Neu Viren / Exploits etc

[blackshadow]

Hallo,

wollte mal Fragen ob die Anhänge eigentlich gescannt werden oder dergleichen?

mfg

 

[recent.digital]

Welche Anhänge meinst du?

 

[blackshadow]

Hi,

ah sorry, ich dachte da ich im Servicedesk Thread bin wäre es klar.
Natürlich die Anhänge die Per E-Mail reinkommen.

mfg

 

[mh1]

Ich denke, so etwas müsste auf dem Mailserver erfolgen.

 

[Verkäuferlein]

Hallo,

wollte mal Fragen ob die Anhänge eigentlich gescannt werden oder dergleichen?

mfg

In der Wawi selber wohl eher nicht.

Die Frage ist ja, ob Du einen entsprechenden Virenscanner auf dem Rechner hast, der sich in die Verbindung einklinkt. Ansonsten halt ggf. in der Firewall oder aber wie @mh1 schon sagte auf dem Mailserver.

Die nächste Frage wäre dann, wie der Service-Desk mit den Mails arbeitet und welche Angriffsszenarien aus einem Exploit möglich wären. Wie es also mit Scripting, HTML, etc. aussieht.

 

[Michael Spaltmann]

Hi,

die Wawi selbst hat keinen Virenscanner, soweit ich weiß hat Outlook zb. auch keinen eigenen. Um Virenschutz musst Du dich mit einer eigenen Software kümmern. Was allerdings passiert, ist dass alle Anhänge wenn Du sie lokal abspeicherst von den gängigen Virenscannern natürlich geprüft werden - so wie bei Outlook auch. (Falls Du einen im Einsatz hast)

Du kannst allerdings den Zugriff auf bestimmte Dateitypen im Servicedesk einschränken. Zb. dass .exe Dateien gar nicht erst lokal gespeichert / ausgeführt werden können. Du findest Die Einstellungen unter "Servicedesk -> Sicherheit"

viele Grüße Michael

EDIT: Falls Du einen eigenen Mailserver hast, empfiehlt sich natürlich alle Mails direkt auf dem Server prüfen zu lassen.

 

[blackshadow]

Hi,

vielen dank für die Info. Ja natürlich ist dieser am E-Mail Server effektiver, wollte nur das Tun der Wawi in diesem Fall erheben.

Vielleicht kurz die Story warum mich dies interessierte und warum es manche treffen kann.
Am Wochenende musste wir unsere Datenbank auf FileStream umstellen, da diese durch den Servicedesk auch schneller wächst (Auch wenn Tickets automatisch aufgeräumt werden).
Das Umstellen stellte auch nicht das eigentliche Problem dar, sondern das Backup der Datenbank.
Sind Dateien die vom Defender als Bedrohung angesehen werden in den Tickets vorhanden und man hat auf Filestream umgestellt, schägt leider das Backup fehl.
Denn der Defender blockiert dann den Prozess, da die gelesene Datei vorher gescannt wird. (Dies passiert nicht ohne Filestream aktiviert, wenn die Dateien in der Tabelle als Byte Array gesichert werden).
Mit bisschen SQL lässt sich auch von der Datei auf ein Ticket schließen und dieses dann absolut zu löschen führte auch zum Ziel.
Was mir nur aufgefallen ist, ist das diese Dateien meist keine Relation zu einer Tabelle mehr hatten, kann sein das damals beim Löschen es noch irgendwo in der Software hakte.
Was natürlich wünschenswert wäre, wenn man bei Performanceoptimierung/Datenbank bereinigen auch diese Tabelle aufräumen würde. (Zumindest gibt es keine Option dafür)

Grundsätzlich wäre es ja möglich den Defender die heruntergeladenen Dateien, vorher noch prüfen zu lassen. Zumindest machen wir dies in einer anderen Anwendung auch so, vielleicht wäre dies noch eine Option zu implementieren.

mfg

 

[recent.digital]

Danke für die wertvolle Info.

Das zeigt wie genau man die Filestream-Thematik nehmen muss.

 

[Michael Spaltmann]

Hi,

vielen Dank für das Feedback. Ich war mir eigentlich recht sicher, dass wir die Datei beim Filestream-speichern noch mal verschlüsseln/verändern, damit das Backup auf jeden Fall durchlaufen kann, auch wenn korrupte Dateien als Anhang vom Virenscanner erkannt wurden. Welche Version nutzt Du genau? Ich habe auch ein internes Ticket für die Entwicklung aufgemacht, wo ich dieses Problem nochmal untersuchen lasse.

Nur damit ich dich nicht falsch verstehe: Du löscht Tickets endgültig aus dem Papierkorb aber in der tfile waren immer noch Einträge für Anhänge für nicht mehr vorhandene Tickets? Das sollte eigentlich nicht passieren, aber werde ich dann ggf. nochmal prüfen. Wie gesagt deine Version ist hier recht wichtig.

viele Grüße Michael

 

[blackshadow]

Hi,

im Moment 1.5.55.3, aber welche Version ich damals benutzte als ich mit Servicedesk startete weiss ich nicht mehr. (irgendwas mit 1.5? ... )
Auf jedenfall waren die Files vom letzten Jahr, die keine Relation zu einer anderen Tabelle mehr hatten.
Also ja, die Tickets wurden entgültig gelöscht.

mfg

 

[Michael Spaltmann]

Hi,

ok in der 1.5 haben wir mindestens 6 Monate nichts mehr im Servicedesk gemacht, weil wir es sonst hätten doppelt für 1.6 und 1.5 implementieren müssen. Ich bin mir ziemlich sicher, dass das Löschen und auch das Speichern in tfile in der 1.6 angepasst wurde, weil wir genau in diese Virenscanner Probleme gelaufen sind. Ich hatte mir damals EICAR-Dateien (das sind im grunde "testviren") gebaut und via Mail hin und her geschickt und erstmal unserem Admin damit nem Herzinfarkt gegeben. Als ich das in der 1.6 getestet hatte, ist zwar der Virenscanner angesprungen wenn man die Dateien aus dem Anhang heraus speichern / öffnen wollte, aber man konnte immer noch Backups erstellen. Nichtsdesto trotz werde ich das nochmal testen. Ich empfehle dir sobald Du kannst auf die 1.6 zu ziehen, weil der SD wie oben schon erwähnt dort lange nicht weiter entwickelt wurde.

Viele Grüße Michael

 

[blackshadow]

Hi,

alles klar. Ja den Umstieg zieh ich schon lange ein Erwägung, nur haben wir so viele Applikationen auf Basis der Wawi DB implementiert,
die uns ein extrem hohes Maß an Arbeitserleichtung bringen und mit der 1.6 ändert sich echt viel in der DB, womöglich noch mehr mit 1.7.
Hier liebäugeln wir schon mit der RestAPI seitdem diese in der Roadmap erschienen ist. Hoffe hierzu wird es bald eine Beta Phase geben.

mfg