(22.02.2018)
(23.11.2017)
Letzte Woche war einer der schönsten Tage des Jahres für mich! Ich habe Seculution endgültig abgeschaltet und durch ein alternatives Whitelisting ersetzen können. Es wird noch ein paar Tage brauchen, bis die Seculution Agents wirklich alle entfernt sind. Dann hat diesen Kapitel endlich eine Ende!! Ich habe jetzt bereits wesentlich mehr Zeit ohne Seculution und der erste MS Patchday hat ohne Seculution vieles an Frust verloren. Wenn ich Feedback bekomme und es jemand interessiert, kann ich einen Erfahrungsbericht für das jetzige Produkt Online stellen. Ich kann nur sagen, Whitelisten ja gerne, aber dann richtig. (für mich ohne Seculution).
Wir waren am Schluss bei folgenden Versionen:
- ADM Wizzard V. 0.16.175
- Agent V1.18.65
Aber an den von Seculution angepriesenen Fehlerbereinigungen konnte ich nichts feststellen!
(10.03.17) Ergänzungen zur Stellungsnahme von Seculution sind ganz untern angefügt. Bitte unbedingt lesen.
In Zeiten von Ransomware und anderer Schadprogramme waren wir auf der Suche nach einer Ergänzung zu unserer vorhandenen Antivirus Lösung. Dabei sind wir auf Seculution gestoßen.
Kurz und knapp arbeitet das Programm nach einer managed Whitelist. Es können nur Programme gestartet werden, die in der Whitelist vorhanden sind. Die Idee ist gut.
Hier eine kurze Zusammenfassung meiner Erfahrungen mit diesem Tool.
Positives:
- (++) Performance des Agents. Man merkt keinen Performance Verlust. (Es gab einen Fehler im Offline Betrieb, in diesem Fall hat der Agent 40-50% Cpu verbraucht. Aber dieser Fehler wurde behoben).
- (o) Ich denke das Programm funktioniert gut, WENN man ein extrem homogenes Netz hat. Wenn alle Rechner absolut identisch sind und keiner Programme braucht die aus der Reihe sind.
- (+) Eine USB Device Control ist vorhanden.
- (+) Verschlüsslung der USB Devices (nur USB Sticks, USB HDD´s können leider nicht verschlüsselt werden).
Negatives:
- (–) Extrem nervig ist die Geschwindigkeit des SeculutionAdminWizard. Das Regelwerk (whitelist) wird damit verwaltet. Eine negative Eigenschaft dabei ist: Es wird immer das komplette
Regelwerk gelesen und geschrieben, auch wenn nur ein Regelsatz geändert wird. Das herunterladen und hochladen des Regelsatzes ist abhängig von der größer der Datenbank, bei unseren 80 Rechner dauert das mittlerweile über 1 min. Das hört sich wenig an, stört aber in der Praxis ungemein. Auch das einlesen und suchen innerhalb der Regeln ist nicht sehr logisch, beispielsweise wird beim suchen nicht chronologisch gesucht. Es handelt sich um keine echte Datenbank handelt, sondern um eine aufgebohrte CSV Datei. Außerdem kann immer nur ein Anwender an der Datenbank arbeiten. Sobald zwei Änderungen darin vornehmen, wird entweder einer Änderung überschrieben oder (auch nicht selten) der ADM Wizard hängt sich auf und alle Änderungen sind weg. Das macht das auditieren der Regeln während der Lernphase zu einer ungeliebten nervigen Tätigkeit, die auch immer nur von einer Person gleichzeitig durchgeführt werden kann. Die Datenbank wächst monatlich um ca. 3%, was nach und nach die Performance weiter sinken lässt.
Wie langsam das ist, seht ihr im Video: 0-1.21 ist nur der Login. 1.21-2.20 ist ein Upload der Regeln ohne eine Änderung!
