Updates sind für mich kein notwendiges Übel, im Gegenteil, sie verbessern bestehende Funktionen (Bugixes) und erweitern generell die Funktionalität von Programmen. Unter Enterprise Linux Systemen fahre ich ein dnf update -y ohne zu kontollieren. Bei Debian schaue ich mir noch die zu aktualisierenden Pakete an, da apt keine post-install-hooks kann. Es gibt aber auch noch andere Betriebssysteme, eine Übersicht:
Microsoft
Die Redmonder glänzen doch immer wieder mit hervorragend funktionierenden Updates ihres proprietären Krams. Ärgernis eins dieser Woche ist Exchange und die Feb.23 Security Updates. Die EWS (Exchange Web Services) funktionieren nicht mehr. Eine der absoluten Kernfunktionalitäten dieses Produkts, z. B. zum Sync mit Mobilgeräten genutzt. Da stellt sich mir nur eine Frage: Wird der Krempel überhaupt getestet, bevor er in die GA (General Availability) geht? Nun hat meine Firma einen halb funktionierenden Mailserver, aber hey wir sprechen von Exchange – Sicherheit hat hier Vorrang, offensichtlich auch vor Funktion.
macOS/iOS
Auch im Obstkorb sieht die Situation nicht besser aus. Aktuell gibt es keine Laufwerke mehr. Trifft mich persönlich nicht wirklich, aber dennoch kenne ich Leute, die täglich mit optischen Datenträgern arbeiten (müssen). Auch hier ist die Kernfrage wieder: Testet da irgendjemand eigentlich irgendwas?
Bei iOS hatte ich noch nie eine Katastrophe. Höchstens gefühlt ein Bügeleisen nach einem Update: Das Gerät wird erst wieder kühl, wenn der Foto-Scan und die Neuerstellung des Spotlight-Suchindex abgeschlossen ist.
vmware ESXi
Ganz erheiternd und frisch aus dieser Woche: VM’s starten nicht mehr. Wer VBS benutzt, wird zwangsweise Secure Boot aktiv haben. Kommt dann noch BitLocker dazu… ich möchte nicht darüber nachdenken, was beim Deaktivieren als Workaround blüht.
Aktuell sieht es also so aus, dass man verloren hat, wenn eine Windows Server 2022 VM nun neu startet oder warum auch immer herunterfährt/abstürzt. Ist die VM mal aus, ist sie aus. Um das Update, das diesen Fehler behebt, zu installieren, muss die VM starten. Was sie ja wegen dieses Fehlers nicht mehr tut. Der absolute Wahnsinn.
Tipp an alle Admins mit ESXi und Server 2022: Habt ihr keine Windows Server Update Services (WSUS) oder Gruppenrichtlinien, die Neustarts nach Updates verhindern, gebt eurem DNS oder eurer Firewall den Eintrag *.microsoft.com 0.0.0.0. Wer sonst keine Microsoft Services nutzt, sollte davon keine Einschränkung haben, außer dass die Suche nach Updates erfolglos bleibt.
vmware vCenter Server
Basierend auf VMware PhotonOS. Nach etwas Graben, habe ich herausgefunden, dass das irgendetwas Enterprise-Linux-Artiges sein muss, es nutzt rpm’s. Warum ist das Handling von Updates ein solcher Krampf, jonglieren mit Offline-Bundle-ZIP Dateien oder ISO’s. Wäre ein dnf update nicht viel einfacher? Große Änderungen bei solch festgefahrener Software erwarte ich nicht mehr, das wird leider so bleiben.
Stattdessen übernimmt meine Ansible-VM nun meine meistgenutzten vCenter-Funktionalitäten, die kann auch dnf update.
DATEV
Es ist zwar kein eigenes Betriebssystem, aber dennoch eine Erwähnung wert. Wer in seinem Leben mal ein Update von DATEV durchführen musste, wird meinen monatlichen Schmerz nachempfinden können. Der Prozess an sich ist furchtbar, allerdings sind die Updates meist super solide. Wenn Fehler enthalten sind, dann richtig! Es war über ein Jahr nicht möglich, einen Scheck zu drucken. Zitat DATEV: Das hat keine Priorität und wird wahrscheinlich nie behoben, wer arbeitet denn heute noch mit Schecks? Das ist so altmodisch.
Mal abgesehen von der Frechheit sich derart abfällig zu unserer Arbeitsweise zu äußern oder sich hier eine Bewertung anzumaßen, schrieben wir daraufhin einen Brief an den Vorstand, in dem wir uns beschwerten. Siehe da, eine Reaktion mit dickem Sorry und einer Gutschrift, gefixt wurde das meines Wissens bis heute noch nicht (wegen des Fehlers drucken wir nicht mehr über DATEV). Angestaubter Saftladen, anders kann ich das leider nicht sagen.
Beispiel 2, ebenfalls diese Woche. Ein Bild sagt mehr als tausend Worte.
