Frage: Sicherheitseinschätzung von Euch

[jww]

Da ich ja gerade (fast) einen dicken Rüffel bekommen hätte, wollte ich mal eine provokante Frage in die Runde stellen:

Situation:
- Win7 System im lokalen Netzwerk.
- Historisch gewachsen und KEINE Absichten, das System weiter zu entwickeln, nur bestehendes soll genutzt werden.
- 2 (!) Notes User, ca. 20 DB's, überwiegend benutzt, als "Attachment-Ablage" für alle möglichen
- 5-6 DB's die als "Web-Auftritt" genutzt werden, überwiegend simple HTML Seiten
- Wunsch, gelegentlich für kleine, private "Projekte" eine Diskussions-DB zur Verfügung zu stellen.
- einzige seitens des Routers weiter geleiteten Ports (Portnummer beim Server) sind:
- - - Notes-Port (13xx für Replikation)
- - - 80 [aus Web=88]
- - - 21 auf Filezilla
- - - und drei spezielle Ports, die auf "geschlossene" Applikationen zugreifen, ähnlich wie Notes.
- KEINE Nutzung des Geräts als Client (weder für Browser Sessions noch für sonstige Arbeiten)
- KEINE Programme, die ihrerseits z.B. auf Webseitzen oder Webservices zugreifen
- KEINE Automatismen wie Update etc.
- SÄMTLICHE (bekannten) Windows-Services (z.B. Remote Desktop etc.) sind ausgeschaltet

Wie schätzt Ihr die Sicherheit oder besser Unsicherheit nach Einstellung der Updates von MS ein?

[Pyewacket]

Unabhängig von vorhandenen WIN7 Updates wäre mein Kopf ab wenn ich sowas bei meinem Arbeitgeber implementiert hätte.

Nachdem du deine Frage unter ND7 postest nehme ich an dass ihr Domino 7.x verwendet.
-> Uralte, nicht mehr unterstütze Version mit vermutlich jeder Menge ungefixter Schwachstellen.

 Win7 System im lokalen Netzwerk.
-> ist keine unterstütze Platform für den Domino-Server

- Historisch gewachsen und KEINE Absichten, das System weiter zu entwickeln, nur bestehendes soll genutzt werden.
-> Irrelevant in dem Kontext

- 2 (!) Notes User, ca. 20 DB's, überwiegend benutzt, als "Attachment-Ablage" für alle möglichen
-> Spricht nichts dagegen

- 5-6 DB's die als "Web-Auftritt" genutzt werden, überwiegend simple HTML Seiten
Hier wird es dann gefährlich. Nach deinen Angaben verwendet ihr nur Port 80, also
ohne Verschlüsselung. D.h. Userids und Passwörter werden ohne Verschlüsselung übertragen! Geht gar nicht.
Sollte unauthentifizierter Zugriff möglich sein ist fraglich ob das die Domino Lizenz hergibt.

- Wunsch, gelegentlich für kleine, private "Projekte" eine Diskussions-DB zur Verfügung zu stellen.
-> Sprciht nichts dagegen

- einzige seitens des Routers weiter geleiteten Ports (Portnummer beim Server) sind:
- - - Notes-Port (13xx für Replikation)
-> Geht gar nichtr, wenn Zugriff von Aussen dann ausschliewsslich über VPN

- - - 80 [aus Web=88]
-> Wie oben schon beschrieben, keinerlei Verschlüsselung

- - - 21 auf Filezilla
-> keine Ahnung wie sicher der ist. Wenn simples FTP genutzt wird auch hier das Problem der unverschlüsselt übertragenen Passwörter.

- - - und drei spezielle Ports, die auf "geschlossene" Applikationen zugreifen, ähnlich wie Notes.
-> Potentielles Einfallstor

- KEINE Nutzung des Geräts als Client (weder für Browser Sessions noch für sonstige Arbeiten)
-> Das ist schon mal gut

- KEINE Programme, die ihrerseits z.B. auf Webseitzen oder Webservices zugreifen
-> Auch gut

- KEINE Automatismen wie Update etc.
-> Auch gut, sollte aber regelmässig auf notwenfige Patches überprüft werden.