- (–) Als negativ hervorzuheben ist leider auch der Support. Ich habe mich selten so ärgern müssen, wie beim Seculution Support. Das einzig positive ist, dass man sehr schnell antworten erhält. Der Inhalt der Antworten besteht allerdings immer aus dem gleichen Aussagen: „Seculution ist das beste was es gibt auf Markt, aber 100% Sicherheit gibt es nicht“ und „Schauen Sie zu dem Thema XY bitte in die FAQ´s“. Das ist leider nicht immer hilfreich. Und wehe man bemerkt etwas Negatives über Seculution, dann fühlt sich der Support persönlich und das Produkt angegriffen, ab dann ist kein vernünftiges argumentieren mehr möglich und es wird mühsam. Wir sind dazu übergegangen uns den Aufwand zu sparen und eine Email an den Seculution Support zu schreiben, weil es keinen Sinn macht und zu keinem Ergebnis führt, außer Frust.
- (–) Die von Seculution empfohlene „Schulung“ haben wir erst einige Monate nach Testlauf gebucht und hätte wir uns sparen können. Der Anfang der Schulung macht den Eindruck eines Verkaufsgesprächs, obwohl wir schon längst gekauft hatten. Der zweite Teil entspricht genau den empfohlenen Vorgehensweisen, die in den FAQ´s genau so beschrieben sind. Und beim Fragen und Antworten Teil, wurde der größte Teil unserer Fragen mit geht nicht oder gibts nicht beschrieben. Also wer nicht lesen möchte kann die Schulung mitmachen.
- (–) Richtig problematisch ist auch die Verteilung der Agent´s. Diese wird von Seculution empfohlen mit dem integrierten Tool RCM verteilt. Beim verteilen und beim Update sind auf den Clients bis zu 6 Neustarts nötig, bis der Agent vollständig installiert ist. Und die ausstehenden Neustarts werden dem Anwender auch nicht gemeldet. Man merkt das als Nutzer nur dadurch, dass die UAC deaktiviert ist und das macht eine Vielzahl an Problemen, gerade bei Win 8 und Win 10. Erst wenn man den ganzen Prozess des RCM durchläuft wird die UAC wieder aktiviert. Seculution Kommentar dazu ist: „ist ein Microsoft Problem“.
- (-) Für ein Produkt, dass damit wirbt „von Techniker für Techniker“ entwickelt worden zu sein, ist es umso unverständlicher, dass es keine Release Notes bei Updates gibt. Man bekommt eine Meldung, dass eine neue Version existiert, aber was wurde geändert?? Wenn man bei Seculution nachfrägt, dann kommt als Antwort: „Wir empfehlen immer die offizielle release version zu installieren“. Was aber geändert wurde erfährt man nicht. Aus meiner Sicht sollte es schon dem Nutzer überlassen werden, ob eine Änderung es einem Wert ist die doch recht aufwendigen und langwierigen Agent update weg zu gehen oder doch erst die nächste Version ab zu warten. Übrigens ist ein Agent Update eigentlich kein Update, sondern eine komplette de- und dann Neuinstallation des Agents bei der erneut bis zu 6 Neustarts nötig sind. Also ohne Release Notes hat man keine Grundlage eine Entscheidung zu treffen.
- (-) Das auf der Homepage vorgeschlagene „Vollinstallation und Verteilung in 5 Stunden“ beinhalten eine Lernphase von 32 Tagen (wenn man das Produkt kennen lernt, weiß man ganz schnell was das ist.) Dieser Wert ist in der Praxis absolut unrealistisch. Wir hatten eine Lernphase von über 3 Monaten und es war immer noch nicht alles angelernt. Also die Werbeversprechen sind mit Vorsicht zu genießen. Nach Rückfrage sind die 32 Tage angeblich Erfahrungswerten von Seculution. Also der Einführungsvorgang dauerte bei uns wesentlich länger als angegeben.
