Domino 9 und frühere Versionen > ND7: Administration & Userprobleme

Frage: Sicherheitseinschätzung von Euch

<< < (4/5) > >>

stoeps:

--- Zitat von: jww am 18.12.19 - 11:07:22 ---Was ich an den Sicherheitsdiskussionen sehr schade finde ist, dass kritisches Nachfragen (und sei es, wie bei mir nur, um überhaupot zu verstehen, was Sache ist) fast immer mit entweder Abwertung, Totschlagargumenten oder aber kryptischen Antworten begegnet wird. das hilft aber überhaupt nicht und führt - in meinem Fall - eher zu einem Mißtrauen gegenüber getroffener Aussagen.

--- Ende Zitat ---

Sorry aber wenn du was nicht verstehst, dann frag doch bitte nach. Im Moment antwortest du mit allgemeinen Abschwächungen (das ist kein kritisches Nachfragen sondern Abwiegeln), wir oder ich wollen dir nur helfen. Ich hab dir einen Weg gezeigt wie du evtl ohne Kosten auf einen sicheren Stand kommen kannst (Linux + Community Server)

Ich habe überhaupt keine Lust mit dir auf dem Level zu diskutieren, v.a. nicht mit der Unterstellung man möchte Dienstleistung generieren. Für mich ist Security, Bug Bounty etc ein Hobby und ich denke ich habe genug gesehen um zu Wissen was passieren kann, was passiert und was falsche Sicherheit ist.

Im Endeffekt hast du zu allen Aussagen einen Link und kannst nachlesen.


--- Zitat ---Erster Eintrag:
"(1) a URL accessed during use of the Mail template in the WebMail UI or (2) a URL accessed during use of Domino Help through the Domino HTTP server."
Beides nicht m.E. in meiner Installation nicht einschlägig da nicht installietrt/benutzt. Weder Mail (sicher) noch Help (nicht sicher, was da gemeint ist ... wenn es dabei um die help.nsf geht, kann ich die ja löschen. brauche ich auf dem Server nicht).

--- Ende Zitat ---

Und das ist jetzt mein letzter Kommentar zu dem Thema:

Dann such dir in der CVE DB alle Einträge für deine Version und lösche help, webadmin usw. Lese auch jeweils nach wie es ausgenutzt werden kann. Räum auf, nur weil du es nicht benutzt, ist es nicht sicher. LÖSCHEN!

Die Lücken sind seit mindestens 4 Jahren bekannt. Wie hoch ist die Wahrscheinlichkeit, daß du bereits ein Backdoor auf der Mühle hast?

MACH die Augen auf! Da draussen werden gerade komplette Firmen, Gerichte und Krankenhäuser runtergefahren, weil sie sich Ransomware einfangen und das komplette Netzwerk verschlüsselt wurde. Ursachen? Da sind so Sachen dabei wie "Der Röngenapparat läuft leider nur mit XP", "Für Anwendung X brauchen wir IE6" , "Das Update ist für 2021 im Budget" usw.

Geh davon aus, daß sämtliche Lücken die nächstes Jahr für Windows gefixed werden, auch Windows 7 betreffen, d.h. durch Reverse Engineering kein Problem das dann entsprechend auszunützen.

Es sind deine Daten, du hast ja sicher ein Backup.

Sven Hasselbach:

--- Zitat von: jww am 18.12.19 - 11:07:22 ---Es macht - übertragen - ja wenig Sinn, mit einem Bergvolk über die Gefahr eines Haiangriffs beim Surfen zu sprechen ...

--- Ende Zitat ---
Das Bergvolk hat aber nach Gefahren beim Surfen gefragt...


--- Zitat von: jww am 18.12.19 - 11:07:22 ---Was ich an den Sicherheitsdiskussionen sehr schade finde ist, dass kritisches Nachfragen (und sei es, wie bei mir nur, um überhaupot zu verstehen, was Sache ist) fast immer mit entweder Abwertung, Totschlagargumenten oder aber kryptischen Antworten begegnet wird. das hilft aber überhaupt nicht und führt - in meinem Fall - eher zu einem Mißtrauen gegenüber getroffener Aussagen.

Schade. Nicht zielführend, wenn das Ziel Sicherheit ist.

--- Ende Zitat ---
Im übertragenen Sinne: geh mal zu deinem Hausarzt und frag ihn, ob es ungefährlich ist, die gefundene 10er Karte für's Bordell abzufeiern, und zwar ungeschützt. Was soll er dir darauf antworten? Er kann dir nur ne Liste mit Geschlechtskrankheiten geben, und eventuell noch erwähnen, dass da sich einige andere Patienten schon was eingefangen haben.

Jetzt willst Du mit ihm die einzelnen Krankheiten durchgehen, und willst die Wahrscheinlichkeiten abwägen, ob Du dir da was einfangen könntest. Er kann Dir nur noch "Viel Glück" wünschen...