- SÄMTLICHE (bekannten) Windows-Services (z.B. Remote Desktop etc.) sind ausgeschaltet
-> Ist ein Ansatz, hilft aber nur bedingt.  Da bei einer Defaultinstallation der Domino unter
dem lokalen Systemkonto läuft kann bei (Remote-) Zugriff auf die Dominokonsole jeder Dienst gestrtet und gestoppt werden. Dasselbe
können auch Agenten die unrestricted laufen.

[Ralf_B]

Das ist ein absolutes NoGo und usere Security Abteilung würde die Stecker ziehen (Die sind da - zum Glück -Schnell).

ABER:
Aus der Praxis kenne ich sehr wohl Situationen in denen "solche" Umgebungen betrieben werden müssen.

Dann gelten hier aber andere Regeln:
Die Gerätschaften in eine eigene DMZ stellen und nur gefilterte Zugriffe aus den betroffenen Subnetzen oder für bestimmte IP adressen.
Plus Web Application Firewall.
Die genannten Umstellungen von Pyewacket prüfen, in wie weit hier noch etwas mehr Sicherheit implementiert werden kann.

Wenn hier allerdings vom Internet zugeriffen werden soll, ist auch diese Konstellation nicht denkbar und es muss eine Lösung für das Splitten der Systeme gefunden werden.

Das ist meine Erfahrung.
 

[Sven Hasselbach]

- einzige seitens des Routers weiter geleiteten Ports (Portnummer beim Server) sind:
- - - Notes-Port (13xx für Replikation)
-> Geht gar nichtr, wenn Zugriff von Aussen dann ausschliewsslich über VPN

Warum eigentlich? Gibt es da irgendwo Literatur zu, warum man das nicht machen sollte?
Ich habe mich im Laufe der Jahre mit eingen Admins darüber unterhalten, aber nie eine Begründung erhalten...

EDIT
Von der veralteten Verschlüsselung von R7 mal abgesehen.

[Sven Hasselbach]

Meine persönliche "Sicherheitseinschätzung" wäre folgende:

Alleine schon der Betrieb eines R7 Servers, der auch noch via Internet erreichbar ist, verstößt gegen Artikel 32 DSGVO.

Schaut man in CVE Liste, mit mehreren CVSS > 9, sollte klar sein, dass die mangelnden Updates für das darunter liegende OS keinerlei Rolle mehr spielen. Grob Fahrlässig kann man das nicht mehr nennen, das läuft eher unter Vorsatz.

[jww]

Danke für Eure teilweise recht umfangreichen Einschätzungen.

Vielleicht noch zum geschriebenen eine Ergänzung:

Beim"Betreiber" handelt es sich um mich, eine Privatperson, und alles letztendlich "verkrampft", weil ich einfach viel zuviel (private) Daten und Dokumente in den Notes-DB's habe und die nicht mit (auch nur näherungsweise) vertretbarem Aufwand wieder heraus bringe in eine andere Ablageform.

Wie schon geschrieben: Es handelt sich gerade mal um zwei Notes-User (von denen sogar nur eine ID - meine - überhaupt "dauernd" genutzt wird, die andere ist nbur "theoretisch" im Einsatz, vielleicht 10x im Jahr für ein paar Stunden.

Die Server sind ausnahmslos private Geräte, fremde Zugriffe "darf" es eigentlich gar nicht geben, ausser auf die paar erwähnten, "statischen" Webseiten, bei denen in keiner Weise User-Daten gezogen werden oder sonstige personalisierte Daten. Und auch auf diese Webseiten können praktisch nur Leute zugreifen, die vorher von mir einen Link (wie bit.ly) gesendet bekommen haben, da keine der Pages irgendwo publiziert werden und es auch keine "Homepage" irgendeiner öffentlichen Domain gibt.

Die Diskussions-DB's werden nur für private kleine Projekte, z.B. zur Orga eines Umbaus oder der Orgaeiner Reise mit ein paar Bekannten, genutzt. Dort könnte ich zur Sicherheit den Verzicht auf die Anwendung der DSVGO per Unterschrift bestätigenlassen, halte ich aber beim Kreis der mit bekannten Nutzer für entbehrlich.

