{"id":208147,"date":"2018-08-20T00:39:00","date_gmt":"2018-08-19T22:39:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208147"},"modified":"2019-12-11T11:47:16","modified_gmt":"2019-12-11T10:47:16","slug":"windows-10-sicherheits-alptraum-onedrive-teil-3","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/20\/windows-10-sicherheits-alptraum-onedrive-teil-3\/","title":{"rendered":"Windows 10 und die OneDrive-Sicherheitslücken – Teil 3"},"content":{"rendered":"

[English<\/a>]In Teil 1<\/a> und Teil 2<\/a> des Beitrags zum Thema Sicherheit des OneDrive-Clients ging es um die Lage der Programmdateien im ungesch\u00fctzten Profilordner sowie um die Verwendung veralteter OpenSource-Bibliotheken mit Sicherheitsl\u00fccken. In Teil 3 versuche ich eine Erkl\u00e4rung nachzuschieben und es gibt eine Stellungnahme von Microsoft.<\/p>\n

<\/p>\n

Meine Erkl\u00e4rung, warum das so ist<\/h2>\n

\"\"Mir ist aber beim Qt5-Teil die Erkl\u00e4rung eingefallen, warum das von den Entwicklern so angelegt wurde (und erkl\u00e4rt f\u00fcr mich auch weitere, bereits in Teil 1 und Teil 2 angerissene Sachverhalte): Herr Satya Nadella hat Schuld! Er ist bei Microsoft mit 'Mobile first, Cloud first' eingestiegen \u2013 Windows spielt keine Rolle mehr, muss aber irgendwie weiter leben.<\/p>\n

Die Entwicklung sollte so angelegt werden, dass Software wie Office, ein OneDrive-Client (ggf. als App) etc. auf verschiedenen Plattformen zu laufen hat! Also sind die Entwickler des OneDrive-Clients auf die Idee verfallen, neben OpenSSL auch die Qt5-Bibliothek einzusetzen. Denn diese ist laut Wikipedia<\/a>:<\/p>\n

ein GUI-Toolkit zur plattform\u00fcbergreifenden Entwicklung grafischer Benutzeroberfl\u00e4chen und Programme. Dar\u00fcber hinaus bietet Qt umfangreiche Funktionen zur Internationalisierung sowie Datenbankfunktionen und XML-Unterst\u00fctzung an und ist f\u00fcr eine gro\u00dfe Zahl an Betriebssystemen bzw. Grafikplattformen wie X11 (Unix-Derivate), macOS, Windows, iOS und Android erh\u00e4ltlich.<\/p><\/blockquote>\n

Und Android, iOS, macOS oder Linux besitzen keine Windows Krypto-API etc. Um nicht alles f\u00fcr jede Plattform neu zu stricken, setzt man auf Tools, um Software Plattform-\u00fcbergreifen zu erstellen. Entsprechend sieht das Endergebnis aus 'nicht Fisch, nicht Fleisch'.<\/p>\n

Das erkl\u00e4rt f\u00fcr mich auch, warum man in der Entwicklung des OneDrive-Clients seit den Anfangstagen mehrfach alles einstampfte. Und bei jedem Neustart der Entwicklung rieb ich mir als Beobachter verwundert die Augen. Pl\u00f6tzlich waren Funktionen verschwunden, die der vorherige OneDrive-Client bestens konnte.<\/p><\/blockquote>\n

Gut, das w\u00e4re also gekl\u00e4rt, es gibt einen Grund f\u00fcr dieses Zeugs. Aber man muss sich sp\u00e4testen an dieser Stelle von der romantischen Vorstellung verabschieden, dass in Redmond noch f\u00fcr Windows 10 programmiert wird. Die Leute schustern ihre Software f\u00fcr diverse Plattformen zusammen \u2013 und entsprechend f\u00e4llt das Ergebnis aus.<\/p>\n

Und an dieser Stelle d\u00fcrfte auch der Schluss naheliegend sein, dass der OneDrive for Business-Client im gleichen Fahrwasser segelt. Von Stefan Kanthak gibt es zudem die Aussage, dass Dropbox keinesfalls besser sei.<\/p><\/blockquote>\n

Weiterhin habe ich\u00a0Stefan Kanthak vorab den Text querlesen lassen. Seine R\u00fcckmeldung zum\u00a0Thema:<\/p>\n

all das, was Qt laut WikiPedia kann, beherrscht das Win32-API seit ueber 25 Jahren.<\/p>\n

Eine Einschalung dieser Schnittstellen, was Qt5 leistet, ist fuer\u00a0eine Software, die NUR fuer Windows verfuegbar ist, v\u00f6llig\u00a0ueberfluessig: es gibt keinen OneDrive-Client fuer Android oder iOS\u00a0oder Linux.<\/p><\/blockquote>\n

