht auch eine gewisse “Hygiene” im Umgang mit dem Internet. So erstaunt mich immer wieder, dass wohl viele Leute immer noch auf alles klicken, was sich irgendwie anklicken lässt. Sorry für diese plakative Formulierung. Aber in diese Kategorie passt auch eine andere “Erkenntnis”, die ich meinem hiesigen Aufenthalt verdanke: eine aktuelle Variante des “social engineering” für Angriffe auf Nutzerdaten und Kennwörter heißt: Facebook (oder die diversen anderen sozialen Netzwerke). Dort erfährt man anscheinend praktisch alles über die verschiedenen Personen, was man wissen muss, um Kennwörter oder die berühmten geheimen Fragen zu beantworten.

    Ich hoffe, der eine oder andere stimmt mir im Prinzip zu, ansonsten darf er gerne einen Kommentar verfassen.

    Auf eine etwas sichere Zukunft…

  • Windows Virtual PC und Virtueller XP Modus – erweiterte Konfigurationsoptionen

    Mit dem Windows Virtual PC und dem virtuellen XP Modus in Windows 7 gibt es ja elegante Möglichkeiten bestimmte Kompatibilitätsprobleme zu lösen. Alte Anwendungen, die unter einem neuen Betriebssystem nicht vernünftig laufen sind mit die häufigsten Blocker für die Betriebssystemaktualisierung.

    Wenn also unter Windows 7 der Internet Explorer 6 noch für einige Web Anwendungen benötigt wird – nur um ein beliebtes Beispiel zu nennen – ist der virtuelle XP Modus ein Lösungsansatz.

    Der Vorteil ist hierbei, dass sich die virtualisierten Anwendungen nahtlos in das Startmenü integrieren und so einfach vom Anwender genutzt werden können.

    Wer schon häufiger damit gearbeitet hat, dem ist aber bestimmt aufgefallen, dass dies auch ein paar Schönheitsfehler hat. Was den einen oder anderen Anwender stören könnte, zumindest, wenn er die Hintergründe nicht kennt, ist die relativ lange Startzeit beim ersten Aufruf. Klar, es muss ja im Hintergrund auch eine komplette virtualisierte OS Instanz initialisiert werden.

    Schließt man die virtuelle Anwendung und öffnet sie kurz danach wieder, ist sie dagegen sofort verfügbar, genau wie andere lokal installierte Anwendungen. Nur – wenn man erst mehrere Minuten wartet, dauert es doch wieder länger… Hintergrund: Die virtuelle Maschine geht im Prinzip in den Ruhezustand um bei Inaktivität nicht unnötig Systemressourcen zu verbrauchen – immerhin ca. 512MB in der Standardkonfiguration.

    Andere Personen (z.B. meiner einer) waren in der Vergangenheit gewohnt eher mit Virtual Server als mit Virtual PC zu arbeiten. Ein Vorteil war der “unauffällige” Betrieb von VMs im Hintergrund, während Virtual PC immer das Konsolenfenster angezeigt hat. Hat man dieses beendet, war auch die VM beendet. Beim Windows Virtual PC sind diese “headless” VMs möglich…

    All diese “Probleme” lassen sich mit dem Windows Virtual PC adressieren, dummerweise nicht in den Standard Eigenschaftendialogen. So lassen sich weder der Headless Modus, noch Hibernation bzw. das Hibernation Timeout per GUI konfigurieren. Wie man dies mit einigen Skripten erreicht, kann man in Englisch auf dem Windows Virtual PC Blog nachlesen. Auch die Skripte selbst sind dort in eingebetteten Fenstern verfügbar.

    Da heute die meisten neuen PCs eher mit drei oder vier Gigabyte RAM als mit einem ausgerüstet sind, lässt sich der permanente Hintergrundbetrieb vermutlich auch leichter verschmerzen.

    Nicht vergessen sollte man aber, dass dadurch beim Start des Rechners bzw. der Anmeldung des Benutzers eine Menge Aktivitäten initiiert werden (der Start einer VM). Wer also immer erst darauf wartet, dass die Platte im Rechner Ruhe gibt, bevor er anfängt etwas zu tun, braucht ein wenig mehr Geduld. Da wir aber mit einem Multitasking Betriebssystem auf relativ aktuellen Multi-Core CPUs arbeiten, sollte man sich nicht zu sehr irritieren lassen. Was dann noch bleibt, ist der Flaschenhals Festplatte. Notebooks sind hier meist langsamer als Desktops, alte kleine Platten in der Regel merklich langsamer als neue große und – nicht zu vergessen – wenn Platten voll werden, fragmentieren sie automatisch stärker und werden dadurch langsamer.

    Noch ein paar Anmerkungen, die nicht direkt in den Kontext gehören, aber hilfreich sein können:

    Wer bisher Windows XP auf seinem Rechner hatte und jetzt Windows 7 installiert, sollte vorher im BIOS prüfen, ob der SATA Adapter im AHCI Modus betrieben wird. Windows XP brauchte hier noch den per Floppy zu installierenden Treiber, weshalb die meisten Rechner (auch heute noch) im kompatiblen aber weniger effizienten kompatiblen ATA Modus konfiguriert sind.

    Wer sich trotz des Preises für eine SSD akzeptabler Grüße entscheidet, weil die eine höhere Geschwindigkeit versprechen, sollte diese (Geschwindigkeit) eigentlich erst dann beurteilen, wenn die SSD einmal soviel Daten gespeichert hat, wie ihrer Nennkapazität entspricht. Wie alle normalen Flash Speicher bevorzugt der Speicher Controller erst die noch freien Blöcke für Schreibvorgänge, da diese Schreibvorgänge dann schneller sind. Erst wenn alle freien Blöcke belegt sind, wird der langsamere Zwischenspeichern-Löschen-Schreiben Zyklus verwendet. Erst ein Formatieren des Speichers signalisiert dem Flash Speicher, dass alle Blöcke wieder gelöscht und damit frei sind. Abhilfe schafft hier erst die Unterstützung des ATA Trim Befehles, der von Windows 7 und (heute) einigen wenigen SSDs beherrscht wird.

    Die Auswahl bei klassischen Festplatten ist auch nicht ganz einfach. Leise und schnell geht nicht immer gut zusammen. Geschwindigkeit hängt von Transferraten und Zugriffszeiten/Latenzen ab. Große (Durchmesser) und langsame (Drehzahl) Platten haben Nachteile bei der Latenz. Daher sind die 2,5” Serverplatten auch recht schnell, lassen sich aber in keiner Weise mit der Technik der 2,5” Notebookplatten vergleichen. Platten mit hoher Packungsdichte liefern dann wieder hohe Transferraten. Die Kapazität eines Laufwerkes ergibt sich dann aus der Kapazität einer Platte und der Anzahl Platten/Köpfe im Laufwerk. Wer den Platz nicht benötigt, ist also gut beraten, das kleinste Modell der Serie zu wählen, die die höchste Kapazität hat (und dabei noch schnell dreht)…

    Man verzeihe mir, wenn ich hier nicht wirklich in die Einzelheiten gehe, aber ich wollte nur die Prinzipien verdeutlichen, hoffentlich so, dass sie möglichst viele noch verstehen. Wer sich wirklich für die einzelnen Details interessiert, findet auch im Internet ausreichend Artikel.