Es ging mir bei der Betrachtung wirklich um die Frage eines (zufälligen) "Hacking" - das ich als Privatperson ohnehin für eher unwahrschinlich halte, denn für mehr als ein bot oder relay kann der Rechner ja kaum verwendet werden; ich denke dass es da deutlich interessantere Aspiranten im Netz gibt als der Rechner (z.B. tausende von Logitech-IP-Cams, deren Superadmin IMMER UND UNVERÄNDERBAR ADMIN heißt und man die Firmware austauschen kann).

Bei den Ports ausser 80 und 13xx (Notes) ist mir noch kein Fall bekannt, dass diese in irgend einer Weise zu einem Einbruch haben verwendet werden können.

Der FTP Server z.B. wird immer nur gezielt hochgefahren, wenn ich ihn gerade brauche und danach auch wieder schlafen geschickt.

Also:

"Das macht man nicht" ist keine gute Antwort.

Ich wüsste schon gerne ganz konkret, WIE ein solches "unsicheres System" gehackt, gekapert oder sonstwie mißbraucht werden kann.

Ein DoS oder ähnliches ist irrelevant, denn das System "MUSS" nicht dauernd laufen, selbst ein "ausradieren" wäre nicht tragisch, da die DB's einerseits auf eine zweite Maschine (an anderem Ort und mit anderer IP/DYNDNS) repliziert sind und "Backup" regelmäßig via HDD-Clone gemacht wird, ist so eine Maschine in nicht mal 1h wieder aufgesetzt ... gerade kürzlich gemacht, weil ich eine ältere HDD ersetzt habe.

[stoeps]

Dauerhaft im Internet ist das eher fahrlässig.

Der Rüffel sollte aufwecken und tut es scheinbar

Portieren auf Linux? Community Domino Server (frei unter bestimmten Umständen). Oder Expresslizenz (waren mal 130€).

Du musst dir im klaren sein, dass die Ports erreichbar sind und Domino 7 bekannte Lücken auf auf http besitzt. Wenn dann das OS auch noch Müll ist, hat man ganz schnell Adminzugriff am OS.

1352 mit Portverschlüsselung halte ich für mit VPN vergleichbar. Aber 21 und 80 sind prima für bekannte Lücken (die es meines Wissens nach für alle nicht aktuellen FTP Server gibt).

Bruteforce ist unterbunden? Also inetlockout aktiviert? Hast du webadmin.nsf am Server?

Und fühl dich nicht sicher weill es da Kameras und leichter zu hackende Sachen gibt. Portscans sind easy. Und für viele da draussen ist es Sport.

[jww]

Danke nochmals.

Zum aufwecken: unnötig, ich habe die Frage ja gestellt, weil ich mir im klaren darüber bin, dass es gewisse Risiken gibt. Die Frage ist halt: Wie lange kann man unangeschnallt Auto fahren ohne Schaden zu nehmen?

Portieren auf Linux fällt weg weil auf der Maschine ein paar Programme (eben die anderen) laufen, die es nur unter Win gibt ... bislang.
Ebenso scheint ein update auf ne neuere Version von Domino nicht mit vertretbarem Aufwand zu machen ... keine Zeit dafür und auch keinerlei Know How ... daher eben die Risikoabschätzung.

Der Umstieg auf Linux scheint ja auch einer zu sein, der auf Win7-Bugs in Verbindung mit Domino-Bugs zielt?

FTP lasse ich mal aussen vor, weil wie gesagt der FTP Server nur "on demand" läuft und das immer nur kurze Zeit.

Interessant ist für mich:

"Domino 7 bekannte Lücken auf auf http besitzt. "

Wo kann ich da etwas - fundiertes und nicht einfach vermutetes - nachlesen?

Bei 1352 sehe ich das genauso.

Bei 80 und Passworten sehe ich eine geringe Gefahr, denn ich bilde mir ein, dass ich als kleiner Privatmann für "Man-in-the-middle" Angriffe schlicht zu uninteressant bin. Wirklich wichtige Daten sind in den per Web erreichbaren DB's eh nicht drin und die DB'S sind alle verschlüsselt.