- (-) Die Möglichkeiten am Agent sind minimal. In der Praxis wünscht man sich hier oft eine paar Features, wie den Lernmodus für den Client aktivieren oder dergleichen, aber Fehlanzeige. Man kann den Agent deaktivieren und aktivieren und das Offline DB kopieren das war´s. Oder den lahmen Wizard verwenden.
- (-) Unverständlich ist auch, dass das Popup, dass dem Anwender eigentlich melden sollte dass jetzt gerade eine Anwendung durch Seculution gesperrt wurde, hinter den geöffneten Fenstern erscheint und damit für den Anwender erstmal nicht sichtbar. Das ist nicht nur für unerfahrenere Anwender immer wieder eine Falle, die das arbeiten erstmal stoppt.
- (o) Was man außerdem einfach Wissen muss ist, dass man ohne Softwareverteilung Seculution in der Praxis kaum oder nur sehr umständlich nutzen kann. Also wer keine Softwareverteilung hat, braucht Seculution eigentlich nicht einführen.
- (o) In den am Anfang doch recht nützlich und anfangs öfter benötigten FAQ´s gibt es nicht mal eine such Funktion. Auf den Verbesserungsvorschlag dafür kam vom Seculution Support nur: „Zur suche darin benutzen Sie doch Goolge!“ Naja das geht, aber praktisch ist was anderes.
- (-) Eine nette Support Fall war auch, dass individuelle Übersetzungen, die man im Admin Wizzard durchführen kann, nicht an den Agent übertragen werden. Lt. FAQ hätte man verstehen können, dass dies eigentlich funktionieren sollte. Das Problem wurde von mir an Seculution gemeldet und dann ewig nichts mehr gehört. Nach Rückfrage von mir bei Seculution wurde dann einfach der Text in den FAQ´s so abgeändert dass es zum Fehler passt. Das ist schon mal komisch genug, aber dann noch zu erwarten, dass man zu einen Support Fall in Google suchen muss (weil eine eigene suche gibt es ja nicht), ob dieser evtl. durch ändern der Anleitung gelöst wurde? „No Go, das geht gar nicht! Entspricht in keiner Weise das was ich von einem Unternehmen erwarte, dass u.a. Dienstleistungen verkaufen möchte. Der Lösungsvorschlag nach Rückfrage um die Übersetzungen zu bekommen ist eine Neuinstallation der Agents… Also 6 Neustart von 80 Rechnern, um andere Übersetzungen in die Agents zu bekommen. Dabei stehen die Übersetzten Texte in der Registry und können/könnten dort geändert werden, aber dieser Vorschlag kommt nicht von Seculution, sondern muss man sich selber suchen. So braucht man keinen tech. Support.
- (0) Die von Seculution angepriesenen Automatismen für die Whitelist bestehen eigentlich in der Praxis aus einer geplanten Aufgabe, die mit einer Batch Datei bestimmt Rechner, Ordner, Wsus Server usw. in die Whitelist aufnimmt. Das hört sich erst mal gut an, hat allerdings mehrere Probleme. Das größte ist die Zeit. Es muss ein Mittelweg gefunden werden, wann dieser Job läuft, damit rechtzeitig alle ohne Einschränkung arbeiten können. Denn bei Seculution bedeutet ein nicht eingelesenes Outlook Update, dass die User Outlook nicht mehr starten können. Und das ist bei Zeitverschiebungen. USA, Australien, DE nicht einfach zu lösen.
- (–) Wenn man Webmeetings verwendet, die bei jedem Start einen neuen Hashwert generieren (wie z.B. Webex von Citrix oder Gotomeeting von Cisco), hat man ein richtiges Probleme. Bei jedem Meeting wird das Programm erstmal geblockt, weil das Programm unbekannt ist. Zur Freude der Mitarbeiter. Der Kommentar von Seculution Support war: „bitte sehen Sie in Google nach, da findet man die Lösung, wir Supporten keine Fremdprogramme!“. !! AHA !! Ich habe daraufhin bei Citrix und Cisco angefragt allerdings natürlich als nicht Kunde nie eine Antwort erhalten.
