Sophos: 29. What?

Tobias · 1. März 2024 um 08:06

So viel muss man sich gefallen lassen, oder?

from Imgflip Meme Generator

crazy-to-bike · 1. März 2024 um 22:18

Hab ich auch schon gelesen

Till · 4. März 2024 um 13:41

Haha wie peinlich! Ein Bug in Software die man auch noch bezahlen muss!

baumhof · 4. März 2024 um 13:55

Hallo Andreas,

… tatsächlich fand ich es auch sehr peinlich: hätte ich aber auch in einer freien Software sehr peinlich gefunden.

LG

Holger

ironiemix · 5. März 2024 um 13:42

Sehr lesenswert zum Thema „Security“-Appliances:

Sophos taucht da (noch) nicht auf, wahrscheinlich genau so lange, bis sie halt doch auftauchen. Meine praktische Erfahrungen mit dem Sophos Kram sind jedenfalls auch ganz klar „kann man sich sparen“, wobei ich nicht weiß, inwieweit das vom Dienstleister kacke konfiguriert ist und inwieweit es an Sophos liegt.

Edit: Bei Kris taucht Sophos nicht auf in der CVE Datenbank liegen sie aber sehr gut im Rennen Sophos : Products and vulnerabilities

Tobias · 6. März 2024 um 10:25

ach, @ironiemix . Warum denn so ernst jetzt?
Mein Beitrag war reine Häme, die (wie Holger treffend bemerkt) unabhängig von Sophos auch andere treffen kann, meine Software inklusive.

Aber sehr schön liest sich der Artikel! Hat Kris Köntopp in Karlsruhe studiert? Der Name kommt mir so bekannt vor. Vielleicht war das ein anderer Köntopp.

Ich hab das versucht nachzuvollziehen. Immerhin: eine 10/10 Firma ist sophos laut der Datenbank „nur“ 1x2006, 1x2008, 1x2012, 2x2013, 1x2017, 1x2019, 2x2020… wenn man die 9.8/10 Scores aufrundet, werdens noch ein paar mehr, weil es da wohl immerhin „Known to be exploited“ darunter gibt.

Und fairerweise müsste man Sophos auch so einer Analyse unterziehen, ob man wie bei Fortinet und Ivanti auf ähnliche beschämende Entwicklungsprozesse kommt.

Alles in allem aber hilfreich als Hintergrund-Info für den Informatikunterricht.
Es wäre ja auch bitter, wenn ich unter „Softwarefehler und ihr Alltagsbezug“ immer nur bei der Ariane 5 und dem Vorfall Therac-25 – Wikipedia stehenbleiben würde.

Was das für die Schulumgebung, die Anschaffung, die Einflussnahme auf Entscheidungen an der Schule heißt, muss jeder selbst evaluieren. Ich kann jeden verstehen, der sich (trotz Verständnis der Sachlage) weiterhin auf Schulträger und Servicefirmen verlässt/vertaut. (Ich sag nur: „2 Stunde/Woche Obergrenze“)
Meine Stadt hat dank Personalmangel eine ganze Abteilung dicht gemacht und support-anfragen an bechtle vermittelt. Ich kann nur schaudernd raten, wie weit die mit Qualitätssicherung und Sicherheitsmaßnahmen sind.

Till · 7. März 2024 um 14:38

Hey Bugs in Software, wahnsinn! Damit hatte ich ja gar nicht gerechnet, wie ist denn sowas möglich? Muss einfach daran liegen dass die Geld nehmen für ihre Arbeit, ansonsten wäre das sicherlich Fehlerfrei

Du kannst dir das gerne sparen, ich hab auch keine Sophos Appliance daheim, noch sage ich, dass das ein Muss ist.

Trink mal nen Tee und entspann dich von deinem Kreuzzug gegen die bösen Kapitalisten

Michael · 11. März 2024 um 10:48

… ich habe gerade auf dem Server (!= Sophos) folgendes festgestellt:

[root@server:~]$  linuxmuster-distupgrade 
E: Release-Datei für http://archive.ubuntu.com/ubuntu/dists/jammy-updates/InRelease ist noch nicht gültig (ungültig für weitere 23 h 38 min 52 s). Aktualisierungen für dieses Depot werden nicht angewendet.