Es bleibt m.E. nur die Gefahr der Übernahme des Systems selbst via Port 80 und Domino-Flaw ... gab's sowas schon? Ist da etwas dokumentiert?

Denn dann könnten natürlich weitere Ports geöffnet werden etc. Wobei der Rechner, wenn Domino läuft, mit einem Win7-User-Account ohne Adminrechte  fährt ... da wäre also noch mehr zu tun für einen Angreifer.

Es wundert mich ja, dass es wohl immer noch keinen "Service" von Stellen wie dem BSI gibt, die man um einen "Angriff" über die bekannten offenen Flanken bitten kann, und dann einen Report bekommt.

Was mir bleibt ist eben die o.g. Risikoabschätzung ... und da wäre schon mal interessant, welche Angriffspunkte Domino 7(.0.4) via Port 80 bietet.

[Sven Hasselbach]

Wo kann ich da etwas - fundiertes und nicht einfach vermutetes - nachlesen

https://www.cvedetails.com/product/1563/IBM-Lotus-Domino.html?vendor_id=14

Zu einigen gibt es sogar Metasploit-Module. Fundierter geht es kaum noch


Edit
Und zu deiner Anschnallfrage: das ist die falsche Frage. Die Frage ist: Kannst du damit leben, wenn es schief geht, obwohl du es besser gewusst hast?

[stoeps]

Kann man testen, mach mal Port 25 auf und ich tippe auf ca. 4 Minuten bis die erste Mail drüber läuft.

Zu dem Link von Sven ist nichts hinzuzufügen. Und glaub mir Skriptkiddies ist es föllig egal ob der Sever privat, wirklich wertvoll oder Honeypot ist. Die versuchen alles.

Wenn du keine Zeit für die Migration hast, hast du aauch Keine für Restore oder Reperatur.

Linux habe ich vorgeschlagen, da du ohne Zusatzkosten von dem unsupporteten und total überalterten Win 7 wegkommst.

[jww]

Nachdem ich mir das mal angeguckt habe, stellt sich mir folgende Frage:

Die Exploits scheinen ja - bis auf DoS die mich nicht interessieren, nur in der JRE und JVM zu stecken.

Mal ausgehend von der Tatsache, dass ich fast ausnahmslos eigene DB's habe, die nirgends großartig Lotusscript verwenden und auch keine eigebetteten Java Elemente haben ... kann ich den Domino (7.04) auch ohne JVM/JRE betreiben?

Dann wäre m.E. die Gefahr weitgehend gebannt, denn die HTTP Probleme mit den überlangen Requests scheinen ja nach dieser Website ab 7.x der Vergangenheit anzugehören.

[stoeps]

Wir nennen das Beratungsresistent!
Hier mein letzter Versuch, das ist für Domino 7.0.4
https://www.cvedetails.com/vulnerability-list/vendor_id-14/product_id-1563/version_id-104312/IBM-Lotus-Domino-7.0.4.2.html

Das sind allein 4 mit 10.0 bewertete Lücken, die Remote ausgenutzt werden können und code auf deinem Server ausführen.

Im Endeffekt ist das deine Entscheidung, dein Geld, dein Risiko. Du bekommst Win 7 und Domino 7 nicht sicher solange auch nur ein Port aus dem Web erreichbar ist.

Vielleicht treffen wir uns in paar Jahren und du sagst "Ätsch es lief x Jahre ohne Probleme", oder du bist irgendwann auf der Suche nach den Backupplatten. Interessiert mich nicht.

Wie hat neulich einer so passend gesagt: "Es gibt zwei Sorten von Firmen, die die wissen dass sie gehackt wurden und die die es nicht wissen."

[jww]

danke für die Mühe ... aber ...

Beratungsresistent? Oder "ungehyped"?

Nur, weil ich die aufgezeigten Punkte als "nicht zutreffend" betrachte oder es eben nicht verstehe? Ich gehe den Hinweisen ja gerne nach, aber ich akzeptiere kein "das ist so". Ich will's verstehen. Und wenn ich etwas verstanden habe, dann unternehme ich auch ggf. etwas.