Nachtrag 28.02.17: laut Aussage von Citrix Support ist es unumgänglich, dass der Hashwert bei jedem Webmeeting unterschiedlich ist, da die Rauminformationen in den Exe Datei gespeichert werden. Damit ist es nicht möglich eine EXE Datei mit einem gleichbleibenden Hash Wert zu senden. Das ist nun letztendlich der Todesschlag zum Erfolg dieses Sicherheitstools in unserer Umgebung! Der Vorschlag von Citrix, doch anhand der Signatur der Datei zu arbeiten liegt nahe, wird aber von Seculution nicht unterstützt.
- (-) Offline Betrieb von Notebooks. Im Offline Betrieb, d.h. bei nicht Erreichbarkeit des Seculution Servers, gibt es für die Notebooks mehrere Betriebsarten zur Auswahl. Diese genau zu beschreiben würde den Rahmen sprengen, aber leider ist keiner für uns dabei, der vernünftig funktioniert. Wir haben eine Zwischenlösung gefunden, die wir mit einem eigenen kleinen Tools ergänzt haben. Seculution Offline Hash updater. Das ist leider auch keine optimale Lösung und daher ein dicker Minus Punkt.
- (o) Die Prüfung der Programme erfolgt mit MD5 Hashwerten. MD5 Prüfwerte lassen sich kopieren. Das ist kein wirklicher Nachteil aus User Sicht, aber wenn ich Seculution umgehen wollte, würde ich mir mein Schadprogramm einfach den gleichen MD5 Hashwert von dem Windows Taschenrechner geben, dann würde Seculution davon nichts mitbekommen. http://www.mathstat.dal.ca/~selinger/md5collision/ Unter dem Link findet man auch zwei Demo Dateien, mit denen man das testen kann. Andere Hersteller nutzen aus offensichtlich gutem Grund SHA-1 Hash Werte statt MD5. Hier ein Screenshot eines alternativen Anbieters, der auch noch dazu eine Weboberfläche bietet.
Nachtrag: Da SHA-1 seit 02/2017 auch endgültig gestorben ist, bin ich gespannt, ob die Seculution Alternative hier nachbessern wird.
- Es gäbe leider noch wesentlich mehr negatives, aber irgendwann ist es gut.
Fazit:
Aus den ganzen Nachteilen ergibt sich für die User ein ständiges sperren und aufpoppen von Fehlermeldungen bei Programmen, die eigentlich gebraucht werden. Die Aufgabe die Whitelist zu führen hat voll und ganz der Admin, aber die Tools, die einem dazu zur Verfügung gestellt werden sind unausgereift, fehlerbehaftet und einfach nicht ausreichend um das in der Praxis vernünftig lösen zu können. Ich denke es gibt Abteilungen, bei denen das klappen könnte, aber bei Dienstleistern, die rund um die Uhr arbeiten müssen, Offline unterwegs sind und viele Webmeetings halten müssen, bremst das Tool die Arbeit erheblich bis zum nicht mehr arbeiten können. Das Prinzip ist wirklich gut, aber der Mittelweg zwischen Sicherheit und Komfort ist hier nicht gefunden.
Der angepriesene „ohne Administrativen Mehraufwand“ Seculution zu betreiben , kann ich absolut nicht bestätigen. Der Aufwand war groß, die Fehlerrate sehr hoch. Die „cleveren Mechanismen“ zur Automatisierung habe ich zwei Jahre lang vergebens gesucht.
letzte Info vom: 28.02.17 Wie im Nachtrag zu lesen ist das Produkt bei uns gescheitert. Zum einen wegen fehlender Features und einem unmöglichen Support.
