Was haben wir denn da? Eine Sicherheitslücke. Ach wie kommt das denn? Und wie kommt es, dass Microsoft – wieder einmal zu spät – öffentlich zugibt, ebenso in’s gleiche Fettnäpfchen getreten zu sein, wie die OpenSSL-Truppe? Und mal wieder – zum 5. Mal seit Snowden – heimlich still und leise versucht, das Ding dicht zu kriegen?
Mit einem lapidaren Sicherheitshinweis, jener in der Allgemeinheit womöglich untergeht, versucht Microsoft auf ein „mögliches“ Problem hinzuweisen. Die wortgemäße Umsetzung des Sicherheitshinweises sorgt jedoch dafür, dass anschließend wichtige Elemente des Betriebssystems nicht mehr funktionieren. Aber auch andere Bereiche leiden unter diesem Problem: Sollte es ein Exchange Server sein, funktionieren zum Beispiel alle Microsoft Office Outlook Clients für MAC Computer nicht mehr. Microsoft Update wird ja eh überbewertet, das versagt gleich ganz den Dienst. Administratoren stehen sprichwörtlich „wie der Ochs‘ vor’m Berg“. Microsoft macht einmal mehr deutlich, dass Ihnen ein Problem, an dessen Entstehung sie entscheidend mitgewirkt haben, nach Snowden immer mehr aus der Kontrolle gerät.
Kommentar: Mit Verlaub, heimlich still und leise ist nicht mehr bei Microsoft. Seitdem Satya Nadella bei Microsoft mal wirklich alles durch den Fleischwolf dreht, was zu Ballmers Zeiten richtig gut war, ist bereits drei Monate nach Nadella’s Einberufung – Mitte 2014 bis heute – nicht einmal mehr ein einziger, ordentlicher Patchday gelaufen. Dass das so nicht mehr geht, müsste Microsoft eigentlich wissen.
Wenn ich noch einmal höre, „geh‘ doch in die Cloud“… Geht’s noch? Der Admin hat hier leider keine Stimme. Er ist schüchtern, leise und zurückhaltend. Die Presse und den gemeinen Kunden interessiert offenbar mehr, wie widerlich und herablassend Nadella sich gegenüber Frauen äußert.
Diese Leute, die da, mit den schwarzen Rändern unter den Augen, das sind die Administratoren Eurer Kunden, Microsoft. Diejenigen, die damals richtig viel Geld für ihren Microsoft Consultant Solitair Expert ausgegeben haben. Und auch dieses Mal haben die wieder den Mist im Schnellkochtopf – Link. Und wer wird – mal wieder – mit wütenden Anwendern alleine gelassen?
SChannel ist Microsofts Kryptobibliothek. Die hätte eigentlich mehrere Reviews nötig, und ebenso ordentliche, wie bei OpenSSL. Denn da ist jetzt Geld da, während für Codereviews bei Microsoft das Budget scheinbar gegen Null schrumpft. Für den gemeinen Interessierten, jener mit den Hintergründen von Kryptologie nicht viel am Hut hat, mag ein Bild entstehen, welches realitätsfremd ist. Schwachstellen werden nämlich vornehmlich über OpenSSL öffentlich diskutiert und nicht über SChannel.
Dem gemeinen Administrator jedoch dämmert inzwischen, dass SChannel wohl noch kaputter ist, als alle anderen Kryptobibliotheken auf diesem Planeten zusammen. Das Problem ist nur, in SChannel kann niemand reingucken. In OpenSSL blickt die ganze Welt. Jeder kann ein CodeReview für OpenSSL vornehmen. Und wenn man jetzt die Quersumme der Qualität aller Patches, die Microsoft seit Mitte 2014 von sich gegeben hat, auf SChannel überträgt, ist das nicht nur nicht gut, sondern alles andere als vertrauenserweckend.
Gestern wurde bekannt, dass Freak ebenso in Windows drin ist. Dass darüber nicht diskutiert wurde, hat mich verwundert. Mit Intransparenz verärgert man die Kunden. Ganz besonders hier in Deutschland. Das mögen wir exakt genau so, wie ein transatlantisches Handelsabkommen. Die SChannel- Defaultkonfiguration aller Windows Systeme war mir seit jeher obskur. Versucht mal, mit den aktuellen Änderungen einen Sharepoint mit Apps kommunizieren zulassen- Nada. GFI Mailessentials auf Exchange? Sehr lustig. Vor zwei Tagen ist einem Freund von mir bereits aufgefallen, dass sich dieser stinkende Bockmist sogar in die Produkte von Microsoft für Mac Computer in einer Tour durchzieht, vgl. hier meine bösen Kommentare zur EWS-Kommunikation in Microsoft Outlook 2011 auf Twitter und Facebook. Schlichtweg, weil ich schon vor 4 Tagen davon ausgegangen bin, dass das alles so nicht gut ist. Meine Schwester hatte mich liebenswürdiger Weise auf Freak hingewiesen. Vielen Dank für die schlaflose Nacht, Schwesterherz ;-). So cool, wie ich am Telefon getan habe, war ich wirklich nicht. Und damit ist gleich mal das ganze Wochenende mit in’s Wasser gefallen.