Worum geht es hier? Im Jahr 2023 ist es nicht verkehrt, etwas für die IT-Security zu tun, wir stehen kurz von einem AppLocker Rollout. Kurz erklärt ist das ein digitaler Türsteher, was nicht auf der Gästeliste steht, wird nicht reingelassen bzw. ausgeführt. In der Linuxwelt gibt es dafür SELinux oder AppArmor. Dagegen ist AppLocker aber eher niedlich im Funktionsumfang, aber was will man erwarten von einem Milliardenkonzern mit tausenden bezahlten Entwicklern?
Meine Anfrage beinhaltete mehrere Fragen, keine davon war, wie man den AppLocker einrichtet. Es ging darum, ob alle Programmbestandteile über eine Digitale Signatur verfügen. In einem Installationspaket am Herausgeber zu erkennen, auch die installierte Software behält natürlich die Signatur, nicht nur der Installer. Die Meldung sieht so aus:
Der DATEV Installer ist signiert, soweit so gut. Doch besteht es aus hunderten einzelnen .exe Dateien, von denen man nicht alle kontrollieren kann, ob sie signiert sind. Jede Softwareschmiede, selbst die verschlafenen unseres CRM Herstellers, konnten mir auf Anhieb sagen ob signiert oder nicht. Ein fetter, unbeweglicher Öltanker wie DATEV kann das nicht, die empfehlen Pfadregeln auf C:\Program Files (x86)\. Mit digitalen Signaturen erspart man sich die Pfadregeln, da Herausgeber auf die weiße Liste kommen.
Pfadregeln sind aus zweierlei völlig falsch. Erstens hätte ich so kein AppLocker gebraucht, sondern hätte den Vorgänger die SRP (Software Restriction Policies) nutzen können. Der zweite, viel schlimmere, Grund ist die Pfadregel an sich. Man setzt eine Pfadregel z. B. auf C:\Program Files (x86)\DATEV. Danach ist es sicher und funktioniert. Security through obscurity hat noch nie wirklich etwas gebracht, wäre ich Malware-Programmierer würde ich mir all diese Pfade der großen Softwarehersteller heraussuchen und versuchen mein Mist dort auszuführen. Ist nur die Frage, wann ein böser Bursche mal auf die Idee kommt.
Wie sieht nun meine Lösung aus: Ich ziehe einen Joker, den leider nicht jeder zur Verfügung hat. Mein bester Freund ist IT-Leiter in einer Großkanzlei bestehend aus Wirtschaftsprüfern, Rechtsanwälten, Notaren, Steuerberatern etc. Ab einer solchen Größe und Umfang hat man bei DATEV wohl einen eigenen Ansprechpartner. Da er bei IT-Sicherheit genauso wenig Abstriche macht wie ich, eskaliert meine “Anfrage von einem kleinen Unternehmen” über eine Großkanzlei mit unglaublichem Nachdruck direkt an eine Stelle in dieser Firma, die sich nicht mit Ausflüchten retten kann. Mal sehen, wie hier die Antwort ausfällt.
Diese Anfrage versinnbildlicht womit eure Administratoren sich so rumschlagen müssen. Versteht auch, dass wir manchmal einfach vor dem Problem kapitulieren und mit “Ist halt so” antworten, das meinen wir nicht böse. Hätte ich diesen Joker nicht, wäre auch hier für mich Ende und mein System würde offen bleiben. Der absolute Witz dabei ist Dokument 1025130. DATEV bietet seine Dienste als Hosted Variante selbst an (Irgendein Citrix Zeug). In deren eigenen Infrastruktur benutzen sie AppLocker. Warum darf ich das nicht? Oder nutzt ihr auch Pfadregeln? Eigentlich müsste man das mal buchen und mit einem WannaCry o.Ä. unter C:\Program Files (x86)\DATEV testen. Mal die Firmenrechtsschutz-Versicherung kontaktieren… 😉
Linux
Das Linux-Thema mal ganz nüchtern betrachtet:
- Koscht’ nix
- Entwickelt von Privatleuten (Communitys), manche auch von Firmen
- Keine bezahlten Entwickler (Ausnahmen gibt es)
- Finanziert durch Spenden
Von jedem einzelnen der Punkte würde man sagen können: Das kann ja nichts sein. Dem ist aber nicht so, offensichtlich läuft die QA (Quality Assurance) bei dem kostenlosen Zeug besser. Mir ist nur ein einziges Problem mit Updates bekannt. Es war RedHat und GRUB, nach dem Update starteten die Server nicht mehr. Fix war kurze Zeit später da.
Fazit
Meine Gesellschaft(en) zahlen Unmengen an Geld für Lizenzen, damit wird diese nicht-freien Produkte nutzen können und deren Entwickler finanzieren. Dennoch bekommen es “die Großen” nicht auf die Kette, aus viel Geld funktionierende Produkte zu zaubern. Stattdessen muss man sich von diesem Linux, dass immer belächelt wird, nass machen lassen. Als Betriebssystemhersteller wäre mir das schon peinlich.
In diesem Sinne geht mein digitaler Mittelfinger diese Woche an Microsoft, DATEV und VMware für hervorragend funktionierende, proprietäre und teure Software!