--- Zitat von: jww am 18.12.19 - 11:07:22 ---Wenn das Ziel alledings ist, sich zu profilieren oder Jobs/Dienstleistungsbereiche zu sichern, mag es zielführend sein.

--- Ende Zitat ---
Das ist dann noch die Kirsche auf dem Sahnetörtchen: Du fragst Leute nach Ihrer Einschätzung, erhältst Antworten, die dir nicht gefallen, und unterstellst dann anderen auch noch, dass sie sich profilieren wollen... WOW!

Tode:
So, nun auch von mir die letzten 50cent: Dir wurde ein Link mit Sicherheitslücken für EINE spezifische Version gepostet. Wenn Du Dir sicher bist, dass keine der Sicherheitslücken auf Deinem Domino ausgenutzt werden können, dann ist ja gut (nur nochmal nebenbei: Einige der schlimmeren mir bekannten Sicherheitslücken können über TEMPLATES ausgeführt werden, und selbst wenn Du kein einziges Mailfile in Deinem System hast, heisst das noch nicht, dass keine mail7.ntf vorhanden ist).

ABER: Daraus zu schließen, dass Du unangreifbar bist, ist ... ne, da sage ich nichts zu... Was ist zum Beispiel mit den Lücken aller vorherigen Versionen, die u.U. in der 7er Version noch vorhanden aber halt nicht mehr explizit aufgeführt sind....

Ich BIN Dienstleister, aber obwohl ich hier im Forum seit über 15 Jahren unterwegs und SEHR AKTIV bin, kann ich die berechenbaren Dienstleistungstage, die daraus resultiert sind, an einer Hand abzählen. Dieser Vorwurf ist nicht nur unpassend, sondern absoluter Humbug.

Und nur nebenbei: Es hat schon mehrere Firmen in meinem Umfeld erwischt. Erst letzte Woche wurden bei einer Firma ALLE Server und Clients verschlüsselt... Die fangen jetzt von 0 an... Die hatten auch gedacht, sie wären sicher, und hatten aufgrund eingesetzter Security Software / Virenscanner / professioneller Firewalls einen wesentlich besseren Grund, das zu glauben als Du...

Und zu glauben, dass sich solche Angriffe nur gezielt auf Firmen richten, und Dich als "kleines Licht" schon ignorieren werden, ist genauso kurz gedacht: Die Angriffe grasen systematisch alle offenen Ports / Systeme ab... die interessiert primär nicht, wen sie erwischen....

jww:
Auf die Gefhar, dass hier nichts weiter kommt, dennoch eine Antwort.

Zunächst mal: Ruhig Blut, Leute.

Keinem sollte unterstellt werden, dass Dienstleitung verkauft werden soll oder er sich hier profilierenb will (warum regt sich eigentlich keiner darüber auf? Finde ich viel schlimmer.)

Ich bedanke mich nicht einfach so für die gegebenen Antworten, auch, wenn sie nicht das sind, was ich gerne hören würde. Ich bedanke mich deshalb, weil ich klar sehe, dass mir da Zeit geschenkt wird und Hilfe angeboten ... auch, wenn sie vielleicht nicht für mich passt.

Also nochmal ganz explizit: Danke für Euer Engagement.

Ich mache das übrigens in anderen (technik-)Foren, wo ich kompetenter bin (oder mich für kompetenter halte) als vorliegend, auch. Und auch dort bekomme ich öfter Antworten, bei denen meine Hinweise/Vorschläge nicht akzeptiert oder verstanden werden. Allerdings versuche ich meist, mit ganz konkreten Handlungsanweisungen für die vorliegende Situation (die die Hard- und Software einschließt) zu geben. Auf die hiesige Diskussion abgebildet: Wenn Du das und jenes löschst, diese und jene Task nicht lädtst, dann ist x,y,z nicht mehr zutreffen. Du kannst aber A, B. und C nicht beheben, was die Folgen R,S,T haben kann.

Das fehlt mir hier ein bischen.

Das Thema wechsel auf Linux zeigt denn auch ein wenig, dass halt auf die hiesige Situation nicht eingegangen wird ... ich habe schon begründet, warum das für mich keine Option darstellt. Abgesehen davon ist nicht jede Linux Installation angriffsicherer als ein Win ... auch dort bedarf es einigem Wissen, um keine Scheunentore zu haben. Jedenfalls habe ich - für ein anderes System - bereits versucht, mit Linux zu spielen und viele AHA-Effekte und auch Warnungen bekommen.
 