Noch ein Nachtrag: 10.03.17 Mittlerweile habe ich es auf die Homepage von Seculution gebracht und dort wird auf mein Bericht hier Kommentiert. Erstmal das wichtigte voran: „Ich habe NIEMALS einen Support Mitarbeiter von Seculution persönlich angegriffen, wie es hier behauptet wird“
Ich habe das Produkt Seculution kritisiert und den Umgang mit den Kunden. „Persönliche Angriffe“ waren definitiv nicht vorhanden. Außer es gibt einen Herrn „Seculution V0.1.164“. Das wäre dann wirklich ein blöder Zufall, dass diese Person, dann auch noch bei Fa. Seculution arbeitet 🙂
Es ist ja so, dass bei Seculution scheinbar Support, Entwicklung, Installationen, Marketing, Produkt Präsentationen, Vertrieb und Schulungen alles von einer einzelnen Person durchgeführt wird. Dadurch fühlt er sich bei einer Kritik an seinem „Software-Baby“ offensichtlich auch persönlich angegriffen. Eigentlich sollte es ja gut sein, wenn man so nah am Produkt ist, allerdings schlecht, wenn dabei die Selbstkritik zu kurz kommt. Das merkt man schon daran, dass man die antwort: „Seculution ist das beste was es gibt auf Markt, aber 100% Sicherheit gibt es nicht“ erhält, obwohl diese Antwort zur Frage nicht passt! Aber die eigentliche Antwort bleibt aus.
Zur Schulung hatten wir gebeten, dass jemand anderes als der „Geschäftsleiter selbst“ die Schulung durchführen könnte. Genau aus dem eben genannten Grund.
Allerdings war beim Schulungstermin Herr Valentin selbst am Telefon und hat kein Ton dazu verloren, warum jetzt doch er selbst die Schulung macht. Das Ergebniss war dementsprechend ernüchternd.
Für mich erscheint es wie eine klassische „One Man Show“.
Zum Thema Citrix und Cisco die Tools festinstallieren lassen. Das ist leider eine Information die nur halb richtig ist. Ja man kann die Programme natürlich fest installieren, allerdings nutzt einem das für Seculution nichts! Leider kann ich nur sagen, das Seculution sich offensichtlich auch nichtmal die Mühe gemacht hat das in der Praxis selbst zu testen. Wenn das passiert wäre, dann wäre klar gewesen, dass es nicht funktioniert. Der Hash ändert sich, da die Raumnummer in der Datei der Einladung gespeichert wird! Allerdings werde ich den Teil mit der Authenticode Signatur prüfen! Das war mir neu. Komisch das diese Info bei keiner einzigen Support Anfrage zu diesem Thema genannt wurde. Ist ja schön, dass man es so erfährt 🙂
ich habe gleich die Funktion auf Seculution gesucht, aber das ist schwierig, da das scheinbar ein undokumentiertes Feature ist. Wenn man stand heute (10.03.17) in der Dokumentation von Seculution sucht, findet man Authenticode auf der Seite ein einziges mal. Und zwar im Kommentar zu meinen Erfahrungsbericht! Suche in Google. Bin gespannt, wie lange es dauert bis hier plötzlich ohne Info nachgebessert wird.
Wenn mir jemand erklären kann, wie man als Anwender solch neue Features finden soll:
- wenn es kein Release Log gibt?
- wenn der Support zu einem bestehenden Problemfall keine mail mit der Lösung schickt? (siehe „Authenticode Signatur“ Dieses Problem war definitv bei Secultion bekannt.)
- wenn es in der Dokumentation keine Informationen dazu gibt?
Bitte mail an mich. Das interessiert mich wirklich. Erwarte ich etwa zuviel?
Scheinbar muss man vor der Seculution Glaskugel sitzen und diese befragen.
Mir völlig unverständlich, dass behauptet wird, unsere Probleme wären nicht bekannt! Das ist ein echter Schlag ins Gesicht…
Ich habe diese mehrfach immer wieder an Seculution gesendet und jetzt will man davon nichts wissen?! Das ist schlichtweg einfach nicht richtig !
