NEWS AUS DEM IT-SECURITY BEREICH

Diskutiere NEWS AUS DEM IT-SECURITY BEREICH im Security-Zone - Sicherheitslücken, Virenschutz, Kryptosoftware & Mehr Forum im Bereich Hardware & Software.

  1. #161
    Fireglider


    Wurm-Welle durch Sobig.F beeinträchtigt Mailverkehr

    Der am gestrigen Dienstag aufgetauchte Virus Sobig.F verbreitet sich bislang nahezu ungebremst im Internet. Die Virenscanner auf den Mail-Servern ächzen derzeit unter der Last der großen Zahl infizierter Mails. Allein im Heise-Verlag sind seit gestern Nachmittag 13.000 verseuchte Mails, die von außen auf dem Mail-Server eintrafen, in die Quarantäne verschoben worden. Zusätzlich werden die Anwender in vielen Firmen durch Mails belastet, die darauf hinweisen, dass die elektronische Post nicht zugestellt werden konnte, da sie infiziert oder der Empfänger nicht bekannt sei.

    In der von Messagelabs bereitgestellten Grafik zur Anzeige der derzeit aktiven Viren wird das Skalenende über die infizierten Mails, die in den vergangenen 24 Stunden über die Virenscanner des Anbieters liefen, momentan ständig nach oben verschoben. Gestern lag es bei 40.000, heute morgen bei 300.000, mittlerweile geht der Virus an die Grenze zu 350.000. Berichte auf der Sicherheits-Mailingliste Full-Disclosure zufolge konnte sich Sobig.F im Vergleich zu seinen Vorganger diesmal so explosionsartig vermehren, da der eingebaute SMTP-Server zum Versenden von Mails Multi-Threading unterstützt. Der Virus kann also mehrere Verbindungen parallel öffnen.

    Weitere Hinweise zu Viren und Würmern, zum Schutz vor den Schädlingen und Links zu den Herstellern von Antiviren-Software finden Sie auf den Antiviren-Seiten von heise Security. Auf den Seiten der Antivirenhersteller gibt es bereits Tools, wie Stinger von NAI zum Entfernen des Virus.

    Der Virus verbreitet sich als Dateianlage in Mails, die zum Beispiel folgende Betreffzeilen haben können:
    "Re: Thank you!", "Re: Your Application", "Re: Approved", "Your details", "Thank you!", "Re: Your application", "Re: Wicked screensaver", "Re: That movie" . Anhänge mit verdächtigen Endungen wie *.pif und *.scr, dürfen nicht geöffnet werden, etwa mit Doppelklick. Dies gilt auch wenn der Absender bekannt ist und das Attachment nicht explizit angefordert wurde, da Sobig.F die Absenderadressen fälscht. (dab/c't)

    HeiseLink

    ____

    Studie: Unternehmen sparen an der IT-Sicherheit

    MÜNCHEN (COMPUTERWOCHE) - Weltweit sparen Unternehmen an der Sicherheit ihrer IT und gefährden damit strategische Geschäftziele. Dies ergab eine Umfrage von Ernst & Young. Befragt wurden 1400 IT-Verantwortliche und Geschäftsführer von Unternehmen verschiedener Branchen in 66 Ländern.

    Obwohl 90 Prozent der Befragten IT-Sicherheit für wichtig halten, räumte ein Drittel ein, im Falle eines Angriffes auf ihre Systeme nur unzureichend reagieren zu können. 34 Prozent gaben an, nur bedingt Überblick zu haben, ob und wann Ihre Systeme überhaupt attackiert werden.

    Nach Meinung von 16 Prozent der Befragten sind unausgereifte Technologien der Hauptgrund für Sicherheitslücken. Für 55 Prozent stehen der Absicherung der IT allerdings Beschränkungen im Budget entgegen. Über eine zu geringe Aufmerksamkeit des Managements gegenüber IT-Themen klagen 24 Prozent, 32 Prozent fehlt die Zustimmung des Managements völlig. "Geschäftsziele und Sicherheitsstrategie der Unternehmen stimmen oft nicht überein", sagte Marcus Rubenschuh, IT-Sicherheitsexperte bei Ernst & Young.

    Eine vergleichsweise hohe Aufmerksamkeit widmen die Manager der Abwehr schwerwiegender Krisensituationen. Demnach hielten in Deutschland schon vor dem 11. September 2001 knapp 40 Prozent der Befragten Katastrophenschutz für wichtig bis sehr wichtig (weltweit 41 Prozent). Unmittelbar nach dem 11. September waren dies 70 Prozent (weltweit 64 Prozent), heute sind dies sogar 73 Prozent (weltweit 65 Prozent). "Die Unternehmen investieren viel in Sicherheitsmaßnahmen, die den völligen Geschäftsstillstand verhindern sollen, unterschätzen aber die vermeintlich kleinen Sicherheitslücken", kritisiert Rubenschuh. Die häufigere und insgesamt größte Gefahr gehe aber gerade von weniger beachteten Risiken aus: "Es sind nicht nur Katastrophen oder Cyber-Terroristen, die das Geschäft nachhaltig beeinträchtigen können. Eine viel größere Eintrittswahrscheinlichkeit haben alltäglichere Risiken, wie zum Beispiel der Diebstahl von intellektuellem Kapital oder Viren und Würmern."

    Als hohe oder sehr hohe Gefahr bezeichnen 51 Prozent der Unternehmen Viren und Würmer. 32 Prozent sehen leichtsinniges oder absichtliches Fehlverhalten von Mitarbeitern als hohes Risiko. Dennoch geben 83 Prozent der Unternehmen das meiste Geld lediglich für die Anschaffung neuer Hard- und Software aus: Nur 29 Prozent der Befragten gaben an, einen Großteil des Budgets in Schulungen zu investieren. Dies sei zu kurz gedacht, da sich bei der Bekämpfung von Würmern wie dem Mitte vergangener Woche erstmals aufgetauchten "W32.Blaster" (Computerwoche online berichtete) die Aufmerksamkeit und das Know-How der IT-Mitarbeiter gefordert sei.

    Risikoreduktion, gesetzliche Bestimmungen und die Sorge um das Image sind international die häufigsten Gründe für Investitionen in neue Sicherheitsmaßnahmen. Lediglich in Deutschland sind angesichts der wirtschaftlichen Rezession zu 51 Prozent Sparmaßnahmen, gefolgt von gesetzlichen Vorschriften (47 Prozent) und der Verringerung von Risiken (44 Prozent) die am häufigsten genannten Kriterien für Sicherheitsinvestitionen. International hielten nur 23 Prozent der Befragten Kostenreduktionen für entscheidungsrelevant. An der Sicherheit zu sparen, könne fatale Auswirkungen auf die gesamte Geschäftspraxis haben, mahnt Rubenschuh: "Sicherheitsanspruch und Realität in deutschen Unternehmen stimmen nicht überein." (lex)


    ComputerWocheLink

  2. #162
    Zombie79


    Wieder ein Patch für den Internet Explorer >= v5.01, der eine kritische Sicherheitslücke schließt.

    Das Security-Bulletin und den Patch findet ihr hier: http://www.microsoft.com/technet/tre...n/MS03-032.asp

    Über diese Lücke kann beliebiger Code auf dem System ausgeführt werden, wenn man eine speziell preparierte Internetseite besucht oder eine HTML-Mail zugeschickt bekommt. Outlook und Outlook Express benutzen beide den IE zur Anzeige der HTML-Mails. Da die meisten hier mit Administratorrechten unterwegs sind, ist damit nicht zu spaßen.

  3. #163
    Fireglider


    Sobig.F bricht alle Rekorde

    Moskau/New York/Wien (pte, 21. Aug 2003 14:10) - Sobig.F schlägt weltweit ein, wie eine Bombe. Hunderttausende Computer sollen laut dem russischen IT-Sicherheitsunternehmen Kaspersky Lab http://www.kaspersky.com/de bereits infiziert sein. Wie stark der Wurm verbreitet ist, gibt auch Message Labs (ML) http://www.messagelabs.com zu denken. Das Unternehmen, das für Geschäftskunden weltweit E-Mails filtert, verzeichnete in Sobigs ersten 24 Stunden über eine Mio. infizierte E-Mails. "Eine Zahl", wie ML-Marketing-Direktor Brian Czarny zu Protokoll gibt, "die alles bisher da gewesene übertrifft - Sobig.F ist der am schnellsten wachsende Wurm aller Zeiten."

    Weiters habe sich, wie Kaspersky Lab erklärte, Sobig.F mit einem Anteil von 92 Prozent längst den mit Abstand ersten Platz unter den momentan verbreiteten binären Übeltätern gesichert. Ikarus Software http://www.ikarus-software.at greift sogar noch ein bisschen weiter und spricht von über 99 Prozent.

    Immer deutlicher behindert Sobig.F den E-Mail-Verkehr. Für Tobias Marburg, Geschäftsführer der Allgäuer Hoster Domainfactory http://www.domainfactory.de , ist die Mehrlast, die auf Sobig.F zurückzuführen ist, noch schwer einzuschätzen. Sie bewege sich jedoch in einem Breich zwischen 30 und 40 Prozent und sei somit für die Kunden spürbar.

    Erstaunlich an der rasanten Verbreitung des Wurms ist besonders seine Lässigkeit. Er macht sich gar nicht erst die Mühe, nach Schwachstellen zu suchen, sondern vertraut auf menschliches Versagen. Erst wenn der Anwender den Anhang einer infizierten E-Mail selbst geöffnet hat, kann Sobig.F in den Computer eindringen. (Ende)


    PressseTextLink


    ____



    Schwere Sicherheitslücke in etlichen Microsoft-Produkten


    MDAC-Datenbankfunktion erlaubt Angreifer Ausführung beliebigen Programmcodes


    Die Datenbankkomponente Microsoft Data Access Components (MDAC) gehört zum Lieferumfang mehrerer Microsoft-Produkte und enthält nach Microsoft-Angaben ein gefährliches Sicherheitsloch, worüber ein Angreifer beliebigen Programmcode auf einem fremden System ausführen kann. Zur Abhilfe bietet Microsoft einen entsprechenden Patch an.

    Das Sicherheitsleck in der Datenbankfunktion Microsoft Data Access Components (MDAC) der Versionen 2.5, 2.6 und 2.7 erlaubt es einem Angreifer, auf eine Anfrage an einen SQL-Server mit einem präparierten Datenpaket zu antworten und so auf dem betreffenden System einen Buffer Overflow auszulösen. Das versetzt einen Angreifer in die Lage, beliebigen Programmcode auf dem System zu starten, um so eine weitreichende Kontrolle über das System zu erlangen. Dabei erhält eine Attacke die gleichen Rechte wie die Applikation, welche die Datenbankanfrage gestellt hat. Nach Herstellerangaben soll die aktuelle MDAC-Version 2.8 nicht von dem Problem betroffen sein.

    Über die MDAC-Funktion wickeln zahlreiche Microsoft-Produkte Datenbankabfragen ab, die allesamt von der Sicherheitslücke betroffen sind: So enthalten Windows Millennium Edition, 2000 und XP, Office 2000 ab dem Service Release 1, der SQL-Server 7.0 ab dem Service Pack 2 sowie der SQL-Server 2000, Visual Studio .NET und schließlich der Internet Explorer die MDAC-Komponente. Wer eines dieser Produkte einsetzt, sollte den von Microsoft bereitgestellten Patch umgehend installieren, um das Sicherheitsleck zu schließen. Alternativ lässt sich die MDAC-Funktion nachträglich installieren, so dass auch hier nicht gelistete Systeme von dem Problem betroffen sein können.

    Microsoft bietet ab sofort einen Patch für die MDAC-Versionen 2.5, 2.6 sowie 2.7 zum Download an, welche das Sicherheitsleck beseitigen soll.

    GolemLink

    ____

    Abermals gefährliche Sicherheitslecks im Internet Explorer


    Sicherheitslöcher erlauben Angreifer das Ausführen von Programmcode


    Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthält der Internet Explorer in den Versionen 5.01, 5.5 und 6.0 erneut zwei gefährliche Sicherheitslöcher, worüber ein Angreifer beliebigen Programmcode auf dem System starten kann. Ein Sammel-Patch soll diese Sicherheitslücken sowie bisherige Sicherheitslöcher in Microsofts Browser schließen und aktualisiert weitere Komponenten rund um den Internet Explorer.

    Eines der beiden Sicherheitslecks im Internet Explorer betrifft das Cross-Domain-Sicherheitsmodell des Browsers, worüber eigentlich der Austausch von Informationen über Domain-Grenzen hinweg unterbunden werden sollte. Ein Angreifer kann über eine entsprechend formatierte Webseite Script-Code in der Sicherheitszone "Mein Computer" ausführen, um auf dem angegriffenen System befindliche Applikationen mit den Rechten des angemeldeten Benutzers zu starten oder Dateien auf dem betreffenden System einzusehen.

    Das zweite Sicherheitsloch erlaubt es einem Angreifer sogar, beliebigen Programmcode auf ein anderes System zu laden und diesen mit den Rechten des angemeldeten Nutzers auszuführen. Ein Fehler im Internet Explorer sorgt dafür, dass der Browser einen von einem Web-Server stammenden Object-Typ falsch erkennt und einem Angreifer so über die Bereitstellung einer speziell formatierten Webseite das Einschleusen von beliebigem Programmcode erlaubt.

    Die letztere der beiden Sicherheitslücken kann neben der Bereitstellung als Webseite auch über eine HTML-Mail ausgenutzt werden, da viele Mail-Clients die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails verwenden. Dann genügt die Ansicht einer entsprechend formatierten E-Mail, um Opfer einer solchen Attacke zu werden.

    Zudem setzt der von Microsoft bereitgestellte Sammel-Patch für das nicht mehr unterstützte ActiveX-Control BR549.DLL ein Kill-Bit, da dieses Reporting-Control ebenfalls ein Sicherheitsloch aufweist und so deaktiviert wird. Als Weiteres behebt der Patch einen Programmfehler, wodurch der Internet Explorer durch die Anzeige einer HTML-Seite zum Absturz gebracht werden kann. Dadurch ist auch ein Absturz des E-Mail-Clients möglich, wenn dieser den Internet Explorer zur Ansicht von HTML-Mails verwendet.

    Microsoft bietet einen Sammel-Patch für den Internet Explorer 5.01, 5.5 mit Service Pack 2 und 6.0 zum Download an, der auch frühere einzeln erschienene Sicherheits-Updates umfasst.

  4. #164
    Fireglider


    Aktuelle Sicherheitslücken


    Code ausführbar in Netris



    Software: Netris 0.3 bis 0.5
    Typ: Pufferüberlauf


    Problem: Ein Puffer, der dazu verwendet wird, das Servergreeting in lokalen Speicher zu kopieren, ist nicht ausreichend geschützt.
    Effekt: Durch eine besonders lange Begrüssung kann der Puffer überlaufen und das Ausführen von Code mit den Benutzerprivilegiern ermöglichen.
    Lokal: nein
    Remote: ja


    Exploit: Exploit der beliebigen Code ausführt
    Lösung: Es wird empfohlen auf Netris 0.52 upzudaten. Debian hat Patches für seine Distribution bereit gestellt.


    Veröffentlicht: 20.08.2003
    Aktualisiert: 20.08.2003
    Quelle: Bugtraq

  5. #165
    Fireglider


    FBI ist Sobig.F-Machern auf der Spur

    Erneuter Virusangriff abgewehrt

    Washington (pte, 25. Aug 2003 14:36) - Die US-Sicherheitsbehörde FBI (Federal Bureau of Investigation) http://www.fbi.gov hat in Zusammenarbeit mit Antivirusexperten am vergangenen Wochenende einen erneuten Sobig.F-Angriff abgewendet. Dabei wurden bis zu 20 Internet-Server abgeschaltet, die den Virus über das Netz verbreiten sollten. Experten des FBIs vermuten, dass der Macher des SoBig.F-Virus diesen auf einer pornographischen Internet-Homepage platziert hatte und User dieser Seite den Virus verbreitet hätten. Die F-Version des Sobig-Virus hat seit Beginn der Attacken weltweit bis zu 570.000 Computer lahm gelegt, so der Antivirushersteller Trend Micro Inc. http://www.trendmicro.com .

    Zur Verfolgung des Sobig-Erfinders arbeitet das FBI mit dem Department of Homeland Security, der Computerindustrie und anderen Bundesbehörden zusammen. Das FBI setzte vergangenen Freitag in der Verfolgung des Sobig.F-Virus erste Schritte und erteilte dem IT-Unternehmen Easynews http://www.easynews.com eine Vorladung zur Offenlegung seiner Internetprotokolle. Dabei wurde die Bekanntgabe der IP-Adresse des Computers gefordert, der für die Aussendung von Sobig.F-verseuchten E-Mails am 18. August verantwortlich war. Jimmy Kuo, ein Sprecher des Antivirus-Softwareherstellers Network Associates, sagte, dass der Erfinder des Sobig-Virus diesen auf pornographischen Internetseiten gepostet hatte. Dabei wurde der Virus von Usern dieser Seite unbeabsichtigt verbreitet.

    Nach Angaben des Antivirus-Softwareherstellers Trend Micro nahm die Anzahl der befallenen Computer von 150.000 am Samstag auf 85.000 am Sonntag ab. Sobig.F ist die sechste Version des Sobig-Virus, der im Januar dieses Jahres erstmals aufgetaucht ist. Wie seine Vorgänger trägt auch der Sobig.F-Virus einen Selbstzerstörungsmechanismus in sich. So soll sich der Virus per 10. September selbst zerstören. Antivirus-Experten vermuten dahinter, dass der Sobig-Erfinder damit die Auswirkungen seines Virus studieren will um dessen Effizienz zu erhöhen. (Ende)


    PresseText.de

    __________


    Phoenix packt Antivirensoftware ins BIOS

    MÜNCHEN (COMPUTERWOCHE) - Der kalifornische Hersteller Phoenix Technologies bietet eine BIOS-Variante (Basic Input Output System) an, in die die Antivirensoftware "Virusscan" von McAfee integriert ist. Die Software sitzt im geschützten CME-Bereich (Cored Managed Environment) und dient ausschließlich zur Beseitigung von Schädlingen. Die Infizierung eines PCs kann sie nicht verhindern. Wie bei der herkömmlichen Virusscan-Variante lassen sich die Virensignaturen via Online-Update erneuern.

    Das Antiviren-BIOS ist für PC-Hersteller ab sofort verfügbar. Phoenix stattet eigenen Angaben zufolge 70 bis 80 Prozent aller PCs weltweit mit einem Basissystem aus. (lex)

    ComputerWoche.de

    ___


    Sicherheitsloch in Servern von RealNetworks


    RealNetworks meldet eine Schwachstelle im Medien-Streaming-Server Helix Universal Server 9 und früheren Versionen, wie etwa RealSystem Server 7, 8 und RealServer G2. Der RealNetworks Proxy ist nicht betroffen. Der Fehler findet sich in einem Protokoll-Parser des View-Source-Plug-ins zur Darstellung der Format-Header von Media-Dateien. Werden in einer URL sehr viele spezielle Zeichenketten übertragen, so kann damit beliebiger Code eingeschleust und im Root-Kontext ausgeführt werden.

    Ein Patch wird derzeit noch nicht bereitgestellt, nach Angaben von RealNetworks arbeitet man aber an einer neuen Version des Helix-Servers. Als Workaround empfiehlt der Hersteller das Plug-in "vsrcplin.so" (Unix) beziehungsweise "vsrcplin.dll" (Windows) aus dem Verzeichnis /Plugins zu entfernen und den Server neu zu starten. Das Content-Browsing ist dann nicht mehr verfügbar, weitere Funktionen wie On-Demand-Video, Live-Streaming, Logging und Authentifizierung werden davon aber nicht beeinflusst. (dab/c't)


    Heise.de

  6. #166
    Fireglider


    Aktuelle Sicherheitslücken

    Code ausführbar in Linux C-Library



    Betriebsystem: Linux (diverse Versionen u. Dists), Free/Open BSD (diverse Versionen), Mac OS X 10.2.6
    Typ: Pufferüberlauf


    Problem: Die Implementierung der realpath() Funktion in der C-Library, die den kompletten Pfad als Ergebnis liefert, ist fehlerhaft.
    Effekt: Bei Aufruf dieser Funktion kann ein Puffer überlaufen. Dies kann das Ausführen von Code zur Folge haben.
    Lokal: nein
    Remote: ja


    Exploit: Exploit für WuFTP
    Lösung: Die C-Library sollte gepatcht werden. Satisch gebundene Programme sollten neu übersetzt werden. Bei Programmen, bei denen kein Source zur verfügung steht sollte der Hersteller kontaktiert werden.


    Veröffentlicht: 25.08.2003
    Aktualisiert: 25.08.2003
    Quelle: Bugtraq

  7. #167
    Fireglider


    OpenBSD-Firewall erkennt Betriebssysteme

    Die Paketfilter-Firewall von OpenBSD kann jetzt mit OS Fingerprinting das Betriebssystem der zugreifenden Rechner erkennen und in Filterregeln berücksichtigen. Dabei achtet die Firewall etwa auf winzige Nuancen, in denen sich die TCP/IP-Implementierungen der Systeme unterscheiden.

    Als Anwendung schlagen die Entwickler etwa Filterregeln vor, die es Windows-PCs verbieten, Mails bei einem SMTP-Server abzuliefern. Damit wären E-Mail-Würmer ausgesperrt, die ihre Nachrichten direkt an einen Mailserver senden. Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum. (kav/c't)

    HeiseLink

    ___


    Norton AntiVirus 2004 bekämpft nicht nur Viren


    Symantec verpasst Antiviren-Software Produkt-Aktivierung


    In den USA will Symantec im September 2003 eine neue Version der Antiviren-Software Norton AntiVirus für die Windows-Plattform auf den Markt bringen. In Norton AntiVirus 2004 wurden Funktionen integriert, um auch gegen Nicht-Viren vorzugehen und etwa Spyware oder Software zur Protokollierung von Texteingaben (Key-Logger) zu bekämpfen. Außerdem fügt Symantec erstmals eine Produktaktivierung in seinen Produkten ein.

    Norton AntiVirus 2004 erkennt Viren oder Würmer nun auch, wenn diese sich in einer komprimierten Datei verbergen, womit Symantec auf die aktuelle Entwicklung bei Würmern reagiert. Als weitere Neuerung soll die Software das Einschleusen von Spyware oder Key-Loggern verhindern und PC-Systeme so vor weiteren Angriffen aus dem Internet sichern.

    Mit Norton AntiVirus 2004 erhält erstmals ein Symantec-Produkt eine Produkt-Aktivierung, um zu garantieren, dass keine Raubkopien der Software verwendet werden. Leider gab Symantec keine weiteren Details bekannt, wie diese Aktivierung gestaltet ist. Vermutlich wird die Software nur für einen begrenzten Zeitpunkt ohne Aktivierung zu nutzen sein. Welche Daten Symantec zur Produktaktivierung vom Nutzer verlangt und auf welchem Wege sich das Produkt aktivieren lässt, behielt der Hersteller ebenfalls für sich.

    Zusätzlich zur Standard-Ausführung soll Norton AntiVirus 2004 Professional die Möglichkeit bieten, gelöschte oder zerstörte Dateien zu reparieren. Außerdem lassen sich Daten so löschen, dass diese nicht wieder gerettet werden können. Die Professional-Version umfasst eine Lizenz für zwei verschiedene PCs, so dass die Software etwa im Büro und zu Hause installiert werden kann.

    Norton AntiVirus 2004 für die Windows-Plattform soll in der Standard- und Professional-Version im September 2003 in den USA in den Handel kommen. Während die normale Ausführung für 49,95 US-Dollar zu haben ist, kostet die Professional-Variante 69,95 US-Dollar. Der Preis umfasst ein 1-Jahres-Abonnement für Virensignaturen. Für beide Versionen bietet Symantec Update-Optionen an: So kostet das Update auf Norton AntiVirus 2004 29,95 US-Dollar und das Update auf Norton AntiVirus 2004 Professional gibt es für 39,95 US-Dollar. Deutsche Verfügbarkeiten und Preise sind derzeit nicht bekannt.

    GolemLink

    ______


    Lovsan treibt Internetnutzer auf die Webseiten der Antiviren-Hersteller

    Am besten selber dort schauen...da dort ne Tabelle ist....die kann man dort besser lesen.


    HeiseLink

    _____


    Sobig.F, Spammer und die nächste Wurmwelle


    MÜNCHEN (COMPUTERWOCHE) - Antivirenexperten rechnen damit, dass der "Sobig"-Urheber in Kürze eine neue Variante des Internet-Wurms freisetzen wird. Von Sobig, dessen erste Version Anfang des Jahres auftauchte, sind bislang sechs Varianten bekannt. Das Design des Wurms sieht vor, trojanische Pferde einzuschleusen, durch die vertrauliche Daten ausspioniert werden können (Computerwoche online berichtete).


    Mikko Hypponen
    Mikko Hypponen, Chef des Antiviren-Herstellers F-Secure hat allerdings einen anderen Verdacht. Demnach lässt sich die Trojaner-Funktion dazu nutzen, infizierte Rechner zur Anonymisierung von Spam-Mails zu missbrauchen. "Die Aktion ist gut geplant, gut programmiert und gut ausgeführt". Das Motiv des Wurm-Urhebers steht für Hypponen ebenfalls fest: Der Wurm-Urheber protokolliere die Liste der IP-Adressen von infizierten Rechnern. Diese verkaufe er an Spammer, die daraufhin ihre Massen-Mails über die durch Sobig eingerichteten Spam-Relays leiten können.