Gut, f\u00fcr Linux gibt es keinen Client von Microsoft, aber die OneDrive-Apps f\u00fcr Android und iOS w\u00fcrde ich als Client sehen. Wo Kanthak aber berechtigte Kritik \u00e4u\u00dfert, ist folgendes:<\/p>\n

Auch auf Windows mit seinem reichhaltigen Win32-API missbrauchen\u00a0immer mehr Entwickler, die anscheinend zu faul sind, sich mit dem Win32-API\u00a0auseinanderzusetzen, Bibliotheken\/Komponenten wie Boost, Qt, …, die dort v\u00f6llig \u00fcberfl\u00fcssig\u00a0sind.<\/p>\n

Aus einem Problem (fehlendes Wissen ueber das bzw. Beherrschen des Win32-API)\u00a0werden dann Zwei: die ueberfluessige Komponente, die von den Entwicklern
\nNICHT aktualisiert wird.<\/p>\n

Das Bauen von OpenSSL oder Qt5 ist unter Windows eine QUAL!<\/p>\n

Dieser OpenSource-SCHROTT hat selbst wieder VIELFAELTIGSTE Abhaengigkeiten\u00a0von \"Tools\" wie CMake, Python\/Perl, einem URALTEN MS-Compiler fuer MS-DOS,<\/p><\/blockquote>\n

Das sagt Microsoft zum OneDrive-Client<\/h2>\n

Ich habe in dieser Artikelreihe einige Schwachstellen im OneDrive-Client, auf die mich Stefan Kanthak aufmerksam gemacht hat, offen gelegt und versucht, eine logische Erkl\u00e4rung f\u00fcr die Design-Entscheidungen von Microsoft zu finden. Mir liegt aber keine R\u00fcckmeldung Microsofts vor, ob meine obigen Schlussfolgerungen korrekt sind \u2013 es bleibt also eine Arbeitshypothese.<\/p>\n

Stefan Kanthak hat Microsoft bzw. deren Security Response Team (MSRT) aber konkret auf die Sicherheitsl\u00fccken, die sich mit der gegenw\u00e4rtigen Implementierung in OneDrive ergeben, aufmerksam gemacht. Mir liegt der Mails-Austausch zwischen Stefan Kanthak und Microsoft vor, den ich in Ausz\u00fcgen wiedergebe.<\/p>\n

Mitte Juli 2018 wurde das MSRT von Stefan Kanthak auf die Sicherheitsprobleme aufmerksam gemacht (er beschrieb im Grund das, was ich in Teil 1 und Teil 2 dokumentiert habe). Microsoft hat dann folgendes geantwortet:<\/p>\n

Thank you very much for your report.<\/p>\n

I have opened case 46989 and the case manager, Kamuran will be in touch when there is more information.<\/p>\n

In the meantime, to protect the ecosystem, we ask that you respect coordinated vulnerability disclosure (see here<\/a> for details) and not report this publicly before we have notified you that this issue is fixed.<\/p><\/blockquote>\n

Es wurde also ein Fall bei Microsoft er\u00f6ffnet und man bittet, die gemeldete Schwachstelle nicht zu ver\u00f6ffentlichen, bis das gefixt ist. Gut, ist eine Standard-Floskel. Dann gab es aber ein paar Wochen sp\u00e4ter folgende Antwort:<\/p>\n

From: \"Microsoft Security Response Center\" <secure@microsoft.com>
\nTo: \"Microsoft Security Response Center\" <secure@microsoft.com>; \"Stefan Kanthak\" <******>
\nSent: Wednesday, August 08, 2018 2:09 AM
\nSubject: RE: ?MSRC Case 46989? CRM:0461058631<\/p>\n

> Hello Stefan,
\n> Thank you again for submitting this issue to Microsoft. We determined that a fix for this issue will be considered in a future version of this product or service.<\/p>\n

At this time, we will not be providing ongoing updates of the status of the fix for this issue, and we have closed this case.<\/p>\n

Thank you very much for working with us.
\n> Regards,
\n> Kamuran
\n> MSRC<\/p><\/blockquote>\n

In schmalen Worten: Man folgt den internen Richtlinien, dass die Schwachstellen keinen sofortigen Fix erfordern (siehe Sicherheit: Wie Microsoft Patch-Entscheidungen trifft<\/a>). Aber man will das Problem irgendwann in Zukunft angehen und schlie\u00dft den Fall erst einmal ab. Status-Updates, wann Microsoft den Client \u00fcberarbeitet, wird es nicht mehr geben.<\/p>\n