Der Start von Seculution war holprig und das bleibt leider wohl bis zur Kündigung aller Services so. Dass Seculution gerne geholfen hat, kann ich leider überhaupt nicht bestätigen.
Zu (1) kann ich nur sagen: „Lieber Seculution Support, bitte prüft eure Unterlagen. Unsere „Seculution Appliance“ und die „Admin Wizzard“ Installation wurde durch geschulten Techniker von Seculution vorgenomen. Das wurde Remote durch Seculution durchgeführt was heutezutage keine Ausnahme ist.“ Was soll man dazu noch ergänzen? Ja richtig den Vor /Ort Termin haben wir abgelehnt, weil wir tatsächlich keine Lösung darin gesehen haben, alle unsere Probleme erneut an zu sprechen. Einiges lässt sich auf die schnelle Vor/Ort auch garnicht zeigen. Alles haben wir mehrfach an Seculution gesendet, aber keine funktionierenden Vorschläge erhalten. Warum sollte das Vor Ort anders sein? Darauf kahm auch vom Support keine plausible Antwort. Und zum Thema „Kommunikation eingestellt“ ist klar dass man nach zwei Jahren Qual irgendwann einen Strich drunter macht und das ganze als „Erfahrung“ abheftet.
Da ich zu dieser falschen Aussage einfach den Beweiss erbringen möchte hier der Ausschnitt der Rechnung zur Remote Installation von Seculution bei uns! Bitte bleiben Sie doch, wenn Sie schon eine Stellungnahme veröffentlichen, wenigsten bei der Wahrheit oder lassen diesen Punkt dann einfach weg.
Man sieht hier schon an Rechnungdatum, dass die angeblich 2015 behobenen Fehler, irgendwie keinen Sinn machen können. Denn die Installation von Seculution bei uns ist 2015 geschehen.
Vermeintlich seit 2015 vorhandene Feature?!?! Ich hatte auch zu diesem Thema bei Seculution angefragt und die Antwort erhalten das dies nicht vorgesehen ist! Also teilweise ist wirklich Haarstreubend, was hier behauptet wird. Ich denke hier wird auf das „/fillcache“ oder „Offline vorbereiten“ Bezug genommen. Was unterstützt wird ist ein MANUELLES Update der Offline Datenbank. Aber wenn der User es vergisst kann er „unterwegs“ logischerweise kein Update mehr durchführen, weil der Server nicht erreichbar ist. Also irgendwie will der Seculution Support auch nicht verstehen, was das eigentliche das Problem ist. In der Praxis macht kein User das „Offline Update“ manuell, bevor er das Haus verlässt.
Und der Support selbst hat den Vorschlag gebracht, dass als einfachen Scheduled Task zu lösen gebracht. Das birgt viele Probleme. Entweder man macht es beim Systemstart, aber das könnte in der früh zu einer ziemlich hohen und gleichzeitigen Last führen. oder periodisch, aber dass führt ebenfalls zu einer Anfrage fluht. Ich kann daraus nur schlußfolgern, dass garnicht verstanden wird, was das „3d Party“ tool macht. Ich kann es gern nochmal erklären, wenn mich der Seculution Support anrufen möchte 🙂 Seculution Support, bitte kontaktieren Sie mich, wenn wirklich interesse an Praxisbezogenen Problemen besteht.
Und die so oft angepriesenen bereits behobenen Probleme sind mir echt Rätselhaft. Unsere Seculution Appliance, Admin Wizzard und Agents (bei den Agents fehlen ein paar, weil die Anwender oft unterwegs sind.) sind mindestens auf der realease Version oder höher. (stand 10.03.17)
Auch hier der Beweis unser Admin Wizzard ist sogar neuer als des empfohlene Release und entspricht der „aktuellsten“ Version.
installierte Version ist eine der unter Rubrik „aktuellste Version“ 0.16.164
die offizielle Release dagegen ist eine ältere 0.16.156
Hier wird bezug auf ein Beispiel mit einen Acrobat Reader 8 ?!? genommen? Keine Ahnung wie dieses Beispiel zustande kommt? Aber man hört ja schon heraus, dass hier bei einer Implementation von 4 Tagen, von Netzwerken ausgegangen wird, wo:
- keine Außendienstmitarbeiter vorhanden sein können! Ja da darf ja nichtmal einer gerade im Urlaub sein !