Nehmen wir doch mal ganz konkret Deine gepostete Seite her:

Erster Eintrag:
"(1) a URL accessed during use of the Mail template in the WebMail UI or (2) a URL accessed during use of Domino Help through the Domino HTTP server."
Beides nicht m.E. in meiner Installation nicht einschlägig da nicht installietrt/benutzt. Weder Mail (sicher) noch Help (nicht sicher, was da gemeint ist ... wenn es dabei um die help.nsf geht, kann ich die ja löschen. brauche ich auf dem Server nicht).

Zweiter Eintrag:
"The remote console in the Server Controller in IBM Lotus Domino 7.x and 8.x verifies credentials ..."
Remote Console: wird nicht unterstützt auf dem fraglichen Server, müßte ja nach meinen Kenntnissen auch explizit für Internet-Use (ports) eingerichtet werden?

Dritter Eintrag:
Stack-based buffer overflow in nrouter.exe
nrouter läuft nicht. Mail wird anders gehostet.

Vierter Eintrag:
Integer signedness error in ndiiop.exe
ndiiop läuft nicht, da CORBA funlktionalität nicht gebraucht wird.

Fünfter Eintrag: siehe 4.


Und nun?

[Klafu]

Und nu bist du sicher 




Send from Netscape Navigator

[jww]

Ich denke, dass dieses Thema vielleicht auch für andere Domino-Admins interessant ist, und auch viele von Ihnen nicht unbdingt die tiefen Kenntnisse zum Thema "Angriff" haben. Das Thema selbst und seine Domino-Spezifische Aufarbeitung ist m.E. auch unabhängig von OS und Version.

Vielmehr müßte m.E. erst mal eine Tabelle her, welche Tasks sowie die "Basissoftware" genetrell gegen welche Art von Angriffen "vulnerabel" SEIN KANN.

Es macht - übertragen - ja wenig Sinn, mit einem Bergvolk über die Gefahr eines Haiangriffs beim Surfen zu sprechen ... natürlich kann das bei einem Urlaub passieren, aber das ist halt bezogen auf das tatsächliche Risiko der Zielgruppe woh weit hintenan zu stellen.

Was ich an den Sicherheitsdiskussionen sehr schade finde ist, dass kritisches Nachfragen (und sei es, wie bei mir nur, um überhaupot zu verstehen, was Sache ist) fast immer mit entweder Abwertung, Totschlagargumenten oder aber kryptischen Antworten begegnet wird. das hilft aber überhaupt nicht und führt - in meinem Fall - eher zu einem Mißtrauen gegenüber getroffener Aussagen.

Schade. Nicht zielführend, wenn das Ziel Sicherheit ist.

Wenn das Ziel alledings ist, sich zu profilieren oder Jobs/Dienstleistungsbereiche zu sichern, mag es zielführend sein.

[stoeps]

Was ich an den Sicherheitsdiskussionen sehr schade finde ist, dass kritisches Nachfragen (und sei es, wie bei mir nur, um überhaupot zu verstehen, was Sache ist) fast immer mit entweder Abwertung, Totschlagargumenten oder aber kryptischen Antworten begegnet wird. das hilft aber überhaupt nicht und führt - in meinem Fall - eher zu einem Mißtrauen gegenüber getroffener Aussagen.

Sorry aber wenn du was nicht verstehst, dann frag doch bitte nach. Im Moment antwortest du mit allgemeinen Abschwächungen (das ist kein kritisches Nachfragen sondern Abwiegeln), wir oder ich wollen dir nur helfen. Ich hab dir einen Weg gezeigt wie du evtl ohne Kosten auf einen sicheren Stand kommen kannst (Linux + Community Server)

Ich habe überhaupt keine Lust mit dir auf dem Level zu diskutieren, v.a. nicht mit der Unterstellung man möchte Dienstleistung generieren. Für mich ist Security, Bug Bounty etc ein Hobby und ich denke ich habe genug gesehen um zu Wissen was passieren kann, was passiert und was falsche Sicherheit ist.

Im Endeffekt hast du zu allen Aussagen einen Link und kannst nachlesen.