Daraufhin:
[root@server:~]$ timedatectl status
               Local time: So 2024-03-10 11:09:33 CET   <<< !??
           Universal time: So 2024-03-10 10:09:33 UTC   <<< !??
                 RTC time: Mo 2024-03-11 10:09:09
                Time zone: Europe/Berlin (CET, +0100)
System clock synchronized: no
              NTP service: n/a
          RTC in local TZ: no

Die Local time liegt genau einen Tag in der Vergangenheit?!? Warum das?!?
Daher:

ntpdate -s time.nist.gov
timedatectl status

und die Uhrzeit passte wieder und das Update lief ebenfalls wieder durch.

Ob das nun ebenfalls ein Schaltjahr-Problem war, kann ich nicht genau sagen aber es sieht irgendwie danach aus

Dass die Anmeldung usw offenbar trotzdem überall geklappt hat, wundert mich allerdings ebenfalls, denn gerade das sind ja die zeitkritischen Dinge im Samba-AD

Viele Grüße,
Michael

Tobias · 11. März 2024 um 11:21

Hallo Michael,

oh, wie, geil.
Schade, dass ich meinen Server gestern rebootet habe, ich kann das nicht mehr nachvollziehen.

In so einem Fall gebe ich immer Lennart Poetterings Ego, a.k.a systemd die Schuld.

Vielleicht hätte es gereicht den dienst neu zu reloaden?
Aber sehr interessant.
Wenn sich systemd als Ursache herausstellt, mach ich ein neues Meme

VG, Tobias

baumhof · 11. März 2024 um 11:30

Hallo,

wenndie Cleints alle brav, wie es sein soll, die Zeit mit dem Server syncen, dann gibt es keien Loginprobleme, weil überall die Zeit gleich falsch geht (auch wenn es ein ganzer Tag ist).

LG
Holger

Till · 11. März 2024 um 11:32

Setzen 6
Der repository Server wird sich nicht die Uhrzeit beim lmn server abholen.

baumhof · 11. März 2024 um 12:36

Hallo Andreas,

… ja, deswegen wurde es ja beim Updaten bemerkt: aber nicht beim Anmelden im Netzwerk: genau wie ich schrieb

LG
Holger

ironiemix · 21. März 2024 um 10:52

ironiemix · 21. März 2024 um 10:58

Hai Tobias,

Naja, über die Wahrnehmung des Empfängers kann man halt nicht selbst bestimmen, wenn man was ins Internet schreibt.

Ich habe auch so ein Gefühl, bin mir aber nicht sicher. Man könnte ihn fragen. Obwohl ich in vielen Dingen nicht ganz seiner Meinung bin, ist es fast immer interessant zu lesen, was er schreibt, das hat mich schon oft weiter gebracht.

Ja natürlich. Es findet dann eben meist eine immanente Verantwortungsdiffusion statt, aber man kann natürlich nicht alle Probleme der Welt selbst lösen. Allerdings habe ich vor einiger Zeit das Angebot für so eine Sophos FW gesehen, die für den „staatlichen Einsatz“ vorgesehen war, da stand was von 17.000EUR drauf, und da ist für mich dann als Steuerzahler dann schon irgendwie auch mal ne Grenze erreicht.

VG

Frank

Till · 21. März 2024 um 13:24

Seit wann verlinken wir denn hier externe Gesprächsfäden? Entweder wird sich hier unterhalten oder eben nicht. Ich folge dir doch nicht noch auf Mastadon, wer bist du, Elon Musk?

Und dann noch gleich 12 Beiträge, Covfefe!

nomisge · 21. März 2024 um 14:32

Hi Frank,

da sich Till hier unterhalten möchte…

Was du auf Mastodon schreibst, kann ich so absolut unterschreiben. Irgendwoher kenne ich das Rechnungsformat… Schon irre das mit dem Tagessatz. Aber der Dienstleister weist in seinen Angeboten soweit ich das überblicke immer ganze Tagessätze aus, abgerechnet wird am Ende die laut Dienstleister tatsächlich benötigte Zeit. Für die aufgeführten Schritte braucht man ca. 30min (so lange brauche ich mittlerweile, nach studieren des Codes, der Dienstleister wollte es mir nicht selbst zeigen). Ich vermute aber, dass mindestens 3h abgerechnet werden … hast du denn da auch einen Nachweis, was es wirklich gekostet hätte? Mittlerweile gibt es das Cluster (von dem du glaube ich schreibst) frei verfügbar, wenn ich mich nicht irre, das ist wiederum positiv.

