Bis vor wenigen Wochen noch, lief bei uns in der Firma Matrix42 in einer Version die grafisch an die MFC-Anwendungen aus den 1990ern erinnerte. Irgendwann kam dann ein Update. Da ich nicht weiß ob dies zeitlich mit dem Update seitens des Herstellers einherging, will ich das nur erwähnen.
Jedenfalls läuft allen Ernstes seitdem die Software als chromium-basierte Anwendung1. So weit, so unaufregend. Heutzutage scheinen ja Hinz und Kunz2 die Ägide von einst aufzugeben, daß sich die Anwendungen bestmöglich in die Laufzeitumgebung einfügen mögen und daher bitte das Aussehen und Verhalten ebendieser annehmen sollten. Stattdessen schreiben heute Webseitenentwickler Anwendungen für den Desktop und Atom, Slack Desktop, Riot, Visual Studio Code und andere Machwerke sind die Folge. Ein Hoch auf den Fortschritt!
Aber ich bin mir sicher, daß es genügend “Fans” dieser tollen neuen Anwendungswelt gibt; denn was könnte schon schlimm sein an der Tatsache, daß jede Anwendung ihr eigenes Aussehen und Verhalten mitbringt und runde 50 MiB im Gepäck, die in der Gesamtschau über all diese Anwendungen hinweg als Quasi-Duplikate vorliegen. Da werden einem ActiveX-Steuerelemente und eingebettete Internet Explorer in der Rückschau geradezu sympathisch.
Einerlei, zurück zu Matrix42. Nicht nur, daß die Anwendung, deren Inventarliste an verfügbarer Software jetzt “modern” aussieht, neuerdings einen Dialog auf dem Login-Desktop anzeigt, welcher — Anschnallen bitte! — im Systemkontext läuft, als hätte es eine ganze Angriffsklasse vor siebzehn Jahren nicht gegeben. Auch auf dem interaktiven Desktop nach dem Einloggen sah ich schon interaktive Fenster — augenscheinlich auf Basis der Chromium Browser-Engine — und das im Systemkontext. Zur Erinnerung: der Systemkontext ist die höchste Rechtestufe auf einem Windowssystem. Ursprünglich liefen quasi alle Windows-Dienste in diesem Benutzerkontext. Zwar hat Microsoft — etwa seit dem Aufkommen der Shatter Attack — diverse wohlbekannte Dienstkonten eingeführt, die als Alternative existieren und es wurden auch die netzwerkseitigen Rechte des Systemkontexts beschnitten. Dies ändert aber nichts an der Tatsache, daß der Systemkontext Teil der TCB3 ist und sich ein darin laufender Prozeß relativ leicht auch mit den Rechten anderer Prozeße versorgen kann (ich denke nur an das Einschmuggeln von APCs).
Der Dialog auf dem Login-Desktop klaut auch kackdreist den Fokus vom Loginfeld, ganz als gäbe es nicht entsprechende Flags4 um dies zu verhindern. Natürlich hat der Hersteller vorgesorgt und auf dem Dialog eine Nachricht hinterlassen, man möge bitte warten. Damit ist natürlich alles wieder gut! WTF?
Als Nutzer von SuRun werde ich auf dem interaktiven Desktop durch eine Toast-Notification bzw. einen Tooltip in der TNA jederzeit über solche Sachverhalte informiert. Bei diesem Sicherheitsbewußtsein seitens der Macher von Matrix42 landete der Schluck Kaffee heute beim morgendlichen Durchblättern fast auf der iX 12/2019 als ich eine Anzeige des Herstellers von Matrix42 sah, bei der deren Lösung für Endpoint Security beworben wurde. Sprich: man wirbt allen Ernstes damit, die Infrastruktur eines Unternehmens mit der “eigenen”5 Endpunktsicherheitslösung zu verbessern. Kurzum: man gibt die “Sicherheit” ala AV in die rechte Tasche (mit der Endpoint Security Lösung) und nimmt sie wieder aus der linken (mit der — in Hinblick auf IT-Sicherheit — grottig geplanten Softwareinventarlösung). Aber gut, als jemand der selbst bis vor wenigen Monaten über zehn Jahre lang für einen Antimalwarehersteller mit mehreren6 Produkten gearbeitet hat, ahne ich natürlich, daß da wohl bei den meisten einige Leichen im Keller vor sich hinschimmeln. Nur ist es ein Unterschied, ob man Probleme erbt, oder sich ganz ignorant frisch einbaut.
Was übrigens das “coolste” dran ist? Da eine Anwendung zur Verwaltung des Softwareinventars, welche in großen Teilen in Windows Server eingebaute Mechanismen dupliziert, schön geschmeidig laufen muß, hat man augenscheinlich alle Grafikoptimierungen der Chromium Browser-Engine durchgängig aktiviert gelassen. Ein Kollege von mir hat nun aber leider auf Windows 7 das Problem, daß chromium-basierte Anwendungen die diverse GPU-basierte Beschleunigungen aktivieren, zu einem Problem führen, bei dem sich der Rechner quasi aufhängt, wenn der Arbeitsplatz gesperrt wird7. Nun ratet mal, welche Anwendung die einzige ist, die besagter Kollege nicht kontrollieren kann, und welche auf Chromium basiert? … schöne neue Anwendungswelt!
// Oliver
- “Essential Objects Worker Process” [↩]
- und Microsoft [↩]
- Trusted Computing Base, in etwa: “vertrauenswürdiger Systemkern” [↩]
- hüstel, WS_EX_NOACTIVATE, hust … [↩]
- ich tippe mal auf ein Whitelabeling o.ä., jedenfalls scheint Egosecure auf Avira aufzusetzen und enSilo — mittlerweile Fortinet — scheint eine Art Sandboxlösung mit Sammlung der Telemetrie, aka “Verhaltenserkennung”, zu sein [↩]
- zusammengekauften [↩]
- faktisch hängt der Rechner nicht auf Kernelebene, aber er ist unbenutzbar und selbst ein Verbinden per RDP klappt nicht [↩]