Erster Eintrag:
"(1) a URL accessed during use of the Mail template in the WebMail UI or (2) a URL accessed during use of Domino Help through the Domino HTTP server."
Beides nicht m.E. in meiner Installation nicht einschlägig da nicht installietrt/benutzt. Weder Mail (sicher) noch Help (nicht sicher, was da gemeint ist ... wenn es dabei um die help.nsf geht, kann ich die ja löschen. brauche ich auf dem Server nicht).

Und das ist jetzt mein letzter Kommentar zu dem Thema:

Dann such dir in der CVE DB alle Einträge für deine Version und lösche help, webadmin usw. Lese auch jeweils nach wie es ausgenutzt werden kann. Räum auf, nur weil du es nicht benutzt, ist es nicht sicher. LÖSCHEN!

Die Lücken sind seit mindestens 4 Jahren bekannt. Wie hoch ist die Wahrscheinlichkeit, daß du bereits ein Backdoor auf der Mühle hast?

MACH die Augen auf! Da draussen werden gerade komplette Firmen, Gerichte und Krankenhäuser runtergefahren, weil sie sich Ransomware einfangen und das komplette Netzwerk verschlüsselt wurde. Ursachen? Da sind so Sachen dabei wie "Der Röngenapparat läuft leider nur mit XP", "Für Anwendung X brauchen wir IE6" , "Das Update ist für 2021 im Budget" usw.

Geh davon aus, daß sämtliche Lücken die nächstes Jahr für Windows gefixed werden, auch Windows 7 betreffen, d.h. durch Reverse Engineering kein Problem das dann entsprechend auszunützen.

Es sind deine Daten, du hast ja sicher ein Backup.

[Sven Hasselbach]

Es macht - übertragen - ja wenig Sinn, mit einem Bergvolk über die Gefahr eines Haiangriffs beim Surfen zu sprechen ...

Das Bergvolk hat aber nach Gefahren beim Surfen gefragt...

Was ich an den Sicherheitsdiskussionen sehr schade finde ist, dass kritisches Nachfragen (und sei es, wie bei mir nur, um überhaupot zu verstehen, was Sache ist) fast immer mit entweder Abwertung, Totschlagargumenten oder aber kryptischen Antworten begegnet wird. das hilft aber überhaupt nicht und führt - in meinem Fall - eher zu einem Mißtrauen gegenüber getroffener Aussagen.

Schade. Nicht zielführend, wenn das Ziel Sicherheit ist.

Im übertragenen Sinne: geh mal zu deinem Hausarzt und frag ihn, ob es ungefährlich ist, die gefundene 10er Karte für's Bordell abzufeiern, und zwar ungeschützt. Was soll er dir darauf antworten? Er kann dir nur ne Liste mit Geschlechtskrankheiten geben, und eventuell noch erwähnen, dass da sich einige andere Patienten schon was eingefangen haben.

Jetzt willst Du mit ihm die einzelnen Krankheiten durchgehen, und willst die Wahrscheinlichkeiten abwägen, ob Du dir da was einfangen könntest. Er kann Dir nur noch "Viel Glück" wünschen...

Wenn das Ziel alledings ist, sich zu profilieren oder Jobs/Dienstleistungsbereiche zu sichern, mag es zielführend sein.

Das ist dann noch die Kirsche auf dem Sahnetörtchen: Du fragst Leute nach Ihrer Einschätzung, erhältst Antworten, die dir nicht gefallen, und unterstellst dann anderen auch noch, dass sie sich profilieren wollen... WOW!

[Tode]

So, nun auch von mir die letzten 50cent: Dir wurde ein Link mit Sicherheitslücken für EINE spezifische Version gepostet. Wenn Du Dir sicher bist, dass keine der Sicherheitslücken auf Deinem Domino ausgenutzt werden können, dann ist ja gut (nur nochmal nebenbei: Einige der schlimmeren mir bekannten Sicherheitslücken können über TEMPLATES ausgeführt werden, und selbst wenn Du kein einziges Mailfile in Deinem System hast, heisst das noch nicht, dass keine mail7.ntf vorhanden ist).

ABER: Daraus zu schließen, dass Du unangreifbar bist, ist ... ne, da sage ich nichts zu... Was ist zum Beispiel mit den Lücken aller vorherigen Versionen, die u.U. in der 7er Version noch vorhanden aber halt nicht mehr explizit aufgeführt sind....

Ich BIN Dienstleister, aber obwohl ich hier im Forum seit über 15 Jahren unterwegs und SEHR AKTIV bin, kann ich die berechenbaren Dienstleistungstage, die daraus resultiert sind, an einer Hand abzählen. Dieser Vorwurf ist nicht nur unpassend, sondern absoluter Humbug.

Und nur nebenbei: Es hat schon mehrere Firmen in meinem Umfeld erwischt. Erst letzte Woche wurden bei einer Firma ALLE Server und Clients verschlüsselt... Die fangen jetzt von 0 an... Die hatten auch gedacht, sie wären sicher, und hatten aufgrund eingesetzter Security Software / Virenscanner / professioneller Firewalls einen wesentlich besseren Grund, das zu glauben als Du...

Und zu glauben, dass sich solche Angriffe nur gezielt auf Firmen richten, und Dich als "kleines Licht" schon ignorieren werden, ist genauso kurz gedacht: Die Angriffe grasen systematisch alle offenen Ports / Systeme ab... die interessiert primär nicht, wen sie erwischen....

[jww]

Auf die Gefhar, dass hier nichts weiter kommt, dennoch eine Antwort.

Zunächst mal: Ruhig Blut, Leute.

Keinem sollte unterstellt werden, dass Dienstleitung verkauft werden soll oder er sich hier profilierenb will (warum regt sich eigentlich keiner darüber auf? Finde ich viel schlimmer.)

Ich bedanke mich nicht einfach so für die gegebenen Antworten, auch, wenn sie nicht das sind, was ich gerne hören würde. Ich bedanke mich deshalb, weil ich klar sehe, dass mir da Zeit geschenkt wird und Hilfe angeboten ... auch, wenn sie vielleicht nicht für mich passt.

Also nochmal ganz explizit: Danke für Euer Engagement.

Ich mache das übrigens in anderen (technik-)Foren, wo ich kompetenter bin (oder mich für kompetenter halte) als vorliegend, auch. Und auch dort bekomme ich öfter Antworten, bei denen meine Hinweise/Vorschläge nicht akzeptiert oder verstanden werden. Allerdings versuche ich meist, mit ganz konkreten Handlungsanweisungen für die vorliegende Situation (die die Hard- und Software einschließt) zu geben. Auf die hiesige Diskussion abgebildet: Wenn Du das und jenes löschst, diese und jene Task nicht lädtst, dann ist x,y,z nicht mehr zutreffen. Du kannst aber A, B. und C nicht beheben, was die Folgen R,S,T haben kann.

Das fehlt mir hier ein bischen.

Das Thema wechsel auf Linux zeigt denn auch ein wenig, dass halt auf die hiesige Situation nicht eingegangen wird ... ich habe schon begründet, warum das für mich keine Option darstellt. Abgesehen davon ist nicht jede Linux Installation angriffsicherer als ein Win ... auch dort bedarf es einigem Wissen, um keine Scheunentore zu haben. Jedenfalls habe ich - für ein anderes System - bereits versucht, mit Linux zu spielen und viele AHA-Effekte und auch Warnungen bekommen.
 
Zu Tode:
Mit diesem Argument:

"Was ist zum Beispiel mit den Lücken aller vorherigen Versionen, die u.U. in der 7er Version noch vorhanden aber halt nicht mehr explizit aufgeführt sind...."

darfst Du ja gar keine Version von gar nix mehr betreiben. Denn warum sollte eine seit V5 oder V6 auch noch in V7 vorhandene Schwachstelle nicht auch noch in V8/9/10/11 vorhanden aber nicht aufgeführt (und daher nicht getestet?) sein? Der Logik ich nicht nicht folgen .. es sei denn Du sagst jetzt: "Habe ich überprüft".

Zum Thema "abschwächen":  Natürlich versuche ich hier (ich hatte es, auch wenn's ignoriert wird, schon mal gesagt, dass cih wegen anderer Software, die auf dem Server läuft NICHT auf Linux kann) zunächst auszuloten, ob das vorhandene System nicht doch fortbetrieben werden kann. Das ist natprlich erst mal meine Zielrichtung.

WENN ich denn wechseln muss, dann will ich ganz weg von Notes/Domino. Das wird auch irgendwann passieren. Aber im Moment ist's halt noch zu schwer für mich.

Da das mit dem Wegwerfen von - noch immer gültigem und für mich im Moment ausreichendem - Wissen einherginge, versuche ich das halt zu vermeiden.

Da sind mir doch Löschungen etc. lieber als der Umstieg.

Daran entzündet sich dann ja auch meine Kritik/Frage: Sinnvollerweise müßte es doch eine simple Tabelle geben, aus der die Tasks/Programmteile von Domino hervor gehen, dabei steht: Angreifbar durch ...

Dann kann jemand wie ich hingehen und sagen: Kriege ich nicht so zusammen gestutzt, dass es sicher ist (oder jedenfalls keine bekannte Lücke da ist) oder: ok. ich gehe ganz systematisch dran, alle Löcher zu stopfen, zu löschen etc.


Jetzt nochmal konkret:
Auf meinen zwei (was Anwendungen angeht, gespiegelten) Systemem ist, was Domino betrifft, nur folgendes am laufen ... und ja, die Liste ist vollständig):

TASKS:
- replicator
- http
nachts:
- updall
- catalog

Es gibt nur folgende NTF's:
- pubnames.ntf
- log.ntf
- domlog.ntf
- cache.ntf (wobei ich nicht weiss, ob die überhaupt gebraucht wird)

seltsamerweise wird eine admin request DB trotz fehlender admin4.ntf beim Start angelegt.


und folgende DB's (abgesehen von den Anwendungen, die aber nahezu allesamt auf "from scratch" Eigenentwicklungen basieren (oder besser: einem common bas NTF von mir)

- names.nsf
- log.nsf
- domlog.nsf
- catalog.nsf
- [automatisch] admin4.nsf

Alle mir bekannten Problem-Verzeichnisse sind nicht vorhanden, und alles, was ich mir dachte, dass nicht gebraucht wird (seit Monaten) ist ebenfalls gelöscht. Das schließt auch Teile des HTTP Bereichs ein, z.B. dojo.

Woran ich mich noch nicht gewagt habe und auch keinen Ansatz finde, ist JVM .. das ist die einzige von run 25 Zeilen Log beim Start, die mich noch stört. Kann das Log gerne mal posten.

[Tode]

Wenn Du das und jenes löschst, diese und jene Task nicht lädtst, dann ist x,y,z nicht mehr zutreffen. Du kannst aber A, B. und C nicht beheben, was die Folgen R,S,T haben kann.

Dir wurden verschiedene Ressourcen genannt, aus denen Du Dir diese Liste selbst zusammenstellen kannst, denn das ist ARBEIT, speziell für eine Software, die vor 10 Jahren released wurde.

Für AKTUELLE Versionen hat sicher fast jeder Dienstleister hier unter uns eine Liste der Schwachstellen, die z.B. bei einem Security- Audit gelistet wurden inklusive der Anweisungen, wie sie zu beheben sind, aber halt nicht für diese Version.
Das Problem: Wenn ich Dir eine solche Liste gebe, hilft sie Dir gar nichts, weil viele der Schwachstellen eben erst in den neueren Versionen behebbar sind.

Du möchtest gerne, dass wir Dir diese Information häppchenweise inklusive Anweisung zur Behebung vorkauen und das Ergebnis präsentieren. Aber genau diesen Aufwand wird Dir hier -ohne Einwurf entsprechender Münzen- keiner tun. Und dass niemand eine solche Liste parat hat, zeigt ja dieser Thread: Sonst hättest Du die nämlich schon... Das Forum hier ist nämlich so gestrickt, dass sehr viele Informationen, mit denen man eigentlich Geld verdienen könnte, kostenlos weitergegeben werden.

Zu Deiner Anmerkung zu meinem letzten Post: Touche... Du hast natürlich absolut recht, da habe ich mich in falschen Annahmen verrannt.