Um dich aus Mastodon zu zitieren:

Allerdings ist es natürlich sehr gut möglich, dass Menschen ihr Geschäftsgebaren auch an den Gegenüber und die dort vermuteten Fähigkeiten anpassen, darum trägt eine Beobachtung aus weiterer Entfernung hier vielleicht auch noch Erfahrungen nach

Wirkt sich negativ aus, egal wie. Bei höher wahrgenommener Fähigkeit, werden tatsächliche Probleme auch mal leicht weniger wichtig genommen…es gibt ja jemanden vor Ort, der sich drum kümmert, auch wenn das eigentlich Aufgabe des Dienstleisters wäre. Außerdem kann man trotzdem Rechnungen stellen,…, hat ja Zeit gebraucht das Ticket aufzunehmen, es zu lesen und schließlich zu schließen.

Soll nicht heißen, dass ich es grundsätzlich für falsch halte Dienstleistung in Anspruch zu nehmen. Bei uns läuft auch einiges mit dem Dienstleister sehr gut, insbesondere nach einem Wechsel des Ansprechpartners/Projektleiters beim Dienstleister. Ich kommuniziere dennoch mittlerweile bevorzugt über Dritte (wirklich tolle IT des Trägers) mit dem externen Dienstleister. Wenn was nicht tut, kann ich in der Kommunikation mit dem Kollegium zurecht die Schuld von mir weisen.

Letztendlich liegt das Problem darin, dass es den Kostenträgern leichter fällt eine Rechnung zu bezahlen, statt gutes Personal einzustellen und zu halten. In diesem Sinne verstehe ich es auch, weshalb in unserer Gegend die LMN sehr wenig eingesetzt wird. Tolle Schulserverlösung, aber wenig Lobby und noch weniger IT-Fachkräfte die sich damit auskennen (wollen). Wenn dann noch schlechte Erfahrungen mit Dienstleistern, wie du sie beschrieben hast, dazu kommen …
… landet man bei der Landeslösung oder Ähnlichem.

Ich poste diesen Beitrag als Ganzes, auf Stückeln hab ich keinen Bock
Grüßle

Till · 21. März 2024 um 15:12

Woran mag das wohl liegen?

Generell sollte ma bei den durchgeführten Arbeiten die, wie man es im Handwerk nennt, Rüstzeiten bedenken. Einmal ein Update durchzudrücken ist schnell gemacht. Das ist aber vielleicht ein Drittel der Zeit.
Aber die ganze Diskussion ist ermüdend. Entweder ich bin zufrieden mit meinem Dienstleister oder nicht. Von mir aus kann die Schule auch das Dach selbst decken oder die Stromkabel verlegen wenn das Steuern spart

Ich habe das lange genug aus Sicht des DL gesehen und bin froh die Diskussionen nicht mehr führen zu müssen.

nomisge · 21. März 2024 um 15:51

Da wird ausgeschrieben und i.d.R. ist das Dach danach auch dicht und die Kabel führen Strom.
Ich finde der Vergleich hinkt. Beim Dach müssen nicht in solcher regelmäßig Sicherheitslücken (a.k.a Hagelschäden) geschlossen werden und die Stromleitung bleibt auch 20 Jahre drin.
Ein fest angestellter Hausmeister kümmert sich dann i.d.R. ums Tagesgeschäft.
Die Schule kann auch mit einem Dachdecker unzufrieden sein, heißt nicht, dass man so schnell einen anderen findet, oder Auswahl hat. Ich finde nicht, dass das ein Argument wäre angebrachte Kritik zu sparen, noch den Dachdecker voll zu bezahlen, nachdem nur das Drittel Dach gedeckt ist.

Zum Update: In der halben Stunde habe ich die Rüstzeit mit drin. Ein apt update/upgrade und docker-compose pull/up ist in 5-10 Minuten erledigt.

Wenn ich Franks Beitrag auf Mastodon richtig verstehe, geht es um die mangelnde Transparenz (Tagessatz anbieten, statt gleich realistisch die Zeit einschätzen und bei Überschreitung nachvollziehbar begründen). Der Dienstleister kann mit dem Angebot abrechnen was er will, ohne dass der Kunde nachweisen kann, ob das auch korrekt so ist. Den Elektriker kann ich beobachten und sehe wann er tatsächlich anwesend war.