    Dem stimmt Joe Stewart, Chef-Analyst beim IT-Sicherheitsspezialisten Lurhq zu. Bei Sobig handele es sich möglicherweise um den ersten Schädling, der als Gelderwerbsquelle programmiert wurde. Die bedeute, dass es der Virenprogrammierer oder das Entwickler-Team nicht bei der Variante "F" belassen werde. Stewart rechnet allerdings nicht damit, dass eine neue Version schon in Kürze auftauchen wird. Auf Grund der Ermittlungen verschiedener Behörden wie der US-Bundespolizei FBI werde sich der Urheber vorerst zurückhalten. Das FBI werde den Verursacher ohnehin nicht ermitteln können, glaubt der Analyst: "Dieser Bursche weiß ganz offensichtlich, wie man seine Spuren im Internet effektiv verschleiert."

    Die Behörden haben unterdessen ermittelt, dass Sobig.F über diverse Porno-Newsgroups freigesetzt wurde. Da der entsprechende Account jedoch mit einer gestohlenen Kreditkartennummer angelegt wurde, führt die Spur an dieser Stelle bislang nicht weiter (Computerwoche online berichtete). Mit einer neuen Wurm-Variante könnte in rund einem Monat zu rechnen sein. Denn am 10. September deaktiviert sich Sobig.F automatisch. (lex)


    ComputerWocheLink

    ____


    Alter Fehler in sendmail wird zum Sicherheitsproblem


    Der Open-Source-MTA sendmail in den Versionen 8.12. bis einschließlich 8.12.8 ist von einem Fehler betroffen, mit dem ein Angreifer den Server zum Absturz bringen kann. Potenziell könnte der Fehler auch das Einschleusen und Ausführen von beliebigem Code ermöglichen. sendmail ist immer noch einer der meist verwendeten MTAs im Internet. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.

    Der Fehler im DNS-Mapping von sendmail ist bereits in Version 8.12.9 behoben worden, wurde aber nicht als Sicherheitsproblem erkannt. Durch eine falsche Initialisierung der Struktur RESOURCE_RECORD_T ruft sendmail bei einer fehlerhaften DNS-Antwort die Funktion free() mit zufälligen Adressen auf. In der Folge stürzt Sendmail ab. Bisher haben Mandrake und SGI neue Pakete und Updates zur Verfügung gestellt. Die Firmen empfehlen, diese so bald wie möglich einzuspielen.

    HeiseLink mit fortführenden Themen

    _____


    FBI: Sobig.F wurde über Porno-Newsgroups freigesetzt


    MÜNCHEN (COMPUTERWOCHE) - Der Internet-Wurm Sobig.F, der seit rund einer Woche im Umlauf ist, könnte seinen Ursprung im so genannten Usenet haben. Ermittlungen der US-Bundespolizei FBI zufolge wurde der Schädling als Pornobild getarnt mit einem Beitrag verbreitet, der in verschiedenen Newsgroups veröffentlicht wurde.

    Der Usenet-Betreiber Easynews Inc. erklärte, eine Vorladung der Behörde erhalten zu haben. Einer der Accounts des Unternehmens soll dafür verwendet worden sein, den Wurm freizusetzen. Das Unternehmen teilte weiter mit, alle Daten, die mit dem Account in Zusammenhang stehen, an die Bundesbehörde weitergeleitet zu haben.

    Easynews veröffentlichte zudem Details zu dem betreffenden Posting. Demnach wurde am Montag, dem 18. August gegen 21 Uhr mitteleuropäischer Zeit ein Eintrag in sechs Newsgroups erstellt: alt.binaries.amp, alt.binaries.boneless, alt.binaries.nl, alt.binaries.pictures.chimera, alt.binaries.pictures.erotica und alt.binaries.pictures.erotica.amateur.female. Das Posting hatte den Titel: "Nice, who has more of it? DSC-00465.jpeg". Sobald auf das vermeintliche Bild geklickt wurde, installierte sich der Wurm auf den jeweiligen Systemen.

    Der fragliche Account sei mit Hilfe gestohlener Kreditkartendaten wenige Minuten vor dem eigentlichen Posting erstellt worden. Der mutmaßliche Urheber hat zudem wenige Minuten vor der Freisetzung des Wurms einen Testlauf im Usenet unternommen. Der letzte Stand der Ermittlungen ergab, dass für das Posting ein PC im kanadischen British Columbia verwendet wurde.

    Beim Usenet handelt es sich um ein Netzwerk aus tausenden verschiedener Diskussionsgruppen, so genannter Newsgroups. Die Nutzerzahlen liegen im Millionen-Bereich. Das Diskussionsspektrum ist breit gefächert und beinhaltet Computer- und Wissenschaftsthemen genau so wie Fanclubs von Pop-Gruppen und pornografische Inhalte. (lex)


    ComputerWocheLink

  8. #168
    Fireglider


    Real Networks warnt: Helix ist unsicher

    MÜNCHEN (COMPUTERWOCHE) - Real Networks warnt vor einer Sicherheitslücke in der Streaming-Plattform "Helix Universal Server 9". Durch einen Fehler in der Verarbeitung der Protokolle lässt sich beliebiger Code einschleusen. Betroffen sind auch die Vorgänger der Plattform "RealSystem Server" (Versionen 7 und 8) sowie der "RealServer G2". Als Workaround empfiehlt der Hersteller, das "View-Source"-Plug-in zu löschen und den Server neu zu starten. Die Komponente besteht aus den Dateien "vsrcplin.so" und "vscrcplin.dll", die im Plug-in-Ordner gespeichert sind.

    Das Entfernen des Moduls habe keinen Einfluss auf die Streaming- und Authentifizierungs-Funktionen des Servers. Lediglich das Navigieren in Inhalten werde deaktiviert. Einen Patch will Real nicht anbieten. Die Sicherheitslücke soll mit der nächsten Version des Helix Universal Servers geschlossen werden. (lex)


    ComputerWocheLink


    ____


    DDoS-Attacken gegen Blacklist-Server


    Mehrere so genannter Blacklist-Server stehen seit einer Woche unter Beschuss: Per DDoS-Attacke (Distributed Denial of Service) werden die Rechner mit sinnlosen Anfragen überflutet und sind dadurch für die Nutzer nicht mehr oder nur eingeschränkt zu erreichen. Die Blacklist-Server dienen dazu, mögliche Quellen für Spam-Aussendungen bekannt zu machen. Die Nutzer der Server können Sendungen von diesen Quellen dann unterbinden.

    Der Betreiber des Servers Osirusoft.com, der sich auf spammende Dialup-User spezialisiert hat, hat offenbar bereits das Handtuch geworfen: Abfragen bei der Datenbank werden grundsätzlich mit "listed" beantwortet. Damit ist der Dienst nicht mehr nutzbar. Auch der bei Osirusoft gehostete anonyme Dienst Spews.org ist seit einigen Tagen nicht mehr verfügbar -- vermutlich fiel auch er der DDoS-Attacke zum Opfer.

    Die Nutzergemeinde spekuliert nun über die Urheber. Der Verdacht richtet sich gegen die Spammer -- denn diese haben ein vitales Interesse daran, dass die Blacklist-Server vom Netz gehen. Da viele Spam-Filter server- und clientseitig auch die Blacklists zur Spam-Erkennung nutzen, wird ein Ausfall einer oder mehrerer Blacklist-Server zu einem erhöhten Spam-Aufkommen in E-Mail-Postfächern führen, da ein Teil der Spam-Mails dann nicht mehr erkannt wird. (uma/c't)


    HeiseLink

    :::

    Anonymisier-Dienst JAP ist wieder anonym


    Das Landgericht Frankfurt am Main ordnete an, die Vollziehung des richterlichen Beschlusses gegen die AN.ON-Projektpartner auszusetzen (Az.: 5/6 Qs 47/03). Sowohl das Unabhängige Landesdatenschutzzentrum (ULD) in Kiel als auch die TU Dresden schalteten am gestrigen Dienstag nach dem Entscheid des Gerichts sofort die Protokollierungsfunktion wieder ab. Die Projektverantwortlichen sehen die Entscheidung als einen "ersten Teilerfolg" in ihrer juristischen Auseinandersetzung mit dem Bundeskriminalamt (BKA).

    Auf Antrag des BKA hatte das Amtsgericht Frankfurt verfügt, dass der Anonymisierungsdienst AN.ON den Zugriff auf eine bestimmte IP-Nummer protokollieren musste. AN.ON ist das gemeinsame Projekt des ULD und der Technischen Universität Dresden für anonymes Surfen im Internet. Allerdings waren nicht alle Mix-Kaskaden von dem richterlichen Beschluss betroffen.

    Das ULD hatte bereits vor sechs Wochen gegen den Beschluss das förmliche Rechtsmittel der Beschwerde eingelegt, da es den Beschluss für "offenkundig rechtswidrig" hielt. Bis gestern hatte die behördlich angeordnete Fangschaltung gerade einmal einen einzigen Datensatz protokolliert. Über seine Verwendung entscheidet das Landgericht voraussichtlich in den kommenden Tagen. (uma/c't)

    HeiseLink

  9. #169
    Fireglider


    Aktuelle Sicherheitslücken


    Denial of Service in sendmail



    Betriebsystem: verschiedene Linux-Distributionen
    Software: sendmail 8.12 - 8.12.8
    Typ: Denial of Service


    Problem: Der DNS map - Code ist fehlerhaft. Diese Funktion wird durch FEATURE(`enhdnsbl') aktiviert.
    Effekt: Bekommt sendmail eine ungültige DNS-Antwort, wird free(3) auf zufällige Daten aufgerufen, was zu einem Absturz des sendmail-Prozesses führt.
    Lokal: nein
    Remote: ja


    Exploit: Derzeit sind uns keine Exploits bekannt.
    Lösung: Update auf sendmail 8.12.9 oder einspielen eines Patches .


    Veröffentlicht: 27.08.2003
    Aktualisiert: 27.08.2003
    Quelle: SuSE-Security-Announcement


    :::::


    Rootrechte in WIDZ erlangbar



    Software: WIDZ 1.0, 1.5
    Typ: Fehlerhafte Ausnahmebehandlung


    Problem: Alarmmeldungen werden ohne Prüfung durch einen Systemaufruf weitergegeben.
    Effekt: Durch einfügen von Fehlerhaften Daten in die essid kann das zugrundeliegende Betriebssystem angegriffen werden.
    Lokal: nein
    Remote: ja


    Exploit: Go to Apple Airport and set network name to ';/usr/bin/id;

    This will generate the following message:
    unknown AP essid=
    uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
    sh: -c: line 3: unexpected EOF while looking for matching `''
    sh: -c: line 4: syntax error: unexpected end of file

    Lösung: Derzeit sind uns keine Patches/Updates bekannt.


    Veröffentlicht: 27.08.2003
    Aktualisiert: 27.08.2003
    Quelle: Bugtraq

  10. #170
    Fireglider


    News vom 28.08.2003

    RealNetworks schließt Sicherheitsloch im RealOne Player


    RealNetworks weist in einem Security Advisory auf einen Fehler im RealOne Player hin. Durch eine Schwachstelle beim Abspielen so genannter SMIL-Dateien (Synchronized Multimedia Integration Language), kann ein Angreifer Skripte im Kontext der Sicherheitszone "My Computer" ausführen und damit auf beliebige lokale Dateien zugreifen. Betroffen sind RealOne Player (englische Version), RealOne Player Version 2 für Windows (alle Sprachversionen) und RealOne Enterprise Desktop (alle Versionen, eigenständig und mit der Konfiguration von RealOne Desktop Manager).

    Die Entdecker der Schwachstelle, DigitalPranksters, haben bereits einen Proof-of-Concept-Exploit veröffentlicht. RealNetworks empfiehlt zur Beseitigung des Fehlers, den Player über die Funktion "Auf Update überprüfen" zu aktualisieren. Allerdings würden dann, so der Hersteller, einige Präsentationen nicht mehr richtig funktionieren, wie etwa alle Anwendungen, die Javascript als eingebettetes Ereignis in einer .RM-Datei aufrufen.

    SMIL-Dateien werden für Multimedia-Präsentationen benutzt und ermöglichen es, Inhalte von unterschiedlichen URLs nachzuladen. Wird als URL ein Scripting-Protokoll angegeben (javascript, so wird im RealOne Player das Skript im Kontext der vorhergehenden URL ausgeführt, zum Beispiel "My Computer". Diese Zone ist eigentlich nicht vorhanden, Microsoft beschreibt sie wie folgt:"Darüber hinaus werden alle bereits auf dem lokalen Computer befindlichen Dateien als sehr sicher angesehen, sodass ihnen nur minimale Sicherheitseinstellungen zugewiesen werden. Sie können die auf dem Computer befindlichen Ordner bzw. Laufwerke keiner Sicherheitszone zuweisen." Zum Starten einer SMIL-Präsentation bedarf es keiner Benutzerinteraktion. Sind SMIL-Präsentationen als Objekt in einem HTML-Dokument eingebettet, werden sie automatisch ausgeführt.


    HeiseLInk


    ____


    Der Chef liest mit: Privates Surfen am Arbeitsplatz bleibt umstritten


    Schnäppchen ersteigern, Bankgeschäfte erledigen, persönliche Mails lesen -- private Internet-Nutzung ist in vielen Firmen selbstverständlich, aber selten eindeutig geregelt. So ist zum Beispiel unklar, ob der Arbeitgeber aufgerufene Webseiten protokollieren oder E-Mails filtern darf. "Das ist eine Grauzone mit Unsicherheiten für Mitarbeiter und Arbeitgeber", sagt Kai Kuhlmann, Spezialist für E-Business-Recht des Bundesverbandes der Informationswirtschaft Bitkom. Während die Abrechnung von Telefonaten oder Dienstreisen genau festgelegt ist, wirft die Internet-Nutzung zahlreiche Fragen auf. Verstopft privater Datenstrom die Leitungen, landen wirklich Viren aus verseuchten Musikdateien auf dem Firmenrechner -- oder profitiert das Unternehmen, wenn sich Angestellte per Web auf dem Laufenden halten, recherchieren oder die Konkurrenz beobachten?

    Durch Virenangriffe und Wurmattacken aufgeschreckt, machen sich immer mehr Firmen Gedanken, wie sich Surfgewohnheiten der Mitarbeiter kontrollieren lassen. Dabei geht es einerseits um Überwachungssoftware, aber vor allem um Filterprogramme, die nur den Zugriff auf bestimmte Internetseiten erlauben. Moderne Programme erkennen bestimmte Wortkombinationen -- oder auch einen hohen Anteil an nackter Haut -- und sperren die Seiten. Einer Studie der amerikanischen Unternehmensberatung Frost und Sullivan zufolge lag der Umsatz für entsprechende Software im vergangenen Jahr weltweit bei 247 Millionen US-Dollar. Für das Jahr 2007 sehen die Analysten hier einen Markt von rund 770 Millionen US-Dollar. Den meisten Umsatz mit Kontrollprogrammen erwarten die Marktforscher in den Vereinigten Staaten, gefolgt von Europa, China, Südkorea und Japan.

    In Deutschland ist die Situation unübersichtlich. "Große Unternehmen beschäftigen sich intensiv mit dem Thema", erläutert Berni Lörwald, Sprecher des deutschen Softwareproduzenten Webwasher. "Gerade in vielen kleinen und mittelständischen Betrieben fehlt noch das Bewusstsein für die Problematik", schätzt Bitkom-Spezialist Kuhlmann den Trend ein. Durch klare Regeln könnten sich Mitarbeiter und Firmen aber zahlreiche arbeitsrechtliche und datenschutztechnische Streitfälle ersparen. Ein Beispiel: Nach Angaben Kuhlmanns haben Firmen versucht, Arbeitnehmer wegen übermäßigen Surfens zu kündigen. Da der Internet- Zugriff nicht geregelt gewesen sei, habe der Betrieb schließlich die Verbindungsdaten nicht vor Gericht nutzen können. "Das scheiterte dann an einem Beweisverwertungsverbot", schildert Kuhlmann die Problematik. In einer Broschüre, die von der Bitkom-Homepage heruntergeladen werden kann, stellt der Verband Handlungsmöglichkeiten und rechtliche Grundlagen vor.

    Auch die Gewerkschaften haben das Thema auf die Tagesordnung gesetzt. "Aus Unsicherheit über die Rechtslage verbieten viele Unternehmen das Surfen ganz", erläutert Cornelia Brandt von der Dienstleistungsgewerkschaft ver.di. "Das bringt genauso wenig, wie den Leuten das Zeitunglesen zu verbieten", kritisiert sie. Geschäftsführung und Betriebsräte sollten kooperieren. "Das kann zum Beispiel ein PC mit Internetzugang in der Kantine sein", schlägt die ver.di-Spezialistin vor. Außerdem sei ein so genanntes Arbeitnehmer-Datenschutzgesetz überfällig. Mit einem speziellen Internet-Angebot informiert ver.di über Spionagesoftware und Überwachung. Unter der Adresse onlinerechte- fuer-beschaeftigte.de hat die Gewerkschaft Hinweise über die rechtliche Grundlage veröffentlicht und bietet auch einen Spionageprüfer für den Bürocomputer an.

    HeiseLink

  11. #171
    Fireglider


    News vom 29.08.2003


    RSA schlägt RFID-Blocker vor

    Wissenschaftler der RSA Security Laboratories haben nach eigenen Angaben eine Methode entwickelt, um den von Datenschützern befürchteten Verlust an Privatspäre durch so genannte RFID-Tags zu kompensieren. Passive RFID-Tags sind Chips, die per Funk eine eindeutige Kennung von bis 128 Bit Länge senden, wenn sie von einem Lesegerät dazu aufgefordert werden. Da die Tags nicht unbedingt eine eigene Energieversorgung benötigen, können sie praktisch überall verwendet werden. Datenschützer befürchten, dass die Chips nicht nur als Barcode-Ersatz verwendet werden, sondern auch zur allgegenwärtigen Kundenüberwachung.

    In einem Aufsatz diskutieren Ari Juels und seine Kollegen von RSA Security, wie die Chips zeitweilig an der Übermittlung ihrer Kennung gehindert werden können. Dabei wollen sie ausnutzen, dass die Lesegeräte immer nur eine Kennung zurzeit einlesen können. Senden viele Tags gleichzeitig, kommt es zu einer Kollision. Der Leser teilt den einzelnen Tags dann eine Reihenfolge zu, in der sie sich zu melden haben -- die anderen bekommen in der Zwischenzeit den Befehl, Ruhe zu geben. Ein Tag-Blocker könnte ein solches Gerät also blockieren, indem er vorspiegelt, dass extrem viele Tags gleichzeitig senden.

    Die Tags mit Hilfe des beispielsweise vom Auto ID Center vorgeschlagenen Kill-Kommando ganz auszuschalten lehnen die Autoren ab -- schließlich würden die Tags auch durchaus nützliche Funktionen erfüllen. Simple Störsender lehnen sie als "Vorschlaghammer-Ansatz" ebenfalls ab. (wst/c't)

    HeiseLink

    ____


    CA empfiehlt kontinuierliches Sicherheitsmanagement


    MÜNCHEN (COMPUTERWOCHE) - Angesichts der Schäden, die Viren und Würmer in den vergangenen Wochen verursacht haben, appelliert Computer Associates (CA) an IT-Manager, aktiv Vorkehrungen zu treffen. Damit Sicherheitsrichtlinien und eine regelmäßige Prüfung der vorhandenen Arbeitsabläufe greifen, sei ein kontinuierliches Security-Management notwendig, das Mitarbeiter für die Sicherheitsbelange des Unternehmens sensibilisiert. Nur so ließen sich Netzwerke und wichtige Daten effektiv schützen, heißt es in einem Statement des Softwareherstellers.

    "Die Technologien, um Würmer zu stoppen, existieren und viele Unternehmen haben auch in einen umfassenden Netzwerkschutz investiert", erläutert Armin Stephan, Consulting Manager bei Computer Associates in Darmstadt. Allerdings könne auch das beste Produkt nur erfolgreich dann sein, wenn PC-Nutzer das nötige Bewusstsein aufbrächten und alle Sicherheits-Tools regelmäßig aktualisierten.

    Stephan empfiehlt Unternehmen, konkrete Richtlinien einzuführen und Mitarbeiter über die Hintergründe der Maßnahmen aufzuklären. Es müsse klar werden, dass die Vorkehrungen nicht als Verbote zu sehen seien, sondern das Firmennetz am Laufen halten.

    Ein kritischer Punkt sei beispielsweise der Umgang mit E-Mail-Attachments. Grundsätzlich gilt: Nutzer sollten gegenüber Anhängen misstrauisch sein, die sie nicht erwarten oder deren Absender sie nicht kennen. Darüber hinaus sollen Unternehmen die Nutzung bestimmter Technologien wie Instant Messaging und File Sharing kritisch abwägen, empfiehlt der CA-Manager.

    Die Schulung der Mitarbeiter dürfe sich nicht auf Rund-Mails mit Virenwarnungen der IT-Abteilungen beschränken. Erfahrungsgemäß würden diese Tipps schnell wieder vergessen, sagte Stephan. Um vorzubeugen, sei eine kontinuierliche Weiterbildung notwendig. Dies könne zum Beispiel durch Vortragsreihen im Unternehmen geschehen, die über Wirkungsweisen von Computerviren aufklären. Das sei gerade dann wichtig, wenn sich Mitarbeiter sich von zu Hause aus in das Firmennetz einwählen. Denn Privat-PCs seien meist nur schlecht geschützt. (lex)

    ComputerWocheLink

    :::

    FBI schnappt mutmaßlichen "Blaster"-Urheber


    MÜNCHEN (COMPUTERWOCHE) - Die US-Bundespolizei FBI will im Verlauf des Freitags den mutmaßlichen Autor des Internet-Wurms "W32.Blaster" (Computerwoche online berichtete) verhaften. Es handele sich um einen 18-jährigen Teenager, den ein Zeuge beim Testen des Wurms beobachtet haben will. Über die Identität des Verdächtigen schwieg sich das FBI bislang aus. Details sollen auf einer Pressekonferenz um 22:30 Uhr Mitteleuropäischer Zeit bekannt gegeben werden. (lex)


    ComputerWocheLink

  12. #172
    Fireglider


    Störungen bei Zugriff auf Red Hat Network

    Am 28. August ist das Zertifikat der Red Hat Network Certification Authority (RHN-CA) abgelaufen. Dies wird zur Server-Authentifizierung bei SSL-Verbindungen im Red Hat Network benötigt. Verbindungsversuche von up2date- und rhn_register-Clients scheitern seitdem (certificate verify failed) -- sofern nicht die aktualisierten Versionen eingespielt wurden, die das neue CA-Zertifikat enthalten.

    up2date ist ein Client zum Aktualisieren von RPM-Paketen auf Red Hat Linux. Betroffen sind alle Plattformen von Red Hat Linux, Enterprise Linux 2.1 und die Advanced Workstation 2.1. Red Hat hat neue Pakete von up2date zur Verfügung gestellt und empfiehlt dringend deren Installation.

    HeiseLink mit weiterführenden Links

    ____


    BKA erzwingt Hausdurchsuchung gegen Anonymitätsdienst


    AN.ON: Vorgehen des BKA nicht durch Gesetze gedeckt


    Das Bundeskriminalamt (BKA) hat am vergangenen Freitag einen erneuten richterlichen Beschluss gegen das AN.ON-Projekt erwirkt. Mit diesem Beschluss des Amtsgerichts Frankfurt am Main wurde die Durchsuchung der Räume des AN.ON-Projektes an der Technischen Universität Dresden (TU) angeordnet, um für polizeiliche Ermittlungen einen Protokolldatensatz aufzufinden, der auf der Grundlage einer zwischenzeitlich außer Vollzug gesetzten richterlichen Anordnung aufgezeichnet worden war.




    Am Samstag suchten Beamte des BKA die häusliche Wohnung des Direktors des Instituts für Systemarchitektur an der Fakultät Informatik auf und verlangten von ihm die Herausgabe des Protokolldatensatzes. Da nur auf diese Weise eine Durchsuchung des Instituts durch die Polizeibeamten und damit größerer Schaden für die TU Dresden abgewendet werden konnte, wurde der Datensatz herausgegeben. Nach Auffassung der Betreiber von AN.ON ist dieses Vorgehen des BKA vom Gesetz nicht gedeckt.

    Der Beschluss des Amtsgerichtes ist nach Auffassung der Projektpartner rechtswidrig. Da die Vollziehung der in einem vorangegangenen Beschluss des Amtsgerichts angeordneten Auskunftsverpflichtung (gem. §§ 100 g, h StPO) vom Landgericht Frankfurt am Main ausgesetzt worden war, war klargestellt, dass bis zur Entscheidung in der Hauptsache keine Herausgabepflicht für AN.ON bestand. Deshalb sei es eine rechtsmissbräuchliche Umgehung dieser Entscheidung des Landgerichts, die Herausgabe des Protokolldatensatzes mit Hilfe eines neuen Durchsuchungsbeschlusses des Amtsgerichtes zu erzwingen.

    Nachdem das Landgericht vorläufig zu Gunsten von AN.ON entschieden hatte, hätte das BKA nicht auf allgemeine Herausgabe- und Beschlagnahmebestimmungen (§§ 103, 105 StPO) ausweichen dürfen, so die AN.ON-Betreiber. Die Projektpartner wollen nun auch gegen diesen Beschluss durch Einlegung von Rechtsmitteln vorgehen. Eine gerichtliche Überprüfung des Vorgehens der Beamten des BKA halten die Projektpartner für zwingend erforderlich.

