Blog

Zurück zur Übersicht

Lehrlingsblog: Updates - Die Lückenfüller

Murteda Al Kaysi    13.04.2017   Lehrling , Versionierung, Updates, Sicherheit


Updates bringen viele schöne neue Features mit sich. Das ist aber lange nicht ihr einziger Zweck. Was oft vergessen geht: Updates können die Applikationen vor Angriffen schützen.

Wir sehen sie mittlerweile überall: Auf dem Handy, in unseren CMS Administrationsbereichen, auf unseren Rechnern und noch in vielen anderen Bereichen in unserem Alltag. Meist finden wir sie nervig, da sie uns an der Arbeit hindern. Die Rede ist von Updates. In meinem heutigen Blog geht es darum, die Funktion von Vulnerability-Updates sowie deren Wichtigkeit anzusprechen.

Neue Features und versteckte Neuerungen

Neue Inhalte, neue Funktionen und Fehlerbehebungen sind die üblichen Neuerungen, welche man von Updates kennt. Jedoch gibt es auch andere wichtige Änderungen, welche man nicht wirklich wahrnimmt. Diese sind für die Behebung von Sicherheitslöchern, auch Vulnerabilities genannt, zuständig. Diese Sicherheitslücken in den Applikationen können verschiedene Auswirkungen haben. Zum Beispiel kann man sie benutzen, um die Applikation abstürzen zu lassen, Daten von Usern zu stehlen, um auf den jeweiligen Server zugreifen zu können und noch für vieles mehr.

Jede Applikation hat ihre Kommunikationsschnittstellen. Meist braucht man eine davon, um mit ihr zu interagieren. Es gibt jedoch noch Hunderte weiterer Schnittstellen, welche die Applikationen zur Kommunikation benötigen, sei es mit anderen Applikationen, mit dem Internet oder Ähnliches. Über diese Schnittstellen werden häufig Angriffe ausgeführt. Dies von Personen die sich bewusst ihre Ziele aussuchen oder von Bots (Roboter) die so programmiert worden sind, um Applikationen im Internet zu suchen und auf ihre Vulnerabilities zu prüfen.

Lücken schliessen durch regelmässiges Updaten

Wie man anhand all dieser Sicherheitslücken sieht, macht es durchaus Sinn, Updates durchzuführen. Besonders gilt dies für CMS Systeme, Services wie zum Beispiel Web-Services (Apache) oder Datenbank-Services (MySQL, MariaDB, MongoDB) und vor allem auch für Betriebssysteme. Dies vor allem, weil man hier den meisten Schaden anrichten kann. Auch bei Produkten die weltweit am meisten verwendet werden, wie zum Beispiel Wordpress, Joomla, IOS, Windows und Ähnliches, sollten regelmässige Updates zwingend durchgeführt werden. Dort gibt es nämlich die meisten und interessantesten Ansammlungen von Daten, bei denen es sich lohnt, sie zu beschädigen bzw. zu stehlen. Zu erwähnen ist auch, dass zwar meist Systeme angegriffen werden, welche vom Internet erreichbar sind. Von diesen aus können dann aber auch interne Systeme geschädigt oder deren Daten geraubt werden.

Man sollte sich deshalb immer folgende Fragen stellen:

  • Ist das Gerät oder der Service mit dem Internet verbunden?
  • Beinhaltet es sensitive Daten oder Daten, welche nicht an die Öffentlichkeit gehören?
  • Kann man es updaten?

Kann man diese Fragen mit „Ja“ beantworten, dann sollte man das Update unbedingt machen, bevor es zu spät ist. Man investiert lieber 10 bis15 Minuten zum Updaten, als sich nachher darüber aufzuregen, dass Daten gestohlen wurden oder dass Systeme verändert worden sind.

Eines ist klar: wer nicht updated ist selber schuld oder hat den falschen Hoster gewählt. Sollte es Punkt zwei sein, wäre es Zeit den Hoster zu wechseln.
Da kommt mir spontan ein berühmter Slogan einer richtig guten Hosting-Firma in den Sinn, wie ging der nochmal? Ah ja, „Hosting your future“!