Frank beklagt insbesondere in seinen Beispielen mangelnde Qualität. Wenn ich ein Ziegeldach verspreche, muss ich auch ein Ziegeldach liefern und nicht Wellpappe zum Preis von Ziegeln.

Till · 21. März 2024 um 16:25

Ach wo denn das? Ich auch schon bei Genug ausschreibungen mitgemacht, das ist jetzt nicht so anders was die IT angeht. Wenn festgelegt wird was nach der Installation zu funktionieren hat, dann kann das genauso kontrolliert und bemängelt werden. Wenn das nicht kontrolliert wird kann Pfusch abgegliefert werden der nicht auftaucht, ist beim Dach aber auch nicht anders. Da dauert es eben etwas länger, Baumängel sind aber auch nicht unüblich, oder?

Der Elektriker kann sich genauso in Ruhe mal ein Brot reinziehen oder extra Stunden abrechnen während du eben nicht nebandran sitzt. Das ist doch am Ende des Tages Vertrauenssache, das ich eben nicht abgezockt werden. Zudem kommt es auch immer wieder vor, dass Pauschalaufträge gefordert werden. Diese müssen dann eben so bemessen sein, dass sowohl vom schnellen als auch vom langsamen Techniker kostendeckend zu machen ist.

Natürlich kann ich mich da nebendran stellen den ganzen Tag, doch will ich das? Ich setz mich auch nicht 4h neben den KFZ-Mechatroniker der mir neue Kabel für die Anhängerkupplung durchs Auto zieht. Keine Ahnung ob die jetzt wirklich 5h oder doch nur 3 gebraucht haben. Ich weiß aber schon im Vorfelt was es kosten wird.

Wenn es damit erledigt ist kann ich das auch automatisiert machen lassen und brauche mich selbst nicht vor die Tastatur zu hängen. Ich würde mal sagen es gehört mehr zu einem Update als nur das einloggen und updaten. Terminabsprache, Downtimes definieren, Abhängigkeiten prüfen, Sicherungen erstellen, Sicherungen prüfen, updates einspielen ( ), Funktionstest, etwaiges Debugging, Rückmeldung an den Verantwortlichen, Zeiterfassung…

Ich klink mir hier an der Stelle einfach mal aus

baumhof · 21. März 2024 um 16:40

Hallo,

es gibt eben anständige Dienstleister und nicht anständige: so war das immer.
Auch ich habe sehr viel Erfahrung mit nicht anständigen Dienstleistern gemacht (das ganze letzte Jahr waren Elektriker in meiner Einrichtung und haben Netzwerkkabel verlegt: insgesamt 1,5 Jahre sogar: für Arbeiten, die in 2 Wochen gemacht sein könnten und eigentlich in den Ferien ausgeführt werden sollten …).

Es ist einen Vertrauensfrage, und wenn das Vertrauen nicht da ist, dann muss man sich einen anderen Dienstleister suchen.
Um das zu überprüfen muss Jemand in der Einrichtung sein, der weiß, was geht und was gemacht werden muss (allein schon, um qualifizierte Fehlermeldungen/Tickets zu schreiben).
Deswegen sage ich in meinen Fortbildungen und auch bei der Ausbildung der Referendare öfters mal, dass das, was wir jetzt durchnehmen, nicht von ihnen durchgeführt werden muss, sondern sie müssen wissen, was das ist, wie das geht und warum man das haben will, damit sie überprüfen können, ob das am Ende richtig umgesetzt wurde durch den beauftragten DL (oder überhaupt auf die Idee zu kommen, dass es da eine Lösung für das Problem gibt …).

Also ja: es gibt DL die sind schwer zu ertragen.
Aber es gibt auch andere: die gilt es zu finden und zu halten.
Das ist bei mir Zuhause nicht anders. Ich habe lange nach einem Heizungsinstallateur gesucht, bis ich den richtigen hatte,d er mit 2021 die Wärmepumpe eingebaut hat.
Beim neuen Dach 2012 haben wir aus 4 Angeboten das teuerste genommen: weil das der einzige war, der ordentlich mit uns über das Dach vorher gesprochen hat: am Ende war es günstiger, als es im Angebot stand: weil es ein Anständiger Kerl war, der Handwerker: einer der für seinen Beruf brannte. Das hat sich gelohnt: für beide Seiten.

LG
Holger