- Wo jeder Rechner auch Treiberseitig absolut identisch ist. In der Praxis unterscheiden u.U. aber zwei Rechner, die man 2 Monate hintereinader kauft auch bereits, obwohl das gleiche Modell gekauft wird. Das ist leider ganz normal.
- Wo jeder Benutzer nur Standard Programme verwendet.
ich hatte ja bereits erwähnt, dass mir durchaus Umgebungen einfallen, wo das Produkt vermutlich gut funktioniert. Ich denke Krankenhäuser sind perfektes Beispiel. Umgebung mit Power Usern oder gar wo Software Entwicklern, werden vermutlich keine Freude haben (meine Meinung). Wenn man selbst entwickelt, ist der erste Handgriff „Seculution auf disable“ zu schalten, anders gehts nicht ! Das Seculution Log File wird dann zugemüllt mit „Default Deny Meldungen des Compilers“.
Hier wird unterstellt, dass unser Software schlecht gepatcht ist. Naja Seculution kennt unser Netz ja besser als wir!
Ok, es mag sein, dass auf den Server selbst ein Berkeley DB läuft, aber leider nützt einem das nichts.
- kommt man auf die DB direkt sowieso nicht (ok kann ich auch verstehen)
- wird nicht wie in einer DB Typisch eine Änderung geschrieben, sondern alle Datensätze neu geprüft und geschrieben, egal, ob geändert oder nicht.
- Man kann leider auch nicht wie gewohnt mit SQL Befehlen die Daten aufbereiten und dann wieder einspielen. Das geht über Reguläre Ausdrücke. Ja klar geht das, aber es steht wohl außer Frage, was in der Praxis zum Bearbeiten von Datentabellen effektiver ist? SQL oder RegEx?
An welcher Stelle bringt den Admin die Datenbank etwas? Der Admin muss zum ändern in der DB die ASCII Datei editieren und diese dann mit den Admin Wizzard in die Datenbank einspielen. Das ist „Best Praxis von Seculution“. Der Beweis hier das ist die Anleitung von Seculution selbst! Sogar die Backups werden als ASCII Datei geschrieben.
Also fakt ist, die Probleme waren bereits vor dem Erfahrungsbericht mehrfrach an Seculution gesendet worden. Warum wartet man mit einer Lösungsvorschlag, wenn eine öffentliche Erfahrung Kund gegeben wird? Und zum zweiten ist es falsch, dass die Probleme durch Updates behoben sind ! Stand heute 10.03.17 sind die Probleme immernoch vorhanden und alle Seculution Komponenten sind auf den aktuellen Stand. Die Kommunikation zu den vorhandenen Probleme wurde gestoppt, das ist richtig, weil einfach keine sinnvollen Lösungsvorschläge gekommen sind, oder die Probleme abgewiegelt wurden. Neue Probleme wurden allerdings immer wieder an Seculution kommuniziert, aber auch bei diesen (hier noch nicht aufgeführten neue Problemen) kahmen wir mit den Seculution Support zu keinem Ergebniss.
Zum Thema md5 : Unwiederruflicher Fakt ist, es kann zwei programme mit den gleichen md5 hash geben. Zum anderen wird mir vorgeworfen den Unterschied zwischen Collision und Preimage Angriff zu verwechseln.
Seculution sagt aber selbst:
- man benötigt also den Quellcode eines Programmes, dass Seculution vertraut. Damit man eine Collision erzeugen kann. Richtig?