Meine abschlie\u00dfenden 2 Cent<\/h2>\n

Gut, ist jetzt ein etwas l\u00e4ngerer Beitrag in drei Teilen geworden. Ich habe das Ganze breiter aufbereitet, damit Blog-Leser das Ganze nachvollziehen und einordnen k\u00f6nnen. Bez\u00fcglich der Sicherheitsbewertung mag man zu anderen Schl\u00fcssen kommen. F\u00fcr mich hat diese Geschichte aber eine andere Dimension und beim Schreiben ist mir manches pl\u00f6tzlich klar geworden.<\/p>\n

Fr\u00fcher gab es von mir die Vorstellung 'Im Grunde hat Windows 10 ja eine solide Basis, hier und da ein paar Anpassungen\/\u00c4nderungen, dann passt es schon, Microsoft muss nur wollen'. Gemeint waren Auto-Updates, Funktionsupdates steuer- und abw\u00e4hlbar machen sowie das Basis-Betriebssystem \u00fcber abw\u00e4hlbare Features quasi zu einem Rumpf-Windows mit konfigurierbaren Zusatzfunktionen machen.<\/p>\n

Diese naive Vorstellung habe ich die letzten Wochen und sp\u00e4testens nach diesem Artikel abgelegt. Je mehr ich mich mit bestimmten Aspekten im Hinblick auf die Windows 10-Entwicklung und Implementierung diverser Funktionen unter Stabilit\u00e4ts- und Sicherheitsaspekten befasse (als Blogger kratze ich oft nur an der Oberfl\u00e4che), um so klarer wird f\u00fcr mich: Das Ding geht momentan in der Entwicklung den Bach herunter.<\/p>\n

Wieso sollte am Kern von Windows 10 solider als beim zusammengefrickelten OneDrive-Client gearbeitet werden? Die vielen angeflickten 'Balkone' im Umfeld der Windows Updates (Stichwort: Neben Windows Update gibt es weitere Mechanismen wie USOclient, Remsh etc. , um Updates zu laden und deren Installation anzusto\u00dfen), die Probleme mit Patches oder die Bugs in Funktionen vermitteln mir das Bild: Da hat man die Entwicklung l\u00e4ngst nicht mehr im Griff.<\/p>\n

Auf heise.de gab es die Tage einen sch\u00f6nen Artikel Das Problem mit der Agilit\u00e4t<\/a> von Eberhard Wolff, der sich mit Continuous Architecture befasst. Er skizziert, was sich hinter dem Begriff Agile Software-Entwicklung versteckt und berichtet von seinen Erfahrungen aus der Praxis. Da fiel bei mir ein weiteres Mosaiksteinchen ins Bild, verwendet Microsoft doch in letzter Zeit ebenfalls den Begriff der Agilit\u00e4t oder des Continous Delivery im Umfeld der Windows 10- und Office 365-Entwicklung.<\/p>\n

Bleibt die Frage, ob man mit einer Plattform wie Windows 10 (oder zumindest des Basis-Betriebssystems) wirklich mit agiler Entwicklung und Continous Delivery arbeiten kann und soll. Im heise.de-Artikel gab es einen sch\u00f6nen Satz: 'Agilit\u00e4t funktioniert in der Mehrheit der F\u00e4lle nicht'. Der war zwar auf kulturelle Probleme, die eine erfolgreiche Umsetzung agiler Projekte verhindern, gem\u00fcnzt. Aber ich finde, der Satz passt auch auf gro\u00dfe Teile von Windows. Oder wie seht ihr das so?<\/p>\n

Artikelreihe:<\/strong>
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 1
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 2
\nWindows 10 und die OneDrive-Sicherheitsl\u00fccken<\/a> \u2013 Teil 3<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft und die Office 20xx-Sicherheitsl\u00fccke in ose.exe<\/a>
\nSicherheitsl\u00fccken in InfoZips UnZip-Programm<\/a>
\nWarnung: Auf 7-Zip verzichten<\/a>
\nF-Secure Sicherheitsupdates f\u00fcr 7-Zip-Schwachstellen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Teil 1 und Teil 2 des Beitrags zum Thema Sicherheit des OneDrive-Clients ging es um die Lage der Programmdateien im ungesch\u00fctzten Profilordner sowie um die Verwendung veralteter OpenSource-Bibliotheken mit Sicherheitsl\u00fccken. In Teil 3 versuche ich eine Erkl\u00e4rung nachzuschieben und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2033,426,3694],"tags":[3163,4328,4378],"class_list":["post-208147","post","type-post","status-publish","format-standard","hentry","category-onlinespeicher","category-sicherheit","category-windows-10","tag-onedrive","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208147"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208147\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}