    GolemLink

    _____


    Sicherheitsloch in XFree86-Font-Bibliotheken


    Der Sicherheitsexperte Blexim berichtet auf Bugtraq von Fehlern in der Verarbeitung von Zeichensätzen, die ein Font-Server an X-Server sendet. Dabei wird die Größe einiger Variablen, die der Font-Server an den X-Server übermittelt, nicht überprüft, sodass Integer Overflows provoziert werden können. Prinzipiell sind damit Buffer Overflows und Heap Overflows möglich, mit denen ein Angreifer beliebigen Code einschleusen und im Kontext des X-Servers ausführen kann.

    In der Regel läuft der X-Server auf Unix-Clients mit grafischer Oberfläche, der Font-Server kann durch diesen Fehler nicht kompromittiert werden. Von dem Sicherheitsloch ist XFree86 Version 4.3.0 bis einschließlich 4.3.99.11 betroffen. In Version 4.3.99.12 ist der Fehler behoben, als Workaround empfiehlt Blexim das SUID-Bit von den XFree-Binaries zu entfernen.

    Ein X-Font-Server (xfs) kann lokal und im Netz laufen und nimmt X-Servern das Vorhalten eigener Zeichensätze, sowie das Rendering ab. Ursprünglich wurde er benötigt, da XFree selbst keine True-Type-Fonts unterstützte. Seit Version XFree 4.x ist diese Funktion in den X-Server eingebaut. Aus Performancegründen kann das Font-Rendering aber immer noch von einem separaten Prozess, dem Font-Server, durchgeführt werden. Im Netzwerk läuft xfs auf dem TCP-Port 7100.

    HeiseLink mit weiterführenden Links

    _____

    Blaster-Verbreiter angeklagt

    18-jährigem drohen zehn Jahre Gefängnis

    Seattle (pte, 01. Sep 2003 10:36) - Jeffrey Lee Parson ist der erste Mensch, der wegen der Verbreitung eines Wurms im Internet angeklagt worden ist. Der 18-järige US-Amerikaner, der vergangenen Freitag vom FBI festgenommen worden ist, wird beschuldigt mit seinem Wurm Blaster.B absichtlich Computer beschädigt zu haben. Im Falle einer Verurteilung muss Parson, wie Australian IT heute, Montag, berichtet, mit einer Gefängnisstrafe von bis zu zehn Jahren und einer Geldbuße von bis zu 250.000 Dollar rechnen.
    http://australianit.news.com.au/arti...nbv%5E,00.html

    Gegenüber dem FBI habe Parson bereits gestanden, Anfang des Monats den Blaster-Wurm verändert und im Internet verbreitet zu haben. Insgesamt sollen über 500.000 Computer von verschiedenen Varianten des Wurms heimgesucht worden sein und alleine bei Microsoft soll dadurch ein Schaden von fünf bis zehn Mio. Dollar entstanden sein. Mindestens 7.000 dieser Infektionen gehen laut Staatsanwalt Paul Luehr auf Parsons Kappe.

    Vorerst wurde Parson unter Hausarrest gestellt. Er darf zwar in die Schule gehen oder den Arzt besuchen, vom Internet oder jedem anderen Netzwerk muss er sich allerdings fernhalten. Die nächste Anhörung wird am 17. September in Seattle stattfinden. (Ende)


    PresseTextLink

    ______


    "Wurm-Mutationen" hohes Risiko für Datennetze

    Gefahr vor allem für KMU

    Stuttgart/Düsseldorf (pte, 01. Sep 2003 08:15) - Der Angriff der Internet-Würmer "LoveSan" oder "W32Blast" auf Microsoft-Betriebssysteme ist nach Einschätzung des Stuttgarter IT-Unternehmens NextiraOne noch nicht gebannt: "Beide Würmer werden uns im Internet noch einige Zeit begleiten. Es sind 'Mutationen' aufgetaucht, die leider nicht ganz so harmlos erscheinen wie ihre Vorgänger. Die 'Wurm-Mutationen' sind das Ergebnis von Hackern, die die Originalversionen verändern und als Trittbrettfahrer weiterhin eine ernstzunehmende Gefahr für Datennetze darstellen", so die Einschätzung des IT-Sicherheitsexperten Massimiliano Mandato von NextiraOne http://www.nextiraone.de.

    Nach einer NextiraOne-Marktanalyse sind die Informationssysteme bei mehr als der Hälfte der Klein- und mittelständischen Unternehmen gegen Attacken von Internet-Würmern schlecht gerüstet: "Vielen Firmen mangelt es an Ressourcen und dem erforderlichen Wissen. Besonders in der Unternehmensspitze hat man sich noch nicht ausreichend mit dem Thema Datensicherheit auseinandergesetzt. Dabei sollte es den Geschäftsführern klar sein, dass ein technischer Mangel in diesem Umfeld unter Umständen auch Haftungsrisiken zur Folge haben kann", warnt Mandato.

    In Betrieben gehe es häufig nach der Devise "Augen zu und durch". So lange nichts passiert, werde kein Geld investiert, um die Verwundbarkeit der Informationssysteme zu beseitigen. "Den Wert von Sicherheit erkennen Unternehmen erst dann, wenn das Kind in den Brunnen gefallen ist", so die Erfahrung des NextiraOne-Consultant. Firmen sollten sich generell einem Sicherheits-Check unterziehen - das sei ohne großen Aufwand über das Internet möglich. "In diesem sogenannten 'Security-Scan' werden Web-Server, Mail-Server oder Firewalls, die aus dem Internet erreichbar sind, auf mögliche Sicherheitslöcher hin überprüft. Diese Leistung für einen Server kostet weniger als ein neuer Standard-PC und kann ein Jahr lang unbegrenzt benutzt werden", rät Mandato.

    Eine Schwachstelle bei allen Sicherheitskonzepten sind nach Auffassung des Düsseldorfer Unternehmensberaters Ralf Sürtenich auch Notebooks und kleine Firmenniederlassungen. "Das beste Sicherheitskonzept ist nicht stärker als die schwächste Stelle. Ein Notebook, das gesicherte Firmenzugänge (VPN) benutzt und für normale Einwahlzugänge zum Internet eingerichtet ist, macht die besten Firewall-Konzepte durchlässig", so Sürtenich. Ein weiteres, neues Gefahrenpotenzial ergäbe sich durch die zunehmende Verbreitung von drahtlosen Inhouse-Netzen (W-LAN), die häufig in den Unternehmen ohne zenrale Planung entstehen und ausgebaut werden. "Das Sicherheitsproblem muss in alle Prozesse des Unternehmens einbezogen werden. Die Technik alleine kann nur leisten, was durch Konzepte vorgegeben wird und diese wiederum müssen auf den unternehmensinternen Prozessen aufsetzen", betont Sürtenich. (Ende)
    PresseTextLink

  13. #173
    Fireglider


    BSI warnt vor automatisierten Wurm-Warnungen

    Automatisierte Warnungen von Viren-Schutzprogrammen verunsichern Anwender


    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Administratoren auf, keine automatisierten Benachrichtigungen über Würmer in ihren E-Mails an die Absender zu versenden. Vor dem Hintergrund aktueller Würmer wie Sobig.F, die gefälschte Absenderadressen verwenden, führen diese Warnungen meist nur zur Verunsicherung der Anwender.

    Viele Anwender erhalten gegenwärtig E-Mails mit dem Hinweis, dass sie versucht hätten, einen Wurm zu versenden. Es handelt sich dabei um Warnungen durch Viren-Schutzprogramme, die dem im From-Feld aufgeführten Absender einer E-Mail eine automatisierte Warnung zukommen lassen, falls ein Wurm entdeckt worden ist.

    War diese Option in der Vergangenheit recht nützlich, da meist erst mit einer solchen Benachrichtigung der Absender erfuhr, dass er einen infizierten Rechner hat, laufen diese Warnungen heute meist in Leere. Mittlerweile fälschen Würmer sehr häufig die Absenderadresse.

    Durch die nutzlos gewordenen Wurm-Warnungen würden die E-Mail-Rechner zusätzlich stark belastet und die Anwender verunsichert. Das BSI empfiehlt daher, auf die automatisierte Versendung von Warnungen durch Viren-Schutzprogramme zu verzichten.

    GolemLink

    ____


    Fehler in Mailserver Exim


    Der Sicherheitsexperte Nick Cleaton berichtet auf Bugtraq von einem Heap Overflow im Unix Mail Transfer Agent (MTA) Exim ab Version 3 bis einschließlich 4.20. Provozieren kann den Heap Overflow jeder, der eine SMTP-Verbindung zum MTA aufbauen kann. Die potenzielle Schwachstelle sei laut Angabe von Cleaton und den Entwicklern von Exim, der University of Cambridge, so gut wie nicht ausnutzbar. Allerdings müsse dies nicht für alle Szenarien und alle Plattformen der Fall sein. Patches für Exim 3.36 und 4.20 sind auf den Seiten von Exim.org verfügbar. Weitere Einzelheiten über die Schwachstelle wurden nicht veröffentlicht, eine genauere Beschreibung soll aber demnächst auf der Mailing-Liste Vuln-Dev folgen.


    HeiseLink mit weiterführenden Links

    _____

    Sobig.F lässt Antiviren-Hersteller jubeln


    Marktforscher glaubt an Umsatzverdoppelung bis 2007

    Framingham (pte, 03. Sep 2003 11:54) - Der Ausbruch von Sobig.F, Blaster & Co. lässt die Hersteller von Antiviren-Software jubeln. Laut einer aktuellen Studie des Marktforschers IDC http://www.idc.com werden sich die entsprechenden Umsätze innerhalb der nächsten fünf Jahre weltweit auf 4,4 Mrd. Dollar verdoppeln. Die Nachfrage wird dabei sowohl von Unternehmens- als auch von Privatkundenseite anziehen, berichtet IDC.

    Bereits im Vorjahr haben sich die Hersteller von Antiviren-Software über eine Steigerung ihrer Umsätze um 31 Prozent auf 2,2 Mrd. Dollar freuen können. Dabei haben sowohl die Ausgaben von Firmen als auch die von Konsumenten angezogen, wobei die Privatuser sogar um 8,5 Prozent mehr für ihre Computersicherheit ausgegeben haben als die Unternehmen. "Während Unternehmen schon lange erkannt haben, dass Antiviren-Software nur so gut wie ihr jeweils letztes Update ist, haben nun auch Konsumenten und kleine Unternehmen die Notwendigkeit für Updates auf Subskriptions-Basis eingesehen", sagte IDC-Analyst Brian Burke.

    Viren und Würmer werden nach Darstellung von IDC auch weiterhin die weit verbreitetste Bedrohung für Unternehmen sein. So sind unter 325 befragten US-Firmen ganze 82 Prozent Opfer von Computer-Attacken geworden. Davon konnte immerhin 30 Prozent nicht rechtzeitig auf die Virenattacken reagieren. Dies zeige, so IDC, dass ein Angriff, auch wenn er entdeckt werde, erheblichen Schaden verursachen könnte, wenn nicht prompt Gegenmaßnahmen eingeleitet werden. Darüber hinaus warnt der Marktforscher davor, dass Würmer und Viren zur eigenen Verbreitung zunehmend Spam-Techniken verwenden. Dabei bedienen sie sich des "Social Engineerings", um Opfer zum Öffnen verseuchter Mails zu veranlassen. (Ende)


    Pressetext Link

  14. #174
    merlin


    - ----------------------------------------------------------------------
    Title: Flaw in NetBIOS Could Lead to Information Disclosure
    (824105)
    Date: 03 September 2003
    Software:

    - Microsoft Windows NT 4.0 Server
    - Microsoft Windows NT 4.0, Terminal Server Edition
    - Microsoft Windows 2000
    - Microsoft Windows XP
    - Microsoft Windows Server 2003

    Impact: Information Disclosure
    Max Risk: Low
    Bulletin: MS03-034

    Microsoft encourages customers to review the Security Bulletins at: http://www.microsoft.com/technet/sec...n/MS03-034.asp
    http://www.microsoft.com/security/se...s/ms03-034.asp
    - ----------------------------------------------------------------------

    Issue:
    ======
    Network basic input/output system (NetBIOS) is an application
    programming interface (API) that can be used by programs on a local
    area network (LAN). NetBIOS provides programs with a uniform set of
    commands for requesting the lower-level services required to manage
    names, conduct sessions, and send datagrams between nodes on a
    network.

    This vulnerability involves one of the NetBT (NetBIOS over TCP)
    services, namely, the NetBIOS Name Service (NBNS). NBNS is
    analogous to DNS in the TCP/IP world and it provides a way to find
    a system's IP address given its NetBIOS name, or vice versa.

    Under certain conditions, the response to a NetBT Name Service
    query may, in addition to the typical reply, contain random data
    from the target system's memory. This data could, for example, be a
    segment of HTML if the user on the target system was using an
    Internet browser, or it could contain other types of data that
    exist in memory at the time that the target system responds to the
    NetBT Name Service query.

    An attacker could seek to exploit this vulnerability by sending a
    NetBT Name Service query to the target system and then examine the
    response to see if it included any random data from that system's
    memory.

    If best security practices have been followed and port 137 UDP has
    been blocked at the firewall, Internet based attacks would not be
    possible.

    Mitigating Factors:
    ====================
    - Any information disclosure would be completely random.
    - By default, the Internet Connection Firewall (ICF), which is available with Windows XP and Windows Server 2003, blocks the ports that are used by NetBT.
    - To exploit this vulnerability, an attacker would have to be able to send a specially-crafted NetBT request to port 137 on the target system and then examine the response to see whether any random data from that system's memory is included. In intranet
    environments, these ports are usually accessible, but systems that
    are connected to the Internet usually have these ports blocked
    by a firewall.

    Risk Rating:
    ============
    - Low

    Patch Availability:
    ===================
    - A patch is available to fix this vulnerability. Please read
    the Security Bulletins at

    http://www.microsoft.com/technet/sec...n/ms03-034.asp
    http://www.microsoft.com/security/se...s/ms03-034.asp

    for information on obtaining this patch.

    Acknowledgment:
    ===============
    Mike Price of Foundstone Labs, http://www.foundstone.com

    - ---------------------------------------------------------------------

    THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
    PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS
    ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE
    WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.
    IN NO EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE
    FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
    CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
    MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
    POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION
    OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
    SO THE FOREGOING LIMITATION MAY NOT APPLY.

  15. #175
    Fireglider


    Schwachstelle in Microsoft Access Snapshot Viewer

    Microsoft meldet im Bulletin MS03-038 eine Schwachstelle im Access Snapshot Viewer, der als Standalone-Version verfügbar ist, aber auch in Access 97, 2000 und 2002 mitgeliefert wird. Der Snapshot Viewer kann Access-Datenbankinhalte ohne eine vorherige Installation von Access darstellen, wobei auch ein ActiveX-Control verwendet wird.

    Der Fehler basiert auf einem Buffer Overflow bei der Überprüfung von Parametern, mit dem ein Angreifer Code auf den Stack schreiben und im Kontext des Anwenders ausführen kann. Allerdings kann ein Angriff nur webbasiert erfolgen, der Anwender muss dazu eine manipulierte Webseite besuchen. Der Snapshot Viewer wird standardmäßig nicht installiert. Microsoft hält Patches auf seinen Seiten bereit.

    HeiseLink

    ___

    Blaster.F-Autor in Rumänien verhaftet


    MÜNCHEN (COMPUTERWOCHE) - Mithilfe der in Bukarest ansässigen Computer-Sicherheitsfirma BitDefender haben rumänische Strafverfolger den 24-jährigen Dan Dumitru Ciobanu, Absolvent der Technischen Universität von Iasi, als Autor der F-Variante des Mail-Wurms Blaster identfiziert und verhaftet. Ciobanu hatte "seinen" Wurm mit einigem rumänischen Text versehen, der zu einer Website mit seiner Adresse und Telefonnummer führte. Die Polizei beschlagte Computer in seiner Wohnung sowie am Arbeitsplatz, einem Fotolabor. Dem Hacker drohen aufgrund eines neuen rumänischen Gesetzes nun bis zu 15 Jahre Haft. (tc)

    ComputerWocheLink

    ___







    Sicherheitsleck in Visual Basic erlaubt Programmausführung

    Alle Office-Applikationen und weitere Microsoft-Produkte betroffen


    Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

    Das Sicherheitsleck in Visual Basic for Applications (VBA) tritt auf, weil die VBA-Komponente zur Überprüfung der Dokumenteigenschaften einen Fehler aufweist. Wird ein Dokument von der Host-Applikation geöffnet, tritt ein Buffer Overrun auf, worüber ein Angreifer beliebige Programme mit den Rechten des angemeldeten Nutzers ausführen kann. Microsoft stuft das Sicherheitsrisiko als hoch ein.

    VBA ist Bestandteil zahlreicher Office-Applikationen von Microsoft, so dass neben etlichen Word-, Excel-, PowerPoint- und Access-Versionen auch die Programme Project, Publisher, Visio, die WorksSuite sowie etliche Business-Solutions aus dem Hause Microsoft davon betroffen sind. Wird etwa Word in Outlook als HTML-Editor eingebunden, genügt bereits das Antworten oder Weiterleiten einer E-Mail, damit ein Angreifer sich das Sicherheitsleck zu Nutze machen kann. Als weitere Angriffsvariante muss ein Angreifer den Anwender lediglich dazu bringen, eine Office-Datei zu öffnen.

    Ein weiteres Sicherheitsleck betrifft den zum Lieferumfang von Access gehörenden Access-Viewer, worüber eine Datenbank für andere erstellt werden kann, die auch ohne eine Access-Installation eingesehen werden kann. Auch hier führt eine Sicherheitslücke dazu, dass ein Angreifer Programmcode mit den Rechten des angemeldeten Nutzers ausführen kann, wenn dieser das Opfer auf eine entsprechend formatierte Webseite schleust.

    Microsoft bietet über ein aktuelles Security Bulletin Patches für die verschiedenen Office- und Microsoft-Applikationen gegen das VBA-Sicherheitsleck zum Download an. Für die Sicherheitslücke im Access-Viewer stehen Patches ebenfalls zum Download bereit.

    GolemLink

    ::::


    Microsoft stopft Löcher


    Konzern veröffentlicht fünf Sicherheitswarnungen

    Redmond (pte, 04. Sep 2003 11:45) - Microsoft http://www.microsoft.com hat gleich fünf Sicherheitswarnungen herausgegeben, die Lücken bei den Betriebssystemen bzw. der Office-Suite betreffen. Als kritisch wird dabei ein Sicherheitsloch in Visual Basis for Applications (VBA) beschrieben, durch das eine Reihe von Microsoft-Office-Versionen und seiner Komponenten und darüber hinaus auch Works und Visio betroffen sind. Microsoft empfiehlt den Usern das sofortige Einspielen eines Patches auf seiner Homepage. http://www.microsoft.com/security/se...s/ms03-037.asp

    Der Fehler erlaubt es Angreifern in das System einzudringen und eine Vielzahl von Aktionen auszuführen. Beispielsweise könnte der Hacker Dokumente lesen oder Programme auf dem angegriffenen Computer ausführen. Darüber hinaus hat Microsoft weitere Sicherheitslöcher beschrieben, die jedoch allesamt als weniger kritisch eingestuft werden. (Ende)
    PresseText

  16. #176
    Fireglider


    Altes Sicherheitsloch im wu-ftp-Server in Debian Woody wieder geöffnet

    Totgesagte leben länger: Debian meldet heute in einem Security Advisory eine Lücke im wu-ftp-Server, die eigentlich seit vier Jahren als beseitigt galt. wu-ftp unterstützt so genannte "Conversion Services", mit dem andere Applikationen zusätzliche Aufgaben erledigen können. Beispielsweise können vor der FTP-Übertragung mehrere Dateien in ein tar-Archiv gepackt werden. Dazu werden von wu-ftp die Dateinamen an den tar-Archiver als Kommandozeilen-Parameter gesendet.

    Unter bestimmen Umständen kann ein Angreifer Dateinamen übergeben, die als Parameter interpretiert werden und zum Ausführen von beliebigen Befehlen im Kontext des Servers dienen können. Der fehlerhafte wu-ftp-Server ist in der Debian Woody Distribution (GNU/Linux 3.0) enthalten. Das Sicherheitsloch ist im Paket wu-ftp 2.6.2-3woody2 behoben. Debian empfiehlt, die aktualisierten Pakete zu installieren.

    HeiseLink

    _____


    BSI bietet kostenlosen Web-Kurs zur IT-Sicherheit

    Sicherheitskurs für kleine und mittlere Unternehmen sowie Behörden


    Ab sofort bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Web-Kurs zur IT-Sicherheit kostenlos zum Download an. Der vierstündige Kurs "BSI-Schulung IT-Grundschutz" richtet sich sowohl an kleine und mittlere Unternehmen als auch an Behörden und soll einen schnellen Einstieg in den Bereich der IT-Sicherheit bieten.




    Mit Hilfe des Kurses erfährt man, wie sich Sicherheitsanforderungen in einem Unternehmen oder einer Behörde definieren und umsetzen lassen. So wird die Aufdeckung und Schließung von Sicherheitslücken behandelt, wobei der Kurs auch das "IT-Grundschutzhandbuch" umfasst. Ausführliche Beschreibungen, erläuternde Grafiken und zahlreiche Beispiele sollen helfen, dem Kurs besonders leicht folgen zu können.

    So behandelt der Kurs als Kernfragen, warum IT-Sicherheit wichtig ist sowie wie man ein IT-Sicherheitsmanagment oder eine IT-Strukturanalyse anfertigt. Natürlich fehlen auch Erläuterungen zur Umsetzung entsprechender Sicherheitsrichtlinien nicht. Auch dem Thema Zertifizierung nimmt sich der Kurs an. Die Steuerung des Kurses geschieht dabei bequem über einen Web-Browser.

    "Mit diesem Angebot wollen wir in erster Linie kleinere und mittlere Behörden und Unternehmen ansprechen, die in das Thema IT-Sicherheit einsteigen wollen oder müssen. Oft kommt IT-Sicherheit in der Praxis vor allem aus Zeitmangel zu kurz. Deshalb möchten wir mit dem Kurs als eine Art 'Starter-Paket zur IT-Sicherheit' ein Mindestmaß an Sicherheit vermitteln", betont Michael Hange, Vizepräsident des BSI.

    Das BSI bietet den Web-Kurs "BSI-Schulung IT-Grundschutz" ab sofort kostenlos zum Download unter www.bsi.bund.de/gshb/webkurs/index.htm an. Ab Mitte Oktober 2003 soll der Web-Kurs auch auf einer CD-ROM vom BSI angeboten werden, die das komplette Internet-Angebot des BSI umfasst.

    GolemLink

  17. #177
    Fireglider


    Popup-Reklametrojaner in USA legal

    Die Abdeckung von Firmen-Webseiten durch Popup-Fenster mit Reklame für Konkurrenten stellt weder eine Copyright-Verletzung noch einen unlauteren Wettbewerb dar. Das entschied nach US-Medienberichten US-Bezirksrichters Gerald Bruce Lee. Mit seinem Urteil untermauerte Lee eine vorläufige Entscheidung von Anfang Juli.

    In dem Rechtsstreit hatte das Transport- und Lagerunternehmen U-Haul Klage gegen den Softwarehersteller WhenU eingereicht, weil sein Webauftritt wiederholt durch Popup-Fenster mit Werbung von Konkurrenzunternehmen durch den von WhenU hergestellten Reklametrojaner SaveNow verdeckt wurden.

    Richter Lee entschied nun laut Wall Street Journal, dass diese Praxis nicht gegen das Urheberrecht oder Wettbewerbsrecht untersagt sei. Auch wenn sich "normale Computernutzer" wie er manchmal fragen würden, womit sie die "Strafe der Besetzung ihres Bildschirms" durch Online-Werbung verdient hätten, liege es in Verantwortung jedes Einzelnen, ob er die Software von WhenU verwende.

    Der Richterspruch dürfte den zu Grunde liegenden Streit zum Präzedenzfall erheben.In einem ähnlichen Gerichtsverfahren waren schon im vergangenen Jahr zehn US-Verlage dem Reklamevermittler Gator juristisch zu Leibe gerückt, weil dessen Hintergrundsoftware die Werbung der Verlags-Sponsoren mit Konkurrenzanzeigen übertünchte. In diesem gleichfalls in Virginia verhandelten Rechtsstreit hat der zuständige Richter Claude Hilton das Verfahren eingeleitet und zugleich Gator mit der einstweiligen Verfügung belegt, die klagenden Verlage vor Popup-Reklame zu verschonen. Zum Prozess kam es dann aber doch nicht, weil sich die Widersacher außergerichtlich einigten. (wst/c't)

    HeiseLink
    _____


    Schweizer Polizei schnüffelt Verdächtige mit Trojanern aus


    Mit "Software-Wanzen" und Trojanern schnüffeln Schweizer Ermittler die Computer von Tatverdächtigen aus. Die Neue Zürcher Zeitung berichtet, die Eidgenossen folgten damit neuerdings dem Vorbild des FBI, die schon seit einiger Zeit Überwachungssoftware beispielsweise per E-Mail einschleusen. Dazu hätten Schweizer Ermittler vor zwei Jahren erste Versuche gestartet. Inzwischen sei die Methode auch in einigen Strafverfahren angewandt worden, zitiert die NZZ am Sonntag einen Spezialisten für Internetkriminalität. Dabei werde der Mailverkehr eines Verdächtigen überwacht oder eine Datei von dessen Computer kopiert.

    Auch wenn bisher schon Beweise für eine Straftat erbracht wurden oder Tatverdächtige entlastet werden konnten, gebe es noch keinen Nachweis, dass die Überwachungsmethoden vor Gericht anerkannt würden. Es sei unklar, auf welche gesetzliche Grundlage sich die Ermittler berufen. Doch dazu wollten sich alle von der NZZ am Sonntag angefragten Strafverfolgungsstellen nicht äußern.

    Das sei auch nicht verwunderlich. In dem Bericht heißt es, Rechtsexperten finden die elektronische Überwachung zumindest sehr problematisch. Wenn sich Ermittler etwa verdeckt eine Datei verschafften, sei im Unterschied zu einer normalen Beschlagnahmung der Verdächtige nicht informiert. Der Verdächtige könne also nicht die Versiegelung des Beweismaterials verlangen oder versuchen, die Beschlagnahmung per Antrag für ungültig erklären zu lassen. Andere Juristen meinen, E-Mails dürften abgefangen werden, wenn der Präsident der Anklagekammer dies bewillige.

    Eine Diskussion um entsprechende Gesetzesänderungen findet in der Schweiz nicht statt, heißt es. Einige Juristen vermuten, dies sei so, weil manche Strafverfolger befürchten, das Schweizer Parlament könne die verdeckte Beschaffung elektronischer Beweise ganz verbieten. Christian Schwarzenegger, Strafrechtsprofessor der Universität Zürich, meinte gegenüber der Zeitung, die Strafverfolger würden das Recht für ihre Zwecke zurechtbiegen. In Deutschland würde so etwas Proteste hervorrufen. (anw/c't)


    Heise Link

    ___


    Sicherheits-Patch für Internet Explorer bleibt wirkungslos

    Vermeintlich behobenes Sicherheitsleck weiterhin von Angreifern nutzbar


    Wie ein Beitrag auf der Sicherheits-Mailingliste Full-Disclosure berichtet, weist der Ende August 2003 bereitgestellte Patch für den Internet Explorer einen Fehler auf, so dass das vermeintlich gestopfte Sicherheitsleck weiterhin von Angreifern ausgenutzt werden kann. Die Sicherheitslücke betrifft den Internet Explorer in den Versionen 5.01, 5.5 und 6.0.

    Das Sicherheitsloch erlaubt es einem Angreifer, beliebigen Programmcode auf ein anderes System zu laden und diesen mit den Rechten des angemeldeten Nutzers auszuführen. Ein Fehler im Internet Explorer sorgt dafür, dass der Browser einen von einem Web-Server stammenden Object-Typ falsch erkennt und einem Angreifer so über eine speziell formatierte HTML-Seite das Einschleusen von beliebigem Programmcode erlaubt.

    Die Sicherheitslücke kann neben der Bereitstellung als Webseite auch über eine HTML-Mail ausgenutzt werden, da viele Mail-Clients die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails verwenden. Dann genügt die Ansicht einer entsprechend formatierten E-Mail, um Opfer einer solchen Attacke zu werden.

    Derzeit bietet Microsoft keinen Patch für den Internet Explorer 5.01, 5.5 und 6.0 zur Abhilfe des Problems an, obgleich nach Angaben der Entdecker der Schwachstelle der Hersteller bereits informiert wurde. Bis dahin empfiehlt der Autor von Full-Disclosure die Deaktivierung von Active Scripting im Internet Explorer.

    GolemLink

  18. #178
    Fireglider


    SCO vs. Linux: McBride warnt die Open-Source-Gemeinde


    SGI als Gegner unter den "Großkopferten" nimmt SCO im Streit um angeblich aus Unix System V geklauten Code in Linux als Ersten nach IBM ins Visier. Aber zuvor sind erst einmal die Entwickler und die Fans des Open-Source-Systems mit einer Warnung dran. Darl McBride, Chef des Unix-Hauses, macht in einem "offenen Brief an die Open-Source-Community" die Linux-Unterstützer für die jüngste Denial-of-Service-Attacke auf SCOs Webserver verantwortlich. Diejenigen, die Open-Source-Software unterstützten, müssten einen besseren Job bei ihrer eigenen Kontrolle als Entwickler und Aktivisten machen, forderte McBride. Die Open-Source-Verfechter seien in Gefahr, ihrer eigenen Sache zu schaden, wenn sie sich nicht gegenseitig besser kontrollierten, um solche Aktionen wie DoS-Angriffe zu verhindern und zu bestrafen. Bereits der Open-Source-Advokat Eric S. Raymond hatte sich in einem Aufruf, solche Angriffe zu unterlassen, für manche Mitglieder der Community etwas arg weit aus dem Fenster gelehnt. Anzeige


    Der SCO-Chef meint, mit der Klage gegen IBM habe SCO einige in der Open-Source-Community verärgert, da man auf Probleme mit dem geistigen Eigentum hingewiesen habe, die im gegenwärtigen Linux-Entwicklungsprozess existierten. Die Debatte um Open Source sei aber nützlich, sie biete langfristige Vorteile, da dadurch ein neues Business-Modell untersucht werde, bevor man in großem Maßstab einsetze. Aber, meint McBride nun nach den DoS-Angriffen: "Wir können keine Situation haben, in der Firmen eine Computer-Attacke befürchten müssen, wenn sie eine Business- oder Rechtsposition einnehmen, die die Open-Source-Community verärgert."

    Nach der Warnung an die Open-Source-Gemeinde geht es dann aber auch für SGI ans Eingemachte: McBride bestätigt in dem Brief, dass SGI das mögliche nächste Ziel bei der Ausdehnung des Rechtsstreits um Unix-Code in Linux ist. Der SCO-Chef hatte dies bereits Mitte August im Interview mit c't angedeutet, nun wird er konkret: Kommentare des Open-Source-Protagonisten Bruce Perens würden bestätigen, dass Code von SCOs Unix System V in Linux-Software eingebaut wurde, die der Cluster- und Supercomputer-Spezialist SGI vertrieben habe -- Perens sieht dies allerdings deutlich anders, da er davon ausgeht, der betroffene Code sei entweder viel früher entstanden oder rechtmäßig kopiert worden. McBride jedoch hält fest, dass die von SCO inkriminierten Kopien illegal und nicht aus Versehen geschehen seien. "Dies ist eine eindeutige Verletzung von SGIs Vertrag und Copyright-Verpflichtungen gegenüber SCO." Man sei aber in Verhandlungen mit SGI über die Angelegenheit.

    Der Vorfall bei SGI sei aber nur ein symptomatisches Beispiel für größere Probleme beim Entwicklungsprozess von Open Source, meint McBride: Perens habe zugegeben, dass es einen "Fehler im Linux-Entwickler-Prozess" gebe. Ohne angemessene Mechanismen, die die Integrität des von einzelnen Linux-Entwicklern beigetragenen Codes garantierten, beruhe die ganze Software auf einer sehr unsicheren legalen Basis. Dies würde bei den Entscheidungsträgern in den Firmen kaum sehr vertrauensbildend wirken, betonte McBride. "Die Ursprünge des geistigen Eigentums von Linux sind offensichtlich fehlerhaft." Open Source sei an einem kritischen Punkt angelangt: Die Community habe ihre Wurzeln in "Idealen der Gegenkultur -- Hacker gegen das Big Business". Aber nun müsse die Community Software für die amerikanische Firmen aus dem Mainstream entwickeln -- und daher müsse man auch die Regeln und Verfahren befolgen, die die Mainstream-Gesellschaft regieren. "Diese Kunden entscheiden das Schicksal von Open Source -- nicht SCO, nicht IBM, und nicht Open-Source-Führer", wirft sich McBride in die Brust.

    Während SCO also eine neue juristische Front eröffnet und versucht, Probleme im Open-Source-Entwicklungsprozess zu thematisieren, wendet sich Richard Seibt, Chef des deutschen Linux-Distributors SuSE, gegen die Forderungen der Firma: Die Lizenzforderungen von SCO entbehrten nach Kenntnisstand von SuSE jeder Grundlage, schreibt Seibt an "sehr geehrte Linux-Anwender, sehr geehrte SuSE-Partner". Tatsache sei, dass "SCO trotz vielfältiger Aufforderung bislang noch keinen schlüssigen Beweis für ihre Behauptungen erbracht hat. Stattdessen wurde The SCO Group GmbH in Deutschland mit Blick auf diese Äußerungen von verschiedenen Seiten abgemahnt." Dies habe bis zur Verhängung eines Ordnungsgeldes geführt. SuSE werde die Klage des US-Linux-Distributors Red Hat, die zu einer "raschen Beendigung der öffentlich geäußerten Forderungen seitens SCO auch in den USA" führen sollen, nach Kräften unterstützen, betonte Seibt: "Wir sind davon überzeugt, dass SCOs Behauptungen auch vor den amerikanischen Gerichten keinen Bestand haben werden. Linux-Entwickler, -Anbieter und -Anwender werden mit gestärkter Rechtssicherheit aus dieser Auseinandersetzung hervorgehen."

    Derweil hat sich auch der österreichische Verein zur Förderung freier Software erneut in die Auseinandersetzung eingeschaltet. In einem anwaltlichen Schreiben will der FFS SCO Deutschland verbieten, die so genannte Antidot-Lizenz für Linux-Anwender zu vertreiben. Ausgangspunkt der Aktion ist die Tatsache, dass SCO in Österreich etwa unter www.caldera.at/scosource/ die Intellectual Property License for Linux vertreibt. Mit dieser Lizenz sollen sich Linux-Anwender nach Ansicht von SCO das Recht auf die Nutzung des geistigen Eigentums von SCO im Linux-Kernel 2.4 und spätere Versionen erwerben. Die Bewerbung dieser Lizenz hält der FFS für rechtswidrig, da Gerichte bereits die hinter den Forderungen stehenden Aussagen untersagt hätten.

    HeiseLink mit weiterführenden Linkz


    ____


    Experten: IE-Patch stopft Sicherheitsloch nur teilweise

    MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten haben herausgefunden, dass ein von Microsoft Ende August veröffentlichter Patch gegen eine "Object Data Vulnerability" im Internet Explorer ab Version 5.01 das behoben geglaubte Sicherheitsloch nur teilweise stopft. In einer prominenten Security-Diskussionsgruppe wurde über das vergangene Wochenende Beispiel-Code veröffentlicht, der zeigt, dass auch ein gepatchter Microsoft-Browser sich immer noch über Web-Seiten angreifen lässt, die dynamisch beispielsweise per Javascript erzeugt werden. Ein Sprecher des Softwarekonzerns bestätigte, dass Microsoft entsprechenden Berichten derzeit nachgehe. Der Hersteller empfiehlt Anwendern aber auch weiterhin die Installation des bisherigen Patches. (tc)


    ComputerWocheLink Hatten wir zwar gestern schon...aber manche sind halt langsamer...


    _____



    Wau Holland Stiftung gegründet - Aufruf zu "Datenspenden"


    WHS-Projekt "Die Lese-Maschine" soll lebendige Enzyklopädie schaffen


    Mit der im September 2003 als gemeinnützig anerkannten Wau Holland Stiftung (WHS) soll das Lebenswerk ihres 2001 verstorbenen Namensgebers durch geeignete archivarische Aufbereitung der Öffentlichkeit zur Verfügung gestellt und Möglichkeiten geschaffen werden, diese Gedanken in die Praxis einzubringen und Projekte weiterzuführen. Wau Holland war deutscher Journalist, Computer-Aktivist, Philosoph, Gründungsmitglied und Alterspräsident des Chaos Computer Clubs (CCC).




    Die WHS Stiftung mit Hauptsitz Berlin ist formal eigenständig und wurde gegründet von Günter Holland-Moritz, Wau's Vater, Menschen aus dem Chaos Computer Club (CCC) und solchen, die Holland nahe standen. Bereits vorbereitet wurde die Gründung der WHS auf dem 18. Chaos Communication Congress im Dezember 2001, zu diesem Zeitpunkt fehlte allerdings noch etwas Gründungskapital. Erstmals öffentlich präsentieren will sich die WHS nun unter dem Motto "Stiftet Daten!" am 13. September 2003 auf dem Stiftungstag im Roten Rathaus in Berlin.

    Der ebenfalls zum erstem Mal stattfindende Berliner Stiftungstag soll den Kontakt zwischen den Mitgliedern bestehender Stiftungen fördern, zur Gründung neuer Stiftungen ermutigen und damit das bürgerschaftliche Engagement anregen. Auf dem Stiftungstag werden Vertreter von Stiftungen zur Information und zum Austausch zusammentreffen, gleichzeitig wird aber auch gegenseitiger Dialog mit den Bürgern, den Medien und Vertretern der Politik gesucht.

    Außer dem Unterhalt des Archivs will sich die Wau Holland Stiftung einsetzen für weltweite Informationsfreiheit, Recht auf Bildung sowie die Förderung von Zivilcourage mit elektronischen Mitteln. Förderungswürdig seien beispielsweise Jugendarbeit, Erwachsenenbildung, Berufsbildung im weitesten Sinne, Kurzschrift für Computer und Weiteres, heißt es in einer Mitteilung zur Gründung des WHS. Aktuelle WHS-Projekte sind eine Computerschule für kriegsbehinderte Kinder (Kosovo), "Die Lese-Maschine" (interaktive Enzyklopädie), eine Buchveröffentlichung über Wau Holland vom Piper Verlag und eine Sonderausstellung "Datengarten" im Nixdorf Museum (künstlerische Leitung: Medien-Künstlerin Rena Tangens, FoeBud e.V.).

    Für das Projekt "Die Lese-Maschine" wird mit dem WHS erstmals eine Stiftung zum Datenspenden aufrufen. Diese interaktive Enzyklopädie soll Menschen das Filtern von Informationen lernen sowie lehren helfen und somit Medienkompetenz schaffen. Zu den Leistungen der Lese-Maschine zählen: Weltwissen so aktuell und gesichert wie möglich vorhalten, Fragen unterstützen, große Textmengen nach eigenen Aspekten vergleichen können, Vernetzungsgrad und "Wissenschaftlichkeit" anzeigen, Tendenzen aufzeigen, Zitate und Floskeln erkennen und zuordnen, feststellen was neu oder noch aktuell ist, Bekanntheit neuer Ansätze und die Veröffentlichungsbreite ermitteln, Medienprofile sowie Einfluss von Presse und Politik profilieren. Profitieren sollen davon Bürger, Schüler, Eltern und Lehrer, Bibliotheken (Uni-Bibliotheken entwickeln derzeit komplexe Filterverfahren), die institutionalisierte Öffentlichkeit, Rechercheure, Archivare, Sekundärwissenschaften, Journalisten, Historiker, Soziologen, Studierende und die maschinenlesbare Regierung.

    Die von zwei jungen Programmierern geschaffene Lese-Maschine kombiniert Sprachanalyse-Programme mit Internet-Techniken zu einem Bayes-basierten Enzyklopädie-Programm, welches "immer klüger wird und macht", so die WHS. Allerdings brauche die Lesemaschine mehr Daten und sei auf rege Teilnahme der Nutzer angewiesen, da es nicht nur darauf ankomme, dass gelistet wird, was die offiziellen Quellen sagen, sondern was der Nutzer fragt oder kommentiert. "Die Leser eines Buches wissen in der Summe mehr als der Schreiber", so die Vision des Projekts. Die Form der Frage, das Sammeln ähnlicher Fragen eigne sich zur Vernetzung, Vertiefung, Handlung und mache Bürger zu einem aktiven Mitglied der Gemeinschaft und verankert sie vermehrt im kulturellen Leben. Der größte kulturschaffende Faktor sei Kommunikation.

    Näheres zur Stiftung und den Projekten findet sich unter www.wauland.de.

    GolemLink

  19. #179
    Fireglider


    Websperren in Pennsylvania ausgesetzt

    Der US-Bundesstaat Pennsylvania muss seine geheimen Websperren gegen Kinderpornografie aussetzen. Justizminister Mike Fisher hat zugestimmt, die bisherige umstrittene Praxis einzustellen, bis ein Bundesrichter entschieden hat, ob die Regelung gegen die US-Verfassung verstößt.

    Das Center for Democracy and Technology (CDT) hatte zusammen mit der American Civil Liberties Union (ACLU) und einem Internet-Provider gegen das Vorgehen der Behörde geklagt. Sie bemängelten, dass auch viele Seiten von den Sperren betroffen seien, die überhaupt nichts mit Kinderpornografie zu tun haben, aber unter der gleichen IP-Adresse zu erreichen sind. Wie viele Seiten genau betroffen sind, ist unklar: Die Behörde verweigert die Auskunft über die gesperrten Adressen. Hosting-Provider und Eigentümer der inkriminierten Webseiten werden bisher von der Generalstaatsanwaltschaft nicht kontaktiert. Sie haben damit auch keine Chance, sich gerichtlich gegen die Maßnahme zu wehren oder die beanstandeten Inhalte zu löschen.

    Die Behörde hat in den vergangenen anderthalb Jahren informelle Sperrungsverfügungen gegen mehr als 700 verschiedene Seiten an die im Bundesstaat ansässigen Provider verschickt. Die mussten daraufhin innerhalb von fünf Tagen die IP-Adressen der bemängelten Seiten für alle Kunden in Pennsylvania sperren, andernfalls drohten Geld- und Haftstrafen. Der Provider WorldCom hatte sich zunächst geweigert, wurde aber von einem Gericht zur Einhaltung der Anordnung gezwungen.

    Ein Sprecher der Generalstaatsanwaltschaft kündigte an, auch weiterhin mit Sperren gegen Kinderpornografie vorgehen zu wollen. Allerdings werde man jetzt erst einen Gerichtsbeschluss einholen und die Anwälte des ACLU benachrichtigen, damit diese die Rechtmäßigkeit der Sperren überprüfen können. Die Bürgerrechtler bezweifeln generell den Sinn der Blockaden. "Das Webblockaden-Gesetz in Pennsylvania richtet wenig gegen Kinderpornografie aus, verstößt aber in großem Ausmaß gegen den ersten Verfassungszusatz", sagt CDT-Vorstand Alan Davidson. Anstatt die Kinderpornografie schlichtweg zu verstecken, sollten die Gesetzeshüter das Problem an der Quelle anfassen und die Kriminellen verfolgen, die Kinderpornografie herstellen und verbreiten. (Torsten Kleinz) / (anw/c't)


    HeiseLink

  20. #180
    Fireglider


    Vertrieb von Anleitung zur Virus-Programmierung in der Schweiz strafbar

    Der Vertrieb eines Datenträgers, der Instruktionen und Hinweise zum Schreiben von Viren enthält, ist in der Schweiz strafbar. Das hat das Schweizer Bundesgericht nach einem Bericht der Neuen Zürcher Zeitung (NZZ) entschieden. Das Bundesgericht wies die Klage eines Mannes ab, der von früheren Instanzen zu zwei Monaten Haft auf Bewährung und 5000 Franken Geldstrafe verurteilt worden war.

    Der Mann hatte 1996 über 3000 CDs der US-amerikanischen Group 42 importiert, um diese in Europa zu verkaufen. Die Gruppe machte sich Anfang der 90er-Jahre einen Namen in der Hackerszene und verbreitete ihr Wissen über Viren, trojanische Pferde und das Knacken von Passwörtern im Internet und auf CD-ROM.

    Allerdings bot sich dem Importeur wenig Gelegenheit, die Silberlinge an den Mann zu bringen, da ein Mitarbeiter des Bundesamtes für Informatik Anzeige wegen "Datenbeschädigung" gegen den Importeur erstattete. Der Angeklagte, der für mehrere Banken und Telekommunikationsunternehmen als Sicherheitsberater arbeitete, war sich hingegen keiner Schuld bewusst.

    Das Bezirksgericht Zürich sprach ihn laut NZZ am 20. Juli 2000 der "gewerbsmäßigen Datenbeschädigung" schuldig und verurteilte ihn zu einer Buße von 300 Franken. Am 22. Februar 2001 bestätigte das Obergericht des Kantons Zürich den Schuldspruch, sprach eine "bedingte Gefängnisstrafe" von zwei Monaten aus und verhängte eine Geldbuße von 5000 Franken.

    In zwei weiteren Instanzen wurde das Urteil zunächst aufgehoben, dann aber erneut bestätigt. Das Schweizer Bundesgericht wies nun eine Beschwerde gegen dieses Urteil ab. Entgegen der Auffassung des Beschwerdeführers brauche die Anleitung "nicht alle zur Herstellung eines datenschädigenden Programms nötigen Schritte" abzudecken. Es genüge, wenn Informationen "zu wesentlichen Herstellungsvorgängen" abgegeben würden, so das Bundesgericht. (wst/c't)


    HeiseLink


    ___


    Steganos mit neuer Version der Security Suite


    Kleine Veränderungen der Sicherheits-Software


    Steganos aktualisiert die Security Suite für Windows und will die Version 6 noch im September 2003 in den Handel bringen. In der Programmsammlung wurden die Komponenten Safe, InternetSpurenVernichter und der Daten-Shredder aktualisiert. Bei der Wahl von Kennwörtern hilft jetzt ein Wörterbuch dabei, allzu leichte Wortkonstruktionen zu verhindern.

    Die Security Suite 6 enthält eine aktualisierte Safe-Applikation, die maximal 128 GByte Daten auf bis zu vier Laufwerken verschlüsseln kann. Durch eine Echtzeitverschlüsselung sollen sich sensitive Daten vor fremden Blicken schützen lassen. Für den Transport sensitiver Daten steht der Portable Safe parat, der selbstentschlüsselnde Archive erstellt, die sich dann auf anderen Rechnern nach Eingabe des richtigen Kennwortes entschlüsseln lassen.

    Der InternetSpurenVernichter 6.5 beseitigt temporäre Daten von verschiedenen Applikationen wie etwa Browsern, Media-Playern, KaZaA, der Google Toolbar, ICQ oder dem Acrobat Reader. Zudem wurde in die Software ein Popup-Blocker implementiert, und das Bereinigen von Meldungen des Windows-Nachrichtendienstes wird ebenfalls unterstützt. Der Datei-Shredder unterstützt bei der Datenlöschung die Gutmann-Methode mit 35-facher Überschreibung unerwünschter Daten.

    Bei der Wahl von Kennwörtern hilft ein Wörterbuch, das die Verwendung unsicherer, gebräuchlicher Passwörter verhindern soll. Dafür werden Kennwörter mit rund einer halben Million Einträgen aus Lexika, Namenslisten, in Film und Fernsehen erwähnten Passwörtern, geografischen Begriffen und PC-Fachwörtern verglichen. Sollte sich das gewählte Passwort darin finden, wird der Nutzer vor der Verwendung gewarnt.

    Steganos bietet die Security Suite 6 für die Windows-Plattform als Download und als CD-ROM-Version an. Die Download-Ausführung soll ab sofort zum Preis von 49,95 Euro erhältlich sein. Auf CD-ROM kostet die Software 59,95 Euro und soll Mitte September 2003 in den Regalen stehen. Ein Upgrade gibt es für 39,95 Euro.

    GolemLink

    ___


    Wieder Sicherheitslücke bei Microsoft


    Leck im RPC

    Redmond (pte, 11. Sep 2003 09:30) - Microsoft hat erneut vor einer Sicherheitslücke gewarnt, die im entsprechenden Bulletin als kritisch eingestuft wird. Dabei geht es konkret um ein Sicherheitsleck im RPC, das es einem Angreifer erlaubt, einen beliebigen Programmcode auf einem fremden System auszuführen, um die Steuerung des Computers zu übernehmen. Der auf der Homepage bereit gestellte Patch solle sofort eingespielt werden, teilte der Konzern weiter mit.
    http://www.microsoft.com/technet/tre...n/MS03-039.asp

    Das Sicherheitsleck kommt in den Versionen Windows NT Workstation 4.0, NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP und Windows Server 2003 vor. Nicht betroffen ist Windows Millennium Edition. Mit dem eingespielten Patch können drei neue Lücken behoben werden, gab der Konzern bekannt. Der Patch ersetzt darüber hinaus die im Sicherheitsbulletin Nr. 26 angeführten Maßnahmen. RPC (Remote Procedure Call) ist ein Kommunikations-Protokoll, das vom Windows-Betriebssystem verwendet wird. Es handelt sich dabei um die selbe Schnittstelle, die der im August aufgetauchte Blaster-Wurm für seine Attacken benutzt hat. pte berichtete: http://www.pte.at/pte.mc?pte=030812017 (Ende)


    PresseTextLink

  21. #181
    Fireglider


    Sicherheitslücke in MySQL-Datenbank-Server

    Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

    Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

    HeiseLink mit weiterführenden Linkz

    _____


    Mehrere Schwachstellen im Sicherheits-Zonenmodell des Internet Explorers


    Im Internet Explorer 6 wurden insgesamt sieben Lücken entdeckt, mit denen sich das Sicherheits-Zonenmodell austricksen lässt. Damit kann ein Angreifer mit manipulierten HTML-Dokumenten beliebigen Code in jeder Sicherheitszone ausführen. In der "lokalen Zone" ist der Zugriff auf Cookies, lokale Dateien und Systemkommandos möglich.

    Normalerweise hat ein HTML-Dokument und darin enhaltener Code nur Zugriff auf Objekte, die aus der gleichen Domäne beziehungsweise Zone stammen. Ein Skript von der Seite www.foobar.com kann zum Beispiel nicht auf den Formularinhalt eines Dokumentes der Seite www.meinebank.de zugreifen. Durch die Sicherheitslücken kann ein Angreifer diese Restriktion aber umgehen. Liu Die Yu, Entdecker der Schwachstellen, hat erste Proof-of-Concept-Exploits bereits auf seinen Seiten veröffentlicht. Microsoft ist über die Probleme informiert, hat aber noch nicht reagiert. Als Workaround sollte man Active Scripting und ActiveX deaktivieren.

    HeiseLink mit weiterführenden Links

    ____


    IEEE erarbeitet Standard für sichere Betriebssysteme


    MÜNCHEN (COMPUTERWOCHE) - Das für zahlreiche Standards auch im IT-Bereich zuständige Institute for Electrical and Electronic Engineers, kurz IEEE, hat mit der Arbeit an einem neuen Standard ("P2200") für sichere Betriebssysteme begonnen. Damit trägt die Organisation der Erkenntnis Rechnung, dass Software-Sicherheit "durch die unterliegenden Betriebssysteme eingeschränkt wird". Abdecken soll die Spezifikation kommerzielle "off-the-shelf"-Betriebssysteme. Grundlage der Standardisierung bilden die von der ISO spezifizierten "Common Criteria", ein Satz von Profilen, anhand derer sich ermitteln lässt, ob ein Sicherheitsprodukt bestimmte grundlegende Anforderungen erfüllt. In Deutschland kümmert sich darum das Bundesamt für Sicherheit in der Informationstechnik (BSI).
    Laut IEEE ist die Verwendung des CC-Framework indes optional, und der endgültige P2200-Standard müsse nicht notwendigerweise wie CC aussehen. Wahrscheinlich werde es für unterschiedliche Typen von Betriebssystemen variierende Standards geben. "Basic Operating System Security" (BOSS) soll Themen wie Identifizierung, Authentifizierung, Zugangskontrolle und kryptografische Konzepte adressieren. In Grundzügen soll die Spezifikation Ende kommenden Jahres fertig sein. (tc)

    ComputerWocheLink

    ____



    Microsoft schließt Xbox-Sicherheitslücke per Xbox Live


    Automatisches Update lässt sich nur durch Nichtnutzung von Xbox-Live vermeiden


    Über ein automatisches Update aktualisiert Microsoft derzeit die Dashboard getaufte Xbox-Benutzeroberfläche, wenn Nutzer sich mit ihrer Konsole in Xbox Live einwählen. Das Update schließt eine Sicherheitslücke, welche etwa der MechInstaller zur einfachen Installation von Linux auf der Xbox ausnutzt.

    Wie das Xbox Linux Projekt informiert, hat man keine Wahl - das Update wird seit kurzem installiert, wenn man Xbox Live nutzt. Um weiterhin die in der Schriftarten-Lade-Routine des Dashboards steckende Sicherheitslücke ausnutzen und auf nicht umgebauten Xbox-Geräten Linux installieren und nutzen zu können, muss man Xbox Live also fortan meiden - Microsoft hat nämlich auch einen Weg gefunden, um den MechInstaller daran zu hindern, eine ältere Dashboard-Version wiederherzustellen. Bis jetzt gibt es noch keine Informationen darüber, ob der MechInstaller - der keine Installation und Nutzung von Raubkopien erlaubt - entsprechend angepasst werden kann.

    Auf der Website des Xbox Live Projekts gibt es übrigens noch eine weitere interessante Nachricht: Einigen findigen Tüftlern ist es gelungen, die Xbox-Speichermodule auszulöten und auszutauschen - davon profitiert aber nur Xbox Linux und keine Spiele.

    GolemLink

  22. #182
    Fireglider


    Microsoft will Software sicherer machen

    Microsoft will die Anstrengungen zur Verbesserung der Sicherheit seiner Software-Produkte verdoppeln. Das erklärte Microsoft-Chef Steve Ballmer am Montag in einer Rede vor dem Churchill Club.

    Sein Unternehmen nehme die Besorgnis seiner Kunden sehr ernst, erklärte Ballmer demnach. Die Bedrohung durch Viren und Würmer lasse sich jedoch nicht "über Nacht" beseitigen. Microsoft arbeite aber an Werkzeugen, die neue Software vor der Markteinführung automatisch auf potenzielle Sicherheitslücken scannen sollen. Die Sicherheit sei aber auch durch User gefährdet, die Patches nicht einspielen, und Unternehmen, die zu langsam in die Erneuerung ihrer IT-Infrastruktur investieren würden. (wst/c't)


    HeiseLink mit weiterführenden Links

    ____

    OpenSSH 3.7 schließt Sicherheitsloch

    Ein heute Morgen veröffentlichter Patch schließt eine Schwachstelle in OpenSSH bis einschließlich Version 3.6.1. Bei der Schwachstelle handelt es sich um einen Fehler in der Funktion buffer_append_space() im Modul buffer.c, mit dem ein Angreifer möglicherweise eigenen Code einschleusen kann.

    Bei OpenSSH bestätigt man die Schwachstelle und hat ein Advisory mit einem Patch sowie die neue Version OpenSSH 3.7 veröffentlicht, die das Problem -- eine Memory Corruption im Heap -- behebt. Bislang ist nach Aussage von OpenSSH aber unklar, ob das Sicherheitsproblem mittels eines Exploits überhaupt ausnutzbar ist. Im Laufe des heutigen Morgens haben verschiedene Internet-Provider und Rechzentren ein deutlich erhöhtes Traffic-Aufkommen auf Port 22 registriert -- es könnte sich dabei um einen Scanner handeln, der nach anfälligen OpenSSH-Versionen sucht.

    Anwender und Administratoren sollten schnellstmöglich auf die aktuelle OpenSSH-Version 3.7 updaten oder die bereitgestellten Patches einspielen. Als Workaround bis zur Update-Möglichkeit empfiehlt sich, den SSH-Port so zu filtern, dass nur bekannte IP-Adressen darauf zugreifen können.

    Heiselink mit weiterführenden Links

    ___


    USA legen Cyber-Sicherheit in neue Hände

    MÜNCHEN (COMPUTERWOCHE) - Das US-Ministerium für Innere Sicherheit (DHS = Department of Homeland Security) wird dem Vernehmen nach den Branchenveteranen Amit Yoran zum neuen "Cybersecurity Czar" ernennen. Yoran hatte 1998 die auf Software für Netz-Scanning spezialisierte Firma Riptech gegründet. Nach deren Übernahme durch Symantec im August 2002 fungierte er dort als Vice President für Worldwide Managed Security Operation. Die offizielle Ernennung des Experten soll heute bekannt gegeben werden.
    Darüber hinaus tut sich das DHS mit dem renommierte CERT (Computer Emergency Response Team) zusammen. Das an der Carnegie Mellon University beheimatete CERT Coordination Center (CERT/CC) soll demnach künftig gemeinsam mit der National Cyber Security Division des Ministeriums an Prävention und Abwehr von Computerangriffen arbeiten. (tc)



    ComputerwocheLink

    ___


    Sicherheitslücken in Windows-Version von Eudora 6.0


    Sicherheitslecks in Eudora erlauben Ausführung von Programmcode


    Der Australier Paul Szabo berichtet auf den Mailinglisten Bugtraq und Full Disclosure über zwei Sicherheitslecks in der Windows-Version von Eudora 6.0, worüber Angreifer Programmcode ausführen können. Das Sicherheitsloch wurde bereits in der Vorversion entdeckt, dort aber ebenso wenig behoben wie in der neuen Version des E-Mail-Clients.

    Die eine Sicherheitslücke erlaubt es einem Angreifer, den Namen eines Anhangs so zu verändern, dass das Opfer glaubt, eine unkritische Datei zu öffnen. Tatsächlich führt das Opfer aber gefährlichen Programmcode aus, so dass der Angreifer enormen Schaden auf einem fremden System anrichten kann. Diese Sicherheitslücke ist nach Erkenntnissen von Paul Szabo bereits in den Vorversionen von Eudora 5.x enthalten gewesen, ohne dass dieser Fehler bereinigt wurde. Nun findet sich dieses Sicherheitsleck sogar in der aktuellen Windows-Version 6 von Eudora wieder.

    Als weiteren Programmfehler soll Eudora 6.0 in der Windows-Version mit überlangen Dateinamen (mehr als 250 Zeichen) durch einen Puffer-Überlauf zum Absturz gebracht werden können. Womöglich lässt sich darüber auch Programmcode auf ein fremdes System schleusen und ausführen, was jedoch nicht abschließend geklärt wurde.

    Qualcomm bietet derzeit keinen Patch für die Eudora-Versionen für die Windows-Plattformen an, um diese Sicherheitslücken zu bereinigen. Daher bleibt derzeit nur, potenziell gefährliche Dateitypen auf dem Mail-Server zu filtern oder auf einen anderen E-Mail-Client zu wechseln.

    GolemLink

  23. #183
    Fireglider


    Neue Angriffe auf Windows-PCs

    In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.

    Anwender sollten so bald wie möglich die aktuellen Sicherheitsupdates von Microsoft einspielen, um sich zu schützen. Folgende Patches stellt Microsoft für deutschsprachige Windows-Systeme zur Verfügung:

    Windows NT Workstation
    Windows NT Server 4.0
    Windows NT Server 4.0, Terminal Server Edition
    Windows 2000
    Windows XP
    Windows XP 64 bit Edition
    Windows XP 64 bit Edition Version 2003
    Windows Server 2003
    Windows Server 2003 64 bit Edition

    HeiseILink mit einzelnen Links zu den Patches!


    _____


    IDF: Intel will Hintertüren beim Trusted Computing verhindern

    "Wir werden definitiv keine Hintertür in LaGrande einbauen", erklärte Mike Farron Jones, Marketingmanager für die geplante Sicherheitshardware bei Intel, am Dienstag auf der Entwicklerkonferenz des Chip-Giganten in San Jose. Eine Backdoor werde auf jeden Fall "nicht durch unsere Hardware" in Plattformen für das viel beschworene Trusted Computing kommen, an denen Intel im Rahmen der Trusted Computing Group (TCG) im Verbund mit Partnern wie Microsoft arbeitet.

    LaGrande (LT) soll in zwei bis drei Jahren einen wichtigen Hardware-Baustein für die "vertrauensvolle" Datenverarbeitung mit einem Mix aus Chip-, Prozessor- und Plattformkomponenten bilden. Gegen die Bemühungen der TCG haben kritische Nutzergruppen wie der Chaos Computer Club (CCC) heftige Bedenken vorgebracht, unter anderem weil die Macht über die Hauptschlüssel für die Lösung nicht in den Händen der Computereigner liege.

    Insgesamt schürte das bisherige Vorgehen der Industrieallianz immer wieder Befürchtungen, dass diverse Hintertüren -- vor allem für die Belange der Strafverfolger und Geheimdienste -- in die "Sicherheitstechnik" eingebaut werden. Diesen Spekulationen traten Intel-Manager nun vehement entgegen. "Das ganze Konzept würde mit einer Backdoor ausgehebelt", konstatierte Intel-Marketingmanager Jeff Austin im Gespräch mit heise online. Intel werde LaGrande in Ländern, in denen Regierungen auf Schnittstellen zum unbemerkten Datenabgreifen bestehen, lieber nicht verkaufen als von den eigenen Auflagen zum Schutz der Privatsphäre abzuweichen, pflichtete der Sicherheitsarchitekt der kalifornischen Firma, David Grawrock, bei. Man sei schließlich ein unabhängiges Unternehmen und keine Regierungsstelle.

    Die Sensibilitäten bei diesem Thema gehen zurück auf Intels Datenschutzpleite bei der Einführung des Pentium III mit eingebauter Identifikationsnummer für jeden Chip. "Wir waren damals naive Techniker", erklärte Jones selbstkritisch. Bei LaGrande will der Chip-Riese die potenziellen Kunden daher frühzeitig in allen "politischen" Fragen der sich noch im Entwicklungsstadium befindlichen Lösung einbeziehen. Auf der Entwicklerkonferenz hat Intel zu diesem Zweck ein dreiseitiges White Paper vorgestellt, das die Datenschutzbestimmungen von LaGrande umreißt. Dieses soll demnächst auf dem Intel-Server zu finden sein.

    Darin wird klargestellt, dass "PC-Eigner die Wahl haben müssen, ob sie sich für die LT-Schutzvorkehrungen entscheiden, und -- soweit machbar -- die Kontrolle über die verschiedenen Funktionen behalten müssen." Zudem sollen die Nutzer "volle Einsicht in die Informationen" erhalten, die über das Netzwerk bei der Identifizierung ausgetauscht werden. Das LT-Interface müsse ferner deutlich alle Arbeitsschritte anzeigen. Letztlich sollen die Anwender über jeden Fall aufgeklärt werden, in dem persönliche Informationen verarbeitet und weitergegeben werden. Die neue Transparenz, die Intel bei LaGrande an den Tag legt, gipfelt in einer Einladung an alle Interessierten, der Firma Rückmeldungen zu dem White Paper bis zum 31. Dezember 2003 zu geben. Kommentare können an die Adresse LT.policy.feedback@intel.com gemailt werden. (Stefan Krempl) / (wst/c't)


    HeiseLink

  24. #184
    Fireglider


    CDU und CSU suchen Schulterschluss im Kampf gegen Spam

    Die CDU/CSU-Fraktion im Bundestag veranstaltet am 24. September einen "Round table gegen 'Spam'-Mails". Im Reichstag wollen Abgeordnete gemeinsam mit Vertretern aus der IT-Wirtschaft und Verbraucherschützern über ein gemeinsames Vorgehen von Wirtschaft, Verbrauchern und Politik abstimmen. Zu der Veranstaltung laden die Internet-Beauftragte der CDU/CSU-Fraktion, Martina Krogmann, und die Beauftragte für den Verbraucherschutz, Ursula Heinen. Die CDU-Vorsitzende Angela Merkel will ein Statement abgeben.

    CDU und CSU haben den Roundtable im Juli angekündigt und dabei Strafen für Spammer gefordert. Nationale rechtliche Maßnahmen reichten aber allein nicht aus, um Spam einzudämmen, da die Verursacher häufig aus dem außereuropäischen Ausland vorgehen. Daher sei eine weltweite internationale Zusammenarbeit so schnell wie möglich nötig sowie eine Allianz von Wirtschaft, Verbrauchern und Politik, hieß es vor zwei Monaten. Die SPD-Bundestagsfraktion hatte im Juli eine Anhörung zum Thema Wege aus der Vermüllung veranstaltet. (anw/c't)


    HeiseLink

    ::::::

    Kritische Sicherheitslücke in Sendmail


    Sicherheitspatch und neue Version erschienen


    Der Mail Transfer Agent (MTA) Sendmail enthält bis zur Version 8.12.9 eine kritische Sicherheitslücke in der Prescan-Funktion. Das von Michal Zalewski entdeckte Problem erlaubt es Angreifern, unter Umständen beliebigen Code auf verwundbaren Systemen auszuführen.

    Dabei reicht es aus, eine E-Mail mit speziell modifiziertem Header an einen verwundbaren Server zu schicken. Auch die kommerzielle Version von Sendmail ist betroffen.

    Die neue Version 8.12.10 von Sendmail soll den Fehler beheben. Alternativ steht auch ein Patch bereit, denn die neuen Version bringt auch einige weitere Änderungen mit, die diverse andere, potenzielle Probleme beseitigen sollen. Sendmail Inc. bietet entsprechende Patches für die kommerzielle Version des MTA an.

    GolemLink

    ___

    Internet- und Computerkriminalität steigt rasant an

    Internet schon lange kein rechtsfreier Raum mehr


    Die noch intensivere Bekämpfung der Computer- und Internetkriminalität sowie eine verbesserte internationale Kooperation standen im Mittelpunkt einer Fachtagung des baden-württembergischen Innenministeriums an der Fachhochschule Villingen-Schwenningen - der Hochschule der Polizei am 17. und 18. September 2003. Die Zahl der Straftaten, die mit Hilfe des Internets und moderner Computertechnik verübt werden, steige stark an, deshalb müsse die Polizei vermehrt virtuell Streife laufen, hieß es.




    Der baden-württembergische Landespolizeipräsident Erwin Hetger sagte am Rande der Tagung: "Computer und Internet werden heute zur Begehung von Straftaten quer durch das Strafgesetzbuch verwendet. Die Palette reicht von A wie Ausspähen von Daten über B wie Betrug bis hin zu Z wie Fälschung von Zahlungsmitteln."

    Es handele sich dabei um Delikte, mit denen es die Polizei schon seit jeher zu tun habe. Lediglich die Art, wie die Taten begangen würden, habe sich geändert, indem die Täter die besonderen Möglichkeiten der Informationstechnik nutzten. Beleidigungen, Bedrohungen und Erpressungen seien ebenso an der Tagesordnung wie gewerbsmäßige Produktpiraterie, Hehlerei und Betrugsstraftaten. Zudem böte die moderne Informations- und Kommunikationstechnologie völlig neue Möglichkeiten und Formen der Begehung von Straftaten. So fänden sich im Internet beispielsweise Angebote zum kostenlosen Download lizenzpflichtiger Software, Programme zur Manipulation von Telefonkarten und Anleitungen zum Bombenbau. Auch extremistische Gruppierungen nutzten das Internet verstärkt zur Koordination ihrer Aktivitäten und zur Verbreitung einschlägiger Propaganda.

    Die Zahl der Fälle, in denen Straftaten mit Hilfe des Internets verübt würden, steige rasant an. So seien durch die Polizei des Bundeslandes im Jahr 2002 insgesamt 4.321 Fälle (Vorjahr: 2.724 Fälle) registriert worden, bei denen das Internet als Tatmittel eingesetzt worden sei. Dies entspreche einem Anstieg von rund 60 Prozent. Dabei würden überwiegend Betrugsdelikte, die Verbreitung pornografischer Schriften, aber auch Computerbetrug durch unbefugte Einwirkung auf den Ablauf eines Datenverarbeitungsvorgangs festgestellt. Die verstärkte Nutzung des Internets habe sich besonders deutlich beim Warenbetrug niedergeschlagen. Dieser sei im Jahr 2002 mit einem Zuwachs von 115,7 Prozent auf 2.843 Fälle außergewöhnlich stark angestiegen. Im Wesentlichen sei dies auf die wachsende Beliebtheit von Internet-Auktionen zurückzuführen. Zunehmend würden dort Waren billig gegen Vorkasse angeboten, ohne dass diese später ausgeliefert würden. Dieser Trend setzte sich im ersten Halbjahr 2003 fort.

    Landespolizeipräsident Erwin Hetger: "Die moderne Datenverarbeitungs- und Kommunikationstechnologie stellt die Polizei sowohl im Bereich der Prävention als auch im Bereich der Repression vor neue Herausforderungen und erschwert die Aufklärung von Straftaten zum Teil erheblich."

    Eine Verschärfung der Situation ergäbe sich durch die weltweite Vernetzung von Computern und die darüber stattfindende Kommunikation. "Straftäter erkennen zunehmend die Bedeutung des Internets. Noch nie war es so einfach, Gleichgesinnte zu finden, von denen eine erhebliche Gefahr ausgeht. Um beispielsweise als Pädophiler, Extremist, Rassist oder Hooligan Kontakte zu Gesinnungsgenossen zu knüpfen, genügt eine Bekanntmachung in entsprechenden Diskussionsforen", so Hetger. Vermehrt sei festzustellen, dass Kriminelle strafbare Inhalte bewusst auf ausländischen Servern ablegten, um sie damit dem Zugriff deutscher Strafverfolgungsbehörden zu entziehen. Vor diesem Hintergrund sei ein internationaler Schulterschluss der Strafverfolgungsbehörden und ein einheitliches Bekämpfungsniveau von großer Bedeutung.

    Erwin Hetger erläutert weiter: "Im Zeitalter des weltumspannenden Internets machen einzelstaatliche Lösungen und Bekämpfungsansätze allein keinen Sinn mehr. Staatsgrenzen und unterschiedliche Rechtssysteme sind in der grenzenlosen digitalen Welt bedeutungslos, hemmen aber die Bekämpfung der Internetkriminalität in der realen Welt. Wir haben deshalb mit dieser Fachtagung bewusst auch Kollegen aus europäischen Nachbarstaaten angesprochen."

    Das Innenministerium habe angesichts der rasanten Entwicklung im Bereich der Computer- und Internetkriminalität frühzeitig Maßnahmen zur effektiven Bekämpfung eingeleitet. "Wir haben überall dort, wo wir aus eigener Zuständigkeit tätig werden konnten, bereits die Initiative ergriffen", so der Landespolizeipräsident. So sei im Land die Ausbildung von Spezialisten zur Sicherung und Auswertung digitaler Spuren und zur Durchführung von Ermittlungen im Internet deutlich ausgebaut worden. Zwischenzeitlich verfüge die Polizei des Landes über ein Netz von rund 80 spezialisierten DV-Ermittlern, die die Sachbearbeiter bei der Auswertung sichergestellter Datenverarbeitungsanlagen und Datenträger sowie bei Ermittlungen mit ihrem Spezialwissen unterstützten. Zudem befassen sich alle Beamten in der Aus- und Fortbildung mit der Thematik Internet.

    GolemLink

    ___

    Kaspersky warnt vor Swen

    Wurm verbreitet sich über E-Mails, KaZaA und IRC-Kanäle

    Moskau/München (pte, 19. Sep 2003 10:05) - Die russischen Sicherheitsspezialisten von Kaspersky Labs http://www.kaspersky.de warnen vor einem neuen Wurm namens Swen, der sich über E-Mails, das P2P-Netzwerk KaZaA und IRC (Internet Relay Chat)-Kanäle verbreitet. Swen gaukelt bei den infizierten Rechnern die Installationen eines Patches vor. Von dem neuen Wurm sind nach Angaben von Kaspersky bisher weltweit über 30.000 Rechner betroffen. http://www.kaspersky.com/de/news.html?id=989639

    Infizierte E-Mails können verschiedene Dienste von Microsoft in der Betreff-Zeile haben wie z.B. MS Technical Assistance, Microsoft Internet Security Solution und andere. In der Mail wird der User aufgefordert, einen "speziellen Patch zu installieren", der sich angeblich im Anhang befindet. Wie auch sein berüchtigter Vorgänger Klez nutzt der Wurm für seine Verbreitung eine Sicherheitslücke im Internet Explorer. Dadurch kann sich Swen selbst ohne jede "Hilfe" des Anwenders starten.

    Beim ersten Start lässt der Wurm nach Angaben von Kaspersky manchmal ein Fenster mit der Überschrift "Microsoft Internet Update Pack" auf dem Bildschirm erscheinen und ahmt die Installation eines Patches nach. Swen blockiert verschiedene Anti-Viren-Programme und Firewalls, sucht nach E-Mail-Adressen und verschickt dann an diese Kopien von sich selbst über eine direkte Verbindung zu einem SMTP-Server.

    Beim Verbreiten über KaZaA kopiert sich der Wurm unter verschiedenen Namen in das Verzeichnis KaZaA Lite und erstellt im temporären Windows-Verzeichnis ein Unterverzeichnis mit einem zufällig gewählten Namen. Dieses wird als Quelle für das P2P-System angegeben, wodurch die anderen User Zugriff auf die betreffenden Wurm-Dateien erhalten und diese ahnungslos herunterladen. (Ende)

    Pressetext.de Link

  25. #185
    Fireglider


    News vom 22.09.2003

    Gefälschtes Phrack-Magazin stiftet Verwirrung


    Laut der vermeintlich neusten Ausgabe des Phrack-Magazins wurde der Quellcode des Intrusion Detection System Snort kompromittiert. Dies ist jedoch eine Ente: Bei dem besagten Magazin handelt es sich um eine Fälschung.

    In dem E-Zine wurde ein Script veröffentlicht, das angeblich Pakete generiert, die auf jede Snort-Regel passen. Außerdem wird behauptet, dass in den SourceFire-Server eingebrochen wurde und der Quellcode von Snort verändert wurde. SourceFire ist die kommerzielle Variante des Intrusion Detection Systems Snort.

    Bei dem Phrack-Magazin handelt es sich jedoch um eine Fälschung: Das Pamphlet befindet sich nicht auf dem offiziellen Phrack-Server , sondern auf einer niederländischen Domain, die bereits seit geraumer Zeit für gefälschte Phrack-Veröffentlichungen genutzt wird. Zudem wurden aus der Snort-Meldung alle Datumsangaben herausgenommen, so dass sich nicht sagen lässt, wann der Server überhaupt kompromittiert worden sein soll.

    Auf der Sicherheitsmailingliste Full Disclosure hat sich inzwischen der SourceFire-Gründer Martin Roesch zu Wort gemeldet und die Sache aufgeklärt: Es habe vor über einem Jahr ein Einbruch auf einem seiner Server stattgefunden -- dieser war jedoch zu keinem Zeitpunkt mit dem CVS-System verbunden. Eine Kompromittierung von Snort- oder SourceFire-Dateien sei damit auszuschließen. Ferner seien mittlerweile drei Code-Audits über den Snort-Quellcode gelaufen, die keinerlei Anzeichen für eine Veränderung ergaben.

    Das gefälschte Phrack-Magazin stammt offenbar aus dem Kreis um das Project Mayhem -- eine Vereinigung von Blackhats, die es sich zum Ziel gesetzt haben, die Security-Industry gezielt durch Falschinformationen und Fake-Exploits zu verwirren. Beispielsweise versuchte man vor einem knappen Jahr mit dem vermeintlichen ABfrags-Exploit Verwirrung zu stiften. Bereits seit einiger Zeit gibt es einen Grabenkrieg zwischen dem "Original-Phrack" und der Project-Mayhem-Variante. (pab/c't)


    HeiseLink

  26. #186
    Fireglider


    Erneut Sicherheitslücke in OpenSSH


    OpenSSH 3.7.1p2 soll erneut Sicherheitslücken schließen


    Die Entwickler von OpenSSH warnen innerhalb kurzer Zeit zum wiederholten Mal vor einer kritischen Sicherheitslücke, die es Angreifern erlaubt, beliebigen Code auf verwundbaren Systemen auszuführen. Betroffen ist auch die erst letzte Woche veröffentlichte Version 3.7p1 von OpenSSH.

    Allerdings betrifft die Sicherheitslücke nur die portable Variante von OpenSSH bis einschließlich zur Version 3.7.1p1. OpenSSH unter OpenBSD ist nicht betroffen.

    Mehrere Fehler wurden im neuen PAM-Code (Pluggable Authentication Module) entdeckt, mindestens einer darunter ist von außen ausnutzbar. In einer Standard-Installation von OpenSSH wird die PAM-Unterstützung allerdings nicht aktiviert. So sind Standard-Installationen von der Sicherheitslücke nicht betroffen.

    Die OpenSSH-Entwickler haben zur Behebung der Sicherheitslücke die neue OpenSSH-Version 3.7.1p2 veröffentlicht. Zudem kann das Deaktivieren der PAM-Unterstützung das Problem vorerst beheben, zumal PAM in der Regel nicht benötigt wird.

    OpenSSH 3.7.1p2 kann unter openssh.org heruntergeladen werden.

    GolemLink

    ___


    Kalifornien plant strenges Gesetz gegen Spam-Mail


    MÜNCHEN (COMPUTERWOCHE) - Der US-Bundesstaat Kalifornien will die Flut unerwünschter E-Mails eindämmen. Ein gestern von Gouverneur Gray Davis unterzeichnetes Gesetz sieht vor, dass kommerzielle E-Mails aus Kalifornien oder an Adressaten aus dem Bundesstaat nicht mehr ohne ausdrückliche Einwilligung der Empfänger versendet werden dürfen. Diese können sich künftig per Zivilklage wehren. Nach einer Verurteilung können Spammer mit einer Strafe von 1000 Dollar pro Nachricht und bis zu einer Million Dollar für eine Werbekampagne belegt werden. Die Regelung soll zum 1. Januar 2004 in Kraft treten. Die Marketing-Industrie läuft gegen das Gesetz Sturm, berichten US-Medien. Nach Ansicht der Kritiker würde damit in erster Linie die Arbeit legal operierender Werbetreibender erschwert, aggressive Spam-Versender hingegen ließen sich davon kaum beeindrucken. (wh)


    ComputerWocheLink

    ___


    FTP-Server ProFTPD verwundbar


    Internet Security Systems (ISS), Hersteller für Sicherheitssoftware, hat im vielfach eingesetzten Open-Source-FTP-Server ProFTPD einen Fehler entdeckt, mit dem ein Angreifer ein System kompromittieren kann. Beim Download einer Datei im ASCII-Mode kann die Funktion zur Umwandlung von newlines ("\n") einen Buffer Overflow provozieren. Ein Angreifer kann diesen Fehler ausnutzen, indem er eine manipulierte Datei im BIN-Mode auf den Server hoch- und anschließend im ASCII-Mode herunterlädt. Da der Stack überschrieben wird, lässt sich prinzipiell Code in den Server laden und mit den Rechten des FTP-Servers ausführen -- bei ProFTPD als Root. ProFTPD verwendet zwar Root-Rechte nur für bestimmte Prozesse, ISS weist aber explizit darauf hin, dass sich diese Restriktionen umgehen lassen.

    Betroffen sind alle Versionen ab 1.2.7 bis einschließlich 1.2.9rc2 auf allen Plattformen. Der Hersteller hat den Fehler im Source-Code aller aufgeführten Versionen bereits behoben und empfiehlt dringend einen Upgrade. Als Workaround kann das Hochladen von Dateien verboten werden:


    <Limit WRITE>
    DenyAll
    </Limit>


    Zusätzlich kann ProFTPD so eingestellt werden, dass er keine Root-Rechte verwendet:


    RootRevoke on


    Allerdings laufen dann nicht mehr alle Funktionen des Servers einwandfrei, wie etwa der Active Mode beim Tansfer.



    HeiseLink mit weiterführenden Links

    ____


    Wurm legt Visa-System des US-Außenministeriums lahm

    Am gestrigen Dienstagnachmittag schaltete das U.S. State Department aus Sicherheitsgründen sein System zur Vergabe von Visa ab. Ursache war das Eindringen des Wurms Welchia in das Netzwerk des "Consular Lookout and Support System" (CLASS). Bei einer Visa-Antragstellung erfolgt ein Abgleich, ob über die Person bereits ein Eintrag vorliegt. Annähernd 13 Millionen Einträge von FBI, State Department, Einwanderungsbehörde, Drogenfahndung und Nachrichtendienste werden mit CLASS verwaltet, darunter mehr als 78.000 Namen von Personen, die des Terrorismus verdächtigt werden.

    Aufgrund des Ausfalls war die Bearbeitung von Visa-Anträgen für neun Stunden nicht möglich. Am Abend lief das System aber wieder ohne Störungen. Wie der Wurm seinen Weg in die Behörde des Außenministeriums fand und welchen Schaden er weiter anrichtete, ist nicht bekannt. Welchia nutzt die gleiche Sicherheitslücke im RPC-Dienst unter Windows wie Lovsan, um PCs zu befallen und sich von dort aus weiterzuverbreiten. Allerdings beseitigt der Wurm die Sicherheitslücke, in dem er den Microsoft-Patch installiert und versucht zusätzlich Lovsan-Würmer von der Festplatte zu löschen.

    HeiseLink mit weiterführenden Links

  27. #187
    Fireglider


    Streit: Bedroht Microsoft die nationale Sicherheit?

    MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten haben auf einer Veranstaltung der CCIA (Computer & Communications Industry Association) Microsofts Dominanz im Softwaremarkt heftig kritisiert. Die CCIA wird von Sun und Oracle unterstützt. Microsoft-Produkte seien von Fehlern durchsetzt und systembedingt gefährlich für Anwender sowie die Gesellschaft insgesamt, schreiben Security-Gurus wie Bruce Schneier, Gründer von Counterpane Internet Security, Daniel Geer, CTO (Chief Technical Officer) bei @Stake und Peter Gutmann, Wissenschaftler an der University of Auckland, in dem Bericht "Cyberinsecurity: The Cost of Monopoly".

    Die Spezialisten heben unter anderem auf Sicherheitslücken ab, durch die sich Würmer wie "Blaster" verbreiten konnten. Außerdem fordern sie Microsoft auf, Produkte wie Office auch in Versionen für Linux zur Verfügung zu stellen. Linux lasse sich aufgrund des frei zugänglichen Quellcodes besser gegen Sicherheitsrisiken absichern als Windows.

    Der Bericht sei ein schamloser Versuch, gesellschaftliche Ängste vor Sicherheitsrisiken für die Interessen einiger IT-Hersteller auszunutzen, entgegnete die Organisation Americans for Technology Leadership, die unter anderem Microsoft zu ihren Gründungsmitgliedern zählt. (lex)


    ComputerWocheLink

    ____

    Passwort-Klau durch Lücke im Internet Explorer


    Auf den Mailinglisten Full Disclosure und Bugtraq wurden mehrere Vorfälle gemeldet, die über Angriffe von Webseiten gegen Anwender berichten. Durch eine ungepatchte Sicherheitslücke im Internet Exporer kann ein Angreifer mit manipulierten HTML-Dokumenten beliebige ausführbare Dateien (.exe, .vbs) auf den PC des Anwenders laden und ausführen. Dazu reicht es bereits aus, die manipulierte Webseite im Internet Explorer anzusehen (siehe dazu auch: Internet Explorer lädt und startet beliebige Programme). Anzeige


    In einigen Fällen sollen AOL-Benutzer mit fingierten Mails auf eine Webseite gelockt worden sein, die anschließend ein VB-Skript auf dem PC installierte und startete, um Benutzername, Passwort und Buddyliste des AOL Instant Messengers auszuspähen. Auf den Webseiten von Spammern finden sich ebenfalls derartige Exploits, um PCs anzugreifen. Auf dem Rechner des Anwenders wird der Windows Media Player überschrieben oder unter C:\ finden sich Dateien wie "1.exe" und "2.exe". Ersten Hinweisen zufolge gibt es bereits 0190-Dialer, die sich auf diese Weise im PC einnisten können.

    Der Code zum Programmieren solcher Exploits ist frei im Internet verfügbar. Daher ist damit zu rechnen, das demnächst eine große Zahl von Webseiten im Internet präsent sein werden, die versuchen, diese Sicherheitslücke im Internet Explorer auszunutzen. Anwender sollten sich genau darüber im Klaren sein, welche Webseiten sie besuchen. Da im Moment kein Patch verfügbar ist, hilft das Abschalten von Active Scripting und ActiveX. Allerdings nur beim IE in der Version 6, bei älteren Versionen funktioniert der Angriff dennoch. Personal Firewalls und Antivirenprogramme können den Angriff zwar erkennen und unterbinden, dies ist jedoch kein hundertprozentiger Schutz, da die Exploits sehr stark variieren.

    HeiseLink mit weiterführenden Links

    ____


    Bundesweite Polizeiaktion gegen Abzocke mit 0190er-Nummern

    Bei einer Aktion gegen kriminelle Abzocke mit 0190er-Nummern hat die Polizei 18 Wohnungen und Geschäftsräume in fünf Bundesländern durchsucht. Ein Verantwortlicher einer nordhessischen Internet-Firma wurde verhaftet, teilt das hessische Landeskriminalamt in Wiesbaden heute mit. Die Firma soll mindestens 280 Internetnutzer mit manipulierter Software um 37.000 Euro gebracht haben. Durchsuchungen gab es in Hessen, Berlin, Nordrhein-Westfalen, Rheinland-Pfalz und Sachsen-Anhalt. Anzeige


    Die Firma soll zwischen Februar 2001 und März 2003 manipulierte Computersoftware zu betrügerischen Zwecken eingesetzt oder weiter gegeben haben. Nach den bisherigen Ermittlungen arbeitete die Firma mit weiteren Personen und Firmen zusammen, meldet die Polizei. Als sogenannte Werbepartner hatten die Firmen über ausländische Computer-Server massenhaft E-Mails versandt, die beim Empfänger den Eindruck erweckten, sie seien von einem ihnen bekannten Absender verschickt worden oder es sei eine Grußkarte. Nach dem Anklicken einer solchen E-Mail wurde ein Dialer heruntergeladen und eine teure 0190- oder 0900-Nummer angewählt.

    Den hessischen Polizeibehörden wurden im Jahr 2002 im Bereich der Computerkriminalität insgesamt 5347 Straftaten gemeldet. Das sind 31,6 Prozent weniger als im Vorjahr. Seit Mitte des Jahres 2001 sei entgegen dem allgemeinen Trend aber festzustellen, dass der Missbrauch von 0190-Servicerufnummern mit Dialer-Programmen in Hessen zunimmt, teilt die Polizei mit. (anw/c't)



    HeiseLink

  28. #188
    Fireglider


    Symantec bringt Norton Personal Firewall 2004

    Neuerungen sollen Nutzung auf Notebooks erleichtern


    Mit einer neuen Version der Norton Personal Firewall will Symantec vor allem Nutzer von Notebooks ansprechen, weil als Neuerung bei einem Netzwerk-Wechsel umgehend passende Assistenten ihre Arbeit aufnehmen können, um den mobilen Rechner vor Angriffen zu schützen. Außerdem blockiert Norton Personal Firewall 2004 nun auch Popup-Fenster im Internet Explorer.

    Der "Network Detector" in Norton Personal Firewall 2004 sucht automatisch nach einem verfügbaren Netzwerk, sobald der Laptop den Standort wechselt. Findet der Network Detector ein neues Netzwerk, meldet er dieses und der Anwender kann den Heimnetzwerk-Assistenten aktivieren, um Sicherheitseinstellungen für das neue Netzwerk zu definieren. Dabei speichert der Network Detector Informationen zu jedem Netzwerk und erkennt es bei späteren Verbindungen wieder, so dass sich Sicherheitseinstellungen automatisch wechseln lassen.

    Als weitere Neuerung erlaubt der neue Internet-Assistent den bequemen Zugriff auf sicherheitsrelevante Programm-Funktionen im Internet Explorer. So sollen sich besonders einfach Filter einstellen oder Cookies blockieren lassen. Aber auch lästige Pop-Up-Fenster sollen mit Hilfe der Software umgangen werden können.

    Symantec bietet die Norton Personal Firewall 2004 für die Windows-Plattform nach eigenen Angaben ab sofort zum Preis von 49,95 Euro an. Ein Upgrade gibt es für 34,95 Euro.

    GolemLink

  29. #189
    Fireglider


    Klage wegen Computereinbruch zu Werbezwecken

    Am gestrigen Dienstag reichten Anwälte der US-Regierung Klage gegen den am Montag inhaftierten Präsidenten der Sicherheitsfirma Forensic Tec Solutions, Brett Edward O'Keefe, ein. Im August 2002 berichtete die Washington Post über spektakuläre Einbrüche der Firma in Computer von Bundesbehörden und Server des Militärs. Ein Team um O'Keefe soll damals mit frei verfügbaren Sicherheitstools in die Systeme eingedrungen sein und dort Einblick in hochgeheime Dokumente gehabt haben. Seinerzeit rechtfertigte O'Keefe die Veröffentlichung der Einbrüche mit der Begründung, bei der Beseitigung der Sicherheitslöcher helfen und ein wenig Werbung für seine Firma machen zu wollen.

    Dem ersten Argument konnte die Staatsanwaltschaft nicht ganz folgen. Sie wirft O'Keefe nun vor, die Einbrüche begangen zu haben, um damit die Werbetrommel zu rühren, in der Hoffnung im öffentlichen Blickpunkt zu stehen und damit neue Kunden zu gewinnen. Gegen insgesamt sechs Gesetze sollen die Sicherheitsexperten verstoßen haben. Bereits vergangene Woche wurden zwei Mitarbeiter von Forensic Tec verhaftet, die sich für schuldig befunden haben sollen. Eine Verurteilung könnte bis zu 30 Jahre Haft nach sich ziehen. (dab/c't)


    HeiseLink

    ___

    Sicherheitslücken in OpenSSL

    Neue OpenSSL-Versionen schaffen Abhilfe


    Einige jetzt entdeckte Sicherheitslücken in OpenSSL könnten es Angreifern erlauben, auf betroffenen Systemen beliebigen Code auszuführen. Zwar existiert offenbar noch keine Exploit für die Sicherheitslücken, ein Update auf die neuen Versionen Open SSL 0.9.6k bzw. 0.9.7c ist aber dennoch anzuraten.

    Die Probleme, die zu den Sicherheitslücken führen, liegen im Parsen von Zertifikaten im Abstract Syntax Notation (ASN.1) sowie in der OpenSSl-Implementierung des SSL/TLS-Protokolls. Insgesamt geht es dabei um vier Sicherheitslücken, die in OpenSSL 0.9.7 bis einschließlich zur Version 0.9.7b sowie bis auf eine Ausnahme auch im älteren OpenSSL 0.9.6 bis einschließlich zur Version 0.9.6j enthalten sind. Entdeckt wurden sie mit Hilfe einer Test-Suite von NISCC.

    Abhilfe schaffen die neuen Versionen 0.9.6k bz. 0.9.7c, die über die Website des OpenSSL-Teams zum Download bereitstehen.



    GolemLink

  30. #190
    Fireglider


    Dreiste Dialer-Abzocke auf Suchmaschine.de

    Suchmaschine.de hat eine wechselvolle Geschichte hinter sich. Eine Zeitlang war es Experimentierfeld fur eine Suche mit Bildervorschau, dann eine Suchmaschine, die nur bezahlte Treffer lieferte, jetzt versucht man die schnelle Abzocke. Unter Suchmaschine.de führt nun jeder Klick und jede Suche nicht etwa zu einem Suchergebnis, sondern unverzüglich zur Installation eines Dialers.

    Über das Impressum ist zwar eine Adresse in 64572 Büttelborn zu erfahren, laut Denic ist aber ein Österreicher Domaininhaber, vertreten durch einen Patentanwalt in München. Der "Webmaster"-Link führt ohne Umwege zu einem Dialer-Vertrieb und damit wieder zu der Adresse in Büttelborn. Die Software wird von einem ungarischen Porno-Anbieter geliefert. Der Betreiber der Website kann bei unvorsichtigen Nutzern ordentlich abzocken: Bis 3000 Anrufs-Minuten pro Monat erhält er 0,83 Euro pro Minute.

    Zwar scheint der Dialer nach den neuen Regeln der Regulierungsbehörde zu funktionieren. Das heißt, es gibt keinen versteckten Download, der Preis wird angegeben und die Bestätigung erfolgt durch Eintippen der Buchstaben OK statt durch einen einfachen Mausklick.

    Der Dialer ist auch registriert, aber nicht in der zum Download angebotenen Version 3.0.10.1. Diese Versionsnummer erscheint nicht in der langen Dialer-Liste der RegTP, die man unter durch Eingabe der Telefonnummer abrufen kann. Nach dem Gesetz zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern, Paragraph 43b, Absatz 5 ist aber jede Programmversion erneut registrierungspflichtig. Die Regulierungsbehörde könnte also nach Paragraph 43 c tätig werden. Die Behörde könnte die Telefonnummer entziehen oder den Betreiber auffordern, keine Rechnungslegung vorzunehmen.

    Der Domainbetreiber scheint auch andere Domains wie zum Beispiel www.musik.de gekauft zu haben und das Geschäftsmodell auszuweiten. (Stefan Karzauninkat) / (anw/c't)


    HeiseNews

    ___


    Drei Lecks in OpenSSL gestopft


    MÜNCHEN (COMPUTERWOCHE) - Bei einem intensiven Sicherheitstest durch Experten der britischen Regierung wurden in OpenSSL, einer populären Open-Source-Implementierung von Secure Sockets Layer (SSL), drei Schwachstellen entdeckt. Das für die Entwicklung der Software zuständige Projekt hat diese bereits beseitigt und rät in einem Adivsory allen Anwendern, auf die gefixten Versionen 0.9.7c oder 0.9.6k upzudaten sowie alle Anwendungen zu rekompilieren, die statisch zu OpenSSL-Bibliotheken gelinkt sind. Die meisten Linux-Distributoren haben bereits entsprechende Patches veröffentlicht, ebenso Cisco, das OpenSSL in einer Reihe seiner Produkte einsetzt. (tc)


    ComputerWoche.de Link



    _____



    Trojaner nutzt offenes Sicherheitsleck im Internet Explorer


    Infektion allein durch den Besuch einer Webseite mit dem Internet Explorer


    Im Internet ist ein Trojaner unter der Bezeichnung Qhosts respektive QHosts-1 entdeckt worden, der sich eine nicht bereinigte Sicherheitslücke im Internet Explorer zu Nutze macht. Bereits durch den Besuch einer Webseite kann man sich diesen Trojaner einfangen. Eine weitere Verbreitungsroutine besitzt der Schädling aber nicht, so dass er bislang nur selten in freier Wildbahn gesichtet wurde.

    Das Sicherheitsloch im Internet Explorer der Versionen 5.0, 5.5 und 6.0 steckt in den Komponenten ActiveScripting und ActiveX, was dem Trojaner erlaubt, beliebigen Programmcode auf dem befallenen System auszuführen. Nur im Internet Explorer 6.0 lässt sich die Sicherheitslücke durch Deaktivieren von ActiveScripting und ActiveX umgehen; in den beiden älteren Versionen des Browsers bleibt die Abschaltung wirkungslos und es genügt somit der Besuch einer entsprechenden Webseite, um Opfer des Trojaners zu werden. Microsoft bietet bislang keinen Patch gegen das Sicherheitsloch an. Daher sollte man derzeit sehr genau überlegen, welche Webseiten man mit dem Internet Explorer besucht oder bis zur Bereitstellung eines Patches auf andere Browser wie etwa Firebird, Mozilla oder Opera ausweichen.

    Der nun entdeckte Trojaner verändert die Netzwerkeinstellungen des befallenen Windows-PCs, indem er die Einträge des DNS-Servers auf spezielle IP-Adressen umleitet. Dadurch leitet der Trojaner Webseiten-Aufrufe an andere Adressen um und kann Opfer so dazu bringen, bestimmte Webseiten zu besuchen. Die meisten Hersteller von Antiviren-Software haben ihre Signatur-Dateien bereits aktualisiert und stellen diese zum Download bereit, so dass damit der Trojaner erkannt werden kann.

    GolemLink

  31. #191
    Fireglider


    System der Info-Bildschirme in Hamburger U-Bahnen geknackt

    In einer Stellungnahme hat die Firma Infoscreen den erfolgreichen Angriff auf ihre Systeme in Hamburger U-Bahnen bestätigt, der von dem News-Forum Symlink gemeldet und in einem Artikel der Hamburger Morgenpost beschrieben wurde. Das System von Infoscreen wird in Zügen der Linien U1, U2 und U3 sowie an hochfrequentierten Knotenpunkten eingesetzt. Die Infoscreen-Bildschirme in Zügen synchronisieren sich über Wireless LAN mit Access Points in verschiedenen Stationen im U-Bahnnetz. Ein Windows-95-Rechner versorgt die Displays in zwei U-Bahnwagen und kopiert über Funk-LAN die anzuzeigenden Inhalte von einem File-Server in einer U-Bahn-Station. Anzeige


    Offenbar wird dabei keine Verschlüsselung eingesetzt, sodass es relativ einfach ist, auf Windows-95-Rechner zuzugreifen. Darüber hinaus kann man den Server simulieren, von dem die Inhalte kopiert werden. Ein Laptop mit WLAN-Karte und einem Fileserver, wie etwa Samba, reicht dazu aus. Unter anderem manipulierten die Hacker bei dieser Aktion Nachrichten-Anzeigen des Heise-Verlages und der Tagesschau.

    Das Infoscreen-System war in der Vergangenheit immer wieder Ziel von Hacker- beziehungsweise Wardriver-Angriffen. Mit diversen Verbesserungen versucht der Hersteller seitdem, Manipulation zu erschweren. Der nun bekannt gewordene Angriff fand bereits im September statt, kurz bevor ein weiteres Sicherheits-Update in die Systeme eingespielt wurde, das den Zugriff auf die Windows-Rechner verhindert.

    HeiseLink mit weiterführenden Links


    _____


    Internet Explorer: Sicherheitslecks erlauben Code-Ausführung


    Bereits der Besuch einer Webseite genügt, um Opfer einer Attacke zu werden


    In allen drei aktuellen Versionen des Internet Explorer wurden erneut schwerwiegende Sicherheitslücken entdeckt, die einem Angreifer die Ausführung von Programmcode erlauben. Ein Anwender muss lediglich eine Webseite besuchen oder eine HTML-E-Mail öffnen, um Opfer eines Angriffs zu werden. Bereits in der vergangenen Woche tauchte ein Trojaner auf, der sich das Sicherheitsleck zu Nutze macht. Microsoft bietet einen Sammel-Patch an, der auch frühere Sicherheitslecks im Browser beheben soll.




    Beide Sicherheitslöcher bestimmen einen von einem Web-Server empfangenen Object-Typ falsch, so dass ein Angreifer beliebigen Programmcode auf dem betreffenden System ausführen kann. Während das eine Sicherheitsleck über ein Popup-Fenster ausgeführt wird, tritt die zweite Sicherheitslücke bei der Anzeige von XML-Inhalten auf. Damit ein Angreifer beliebigen Programmcode auf einem fremden System übertragen und ausführen kann, muss ein Anwender lediglich eine entsprechend präparierte Webseite besuchen. Zudem genügt die Betrachtung einer HTML-E-Mail, sofern der Internet Explorer im betreffenden E-Mail-Client zur Anzeige von HTML-Inhalten verwendet wird, wie es etwa bei Outlook und Outlook Express der Fall ist.

    Bereits am 2. Oktober 2003 wurde ein Trojaner entdeckt, der die bereits länger bekannte Sicherheitslücke im Internet Explorer ausnutzte, um sich darüber in fremde Systeme einzuschleusen. Ursprünglich sollte ein Mitte August 2003 veröffentlichter Sammel-Patch derartige Sicherheitslücken schließen, blieb aber wirkungslos, wie Anfang September 2003 berichtet wurde.

    Beide Sicherheitslecks betreffen den Internet Explorer in den Versionen 5.01, 5.5 und 6.0, wofür Microsoft entsprechende Patches zum Download bereitstellt. Für den Internet Explorer 6.0 für Windows Server 2003 wurde eine spezielle Download-Seite eingerichtet. Die Sicherheitslöcher werden von Microsoft als kritisch eingestuft.

    GolemLink


    _____



    Sender Permitted From soll Spam vermeiden


    SMTP+SPF soll gefälschte E-Mail-Absender verhindern


    Mit SMTP+SPF ist derzeit ein weiterer Vorschlag in der Diskussion, der zwar nicht den Anspruch hat, Spam grundsätzlich zu verhindern, ihn aber zumindest wirksam eindämmen soll. Dabei handelt es sich um eine abwärtskompatible Erweiterung des SMTP-Protokolls, die es Mail-Empfängern ermöglichen soll, gefälschte Absenderadressen zu erkennen.




    Mit der Angabe "Sender Permitted From" sollen Betreiber von Mail-Servern die IP-Adressen ihrer Mail-Server veröffentlichen, über die E-Mails mit Absendern unter ihren Domains versendet werden. Empfänger haben so noch vor Annahme der E-Mail die Möglichkeit zu überprüfen, ob der Absender der E-Mail auch über einen Server versendet wurde, dessen Betreiber die entsprechende Domain hält. Nutzt ein Spammer einen anderen Mail-Server als vom Domain-Inhaber angegeben, wird dies so sichtbar.

    Die Betreiber von Mail-Servern sollen ihrerseits den Mail-Versand über die eigenen Server überwachen und Nutzer mit SASL authentifizieren. Zwar kann auf diesem Weg nicht verhindert werden, dass E-Mails mit gefälschten Absenderadressen versendet werden, wohl aber, dass diese nicht zu erkennen sind. Wer SMTP+SPF verwendet, kann so entsprechende Mails direkt abblocken.

    SMTP+SPF ist derzeit noch in der Entwicklung, einige Implementierungen für verschiedene Mail-Transfer-Agents (MTAs) sind bereits verfügbar. Ein entsprechendes RFC liegt als Draft vor.

    GolemLink

  32. #192
    Fireglider


    Update für Windows Media Player stopft alte Sicherheitslücke

    Vergangene Woche stellte Microsoft endlich ein Sicherheits-Update für den Internet Explorer zur Verfügung, das ein kritisches Sicherheitsloch stopft. In dem entsprechenden Advisory MS03-040 verwies Microsoft zudem auf ein Update für den Windows Media Player (WMP), der die Verhaltensweise beim Aufruf externer URLs korrigiert. Obwohl Microsoft das Update nicht als "Security Patch" bezeichnet, beseitigt es doch eine bekannte Sicherheitslücke, für die im Juli bereits Proof-of-Concept-Exploits veröffentlicht wurden.

    In Media-Dateien, etwa .asf-Dateien, können URLs eingebettet sein, die der Media Player aufruft. Durch einen Fehler bei der Behandlung von DHTML ist es damit möglich, Webseiten in der lokalen Zone statt etwa der Internet-Zone zu öffnen. Manipuliert ein Angreifer eine .asf-Datei und bringt sein Opfer dazu, diese zu starten, kann er mit den Rechten des Opfers auf das lokale Dateisystem zugreifen und beliebige Programme starten. Media-Dateien können in HTML-Dokumenten eingebettet sein und auch per Mail verschickt werden. Anwender sollten den im Knowledge-Base-Artikel 828026 beschriebenen Patch einspielen. Der Artikel beschreibt auch, welcher WMP-Patch für welche Windows-Plattform geeignet ist.

    Heise Link mit weiterführenden Links

    ___


    Uneinigkeit über Gefahr für Infrastruktur durch Cyber-Attacken

    Europäische Sicherheitsexperten sehen derzeit keine Gefahr, dass durch Angriffe auf Computer Katastrophen oder sogar ein Krieg ausgelöst werden könne. Damit stehen sie allerdings im Gegensatz zu zahlreichen US-Wissenschaftlern. Nach deren Einschätzung könnten Terroristen nach dem aktuellen Stand der Technik durchaus in der Lage sein, durch Cyberwar wichtige Strukturen wie Energieversorgung oder Kommunikation mit Hilfe des Internet außer Funktion zu setzen. Dies wurde am Dienstag auf einem Fachkongress Netz- und Computersicherheit an der Universität Düsseldorf deutlich. Anzeige


    Erkenntnisse der Nachrichtendienste sprächen "jedenfalls aktuell nicht dafür", dass Extremisten das Internet "in einem als reale Bedrohung zu empfindenden Maße" als Waffe gegen technische Systeme nutzen könnten. Dies betonte Nordrhein-Westfalens Innenminister Fritz Behrens (SPD). Auch hätten moderne Informationstechnologien keine wirklich neuen Formen von Kriminalität geschaffen, sagte Behrens. Allerdings würde natürlich diese Technik häufig für herkömmliche Straftaten genutzt.

    Allein rund 500.000 "Angriffe" monatlich auf den digitalen Informationsfluss der Bundesbehörden zwischen Bonn und Berlin zeigten, wie ernst die Sicherung des Datennetzes zu nehmen sei, sagte Ute Vogt, Staatssekretärin im Bundesinnenministerium. Hierzu sei eine enge Kooperation von Forschung, Politik und Unternehmen nötig, betonten Sicherheitsexperten vor rund 400 Zuhörern.

    Friedensforscher warnten, durch größere Sicherheitsvorkehrungen beim Datennetz die Freiräume der Bürger einzuschränken. Entsprechende Gesetze sollten alle zwei Jahre auf ihre Wirksamkeit überprüft und gegebenenfalls wieder abgeschafft werden, "sonst ersticken wir in einem Wust von Gesetzen". (dpa) / (jk/c't)

    HeiseLink

    ___

    Symantec aktualisiert Programmpaket Norton Internet Security


    Neben Standard-Version auch Professional-Ausführung im Angebot


    Die Sammlung von Sicherheitssoftware unter der Bezeichnung Norton Internet Security wird von Symantec mit aktualisierten Komponenten neu aufgelegt, wobei erneut eine Standard- sowie eine Professional-Version angeboten wird. Beide Windows-Programmpakete sollen ab sofort erhältlich sein und enthalten nun auch einen Spam-Filter.

    Zum Lieferumfang von Norton Internet Security 2004 gehört Norton AntiVirus 2004, die Norton Personal Firewall 2004 und Tools, um den Zugriff auf Diskussionsforen und Webseiten für Kinder zu begrenzen. Als komplett neue Komponente umfasst das Paket die Software Norton AntiSpam 2004. Damit sollen sich Werbe-E-Mails (Spam) automatisch filtern lassen. Der Spam-Filter soll mit allen E-Mail-Clients zusammenarbeiten, die über POP3 auf die Postfächer zugreifen. Eine IMAP-Unterstützung bietet die Software somit nicht.

    Die Professional-Variante der Software entspricht der normalen Version und bietet darüber hinaus Funktionen speziell für kleine Unternehmen. So umfasst das Programmpaket Optionen zur Datenrettung und -wiederherstellung sowie zur Vernichtung von Daten. Mit Norton Internet Security 2004 Professional lassen sich temporäre Internetdateien automatisch löschen und Benutzerprofile erstellen.

    Symantec will Norton Internet Security 2004 in der Standard- und Professional-Variante für die Windows-Plattform ab sofort anbieten. So gibt es die normale Ausführung zum Preis von 79,95 Euro (Upgrade 49,95 Euro), während die Professional-Version mit fünf Lizenzen 439,95 Euro kostet.

    GolemLink

    ____


    Leichtes Spiel für Web-Betrüger in .de

    Bürokratie bremst Strafverfolger

    Berlin (pte, 07. Okt 2003 10:05) - Deutschland ist für die Verfolgung von Internet-Betrugsfällen schlecht gerüstet. In einer Umfrage der Berliner Zeitung http://www.berlinonline.de kritisierten Sicherheitsexperten, dass sowohl datenschutzrechtliche Bestimmungen als auch das Fehlen von Spezialisten bei den Polizei-Behörden die schnelle Ermittlung von Straftaten behindern.

    "Wir könnten eine ganze Menge mehr machen, wenn der Datenschutz dabei mitspielt", sagte Ebay-Deutschland-Sprecher Joachim Güntert. "Wir müssen aufpassen, dass der Datenschutz nicht zum Täterschutz wird", so Güntert. Es gebe etwa Schwierigkeiten, Kundendaten verdächtiger Personen schnell und unbürokratisch an Betrugsopfer oder Ermittlungsbehörden weiterzugeben. Obwohl Kriminelle wie die so genannte rumänische Mafia ihre Betrugsgeschäfte sehr kurzfristig abwickeln, könne das Online-Portal aus Datenschutzgründen Informationen über Verdächtige erst nach Vorlage des Aktenzeichens eines Ermittlungsverfahrens weitergeben.

    Darüber hinaus kritisieren Sicherheitsexperten vor allem das Fehlen von Spezialisten bei den Ermittlungsbehörden. So würden weder auf Bundes- noch auf Landesebene solche Betrugsfälle zentral erfasst. Nur die Polizei von Frankfurt am Main hat eine eigene Gruppe von vier Ermittlern zusammengezogen, die sich auf die Materie spezialisiert haben. Vor zwei Jahren war in der hessischen Metropole erst ein Kollege für Internet-Kriminalität zuständig gewesen, sagte Polizei-Sprecher Jürgen Linker. Ein weiteres Hemmnis bei der Verfolgung von Straftaten im Web stellt nach Angaben der Behörden die Vorschrift dar, wonach für Ermittlungen stets die Polizeidienststelle am Wohnort des Verdächtigen zuständig ist. Besonders schwierig werde es dabei, wenn die Spur nach Osteuropa führe. (Ende)


    PresseTextLink

  33. #193
    Fireglider


    Hintertür in der Robinson-Liste

    Die juristisch heftig umkämpfte Website, auf der sich US-Bürger seit Juni vorsorglich gegen unerwünschte Reklame-Anrufe verwahren können, enthält einen Web-Bug des Kommunikationskonzerns AT&T. Anzeige


    Mit der unbewussten Anforderung eines nur ein Pixel großen "Bildes" erzeugt jeder der zahlreichen Besucher der Website einen Logfile-Eintrag auf dem Server der AT&T Management Services, der diesen so genannten Web-Bug beherbergt. Dadurch erhält der Betreiber dieses Servers vorzeitig Kenntnis über die Statistik der Reklameverweigerer und kann seine Werbemaßnahmen etwa auf Gebiete mit besonders wenigen Ablehneinträgen konzentrieren, bevor die passenden Daten von der amerikanischen Handelsaufsicht FTC veröffentlicht werden.

    Wohlgemerkt: Allein die Existenz des Web-Bugs liefert keinen Beweis, dass eine solche Auswertung stattfindet oder ob gar eine Verknüpfung der Daten mit weiteren Informationen über individuelle Surfer erfolgt -- aber sie eröffnet die Möglichkeit. Und weil mit AT&T nicht nur ein langjähriger Web-Hoster, sondern zugleich ein agressiver Telefon-Marketer hinter der Datenerhebung steckt, deutet sich ein eklatanter Interessenkonflikt an: Auf der einen Seite hat die Sparte AT&T Government Solutions die Pflicht, ihren 3,5-Millionen-Dollar-Auftrag mit der FTC ohne Bevorteilung einzelner Unternehmen und insbesondere ohne Indiskretionen über einzelne Bürger abzuwickeln. Aus diesem Grunde ist auch ein Datenaustausch mit anderen Sparten von AT&T als illegitim anzusehen. Auf der anderen Seite legt aber genau der beschriebene Web-Bug eine solche Datenweitergabe nahe.

    Das Magazin Register, das den Sachverhalt aufgedeckt hat, erhielt von der FTC allerdings an Stelle einer Begründung nur den lapidaren Kommentar, "man belle vor dem falschen Baum". (hps/c't)


    HeiseLink


    ____


    IBM entwickelt Sicherheitsdienst für WLANs


    Dienst soll vor Eindringlingen in Wireless-LANs schützen


    IBM hat jetzt einen Intrusion-Detection-Dienst vorgestellt, der Kunden gegen Angriffe auf ihr Wireless-LAN schützen soll. Der von IBM Global Services bereitgestellte Dienst nutzt eine von IBM entwickelte "Sniffing-Technologie", die vor Eindringlingen warnen soll.




    So sollen Kunden vor dem Bruch der drahtlosen Verschlüsselung, Adress-Masquerading, Man-in-the-Middle-Attacken, Denial-of-Service-Angriffen und fehlerhaft konfigurierten Access Points geschützt werden. Dabei setzt IBM auf Sensoren, die mit Embedded Linux arbeiten und Auffälligkeiten in einem WLAN aufspüren, die anschließend zu aussagekräftigen Reports zusammengefasst werden.

    Zusätzlichen Schutz verspricht der "WI-Dog", der über den Status der drahtlosen Sensoren wacht, um so vor deren Manipulation zu schützen.

    GolemLink

  34. #194
    Fireglider


    Sicherheitsleck: Die unendliche RPC-Lücken-Geschichte

    Weiteres Sicherheitsleck umgeht die bereits angebotenen Windows-Patches


    Nachdem Microsofts bereits zwei Patches zur Schließung von Sicherheitslücken im RPC-Protokoll verschiedener Windows-Versionen veröffentlicht hat, berichten Sicherheitsexperten auf den Mailinglisten Bugtraq und Full Disclosure, dass weitere Lecks im RPC-Protokoll ausgenutzt werden können. So könne auf Systemen mit eingespieltem Patch eine Denial-of-Service-Attacke ausgeführt werden, was vermutlich das betreffende System zum Absturz bringt.




    Sicherheitsexperten auf Bugtraq und Full Disclosure berichten, dass auf russischen Webseiten Beispielcode aufgetaucht sei, der eine Ausnutzung der Sicherheitslücken im RPC-Protokoll gestattet. Wurde auf den Windows-Systemen der Patch aus dem Security Bulletin MS03-39 installiert, lässt sich weiterhin ein Denial-of-Service-Angriff auf solche Systeme ausführen. Das dürfte den RPC-Dienst zum Absturz bringen und so womöglich das gesamte System in die Knie zwingen.

    Auf Systemen, auf denen der aktuelle Patch nicht eingespielt wurde, können Angreifer sogar einen Shell-Zugang öffnen und erhalten so weitreichende Kontrolle über das System. Um sich vor Angriffen über das RPC-Protokoll zu schützen, empfiehlt sich die Einrichtung einer Firewall, auf der die TCP-Ports 135, 139, 445 und 593 sowie die UDP-Ports 135, 137, 138 und 445 gesperrt sind.

    GolemLink

    ____


    Neue Version des mIRC-Client behebt Sicherheitslücke [Update]

    Der unter Windows weit verbreitete Internet-Relay-Chat-Client mIRC ist in Version 6.11 verfügbar. Neben diversen funktionellen Verbesserungen beseitigten die Entwickler eine Sicherheitslücke, die in den Versionen 6.01 bis 6.1 enthalten ist. Ein Fehler bei der Behandlung der Antworten von IRC-Servern provoziert im Client einen Buffer Overflow. Sendet ein Angreifer in einer Antwort einen Hostnamen, der länger als 110 Bytes ist, kann er den Stack überschreiben und dort eigenen Code mit den Rechten des Client ausführen. Ein Exploit zu der Schwachstelle ist bereits Anfang Oktober auf entsprechenden Seiten verfügbar.

    [Update] Nach Angaben von IRChelp.org bringt seit gestern ein neuer Exploit mIRC-Clients zum Absturz. Verwundbar sind alle Versionen ab 6.0 inklusive der aktuellen Version 6.11. Der Exploit nutzt einen Fehler bei der Auswertung von DCC-Befehlen aus. Ein Patch ist noch nicht verfügbar, als Workaround sollten mIRC-Anwender DCC-Requests mit folgendem Befehl unterdrücken:


    /ignore -wd *


    (dab/c't)


    Heise Link


    ____


    Liste der ungepatchten Sicherheitslücken des Internet Explorers vom Netz genommen

    Die von Thor Larholm gepflegte Liste der ungepatchten Sicherheitslöcher im Internet Explorer ist nicht mehr im Internet verfügbar. In ihr waren alle Schwachstellen der vergangenen Jahre zusammengetragen, die von Microsoft nie beseitigt wurden. Bei einigen Fehlern war Microsoft bisher nicht der Ansicht, dass sie sicherheitsrelevant sind, für andere Fehler gibt es zwar Patches, diese schließen die Lücken aber nicht wirklich. Und bei einigen Fehlern lässt der Patch einfach nur auf sich warten. Anzeige


    Statt der Liste ist nun auf den Internetseiten von PivX Solutions die Anmeldung zu einer Mailing-Liste zu sehen, nebst einer Stellungnahme zu den Gründen, die das Team dazu bewogen haben soll, die Liste aufzugeben. Demnach sind sie der Meinung, dass die Abhängigkeit der Internet-Gemeinde vom Internet Explorer zu groß ist, um an exponierter Stelle immer wieder auf seine Schwächen hinzuweisen. "Gauner, Asoziale und Cracker" sollen keine Möglichkeit mehr haben, die Lebensführung anderer zu stören oder zu beeinflussen. Damit wolle man weiteren Schaden vom Internet abwenden.

    Man sehe bei PivX mittlerweile ernsthafte Bemühungen Microsofts, die Probleme mit dem Internet Explorer in den Griff zu bekommen. Microsoft soll nun Gelegenheit zur einer Atempause bekommen, um ohne weiteren Druck Tests, Patches und Service Packs zu entwickeln. PivX Solutions entwickelt parallel dazu ein Tool, um zeitnah einige der kritischsten Lücken zu schließen und Microsoft somit weitere Zeit zu verschaffen. Das PivX Solutions Security Team betont, das sie die Seite aus freien Stücken geschlossen haben. Auch stehe das "Solutions" nicht umsonst in ihrem Firmennamen: Sie wollen ein Teil zur Lösung des Problem sein.

    Die gelöschte Seite ist derzeit noch in den Caches einiger Suchmaschinen, wie etwa Google, gespeichert: Unpatched IE security holes (dab/c't)


    GoogleLink



    HeiseLink

  35. #195
    Fireglider


    Neues Loch in Windows RPC-Dienst

    Nach Angaben von X-Force, den Sicherheitsspezialisten des Herstellers Internet Security Systems, ist im RPC/DCOM-Dienst unter Windows 2000 und XP ein weiterer Fehler enthalten, den auch der aktuelle Patch MS03-039 (KB 824146) nicht beseitigt. Der derzeit kursierende Exploit, der eigentlich Schwachstellen in Windows-Systeme ausnutzt, die nicht den Hotfix 824146 eingespielt haben, bringt auch gepatchte Systeme zum Absturz. Auf ungepatchten System hingegen legt der Exploit sogar ein neues Benutzerkonto an, über das Angreifer Zugriff auf das System erhalten.

    X-Force widerspricht in seinem Advisory Meldungen, in denen behauptet wird, der Absturz beruhe auf Nebeneffekten der im Bulletin MS03-039 beschriebenen drei Sicherheitslücken. Vielmehr sei der Absturz auf die fehlerhafte Behandlung vieler zeitgleicher RPC-Anfragen (Multi-Threaded Race Condition) zurückzuführen. Dadurch verbraucht der RPCSS-Dienst zu viel Speicher und stürzt ab. In der Folge rebootet das NT-Autoritätssystem, wie schon bei Lovesan, den Rechner.

    Auch CERT/CC betont in einer Vulnerability Note die Verwundbarkeit gepatchter Systeme. Da es für diesen neuen Fehler noch kein Sicherheits-Update gibt, empfiehlt CERT/CC die Ports zu sperren, über die ein Angriff erfolgen kann (TCP: 135, 139, 445, 593, UDP: 135, 137, 138, 445). Des Weiteren kann man DCOM abschalten, um mögliche Angriffe zu erschweren. Microsoft beschreibt in seiner Knowledge Base, wie das für Windows-Systeme geht. Ein einfaches Tool zum Abschalten des DCOM-Dienstes ist der DCOMbobulator. In produktiven Umgebungen sollte man allerdings vorher Tests durchführen, um den Betrieb nicht zu gefährden.

    Heise.de Link mit weiterführenden LinkZ

  36. #196
    Fireglider


    Schwachstellen in Exchange Server


    Microsoft meldet in den Bulletins MS03-046 und MS03-47 Fehler im Mail-Server Exchange. Mit einem manipulierten Kommando (Extended Verb) unter SMTP kann man Exchange 5.5 zum Absturz bringen. Bei Version 2000 kann ein Angreifer zusätzlich beliebigen Code auf den Stack schreiben und anspringen. Administratoren sollten den Patch KB 829436 einspielen. Zum Senden von SMTP-Kommandos ist keine vorherige Authentifizierung notwendig. Zum Schutz vor Angriffen aus dem Internet sollte Port 25 auf der Firewall blockiert sein, im Intranet muss der Port zur Auslieferung von Mails aber weiterhin erreichbar sein. Anzeige


    Ist in Exchange 5.5 Outlook Web Access (OWA) aktiviert, sind Cross-Site-Scripting-Angriffe möglich. Mit OWA können Anwender mit einem normalen Browser auf ihre Mails zugreifen. Links in manipulierten HTML-Mails können versteckte JavaScripte enthalten. Klickt ein OWA-Anwender solch einen Link an, so filtert Exchange den Script-Code nicht aus und sendet ihn an den Benutzer. Sofern Active Scripting aktiviert ist, startet der Code im Browser in der Sicherheitszone des Exchange Server, -- in der Regel "Vertrauenswürdige Sites". OWA ist standardmäßig deaktiviert. Hotfix KB 828489 stopft die Sicherheitslücke. (dab/c't)

    HeiseLink

    ____


    Update behebt Sicherheitslöcher im Real Player

    Ein Update für den Multimedia-Player von Real Networks behebt zwei Sicherheitslücken, die es Angreifern ermöglichen, Skriptcode durch den Real Player ausführen zu lassen. Betroffen sind Real Player unter Windows und Mac OS X. Über die erste Sicherheitslücke können falsche URLs oder Skripte im temporären Verzeichnis abgelegt und anschließend durch den Standard-Webbrowser ausgeführt werden. Betroffen davon sind RealOne Player, RealOne Player V2, Real One Player für Mac OS X sowie Real One Enterprise Desktop. Anzeige


    Durch Ausnutzen der zweiten Sicherheitslücke können Angreifer JavaScript oder VBScript auf beliebigen Domains ausführen lassen. Diese Schwachstelle betrifft nur Windows-Systeme und funktioniert über speziell manipulierte SMIL-Dateien (Synchronized Multimedia Integration Language), eine HTML-ähnliche Sprache speziell für Multimedia-Anwendungen.

    Real Networks stellt aktualisierte Versionen des Real Player bereit, die die Sicherheitslücken schließen. Über den Menüpunkt "Check for Update" im RealOne Player, RealOne Player V2 und RealOne Player für Mac OS X werden automatisch die erforderlichen Updates eingespielt. Für Nutzer des RealOne Desktop Manager gibt es eine aktualisierte Version auf der Supportseite, ein Update für den RealOne Enterprise Desktop gibt es hier.

    HeiseLink mit weiterführenden Links

    ____


    Sammel-Patch für Windows XP mit und ohne Service Pack 1


    Patch umgeht die Einzel-Installation von 22 verschiedenen kritischen Updates


    Gerade für diejenigen, die ihr Windows-XP-System noch nicht mit allen kritischen Sicherheits-Updates versehen haben, bietet Microsoft nun das "Update Rollup 1 for Microsoft Windows XP" an. Dieser Sammel-Patch beinhaltet alle seit dem Service Pack 1 erschienenen kritischen Sicherheits-Updates.

    Obwohl ein Windows XP mit bereits eingespieltem Service Pack 1 für die Installation des Sammel-Patches (Versions-Nummer: 826939) nicht zwingend erforderlich ist, empiehlt Microsoft dennoch eine vorherige Installation des Service Packs 1. Dann reicht - anstelle der vor allem für System-Administratoren gedachten Standard-Version (knapp über 9 MByte) - die Installation der schlankeren Express-Version (2,7 MByte), welche per Windows-Update-Funktion allen Benutzern angeboten wird, die das Service-Pack 1 und vielleicht auch schon das ein oder andere im Sammel-Patch enthaltene kritische Update installiert haben.

    Das komplette "Update Rollup 1 for Microsoft Windows XP" bestehend aus 22 kritischen Sicherheits-Updates kann von Microsofts Webserver heruntergeladen werden. Soll die Installation ohne Rückfragen (/q), mit erzwungenem (/f) oder ohne anschließendem Neustart (/z) erfolgen, kann man dafür der Sammel-Patch-Installations-Routine per Kommandozeilen entsprechende Anweisungen (Liste mit /?) geben. Ist nicht bekannt, ob und welche Sicherheits-Updates noch fehlen, kann dazu das Microsoft-Tool Qfecheck.exe genutzt werden.

    GolemLink

    _____


    Microsoft bessert nach


    Sieben Flicken gegen Sicherheitslücken

    Redmond (pte, 16. Okt 2003 14:10) - Gleich sieben neue Patches gegen Sicherheitslecks veröffentlicht Microsoft im Security-Bulletin vom 15. Oktober 2003. Fünf davon werden als sehr kritisch eingestuft, zwei weitere als moderat. Redmond empfiehlt, die kritischen Patches bei den betreffenden Systemen sofort einzuspielen. http://www.microsoft.com/technet

    Im Bulletin MS03-041 werden Probleme im Authenticode beschrieben, die es unter bestimmten Umständen erlauben, ein ActiveX-Cotrol ohne Nachfrage herunter zu laden, zu installieren und auszuführen. Zwei Lecks verbergen sich in verschiedenen Versionen des Internet Explorer. Auf Windows NT 4.0, 2000 und XP sowie bei Windows 2003 Server kommt es beim Umgang mit ActiveX zu Fehlern, so dass ein Angreifer beliebige Programmcodes ohne Einverständnis des Users ausführen und weitreichende Kontrolle über den Rechner erlangen kann. Zudem kann im Windows Troubleshooter ActiveX Control ein Buffer Overflow erzeugt werden, der das Einschmuggeln von Codes ermöglicht (MS03-042).

    Im Security Bulletin MS03-043 geht es um eine Lücke im "Messenger Service", die ebenfalls das Ausführen von Codes erlaubt. Betroffen sind die Systeme Windows NT, 2000, XP und Server 2003. Zwei weitere Sicherheitslücken befinden sich im Mail-Server Exchange. Davon betroffen sind die Versionen 5.5 und 2000. Hier lassen sich durch manipulierte SMTP-Befehle Abstürze hervorrufen. Eine Lücke im Exchange Server 5.5 Outlook Web Access ermöglicht das Ausführen von in HTML-Mails versteckten Codes (MS03-047). Die restlichen Bulletins beschreiben Probleme im Windows Help und Support Center (MS03-044) und im ComboBox Control (MS03-045), die jeweils einen Buffer Overrun erzeugen können.

    Alle Security Bulletins werden von Microsoft in einem Security Bullin Summary für den Monat Oktober zusammengefasst. Durch diesen monatlichen Patch-Rhythmus will man die von Microsoft CEO Steve Ballmer angekündigte neue Sicherheitsstrategie umsetzen. Fraglich bleibt, ob die Anwender durch eine solche Flut an Patches dazu animiert werden, die Updates auch einzuspielen. (Ende)


    Pressetext Link

  37. #197
    Fireglider


    Schwachstelle im AOL Instant Messenger

    Einem Security Advisory zufolge, haben die Sicherheitsspezialisten von DigitalPranksters in der englischsprachigen Windows-Version des AOL Instant Messenger (AIM) 5.2.3292 eine Sicherheitslücke aufgedeckt, mit dem ein Angreifer Code auf den Rechner eines Opfers einschleusen und starten kann. Die aktuelle deutsche Version des AIM hat die Versionsnummer 5.1, ob hier der gleiche Fehler enthalten ist, ist noch unklar.

    In der Funktion "getfile" ist ein Fehler bei der Verarbeitung das Parameters "screenname" enthalten. Ist der übergebene Parameter länger als 1130 Zeichen, so wird ein Buffer Overflow provoziert, der den Stack überschreibt. Die Funktion "getfile" dient zum Laden von Dateien eines anderen AOL-Anwenders und ist im Protokoll des Messengers als "aim://getfile?screenname[]" implementiert.

    Klickt ein Anwender auf eine manipulierte URL, erhält er zunächst einen Warn-Dialog, das nun eine Datei heruntergeladen wird. Bestätigt er dies, startet der Code in der URL, noch bevor der AIM die Datei herunterlädt. Hat der Anwender in einem vorherigen Dialog "Don't ask me again" beziehungsweise "Nicht mehr Nachfragen" bestätigt, erfolgt beim Anklicken einer URL keine weitere Interaktion.

    AOL.COM hat laut DigitalPranksters eine fehlerbereinigte Beta-Version 5.5.3415 zum Download bereit gestellt. Ein Patch für die Standardversion steht noch nicht zur Verfügung.

    HeiseLink mit weiterführenden Links

    ____


    EU-Konferenz: Verzögerung beim Umsetzen der Anti-Spam-Richtlinie


    Gesetze allein werden das Spam-Problem nicht lösen. Das sagte EU Kommissar Erkki Liikanen bei der von der Kommission veranstalteten Spam-Konferenz gestern in Brüssel. Die Kommission will bis Ende des Jahres eine Mitteilung herausgeben, die den Mitgliedsstaaten im Kampf gegen das Übel Dampf macht und den effektiven Vollzug, mehr öffentliche Aufklärung und weitere Selbstregulierungs- und technische Anstrengungen der Branche einfordert. Noch hinken indes viele Mitgliedsstaaten schon bei der Umsetzung der Datenschutzrichtlinie, und damit auch des darin geforderten Opt-In-Prinzips, hinterher. Dabei tickt die Uhr: die nationalen Gesetzgeber haben nur noch bis zum 31. Oktober Zeit.

    Richtlinie und nationale Gesetzgebung könnten den Kampf gegen Spam zwar theoretisch erleichtern, aber es fehlt an echten Sanktionen gegen die Spammer, warnt Richard Cox von Mandarin Technologies. "Wir leiden an einem enormen Vollzugsproblem", sagte der britische Netzwerkexperte. Die Behörden seien personell und finanziell überfordert. Das Know-How bei Polizei und Datenschützern reiche nicht aus. In Großbritannien hätten die Datenschützer bereits angekündigt, dass sie die geplanten Anti-Spam-Gesetze nicht durchsetzen könnten, weil ihnen dazu schlicht die entsprechenden Mittel fehlen.

    Das mussten auch die französischen und belgischen Datenschutzbehörden feststellen, die im Vorfeld der Richtlinienumsetzung Beschwerde-Mailboxen für ihre Nutzer öffneten. "Wir hatten nach zwei Monaten 50.000 Beschwerden vorliegen, die wir analysiert haben", sagte eine Vertreterin der belgischen Datenschutzbehörde gegenüber heise online. In vielen Fällen habe man den eigentlichen Ursprung der Spam nicht zurückverfolgen können. Verfahren und Sanktionen gegen den Spammer wären einfach zu aufwändig gewesen, Anfragen bei europäischen Kollegen wurden nur spärlich beantwortet. "Außerdem haben wir uns mit den Spammails auch noch eine Menge Viren eingefangen. Wir hatten laufend Computerprobleme", so die Datenschützerin. Sowohl in Frankreich wie in Belgien wurden die Beschwerde-Mailboxen wieder geschlossen.

    Solange noch attraktivere Ausweichmöglichkeiten für die "Bad Guys" bleiben -- wie zum Beispiel die Opt-Out-orientierte USA oder China --, gibt es laut Unternehmer Cox ohnehin nur erfolgversprechende Maßnahme: die Backboneprovider müssen herhalten. "Wer von Spam weiß, die über das eigene Netz geht, und nicht aktiv wird, ist als Backbone-Provider nicht akzeptabel." Eine solche Entwicklung sei ohnehin schon im Gang. Erst kürzlich, so Cox, sei das gesamte Netz von China.net abgeklemmt worden. Massive Vorwürfe äußerte Cox im Gespräch mit heise online auch gegen die Deutschen Telekom, aus deren Netz mehr Attacken kämen als in jedem anderen Netz.

    Während sich in Brüssel die anwesenden Carrier mit Ausnahme der Mobilcarrier auffällig zurückhielten, konnte ECO-Geschäftsführer Harald Summa dieser Idee wenig abgewinnen. Summa sagte, Provider seien nur Transporteure von Nachrichten. Er warb vielmehr für die ECO-Initiative von Trusted Networks. Sogenannte Premium-E-Mails sollen dabei nur noch über vertrauenswürdige Server ausgetauscht werden. Die Notwendigkeit zu filtern würde in diesem Netz aufgehoben, so Summa. Ob Premium-Mail auch "Premium-teuer" wird, darauf gab Summa keine Antwort. Schließlich könnte die Branche den überforderten Behörden auch mit der bestehende Hotline unter die Arme greifen, denn entsprechende Kanäle bei den nationalen Regulierern beziehungsweise Datenschützern fehlen noch. (Monika Ermert) / (tol/c't)


    HeiseLink

  38. #198
    Fireglider


    Patch für Fetchmail verhindert Denial-of-Service-Angriffe

    Mandrake empfiehlt in einem Security Advisory, das in Mandrake Linux 9.2 enthaltene Fetchmail 6.2.4 zu aktualisieren. Durch einen Fehler können manipulierte E-Mails Fetchmail zum Absturz bringen. Mandrake hat neue fehlerbereinigte Pakete zum Download bereitgestellt. Ob andere Distributionen ebenfalls betroffen sind, ist nicht klar. In dem Advisory bedankt sich Mandrake aber bei RedHat für die Bereitstellung des Patches. Die aktuellste Fetchmail-Version ist 6.2.5. Anzeige


    Fetchmail ist ein flexibles Werkzeug zum Senden und Abholen von Mails. Fetchmail kann beispielsweise Mails via POP3 oder IMAP von einem externen Server abholen und an einen lokalen Mail Transfer Agent (MTA) mittels SMTP weiterleiten. Dies kann aus Sicherheitsgründen sinnvoll sein, falls der interne MTA von außen nicht direkt per SMTP angesprochen werden soll.


    HeiseLink mit weiterführenden LInks


    _____


    Schily: Unternehmen und Länder vernachlässigen IT-Sicherheit


    Für Hacker-Abwehr klare Rahmenbedingungen gefordert


    Bundesinnenminister Otto Schily (SPD) hat Bundesländer und Konzerne aufgefordert, die Sicherheit ihrer Rechner und Netzwerke zu verbessern. "Viele Unternehmen investieren zu wenig in die IT-Sicherheit, angefangen vom Personal bis zu Hard- und Software", sagte Schily im Interview mit dem Nachrichtenmagazin Focus.




    In den Bundesländern müsse vor allem das Netz so genannter Computer Emergency Response Teams (CERT) ausgeweitet werden, die sich auf Computersicherheit spezialisierten. Bisher gebe es auf Länderebene nur ein CERT. "Ich halte es aber für erforderlich, dass alle Bundesländer ein eigenes CERT betreiben", sagte Schily. Mit dem Thema müsse sich die Innenministerkonferenz beschäftigen.

    Schily forderte im Focus ferner klare Rahmenbedingungen für die Pläne der Hard- und Software-Hersteller, Systeme zur Abwehr von Viren oder Hackern ab Fabrik in neue Produkte einzubauen. "Anwender müssen selbst entscheiden können, ob sie die neuen Funktionen zur Verbesserung der Computersicherheit nutzen", so Schily. Die Systeme müssten vollständig deaktiviert und von unabhängigen Institutionen überprüft werden können. Computernutzer müssten außerdem die volle Kontrolle über ihre Daten behalten.

    "Es versteht sich von selbst, dass keine Daten ohne Wissen des Benutzers ins Internet gesendet werden dürfen", sagte Schily. Er trat damit Befürchtungen entgegen, wonach die neuen Sicherheitslösungen auch zur Überwachung von Surfern genutzt werden könnten.

    GolemLink

  39. #199
    Fireglider


    Deutsche Kreditbank AG schließt Sicherheitslücke im Internetauftritt

    Auf dem Webserver der Deutschen Kreditbank (DKB) war es bis Mittwoch möglich, Kunden-Anträge zur Eröffnung von Girokonten einzusehen. Durch die Angabe eines speziellen Verzeichnisses in einer URL konnte man auf Dokumente der letzten zwei Wochen zugreifen. Die Anträge waren als PDF-Dokumente abrufbar und enthielten personenbezogenen Daten, neben Namen und voller Anschrift unter anderem auch das monatliche Nettoeinkommen. Nach dem Hinweis eines Lesers auf dieses Problem verifizierte heise Security die Sicherheitslücke und informierte die DKB. Deren Provider, IZB, konfigurierte zwar die Server um, vollständig ist der Fehler aber immer noch nicht beseitigt. Anzeige


    Die Dokumentennamen sind zwar aus Session-IDs zusammengestellt und somit schwer zu erraten. Da aber das Directory Browsing aktiviert war, der Klassiker unter den Apache-Fehlkonfigurationen, konnte man direkt darauf zugreifen. Mittlerweile ist das Browsing deaktiviert, der Zugriff auf die Dokumente ist aber prinzipiell immer noch möglich, sofern man den Namen des Dokuments kennt. Nach Aussage von Alexander Lehsten, Mitarbeiter der Niederlassung Internet der DKB, nimmt man das Problem sehr ernst und arbeitet mit IZB weiterhin an einer Lösung. Durch zufällig erzeugte IDs will man die Vorhersagbarkeit von Dokumentennamen erschweren und zusätzlich die Dokumente nach 10 Minuten löschen. Diese werden ohnehin nur erzeugt, damit Internetkunden online erstellte Anträge am heimischen PC ausdrucken und speichern können. (dab/c't)


    HeiseLink

    ____


    Spammer in den Knast: US-Kongress segnet Gesetzentwurf ab

    Kampf gegen Versender unerwünschter und betrügerischer Werbemails


    Der von den US-Senatoren Ron Wyden und Conrad Burns entworfene Gesetzentwurf gegen unerwünschte und betrügerische E-Mail-Werbung, der so genannte "CAN SPAM Act of 2003 S. 877", wurde am gestrigen 22. Oktober 2003 vom US-Kongress akzeptiert und kann - sofern er die letzten Hürden nimmt - evtl. ab 2004 in Kraft treten. Der Gesetzentwurf legt harte zivil- und strafrechtliche Folgen gegen Versender von unrechtmäßig zugestellten E-Mails fest und sieht "No-Spam"-E-Mail-Listen ("Opt-Out"-Listen) sowie die Kennzeichnung von E-Mails mit pornografischem Inhalt vor.




    Senator Wyden zeigt sich auf seiner Website zuversichtlich, mit dem CAN SPAM Act die amerikanische Bevölkerung vor durch anstößige E-Mails überquellenden Postfächern schützen zu können. "[...] dieses Gesetz ist ein wichtiger Schritt dahin, dem Verbraucher mehr Kontrolle zu geben", so Wyden. Burns ergänzt, dass man lange an dem Gesetzentwurf gearbeitet habe, drei Jahre sind es laut Wydens Website gewesen. Die überwältigenden Forderungen seitens der Verbraucher und der Industrie haben gezeigt, dass nun endlich etwas getan werden müsse und durch die Absegnung des Gesetzentwurfes im Senat die Zeit nun gekommen sei.

    Der Gesetzentwurf verlangt im zivilrechtlichen Teil nicht nur, dass der Werbende eine gültige elektronische und postalische Antwortadresse in seiner Werbe-E-Mail haben muss, damit Empfänger die Einstellung weiterer Zusendungen verlangen kann. Es wird auch festgelegt, dass Werbung sofort als solche kenntlich sein muss und dass falsche und irreführende Header und Betreffzeilen untersagt sind, damit die Absender sofort auszumachen sind.

    Spammer, die besonders ruchlose Spamming-Techniken benutzen, sollen das Dreifache des monetären Schadens bezahlen müssen. Gemeint sind damit etwa Robots, die E-Mail-Adressen von Webseiten auslesen, oder auch mittels Wörterbuch-Attacke zufällige generierte E-Mail-Adress-Listen, mit denen versucht wird, anderweitig nicht aufspürbare E-Mail-Postfächer mit Spam zu bedenken.

    Im strafrechtlichen Teil wurden - gemeinsam mit den Senatoren Orrin Hatch und Patrick Leahy - die harten Strafen definiert: Bis zu fünf Jahren Gefängnis soll es für übliche Spamming-Praktiken geben. Darunter fallen das Einhacken in fremde Computer, um Massenmails zu verschicken, der Missbrauch von offenen bzw. ungeschützten Relay Servern für betrügerische Zwecke, die Fälschung des E-Mail-Headers in Massen-Spam, die Aussendung von Massen-Spam über fremde IP-Adressen und die Registierung von fünf oder mehr E-Mail-Accounts unter Angabe falscher Daten rein zum Zweck der Spam-Versendung.

    Klage gegen Spammer einreichen können nur die Federal Trade Commission (FTC), die Staatsanwaltschaft und Internet Service Provider (ISP). Die FTC soll zudem mit dem Inkrafttreten des Anti-Spam-Gesetzes den Aufrag erhalten, eine "Do-not-Spam"-Liste, also eine staatliche Opt-Out-Liste, zu planen, dem Senat das Konzept vorzulegen und das Ganze dann in die Realität umzusetzen. Die Regeln zur Kenntlichmachung von pornografischen Mails sollen ebenfalls von der FTC entwickelt werden. Auch über Belohnungen für technikaffine Bürger, die bei der Suche nach schwer aufzuspürenden Spammern helfen, wird nachgedacht.

    Wie wahrscheinlich es ist, dass der Gesetzentwurf es nun durch das House of Representatives schafft, wird sich allerdings noch zeigen müssen. Es geistern nämlich noch einige andere Anti-Spam-Gesetzentwürfe durch das Abgeordnetenhaus, was es für die Politiker nicht einfach machen dürfte, sich für den Richtigen zu entscheiden. Wyden hofft, den NO SPAM Act durch Zusammenarbeit mit anderen Anti-Spam-Akteuren voranzubringen und dass das Gesetz bereits im kommenden Jahr in Kraft treten kann, sofern der Präsident zustimmt.

    GolemLink

  40. #200
    Fireglider


    Internet Explorer gefährdet Windows

    Cracker nutzen wieder eine Sicherheitslücke in Microsofts Internet Explorer aus, um über Web-Sites ein Trojanisches Pferd auf die Systeme ihrer Opfer zu schleusen. Dazu verbreiten sie in Chats und Newsgruppen URLs, die auf ihre speziell präparierten Seiten verweisen. Im IRCnet und QuakeNet endeten diese URLs auf britney.jpg, das kann sich jedoch jederzeit ändern. Beim Besuch der Seiten installiert sich ein Trojanisches Pferd über den Windows Media Player und andere Windows-System-Dateien. Betroffene berichteten, dass sie das System nur durch Neuinstallation säubern konnten, Antiviren-Software erkennt den Schädling bisher anscheinend nicht.

    Seit Anfang September sind mindestens zwei IE-Schwachstellen bekannt, über die es einer Web-Seite möglich ist, Dateien aus dem Internet nachzuladen und auszuführen. Die Sicherheitsüberprüfungen für nachgeladene ActiveX-Controls hat Microsoft mit dem Update MS03-040 nachgebessert, für den Fehler in der Behandlung der ADODB.Stream-Objekte gibt es bisher keinen Fix aus Redmond. Als Zwischenlösung hilft es, Active Scripting auszuschalten, den c't-IEController einzusetzen, oder einen anderen Browser zu verwenden.

    Windows-Anwender können jetzt ohne Gefahr auf dem c't-Browsercheck auf heise Security selbst überprüfen, ob ihr System verwundbar ist. In unseren Versuchen gelang es mit Windows XP, Internet Explorer 6 und allen verfügbaren Patches, eine Datei auf dem System zu installieren und zu starten; Windows-2000-Systeme sind ebenfalls anfällig.

    Heise Link mit weiterführenden Linkz

    ____


    HP warnt vor Schwachstellen im Web Management für PCs



    HP hat ein Security Advisory herausgegeben, das vor einer potenziellen Schwachstelle im webbasierten Management warnt. HP/Compaq liefert Server, Desktops und Notebooks mit einer zusätzlichen Software aus, die die Konfiguration und Abfrage des Systems über einen Browser ermöglicht. Üblicherweise läuft dazu auf Port 2301 ein Webserver. Anzeige


    Nutzt ein Angreifer den nun gemeldeten Fehler aus, kann er diesen Dienst zum Absturz bringen oder seine Zugriffsrechte auf das System erweitern. Details führt HP in dem Advisory nicht auf, es könnte sich aber um eine seit August bekannte Schwachstelle handeln, bei der man mit einem manipulierten GET-Request beliebigen Code in das System einschleusen konnte. Allerdings ist eine vorherige Authentifizierung notwendig, um die Lücke auszunutzen, des Weiteren darf der Zugriff nicht über SSL erfolgen.

    Betroffen sind jeweils nur die Windows-Versionen des Insight Management für Clients 3.5 bis 5.0, der Remote Diagnostics Enabling Agent und Insight Manager LC 1.00 bis 1.60. HP empfiehlt dringend, verwundbare Versionen abzuschalten. In dem Advisory ist beschrieben, wie man herausfindet, ob man betroffen ist und wie man den Dienst deaktiviert. Ein Patch steht vorerst nicht zu Verfügung.

    HeiseLink mit weiterführenden Links


    _____

    Wurm W32.Sober verschickt Mails mit deutschen Betreffzeilen

    Seit dem Wochenende verschickt sich ein neuer Mass-Mailing-Wurm selbst über das Internet. W32.Sober haben ihn die Antiviren-Hersteller genannt -- nicht zu verwechseln mit Sobig.F und Konsorten. Relativ simpel in Visual Basic gestrickt, durchforstet W32.Sober infizierte PCs nach Mail-Adressen und verschickt sich an diese dann als Anhang. Durch die Verwendung deutscher Betreffzeilen versucht er weniger Misstrauen zu erwecken. Bei Sätzen wie "Hi Schnuckel was machst du so?", "Jetzt rate mal, wer ich bin !?" und "Re:Sex" dürften einige wieder in die Falle tappen und auf entsprechende Dateianhänge wie "naked.com", "Nackediedei.com" oder "schnitzel.exe" klicken. Anzeige


    Eine Liste möglicher Betreffzeilen und Dateianhänge findet sich in der Beschreibung von Symantec. In der Folge, wie sollte es anders sein, nistet sich der Wurm auf dem PC ein, hier als "winreg.exe", "filexe.exe" und "similare.exe". Eine echte Schadfunktion enthält der Wurm nicht. Die Antiviren-Hersteller haben bereits aktualisierte Signaturen bereitgestellt ebenso wie entsprechende Tools zum Entfernen von W32.Sober.

    Grundsätzlich sollte man niemals Anhänge in Mails unbekannter Herkunft öffnen, egal welchen Dateityp sie auch repräsentieren mögen. Neben ".exe", ".com" und ".bat" sind auch ".scr", ".pif" und viele andere ausführbar. Weitere Hinweise zum Auftreten von Viren und Würmern in der E-Mail sowie generell zum Schutz vor elektronischen Schädlingen finden sich auf den Antiviren-Seiten von heise Security.

    HeiseLink mit weiterführenden Links

    ___

    Reg TP verbietet knapp 400.000 Dialer


    Anbieter darf keine Gebühren für die genutzten Rufnummern in Rechnung stellen


    Die Regulierungsbehörde für Telekommunikation und Post (Reg TP) hat auf Grundlage des neuen Mehrwertdienstemissbrauchsgesetzes unter Auswertung von Verbraucherhinweisen und eigenen Recherchen die Registrierung aller Dialer eines großen deutschen Dialer-Anbieters mit Wirkung ab dem 15. September 2003 (Tag der Registrierung) zurückgenommen. Dies hat zur Folge, dass die Dialer zu keinem Zeitpunkt als registriert galten. Diese Maßnahme betrifft insgesamt 398.791 Dialer des Anbieters.

    "Wir wenden mit dieser Maßnahme erstmals die Untersagungsbefugnisse des Rufnummernmissbrauchs gesetzlich an und machen deutlich, dass wir nicht hinnehmen werden, dass mittels mangelhafter Einwahlprogramme die Belange von Kunden beeinträchtigt werden. Die Dialer, deren Registrierung jetzt zurückgenommen wird, entsprechen nicht den Mindestanforderungen, die im Hinblick auf Transparenz und Verbraucheraufklärung zu fordern sind. Eine stichprobenartige Kontrolle hat diese Mängel ans Licht gebracht. Wir setzen mit unserer Vorgehensweise ein Signal, dass keine Grauzone im Dialer-Markt von uns hingenommen wird", so Matthias Kurth, Präsident der Reg TP.

    Gleichzeitig wurde die sofortige Abschaltung folgender Rufnummern 0190-88 04 60, 0190-88 04 61 und 0190-80 56 40 gegenüber dem Telekommunikationsunternehmen angeordnet, bei dem die genannten Rufnummern geschaltet sind. Es handelt sich dabei um die Rufnummern, über die sich sämtliche betroffenen Dialer einwählten.

    Zudem wurde von der Reg TP angeordnet, dass ab sofort keine Rechnungslegung für diese Rufnummern vorgenommen werden darf. "Sollte der Netzbetreiber, in dessen Netz die betreffenden Nummern geschaltet sind, unserer Vorgabe nicht nachkommen, muss er ein Zwangsgeld zahlen. Das Zwangsgeld wird nicht nur fällig, wenn die Rufnummern weiterhin erreichbar sind, sondern auch jedes Mal, wenn gegen unsere Anordnung zur Rechnungslegung verstoßen wird", so Matthias Kurth.

    Zuvor waren rund 560.000 Dialer bei der RegTP registriert.

    GolemLink


Keine Antwort auf Deine Suche gefunden? Registriere Dich kostenlos und stelle Deine eigene Frage!

Jetzt kostenlos registrieren
Ähnliche Themen zu NEWS AUS DEM IT-SECURITY BEREICH
  1. Member bereich
    hey leute ich wöllte...
    Von Raker im Forum Web & Grafik
    Antworten: 22
    Letzter Beitrag: 19.02.2007, 23:46
  2. Passwort für www.security-news.de ??
    Hi, hat jemand was...
    Von netzwerk2k im Forum Security-Zone - Sicherheitslücken, Virenschutz, Kryptosoftware & Mehr
    Antworten: 2
    Letzter Beitrag: 20.09.2006, 20:40
  3. Beste Seite im Bereich Game News
    Hallihallo Community ...
    Von Logi im Forum Games
    Antworten: 0
    Letzter Beitrag: 17.08.2004, 13:38
  4. PC Professionell Security Guide,Windows XP Tuning & Security.... kostenlose Bücher DL
    http://www.testticker.de/...
    Von Fireglider im Forum Hardware
    Antworten: 7
    Letzter Beitrag: 07.05.2004, 08:40
  5. Sat- & Medien-News: www.transponder-news.de
    Hallo die...
    Von StefanH im Forum Web & Grafik
    Antworten: 0
    Letzter Beitrag: 31.03.2002, 12:57

Sie betrachten gerade NEWS AUS DEM IT-SECURITY BEREICH