Dann nehmen wir doch einfach Blat in der Version 3.2.2.0, wie es Seculution sogar selbst verwendet. Hier ist der Quellcode dazu. (https://sourceforge.net/projects/blat/files/Blat%20Source/Blat%20v3.2.2%20%28source%29/)
Dieser Open Source (und einigen anderen) Anwendung wird von Seculution also auf jeden Fall vertraut und der Quellcode ist offen. Damit benötigt man gar keinen kein Preimage Angriff mehr der so viel Zeit beansprucht. Und eine Collision für einen MD5 Hashwert benötigt nur sekunden! Also man manipuliert den vorhandenen BLAT.exe Quelltext und erzeugt damit eine MD5 Kollision.
Ob ein Angreifen es dann wirklich nicht schaffen und „absehbarer“ Zeit ein zweites Programm mit den gleichen HASH zu erzeugen überlasse ich den Leser.
Es gibt sogar eine Library dafür. evilize-0.2.tar.gz.
Anleitung unter http://www.mscs.dal.ca/~selinger/md5collision/
Vielleicht hat ja jemand Zeit und Lust das zu probieren.
Den Rest von Seculution zu kommentieren erspare ich mir erstmal. Aber es ist schon erstaunlich, was in dutzenden mails und bei der Schulung besprochen wurde, plötzlich vergessen ist. z.B. das Thema mit dem PLU User. Ja es es richtig, man müsste den Server nicht für den Client im Lernmodus setzen, aber nicht jedes Programm, lässt sich über einen fremden Benutzer richtig/funktionierend installieren, da Daten in das Profil des installierenden Users geschrieben werden. (Mir fallen auf den Schlag 3 Programme ein) U.a. auch Lizenzdaten. Ja hier Unterstützt Seculution dann plötzlich keine Fremdsoftware mehr, aber geholfen ist einem als Admin dann auch nicht. Was in der Praxis bedeutet, entweder ich installiere das Programm zweimal, einmal als PLU und einmal als User (wow das ist ja efftiv) oder ich verwende den Lernmodus. Na dann sind wir wieder am Anfang…
Einige Fehler „leider die unwichtigeren“ (wie die Sortierung der Ergbnisse), wurde bei irgendeinen Updates tatsächlich behoben! (Ab wann weiß man nicht). Allerdings so ein einfaches Problem dass die Suchfunktion nicht chronologisch ist, existiert weiterhin. Das Problem, dass man die Änderungen nach jedem Update selbst herausfinden muss bleibt, denn eine Release Log gibt es nicht. Es gibt an meinen Erfahrungsbericht oben keine entscheidenden Änderung, die ich durch die Stellungnahme von Seculution durchführen würde.
Ich kann abschließend nur sagen. Für alle interessenten, testet das Programm 8 Wochen und bildet euch eure eigene Meinung! Aber bedenkt, dass einige funktionen sich erst nach 90 Tagen (default setting) auswirken. Z.b. das löschen der ungenutzten programme. Das ist auch sein ganz eigenes Thema. Die Logik, die hier angegangen wird ist nachvollziehbar, aber die werkzeuge das in der Praxis zu lösen einfach nicht ansatzweise ausreichend.
Nur die Kosten für die Testinstallation wären dann flöten.
Für uns ist das Produkt leider nix! Die Idee ist gut, aber bei Umsetzung und vor allem Support ist sehr viel Spielraum nach oben.
Wenn ich mich nicht täusche, war die testphase damals nur 4 Wochen und wir haben den Fehler gemacht und den Start nicht schnell genug durchgeführt, ansonsten wären uns die Probleme evtl. rechtzeitig aufgefallen und wir hätte vor dem Echtstart stoppen können!
Ja der Seculution Bericht hat recht, wir setzen das Produkt noch ein, weil wir vor dem start des nächsten Programmes genauer prüfen werden ob werbeversprechen und Realität zueinander passen können.
Ohne ganz erheblichen Mehraufwand die Seculution Whitelist zu führen, ist bei uns definitiv nicht möglich !
Bei Fragen stehe ich zur Verfügung.