Die meisten Administratoren brauchen für eine sinnvolle CipherSuite Konfiguration nämlich nicht Microsoft Security Advisory 3046015 – klick. Das haben die schon so herausgefunden. Die können nämlich 1 und 1 zusammenzählen. Und dass Microsoft’s Advisory mal alles andere als sinnvoll ist. Mir schwant übrigens übles, wenn Bruce Schneier denn auch die nächsten Seiten von Snowden’s berühmten NSA-Roman „Liebesgrüße aus Moskau“ durchstöbert. Oder war’s Hong-Kong? Ach egal.
Ich habe bei Microsoft Systemen eben mal einfach nicht die Möglichkeit, mich von Cipher Suites zu befreien, die ich nicht will. Auch wenn laut Qualys, nach sorgsamster, bedachtester Konfiguration, die Webanwendungsdienste mit fast allem (mit Ausnahme XP und Android 2.37) kompatibel sind, erkennt der gemeine Windows-Admin leidvoll, dass ein Server eben diese verfluchte Kryptobibliothek auch als Client verwenden muss. Und zwar nicht nur um Windows Updates zu holen. Umso schlimmer ist, dass alles, was auf Cloudflare und Akamai gehostet wird, sprich nahezu alle Patterns für Virenschutzlösungen bei Abschaltung der TLS_RSA Ciphersuites gleich mal auch nicht mehr erreichbar sind. Das hat der Admin direkt nach Erscheinen der FREAK Lücke schon herausbekommen.
Also nochmal – Wer hat’s herausgefunden? Vor 4 Tagen? Poste mal einen Bug zu Microsoft. Kannst Dich auch mit einer Wand unterhalten: Link. Achtung: Die Wand gibt nicht nach.Bei mir hat’s zuletzt einen Monat gedauert, als Microsoft den SQL-Shadow-Copy Dienst gefixt hat. Da mussten übrigens gleich mal 20 Admins gemeinsam mit mir auf Microsoft Connect vor die Wand laufen. Wie mein Kunde das findet? Ich sag’s lieber nicht.
Vielleicht ist jetzt auch verständlich, dass ich meine Verweigerungshaltung zu UEFI und Trusted Plattform Computing im Leben nicht ändern werde. Ich werde solche Geräte nicht benutzen – Punkt. Ich möchte selbst entscheiden, wem und welchem Trustcenter/CA ich vertraue. Dazu gehört nunmal nicht Comodo und schon gar keine gesuperfishte Komodio CA. Vielleicht versteht das mal jemand. Wir haben das Vertrauen in *** verloren. Punkt. Das fixt man nicht mit Security by Obscurity. Auch nicht mit Intransparenz.
Ob ich eine Lösung für diesen Freak-Mist habe? Nein. Zumindest keine sichere. Nutze Nartac’s IIS-Crypto und verwende „Best Practices“ (Roter Kasten). Deine Idee, Dich der TLS_RSA Cipher Suites (Lila Kasten) zu entledigen, ist zwar sicherheitstechnisch richtig, nur darfst Du dann davon ausgehen, dass Dein „Windows“ Client oder Server, egal was Du damit machst entweder für Dich selbst oder für Deine Anwender nicht mehr so funktioniert, wie Du es wünscht.
Nartacs IIS Crypto Tool bekommst Du hier: Link.
Prüfen, ob Deine Webanwendungen sicher sind, kannst Du hier: Link.
Und sonst so? Ich versuch’s mit Ironie: Verwendet einen WSUS. Ohne TLS und nur im internen Netz. Verbiete Deinen Anwendern, die Notebooks außerhalb des Firmennetzes zu verwenden. Oder – schau‘ doch mal nach München… Befremdlich, wenn ich meine Worte von 2005 mit denen von 2015 vergleiche. Vielleicht schafft Ihr es ja, aus Euren Wolken heraus, mit Blitz und Donner, den Ballmer wieder zurück in Amt und Würden zu bekommen und den jetzigen Kaiser zu entmachten. Der ist nämlich nicht gut. Und letzteres ist keine Ironie. Ich vermisse Microsoft und möchte Microsoft zurück haben.
Wie immer gilt mein Dank Filippo Valsorda – Link, der Nächte für Euch durcharbeitet.