Zu Tode:
Mit diesem Argument:

"Was ist zum Beispiel mit den Lücken aller vorherigen Versionen, die u.U. in der 7er Version noch vorhanden aber halt nicht mehr explizit aufgeführt sind...."

darfst Du ja gar keine Version von gar nix mehr betreiben. Denn warum sollte eine seit V5 oder V6 auch noch in V7 vorhandene Schwachstelle nicht auch noch in V8/9/10/11 vorhanden aber nicht aufgeführt (und daher nicht getestet?) sein? Der Logik ich nicht nicht folgen .. es sei denn Du sagst jetzt: "Habe ich überprüft".

Zum Thema "abschwächen":  Natürlich versuche ich hier (ich hatte es, auch wenn's ignoriert wird, schon mal gesagt, dass cih wegen anderer Software, die auf dem Server läuft NICHT auf Linux kann) zunächst auszuloten, ob das vorhandene System nicht doch fortbetrieben werden kann. Das ist natprlich erst mal meine Zielrichtung.

WENN ich denn wechseln muss, dann will ich ganz weg von Notes/Domino. Das wird auch irgendwann passieren. Aber im Moment ist's halt noch zu schwer für mich.

Da das mit dem Wegwerfen von - noch immer gültigem und für mich im Moment ausreichendem - Wissen einherginge, versuche ich das halt zu vermeiden.

Da sind mir doch Löschungen etc. lieber als der Umstieg.

Daran entzündet sich dann ja auch meine Kritik/Frage: Sinnvollerweise müßte es doch eine simple Tabelle geben, aus der die Tasks/Programmteile von Domino hervor gehen, dabei steht: Angreifbar durch ...

Dann kann jemand wie ich hingehen und sagen: Kriege ich nicht so zusammen gestutzt, dass es sicher ist (oder jedenfalls keine bekannte Lücke da ist) oder: ok. ich gehe ganz systematisch dran, alle Löcher zu stopfen, zu löschen etc.


Jetzt nochmal konkret:
Auf meinen zwei (was Anwendungen angeht, gespiegelten) Systemem ist, was Domino betrifft, nur folgendes am laufen ... und ja, die Liste ist vollständig):

TASKS:
- replicator
- http
nachts:
- updall
- catalog

Es gibt nur folgende NTF's:
- pubnames.ntf
- log.ntf
- domlog.ntf
- cache.ntf (wobei ich nicht weiss, ob die überhaupt gebraucht wird)

seltsamerweise wird eine admin request DB trotz fehlender admin4.ntf beim Start angelegt.


und folgende DB's (abgesehen von den Anwendungen, die aber nahezu allesamt auf "from scratch" Eigenentwicklungen basieren (oder besser: einem common bas NTF von mir)

- names.nsf
- log.nsf
- domlog.nsf
- catalog.nsf
- [automatisch] admin4.nsf

Alle mir bekannten Problem-Verzeichnisse sind nicht vorhanden, und alles, was ich mir dachte, dass nicht gebraucht wird (seit Monaten) ist ebenfalls gelöscht. Das schließt auch Teile des HTTP Bereichs ein, z.B. dojo.

Woran ich mich noch nicht gewagt habe und auch keinen Ansatz finde, ist JVM .. das ist die einzige von run 25 Zeilen Log beim Start, die mich noch stört. Kann das Log gerne mal posten.

Tode:

--- Zitat ---Wenn Du das und jenes löschst, diese und jene Task nicht lädtst, dann ist x,y,z nicht mehr zutreffen. Du kannst aber A, B. und C nicht beheben, was die Folgen R,S,T haben kann.
--- Ende Zitat ---
Dir wurden verschiedene Ressourcen genannt, aus denen Du Dir diese Liste selbst zusammenstellen kannst, denn das ist ARBEIT, speziell für eine Software, die vor 10 Jahren released wurde.

Für AKTUELLE Versionen hat sicher fast jeder Dienstleister hier unter uns eine Liste der Schwachstellen, die z.B. bei einem Security- Audit gelistet wurden inklusive der Anweisungen, wie sie zu beheben sind, aber halt nicht für diese Version.
Das Problem: Wenn ich Dir eine solche Liste gebe, hilft sie Dir gar nichts, weil viele der Schwachstellen eben erst in den neueren Versionen behebbar sind.

Du möchtest gerne, dass wir Dir diese Information häppchenweise inklusive Anweisung zur Behebung vorkauen und das Ergebnis präsentieren. Aber genau diesen Aufwand wird Dir hier -ohne Einwurf entsprechender Münzen- keiner tun. Und dass niemand eine solche Liste parat hat, zeigt ja dieser Thread: Sonst hättest Du die nämlich schon... Das Forum hier ist nämlich so gestrickt, dass sehr viele Informationen, mit denen man eigentlich Geld verdienen könnte, kostenlos weitergegeben werden.

Zu Deiner Anmerkung zu meinem letzten Post: Touche... Du hast natürlich absolut recht, da habe ich mich in falschen Annahmen verrannt.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete