NEWS AUS DEM IT-SECURITY BEREICH

Dieses Thema NEWS AUS DEM IT-SECURITY BEREICH im Forum "Security-Zone - Sicherheitslücken, Virenschutz" wurde erstellt von Fireglider, 6. Jan. 2003.

Thema: NEWS AUS DEM IT-SECURITY BEREICH Ich hatte in der Vergangenheit, desöfteren News oder Infos aus diesem Bereich gepostet, was ja laut...

  1. Ich hatte in der Vergangenheit, desöfteren News oder Infos aus diesem Bereich gepostet, was ja laut Topicbeschreibung völlig OT ist. Nun ja, da es eher hier hin passt, habe ich mir gedacht, daß man einen Topic für alle Infos, etc. aufmacht und den oben festtackert.

    Was haltet ihr davon?

    Ich mach einfach mal nen Anfang....... :p



    Und wer dieses Thema abonieren will....der brauch nur diesen Link clicken ......dann bekommt er in Zukunft Mails....wenn hier drin was neues steht. :)

    -----------------------------------------------------

    Angriffswelle gegen White Hat-Hacker

    Kampagne gegen Sicherheitsindustrie und gute Hacker.

    White Hat-Hacker, die sich im Gegensatz zu den Black Hat-Hackern der weißen, reinen Lehre verschrieben haben, ihr Wissen zu vermehren und anderen zu helfen, werden in letzter Zeit vermehrt Opfer von Angriffen, zu denen sich eine Gruppe namens el8 bekennt. Die Angriffe sind Teil des von der Gruppe am Anfang des Jahres ins Leben gerufenen Projekt Mayhem, dessen Ziel die Zerstörung der Sicherheitsindustrie ist.

    In diesem Zusammenhang sind der Gruppe auch Hacker(-gruppierungen) ein Dorn im Auge, die entdeckte Sicherheitslücken veröffentlichen und mit den großen Firmen bei der Lösung von Sicherheitsproblemen kooperieren. Deshalb ruft el8 dazu auf, keine Informationen über neue Sicherheitslücken zu veröffentlichen oder die Konsequenzen zu tragen.

    Unter den Opfern des Projekts Mayhem finden sich auch bekanntere Personen wie z.B. Shane K2 Macaulay von Honeynet oder Ryan BlueBoar Russell, Autor von Hack Proofing Your Network und Mitarbeiter bei Securityfocus.com. Angriffe zwischen verschiedenen Glaubensrichtungen sind bei Hackern nichts neues, neu ist nur die hohe Qualität der Angriffe, die el8 weit über die üblichen Script-Kiddie-Späße erhebt und sie zu einer ernstzunehmenden Gruppierung macht.

    Link zum Beitrag

    -------------------------------------------------

    College simuliert Cyberkrieg

    Naval War College simuliert das digitale Pearl Harbour.

    Ein digitales Pearl Harbour, also ein Großangriff auf die IT-Infrastruktur der Vereinigten Staaten ist nach Meinung von Experten unwahrscheinlich.

    Das US Naval War College hat in Zusammenarbeit mit dem Meinungsforschungsinstitut Gartner ein dreitägiges Experiment durchgeführt, um herauszufinden wie groß die Gefahr eines Großangriffs auf das (amerikanische) Internet ist. Dabei kamen die Beteiligten zu dem Ergebnis, dass obwohl einzelne Angriffe nicht aufzuhalten sind, ein großflächiger Angriff auf die gesamte Nation nicht durchführbar ist.

    Die Simulation lief unter den Parametern, dass die Angreifer über das nötige Wissen, 200 Dollar Kapital und 5 Jahre Planungszeit verfügen. Die Experten bemängelten dennoch das teilweise vollkommen fehlende Sicherheitsbewußtsein bei manchen Unternehmen und das Fehlen von Frühwarnsystemen bei Angriffen auf größere Teile des Internets.

    Komplettlink

    -----------------------------------------------------

    Rootkit-Autor in England verhaftet

    Ein 21-jähriger wurde in England als potentieller Autor des T0rn-Rootkits verhaftet.

    Eine Sondereinheit von Scotland Yard hat in England Anfang dieser Woche einen Verdächtigen festgenommen, dem vorgeworfen wird, der Autor des T0rn-Rootkits zu sein. Root-Kits ermöglichen auch Personen ohne Hintergrundwissen, in (meist Unix-)Systeme einzubrechen.

    Der Verdächtige ist inzwischen wieder auf freiem Fuß, muß aber mit einer Anklage rechnen. Der T0rn-Rootkit ist vielen Administratoren seit 2 Jahren ein leidvoller Begriff, vor allem als er in Verbindung mit dem Lion-Wurm auftauchte und die Administratoren meist nur eine komplette Neuinstallation rettete.

    Komplettlink

    -----------------------------------------------------

    September bricht alle Rekorde

    Soviele Angriffe auf Computersysteme wie nie zuvor.

    Bereits der August wurde zum Rekordmonat erklärt, doch seitdem wurde nochmals eine deutliche Steigerung festgestellt. Im September 2002 gab es 9.011 Angriffe, mehr als in allen Monaten zuvor, der Rekord im August lag bei 5.830.

    Am härtesten trifft es dabei die Vereinigten Staaten, was Experten auf die zunehmende Antipathie gegen die USA zurückführen. Besonderes Ziel waren Websites der Regierung und des Militärs, sowie mehrere öffentliche Einrichtungen. Die Gruppierungen, die dabei besonders hervorstachen, waren S4t4n1c_S0uls, USG, WFD, EgyptianHackers, Arab VieruZ, MHA, The Bugz and FBH. Die Mehrzahl der Systeme benutzte Microsoft Windows als Betriebsystem. Fast die Hälfte der Angriffe (4.157) entfiel dabei auf die USA, Deutschland hingegen war nur von 356 Angriffen betroffen.

    Gesammelt wurden die Daten von mi2g , die bereits seit 1995 Angriffe aller Art in einer umfangreichen Datenbank erfassen. Die Datenbank enthält mittlerweile Informationen über 70.000 Angriffe und 6.000 verschiedene Gruppierungen, die sich zu den Angriffen bekannten. (cf/csec)

    Komplettlink

    -----------------------------------------------------


    Computerhacker-Ring auf den Philippinen ausgehoben

    Computerhacker verkauften illegale Telefongespräche.

    Am Montag wurde von der philippinischen Polizei ein Computerhacker-Ring ausgehoben, der in die Vermittlungssysteme von mehreren Telefongesellschaften eingedrungen war und danach Ferngespräche billiger weiterverkauft hatte.

    Die Ermittlung wurden aufgenommen, nachdem die größte Telefongesellschaft des Landes, die Philippine Long Distance Telephone Company, Anzeige erstattet hatte. Die Gruppe erzielte mit ihrem kriminellen Vorgehen einen Gewinn von fast 2 Millionen US-Dollar.

    Komplettlink
     
  2. Darüber könnte ich mich schon wieder aufregen!!!

    Erst bringen sämtliche IT Profs. die Netzwerke zum laufen um sie dannach wieder lahmzulegen!
    Schon irgendwie interessant den ganzen Verlauf zu beobachten findet ihr nicht?
    Ich war ja früher auch kein unbeschriebenes Blatt aber ich hab nie versucht irgendwas zu zerstören. Vielmehr war der reiz da auf Fremdsysteme zu kommen und unerkannt zu bleiben aber das ist ein anderes Thema.
    Ich könnte mir auch gut vorstellen das es ein Armagedon in der PC Welt geben wird....der erste Schritt in diese Richtung ist ja schon getan!!!
    Ich kann nur eins sagen:

    Probiert es aus wenn ihr unbedingt auf andere Systeme wollt aber behandelt eure gegenüber fair und zerstört nichts!!!
    Ihr würdet euch bestimmt auch freuen wenn ich mit Tools wie T0rn R**** bei euch rumschnüffel und dann euren PC plattmach....

    Gruss wap
     
  3. sehe das mal so einige können noch nicht sagen "Ich war ja früher auch kein unbeschriebenes Blatt " das kommt erst noch.

    dem stimme ich dir voll und ganz zu!!!

    Ausserdem ist da ja auch noch der Faktor Mediengeilheit !! was sich verkaufen lässt wird super verpackt. Angst mache, wie schau mal die hat es auch erwischt .hm... naja jedem das seine ich glaube sowieso nur 10% von dem.


    Juliet
     
  4. Welcome Wapstar!!!!

    Schön daß Du hierhin gefunden hast und dich im HackerForum "blicken" lässt.. :D

    Kennt ihr zufällig noch ein paar Newsseiten, die man mal öfters beleuchten könnte? Gerade im SecurityHackerbereich....


    Fg
     
  5. Sicherheitslücken bei Finanzdienstleistern im Internet
    2003-01-22 14:18:25

    Außerhalb des Onlinebankings bieten die Homepages der Finanzdienstleister häufig nicht die nötige Sicherheit für ihre Kunden.

    Zu diesem Ergebnis kommt die Studie "E-Commerce der Finanzdienstleister III" von Mummert Consulting. Von 200 untersuchten Finanzdienstleistern legten 54 Prozent ihre Sicherheitstechniken offen und gaben Verschlüsselungsstandards an. Doch meistens wird zu viel versprochen: Nur 43 Prozent der Probanden verschlüsseln die Daten beim Versand wirklich. Manche Finanzdienstleister werben mit einer 128-Bit-Verschlüsselung, wenden aber nur 40 Bit an. Bei einigen Instituten kann der Kunde die benutzte Sicherheitstechnik gar nicht kontrollieren.

    Für das Onlinebanking setzen die Unternehmen drei unterschiedliche Verfahren ein: PIN/TAN, HBCI und digitale Signatur. Gut ein Drittel der Finanzinstitute nutzt mit PIN/TAN nach wie vor das älteste Verfahren aus den Anfangszeiten des Homebankings. Dabei erhält der Kunde eine persönliche Identifikationsnummer (PIN) und eine Liste mit Transaktionsnummern (TAN). Mit der PIN meldet er sich beim Bankrechner im Internet an. Transaktionen werden mit einer TAN bestätigt. Die höchste Verbreitung unter den untersuchten Instituten hat das System mit knapp 89 Prozent bei den Genossenschaftsbanken. Der geringste Anteil ist mit immerhin noch 79 Prozent bei den Sparkassen zu verzeichnen. 57 Prozent der Sparkassen bieten zudem das weitaus modernere "Home Banking Computer Interface"-Verfahren (HBCI) an. Der Kunde bestätigt hier jede Transaktion, ähnlich wie beim Geldautomaten, durch Einlesen seiner HBCI-Karte am Computer und Eingabe einer PIN. Ingesamt wird HBCI aber nur von 15 Prozent der Banken und Versicherungen angeboten. Die digitale Signatur ist das neueste Sicherheitsverfahren. Es funktioniert ähnlich wie HBCI. Es bietet wesentlich mehr Funktionen, fristet aber mit 2 Prozent Verbreitung ein Nischendasein beim Onlinebanking.

    Die Gründe fuer die Anwendung der alten PIN/TAN-Technik sind einfach: niedrige Kosten und fehlende Rechtssicherheit bei den neuen Verfahren. PIN/TAN ist eine Technik aus den Anfangszeiten des Homebankings. Viele Banken scheuen neue Investitionen, da die alte Technik weiterhin als sicher gilt. Zudem würde erst die Ausweitung der EU-Fernabsatzrichtlinie auf den Markt der Finanzdienstleister einen Mehrwert für die neuen Systeme der digitalen Signatur bringen. Dann nämlich muss der Kunde selbst für einen Kreditvertrag nicht mehr seine Filiale besuchen: Die digitale Signatur wäre als Unterschrift des Onlinevertrages rechtsgültig.
    LinK
     
  6. DSL-Gratissurfen mit AOL - Studenten entdecken Systemfehler

    Uni-Rechenzentrum Freiburg entdeckt Systemfehler mit weitreichenden Folgen
    Das Rechenzentrum der Universität Freiburg hat eine Sicherheitslücke im AOL-System vermeldet, die jedem T-DSL-Nutzer die kostenlose Nutzung des AOL-DSL-Dienstes erlaubt haben soll. AOL wurde vom Rechenzentrum bereits auf das Problem hingewiesen, um weiteren wirtschaftlichen Schaden zu verhindern.
    Bei der AOL-Einwahl über T-DSL sei der Port 53 offen, ohne dass eine nähere Benutzerauthentifizierung notwendig wäre. Es genüge, einfach die von allen AOL-Benutzern deutschlandweit verwendete einheitliche Kennung anzugeben, wie sie auch im Internet zu finden ist. Der oben angesprochene Port 53 arbeitet mit dem User Datagramm Protocol und wird traditionell für die Namensauflösung verwendet, d.h. die Zuordnung einer IP-Adresse zu einem Rechnernamen. AOL habe den Namensservice allerdings großzügig freigegeben, damit eine Auflösung von "americaonline.aol.com" funktioniert, dem Host, zu dem bei der "richtigen" AOL-Verbindung ein VPN-Tunnel aufgebaut wird.

    Diese allgemeinen Vereinbarungen sind jedoch kein Zwang: Jedem steht es frei, auf seiner Maschine auf diesem Port auch andere Dienste anzubieten, z.B. einen IP-Tunnel. Mit einem solchen wäre es dann möglich, bereits vor der eigentlichen AOL-Authentifizierung die gesamte Kommunikation über den Port-53-Tunnel zu schleusen. Dazu benötigt man nur einen beliebigen Rechner im Internet, welcher die Daten wieder ausgepackt und ins Netz weiterleitet. Dafür sind noch nicht einmal besondere Kenntnisse notwendig, da verschiedene Tunnelprotokolle UDP-basiert arbeiten. Sie können meistens leicht auf den Port 53 umkonfiguriert werden.

    Bei Experimenten von Studenten der Uni Freiburg habe sich weiterhin gezeigt, dass der Rückweg sogar völlig ungehindert genutzt werden kann. Damit sei die Datenübertragung aus dem Internet zu über AOL eingewählten Rechnern völlig offen. Für verschiedene Sicherheitsaspekte dürfte dies interessant sein, besonders, da der offiziell angemeldete AOL-Nutzer eine weitere IP-Adresse für seine Kommunikation zugeteilt bekommt.

    In einer Pressemitteilung empfiehlt die Uni Freiburg AOL, nicht alle Nameserver dieser Welt freizugeben, da bei der DSL-Einwahlprozedur IP-Adressen für aus AOL-Sicht zuverlässige Nameserver dem Nutzer übermittelt werden könnten. Solche Nameserver würden für AOL ihre Aufgabe bereits vollständig erfüllen, wenn sie ausschließlich die notwendigen AOL-Adressen auflösen und jeden weiteren Zugang unterbinden würden.

    "Das hier beschriebene Problem ist eigentlich ein typisches Szenario für Anbieter kostenpflichtiger Netzzugänge, das jedoch schon seit Jahren bekannt sein müsste", kritisierte Dirk v. Suchodoletz vom Rechenzentrum der Uni Freiburg in einer Pressemitteilung.

    Von AOL gab es auf Anfrage von Golem.de bis zum Redaktionsschluss noch keine Stellungnahme zur Meldung der Uni Freiburg. (ck)


    --------------------------------------------------------------------------------
    Links zum Artikel:
    AOL: http://www.aol.de
    Universität Freiburg: http://www.uni-Freiburg.de


    Fg
     
  7. Kritische Sicherheitslecks in Windows NT, 2000 und XP

    Microsoft rät dringend zum Einspielen der neuesten Sicherheitspatches.

    Microsoft warnt vor mehreren kritischen Sicherheitslücken in Windows NT 4.0, 2000 und XP-Systemen. Microsofts Sicherheitsbulletin MS03-001 warnt vor einem Pufferüberlauf in Microsofts Locater Service, der es Angreifern ermöglicht, beliebigen Programmcode auszuführen.

    Microsofts Sicherheitsbulletin MS03-002 warnt vor einer Cross Site Scripting-Sicherheitslücke in Microsofts Content Management Server 2001 (MCMS), die es möglich macht, beliebigen Skriptcode in Daten einzufügen, die an den Server gesendet werden.

    Microsofts Sicherheitsbulletin MS03-003 behandelt wieder einmal eine Sicherheitslücke in Microsoft Outlook 2002, diesmal allerdings zumindest nicht im kritischen Bereich. Die interne Verschlüsselungsfunktion von Outlook versendet unter bestimmten Umständen bei HTML-Emails, die mit einem V1 Exchange Server Security-Zertifikat verschlüsselt wurden, die Email fälschlicherweise unverschlüsselt. Diese Methode wird allerdings im Gegensatz zu anderen Verschlüsselungsarten eher selten eingesetzt.


    Link


    Fg
     
  8. Großangriff auf Microsoft SQL Server

    SQL-Slammer-Wurm befällt zahlreiche Systeme.

    Auf der ganzen Welt hat der SQL-Slammer-Wurm am Wochenende zugeschlagen. Am schwersten betroffen war Nordamerika, hier wurden tausende Systeme lahmgelegt, die mit Microsoft SQL Server 2000 ausgestattet waren.

    Der Wurm selbst ist nur 376 Byte groß und nützt eine längst bekannte Sicherheitslücke aus, die offenbar wie schon so oft kaum ein Verantwortlicher gepatcht hat. Pikanterweise wurden auch Microsofts eigene Server von dem Wurm befallen, weshalb es zeitweise nicht möglich war, die entsprechenden Patches herunterzuladen.

    Der Wurm dringt über die Ports 1433 und 1434 als einzelnes UDP-Paket in das System ein und versendet sich von dort an weitere Systeme, wobei er versucht, die gesamte Bandbreite zu nutzen, was zu einem Denial of Service führt. Systemverwalter, die den Patch noch nicht eingespielt haben, sollten dies unverzüglich nachholen.
     
  9. Sicherheitslücke erlaubt .mil-Domains für alle

    Ein Browser und Google reichen aus gegen die "strengen Sicherheitsvorkehrungen" des amerikanischen Militärs.

    Nach Berichten des englisches Online-Magazins The Register, die wir aus eigener Recherche bestätigen können, reicht zur Zeit ein normaler Webbrowser und die Suchmaschine Google aus, um die offenbar nicht vorhandenen Sicherheitsvorkehrungen des US-Militärs zu umgehen, die wie letzte Woche angekündigt wurde, ja zur Zeit wegen der drohenden Kriegsgefahr verschärft werden sollen.

    Jeder mit ein wenig Kenntnissen über Suchmaschinen kann ein Administrationsmenü finden, dass so ungeschützt ist, dass es die Suchmaschine Google in ihren Index aufgenommen hat. Wer erst einmal auf der Seite angekommen ist, dem wird detailliert weitergeholfen und möglich gemacht, neue .mil-Domains einzutragen und bestehende zu verändern. Domains mit der Endung .mil sind normalerweise ausschließlich dem US-Militär vorbehalten.
     
  10. Gib mal einen klitzekleinen Hinweis. Ich will auch eine .MIL-Domain haben. :D Vielleicht kann ich die dann für teures Geld wieder an Bigbrotheriswatchingyou verkaufen. :lol:

    JuliusA
     
  11. Jo, is klar.... :) Und ich krieg hier wahrscheinlich wieder eins auf die Mappe......hab schon von meinem Cheffe eins auf die Mütze gekriegt, daß ich ein wenig zu offen kundig mit Computergeheimnissen und dezentralen Sicherheitskopien umgehe :D

    __________________________

    Helkern (alias Slammer) verursacht globale Viren-Epidemie


    Eine Chronologie und Hintergründe der Ereignisse.

    Knapp die Hälfte aller durch den Internet-Wurm Helkern (alias Slammer) infizierten SQL-Server befindet sich in den USA – so die Schadens_bilanz vonKaspersky Labs, einer internationalen Softwareschmiede im Bereich Datensicherheit. Insgesamt wurden etwa 80.000 Server von dem Virus befallen. Das hatte zur Folge, dass auf dem Höhepunkt der Epidemie (25. Januar 2003) das Internet um etwa 25 Prozent verlangsamt war. Das bedeutet, dass auf jede vierte Web-Seite der Zugriff unmöglich oder stark erschwert war.

    Der Schädling ist dabei schon vor dem 25. Januar 2003 aufgetaucht. Am 20. Januar 2003 um 20:07 MEZ wurden von Kaspersky Labs erstmals Daten-Pakete entdeckt, die den Wurm-Kopien ähnelten. Abgeschickt wurden die Daten von einem Computer, der einem US-amerikanischen Provider gehörte und dessen Server höchstwahrscheinlich infiziert wurden. Etwas später am selben Tag wurde Helkern in Daten, die von einem niederländischen Server verschickt wurden, entdeckt. Anschließend tauchte der Wurm bis zum 23. Januar um 21:21 MEZ unter. Zu diesem Zeitpunkt konnte noch eine Wurm-Kopie in Daten eines weiteren Servers in den Niederlanden registriert werden. Eine plötzliche Hyperaktivität entfaltete Helkern erst in der Nacht vom 24. auf den 25. Januar. Daraus lässt sich folgern, dass die Inkubationszeit dieses Wurms fast fünf Tage beträgt. Diese Zeit benötigte die Malware, um eine kritische Anzahl Server zu infizieren und damit eine Kettenreaktion hervorzurufen.

    Anlass zur Sorge über die Zukunft des Internets ruft dabei weniger Helkern selbst hervor, als die nun bewährte Technologie zur blitzartigen Verlangsamung des World Wide Webs. Es ist wahrscheinlich, dass bereits in naher Zukunft die Ausgangstexte des Wurms auf spezialisierten Viren-Homepages und Foren erscheinen und dann der Computer-Underground gezielt Helkern „klont“. Es könnten neue Wurm-Modifikationen entwickelt werden, die sich wahrscheinlich noch schneller verbreiten und destruktive Wirkungen haben könnten. Die Folgen eines solchen Ereignisses und der Schaden, der der Weltwirtschaft dabei zugefügt wird, ist unabsehbar.
    Link
    (cf/cc)

    Fg
     
  12. Nach Gesprächen mit EU-Datenschützern überarbeitet Microsoft sein .NET Passport-System

    Im Rahmen eines Arbeitspapiers zu Online-Authentifizierungsdiensten hat die Datenschutzgruppe der EU Microsoft überzeugen können, den Passport-Dienst in datenschutzrechtlichen Belangen zu überarbeiten. Dies wird einige massive Änderungen im Passport-Dienst zur Folge haben.

    Zu den wichtigsten Neuerungen zählt, dass die Benutzer besser darüber informiert werden, was mit ihren Daten geschieht und sie mehr Möglichkeiten haben, die Weitergabe und Weiterverwendung dieser Daten durch Microsoft und deren Vertragspartner einzuschränken.

    Die Datenschutzgruppe verweist desweiteren auch auf die Einhaltung nationaler Datenschutzrichtlinien beim Betreiben von Online-Authentifizierungsdiensten. Das Arbeitspapier der Datenschutzgruppe steht in keinerlei Zusammenhang mit dem laufenden Wettbewerbsverfahren der Kommission gegen Microsoft und hat auch keinen Einfluss darauf. Die kompletten Ausführungen der Datenschutzgruppe sind auf ihrer Website abrufbar.

    Fg
     
  13. CeBIT 2003: Innominate setzt in Sachen Sicherheit neue Maßstäbe

    Weltweit kleinste Security Appliance für Büro und Industrie wird erstmalig auf der CeBIT 2003 präsentiert.

    Die Innominate Security Technologies AG setzt auf der CeBIT 2003 neue Maßstäbe in Sachen Sicherheit: Der Berliner Security-Spezialist präsentiert in Hannover erstmals "mGuard" – die mit 20x56x95 Millimetern weltweit kleinste Security Appliance für Büro und Industrie. Die Miniatur-Firewall und VPN-Appliance bietet Leistungsmerkmale, wie sie bisher nur durch deutlich größere und erheblich teurere Geräte erreicht wurden. Die "hosentaschenkompatible" Security Appliance ist auf der CeBIT 2003 bei Innominate in Halle 17, Stand F18 zu sehen.

    Neben mGuard zeigt Innominate auf der CeBIT sein Firewall- und VPN-Gateway, den CommServer M2 Mini. Der CommServer M2 Mini ist ein Sicherheits-Allround-Talent für mittelständische Unternehmen, der alle wichtigen Sicherheitsfunktionen sowie die kostengünstige Standortvernetzung über das Internet realisiert. Die leistungsfähigeren Innominate Protected CommServer der Serie 1000 bieten darüber hinaus auch Anti-Virus- und Content-Filtering-Schutzfunktionen und können auch als Kommunikationsserver für E-Mail, Fax, Web und Filetransfer eingesetzt werden.

    Die linuxbasierte Security-Appliance mGuard bietet Firewall- und VPN-Funktionen mit hardwareunterstützter Verschlüsselung sowie optionales Anti-Virus Scanning. Das Innominate-Produkt eignet sich besonders gut für den Schutz von Desktop-PCs und mobilen Computern, lässt sich aber auch hervorragend in Industrieprodukte wie medizinische Geräte oder Point-of-Sales wie Bankautomaten einbauen.

    "Wir sind stolz darauf, mit mGuard eine echte Weltneuheit auf der CeBIT 2003 präsentieren zu können. Unsere Mini-Firewall- und VPN-Appliance wird bei Industrie, Handel und in großen Büros sicherlich sehr gefragt sein. Denn plötzlich kann es dort Sicherheit geben, wo es vorher aus Platz- oder Kostengründen nicht möglich war", erläutert Olaf Siemens, Vorstand der Innominate Security Technologies AG.


    Link

    Fg
     
  14. Betreff: Backdoor über ActiveX auf edonkey.com

    Sehr geehrte Damen und Herren

    Durch das Aufrufen der Internetseite www.edonkey.com kommt es durch aktives AcitveX zum Dateidownload der Datei MP3_plugin.exe die sich in das Windows Temp Verzeichnis lädt und den bekannten Trojaner Trojan.downloader.small dort ausführt. Dieser Trojaner kann mehrere Dateien anschliessend nachladen. Auf der Internetdomain sind verschiedene solcher Downloaderdateien abgelegt.

    Weiter sollte man auf die Dateien av.bat, avril.exe, avril_lavigne.exe, edonkey-gamer.exe, MP3_Plugin.exe, MP3r.exe, mp3zone.exe und msbb.exe achten. Die auch teilweise die Datei MP3r.exe wiederum enthalten und in das Temp Verzeichnis von Windows geladen werden.

    Die Webdownloader laden dann die Seite www.lop.com die einen Dialer über ein Java Script installiert.

    Anbei erhalten Sie einen Screenshot von der Ausführung eines der Dialerprogramme sowie die anderen Programme die ebenfalls Trojaner enthalten.

    Geschrieben von:
    Bernd Michler, www.anti-trojan.net
    Marko Rogge, www.brain-pro.de

    [​IMG]

    ________________________________________________

    Symantec Sicherheitsreport

    Symantec hat seinen internationale Sicherheitsreport für die vergangenen sechs Monate vorgestellt. Erstmals konnte das Sicherheitsunternehmen dabei einen Rückgang der Cyberattacken feststellen. In der zweiten Jahreshälfte 2002 ging die Anzahl der Angriffe aus dem Internet um sechs Prozent zurück. Gleichzeitig nahmen auch die Schäden, die durch diese Angriffe verursacht wurden ab. Stark gestiegen ist dagegen die Anzahl der entdeckten Sicherheitslücken. Symantec berichtet in seinem "Internet Security Threat Report" von 2.524 neuen Schwachstellen. Das ist eine Zunahme von 81,5 Prozent gegenüber 2001. Es ist der erste Sicherheitsreport, den Symantec in dieser Form veröffentlicht.

    Symantec Link


    ________________________________________________


    Microsoft Patch sorgt für Systemabsturz bei Windows NT4

    Microsoft hat einen bereits letztes Jahr veröffentlichten Patch zurückgezogen.

    Der betreffende Patch wurde ursprünglich bereits am 11. Dezember letzte Jahres veröffentlicht (MS02-071 ), um eine Sicherheitslücke zu beheben, mit der ein Angreifer Adminrechte erlangen konnte. Nach der Installation des Patches klagten einige Systemadministratoren allerdings über unerklärliche Systemabstürze und Neustarts, sowie einige andere Fehlfunktionen, die allesamt durch Entfernung des Patches umgehend behoben wurden. Betroffen sind nur Windows NT 4.0 Betriebssysteme. Alle anderen, die den Patch ebenfalls installiert haben, müssen keine Probleme befürchten. Microsoft arbeitet nach eigenen Angaben bereits an diesem Fall und wird in Kürze einen neuen Patch bereitstellen, über den wir dann natürlich rechtzeitig berichten werden.

    Link
     
    Zuletzt bearbeitet: 4. Feb. 2003
  15. Europäische Union plant Cybersicherheits-Behörde

    Die EU plant offenbar noch dieses Jahr eine eigene Behörde für Cybersicherheit ins Leben zu rufen.

    Die Europäische Union hat der Gründung einer eigenen Cybersicherheits-Behörde zugestimmt und plant die Umsetzung bis Ende des laufenden Jahres.

    Damit will die EU eine länderübergreifende Verbesserung der Zusammenarbeit in Sachen IT-Sicherheit unter zentraler Kontrolle realisieren. Die Behörde selbst soll sich so wenig wie möglich mit theoretischen Vorgängen wie z.B. den Entwurf von Vorschriften beschäftigen, sondern praxisorientiert und zielsicher arbeiten.

    Zu ihren späteren Aufgaben zählen die Bekämpfung von akuten Gefahren, wie z.B. neue Würmer mit hohem Verbeitungspotential oder Sicherheitslücken, die die europäischen IT-Infrastruktur gefährden könnten. Zudem soll die neue Behörde als Schnittstelle zwischen existierenden nationalen Einrichtungen und europäischen CERTs dienen.


    Themenlink
     
  16. Präsident Bush plant Cyberkrieg

    Die amerikanische Regierung arbeitet an einem Leitfaden für die Cyberkriegsführung.

    Nach einem Bericht der Washington Post plant die US-Regierung in Zukunft den Einsatz von Cyberkriegsführung in Betracht zu ziehen. Bereits seit Juni laufen die Vorbereitung zur Erstellung eines Regelwerks für den Kriegseinsatz in der Datenwelt.

    Das Regelwerk enthält Methoden und Vorgehensweisen, sowie den befehlsberechtigten Personenkreis, ähnlich wie für das amerikanische Atomwaffenprogramm und genau wie vor der Einführung dieses Programms damals, rufen diese Pläne selbst in den USA Kritiker auf den Plan, die nicht-militärische Systeme als Opfer befürchten und vor allem Befürchtungen über mögliche Gegenschläge äußern.

    Diese neue Form der Kriegsführung beinhaltet außer der Datenspionage hauptsächlich Sabotageanschläge auf die Netzstruktur "des Feindes". Ergänzt wird eine solche Kriegsführung desweiteren durch "biologische Waffen" wie speziell konstruierte Viren und Würmer.

    Link

    _________________________________



    Ad-Aware 6.0 ist da

    Nachdem Ad-Aware-Plus schon seit einigen Tag im Netz kursiert, ist heute, Mittwoch, auf der Homepage von Lavasoft http://www.lavasoft.de der Final Build der Gratis-Version von Ad-Ware 6.0 bereit gestellt worden. Das 1,45 MB große Paket installiert die englische Version der beliebten Anti-Spy-Software, eine deutsche Version wird in Bälde verfügbar sein.

    Link


    Fg
     
  17. Windows XP: Sicherheitslücke beim Dateizugriff

    Angreifer können Programmcode ausführen oder System zum Absturz bringen


    Windows XP verwendet den Windows Redirector für den Zugriff auf Dateien, egal ob diese lokal auf einer lokalen Festplatte oder auf einem Netzlaufwerk liegen. In dieser Komponente entdeckte Microsoft eine empfindliche Sicherheitslücke, die ein bereitgestellter Patch beseitigen soll.

    Der Windows Redirector übernimmt in Windows XP alle Dateizugriffe eines Windows-Clients und enthält ein Sicherheitsleck, über das ein Angreifer beliebigen Programmcode ausführen oder das System zum Absturz bringen kann. Dazu müssen entsprechend präparierte Daten an den Windows Redirector geschickt werden. Zur Ausführung von Programmcode muss sich ein Angreifer aber am PC anmelden können; ein Fernangriff ist also nicht möglich.

    Microsoft stellt deutschsprachige Patches zur Behebung der Sicherheitslücke für Windows XP sowie für Windows XP in der 64-Bit-Edition zum Download bereit.

    Themenlink

    __________________________________________

    Zwei neue Sicherheitslücken im Internet Explorer

    Sammel-Patch behebt neue Sicherheitslecks im Cross-Domain Security Model


    Microsoft bietet ab sofort einen weiteren Sammel-Patch für den Internet Explorer der Versionen 5.x, 5.5x und 6.x für die Windows-Plattform an. Neben bisher bekannten Sicherheitslecks behebt der Patch auch zwei bisher nicht beseitigte Sicherheitslücken, die im Cross-Domain Security Model des Browsers stecken.

    Über eine präparierte Webseite kann ein Angreifer gefährlichen Scriptcode ausführen und so Zugriff auf Daten einer anderen Domain erhalten. Darüber könnte dieser im schlimmsten Fall Programmcode auf das entsprechende System übertragen und ausführen oder bereits darauf befindlichen Programmcode starten.

    Ein weiteres Sicherheitsleck steckt in der showHelp()-Funktion im Internet Explorer, die Hilfeseiten anzeigt. Durch einen Programmfehler lassen sich über eine entsprechend präparierte Webseite mehr Protokolle aufrufen als nötig. So erlaubt es einem Angreifer die Einsicht in Nutzerdaten sowie die Ausführung von Programmcode, ganz gleich ob dieser sich bereits auf dem lokalen System befindet oder vom Angreifer aufgespielt wird. Der nun veröffentlichte Patch blockiert die Hilfe-Funktion bis zur Einspielung eines separat bereitgestellten Updates für die Windows-Hilfe. Dieses Update sorgt dann dafür, dass die showHelp()-Funktion mit stärkeren Restriktionen wieder läuft.

    Microsoft bietet den Sammel-Patch für Internet Explorer 5.x, 5.5x und 6.x ab sofort unter anderem in deutscher Sprache zum Download an. Für die Aktualisierung der Hilfe-Funktion stellt Microsoft entsprechende Download über die Windows-Update-Funktion bereit. Alternativ existieren direkte Downloads in deutscher Sprache für Windows 2000 , Windows XP , Windows XP 64bit Version .

    Themenlink

    __________________________________________

    Unis: Zu wenig Sensibilität in puncto Computerkriminalität?

    Studie zur Rechner- und Netzwerksicherheit im Hochschulbereich


    Die Rechner- und Netzwerksicherheit ist nach einer Untersuchung der Hochschule Niederrhein (HN) ein heikles Thema an Deutschlands Hochschulen. Der Studie zufolge weist jeder zweite Rechner Sicherheitslöcher auf, über 50 Prozent der Mitarbeiter haben nur ungenügende Kenntnisse hinsichtlich Rechner- und Netzwerksicherheit.

    Das ist das Ergebnis aus einer internen Untersuchung, soll aber nach Angaben der Hochschule Niederrhein auch für andere Hochschulen in ähnlichem Ausmaß gelten. Dabei wurden sowohl die Mitarbeiter befragt als auch die eigenen Rechner durch so genannte Penetrationstests einem Sicherheitscheck unterzogen. Die als Band 1 einer neuen Schriftenreihe des Fachbereichs Elektrotechnik und Informatik erschienene Studie von Prof. Dr. Jürgen Quade, Dipl.-Ing. Arne Sprick, Dipl.-Ing. Harald Mürmann und Peter Bartosch beschränkt sich indes nicht nur auf eine Zustandserfassung, sondern schlägt Maßnahmen zur Erhöhung der Sicherheit vor. Damit soll die Studie über die Grenzen der eigenen Hochschule hinaus Nutzen für andere vernetzte Einrichtungen sowie Unternehmen bieten.

    Im letzten Jahr wurden an der HN nach eigenen Angaben knapp 14.000 verseuchte Mails abgewiesen, die insgesamt 22.000 Viren enthielten. Auf die zentralen Server der Hochschule wurden mehrere Tausend weitere Angriffe registriert. Welchem Typus die Angriffe zuzuordnen sind, wurde nicht erwähnt.

    Von HN-Rechnern aus wurden zudem Mailbombenangriffe auf Rechner in England gestartet. "Wir wollen als Hochschule einerseits ein offenes Netz haben, auf der anderen Seite aber auch größtmögliche Sicherheit gegenüber Angriffen", sagte Rektor Prof. Dr. Hermann Ostendorf. Von der Landesrektorenkonferenz hat er den Auftrag erhalten, sich dieses Problems im gemeinsamen Interesse anzunehmen. Dabei gebe es sowohl partikuläre als auch gemeinsame Lösungswege.

    Was Prof. Quade und seine Co-Autoren vorschlagen, lässt sich in der Studie nachlesen: Neben Einführung privater Netzadressen, Absicherung von Rechnerpools durch Firewalls, zentraler User-Authentifizierung, mehr Information und Schulung sowie einem Melde- und Berichtswesen bei entdeckten Einbrüchen hält er die Einstellung eines Site Security Managers für die vordringlichste Maßnahme.

    Weitere Informationen kann man bei Prof. Dr. Jürgen Quade juergen.quade@hs-niederrhein.de anfordern.

    Themenlink

    __________________________________________

    Opera behebt Sicherheitslücken in aktuellem Browser

    Eklat um die Art der Bekanntmachung der Sicherheitslöcher


    Einen Tag nachdem das israelische Sicherheitsunternehmen GreyMagic über zahlreiche Sicherheitslücken in den JavaScript-Funktionen der Windows-Version von Opera 7.0 berichtet hat, bieten die Norweger eine korrigierte Version zum Download an.

    Weitere Programmfehler in Opera 7 behebt die aktuelle Version aber nicht, so dass man immer noch mit einigen Problemen leben muss. So bereitet die Einbindung deutscher Sprachdateien immer noch Schwierigkeiten, auch wenn Karsten Mehrhoff bereits Dateien für die aktuelle Version anbietet. Als weiteres Ärgernis erscheint beim Programmende kein Warndialog, selbst wenn dieser aktiviert ist.

    Über die Art und den Zeitpunkt der Veröffentlichung der Sicherheitslücken in Opera 7 gab es einigen Aufruhr. So wurde der Hersteller am Freitag, den 31. Januar 2003, von GreyMagic über die gestern veröffentlichten Sicherheitslecks informiert. Opera bat darum, darüber erst am 6. Februar 2003 zu berichten, um eine korrigierte Version des Browsers veröffentlichen zu können.

    Dennoch entschied sich GreyMagic, diese Frist nicht einzuhalten und berichtete über die Sicherheitslücken bereits zwei Tage früher. GreyMagic sah es als ernstes Problem, dass die unkorrigierte Opera-Version weiterhin zum Download angeboten wurde. Daher wollte man die Opera-Nutzer informieren, welche Sicherheitsrisiken bei der Nutzung der Software bestehen. Nach Ansicht von Opera wuchsen die Sicherheitsrisiken aber erst dadurch, dass GreyMagic die Sicherheitslecks offen legte. Nach Angaben von Opera wurde das gesamte Wochenende daran gearbeitet, die gemeldeten Sicherheitslücken schnellstmöglich zu stopfen.

    Opera 7.01 für die Windows-Plattform steht ab sofort in einer kostenlosen Version mit eingeblendeten Werbebannern zum Download in englischer Sprache bereit. Karsten Mehrhoff bietet deutsche Sprachdateien kostenlos zum Download an. Bis zum 1. März 2003 erscheinen die ersten 14 Tage keine Werbebanner in der unregistrierten Version. Zur Abschaltung der Werbebanner fällt eine Registrierung in Höhe von 39,- US-Dollar an.

    Themenlink
     
  18. Letzter Internet Explorer Patch verhindert Webanmeldungen

    Microsoft hat ein Update für den Internet Explorer Cumulative Patch veröffentlicht, der Probleme bei der Web-Authentifizierung beheben soll.

    Nachdem vor kurzem ein Patch für den Microsoft Internet Explorer erschienen ist, der eine kritische Sicherheitslücke beheben sollte (Microsoft Security Bulletin MS03-004), klagten einige Anwender über Probleme bei der Anmeldung auf Webseiten. Benutzernamen und Passwörter wurden zurückgewiesen, obwohl die Eingabe richtig war.

    Microsoft hat nun einen neuen Patch bereitgestellt, der dieses Problem beheben soll. Auf der entsprechenden Mitteilungsseite kann der neue Patch heruntergeladen werden. Das Einspielen des neuen Patches wird derzeit nur Anwendern empfohlen, bei denen die beschriebenen Probleme tatsächlich auftreten.

    Themenlink von Computer Security

    Microsoft Link
     
  19. Microsoft Patch sorgt für Systemabsturz bei Windows NT4

    Microsoft hat einen bereits letztes Jahr veröffentlichten Patch zurückgezogen.

    Der betreffende Patch wurde ursprünglich bereits am 11. Dezember letzte Jahres veröffentlicht (MS02-071 ), um eine Sicherheitslücke zu beheben, mit der ein Angreifer Adminrechte erlangen konnte.

    Nach der Installation des Patches klagten einige Systemadministratoren allerdings über unerklärliche Systemabstürze und Neustarts, sowie einige andere Fehlfunktionen, die allesamt durch Entfernung des Patches umgehend behoben wurden. Betroffen sind nur Windows NT 4.0 Betriebssysteme. Alle anderen, die den Patch ebenfalls installiert haben, müssen keine Probleme befürchten.

    Microsoft arbeitet nach eigenen Angaben bereits an diesem Fall und wird in Kürze einen neuen Patch bereitstellen, über den wir dann natürlich rechtzeitig berichten werden.


    Themenlink

    _______________________________


    MS: Patch zur Sicherheitslücke im WM_TIMER nun aktualisiert


    Wie Microsoft in einem aktualisierten Security Bulletin berichtet, musste ein Patch für Windows NT 4.0 aktualisiert werden, weil der Mitte Dezember 2002 veröffentlichte Patch offenbar nicht die gewünschte Wirkung zeigt. Die anderen Bugfixes für Windows 2000 und XP sind davon nicht betroffen.
    weitere Informationen: Microsoft.com

    ________________________________


    Opera 7: 3 Lücken erlauben vollen Lesezugriff

    Greymagic stellte heute in fünf Advisories die Sicherheitslücken von dem Browser Opera 7 zur Schau.
    Drei der fünf Lücken erlauben einem Angreifer vollen Lesezugriff auf den Rechner des Opera-Nutzers.

    Der Angreifer kann Beispiel den Inhalt von Verzeichnissen lesen und Dateien und Mails betrachten. Opera gibt private Auskunft über den Benutzer preis, indem der Browser die zuletzt besuchten Websites offenbart.
    Patches sind dafür noch nicht verfügbar!
    Es wird empfohlen Javascript zu deaktivieren!

    Weitere Info´s: Greymagic.com

    Themenlink
    ________________________________


    Opera 7: Bearbeitete 7.01

    Binnen der letzten Stunden (05.02.03) wurden sämtliche von GreyMagic beschriebenen Sicherheitslücken gefixed. Ein Download der Version 7.01 ist von den FTP-Seiten Opera's zu beziehen.
    weitere Informationen: ftp.OPERA.com

    Themenlink
    ________________________________


    USA warnen vor vermehrten Angriffen wegen Irakkrise


    Die amerikanische Regierung befürchtet zunehmende politisch-motivierte Angriffe.

    Aufgrund negativer Erfahrungen in vorangegangenen Krisen warnt die Regierung der Vereinigten Staaten vor einer Zunahme von Angriffen, die sich zwar hauptsächlich gegen die USA selbst richten werden, jedoch auch auf internationer Ebene nicht auszuschließen sind.

    Wie schon während des Afghanistan-Krise befürchten die USA zahlreiche Angriffe auf Webserver, mit deren Hilfe politische Botschaften verbreitet werden sollen, sowie Denial of Service-Attacken. Netz-Aktivisten sollten sich nicht zum Werkzeug des Gegners machen lassen, so ein Regierungssprecher.

    Jedoch sollten, wenn es nach den USA geht auch unkoordinierte Aktionen aus dem eigenen Land unterbleiben, denn auch "patriotisch motivierten" aus den eigenen Reihen drohen empfindliche Strafen.

    Themenlink
     
    Zuletzt bearbeitet: 13. Feb. 2003
  20. Heftig.....

    Windows XP Benutzerpasswörter absolut nutzlos


    Passwortschutz umgehen leicht gemacht, bei Windows XP reicht dazu eine Windows 2000 CD.

    Heftige Diskussionen löste die Meldung aus, dass mit einer einfach Windows 2000 Installations-CD der Passwortschutz von Windows XP ausgehebelt werden kann. Damit ist es möglich, auf jeden Benutzeraccount inkl. Administrator ohne Passwort und auf sämtliche Daten zuzugreifen.

    Gefunden wurde diese höchst brisante Sicherheitslücke von Brian Livingston, nach dessen Angaben es möglich ist, mit einer von einer normalen Windows 2000 CD gestarteten Recovery-Konsole vollen Zugriff auf Windows XP-Systeme zu erhalten.

    Obwohl Microsoft bereits vor 4 Wochen informiert wurde, liegt bislang keine Stellungnahme vor, verschiedene Tests haben bislang ergeben, dass die Sicherheitslücke offenbar von verschiedenen Faktoren abhängt und zwar meistens, aber nicht ausnahmslos immer funktioniert.

    Komplettlink von ComputerSecurity.de

    Gleichlautende Meldungen von Netz-id.de und der Krypto-Crew

    Fg
     
  21. Unternehmensweite E-Mail-Verschlüsselung leichtgemacht

    CryptoEx Gateway ermöglicht den Aufbau von Public Key Infrastrukturen in kürzester Zeit.

    Das neue CryptoEx Gateway von Glück & Kanja Technology AG, einem führenden Hersteller von Anwendungen für elektronische Verschlüsselung, bietet selbst für große Firmen eine einfache Lösung bei der Einführung unternehmensweiter Verschlüsselung von E-Mails. Die automatische und zentrale E-Mail-Verschlüsselung durch das selbstlernende Gateway hat gegenüber konventionellen Public Key Infrastrukturen den großen Vorteil, dass die Schlüssel nicht durch eine Zertifizierungsstelle manuell generiert und verwaltet werden müssen. Sobald das Gateway implementiert ist - in den meisten Fällen dauert dies nicht länger als einen Tag -, nehmen alle Mitarbeiter des Unternehmens automatisch an der Verschlüsselung teil. CryptoEx Gateway unterstützt mit OpenPGP und S/MIME beide gebräuchlichen Sicherheitsstandards. So ist auch mit beliebigen externen Geschäftspartnern, Kunden und Zulieferern verschlüsselter E-Mail-Verkehr möglich.

    Der entscheidende Unterschied von CryptoEx Gateway zu herkömmlichen Public Key Infrastrukturen ist zum einen, dass die Schlüsselpaare bei Bedarf vollautomatisch erzeugt werden und die zeitraubende manuelle Administration entfällt, und zum anderen findet die Verschlüsselung durch das Gateway zentral statt und verursacht für den einzelnen Mitarbeiter keinerlei Aufwand. Durch die zentrale Gateway-Sicherheitslösung entfällt auch die umständliche Installation von Client-Software an jedem einzelnen Arbeitsplatz des Unternehmens.

    Für jeden einzelnen Benutzer verwendet CryptoEx Gateway einen eigenen Schlüssel, damit dieser über standardisierte Verfahren automatisch gefunden
    werden kann. Auch bei externen Anfragen nach dem öffentlichen Schlüssel eines Mitarbeiters wird falls nötig automatisch ein persönliches Schlüsselpaar generiert und zertifiziert.

    Link von Computer-Security.de
     
  22. This behavior is by design. Geht unter Linux auch, nimm ne Knoppix- oder sonstige Rettungs-CD, mounte die /-Partition, ersetze das root-Passwort und das System gehört dir.
    Weder unter Windows noch unter Linux ist das eine Sicherheitslücke, sondern "das ist einfach so", man hat nunmal Vollzugriff auf unverschlüsselte Daten eines Computers wenn man mit einem eigenen Betriebssystem bootet.

    Kriminell wird es, wenn selbst die Verschlüsselung für'n A.... ist (Quelle: Heise):
    Doch bei Windows 2000 lässt sich selbst das mit ein wenig mehr Aufwand umgehen, wie beispielsweise c't-Leser bereits seit Ausgabe 23/2002 wissen (siehe Dateiverschlüsselung von Windows 2000 unsicher, S. 33 -- kostenpflichtiger Download). Hier existiert eine echte Sicherheitslücke: Man kann mit einer speziellen Bootdiskette das Zugangspasswort eines beliebigen Nutzers ändern und erhält bei der Anmeldung mit dem neuen Passwort den Zugriff auch auf verschlüsselte Daten.
     
  23. München_(smk)_?_
    Ein Hacker hat in den USA Zugriff auf Daten von rund 2,2 Millionen Inhabern von Visa- und MasterCard-Nutzer erlangt. Nach Angaben beider Kreditinstitute sind bisher keine Schadensfälle bekannt geworden.
    Der Einbrecher soll das Sicherheitssystem eines Finanzdienstleisters eingebrochen sein, der Kreditkarten-Transaktionen für Händler abwickelt. Dabei konnte er die Daten von rund 0,25 Prozent der in den USA im Umlauf befindlichen 560 Millionen MasterCard und Visa-Karten einsehen. Alle kartenausgebenden Institute sind nach Angaben der Kreditkarten-Unternehmen bereits informiert.
    Wie der US-Dienst "CNN" schreibt, hat MasterCard unter anderem die Bundespolizei FBI kontaktiert, um den Hacker zu identifizieren. Kunden beider Unternehmen sollen im Fall eines Missbrauchs durch eine Vertragsklausel vor finanziellen Verlusten geschützt sein.
    Info:___
    www.mastercard.com
    www.usa.visa.com

    Quelle: Chip
     
  24. Schon genial. Also ich möchte da nun nicht als SysAdmin arbeiten. Der hat sicher in den letzten zwei Nächten nicht mehr geschlafen :sf:

    Nur wäre es schon interessant, was sie nun gegen den Missbrauch unternehmen ? 2,2 Millionen Karten sperren ?
     
  25. RIP
    RIP
    0,25% von 560 mio sind doch nur 1,4 mio... dann gehts ja noch :st:
     
  26. laut heise sind es mittlerweile 8 mio.
     
  27. Neue OpenSSL Version 0.9.7a behebt Sicherheitslücken

    Ab sofort gibt es eine neue Version von OpenSSL, die insgesamt 11 Sicherheitslücken und bugs beseitigt.

    OpenSSL hat den Release der neuen Version 0.9.7a von OpenSSL bekanntgegeben. Die neue Version behebt insgesamt 11 verschiedene Sicherheitslücken und Bugs. Die Entwickler von OpenSSL empfehlen allen Anwendern auf die neue Version umzusteigen.

    Computer-Security Link
     
  28. Schweizer knacken SSL-Verfahren

    Schweizer Wissenschaftler liefern Praxisbeweis für bekannte Sicherheitslücke.

    Schweizer Wissenschaftlern ist der Beweis für eine in der Theorie seit längerem bekannten Sicherheitslücke in SSL gelungen. Mit der gestern angekündigten neuen Version von SSL 0.9.7a (wir berichteten) ist das Ausnützen der Lücke allerdings nicht mehr möglich.

    Auf Ihrer Homepage bieten die Wissenschaftler Hintergrundinformationen über dieses Verfahren an, bei dem im Rahmen eines Man-in-the-Middle Angriffs gefälschte Pakete in die Verbindung zwischen Server und Client eingefügt werden und durch Rückschlüsse aus den Antworten des Servers z.B. Benutzerdaten erraten werden können.

    Allen SSL-Anwendern wird empfohlen, sofort auf die neueste Version umzusteigen, was jedoch gerade bei Anwendungen, die SSL fest integriert haben schwierig werden dürfte.


    ComputerSecurity Link
     
  29. Die Kundendatenbank des amerikanischen
    Internetserviceproviders AOL ist möglicherweise Opfer eines
    gezielten und erfolgreichen Hackerangriffs geworden.

    Die Schutzmechanismen der Datenbank, in der rund 35
    Millionen Kundendaten abgelegt sind, sollen erfolgreich
    umgangen worden sein, berichtet das Nachrichtenmagazin Focus
    unter Berufung auf das Onlinemagazin ?Wired?. Demnach
    konnten die Angreifer die Sicherheitssperren der aktuellen
    AOL- Datenbank umgehen, in dem sie sich über das
    AOL-Intranet in die Datenbank vorarbeiten.
    Angeblich sei ein AOL-Mitarbeiter auf einen verschickten
    Trojaner hereingefallen. Die Zugangsdaten zur
    Kundendatenbank habe der Hacker anschliessend durch gefakte
    Security-Updates bekommen. Sowohl bei AOL in Deutschland als
    auch in den USA kommentierte man den mysteriösen
    Datenbankhack gegenüber unserer Nachrichtenredaktion bislang
    nicht.
    Quelle: PCMagazin
     
  30. Streit um Sicherheitslücke in Unreal-Engine (Update)

    Disput zwischen Epic Games und PivX Solutions


    Nachdem das amerikanische Unternehmen PivX Solutions eine Sicherheitslücke in der von Epic Games entwickelten Unreal-Engine festgestellt hat, scheint ein Streit zwischen den beiden Unternehmen über die Veröffentlichung dieser Probleme entbrannt zu sein. Laut diversen Berichten plante Epic Games vorübergehend sogar, PivX auf Grund der Veröffentlichung der Probleme zu verklagen.

    Auf Grund der Lücke sei es für Angreifer möglich, Attacken gegen Game-Server durchzuführen, unter Umständen aber auch direkt auf PCs von Spielern zuzugreifen. Das Problem würde laut PivX bereits seit fünf Jahren bestehen, bisher hätte es aber keine Anstrengungen seitens Epic Games gegeben, dies zu beheben. Betroffen sind praktisch alle Spiele, die die Unreal-Engine nutzen, neben Unreal und Unreal Tournament (2003) also etwa auch Americas Army und Deus Ex.
    ..........weiterführender Link auf Golem.de
     
  31. IE-Sicherheitsloch: HTML-Datei führt EXE-File aus

    München (vp/smk) – Microsofts Internet Explorer enthält ein Sicherheitsrisiko, durch das in HTML-Dateien eingebettete EXE-Files automatisch gestartet werden können. Auf der Mailingliste "Bugtraq" meldeten Spezialisten von der Website Malware.com, dass die Versionen 5.0, 5.5 und 6.0 des Browsers von diesem Problem betroffen sind.

    Ein Angreifer soll laut Malware.com eine EXE-Datei als MIME in eine HTML-Datei einbauen. Mit Hilfe eines ebenfalls im HTML-Dokument eingebetteten Java-Scripts lässt sich das ausführbare Binär-File starten, um beliebigen Schaden auf einem User-Rechner zu verursachen.

    Bisher war der Microsoft-Browser durch eine per Skript aufgerufene HTML-Hilfedatei zu überlisten, Code auszuführen. Dieses Sicherheitsleck stopften die Microsoft-Entwickler Anfang Februar dieses Jahres mit einem Sammelpatch für alle gängigen Browser-Versionen.


    Chip.de News Link
     
  32. EU-Justizminister legen Hackern und Virenschreibern die Daumenschrauben an

    EU-Justizminister legen Hackern und Virenschreibern die Daumenschrauben an
    03.03.2003 um 11:12 Uhr

    MÜNCHEN (COMPUTERWOCHE) - Die EU-Justizminister haben die Gesetzeslage für Hacker und so genannte Cyber-Terroristen signifikant verschärft. Wer sich unbefugt in Informationssysteme einklinkt, begeht nach der neuen Rechtsprechung ein Delikt, das so bislang nicht per Gesetz als abzustrafender Tatbestand festgehalten war. Außerdem erhöhten die Minister das Strafmaß empfindlich. Die Vorschläge der EU-Justizminister müssen jetzt noch das EU-Parlament passieren, um dann auch in die nationale Rechtsprechung eingearbeitet zu werden.
    Die Politiker einigten sich unter anderem darauf, dass Hacker und Virenautoren bis zu fünf Jahre hinter Gitter kommen können. Online-Kriminalität soll nach dem Beschluß der Minister einen einheitlichen Strafkodex in Europa erhalten."Wir legen eine gemeinsame Definition und ein Strafmaß für Online-Kriminalität in allen 15 Mitgliedsstaaten fest", sagte Antonio Vitorino, EU-Kommissar für Justiz und Inneres. Hacker ist nach dem harmonisierten EU-Strafrecht danach jede Person, die sich rechtswidrig Zugang zu Informationssystemen verschafft. Als "rechtswidriger Eingriff in Informationssysteme" werden Angriffe auf Dienste oder Verbreitung von Viren bezeichnet. Kann eine solche Tat in Zusammenhang mit organisierter Kriminalität gebracht werden, setzen die Minister das Strafmaß auf zwei bis maximal fünf Jahre an. In weniger schweren Fällen können Delinquenten ein bis drei Jahre in Haft kommen.

    Die Europäische Kommission hatte zuvor einen Rahmenbeschluss des Rates über "Angriffe auf Informationssysteme" verabschiedet. "In den Rechtsvorschriften der Mitgliedstaaten gibt es erhebliche Lücken, die es den Strafverfolgungs- und Justizbehörden erschweren könnten, Verbrechen gegen Informationssysteme zu verfolgen“, so Vitorino. Die vereinheitlichte Rechtsprechung soll auch der Tatsache Rechnung tragen, dass Hackerattacken und Virenangriffe grenzüberschreitend sind. Hier mußte, so die Politiker, durch eine harmonisierte Rechtsprechung die Zusammenarbeit von Exekutive und Judikative gewährleistet werden. Weitere Hausaufgaben bekamen die einzelnen Länder insofern, als sie aufgefordert wurden, ihre Behörden mit geeigneten Strafverfolgungswerkzeugen auszustatten. (jm)


    Link von Computerwoche.de


    ______________________________


    Hacker löschen 899 Homepages bei Tiscali Schweiz

    Angriff blieb sechs Stunden unbemerkt

    Basel (pte, 3. Mär 2003 14:56) - Hacker sind in einen der yourDomain-Server von Tiscali Schweiz http://www.tiscali.ch eingedrungen und haben 899 private Webseiten gelöscht. Der Angriff der Gruppe "Xtreme Power" fand bereits gestern, Sonntagabend, statt und blieb über sechs Stunden unbemerkt. Inzwischen hat der Provider nach eigenen Angaben das Problem heute, Montagvormittag, behoben. Die gelöschten Webseiten konnten wieder hergestellt werden.

    Die Hacker hatten für ihren Angriff nach lokalen Sicherheitslücken gescannt und die Passwörter der Kunden für ihre Webseiten geknackt, so Tiscali. Die Daten konnten wieder hergestellt werden, da der Provider Sicherungskopien von den Homepages angelegt hatte. Tiscali hostet rund 40.000 Webseiten von Schweizer Kunden.

    Wie die Schweizer Tageszeitung Blick http://www.blick.ch berichtet, hatten die Hacker eine Nachricht auf den betroffenen Webseiten zurückgelassen. "Xtreme Power hat entschieden, alle 899 Homepages auf yourdomain1.datacomm.ch zu löschen, weil die Betreiber es nicht für nötig hielten, die Sicherheitsstandards zu verbessern", zitiert die Tageszeitung die Hacker. Auch sollen nicht alle Webseiten wieder hergestellt worden sein. (Ende)

    Pressetext.at
     
  33. Kritische Sicherheitslücke in sendmail [Update]

    Ein Buffer Overflow in dem Message Transfer Agent (MTA) sendmail ermöglicht es Angreifern, Root-Rechte auf den Mail-Servern zu erlangen, die sendmail einsetzen. Durch einen speziell präparierten E-Mail-Header kann ein Angreifer das Sicherheitsleck nutzen, ohne besondere Kenntnisse von dem Zielsystem haben zu müssen. Details zu dem Sicherheitsloch sind unter anderem in einem CERT-Advisory beschrieben. Das CERT warnt davor, dass auch sendmail-Server innerhalb eines geschlossenen Netzwerks betroffen seien, die über andere MTAs als sendmail den Kontakt zur Außenwelt herstellen: Präparierte Mails werden von nicht betroffenen MTAs unverändert weitergeleitet.

    Laut Internet Security Systems (ISS), den Entdeckern des Sicherheitslochs, sind alle kommerziellen Versionen und die Open-Source-Varianten bis Version 8.12.7 betroffen. Für die kommerzielle Variante von sendmail inc. gibt es bereits Patches für Windows und einige Unix-Derivate. Die Open-Source-Entwickler haben eine sendmail-Version 8.12.8 bereitgestellt, die das Sicherheitsloch ebenfalls schließt; mehrere Linux-Distributoren beispielsweise bieten bereits Aktualisierungen für ihre Systeme an. Auch Apple hat einen Patch für sendmail in Mac OS X bereitsgestellt.

    Nutzern des MTAs wird dringend empfohlen, die Patches einzuspielen beziehungsweise die neue Version zu installieren, da es zumindest in Tests bereits gelungen ist, die Sicherheitslücke auszunutzen -- öffentlich kursierende Exploits sollen aber noch nicht vorliegen.

    sendmail ist seit langem der meist verwendete MTA im Internet; angeblich nutzen 50 bis 75 Prozent der Mail-Server im Internet das Programm, um Mails auszutauschen. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.

    HeiseLink
     
  34. Sicherheits-Patch für Macromedias Flash-Player

    Programmausführung außerhalb der Sandbox möglich


    Macromedia bietet ab sofort ein Sicherheits-Update für den Flash-Player für die Windows-Plattform an, das eine kritische Sicherheitslücke in der Software behebt. Über ein Sicherherheitsleck in der Sandbox erhält ein Angreifer Zugang über einen anderen Rechner und kann darauf Programmcode ausführen.

    Eigentlich soll die Sandbox exakt diesen Fall verhindern und Fremden so den Zugriff über den Flash-Player begrenzen. Mit dem zur Verfügung gestellten Patch erreicht der Flash-Player die Version 6.0.97.0 und soll so auch vor künftigen Buffer Overflows geschützt sein, verspricht Macromedia.

    Der englischsprachige Flash-Player für die Windows-Plattform steht ab sofort in der Version 6.0.97.0 zum Download bereit und soll die Sicherheitslöcher schließen.


    Golem Info Link

    _________________

    Sicherheitslücke in Snort lässt Hacker ins Netz

    MÜNCHEN (COMPUTERWOCHE) - Ein Leck im weit verbreiteten Open-Source-IDS (Intrusion Detection System) "Snort" ermöglicht es Angreifern, die Snort-Sensoren zum Absturz zu bringen oder Zugriff auf die Rechner zu erlangen, auf denen die Sensoren laufen. Ursache ist ein ungeprüfter Speicherbereich in dem Code, der für die Überprüfung fragmentierter RPC-Aufrufe (Remote Procedure Call) zuständig ist, meldet der Anbieter von Security-Lösungen ISS (Internet Security Systems). Um die Lücke zu nutzen, erzeugen Angreifer RPC-Aufrufe, die einen Speicherüberlauf verursachen. Dabei müssen sie die Adresse der attackierten Sensoren nicht kennen, sondern entsprechende Datenpakete lediglich in einem vom IDS überwachten Netz verschicken.

    Betroffen sind alle Snort-Versionen ab dem im Juli 2001 erschienenen Release 1.8. Die am Dienstag veröffentlichte Version Version 1.9.1 soll den Fehler beheben. (lex)


    Computerwoche Link
     
  35. Zwei Japaner stahlen 136.000 Dollar übers Netz

    07.03.2003 um 10:47 Uhr

    MÜNCHEN (COMPUTERWOCHE) - Die Tokioter Polizei hat gestern zwei Männer festgenommen, die sich per Hacking von Online-Bankkonten umgerechnet 136.000 Dollar ergaunert haben sollen. Die Verdächtigen, der arbeitslose Programmierer Ko Hakata (35) und der Geschäftsmann Goro Nakahashi (27), räuberten einem Bericht des "Wall Street Journal" zufolge von einem Internet-Café in Tokio aus am 18. September verschiedene Konten.
    Dazu installierten sie offenbar zunächst ein Trojanerprogramm, das die Tastatureingaben von Gästen protokollierte. Aus diesen Mitschriften fanden die Gauner dann die Zugangsdaten für die Internet-Zugänge zu den Bankkonten von fünf Besuchern und transferierten anschließend insgesamt 141.000 Dollar auf andere Konten. Nakahashi hat bereits gestanden, unter falschem Namen 136.000 Dollar abgehoben zu haben.

    Wann die Männer verhaftet wurden und was mit den verbleibenden 5000 Dollar geschah, wollten die Ermittler nicht verraten. Falls die Verdächtigen überführt werden, drohen ihnen bis zu zehn Jahre Haft. Einem Bericht der Zeitung "Asahi" zufolge haben Hakata und Nakahashi sogar versucht, rund 100 PCs in 13 verschiedenen Internet-Cafés auszuspähen. Zu den Geschädigten gehöre unter anderem die Citibank Japan, von der keine Stellungnahme vorliegt. (tc)

    Computerwoche Link
     
  36. Ministerium: HP verletzt Datenschutz

    Nach Auffassung des Innenministeriums Baden-Württemberg verstößt Hewlett-Packard mit der Datenübermittlung durch einige Druckertreiber gegen das Bundesdatenschutzgesetz. Ermittlungen der für den deutschen HP-Standort Böblingen zuständigen Aufsichtsbehörde ergaben mehrere Verstöße gegen Datenschutzbestimmungen durch den Druckerhersteller. Anlass zur Beanstandung ist die so genannte myPrintMileage-Funktion der Druckertreiber für den DeskJet 450ci und einige andere DeskJet-Modelle. Ruft der Anwender diese Funktion auf, übermittelt die Software nach Erkenntnissen der Ermittler:

    die Druckerbezeichnung sowie die Typ- und Seriennummer des Druckers,
    die Anzahl der Druckjobs und der gedruckten Seiten,
    den Typ, die Produktnummer, die Kapazität und den prozentualen Füllstand der eingesetzten Tintenpatronen,
    die Anzahl der verschiedenen Ausdruckmedien,
    sowie weitere technische Informationen an einen HP-Server im Ausland. Dabei werde auch die IP-Adresse in einer Protokolldatei gespeichert. Die Daten ließen sich nach Ansicht der Behörde durch die übermittelte IP-Nummer auch auf Personen in Bezug setzen; die von HP bei der Softwareinstallation angezeigte "Erklärung" reiche formal nicht aus, um als Einwilligung zur Speicherung personenbezogener Daten im Sinne von § 4a Bundesdatenschutzgesetz (BSDG) gelten zu können.

    Außerdem könnte HP nach Lage der Dinge anhand einer Produktregistrierung durch den Anwender den Bezug der übermittelten Daten zu einer natürlichen Person herstellen. Auch dafür fehlt es nach Ansicht des Ministeriums an einer ordentlichen Einwilligung durch den Benutzer. HP müsse daher die strikte Trennung der Daten sicherstellen oder den Installationsprozess so verändern, dass dabei für den Benutzer als solche erkennbare Einwilligungen eingeholt werden, fordern die Datenschützer. Man gehe aber davon aus, dass die an HP übermittelte Rechtsauffassung bei einem Konzern dieser Größenordnung "Anlass zum Nachdenken" sein werde, kommentierte ein Ministeriumssprecher das Untersuchungsergebnis gegenüber heise online.

    Man habe das Problem mit den deutschen Datenschutzbestimmungen in der Tat übersehen, bestätigte eine HP-Sprecherin im Gespräch mit heise online. Sie versprach, dass die Gestaltung der Druckertreiber und der erforderlichen Einwilligungen gemäß den Vorgaben aus der Datenschutzbehörde baldmöglichst geändert würden.

    Link von Heise.de

    _______________________________

    Opera 6.12 für Linux beseitigt Sicherheitsleck

    Keine neuen Funktionen für den Linux-Browser


    Ab sofort bietet Opera die Linux-Version des norwegischen Browsers in der Version 6.12 zum Download an. Damit sollen einige Programmfehler behoben werden. Neue Funktionen bietet die aktuelle Version nicht.

    So behebt Opera 6.12 eine Redirect-Sicherheitslücke, die von Secunia entdeckt wurde, sowie einige Fehler im Xft-libraly-loader. Schließlich wurde noch eine Ungereimtheit beim Umgang mit Fonts und der Anti-Aliasing-Funktion behoben, so dass es hier nicht mehr zu Problemen kommen soll. Weitere Veränderungen bietet die aktuelle Opera-Version gegenüber der Vorversion Opera 6.11 nicht.

    Opera 6.12 für Linux steht ab sofort in englischer Sprache zum Download bereit. Die Gratis-Version blendet Werbebanner in die Oberfläche ein, die nach einer Registrierung in Höhe von 39,- US-Dollar verschwinden. Oliver J. Thiele bietet auf seiner Homepage eine deutsche Sprachdatei zum Download an.

    Golem.de Link

    ___________________________________

    eBay-Sicherheitslücke offenbart Kontodaten

    Verkäufer-Daten unsicher gelagert


    Nach Angaben von Axel Gronen, der eine informative Seite über Wortfilter bei eBay unterhält, können durch eine Sicherheitslücke beim Online-Auktionsveranstalter eBay hinterlegte Kontodaten von Verkäufern von Unbefugten eingesehen werden.

    Dazu müsse nicht einmal eine aktuelle Auktion des potenziellen Opfers vorliegen. Mit Hilfe der eBay-Datenbank könne man aus der Mailadresse oder dem Mitgliedsnamen eines Verkäufers dessen Kontoverbindung herausfinden. Das funktioniert natürlich nicht bei allen eBay-Accounts, da z.B. Nur-Käufer ihre Bankdaten im Allgemeinen nicht angegeben haben.

    Wie man die Sicherheitslücke konkret ausnutzen kann, will Gronen nicht veröffentlichen, sondern nur auf die Missbrauchsmöglichkeit aufmerksam machen. Auch eBay soll bereits Mitte Januar 2003 von einem Berliner Informatiker informiert worden sein, hat aber augenscheinlich nicht reagiert.

    Nach Angaben von Gronen wurde von Elmar Denkmann, Autor der Tools BayWotch und PreisHai, ein kleines Programm zum Demonstrieren dieser Sicherheitslücke geschrieben, das allerdings nicht zum Download angeboten wird. Als Login funktioniere jeder eBay-Account.

    Es bleibt allerdings festzuhalten, dass man selbst mit den hinterlegten Kontodaten und dem echten Namen des eBay-Mitglieds kaum wirklichen Schaden anrichten kann - auch wenn jemand mittels gefälschter Lastschrift Geld vom Konto des Opfers abhebt, kann der Bestohlene das Geld zurückholen lassen. Eine Menge Ärger und Zeitaufwand zur Behebung des Schadens wird allerdings nicht ausbleiben.

    Mittlerweile soll eBay reagiert haben und die entsprechende Funktion vorerst deaktiviert haben.

    _________________________________

    Sicherheitslöcher in Blogger.com geschlossen

    MÜNCHEN (COMPUTERWOCHE) - Der Weblog-Anbieter Pyra Labs hat eine Reihe von Sicherheitslücken geschlossen. Der "Good Guy Hacker" Adrian Lamo hatte die Schwierigkeiten erkannt und Pyra informiert. Weblogs sind tagebuchartige Web-Seiten von Internet-Aktivisten, die sich einer immer größeren Beliebtheit erfreuen. Die unlängst von Google übernommene Firma Pyra betreibt mit "Blogspot" einen der bekanntesten Hosting-Service, auf dem Anwender ihre eigenen Weblogs erstellen und aktualisieren können. Die von Lamo identifizierten Schwachstellen im Online-Publishing-Tool von Pyra hatten es Hackern ermöglicht, bestehende Weblog-Adressen von Blogspot-Anwendern auf eigene Inhalte umzulenken - so als würde man einer Internet-Domain eine anderen IP-Adresse zuweisen. Ein weiterer Fehler hatte es Hackern gestattet, sich heimlich auf die Liste derer zu setzen, die ein Weblog administrieren dürfen. (fn)

    Computerwoche.de Link
     
  37. Deloder attackiert Windows-Netze

    MÜNCHEN (COMPUTERWOCHE) - Seit Anfang der Woche treibt der Wurm „Deloder“ sein Unwesen in Windows-basierenden Netzen. Der vermutlich aus China stammende Schädling verbreitet sich nicht via E-Mail, sondern über den Microsoft-Netzwerk-Port 445. Nach dem Eindringen überträgt der Wurm eine „install.exe“-Datei in den Start-Ordner des Systems. Dieser Trojaner öffnet den Zugang zum Rechner. Deloder kopiert eine schreibgeschützte Kopie seines Codes in die Datei „dvldr32.exe“. Anschließend versucht der Wurm, über eine Liste gebräuchlicher Passwörter weitere Windows-Systeme im Netz zu befallen. Zuletzt beschädigt er Netzressourcen und manipuliert die Registry des befallenen Systems, so dass er ständig ausgeführt wird. Die Antivirenhersteller bieten mittlerweile Updates ihrer Schutzprogramme zum Download im Internet an. (ba)

    Computerwoche.de Link
     
  38. SuSE findet Samba-Sicherheitsloch

    Erneut müssen die Samba-Entwickler eine Sicherheitslücke im freien Windows-Server schließen. Nachdem Debian-Entwickler bei einem Quelltext-Audit im November eine Lücke entdeckt hatten, hat nun Sebastian Krahmer aus dem SuSE Security Audit Team eine weitere gefunden: Sie betrifft Samba ab Version 2.0.x, beruht auf einem Pufferüberlauf in dem Code, der einzelne Paketfragmente neu zusammenbaut, und könnte von einem Angreifer dafür genutzt werden, beliebigen Code mit root-Rechten auszuführen. In der auf den Mirror-Servern bereitstehenden neuen Samba-Version 2.2.8 hat das Samba-Team die Sicherheitslücke geschlossen. Detaillierte Anleitungen, wie man ältere Server schützen kann, sind in den Release Note zur neuen Version zu finden. Anzeige


    Wie schon beim letzten Mal nutzen die Entwickler das Update, um weitere Korrekturen an der stabilen Version (2.2) vorzunehmen. Der ursprüngliche Plan sah vor, die Weiterentwicklung der Nachfolgegeneration von Samba (3.0) mit aller Kraft voranzutreiben. Die Version 2.2.8 bringt diverse kleine Korrekturen mit, die unter anderem die LDAP- und Winbind-Funktionen betreffen. Das Frontend zur Verwaltung der verschlüsselten Passwörter (smbpasswd) kennt nun Optionen, mit denen man die SID für den Domänenbetrieb auslesen und setzen kann, die bisher in einer der Samba-eigenen Konfigurationsdatenbanken (secrets.tdb) verborgen und nur schwer zu beeinflussen war. (ps/c't)

    Heise Link
     
  39. Leck in Sun ONE lässt Hacker auf den Server

    MÜNCHEN (COMPUTERWOCHE) - Die Sicherheitsexperten von @Stake warnen vor einer Sicherheitslücke in Suns Applikations-Server Sun ONE, durch die sich Angreifer volle Zugriffsrechte auf den zugehörigen Web-Server verschaffen können. Der Fehler steckt im "Connector Module", einem NSAPI-Plug-in (Netscape Server Application Programming Interface), das den Web-Server mit dem Applikations-Server integriert. Um die Lücke auszunutzen, verursachen die Angreifer einen Speicherüberlauf, indem sie einen überlangen URI (Uniform Resource Indicator) via HTTP-Anfrage (Hypertext Transfer Protocol) an den Server schicken.

    Betroffen sind die Sun-ONE-Versionen 6.0 und 6.5. Ein Patch ist nur für die Version 6.5 verfügbar und im Service Pack 1 für den Server enthalten. Für die Version 6.0 empfehlen die Experten, via NSAPI-Modul die Länge der über HTTP-Anfragen geschickten URIs zu prüfen oder SSL-Anfragen (Secure Sockets Layer) abzufangen, bevor sie auf den Web-Server gelangen. (lex)


    Computerwoche Link
     
  40. Quelle: Heise

     
  41. Kritische Sicherheitslücke bei Windows 98 bis XP

    Microsoft empfiehlt schnelles Einspielen des Patches

    Redmond (pte, 20. März 2003 11:09) - Microsoft warnt vor einer kritischen Sicherheitslücke, die alle Windows-Versionen von Windows 98 bis Windows XP betrifft. Wie der Softwarekonzern in seinem Security-Bulletin mitteilt, liegt der Fehler in der Windows Script Engine bei der Verarbeitung von JScript. Microsoft empfiehlt allen Benutzern von Windows den Patch so schnell wie möglich zu installieren. Als provisorische Maßnahme kann auch die Unterstützung für Active Scripting im Internet Explorer deaktiviert werden. http://www.microsoft.com/security/security_bulletins/ms03-008.asp

    Die Windows Script Engine ermöglicht es dem Betriebssystem Scripts von Webseiten zu behandeln. Scripts werden dazu verwendet, zusätzliche Funktionen in Webseiten oder einem Programm zu integrieren, und können in mehreren unterschiedlichen Sprachen wie Visual Basic Script oder Jscript geschrieben sein. Um die Sicherheitslücke auszunützen, muss ein Angreifer eine speziell präparierte Webseite zusammenstellen. Sobald das Opfer die Webpage besucht, kommt der gewünschte Code des Angreifers zur Ausführung. Dabei erhält der Angreifer alle Privilegien des Benutzers. Die Webpage kann entweder auf einem Webserver bereitgestellt werden oder direkt an das Opfer als HTML-Mail versandt werden.

    In diesem Szenario kann es zu einer automatischen Ausführung des Angriffs kommen, ohne dass der Benutzer auf den Link klickt. Nicht betroffen sind Outlook Express 6.0 und Outlook 2002 in der Grundeinstellung sowie Outlook 98 und 2000 mit dem entsprechenden Sicherheitsupdate. http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q235309&id=KB;EN-US;Q235309 (Ende)

    _______________________________

    Sicherheitsloch im Linux-Multiuser-Betrieb

    Der Kern des Betriebssystems Linux enthält einen Fehler, der es lokalen Benutzern erlaubt, auf dem System Root-Rechte zu erlangen. Betroffen sind die Kernel-Versionen 2.2 und 2.4 und damit nahezu alle Linux-Systeme, die seit 1999 installiert wurden, und bei denen der Administrator die Möglichkeit, Kernel-Module nachträglich zu laden, nicht explizit abgeschaltet hat. Es existiert auch bereits ein fertiger Demo-Exploit, der einem Angreifer direkt eine Shell mit Root-Rechten beschert.

    Allerdings lässt sich der Fehler nicht ohne direkten Zugang -- also remote von einem beliebigen anderen System aus -- ausnutzen; der Angreifer muss also bereits einen Zugang auf dem attackierten Computer haben. Wo Linux also im Multiuser-Betrieb genutzt wird, sollten Administratoren schleunigst ein Kernel-Update einspielen. Auf Servern, auf denen regulär nur Adminstratoren Zugang haben, ist die Lücke nicht ganz so ernst; man sollte jedoch auch dort den Patch einspielen und sich gegen den Fall absichern, dass ein anderes Sicherheitsloch Angreifern einen Zugang mit eingeschränkten Rechten ermöglicht, der dann über den Kernel-Bug sofort zur Root-Shell ausgebaut werden könnte.

    Auf dem zentralen Kernel-Archiv steht ein Patch für die Version 2.2 bereit; Red Hat bietet bereits Kernel-Updates für 2.4er-Kernel (Red Hat 7.x, 8.0).

    Der Bug beruht darauf, dass der Kernel das Nachladen von Modulen nicht ausreichend gegen externe Modifikationen absichert. So kann man über die Debug-Funktion ptrace() die Kontrolle über einen Prozess erlangen, der ein Modul nachladen soll und dort beliebigen eigenen Code einschleusen. Dieser wird dann mit Root-Rechten ausgeführt. (ju/c't)


    Heise Link

    ______________________________


    Hacker klaut unveröffentlichte Security-Advisories vom CERT


    MÜNCHEN (COMPUTERWOCHE) - Ein Hacker mit dem Pseudonym "hack4life" hat unveröffentlichte Sicherheitswarnungen vom Server des CERT (Computer Emergency Response Team) gestohlen und in der öffentlich zugänglichen Security-Mailing-Liste Full-Disclosure publiziert. Die Warnungen über Sicherheitslücken in der Version 4 des Authentifizierungs-Protokolls Kerberos, in RSA-Private-Keys und in von Sun entwickelten Netzwerk-Bibliotheken, die in vielen Unix- und Linux-Distributionen integriert sind, sollten eigentlich nicht vor Juni 2003 an die Öffentlichkeit gelangen. Die Maßnahme sollte Herstellern Zeit geben, Bugfixes für betroffene Produkte zu entwickeln.

    Die Sicherheitsprobleme waren von dem Unternehmen eEye Digital Security und von Forschern des MIT (Massachusetts Institute of Technology) entdeckt worden. Gemeinsam mit dem CERT hatten sich die Experten auf den Zeitplan für die Veröffentlichung entsprechender Advisories geeinigt. Diese Vorgehensweise stößt jedoch nicht auf uneingeschränkte Zustimmung. So lehnt es zum Beispiel Mark Litchfield von NGS Software ab, Informationen über Sicherheitslücken zurückzuhalten, da sich die Organisation ohnehin nur eingeschränkt daran halte. Diverse Behörden seien mehrfach vorab über Systemfehler informiert worden.

    Laut Shawn Hernan, zuständig für die IT-Sicherheit beim CERT, ist noch nicht geklärt, wie der Hacker an die Advisories gelangte. Selbst wenn das Leck gefunden werde, sei es unwahrscheinlich herauszufinden, wer sich hinter hack4life verbirgt. (lex)

    ComputerWoche Link

    ______________________



    Windows-Patch macht Probleme

    Nach Einspielen von IIS/WebDAV-Patch stürzen manche Systeme ab

    Redmond (pte, 21. März 2003 11:55) - Nachdem Microsoft zu Beginn der Woche eine kritische Sicherheitslücke bei Windows-2000 mit einem Patch geflickt hatte, muss der Softwarekonzern nun nochmals nachlegen. Wie Microsoft in einer Ergänzung zu der ursprünglichen Security-Bulletin mitteilt, könnten unter bestimmten Umständen die gepachten Systeme nicht mehr booten. Die Sicherheitslücke hatte einige Unruhe bei Microsoft ausgelöst. Zumindest zwei Server der US-Army wurden über dieses Leck geknackt, bevor der Softwarekonzern den Patch veröffentlichen konnte. http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-007.asp

    Von dem Fehler sind Windows-2000-Systeme betroffen, auf denen einer von zwölf Hotfixes aus den Produkt Support Services eingespielt wurde, die zwischen Dezember 2001 und Februar 2002 veröffentlicht wurden. Nach Angaben des Softwareunternehmens erhalten Benutzer, die einen dieser Hotfixes und Service Pack 2 sowie den Patch gegen die IIS/WebDAV-Sicherheitslücke eingespielt haben, eine Fehlermeldung beim Neustart des Systems. Laut Microsoft sind ohne diese Hotfixes und mit Service-Pack 3 für Windows 2000 keine Probleme zu erwarten.

    In der überarbeiteten Security-Bulletin gibt Microsoft Anweisungen, wie die betroffenen Systeme wieder zum Laufen gebracht werden können. Die Benutzer sollen sich entweder an die Product Support Services wenden oder Service Pack 3 einspielen. (Ende)

    Pressetext Link


    _________________________________

    Hacker greifen NSA an

    Pressebüro erfolgreich geknackt

    Fort Georg G. Meade (pte, 21. März 2003 10:52) - Nach einem Bericht des US-Dienstes SecurityFocus http://www.securityfocus.com/news haben Hacker ein IT-System der National Security Agency (NSA) http://www.nsa.gov geknackt. Dieser Geheimdienst ist auf die weltweite elektronische Überwachung von Kommunikationsverbindungen spezialisiert und für seine strenge Geheimhaltung berühmt. Wer sich allerdings einen erfolgreichen Angriff auf die ultra-geheimen Abhöranlagen der NSA erwartet hat, wird enttäuscht. Das Ziel der Hacker war nach Angaben von SecurityFocus das eher harmlose Pressebüro der Organisation. Dementsprechend sind den Angreifern keine vertraulichen Dokumente in die Hände gefallen sondern nur die Lebensläufe einiger Mitarbeiter sowie einige private E-Mails zwischen den NSA-Sprechern und einigen Medienunternehmen.

    Als Beweis für ihren erfolgreichen Hack haben die Angreifer ein E-Mail mit ihren Beweisen geschickt, das mit "Nescafe Open Up" unterschrieben war. Es ist soweit bekannt der erste erfolgreiche Hack eines NSA-Computers. Über die Motive zum Angriff ist bisher nichts bekannt. Die Hacker haben jedenfalls noch nicht auf Versuche zur Kontaktaufnahme geantwortet. Das Beweis-E-Mail, das SecurityFocus erhalten hatte, enthielt zusätzlich noch einige Telefonnummern der NSA sowie eine Anweisung zum Umgang mit E-Mail-Problemen. Das selbe Dokument ist unter anderem auch auf der öffentlichen Seite des US-Verteidigungsministeriums zu finden. (pte-special Irak) (Ende)

    Pressetext Link

    ___________________________________
     
  42. noch etwas ältere News..... :)

    Meldung vom 18.03.2003 10:11

    Sicherheitslücke mit IIS 5.0 unter Windows 2000

    Etwas Hektik scheint bei Microsoft ausgebrochen zu sein, nachdem eine Sicherheitslücke unter Windows 2000 entdeckt wurde, für die angeblich bereits Exploits existieren: An die Premier Customer von Microsoft ging am gestrigen Montag eine Vorabwarnung heraus: Danach stand ein Advisory über eine kritische Sicherheitslücke an. Das Advisory, das Microsoft dann am Abend in den USA veröffentlichte, beschreibt ein Problem im Zusammenhang mit Microsofts Webserver Internet Information Server 5.0 und WebDAV unter Windows 2000. Das vom IIS eingesetzte WebDAV weist eine Sicherheitslücke auf, die Angreifer zum Ausführen beliebigen Codes nutzen können. Gelingt dies dem Angreifer, so läuft dieser Code im Sicherheitskontext des IIS.

    Web Distributed Authoring and Versioning beschreibt eine HTTP-Erweiterung zur Verwaltung und Bearbeitung von Files bei Web-Servern. Die Sicherheitslücke in WebDAV entsteht durch einen Buffer Overflow; Microsoft stuft den Fehler, der durch das Senden einer WebDAV-Anforderung an einen Web-Server mit IIS 5.0 ausgenutzt werden kann, als kritisch ein. Für etwas Unruhe sorgte unter einigen Anwendern, dass Microsoft sich in der Ankündigung des Adivsorys auf Windows 2000 allgemein bezog, zur Ausnutzung der Sicherheitslücke aber nach dem schließlich veröffentlichten Advisory auf den betroffenen Systemen der IIS 5.0 aktiv sein muss. WebDAV setzt nach Angaben von Microsoft auf den IIS, um Anforderungen an Windows 2000 weiterzuleiten beziehungsweise sie von dem System zu erhalten.

    Microsoft stellt bereits einen Patch für die Sicherheitslücke bereit; zusätzlich beschreibt die Firma in dem Advisory Vorgehensweisen, um Windows-2000-Systeme auch ohne Installation des Patches gegen Angreifer zu schützen. Dazu gehören beispielsweise das Abschalten des IIS, den Betrieb des IIS ohne WebDAV und verschiedene Maßnahmen zur Absicherung von WebDAV. Microsoft empfiehlt aber, auf Windows-2000-Systemen den Patch auf jeden Fall zu installieren. Der Internet Information Server 4.0 unterstützt WebDAV nicht, daher kann die Lücke dort nicht ausgenutzt werden. Beim IIS 5.1 unter Windows XP existiert das Sicherheitsloch ebenfalls nicht. (jk/c't)


    Heise Link

    ______________________________

    vom 19.03.2003

    Sicherheitslücke im Linux-Kernel

    "Remote Exploit" angeblich nicht möglich


    Eine Sicherheitslücke im Linux-Kernel erlaubt es lokalen Angreifern, Root-Rechte auf verwundbaren Systemen zu erlangen. Patches für die aktuellen stabilen Kernel-Serien stehen bereit.

    Betroffen ist laut Kernel-Entwickler Alan Cox die ptrace-Funktion im Linux 2.2 und Linux 2.4. Der aktuelle Entwickler-Kernel 2.5 scheint nicht betroffen und auch ein "Remote Exploit" ist nicht möglich, so dass Angreifer einen lokalen Systemaccount benötigen.

    Mit Linux 2.2.25 hat man bereits eine korrigierte Version von Linux 2.2 veröffentlicht, die eigentlich für diese Version vorgesehenen Bugfixes sollen nun in Linux 2.2.26 erscheinen. Der entsprechende Patch soll sich aber auch mit älteren Versionen der Serie 2.2.x nutzen lassen.

    Für Linux 2.4.20 sowie Linux 2.4.21pre ist ebenfalls ein Patch erhältlich. Die notwendigen Änderungen sollten keine Auswirkungen auf die Funktion von Applikationen haben, lediglich in sehr ungewöhnlichen Debug-Situationen sollte sich der Patch auswirken, so Cox.


    Golem Link
     
  43. IIS-Sicherheitsloch kritischer als angenommen

    Die kürzlich gefundene Sicherheitslücke in Microsofts Webserver IIS betrifft offenbar wesentlich mehr Nutzer als ursprünglich angenommen, denn nicht nur IIS scheint von der Lücke betroffen: Aus einem Paper des Sicherheitsunternehmens NGSS geht hervor, dass der eigentliche Fehler wesentlich tiefer liegt.

    Microsoft berichtete im entsprechenden Advisory, dass sich der Fehler nur über WebDAV (Web Distributed Authoring and Versioning), eine Erweiterung zur Verwaltung und Bearbeitung von Files bei Web-Servern, ausnutzen ließe. Die Sicherheitsexperten bei NNGS wollen aber herausgefunden haben, dass sich der Buffer Overflow durch das Aufrufen der Funktion "RtlDosPathNameToNtPathName_U" erzeugen lässt -- diese Funktion setzt keineswegs WebDAV oder IIS voraus, zahlreiche DLLs in Windows 2000 verwenden diese Funktion. Das Microsoft zugespielte Exploit nutzt den Fehler zwar über WebDAV aus, jedoch gibt es laut NNGS zahlreiche weitere Angriffsmöglichkeiten. Für die kommenden Monaten rechnet das Unternehmen mit weiteren Exploits. NNGS rät daher allen Windows-2000-Nutzern dringend, den von Microsoft bereitgestellten Patch einzuspielen, ganz gleich ob IIS verwendet wird oder nicht. (pab/c't)


    Heise Link

    ______________________________


    Sicherheitsexperten warnen vor Problemen mit Office 2003


    24.03.2003 um 15:46 Uhr

    MÜNCHEN (COMPUTERWOCHE) - Nach Ansicht von Security-Experten könnte der Einsatz des Office-XP-Nachfolgers "Office 2003" ernste Sicherheitsprobleme nach sich ziehen. Grund sei das Zusammenspiel des XML-basierenden (Extensible Markup Language) Dateiformats mit Makros. Die in den bisher veröffentlichten Microsoft-Office-Paketen verwendeten Dokumentenformate sehen fest definierte Stellen für die Einbettung der Mini-Anwendungen vor, wodurch sie gut von Virenscannern geprüft werden können. XML kennt solche Fixpunkte nicht. Dadurch lassen sich Makros - und auch Makroviren - an beliebigen Stellen im Dokument verstecken, so die Spezialisten.

    Tests mit der unlängst veröffentlichten zweiten Betaversion des Büropakets (Computerwoche online berichtete) hätten ergeben, dass XML-Dateien komplett geprüft werden müssten, um Makroviren zu entdecken. Entsprechende Prüfroutinen nehmen deutlich mehr Zeit und Systemressourcen in Anspruch als bislang, sagte Jan Hruska, Gründer des auf Antivirensoftware spezialisierten Unternehmens Sophos. Hruska warf Microsoft vor, damit Sicherheitsaspekte zu Gunsten der Funktionalität nicht ausreichend zu berücksichtigen und forderte, das Dateiformat mit einem Header zu versehen, in dem die Makros abgelegt werden.

    Der Ursprung des Problems liege nicht in Office 2003, sondern betreffe auch XML-basierenden Dateiformate anderer Hersteller, entgegnete ein Microsoft-Sprecher. Bei der Entwicklung des Büropakets sei man exakt den vom Web-Konsortium W3C gesetzten Standards gefolgt. Microsoft beabsichtige nicht, diese Kompatibilität aufzugeben, sei jedoch dazu bereit, gemeinsam mit den Antivirenherstellern nach einer Lösung des Problems zu suchen. (lex)


    Computerwoche Link
     
  44. Sicherheits-Update für Mac OS X

    Mit dem Sicherheits-Update vom gestrigen Montag schließt Apple zwei Lücken in Mac OS X. Zum einen beseitigt das über die Software-Aktualisierung des Betriebssystems oder als separater Download erhältliche Update ein kürzlich entdecktes Problem im freien Windows-Server Samba, der zum Lieferumfang des Apple-Systems gehört. Angreifer könnten es nutzen, um unerlaubten Zugriff auf ein Gastsystem zu erlangen.

    Das Update behebt außerdem ein von Schweizer Wissenschaftlern jetzt in der Praxis nachgewiesene Unsicherheit in den OpenSSL-Bibliotheken. Die Theorie hierfür ist schon länger bekannt. Es geht dabei um die Möglichkeit, private Schlüssel während des Transfers von Client zu Server abzufangen und zu missbrauchen. (adb/c't)

    Heise Link


    _________________


    Sicherheits-Update für Windows-Version von Opera 6


    Opera 6.06b bereinigt Sicherheitslücke bei langen Dateinamen


    Opera bietet ab sofort ein Sicherheits-Update für Opera 6.x zum Download an. Mit Opera 6.06b wird ein Sicherheitsleck bei der Nutzung langer Dateinamen während eines Downloads behoben.

    Bereits am 11. März 2003 wurde auf der Mailingliste Bugtraq über diese Sicherheitslücke berichtet, wonach die Opera-Fassungen bis zur Version 6.06 bei dem Download einer Datei die Länge des Dateinamens nicht überprüfen. So kann es zu einem Buffer Overflow kommen, worüber Angreifer den herunterzuladenden Programmcode ausführen können.

    Opera 6.06b für die Windows-Plattform steht ab sofort in englischer Sprache entweder mit oder ohne Java-Engine auf dem ftp-Server von Opera zum Download bereit. Wer die Werbebanner der kostenlosen Version aus der Programmoberfläche verbannen will, kann die Software für 39,- US-Dollar registrieren. Oliver J. Thiele bietet eine alternative deutsche Sprachdatei für Opera 6.06 zum Download an, die auch mit der aktuellen Opera-Fassung funktioniert.

    Golem.de Link
     
  45. Microsoft: Palladium respektiert den Datenschutz

    Das letzte Referat am ersten Tag der D-A-CH Security in Erfurt lieferte Microsoft, das als Sponsor der Konferenz der Sicherheitsspezialisten mit dem Slogan "innovativer Partner mit Visionen" auftritt. Unter der Rubrik "Perspektiven und Ausblick" stellte Gerold Hübner, Chief Security Officer bei Microsoft Deutschland, den Teilnehmern das Trustworthy Computing und NGSCB (Next Generation Secure Computing Base) vor, die einstmals Palladium genannte Sicherheitsarchitektur. Hübner bemühte sich, die Computersicherheit als Führungsthema des Managements darzustellen, bezeichnete gar im Umkehrschluss die verbreitete Unsicherheit über sichere Netzwerke und virenfreie E-Mail als "Führungsfehler". NGSCB stellte Hübner darum den Zuhörern als große Chance vor, das Vertrauen in Computertechnik beim durchschnittlichen Anwender zu rehabilitieren. Dabei benutzte Hübner eine übersetzte Version der Präsentation, die Microsoft Journalisten zur Comdex in Las Vegas präsentierte: Wieder einmal musste Mandrake nach den Zahlen der Bugtraq-Mailingliste von Security Focus als unsicherstes Betriebssystem den Spott ertragen.

    Im Unterschied zu früheren Ausführungen anderer Microsoft-Sprecher betonte Hübner den Aspekt des Datenschutzes: Auf keinen Fall sollen die Nexus-Chips, mit denen NGSCB realisiert wird, standardmäßig den Anwender "verpetzen" und etwa an DRM-Systeme melden, welche Musik auf dem Computer gespielt wird. "Es ist bei NGSCB ein wichtiges Designprinzip, dass der Nutzer stets selbst kontrollieren und entscheiden kann, ob und wann er die NGSCB-Technologien benutzt. Er entscheidet selbst im Sinne des Datenschutzes, ob er Dritten die auf dem Sicherheitschip gespeicherten Merkmale zugänglich macht, mit denen er identifiziert werden kann." Überdies versprach Hübner den Sicherheitsspezialisten, dass Microsoft den bei den Nexus-Chips genutzten Source-Code im Sinne der Shared-Source-Philosophie des Unternehmens offen legen wird. Schriftlich bekamen die Teilnehmer der D-A-CH Security die weitere Vorgehensweise Microsofts bezüglich NGSCB; im Tagungsband zur Konferenz endet das Referat Hübners mit den Worten: "NGSCB wird Bestandteil des Windows-Betriebssystems und muss nicht gesondert beschafft werden. Mit Auslieferung der ersten NGSCB-fähigen PCs ist frühestens im Laufe des Jahres 2004 zu rechnen."

    In der abschließenden Diskussion mit den Teilnehmern der D-A-CH Security ging es vor allem um das Bonmot von Hübner, dass Microsoft "die Software vor der Software schützen will". Auch die Tatsache, dass die Mehrheit der in der TCPA zusammengeschlossenen Firmen weitreichendere Ziele verfolgt um etwa ein geschlossenes DRM zu realisieren, in dem sich jede Datei ausweisen muss, beschäftigte die Disputanten. Hübner zeigte sich von der "Konvergenz" beider Ansätze überzeugt, schlussendlich würden TCPA und NGSCB in der harmlosen Variante zusammengehen. Auf Anfrage von heise online erklärte Microsofts Sicherheitsexperte, dass Microsoft in Deutschland anders als in England vorerst keine universitären Einrichtungen unterstützen wird, Studenten zum sicherheitsbewussten Programmieren anzuleiten. (Detlef Borchers) / (jk/c't)


    Heise Link


    _______________________


    Englische El-Dschasira-Site per DoS lahm gelegt


    26.03.2003 um 14:13 Uhr

    MÜNCHEN (COMPUTERWOCHE) - Der arabische Nachrichtensender "El Dschasira" hatte am Montag eine englischsprachige Website eröffnet (Computerwoche online berichtete). Heute folgt die Nachricht, dass Hacker die Website angegriffen haben, weswegen sie vorübergehend nicht verfügbar war. Die Angreifer machten sich dabei eine altbekannte Strategie zu Eigen: Sie müllten die Website mit Unmengen von automatisierten Anfragen zu, bis die Server des in Doha, Katar, ansässigen Nachrichtensenders in die Knie gingen.. Diese Methode ist als Denial-of-Service-Attacke (DoS) unter anderem durch Würmer wie "Nimda" oder jüngst "Slammer" weltweit bekannt.
    Nach Angaben von Ayman Arrashid, dem Internet-Systemadministrator von Horizons Media & Information Services, das die Website betreibt, begann der Hackerangriff am Dienstagmorgen nur wenige Stunden nach der Inbetriebnahme. Die Server von El Dschasira stehen in Frankreich und in den USA. Nach gegenüber dem "Wall Street Journal" gemachten Angaben von Arrashid waren von den Attacken ausschließlich die Server in den USA betroffen. (jm)

    Computerwoche Link
     
  46. Sicherheitsleck in Windows NT 4.0, 2000 und XP

    Microsoft kann keinen Bugfix für Windows NT 4.0 anbieten


    In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke im RPC-Protokoll von Windows NT 4.0, 2000 und XP. Ein Angreifer kann darüber die Funktionstüchtigkeit des Dienstes torpedieren. Während Microsoft einen Patch für Windows 2000 und XP anbietet, sieht sich der Hersteller außer Stande, auch einen Patch für das ebenfalls betroffene Windows NT 4.0 anzubieten.

    Der Fehler besteht darin, dass mit fehlerhaften Messages falsch umgegangen wird, was den RPC Endpoint Mapper beeinträchtigt, der bei TCP/IP-Verbindungen an Port 135 lauscht und die Festsetzung von Port-Nummern eines bestimmten RPC-Services erlaubt.

    Besteht über einen Remote-Zugang eine TCP/IP-Verbindung zum Endpoint Mapper, kann ein Angreifer den Prozess zum Versagen bringen. Da der Endpoint Mapper direkt innerhalb des RPC-Services läuft, verweigert so der gesamte RPC-Service seinen Dienst und funktioniert nicht mehr. Damit einhergehend gehen alle RPC-basierenden Dienste verloren, aber auch einige COM-Funktionen stehen dann nicht mehr zur Verfügung. Das RPC-Protokoll stammt von der Open Software Foundation (OSF) und wurde von Microsoft aber um bestimmte Erweiterungen ergänzt.

    Microsoft bietet deutschsprachige Patches für Windows 2000 sowie XP in der 32-Bit- und 64-Bit-Version an - jedoch nicht für Windows NT 4.0. Nach Aussagen von Microsoft sieht sich der Hersteller nicht in der Lage, einen passenden Patch anzubieten. Die Architektur von Windows NT 4.0 erlaube es nicht, solche Änderungen am Betriebssystem vorzunehmen, heißt es in dem betreffenden Security Bulletin. Um dem Problem beizukommen, müsste Microsoft einen Teil von Windows NT 4.0 komplett neu schreiben, was wiederum massive Kompatibilitätsprobleme nach sich ziehen würde. Hier empfiehlt Microsoft als Work-Around, eine Firewall so zu konfigurieren, dass der Datenverkehr auf Port 135 gefiltert wird.


    Golem.Link
     
  47. Firewalls in den USA bald illegal?

    US-Bundesstaaten planen Verschärfung des DMCA


    In einem Kommentar weist der Informatik-Professor Edward W. Felten auf Gefahren hin, die eine geplante Verschärfung des Digital Millenium Copyright Act (DMCA) mit sich bringen könnte. Durch die in den Entwürfen einiger US-Bundesstaaten vorgesehenen Regelungen würde die Nutzung von Firewalls als auch die Verschlüsselung des E-Mail-Verkehrs illegal.

    Die Gesetzesvorschläge, die in den Bundesstaaten Massachusetts, Texas, South Carolina, Florida, Georgia, Alaska, Tennessee und Colorado derzeit vorliegen, sehen laut Felten vor, "Besitz, Verkauf und Nutzung von Techniken zu verbieten, die geeignet sind, die Herkunft oder den Adressaten einer Kommunikationsverbindung vor einem Service-Provider zu verbergen".

    Laut Felten wäre damit unter anderem auch die Verschlüsselung von E-Mails untersagt, würde dort doch der Adressat im To-Feld verschlüsselt und somit verborgen werden. Auch der Zugriff auf E-Mails über ein verschlüsselte Verbindung wäre damit nicht mehr erlaubt.

    Schlimmer noch treffe es die Network Address Translation (NAT), eine in Firewalls und Routern genutzte Technologie, die Rechner mit lokalen IP-Adressen ans Internet anbindet und so Absender und Empfänger ändert. Aber auch Betriebssysteme wie Windows oder Linux unterstützen NAT.

    Edward W. Felten ist seit 1999 Professor für Informatik an der Princeton University und war von 1998 bis 2002 für das US-Justizministerium im Zusammenhang mit dem Kartellrechtsprozess gegen Microsoft tätig und ist Mitglied der Electronic Frontier Foundation.

    GolemLink

    _____________________

    FBI untersucht Angriff auf Al-Jazeera


    Arabischer Sender weiterhin offline



    Washington/Doha (pte, 28. März 2003 09:15) - Im Fall des Angriffes auf die Webseite des arabischen Nachrichtensenders Al Jazeera http://english.aljazeera.net hat nun das FBI http://www.fbi.gov die Ermittlungen aufgenommen. Hacker, die mit den USA sympathisieren, hatten Anfragen für die Seite mit einem gefälschten Eintrag im Name Service auf eine andere Webpage umgeleitet. Die englische Online-Seite des arabischen Nachrichtensenders Al-Jazeera ist weiterhin nicht zu erreichen.

    Besucher, die in den vergangenen Tagen versuchten die Seite zu erreichen, sahen zum Beispiel eine US-Flagge mit der Botschaft "Let Freedom Ring", Besucher der arabischen Webpage wurden zu einer Porno-Seite umgeleitet. Der Sender selbst bezeichnet den Hack als einen Angriff auf die freie Presse. Während das arabische Angebot bald wieder online sein soll, wird sich der Launch der regulären englischen Seite nach einem Bericht der BBC wahrscheinlich bis April verzögern. Bereits zuvor war das Internet-Angebot des Senders mit Denial-of-Service-Angriffen lahm gelegt worden.

    Der Verwalter der .com und .net-Domains, das Verisign-Tochterunternehmen Network Solutions, hat inzwischen die Umleitung wieder rückgängig gemacht. Allerdings wird es noch einige Zeit dauern, bis auch diese Veränderung im gesamten Internet wirksam wird. (pte-special Irak) (Ende)


    PresseText LInk
     
  48. Erneut Sicherheitslücke in sendmail

    Erneut ist eine kritische Sicherheitslücke in sendmail bekannt geworden. Alle Versionen der Open-Source-Variante des Message Transfer Agent (MTA) vor Version 8.12.9 sowie alle kommerziellen sendmail-Ausgaben für Unix und Windows weisen eine Schwachstelle auf, die von Michael Zalewski entdeckt wurde. Durch sie kann ein Angreifer über einen speziellen E-Mail-Header einen Buffer Overflow provozieren; dadurch lässt sich beliebiger Code mit den Rechten des sendmail-Daemons ausführen oder ein Denial-of-Service-Angriff auslösen. Die Ursache für das Leck liegt im Parser für die E-Mail-Adressen. Laut CERT wurde in Tests die Lücke bereits erfolgreich für Denial-of-Service-Angriffe ausgenutzt.

    Als Gegenmaßnahme empfiehlt das CERT in einem Advisory ein Upgrade auf sendmail 8.12.9. Für ältere Versionen gibt es zudem Patches. Sendmail Inc. stellt für die kommerziellen Varianten Updates bereit. Außerdem arbeiten die Linux-Distributoren bereits an aktualisierten sendmail-Paketen für ihre Distributionen; dasselbe dürfte bei Apple für sendmail in Mac OS X gelten.

    Das CERT betont ausdrücklich, es handele sich bei dem nun entdeckten Fehler -- auch wenn es ein ähnliches Problem ist -- nicht um den gleichen Bug wie bei dem Leck, das Anfang März bekannt wurde; es sind also auf jeden Fall neue Software-Updates oder das Einspielen von Patches bei den betroffenen Servern angesagt. Wie bei dem damaligen Fehler gilt aber, dass auch sendmail-Server innerhalb eines geschlossenen Netzwerks betroffen sein können, die über andere MTAs als sendmail den Kontakt zur Außenwelt herstellen: Denn präparierte Mails werden von nicht betroffenen MTAs unverändert weitergeleitet.

    sendmail ist seit langem der meist verwendete MTA im Internet. Angeblich nutzen 50 bis 75 Prozent der Mail-Server im Internet das Programm, um Mails auszutauschen. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern. (anw/c't)


    Heise Link

    _________________________
     
  49. Microsoft verbessert WLAN-Sicherheit für Windows XP

    Download als erster Schritt in Richtung 802.11i

    Redmond (pte, 1. Apr 2003 10:38) - Microsoft hat ein eigenes Update für die Verbesserung der WLAN-Sicherheit von Windows XP vorgestellt. Das kostenlose Download soll die erste Umsetzung von Wi-Fi Protected Access (WPA) sein. Damit nimmt Microsoft den ersten Schritt zum Standard 802.11i vorweg. Dieser Standard wird voraussichtlich erst im Sommer ratifiziert.

    http://www.microsoft.com/presspass/press/2003/mar03/03-31WiFiProtectedAccessPR.asp
    WAP ersetzt den oft kritisierten Standard Wired Equivalent Privacy, der den Sicherheitsanforderungen nicht genügt. Der Standard bietet eine verbesserte Verschlüsselung der Übertragung und eine sicheren Austausch der Schlüssel. Zusätzlich verhindert ein "Integrity Check", dass die Nachrichten nicht von einem Angreifer verändert werden. Schließlich stellt eine Authentifizierungsfunktion sicher, dass nur autorisierte Personen das WLAN nutzen. (Ende)


    PresseTextLink

    _______________


    Identitätsklau an US-Universitäten

    Online-Eindringlinge haben die Namen, Adressen und Kreditkartendaten von privaten Geldgebern des Georgia Institute of Technology, Fachbereich Künste und Theater, in Atlanta ausspioniert. Betroffen seien insgesamt 57.000 Personen, heißt es in Medienberichten. Der Identitätsdiebstahl sei in den vergangenen zwei Monaten geschehen und vergangene Woche entdeckt worden. Bislang gebe es aber noch keine Hinweise auf eine betrügerische Verwendung der gestohlenen Daten.

    Nun ermitteln das Georgia Bureau of Investigations und das FBI. Die Betroffenen seien per E-Mail benachrichtigt worden. Der Einbruch in Atlanta ist der dritte Vorfall, der in den vergangenen Monaten bekannt wurde. Mitte März soll ein Student rund 55.000 Sozialversicherungsnummern aus einer Datenbank der University of Texas in Austin gestohlen haben. Im Januar wurden die Daten von 1400 Auslandsstudenten der University of Kansas ausspioniert.

    HeiseLink


    _________________


    James Bond hackt Xbox

    Bisher konnte man das Xbox-Linux nur auf einer per Modchip manipulierten Xbox abspielen. Nun soll es Hackern gelungen sein, Linux auch auf einer nicht modifizierten Xbox zu starten -- mit Hilfe des Xbox-Spiels James Bond 007 Agent im Kreuzfeuer. Wie der User Habibi_Xbox in diesem Thread des User-Forums von Xboxhacker.net erklärt, nutzt er einen Bug in der Verwaltung der Speicherstände des Spiels. Ändert man die Spielstandsdatei, so sei es möglich, einen Buffer-Overflow zu erzeugen und eigenen Code auszuführen. Um die Spielstandsdatei bearbeiten zu können, bräuchte man einen Adapter, um die Memory-Card der Xbox am PC auszulesen und verändern zu können.

    Bisher sei es nur möglich, das Xbox-Linux zu starten, kopierte Spiele liefen nicht. Dazu müsse man eine gesonderte Drahtverbindung in die Xbox einlöten, um das originale BIOS flashen zu können, wie mike2225 im Forum erklärt. Das Spiel "Agent im Kreuzfeuer" sei nicht der einzige Titel mit diesem Speicher-Bug, es gäbe noch zahlreiche andere mit ähnlichen Fehlern.

    Mit seiner Lösung hat Habibi_Xbox fast alle Punkte der Phase B des Xbox-Hack-Wettbewerbs erfüllt. Lindows-Gründer Michael Robertson hatte hierzu ein Preisgeld von 100.000 Dollar ausgelobt, falls es gelingt, ein Linux von einer nicht modifizierten Xbox direkt von der Festplatte oder einem USB-Dongle zu starten. Die Habibi-Lösung kommt dem sehr nahe, lediglich die nötige 007-Disc entspricht nicht ganz den Regeln


    Heise Link

    ________________


    Studie: IT-Sicherheitsexperten müssen enger mit Microsoft zusammenarbeiten


    Rund 77 Prozent der IT-Sicherheitsexperten in großen Unternehmen sind der Meinung, dass Software-Produkte von Microsoft nicht sicher sind. Das ist ein Ergebnis der Studie Can Microsoft be secure? der Marktforscher von Forrester, für die sie 35 IT-Sicherheitsexperten aus Unternehmen mit einem Jahresumsatz von mindestens einer Milliarde US-Dollar befragt haben.

    Sicherheitsbedenken haben die besagten drei von vier Experten aus gutem Grund -- die gleiche Anzahl hat in den vergangenen 12 Monaten Sicherheitsprobleme mit MS-Produkten gehabt: Bugbear, Code Red oder Konsorten fanden Einzug in das System oder Cracker nutzen Sicherheitslücken, um an vertrauliche Informationen zu gelangen. Dennoch benutzen 89 Prozent der Befragten weiterhin MS-Produkte.

    Die Autorin der Forrester-Studie, Laura Koetzle, kritisiert: "Zu wenig Firmen kümmern sich darum, ihre Windows-Systeme zu sichern." So ergab die Studie, dass 40 Prozent der Firmen nicht planen, Sicherheitsverbesserungen vorzunehmen. Und nur 59 Prozent derjenigen, die Opfer von Sicherheitsproblemen mit ihren MS-Produkten wurden, haben daraus auch Konsequenzen gezogen. So richtet Koetzle ihre Kritik an beide Seiten: So müsse Microsoft einfachere Tools entwickeln, die ein problemloses Aufspielen von Sicherheitspatches ermöglichten. IT-Sicherheitsexperten aus den Unternehmen sollten aber gleichfalls auf das Redmonder Unternehmen zugehen und ihre Hilfe bei der Behebung von Sicherheitsproblemen anbieten anstatt Microsoft nur für Sicherheitslücken zu schelten


    HeiseLink
     
  50. Debatte um "totale Überwachung"

    Total Information Awareness (TIA), das Datenspürprogramm des US-amerikanischen Verteidigungsministeriums, ist notwendig, um terroristische Aktion zu verhindern. Diese Meinung äußerte unter anderem die Anwältin Heather McDonald vom Manhattan Institute auf der derzeitigen Conference on Computers, Freedom & Privacy in New York. Sie hält die Kritik von Bürgerrechtlern und Datenschützern laut Medienberichten für "hysterisch".

    McDonald meint, die USA solle jedes legale Mittel anwenden, um solche Ereignisse wie die vom 11. September 2001 zu verhindern. Al Qaida könne die modernsten Techniken anwenden, während die USA mit veralterter Technik auskommen müsse. Sicherheitsexperte Michael Scardaville stellt sich auf ihre Seite. Er unterstreicht, bei TIA handele es sich nicht um das "orwellsche Monster", wie es von Kritikern heraufbeschworen werde.

    Doch nicht nur bei Bürgerrechtler ist das ehrgeizige Überwachungsprogramm umstritten. Im Februar haben sich US-Senat und -Abgeordnetenhaus gemeinsam dafür ausgesprochen, TIA nicht gegen die eigenen Bürger einzusetzen. Dies geschah, nachdem unter anderen der US-Senator Chuck Grassley Befürchtungen ausgesprochen hatte, die Privatsphäre der US-Amerikaner könne dem FBI offenbart werden, wenn Daten über Kontobewegungen, Telefongespräche und Internet-Sitzungen gesammelt würden. Außerdem stehen die Aktivitäten des zuständigen Information Awareness Office unter besonderer Kontrolle des US-Kongress.

    Auf der Konferenz in New York sprach unter anderem die Anwältin Katie Corrigan den Gegnern von TIA aus dem Herzen. Sie meinen, das Überwachungsprogramm sei nicht akzeptabel, da nicht zu gewährleisten sei, dass die Datensammlung nicht missbraucht werde. Allerdings sei über TIA schwer zu debattieren, da die US-Regierung die Pläne weitgehend geheim halte.

    Heise Link


    _______________



    DoS-Problem mit Apache 2.0



    Die Apache-Entwickler stellen eine neue Version des Apache 2.0 bereit. In der Ankündigung warnen sie vor einem nicht näher spezifizierten Denial-Of-Service-Problem, von dem alle 2er-Versionen vor 2.0.45 betroffen seien und raten zum sofortigen Upgrade. Apache 2.045 beseitigt auch gleich ein anderes Problem, das darin besteht, dass CGI-Skripte und andere Kind-Prozesse Zugriff auf bestimmte Dateideskriptoren ihrer Erzeuger erhalten konnten.

    Interessanter als das Sicherheitsproblem, von dem wohl nur wenige Produktionssysteme betroffen sein dürften, sind die Vorgänge hinter den Kulissen. Das DoS-Problem wurde von David Endler von der Firma iDefense entdeckt und an die Apache-Entwickler gemeldet. Diese stellen nun ein Update bereit, halten aber die konkreten Details zurück und verweisen lediglich darauf, dass Endler am 7. April nähere Einzelheiten zu der Sicherheitslücke veröffentlichen wird. (ju/c't)


    Heise Link


    __________________




    RealPlayer und Quicktime sind löchrig

    MÜNCHEN (COMPUTERWOCHE) - Experten warnen vor Sicherheitslücken in den Multimedia-Playern von Real Networks und Apple, RealPlayer und Quicktime. In beiden Fällen können sich Hacker Zugriff auf betroffenen Systeme verschaffen, indem sie manipulierte Daten an die Software senden. Den Spezialisten von iDefense zufolge löst bei Quicktime ein URL (Uniform Resource Locator), der mehr als 400 Zeichen enthält, einen Speicherüberlauf aus, durch den sich Schadroutinen auf betroffenen Systemen ausführen lassen. Der Fehler stecke allerdings nur in den Windows-Version 5.x und 6.0 des Players. Die Spezialisten empfehlen das Update auf Quicktime 6.1, Mac-OS-Anwender sind auch mit den älteren Versionen auf der sicheren Seite.

    Vom RealPlayer sind auch Varianten für Mac OS unsicher. Neben der Version 8 für Mac OS 9 und dem RealOne Player für Mac OS X sind auch die Windows-Varianten 1 und 2 des RealOne Players, der RealPlayer 8 sowie die Enterprise-Desktop-Edition angreifbar. Angreifer können sich durch manipulierte PNG-Dateien (Portable Network Graphic) Zugang zum System verschaffen, so die Experten. Real hält bereits Updates vor, die den Fehler beheben sollen. (lex)


    Computerwoche Link
     
  51. US-Behörden verschlafen Sicherheitsinitiative

    Verschiedene US-Bundesbehörden haben eine vier Jahre alte Aufforderung verschlafen, ihre IT-Sicherheit auf Vordermann zu bringen. Sie sollten die wichtigsten Informationssysteme und Netzwerke identifizieren, um elektronischen Attacken vorbeugen und Präventiv-Maßnahmen ergreifen zu können. Bereits 1998 hatte sich der damalige US-Präsident Bill Clinton mit einer Aufforderung an die verschiedenen Behörden gewandt, um Schritte zum Schutz gegen Online-Attacken einzuleiten.

    Nach Angaben des General Accounting Office (GAO) haben alle Behörden immer noch "beträchtliche Lücken in der Sicherheit ihrer Informationssysteme, die einen Teil der Aktionen des Bundes einem großen Risiko aussetzen". In dem dieser Tage veröffentlichten Report wurden erneut Pläne und Maßnahmen festgelegt, um das Problem Sicherheit und Datenschutz der Behörden in den Griff zu bekommen. Dazu gehören etwa verstärkte Anstrengungen, um die Sicherheitsmaßnahmen der einzelnen Behörden untereinander und mit den übergeordneten Verwaltungsinstitutionen zu koordinieren. Außerdem merkte das GAO an, in der Privatwirtschaft gebe es Bedenken, dass vertrauliche Informationen, die an die Regierung gingen, möglicherweise in die Öffentlichkeit gelangen könnten: Regierungsbehörden sind unter dem Freedom of Information Act in den USA verpflichtet, auf Anfrage von Bürgern detailliert Auskunft über ihre Maßnahmen zu geben.


    Heise Link

    _________



    Apache beseitigt Sicherheitslücke


    MÜNCHEN (COMPUTERWOCHE) - Die ASF (Apache Software Foundation) hat ein Update für den Apache Web-Server 2.0 bereitgestellt. Apache 2.0.45 soll unter anderem eine Sicherheitslücke aller bislang veröffentlichten 2.0.x-Versionen beseitigen, über die Angreifer DoS-Attacken (Denial of Service) ausführen können. Das gilt jedoch nur für die Linux- und Windows-Variante, sagte die ASF. OS/2-Anwender müssen sich noch bis zur Version 2.0.46 gedulden, um den Bugfix nachgeliefert zu bekommen.

    Entdeckt wurde die Lücke von David Endler, Sicherheitsexperte bei iDefense. Bislang sind keine Details über den Bug bekannt. Endler will ein ausführliches Security-Advisory Anfang nächster Woche publizieren. (lex)


    ComputerWoche Link
     
  52. Sicherheitslücke in allen stabilen Samba-Versionen

    Samba 2.2.8a schließt die Sicherheitslücke


    Digital Defense hat eine kritische Sicherheitslücke in der Netzwerksoftware Samba entdeckt. Diese findet sich in allen derzeit stabilen Samba-Versionen bis einschließlich 2.2.8.

    Richtig ausgenutzt erlaubt es diese Sicherheitslücke einem Angreifer, Root-Rechte auf einem betroffenen System zu erlangen. Entsprechende Patches liegen bereits vor und sind sowohl für Samba 2.2.8, Samba 2.2.7a als auch für Samba 2.0.10 erhältlich. Zur aktuellen Version ist zudem ein Update auf 2.2.8a verfügbar.

    Aktuelle Alpha-Versionen von Samba 3.0 sind nicht verwundbar.
     
  53. Bedenkliche Datenwanderung bei Internet-Anbietern

    Mit den Zugangsdaten von amazon.de oder ebay.de kann man sich problemlos auch auf den amerikanischen oder englischen Seiten der Unternehmen einloggen. Was auf den ersten Blick nach Kundenfreundlichkeit aussieht, ist aus Datenschutzgründen mehr als bedenklich, schreibt iX in seiner aktuellen Ausgabe 5/2003. "Wir geben Kundenkonten und persönliche Daten über Kunden bekannt, wenn wir hierzu gesetzlich verpflichtet sind (...)". Diese Erklärung findet man neuerdings beispielsweise in der Datenschutzerklärung von Amazon. Damit informiert Amazon seine Kunden erstmals über die Tatsache, dass Daten aus einem Rechtsverhältnis zwischen einem deutschen Kunden mit einer deutschen GmbH uneingeschränkt und ohne wirksame rechtliche Kontrolle von amerikanischen Behörden eingesehen werden können.

    Die Weitergabe von Daten in den USA, die über keinen entsprechenden Schutzstandard verfügen und nicht einmal ein nationales Datenschutzgesetz kennen, war von jeher problematisch. Das Ende 2000 geschlossene Abkommen zwischen der EU und den USA, nach dem sich auch amerikanische Unternehmen an EU-Datenschutzrichtlinien orientieren sollten (safe harbor), war in den USA bereits recht umstritten und wurde nach den Anschlägen vom 11. September 2001 weitgehend hinfällig. Die "öffentliche Sicherheit" und die Abwehr von Terrormaßnahmen haben seitdem Vorrang vor dem Schutz der Daten einzelner. Mit der Verabschiedung des Patriot Act (Provide Appropriate Tools Required to Intercept and Obstruct Terrorism) wurden die Bürgerrechte zugunsten staatlicher Überwachung weitgehend eingeschränkt.

    Und so werden jetzt nicht nur Daten von Flugzeugpassagieren an amerikanische Behörden weitergegeben, auch Daten von Amazon, Ebay und Co. werden zu potenziellen Zielen von Strafverfolgungsbehörden auf Terroristenjagd. Denn neben den zur Abrechnung notwendigen Informationen wie Adresse und Bestellung gibt es hier begehrliche Daten über Vorlieben der Nutzer, etwa die Bücher, die sich diese im Angebot angesehen haben. "Zwar versicherte Amazon, dass kundenbezogene Daten in höchstem Maße geschützt seien, doch es bleibt ein mulmiges Gefühl", schreibt die iX-Redaktion. "Aufgrund des enormen Gefälles in der Qualität des Schutzes personenbezogener Daten zwischen Deutschland und den USA sollte man sich gut überlegen, in welche Hände man welche persönlichen Daten gibt."

    Einen ausführlichen Bericht über die Problematik mit den persönlichen Nutzer-Daten bei Internet-Anbietern mit US-amerikanischen Mutterhäusern bringt iX in Ausgabe 5/2003 (ab Donnerstag, den 10. April, im Handel) auf S. 96. (jk/c't)

    HeiseLInk
    ____________________



    Alien-Jäger warnen vor Sicherheitslücke


    Seti-Bildschirmschoner von Buffer-Overflow bedroht

    Berkeley (pte, 7. Apr 2003 11:21) - Die Alien-Jäger des Seti@home-Projekts warnen vor einer Sicherheitslücke in ihrem Bildschirmschoner für die Suche nach Außerirdischen. Die Mitarbeiter des an der Universität von Berkeley beheimateten Projekts, empfehlen ein Update auf die Version 3.08 des Bildschirmschoners, da bei früheren Versionen des Clients die Möglichkeit zu Buffer-Overflow-Angriffen besteht. Nach Angaben von Seti@home ist kein erfolgreicher Angriff auf diese Sicherheitslücke bekannt. http://setiathome.ssl.berkeley.edu/version308.html

    Das Seti-Projekt greift auf die ungenutzte Rechenkapazität von Computern zu, um Radiosignale aus dem Weltall auf Zeichen von intelligenten Lebens zu durchsuchen. Mit der jetzigen Sicherheitslücke könnte ein Angreifer Zugriff auf den PC des Benutzers erhalten. Allerdings muss der Angreifer den Client dazu veranlassen, einen falschen zu Server zu kontaktieren. Ein Download für den neuen Client steht bereits zur Verfügung. Genauere Informationen zur Sicherheitslücke finden sich unter http://spoor12.edup.tudelft.nl (Ende)

    PresseTExt Link
    __________________________



    Angriffe im Internet nehmen zu



    ISS: Exploits kommen immer schneller

    Atlanta (pte, 8. Apr 2003 09:11) - Laut dem Sicherheitsunternehmen Internet Security Systems (ISS) http://www.iss.net hat im ersten Quartal 2003 die Anzahl von sicherheitsrelevanten Vorfällen im Internet dramatisch zugenommen. Wie ISS in seinem Bericht "Internet Risk Impact Summary" für das ersten Quartal 2003 mitteilte, wurden in den vergangenen drei Monaten mehr als 160,57 Mio. sicherheitsrelevanter Ereignisse registriert. Mehr als zehn Mal soviel wie im vorangegangenen Untersuchungszeitraum. Gleichzeitig identifizierte das Unternehmen 2.551 Angriffe über das Internet, eine Zunahme von 36,6 Prozent gegenüber dem letzten Quartal 2002. Der Bericht wurde von der X-Force, einer Forschungsabteilung des Unternehmens erstellt. http://www.iss.net/issEn/delivery/prdetail.jsp?type=&oid=22158

    Die dramatische Zunahme in sicherheitsrelevanten Ereignissen ( z.B. Scanns von Unternehmensnetzwerken auf Schwachstellen) wurde vor allem durch das vermehrte Auftreten von Würmern und kombinierten Angriffen verursacht. "Die große Zunahme an sicherheitsrelevanten Ereignissen und Würmern kündigen ein herausforderndes Jahr für Sicherheitsexperten und IT-Administratoren an", erklärte Chris Rouland, Direktor der X-Force von ISS.

    Im selben Zeitraum nahm das Unternehmen 606 neue Sicherheitslücken in seine Datenbank auf. Von diesen wurden 156 als hoch gefährlich, 341 mittel und 109 als wenig gefährlich eingestuft. Ein leichter Rückgang gegenüber den letzten drei Monaten im Jahr 2002 als 644 Sicherheitslücken gefunden wurden. Allerdings haben die Mitarbeiter der X-Force festgestellt, dass Hacker immer schneller ihre Exploits schreiben. So eine "Zero-Day-Attack" wurde unter anderem bei der WebDAV-Sicherheitslücke in Microsofts Internet Information Server festgestellt. Siehe auch pte-Meldung: http://www.pte.at/pte.mc?pte=030318038
    Der Report ist unter https://gtoc.iss.net/documents/summaryreport.pdf verfügbar. (Ende)


    PresseTExt LInk
     
  54. Trügerische Sicherheit bei deutschsprachigen Servern

    Sicherheitsexperten der französischen Firma Exaprobe weisen darauf hin, dass viele Security-Scanner Sicherheitslücken nicht entdecken, wenn die getesteten Dienste in einer nicht-englischen Version laufen. Das Gefährliche daran: Während die Administratoren sich in Sicherheit wiegen, weil beim letzten Security-Scan alles im grünen Bereich war, funktionieren manche Exploits auch mit den sprachlich angepassten Versionen der Software. Die Autoren des Advisories zeigen dies anhand der Verwundbarkeit mancher SQL-Server-Installationen, die für den Administrator-Zugang "sa" ein leeres Passwort akzeptieren. Fünf der sechs getesteten Security-Scanner ließen sich von der fremden Sprache in die Irre führen und meldeten kein Sicherheitsproblem. Der Wurm SQLSpida (alias SQLSnake) hingegen konnte das Loch auch in diesen Versionen ausnutzen.

    Diese Sicherheitslücke im SQL-Server ist jedoch eher untypisch. Die meisten Sicherheitslöcher in Server-Diensten beruhen auf Buffer-Overflows. Da es bei deren Ausnutzung darauf ankommt, bestimmte Adressen im Speicher recht exakt zu treffen, sind angepasste Programmversionen gegen die Standard-Exploits häufig immun -- das heißt, der Server-Prozess stürzt zwar ab, aber der Exploit-Code kommt nicht zur Ausführung. Trotzdem weist Exaprobe natürlich zu Recht darauf hin, dass es notwendig sei, die Security-Scanner auf länderspezifische Eigenheiten anzupassen, damit sich auch Anwender nicht-englischsprachiger Software auf die Ergebnisse solcher Tests -- die häufig sogar für viel Geld gekauft werden -- verlassen können. (ju/c't)

    HeiseLink

    _______________



    IT-Bürgerrechtsgruppe zeichnet die "dümmsten Sicherheitsmaßnahmen" aus



    And the winners are...

    Washington (pte, 9. Apr 2003 14:25) - Die Aktivisten der Menschenrechtsgruppe Privacy International haben die Gewinner ihres "Most Stupid Security Measure"-Wettbewerbs vorgestellt. Der Wettbewerb wurde im vergangenen Februar gestartet und sollte die unnötigsten Sicherheitsmaßnahmen der Welt finden. Insgesamt wurden 5.000 "Teilnehmer" aus 35 Staaten genannt. Die Nennungen kamen aus allen Teilen der Wirtschaft wie dem Transportwesen oder der Telekomindustrie sowie den Behörden. Privacy International befasst sich vor allem mit den Sicherheitsaspekten und dem Schutz der Privatsphäre im IT-Bereich. Der Wettbewerb wurde als Reaktion auf die Überhandnahme von Sicherheitsmaßnahmen gestartet, die nach Meinung der Gruppe nutzlos, ärgerlich, illusorisch, zudringlich oder einfach nur dumm sind. http://www.privacyinternational.org/activities/stupidsecurity/ss-pr.html

    "Die außergewöhnlich hohe Anzahl von Nennungen zeigt, dass die Situation schon ans Lächerliche grenzt", erklärte Simon Davis, Direktor von Privacy International. "Sicherheit ist zum Rauchschleier geworden, hinter dem sich die Inkompetenz vieler Manager verbirgt." Vergeben wurden die "Preise" von einem "angesehenen internationalen Gremium von Sicherheitsexperten", heißt es auf der Homepage der Gruppe.

    Zum Gesamtsieger wurde die australische Regierung mit ihrer Sammlung an "nutzlosen, irritierenden und selbstgerechten Sicherheitsmaßnahmen" ernannt. Weitere "Preisträger" sind die Flughäfen Philadelphia und JFK, T-Mobile Großbritannien, das San Francisco General Hospital sowie die Universität von Texas. (Ende)


    PresseText Link


    _______________



    Kabinett beschließt Gesetzentwurf zum Schutz vor Dialern



    Verbraucher erhalten Auskunftsrecht zu 0190er-/0900er- Mehrwertdiensterufnummern


    Das Bundeskabinett hat in seiner heutigen Sitzung den Gesetzentwurf zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern beschlossen. Der Gesetzentwurf soll Transparenz bei Angeboten von 0190er- und 0900er-Mehrwertdiensterufnummern schaffen und dem Verbraucher eine bessere Handhabe geben, gegen den Missbrauch dieser Nummern vorzugehen.

    Gemäß dem Gesetzentwurf werden Preisobergrenzen eingeführt, die bei maximal 3,- Euro pro Minute respektive 30,- Euro pro Einwahl liegen. Zudem sieht der Gesetzestext vor, dass nach der Nutzung von einer Stunde die Verbindung beendet werden muss. Damit soll das Risiko verringert werden, durch ein missbräuchliches Angebot solcher Nummern einen übermäßig hohen Geldbetrag entrichten zu müssen.

    Künftig erhält der Verbraucher einen Auskunftsanspruch gegenüber der Regulierungsbehörde für Telekommunikation und Post, um Informationen zu erhalten, was für ein Anbieter sich hinter einer 0190er-Mehrwertdiensterufnummern verbirgt. Die seit dem 1.1.2003 eingeführten 0900er-Mehrwertdiensterufnummern werden in einer Datenbank im Internet veröffentlicht. Bei der Werbung für 0190er-/0900er-Mehrwertdiensterufnummern muss der Preis für die Nutzung deutlich genannt werden. Diese Pflicht zur Preisansage gilt nach Ablauf einer Übergangsfrist von einem Jahr auch für Anrufe aus Mobilfunknetzen.

    Bei gesicherter Kenntnis von einer rechtswidrigen Nutzung einer Nummer kann die Regulierungsbehörde diese entziehen. Dialer müssen künftig vor ihrer Inbetriebnahme bei der Regulierungsbehörde separat registriert werden. Zudem dürfen die 0190er-/0900er-Mehrwertdiensterufnummern ungekürzt gespeichert werden und entsprechend auf dem Einzelverbindungsnachweis erscheinen, was die Transparenz für den Verbraucher erhöhen soll. Das Gesetz bedarf noch der Zustimmung des Bundesrates.

    Wolfgang Clement (SPD), der Bundesminister für Wirtschaft und Arbeit, kommentierte das Gesetz folgendermaßen: "Mit dem neuen Gesetz haben wir ein schlagkräftiges Instrument geschaffen, mit dem seit einiger Zeit herrschenden Missbrauch von Mehrwertdiensterufnummern aufzuräumen. Das ist unsere Politik für den Verbraucher."

    GolemLink
     
  55. Schweres Sicherheitsleck in Microsofts Java Virtual Machine

    Patch behebt auch frühere Sicherheitslücken


    Auf Grund eines weiteren Sicherheitslochs in der Java Virtual Machine von Microsoft veröffentlichte der Hersteller nun einen Sammel-Patch, der auch alle kürzlich veröffentlichten Sicherheits-Updates umfasst. Die neue Sicherheitslücke erlaubt es einem Angreifer, Daten zu verändern, Programme auszuführen oder die Festplatte zu formatieren.

    Das Sicherheitsleck in Microsofts Java Virtual Machine tritt in der ByteCode-Verifier-Komponente auf, weil diese nicht korrekt die Präsenz von schädlichem Programmcode beim Laden eines Java-Applets überprüft. Über ein entsprechend formatiertes Java-Applet kann ein Angreifer dieses Sicherheitsleck ausnutzen, wozu das Applet von einer Webseite geladen werden muss. Dann erhält der Angreifer die Möglichkeit, seine Webseite auf einer anderen Website abzulegen oder diese per E-Mail zu versenden. Auf dem betreffenden System lassen sich dann über das Sicherheitsloch Daten verändern, Programme ausführen oder sogar Festplattenlaufwerke formatieren.

    Der Patch für die Java Virtual Machine steht ab sofort für Windows 2000 per Download bereit. Alle übrigen Systeme müssen über das Windows-Update aktualisiert werden. Die Virtual Machine ist Bestandteil von Windows ab der Version 95 sowie dem Internet Explorer.

    Alternativ zur Virtual Machine von Microsoft kann auch die Java Virtual Machine von Sun verwendet werden, die dieses Sicherheitsleck nicht aufweist.

    GolemLink

    ______________________


    WLAN wird zum Sicherheitsrisiko für deutsche Unternehmen


    WLAN hebelt in vielen Unternehmen etablierte Sicherheitsniveaus aus


    Eine Mehrzahl der größeren deutschen Unternehmen nutzt bereits die WLAN-Technologie oder plant deren Einsatz. Aber nur eine Minderheit ist sich über die Sicherheitsrisiken im Klaren. Nicht einmal die Hälfte der Unternehmen, die WLAN einsetzen, sorgt für einen ausreichenden Schutz des Funknetzes. Das sind Ergebnisse der Studie "WLAN - ein Paradies für Hacker?" der Ernst & Young IT-Security GmbH. Basis der Studie ist eine repräsentative Umfrage unter deutschen Unternehmen. Zusätzlich wurden Unternehmens-Funknetze in sieben deutschen Großstädten untersucht.

    Während die Mehrzahl der deutschen Unternehmen inzwischen für einen grundsätzlichen Schutz ihrer kabelgebundenen Netzwerke sorgt, ist das Sicherheitsbewusstsein beim Thema WLAN nach Angaben der Studienautoren vielfach mangelhaft: Die Vertraulichkeit von Informationen sei bei der Mehrheit der Unternehmen nicht gewährleistet. 52 Prozent der befragten Unternehmen nutzen entweder gar keine Verschlüsselung oder verlassen sich auf die unzureichende WEP-Verschlüsselung. Nur 48 Prozent der WLAN wenden weitergehende Verschlüsselungsmechanismen an.

    "Der Vorteil eines WLAN ist zugleich auch sein größter Nachteil: Funkwellen können sich offen ausbreiten und lassen sich nur schwer auf einen bestimmten Bereich begrenzen", bemerkte Hans-Georg Büttner, Autor des Reports und zuständig für den Bereich IT-Netzwerksicherheit bei der Ernst & Young IT-Security GmbH. "Für WLAN-Hacking muss man kein Spezialist sein. Die notwendige Software ist frei im Internet verfügbar, die Hardware für wenige Euro erhältlich."

    Neben der zumeist mangelhaften Verschlüsselung gebe es weitere Probleme: WLAN geben Auskunft über Hersteller von Hardware-Komponenten, verraten den Netzwerknamen oder sogar den Namen des Unternehmens. Grundsätzlich sollten WLAN möglichst keine Informationen über die Hersteller preisgeben, weil dies geübten Hackern einen ersten Ansatzpunkt für eine Attacke bietet. Zudem lasse ein hoher Prozentsatz der Anwender die Kennwörter aus der Grundeinstellung unverändert - eine Eintrittskarte für ungebetene Gäste, so die Studie.

    Die Leichtigkeit des systematischen Angriffs auf WLAN (beispielsweise "WarDriving" und weitergehende Hackermethoden) müsste eigentlich besondere Sicherheitsmaßnahmen erzwingen: "Wer sein WLAN nicht ausreichend schützt, sollte sich im Klaren darüber sein, dass dies vergleichbar ist mit dem öffentlichen Auslegen einer beliebigen Anzahl von Hausschlüsseln für die Eingangstür zum Unternehmen", betonte Marcus Rubenschuh, Bereichsleiter Information Security bei der Ernst & Young IT-Security GmbH. Das mangelnde Sicherheitsbewusstsein bei vielen Unternehmen sei umso erstaunlicher, als mindestens die Hälfte der befragten Unternehmen bereits Opfer von Hackern wurde - und die Dunkelziffer groß sei.

    Etwa zwei Drittel der befragten Unternehmen haben bereits ein WLAN im Einsatz oder planen seine Einrichtung. Doch die Mehrzahl der Unternehmen, die diese Technik nutzen, vergessen dabei, ihre Sicherheitsstandards der neuen Technik anzupassen. Zahlreiche Unternehmen ergreifen zwar einzelne Maßnahmen zur Sicherung ihrer Netzwerke, vergessen oder übersehen aber Teilaspekte und erzeugen so unwissentlich massive Sicherheitsprobleme.

    Insgesamt behandeln viele IT-Verantwortliche das Thema WLAN innerhalb ihrer generellen Sicherheitsstrategie eher stiefmütterlich. Bei der Mehrzahl der befragten Unternehmen enthalten die Regelungen zur Netzwerksicherheit keine speziellen Regelungen zum WLAN. Darüber hinaus verzichten die meisten Unternehmen darauf, eine Firewall zwischen WLAN und LAN zu schalten. Und bei der regelmäßigen Überprüfung der Netzwerksicherheit wird bei immerhin einem Fünftel der Befragten das WLAN nicht berücksichtigt.

    GolemLink

    _______________________


    Bundesregierung pocht auf Kontrolle neuer IT-Sicherheitsschnittstellen


    Die Bundesregierung hat erste Bedingungen für den Einsatz der geplanten Palladium-Software Microsofts in den eigenen Reihen aufgestellt. "Unverzichtbare Voraussetzung" für den Einsatz der 'Next Generation Secure Computing Base' (NGSCB) in der Bundesverwaltung "ist die vollständige Kontrolle über alle vorgesehenen Sicherheitsmechanismen und Schnittstellen", heißt es in der Antwort auf die Kleine Anfrage der CDU/CSU-Bundestagsfraktion zu der TCPA (Trusted Computing Platform Alliance) beziehungsweise der neu gegründeten Trusted Computing Group (TCG). Dies bedeute insbesondere, dass Software mit Palladium-Funktionen von der Bundesverwaltung verifiziert werden müsse. Spezielle Vorteile für E-Government-Anwendungen sieht man in Berlin jedoch bislang nicht aus den Bemühungen der Hard- und Softwarehersteller um mehr Sicherheit erwachsen.

    Noch liegen der Bundesregierung so gut wie keine handfesten Erkenntnisse über die Auswirkungen von TCPA und Palladium auf künftige IT-Welten vor. Die 26 Fragen der Union werden in dem sechsseitigen Antwortschreiben, das heise online vorliegt, daher eher knapp und mit vielen Verweisen auf eine bereits erfolgte Stellungnahme des Wirtschaftsministeriums abgehandelt.

    So heißt es etwa schwammig, dass eine Zertifizierung von potenziell auf den beiden Sicherheitsplattformen beruhenden und bei der ISO registrierten Standards durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder jede anerkannte Prüfstelle erfolgen könne. Noch unklar sei allerdings das spätere Verhältnis zwischen der entsprechenden TCPA-Zulassung und der Microsoft-Lizenzierungspolitik für Soft- und Hardwareanbieter. "Probleme können sich ergeben, wenn hierdurch Marktzutrittsschranken errichtet werden", warnt die Regierung. Hierzu gebe es derzeit aber "noch keine gesicherten Aussagen der Beteiligten."

    Man sei sich bewusst, heißt es in der Bundestagsdrucksache (Nr. 15/660), "dass die Anbieter urheberrechtlich geschützter digitaler Inhalte eine deutliche Verbesserung der Durchsetzbarkeit ihrer Nutzungs- und Verwertungsrechte von der neuen Technologie erwarten." Die Entwicklung müsse aber erst zeigen, "ob diese Technologie vom Markt angenommen wird und sich damit die Hoffnungen der Anbieter erfüllen."

    Insgesamt durchziehen die Antwort der Bundesregierung zahlreiche Bedenken gegenüber TCPA und Palladium. Von einer wahrscheinlichen Verteuerung der IT-Technologie ist nach wie vor die Rede. Die Kompatibilität mit Open-Source-Software, die auch von der Bundesverwaltung verstärkt eingesetzt wird, stehe in Frage. "Nicht unproblematisch" erscheine die neue Technik zudem, wenn technische Schutzmechanismen zum Ausspionieren der Anwender missbraucht würden. Die Regierung will daher "eingehend prüfen, ob hier über die bestehenden Regelungen insbesondere des Teledienstedatenschutzgesetzes hinaus zusätzliche gesetzgeberische Maßnahmen erforderlich sind." Ferner sehen die Experten aus den Ministerien die Gefahr, dass der Umgang mit Dokumenten auf einem Rechner künftig "ausschließlich gemäß den Vorgaben der externen Kontrollinstanz zulässig sein könnte und somit eine sehr weitgehende Zensur ermöglicht werden könnte"- Bewusst sind sie sich auch, "dass bislang nur wenige deutsche Unternehmen Mitglied in der TCPA sind und dass dieser Zusammenschluss von US-Unternehmen dominiert wird." Dies sei "industrie- und sicherheitspolitisch" bedeutsam.

    Das Bundeswirtschaftsministerium plant nun, noch im Frühsommer ein Symposium zu veranstalten, auf dem unter anderem die Auswirkungen von TCPA/Palladium auf die deutsche Wirtschaft umfassend behandelt werden. Der Internet-Beauftragten der CDU, Martina Krogmann, gehen die Erkenntnisbemühungen der Bundesregierung jedoch nicht weit genug: "Die Antworten sind wirklich sehr dürftig dafür, dass eine Projektgruppe der Regierung mit 17 Mitarbeitern seit über neun Monaten an der Thematik arbeitet", merkte die Mitinitiatorin der Anfrage gegenüber heise online an. Sie will TCPA und Palladium im Unterausschuss Neue Medien auf die Tagesordnung bringen, um "negative Folgewirkungen rechtlicher, datenschutzrelevanter und wirtschaftlicher Art so gering wie möglich zu halten." (Stefan Krempl) / (jk/c't)


    HeiseLink
     
  56. Kein einstweiliger Rechtsschutz gegen Spam


    Für große Überraschung und Verärgerung hatte im März ein Beschluss des Landgerichts Düsseldorf gesorgt. Dieses hatte einen Antrag auf Erlass einer einstweiligen Verfügung gegen den Versender von unerwünschten Werbe-E-Mails abgewiesen. Begründet hatte das Gericht seine Entscheidung damit, dass nicht jede Spam-Mail automatisch rechtswidrig sei, wenn diese "nach ihrem Inhalt lediglich einen vorstellenden Charakter des Leistungsangebots" habe. Diese Entscheidung stand im Widerspruch zu dem überwiegenden Teil der bisherigen Rechtsprechung.

    In dieser Angelegenheit hat nunmehr auch das Oberlandesgericht Düsseldorf per Beschluss (Aktenzeichen: I-15 W 25/03) entschieden. Der Einschätzung der Vorinstanz hinsichtlich der Rechtswidrigkeit von unerwünschten Werbe-Mails mochten sich die Düsseldorfer Richter nicht anschließen und ließen diese Frage in dem Beschluss ausdrücklich offen.

    Im Ergebnis bestätigte das OLG jedoch die Ablehnung der Verfügung. Dies begründet die Kammer damit, dass unerbetene Werbe-E-Mails "mit einem einzigen Klick" entfernt werden können, sodass die Beeinträchtigung für den Empfänger nicht gravierend sei. Der Rechtsschutz im Eilverfahren setze jedoch voraus, dass für den Antragsteller schwerwiegende Nachteile drohen, die das Gericht in diesem Fall nicht annehmen wollte.

    Ob sich andere Gerichte dieser Rechtsprechung anschließen, bleibt abzuwarten. Die bisher ganz überwiegende Zahl der Urteile im Bereich der E-Mail-Werbung ergingen im Verfügungsverfahren. Für die Empfänger von Spam bleibt allerdings nach wie vor die Möglichkeit, ihre Ansprüche auf Unterlassung auf dem normalen Gerichtsweg geltend zu machen. Dies hat jedoch den Nachteil, dass bis zu einem Urteil oftmals viele Monate vergehen, während in den Eilrechtsschutzverfahren in aller Regel eine Entscheidung innerhalb weniger Wochen zu erreichen ist.

    Auch der Heise Zeitschriften Verlag, der c't, iX und Telepolis herausgibt sowie heise online betreibt, führt derzeit ein Musterverfahren gegen einen Spammer vor dem Amtsgericht Hannover. Eine Entscheidung in dieser Sache ist für den kommenden Montag, den 14. April 2003, angekündigt. (Joerg Heidrich) (jk/c't)


    HeiseLink
     
  57. Sicherheitslücke im PDF/PS-Handling von KDE

    Die KDE-Entwickler haben ein Advisory veröffentlicht, das eine Sicherheitslücke im PDF- und Postscript-Handling des Unix/Linux-Desktops beschreibt. Für den Umgang mit PDF- beziehungsweise Postscript-Dateien setzt KDE auf Ghostscript-Software. Durch Ausnutzen eines Lecks können Angreifer Befehle, die in den PDF-Dateien enthalten sein können, mit den Rechten und unter dem Account des lokalen Anwenders ausführen lassen. Dazu muss ein Angreifer dem Nutzer ein PDF- oder Postscript-File unterschieben, das die entsprechenden Befehle enthält. Öffnet der Anwender diese Datei (auch in der automatischen Datei-Vorschau), ist es nach Angaben der KDE-Entwickler für den Angreifer möglich, zum einen private Daten des Nutzers auszulesen und Shell-Kommandos mit den Rechten des lokalen Anwenders auszuführen.

    Das KDE-Team hat Updates für die Desktop-Software herausgegeben, die das Problem korrigieren. Die Entwickler empfehlen dringend, auf die Versionen 3.1.1a beziehungsweise 3.0.5b zu aktualisieren. Für die Version 2.2.2 hat das KDE-Team Patches herausgegeben; auf dem ftp-Server finden sich auch Patch-Files für Version 3.05 und 3.1.1. Für Binär-Dateien der neuen KDE-Versionen verweisen die Entwickler auf die einzelnen Linux-Distributoren; für Debian, SuSE und TurboLinux liegen entsprechende Pakete bereits auf den Mirror-Servern des KDE-Projekts bereit. (jk/c't)


    HeiseLink



    ______________



    Security-Appliance-Markt im Vormarsch



    IDC: Wachstum von 15 Prozent im vierten Quartal

    Framingham (pte, 10. Apr 2003 17:25) - Der Markt für IT-Sicherheits-Anwendungen befindet sich auf Wachstumskurs. Laut einer heute, Donnerstag, von IDC http://www.idc.com veröffentlichten Studie sind die Umsätze dieses Geschäftsbereiches im vierten Quartal 2002 im Vergleich zum Vorquartal um 15 Prozent oder 46 Mio. Dollar auf 355 Mio. Dollar angewachsen. Dominiert wird das Geschäft nach wie vor von Firewalls bzw. VPNs (Virtual Private Networks), die rund 90 Prozent des Umsatzes ausmachen.

    Der Teilbereich "Network Intrusion Detection" (Aufspüren von Hackerangriffen) wuchs in Q4 gar um 19 Prozent. "Unternehmen sehen in Sachen Sicherheit ihren Grundstein noch immer bei Sicherheitsanwendungen wie Firewalls oder VPNs", so IDC-Sicherheits-Analyst Charles Kolodgy. Im vierten Quartal konnte Cisco seine Position als Nummer eins weiterhin behaupten. Der Marktanteil lag bei 37,4 Prozent. Dahinter folgen Nokia (15,9 Prozent) und Netscreen (zwölf Prozent), dessen Umsätze im Vergleich zu Q3 mit 31,7 Prozent am stärksten wuchsen. (Ende)


    PresseText Link
     
  58. OpenBSD mit neuem Sicherheitskonzept

    Die für den 1. Mai angekündigte neue Version 3.3 des freien Unix-Derivats OpenBSD will den Buffer Overflows, einer wichtigen Ursache für Software-Sicherheitsprobleme, den Garaus machen. Eine Kombination von Maßnahmen soll es praktisch unmöglich machen, Programmschwächen bei der Prüfung von Eingabedaten dazu auszunutzen, um fremden Code in den Speicher des Programms zu schmuggeln und durch Überschreiben der Rücksprungadresse einer Funktion auszuführen. Details dazu finden sich in dem c't-Artikel Das Sicherheitsloch -- Buffer-Overflows und wie man sich davor schützt.

    Der so genannte ProPolice-Stackschutz implementiert die StackGuard-Methode. Dabei handelt es sich um einen gcc-Patch, der dafür sorgt, dass ein Überschreiben der Rücksprungadresse auf dem Stack bemerkt wird. Eingeschmuggelter Fremdcode lässt sich so nicht mehr anspringen. Zudem kommt "W^X" (Writeable xor eXecutable) in der Version 3.3 von OpenBSD auf einigen Prozessorarchitekturen zum Einsatz (Sparc, Sparc64, Alpha und HP-PA; i386 soll mit der Version 3.4 folgen): Das Beschreiben von Speicherseiten und das Auführen von Code in diesen Speicherseiten schließen sich gegenseitig aus. So soll es Angreifern unmöglich gemacht werden, eigenen Code in den Speicher zu bringen und auszuführen.

    Die Arbeit an den neuen Schutzkonzepten wird unter anderem mit Geldern des US-Verteidigungsministeriums finanziert. Die OpenBSD-Entwickler rühmen sich der hohen Sicherheit ihres Betriebssystems: Bislang will ihnen in der Default-Installation nur eine einzige von außen angreifbare Sicherheitslücke durchgerutscht sein; zur Geschichte von OpenBSD und der anderen Unix-Derivate auf Basis der 4.4BSDLite-Linie siehe auch den Artikel Das Allerwelts-Unix: 10 Jahre NetBSD. (odi/c't)


    HeiseLInk


    ______________



    Honeynet: Know Your Enemy, Generation II




    Lance Spitzner, Gründer des Honeynet-Projekts hat die neue Generation der Honeynet-Software veröffentlicht. Honeynet stellt die klassische "Honig"-Falle dar: Im Rahmen des Projekts stellen die Beteiligten bewußt Server ins Netz, die markante Sicherheitslücken aufweisen, und behalten diese genau im Auge. Über die Art der Angriffe, mit denen Hacker in diese Rechner eindringen, lernen die Sicherheitsexperten die neuen Angriffstechniken und können so bessere Abwehrmaßnahmen ergreifen.

    Die neue Generation der Software führt ein paar Verbesserungen ein, die es Angreifern noch schwieriger machen soll, die Falle zu erkennen oder gar zu umgehen. Unter anderem wurde das darunterliegende Linux so modifiziert, dass von Angreifern nachträglich eingebaute Verschlüsselung nicht mehr greift. Außerdem wurden Routinen implementiert, die verhindern sollen, dass ein Rechner im Honeynet für einen Angriff auf andere Rechner missbraucht wird, beispielsweise als so genannter Slave für einen Distributed-Denial-of-Service-Angriff. Alle Pakete, die ein Angreifer an andere Rechner schickt, werden um ein Byte modifiziert, sodass der Angriff fehlschlagen muss.

    Enthalten ist nun auch eine Spoofing-Funktion; ein Rechner im Honeynet kann so ein ganzes Netzwerk simulieren. In einem Dokument beschreiben die Honeynet-Entwickler im Detail die Funktionsweise der neuen Version. Für die Zukunft plane man, eine CD-ROM herauszubringen, die die einfache Installation eines Honeynet ermöglicht. (pab/c't)


    HeiseLink


    ___________



    US-Senatoren wollen Anti-Spam-Gesetz




    Erfolg der Maßnahme wird bezweifelt - Keine Klagebefugnis für Betroffene

    Washington D.C. (pte, 14. Apr 2003 09:05) - Zwei US-Senatoren haben neuerlich ein Anti-Spam-Gesetz beantragt. Gegenwärtig gibt es Gesetze mit dem Ziel der Einschränkung unverlangter Werbemails in 27 US-Bundesstaaten. Der Republikaner Conrad Burns http://burns.senate.gov aus Montana und sein Demokratischer Kollege Ron Wyden aus Oregon wünschen sich ein Bundesgesetz, das Spam-Versender verpflichtet, eine gültige Absenderadresse anzugeben. Außerdem sollen die Absender Bitten um Streichung einzelner Adressen aus den Datenbanken nachkommen müssen.

    In diversen Online-Foren wird der Entwurf der beiden Abgeordneten für ein Anti-Spam-Bundesgesetz als wenig effektiv kritisiert. Die vorgeschlagenen Bestimmungen wären etwa mit einem Gesetz vergleichbar, dass Einbrecher verpflichtete, Visitkarten zu hinterlassen und auf Aufforderung nicht erneut im gleichen Haus zuzuschlagen, meinte etwa ein User. Außerdem bemängeln manche eher wehrhafte Spam-Empfänger, dass nach dem neuen "CAN-SPAM" genannten Gesetzesentwurf nur Generalstaatsanwälte der Bundesstaaten zur Verfolgung der Gesetzbrecher berechtigt sind. Daneben kann auch die Federal Trade Commission Strafen verhängen, die Belästigten können jedoch selbst keine Klagen führen.

    Die neuen Regelungen würden es Internet Service Providern gestatten, Spam-Filter einzusetzen. Wyden und Burns haben bereits in der vorangegangenen Senats-Periode ein Anti-Spam-Gesetz entworfen und auch in dieser Gesetzgebungsperiode schon einen Anlauf gestartet. Ihr Vorschlag hatte zwar zu einem einstimmigen Beschluss im Wirtschaftsausschuss, nicht aber zu einem Gesetz geführt. "Es ist an der Zeit, etwas zu unternehmen. Das Gesetz ist zu lange aufgehalten worden", so Burns.



    PresseTextLink
     
  59. RSA: Microsoft integriert Viren- und Spam-Filter in Windows, Office und Exchange

    MÜNCHEN (COMPUTERWOCHE) - Microsoft hat auf der Fachmesse RSA Conference 2003, die diese Woche in San Francisco stattfindet, Funktionen vorgestellt, mit denen sich Anwender der Versionen 2003 von Windows, Office und Exchange Server gegen Viren und Spam schützen können.

    Bei der "Windows Filter Manager Architecture" handelt es sich um ein Set von APIs (Application Programming Interfaces), über die sich Basisfunktionen von Antivirensoftware ansteuern lassen. Dadurch lässt sich definieren, auf welche Weise die Anwendungen zum Beispiel Festplatten prüfen sollen, sagte Jonathan Perera, Chef der Security Business Unit bei Microsoft. das Konzept sei ähnlich dem von Druckertreibern. Während diese früher von den Herstellern mitgeliefert wurden, sind sie nun standardmäßig in Windows integriert, so Perera. Dadurch sollen Antivirenanbieter die Möglichkeit haben, neue Produkte schneller auf den Markt zu bringen. Ein weiterer Vorteil sei, dass sich mehrere Virenscanner parallel betreiben lassen. Dies verursache Probleme, wenn Software mit herstellerspezifischen Schnittstellen eingesetzt wird.

    Exchange Server 2003 soll um Funktionen erweitert werden, die unerwünschte Mails filtern. Laut Produkt-Manager Edward Wu können Administratoren Regeln definieren, über die sich Mails in das Postfach des ursprünglichen Adressaten oder in einen speziellen Ordner leiten lassen. Auch Anwender haben laut Wu die Möglichkeit, Spam zu blocken. So können sie selbst Filter definieren und zum Beispiel den Empfang von Nachrichten bestimmter Absender blocken oder Mails direkt in den Papierkorb leiten, die festgelegte Schlüsselwörter enthalten.

    Zur Einbindung von Antivirensoftware dient das auf den Versionsstand 2.5 gebrachte VSAPI (Antivirus Application Programming Interface). Dabei handelt es sich um das erste Update der Schnittstelle seit der mit Exchange Server 2000 ausgelieferten Version 2.0. Über sie lassen sich eingehende und ausgehende Nachrichten prüfen. Mit der Integration der neuen Funktionen reagiere man auf Anregungen von Entwicklungspartnern, sagte Wu.

    Auch für Office 2003 sind erweiterte Sicherheitsfunktionen geplant. So will Microsoft Mitte des Jahres Anpassungen für Word nachliefern, die die Suche nach Makroviren erleichtern sollen. Damit reagiert der Hersteller auf Kritik von Sicherheitsexperten, das XML-basierende Dateiformat der Textverarbeitung ziehe ernste Sicherheitsprobleme nach sich (Computerwoche online berichtete).

    Die in den bisher veröffentlichten Microsoft-Office-Paketen verwendeten Dokumentenformate sehen fest definierte Stellen für die Einbettung der Mini-Anwendungen vor, wodurch sie gut von Virenscannern geprüft werden können. XML kennt solche Fixpunkte nicht. Dadurch lassen sich Makros - und auch Makroviren - an beliebigen Stellen im Dokument verstecken. Das angekündigte Sicherheitsupdate für Word 2003 ergänzt die Kopfdaten von Dokumenten um Verweise auf die Makros. Dadurch sind sie von Antivirenprogrammen besser aufzufinden, so Microsoft. (lex)


    ComputerWocheLink

    ________


    AOL verschärft Vorgehen gegen Spammer


    America Online hat offenbar rechtliche Schritte gegen fünf Spammer eingeleitet. Wie US-Medien berichten, sollen die mutmaßlichen Versender von unerwünschten Reklame-Mails mehr als eine Milliarde Nachrichten, in denen sie Kredite und pornografische Inhalte bewarben, versendet haben. Mehr als acht Millionen AOL-Nutzer hätten sich darüber beschwert -- die meisten hätten dafür die "Report Spam"-Funktion genutzt, heißt es weiter.

    Nur von zwei Beklagten seien die Namen bekannt, in den anderen Fällen habe AOL Anzeige gegen Unbekannt gestellt, da sie ihre Domains unter falschen Namen mit ungültigen Telefonnummern angemeldet hätten. Bereits vor zwei Wochen war bekannt geworden, dass AOL mutmaßlichen Spammern den DSL-Anschluss lahm gelegt hat. Die Betroffenen sollen Kunden von Comcast gewesen sein, einer Tochterfirma von AOL Time Warner. (tol/c't)

    Heise Link

    __________


    US-Urheberrecht stoppt Vortrag über Sicherheitslücken


    US-Urheberrecht stoppt Vortrag über Sicherheitslücken

    Zwei US-amerikanische Studenten wurden von einem US-amerikanischen Unternehmen daran gehindert, auf der Konferenz Interz0ne einen Vortrag zu halten. Der Spezialist für Bildungs-Software Blackboard hatte ein Gericht in Georgia davon überzeugen können, dass das Unternehmen geschädigt werden könnte, wenn Billy Hoffman und Virgil Griffith über potenzielle Sicherheitslücken im Blackboard Transaction System dozieren. Dieses dient laut Hersteller zur "Bearbeitung von Matrikelnummern, Speiseplänen von Kantinen und Mensen, Transaktionen mit gewerblichen Einrichtungen sowohl innerhalb als auch außerhalb des Campus und die Regelung des Zugangs zu den Gebäuden".

    Hoffman wurde auch angemahnt, weil er auf seiner Website Namen und Logo von Blackboard verwendet habe. Auch wurde ihm untersagt, Software und Hardware weiterzugeben, die die Blackboard-Produkte emulieren. Die beiden Studenten seien zudem illegal in das Blackboard-System eingedrungen und hätten gegen eine Reihe von US-amerikanischen Gesetzen verstoßen, darunter auch der Digital Millennium Copyright Act. Die Blackboard-Anwälte erwägen weitere rechtliche Schritte.

    Die Veranstalter der Interz0ne sind hingegen der Meinung, den beiden Studenten sei das Recht auf freie Meinungsäußerung entzogen worden. Anstelle des Vortrags haben sich die Konferenzteilnehmer mit der gerichtlichen Unterlassungsverfügung beschäftigt und die Bürgerrechtler der Electronic Frontier Foundation sowie den Rechtsprofessor Lawrence Lessig um Rat gefragt.

    Lessig ist ein ausgewiesener Gegner des DMCA und fordert eine Änderung des Gesetzes. Er hatte sich unter anderem dafür eingesetzt, dass die Copyright-Fristen in den USA nicht verlängert werden. Für Kritiker ist das Vorgehen von Blackboard nur ein weiterer Fall in einer Kette, in der Unternehmen das Urheberrecht zu Hilfe nehmen, um unliebsame Äußerungen zu unterbinden oder Informationen zurückzuhalten.

    HeiseLink mit noch mehr InfoLinks


    ___________


    Open Security Exchange will für mehr Sicherheit sorgen


    Der Hersteller von Netzwerk- und Sicherheitsmanagementsoftware Computer Associates (CA) will gemeinsam mit anderen Herstellern aus der Sicherheitsbranche empfohlene Vorgehensweisen und umfassende Sicherheitslösungen entwickeln. Der Zusammenschluss aus CA, dem französischen Chipkartenhersteller Gemplus, dem ID-Card-Hersteller HID, der Sicherheitsfirma Pinkerton und dem Sicherheitsoftwareentwickler Software House nennt sich Open Security Exchange; die Vereinigung startete während der RSA Data Security Conference in San Francisco.

    Zunächst will man sich bei der Open Security Exchange auf die Integration von physischer Sicherheit und Cyber Security konzentrieren. Diese Disziplinen seien bislang nur getrennt betrachtet worden. Einem Bericht von Pinkerton Consulting and Investigation zufolge verfügen nur 36 Prozent der befragten Unternehmen über formale Prozeduren, die die Zusammenarbeit der Abteilungen für Gebäudesicherheit und IT-Sicherheit gewährleisten. Dies führe dazu, dass die Unternehmen großen Gefahren ausgesetzt sind -- von innen wie von außen. Der Umstand begrenze außerdem das Bewusstsein für die möglichen Bedrohungen und ziehe unklare Verantwortlichkeiten und unnötig hohe Betriebskosten nach sich.

    "Security Manager wollen weder getrennte Sicherheitssysteme für ihre Windows- und UNIX-Server, noch möchten sie auf die Kopplung der Einrichtungen für Gebäudesicherheit mit denen der IT-Sicherheit (cyber security systems) verzichten", meint Russel M. Artzt, Executive Vice President von CA eTrust. Open Security Exchange habe es sich zum Ziel gesetzt, diesem Missstand abzuhelfen, und zwar auf drei Ebenen: Benutzer und deren Rechte sollen systemübergreifend administriert werden können, der Zutritt zu Gebäuden und deren Einrichtungen sowie der Zugriff auf Computersysteme soll per einheitlicher, starker Authentifizierung kontrolliert werden, alle Systeme sollen von einer zentralen Stelle aus verwaltet und geprüft werden können. (ola/c't)


    HeiseLink
     
  60. Kritisches Sicherheitsleck im NT-Kernel von Windows NT 4.0, 2000 und XP

    Angreifer mit lokalem Zugang zur Maschine können beliebigen Code ausführen und/oder Administratorrechte erlangen. Auch Angriff über eine Terminal-Session ist möglich.

    Nähere Informationen und den Link zum Patch gibt es hier:
    http://dyn1.golem.de/cgi-bin/usisapi.dll/forprint?id=25089

    Microsoft empfiehlt Einspielung des Patches "at the earliest opportunity":
    http://www.microsoft.com/technet/security/bulletin/MS03-013.asp
     
  61. Meldungen vom 16.04.2003

    Anzeige wegen IP-Adressspeicherung gegen T-Online

    Der Prozess um eine Äußerung im Forum des Online-Magazins-Telepolis hat ein juristisches Nachspiel: Nach seinem Freispruch im Januar erstattet der Münsteraner Holger Voss Anzeige gegen T-Online. Der Provider hatte die personenbezogenen Daten gespeichert und weitergegeben.

    Nach dem Teledienste-Datenschutzgesetz ist die Speicherung von IP-Nummern nur zu Abrechnungszwecken erlaubt. Da Voss jedoch einen Flatrate-Tarif nutzte, waren konkrete Einwahlprotokolle zur Rechnungsstellung eigentlich nicht nötig.

    Die Aussichten für die Anzeige dürften in der ersten Instanz nicht besonders gut stehen. Gemäß dem Rechtsweg landet die Anzeige zuerst auf den Tischen des Regierungspräsidiums Darmstadt. Die hatte als zuständige Aufsichtsbehörde die Praxis von T-Online in anderem Zusammenhang bereits gebilligt. Demnach darf T-Online auch die Daten von Flatrate-Kunden abspeichern, da T-DSL-Kunden sich mit den gleichen Zugangsdaten auch über Modem, ISDN oder GSM einwählen können, was einzeln abgerechnet werden muss.

    Rechtsanwalt Stefan Jaeger widerspricht in der Anzeige allerdings dieser Haltung der Aufsichtsbehörde von T-Online: Seiner Ansicht nach müssten die Provider die personenbezogene Zuordnung von IP-Nummern anonymisieren, um nicht gegen geltende Gesetze zu verstoßen. Sollte das Regierungspräsidium seine Entscheidung vom Januar bekräftigen, plant Holger Voss, vor das Verwaltungsgericht zu ziehen. (Torsten Kleinz) / (jk/c't)



    HeiseLink


    ______


    Sicherheitslücke in Intrusion-Detection-Software Snort


    Angreifer kann beliebigen Code ausführen


    Die freie Intrusion-Detection-Software Snort enthält eine Sicherheitslücke, die es Angreifern erlaubt, beliebigen Programmcode mit den Rechte des Users auszuführen, unter dem Snort läuft (gewöhnlich Root). Das meldet das IT-Sicherheitsunternehmen CoreLabs.

    Möglich wird dies durch einen Fehler im Stream4-Präprozessor-Modul, das als Add-On TCP-Pakete zusammen setzt, bevor diese zur Analyse weitergereicht werden. CoreLabs hat nach eigener Aussage nun eine Möglichkeit gefunden, einen Heap Overflow in diesem Modul hervorzurufen.

    Um diese Sicherheitslücke auszunutzen, ist ausreichend entsprechend aufbereiteter Internetverkehr in die "Nähe" eines Snort-Systems zu bringen, so das dieses den Traffic analysiert. Es ist also nicht notwendig, den Host direkt zu attackieren, auf dem der Snort-Sensor läuft.

    Laut CoreLabs sind Versionen bis Snort 2.0 bis zum Release Candidate 1 sowie Snort 1.9.x und Snort 1.8.x verwundbar.

    Das am 14. April 2003 veröffentlichte Snort 2.0 soll das Problem beheben.

    GolemLink


    _________



    Sie wollen Ihr Postamt lahmlegen? Sie können Ihr Postamt lahmlegen!




    MÜNCHEN (COMPUTERWOCHE) - Spam-Attacken oder Angriffe auf Server-Systeme, die durch massenhafte Anfragen in die Knie gezwungen werden (Denial of Service = DoS), kennt mittlerweile jeder. Mit perfiden Software-Hacks Computersysteme lahmzulegen, gehört zum Internet-Alltag. Nicht so bekannt, aber mindestens genauso fatal sind "Anschläge", bei denen Übelmeinende das Web nutzen, um außerhalb des weltweiten Netzes immensen Schaden anzurichten.

    Wie das geht, hat der Wissenschaftler Avriel Rubin jüngst mit zwei Co-Autoren beschrieben. Rubin ist in seiner Funktion als technischer Direktor des Information Security Institute der angesehenen John Hopkins University in den USA ausgewiesener Sicherheitsexperte. Er hat einen Bericht verfasst, in dem er die Gefahr eines Werbeanschlags unter anderem auf Privatpersonen beschreibt. Rubin stellt in seinem Bericht fest, dass jeder halbwegs Kundige sich im Internet über die üblichen Suchmaschinen Software-Werkzeuge besorgen kann. Mit diesen lassen sich im Web solche Seite finden, auf denen Anbieter ihre Kataloge auf Anfrage zum Versand anbieten. Die Tools sind so gehalten, dass die Suche nach Katalogen oder anderen Werbeunterlagen ebenso automatisch erfolgt wie die Eingabe einer Postadresse.

    Der Rest ist Chaos: Ähnlich dem üblen Schülerstreich, wonach man einem Mitmenschen 50 Pizzas bei einem Bestellservice ordert und an dessen Adresse liefern lässt, kann man ohne großen Aufwand an eine bestimmte Person beispielsweise tonnenweise Kataloge schicken lassen. Versender solcher Kataloge hat das Software-Tool vorher im Internet aufgespürt und diesen Unternehmen automatisch die Anweisung gegeben, an eine bestimmte Adresse zu liefern. Im schlimmsten Fall sammeln sich auf einem Postamt Hunderte von Katalogen von Versandhäusern aller Art, die an eine einzige Person ausgeliefert werden sollen.

    Rubins Schlußfolgerung ist da leicht nachvollziehbar: Würde jemand solch eine Attacke durchführen, wäre nicht nur der Adressat in keiner beneidenswerte Lage. Auch das lokale Postamt würde auf diese Weise an den Rand des Chaos gerückt.

    Die Gefahr solch einer Attacke mit Wirkung in das "reale" Leben ist übrigens nicht nur theoretischer Natur. In den USA, zitiert Rubin einen bekannt gewordenen Fall, hatte sich ein Alan Ralsky in der Detroit Free Press ausgesprochen selbstbewusst in die Brust geworfen, er habe mit Spam-Mails an Millionen von Leuten ein Vermögen gemacht. Der Artikel mit dem Interview erschien auf Slashdot.org, einem Online-Nachrichtendienst für technophile Internet-Surfer.

    Die Internet-Gemeinde reagierte auf ihre Art: Innerhalb weniger Tage hatten die Leser des Artikels Ralsky bei Tausenden von Katalogversendern als Interessenten gezeichnet. Ab da bekam der etwas zu Forsche täglich tonnenweise Post. Sicherheitsexperte Rubin sagt, etwa über die Suchmaschine Google könne jeder Hunderte von Web-Seiten finden, auf denen sich Kataloge, Broschüren etc. anfordern liessen.

    Rubin wäre nicht Amerikaner, wenn er diese Aussichten nicht auch mit einer Prise Gegenwartspolitik und ihren Gefährdungsdrohungen versehen würde: Eine Attacke, mit der sich öffentliche Einrichtungen auf schlichte aber wirkungsvolle Weise paralysieren liessen, könne die erste Stufe für einen größeren terroristischen Anschlag sein. (jm)


    ComputerWocheLink

    ________



    Regulierungsbehörde geht gegen 0193-Dialer vor


    Die Regulierungsbehörde reagiert auf Meldungen über Gefahren, die von Dialern in der Rufnummerngasse 0191 bis 0195 ausgehen. Würden solche Nummern missbraucht, dann werde man sie einziehen, so ein Sprecher der Regulierungsbehörde. Die Nutzung dieser Nummern für Dialer-Einwahlen entspreche nicht dem Zuteilungsbescheid, sei deshalb nicht zulässig und werde von der Regulierungsbehörde untersagt. Erste Verfahren gegen Betreiber laufen nach Angaben der Behörde bereits.

    Unklar bleibt vorerst, ob Kunden, die auf einen solchen Dialer hereingefallen sind, nun um die Zahlung der meist recht hohen Gebühren herumkommen. Die Regulierungsbehörde nimmt dazu keine Stellung, da es sich um eine vertragsrechtliche Frage handelt. Im Streitfall dürfte aber das Vorgehen der Regulierungsbehörde gegen den Missbrauch den betroffenen Kunden gute Argumente in der Auseinandersetzung mit den Anbietern liefern. (uma/c't)


    HeiseLink


    ____________


    Windows-Tool rettet zerstörte Word-Dateien



    WordFix 2.0 soll alle Informationen in Word-Dateien restaurieren können


    Das spanische Software-Haus Cimaware bietet ab sofort eine überarbeitete Version von WordFix an. Die Windows-Software soll defekte Word-Dateien wieder herstellen können. Insgesamt steht WordFix 2.0 in drei verschiedenen Ausbaustufen bereit, die jeweils einen anderen Leistungsumfang liefern.

    Die Standard-Ausführung von WordFix 2.0 beherrscht nur die Restauration des Textteils einer defekten Word-Datei, während die Pro-Version weitere Elemente wieder herstellen kann. Dazu gehören Informationen zur Absatz- und Seitenformatierung, zum Inhaltsverzeichnis, zu Tabellen, Hyperlinks, Lesezeichen, Kopf- und Fußzeilen sowie eingebettete Bilddaten. Zusätzlich dazu beherrscht die Enterprise Edition eine Batch-Funktion, um den Programmbetrieb zu automatisieren.

    Die Software soll sowohl alle Windows-Fassungen von Word als auch die Word-Ausführungen für MacOS abdecken. Bei der Rettung defekter Dateien arbeitet die Software nur mit einer Kopie der Daten, so dass bei Bedarf noch auf die defekte Datei zugegriffen werden kann.

    Cimaware bietet WordFix 2.0 für die Windows-Plattform ab sofort zum Kauf über die Homepage des Herstellers in englischer Sprache an. Die Standard-Version kostet 89,- US-Dollar, für die Pro-Ausführung fallen 149,- US-Dollar an, während die Enterprise Edition auf einen Preis von 199,- US-Dollar für eine Lizenz kommt. Der Hersteller bietet ferner eine Demo-Version zum Download an.

    GolemLink


    ___________



    Meldungen vom 17.04.2003



    Sicherheitsproblem beim Message-Handling des Windows-Kernels



    Microsoft hat ein Advisory veröffentlicht, in dem der Konzern ein potenzielles Sicherheitsleck im Kernel von Windows NT, Windows Terminal Server, Windows 2000 und Windows XP beschreibt. Allerdings muss ein Angreifer, um das Leck ausnutzen zu können, lokalen Zugang zu der Maschine haben oder über eine Terminal-Session mit dem System verbunden sein. Dann ermöglicht ein Buffer Overflow das Ausführen beliebigen Codes; das Problem entsteht durch das Verfahren, mit dem der Kernel Nachrichten an einen Debugger weitergeben könnte. Ein Angreifer kann durch Ausnutzen der Lücke etwa User-Accounts mit Administrator-Privilegien einrichten.

    Microsoft stuft das Problem nicht als kritisch ein, sondern gibt ihm nur das Security-Rating important: Bei nächster Gelegenheit solle man den Patch installieren, den Microsoft für alle betroffenen Systeme über das Advisory als Einzelpakete zum Download bereitstellt. Die Redmonder Sicherheitsexperten gehen davon aus, dass bei Server-Installationen die Möglichkeiten zum Login an der lokalen Konsole oder per Terminal-Session restriktiv gehandhabt werden. Daher sei das Leck vor allem bei Client-Systemen oder Terminal-Servern ein Problem.

    Das Sicherheitsleck ist vergleichbar zu dem kürzlich aufgetauchten ptrace-Bug im Linux-Kernel, mit dem sich ein Angreifer Root-Rechte verschaffen konnte, wenn er direkten Zugang zum betroffenen System hatte. Im Unterschied zu Linux allerdings dürften die meisten Anwender auf ihren Client-Systemen unter Windows sowieso mit Adminsitrator-Rechten angemeldet sein, ein Angreifer mit lokalem Zugang müsste sich entsprechende Rechte also nicht erst verschaffen. Anders sieht es aber beispielsweise auf Terminal-Servern aus; auch ist die Frage, ob alle Administratoren von Windows-Servern so restriktiv mit interaktivem Zugang zu den Systemen umgehen, wie Microsoft sich das vorstellt. (jk/c't)


    Heise Link

    _______


    Kopfgeld auf Apache



    In der IT-Security-Szene kursieren Grüchte über ein Sicherheitsloch in der aktuellen 1.3.x-Version von Apache (1.3.27), für die sogar ein Exploit im Umlauf sein soll. Diese Gerüchte nimmt die Firma iDefense offenbar zum Anlass, Hacker gezielt auf den Open-Source-Webserver anzusetzen. In einem E-Mail-Rundschreiben, das heise online vorliegt, heißt es: "Hat jemand von so einem Exploit gehört? Welche Schwachstelle könnte der ausnutzen? Die Prämie für solche Sachen steigt." ("Bounty is increasing for this kind of stuff.")

    iDefense setzt bereits seit August 2002 Prämien für die Aufdeckung von Sicherheitslöchern aus. Ihre Höhe bemisst sich daran, ob es sich lediglich um die Meldung einer Verwundbarkeit handelt oder gar ein Exploit geliefert wird, wie gefährlich das Sicherheitsloch ist, wie detailliert darüber berichtet wird, wie viel Benutzer betroffen sind und auf welche Systeme sich der Angriff anwenden lässt. Der am Vulnerability Contribution Program (VCP) Interessierte darf seine Meldung selber veröffentlichen, alternativ kann er dies iDefense überlassen. Die Anonymität des Meldenden wird auf Wunsch gewahrt.

    Gezahlt wird nur bei Erfolg: Nur wenn iDefense das gemeldete Problem reproduzieren kann, gibt es Geld. Vor einer Veröffentlichung wird der Hersteller informiert, um ihm Gelegenheit zu geben, das Loch zu beseitigen. iDefense übernimmt dabei sämtliche Verhandlungen mit dem Hersteller.

    Auch die eigenen Kunden informieren die Sicherheitsberater noch vor der breiten Öffentlichkeit über die neueste Angriffsmöglichkeit. Sie sollen so in den Genuss einer Vorlaufzeit kommen, um entsprechende Abwehrmaßnahmen einleiten zu können -- solche Dienste lassen sich die Sicherheitsfirmen natürlich gut bezahlen, und das nicht nur zur Finanzierung der Kopfgelder auf Sicherheitslücken. (ola/c't)

    HeiseLink

    __________



    US-Ministerium: Programmfehler werden vertraulich behandelt



    MÜNCHEN (COMPUTERWOCHE) - Das US-Superministerium Department of Homeland Security will Technologie- und Telekommunikationsfirmen dafür gewinnen, den Staat über Schwachstellen in ihren Systemen und Produkten zu informieren. Zu diesem Zweck veröffentlichte die Behörde eine Reihe von Regelungsvorschlägen für den Umgang mit kritischen Infrastrukturinformationen. Sie sehen vor, dass entsprechende freiwillige Mitteilungen streng vertraulich zu behandeln sind.

    Die vorgeschlagenen Bestimmungen sollen alle freiwillig übermittelten Daten über reale oder mögliche Angriffe auf kritische Infrastruktur oder geschützten Systeme auf physischem oder computerbasiertem Wege ebenso einschließen wie Hinweise auf Funktionsstörungen oder Programmfehler, die wichtige Dienste wie Versorgungswirtschaft, Telefonnetze oder das Internet gefährden könnten. Damit reagiert der Staat auf die Befürchtungen in vielen Firmen, dass derartige Inhalte an die Presse durchsickern könnten oder von Bürgern unter Berufung auf das Gesetz über die Informationsfreiheit (FOIA = Freedom of Information Act) in Erfahrung und an die Öffentlichkeit gebracht werden. Die jetzt vorgeschlagenen Regelungen sollen über das Department of Homeland Security freiwillig gemachte Angaben über Schwachstellen in der Infrastruktur von der Freigabe unter Berufung auf die Informationsfreiheit ausnehmen.(uk)


    ComputerWocheLink
     
  62. Meldungen vom 17.04.2003


    USA wollen chinesische Firewall untertunneln


    MÜNCHEN (COMPUTERWOCHE) - Das US-amerikanische International Broadcasting Bureau (IBB) will chinesischen Internet-Nutzern den Zugang zu Webinhalten möglich machen, die unter die Internet-Zensur der Chinesischen Regierung fallen. Um interessierten Chinesen ein "Portal zur Demokratie" zu bieten, gaben die Propaganda-Fachleute eine eigene Software in Auftrag. Das jetzt vorgestellte Programm ermöglicht PC-Anwendern mit Windows XP oder 2000, einen einfachen "Circumvention Web-Server" aufzusetzen, der quasi als Tunnel durch die vom chinesischen Staat betriebene Firewall fungiert. Damit will das IBB den Millionen chinesischer Surfer amerikanische Nachrichten und Propaganda zugänglich machen.

    Neu an der Software ist vor allem die Benutzerfreundlichkeit. Die Software erlaubt die einfache Installation eines Mini-Web-Servers, dessen Zweck nur darin besteht, die Verbindung zu anderen Servern außerhalb der Firewall aufzunehmen. Dazu präsentiert er dem Benutzer hinter der Firewall ein Formular, in das er nur die gewünschte Internet-Adresse eingeben muss. Die Benutzung dieses Umgehungs-Servers ist mit bestehender Blocking-Software nicht nachweisbar. Das jedenfalls verspricht der Entwickler der "Tunnelsoftware", Bennett Haselton. Er weist jedoch auch darauf hin, dass Benutzer nicht wirklich sicher vor Entdeckung sind.

    Diese Auskünfte dürften jedoch eher an amerikanische Teenager gerichtet sein, die der Bevormundung durch Eltern, Schulen und Behörden überdrüssig sind - denn soviel ist klar: auch sie können mit dem Programm die verbotenen Seiten des Web erkunden. Unklar ist hingegen bislang, wie interessierte Surfer auf der anderen Seite der Chinesischen Mauer im Web von den neuen Möglichkeiten zur Informationsbeschaffung überhaupt erfahren sollen.

    Eine pikante Note bekommt die Angelegenheit dadurch, dass hier mit amerikanischer Unterstützung ein Zensurriegel im Web geknackt werden soll, der mit technischer Ausrüstung von zahlreichen amerikanischen Firmen aufgebaut wurde, wie Amnesty International bereits Ende November mitteilte. (uk)


    ComputerWocheLink

    _______


    Versicherung gegen Viren und Hacker in Japan



    Reparaturen werden bezahlt, wenn Angriff von außen kam

    Tokio (pte, 17. Apr 2003 08:15) - Japanische User können sich bald gegen Schäden, die durch Viren oder Hacker-Angriffe verursacht werden, versichern lassen. Eine entsprechende Versicherung hat der "IT-Risk Hedge Solution Provider" Nippon Intelligence http://www.sbs-nic.co.jp in Zusammenarbeit mit dem Versicherungsunternehmen AIU http://www.aiu.com entwickelt. Nippon Intelligence will sich das Business Modell auch patentieren lassen.

    Die Versicherung soll über ISP (Internet Service Provider) an Endkunden vertrieben werden und rund fünf Euro monatlich kosten. Bei den Usern wird eine von dem Anbieter programmierte Software installiert, die den Computer laufend auf illegale Zugriffe von außen überwacht und Berichte an einen Server von Nippon Intelligence liefert. Verursacht ein Virus oder ein Hack-Angriff einen Schaden, wird der PC kostenlos repariert. Schäden, die durch Probleme zwischen Keyboard und Sitzgelegenheit hervorgerufen werden, wird die Versicherung allerdings nicht abdecken.

    Nippon Intelligence plant, bis Ende 2004 400.000 Kunden für das neue Produkt zu gewinnen, und umgerechnet 7,65 Mio. Euro umzusetzen. In Zukunft sollen auch Home-Appliance-Netzwerke versichert werden. (Ende)


    PresseTextLink


    __________



    Meldungen vom 18.04.2003



    Heise gewinnt gegen Spammer



    In dem Verfahren der Heise Zeitschriften Verlag GmbH & Co. KG gegen "Online-Marketing Albrecht" hat das Amtsgericht Hannover zugunsten von Heise entschieden (AZ 526 C 18156/02). Nach dem Urteil hat es der bekennende Spammer bei Androhung eines Ordnungsgeldes zukünftig zu unterlassen, unerwünschte Werbe-E-Mails an Adressen des Verlags, der iX, c't und Telepolis herausgibt sowie heise online betreibt, zu senden.

    In der mündlichen Verhandlung am 7. April 2003 machte der Richter eindeutig klar, dass er in der Belästigung von Gewerbetreibenden mit unangeforderten Werbe-Mails ebenso wie der Heise Verlag einen Eingriff in den "eingerichteten und ausgeübten Gewerbebetrieb" im Sinne des § 823 BGB sehe.

    Ein Vertreter des "Marketing-Unternehmens" war nicht zu der Verhandlung erschienen, obwohl man sich dort vor Beginn des Verfahrens siegessicher gegeben hatte und einen Gang "bis zur letzten Instanz" angekündigt hatte. Zuvor war bereits im Februar 2003 vor dem Amtsgericht München ein Urteil gegen Albrecht ergangen, das diesem ebenfalls verbot, einen Empfänger seiner Werbesendungen weiter zu belästigen (AZ 161 C 36335/02). Zumindest ein weiteres Verfahren ist derzeit noch anhängig.

    Von diesen Entscheidungen offensichtlich unbeeindruckt bietet das Unternehmen weiter seine Dienste an, die laut Eigenaussage "mit Unterstützung des Landes Sachsen-Anhalt sowie mit EU-Mitteln" gefördert würden. Nach wie vor geworben wird damit, nicht weniger als 5,2 Millionen E-Mail-Adressen zur Verfügung zu haben, die "mittels gezielter E-Mail-Aktionen" gewonnen wurden. heise online liegen Kopien von unaufgeforderten Werbe-E-Mails vor, die der "E-Mail-Fuchs" noch am 9. April 2003 verschickt hatte. Einige der Empfänger haben bereits angekündigt, auch hinsichtlich dieses Schreibens juristisch gegen Albrecht vorzugehen.

    Ob gegen das Urteil Rechtsmittel eingelegt wurden, ist bislang noch nicht bekannt. (Joerg Heidrich) / (jk/c't)


    HeiseLink


    ________



    Warnsystem für gefährdeten Datenschutz



    Als US-Präsident George W. Bush am 17. März gegenüber Saddam Hussein ein 48-stündiges Ultimatum aussprach, vor dessen Ablauf er den Irak verlassen solle, hatte das US-amerikanische Heimatschutzministerum die zweithöchste "Terror-Alarmstufe" orange ausgerufen. Ein ähnliches Warnstufensystem haben sich die Bürgerrechtler der Electronic Privacy Information Center (EPIC) ausgedacht, um vor der Gefahr der Datenschutzverletzung zu warnen, die unter anderem von den Bemühungen der US-Regierung ausgehen, um den Terrorismus zu bekämpfen. Engagierten Betreibern von Websites wird angeboten, einen Link auf den EPIC Privacy Threat Index zu setzen.

    Das EPIC will dabei das fünfstufige Farbschema des Heimatschutzministeriums für "Low", "Guarded", "Elevated", "High" und "Severe" anwenden. Wegen der Entwicklung im vergangenen Jahr setzen die Bürgerrechtler die Warnstufe auf Gelb für "Elevated". Das ist übrigens die gleiche Warnstufe wie zurzeit auf der Website des Heimatschutzministeriums, das anscheinend die Gefahr von Terroranschlägen nun nicht mehr so hoch einschätzt wie zu Beginn des Irak-Krieges.

    Neben erweiterten Befugnissen für die Ermittler des FBI, verstärkten Überwachungsmaßnahmen und den Plänen für einen Domestic Security Enhancement Act ("Patriot II") gebe es aber auch erfreuliche Entwicklungen, meinen die Bürgerrechtler. Sie weisen als Beispiel darauf hin, dass nunmehr keine nationale ID-Card mehr entwickelt werden solle und dass der US-Kongress auf die Pläne für eine "totale Überwachung" des Internet zumindest ein wachsames Auge werfe. (anw/c't)


    HeiseLink



    _____________



    Microsofts Forschung: Sauberer Code und Krypto-Ping-Pong



    Lösungen gegen die Spam-Flut und zuverlässigere Software sind aus Sicht der Forschungsabteilungen von Microsoft (Microsoft Resarch, MSR) die Herausforderungen der Zukunft. MSR, das nach eigenen Angaben in fünf Labors rund 700 Mitarbeiter beschäftigt, stellte gestern im Rahmen einer Hausmesse auf dem Microsoft-Campus theoretische Ansätze für Produkte vor, von denen überwiegend nicht viel mehr als der Arbeitstitel bekannt ist.

    Darunter ein Konzept gegen die Massen unerwünschter E-Mails. Nach US-Medienbericht spielt "No Spam" mit dem Massenversender eine Art kryptografisches Ping-Pong und verlangsamt dadurch die Aussendung der Werbebotschaften. Die Verschlüsselungs- und Entschlüsselungshürde soll nur für Mails von Absendern aufgebaut werden, die nicht im Adressbuch des Empfängers verzeichnet sind. Die notwendigen Berechnungen würden pro Nachricht nur 10 Sekunden beanspruchen. In der Summe soll das allerdings ausreichen, um Aussendungen mit Millionen Mails angemessen auszubremsen.

    Als weitere Idee wurde eine Windows-Version vorgestellt, die Gebärden versteht. "GWindows" soll sich dereinst ebenso wie dafür ausgelegte Anwendungen per Handzeichen steuern lassen. Bis es soweit ist, will Microsoft Research, so wird deren stellvertretender Leiter Rick Rashid in der US-Presse zitiert, dem Mutterhaus "helfen, bessere Software zu schreiben". Viele Projekte der "Microsoft-Labs" zielten auf die Aspekte "sauberer Code und effiziente Programmierung" ab. Ein Beispiel dafür sei die Test-Suite "Scout". Sie unterstütze dabei, neue Prioritäten zu setzen und verhindere, dass Änderungen im Code, die ein Problem beheben, ein neues Problem nach sich ziehen. Die ersten Einsätze hat Scout bereits bei der Entwicklung kommender Versionen von Microsoft Exchange und dem Microsoft Windows Server 2003 absolviert. Die Herausforderung, so Rashid weiter, bestehe künftig darin, den Code einer Software, der aus mehreren zehn Millionen Zeilen besteht, so zu trimmen, "dass sie tatsächlich tut, was Anwender von ihr erwarten".

    Scout hin oder her -- einiges wird auch künftig nicht so funktionieren, wie es der Benutzer gerne hätte: Die Zukunft, so war gestern zu erfahren, gehört unter anderem "MyLifeBits". Hinter dem Namen versteckt sich eine Datenbank, deren Inhalte -- in erster Linie Videos und Musik -- gegen alle digitalen Vervielfältigungsversuche immun sein sollen. (em/c't)


    HeiseLink

    ________


    Mehrstufige Lösung zum Spam-Schutz


    Heuristischer Filter soll unerwünschte Mails bereits beim Eintritt abfangen

    Ratingen (pte, 18. Apr 2003 11:05) - Symantec http://www.symantec.com hat eine mehrstufige Lösung zum unternehmensweiten Schutz vor Spam vorgestellt, die sowohl unerwünschte Mails als auch Viren bereits beim Eintritt ins Unternehmensnetz abfangen soll. Dazu bedient sich "AntiVirus für SMTP Gateways 3.1" u.a. eines heuristischen Spam-Filters.

    Die heuristische Filter-Engine untersucht die Sendungen nach bestimmten Kriterien. Dazu wird eine Artificial-Neural-Network(ANN)-Technologie verwendet, die lernfähig ist und intuitiv Spam-Mails erkennt. Administratoren können dabei die Grenzwerte, ab wann es sich um ein Spam handelt, definieren und zwischen maximaler Erkennung und minimalem Ansprechverhalten wählen. So kann das Programm z.B. so eingestellt werden, dass alle E-Mails, die auch nur in irgendeiner Form verdächtig aussehen, sofort als Spam erkannt und abgefangen werden, oder das Programm wird so eingestellt, dass nur die E-Mails, die ganz eindeutig als Spam definiert werden, herausgefiltert werden.

    Darüber hinaus können Schwarze Listen von Drittanbietern in den Spam-Filter eingebunden werden. Derzeit sind etwa 125 solcher Listen öffentlich verfügbar, die in Echtzeit abgerufen und aktualisiert werden können. Auch ist es möglich, eine eigene Schwarze Liste zu erstellen und Einträge in eine Weiße Liste vorzunehmen. Die Weiße Liste ist eine Filterebene, die es ermöglicht, fälschlicherweise in Schwarze Listen eingetragene Versender wieder freizugeben. (Ende)


    PresseTextLink
     
  63. Sichere Linux-Distribution Trusted Debian 1.0 erschienen

    Trusted Debian nutzt PaX und Stack Protector zum Schutz vor Buffer Overflows


    Das Trusted Debian Projekt hat mit Trusted Debian 1.0 sein erstes offizielles Release freigegeben. Im Kern der Bemühungen der Entwickler stand die Beseitigung vieler, wenn auch nicht aller Buffer-Overflow-Probleme. Diese dienen immer wieder als Weg, um die Sicherheit von Systemen zu durchbrechen.

    Der Schutz, den Trusted Debian bietet, ist allerdings nicht wirklich neu, vielmehr basiert es auf diversen Produkten, die zum Teil seit einiger Zeit erhältlich sind. Trusted Debian will diese nun einer breiten Öffentlichkeit zugänglich machen.

    Dabei kommt unter anderem das Linux-Kernel Add-On PaX zum Einsatz, das Applikationen verschiedener Schutz-Mechanismen gegen Buffer-Overflow-Attacken zur Verfügung stellt. So bietet PaX unter anderem eine Überprüfung, wie viel Speicher gerade genutzt wird, um so schlecht geschriebene Programme daran zu hindern, versehentlich Sicherheitslücken zu öffnen. Zudem sorgt PaX ähnlich OpenBSD dafür, dass die Stelle, an der ein Programm in den Speicher geladen wird, zufällig wechselt, denn Buffer-Overflow-Attacken nutzen mitunter die exakte Position von Stellen im Speicher. Im Gegensatz zu OpenBSD, das aber nur am Stack ansetzt, knüpft PaX an vier Stellen, Stack, Heap, Bibliotheken und dem eigentlichen Executable an.

    Zudem versucht PaX, Code und Daten zu trennen, um zu verhindern, dass Daten als Code ausgeführt werden. Zu guter Letzt bietet PaX diesen Schutz auch für das eigentliche System, den Linux Kernel.

    Darüber hinaus setzt Trusted Debian einen so genannten Stack Protector ein. Dieser modifizierte GCC Compiler von Hiroaki Etoh integriert so genannten "booby-traps" in Programme, die ausgelöst werden, sofern ein Buffer Overflow auftritt. Das Programm wird dann beendet, bevor Schaden entstehen kann. Auch OpenBSD und Gentoo Linux unterstützen ähnliche Schutzmechanismen.

    Neben diesen Schutzmechanismen enthält Trusted Debian aber auch RSBAC-Zugriffskontrollen und FreeS/WAN zur Verschlüsselung der TCP/IP-Kommunikation.

    Trusted Debian 1.0 kann von verschiedenen Mirrors heruntergeladen werden.

    Golem Link

    _________


    Initiative will Sicherheit in Firmen verbessern


    Eine auf der Sicherheitskonferenz RSA Conference in San Francisco vorgestellte Initiative soll IT-Managern Richtlinien vorgeben, durch die US-amerikanische Unternehmen ihre eigene Sicherheitsarchitektur ableiten können. Mit Hilfe dieser Generally Accepted Information Security Principles (GAISP) sollen Firmen nachweisen können, dass sie größtmögliche Sicherheit garantieren.

    Die Initiative begann bereits 1990 unter dem Namen GASSP (Generally Accepted System Security Principles) und wird von der Information Systems Security Association (ISSA) unterstützt. Obwohl die GAISP ein US-amerikanischer Standard ist, hofft die ISSA, die Regeln zu einem weltweiten Standard erheben zu können. Ende des Jahres soll die GAISP fertig gestellt sein und mehrmals jährlich aktualisiert werden. Firmen wie Computer Associates, NetScreen, Sun Microsystems und Symantec unterstützen die Initiative. (db/c't)

    Heise Link
     
  64. Cybersecurity-Berater von US-Präsident tritt zurück

    Howard Schmidt räumt Posten nach nur drei Monaten

    Washington (pte, 22. Apr 2003 16:23) - Der Cybersecurity-Berater im Weißen Haus, Howard Schmidt, ist nach nur drei Monaten im Amt zurückgetreten. Der ehemalige Sicherheitschef von Microsoft will in Zukunft wieder in der Privatwirtschaft tätig werden. Schmidt begründete seinen Schritt damit, dass die meisten seiner Kompetenzen inzwischen zum neu gegründeten Ministerium für "Homeland Defense" gewandert sind.

    Die Information Technology Association of America (ITAA), eine Vereinigung von über 400 Hightech-Unternehmen in den USA wie Intel und Microsoft, will allerdings weiterhin einen Berater für Cybersecurity oder "Cyber Zaren" im Stab des Präsidenten sehen. "Wir glauben, dass Cybersecurity weiterhin ein wichtiger Teil der nationalen Sicherheit ist", erklärte ITAA-Präsident Harris Miller. Er fürchtet, dass das Thema seinen Stellenwert in der Bush-Administration verliert, sollte innerhalb des Weißen Hauses niemand mehr für diesen Bereich zuständig sein. http://itaa.org/news/pr/PressRelease.cfm?ReleaseID=1050956794

    Schmidt selbst stellt zwar eine Verbesserung im Bereich der Cybersecurity fest, er sieht allerdings weiterhin einen großen Bedarf für zusätzliche Maßnahmen. "Nur auf Angriffe zu reagieren ist zuwenig", zitiert das Wall Street Journal Schmidt. "Stattdessen müssen vorbeugende Maßnahmen getroffen werden, um die Anzahl von Sicherheitslücken zu vermindern und zukünftige Angriffe schon im Ansatz zu verhindern." (Ende)

    Pressetext Link


    ________




    US-Bürgerrechtler verlangen Informationen über Website-Sperrungen



    Das Center for Democracy and Technology (CDT) hat offiziell Beschwerde eingelegt gegen die Weigerung von Mike Fischer, Generalstaatsanwalt von Pennsylvania, gesperrte Webseiten zu benennen. In dem US-Bundesstaat gilt ein Gesetz, nach dem Internet-Seiten mit kinderpornographischen Inhalten gesperrt werden müssen. Die Liste mit gesperrten IP-Adressen wollte der Generalstaatsanwalt nicht bekannt geben, wogegen das CDT nun vorgeht.

    Die Bürgerrechtler halten das Gesetz allerdings sowieso für verfassungswidrig: In Pennsylvania erfolgt die Blockierung der Seiten auf Basis von IP-Adressen durch Internet-Provider. Dies verstoße gegen das Recht auf freie Meinungsäußerung, zumal durch die Sperrung von IP-Nummern auch unbescholtene Seiten unzugänglich würden, die sich die Adressen eventuell mit inkriminierten Seiten teilen. Das CDT demonstrierte dies am Beispiel der eigenen Site zeigen: www.cdt.org nutzt dieselbe IP-Adresse (206.112.85.61) wie beispielsweise www.consumerprivacyguide.org oder www.internetpolicy.net.

    Um nun zu überprüfen, ob solches auch bei den in Pennsylvania blockierten Webseiten auftritt, wollten die Bürgerrechtler die entsprechenden IP-Adressen überprüfen -- was allerdings durch die Weigerung Fischers, sie bekannt zu geben, vorerst verhindert wurde. Insgesamt habe es über 300 geheim gehaltene Zensur-Anweisungen gegeben, erklärt das CDT. Eine Überprüfung vor Gericht oder eine öffentliche Anhörung dazu sei aber nicht erfolgt. Die Bürgerrechtler gehen davon aus, dass neben den berechtigten Sperrungen hunderte oder gar tausende Webseiten blockiert würden, die nichts mit Kinderpornographie zu tun hätten. Der Justizminister könne nicht dauerhaft verhindern, dass solche Zensurmaßnahmen öffentlich überprüft werden. Falls die Beschwerde der CDT abgelehnt wird, bliebe den Bürgerrechtlern noch der Gang vor Gericht. (jk/c't)


    HeiseLink
     
  65. Internet Explorer mit vier weiteren Sicherheitslecks

    Sammel-Patch für Internet Explorer 5.01, 5.5 und 6.0 soll Probleme beheben


    In Microsofts Internet Explorer sind vier weitere Sicherheitslücken entdeckt worden, die nun mit einem Sammel-Patch gestopft werden können. Eines der Sicherheitslöcher erlaubt es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen. Der Sammel-Patch für den Internet Explorer 5.01, 5.5 und 6.0 soll zudem alle bislang bekannten Sicherheitslecks reparieren.

    Durch einen Buffer-Overrun innerhalb der Komponente URLMON.DLL prüft der Internet Explorer die Parameter von einem Web-Server nicht korrekt. Dies kann ein Angreifer dazu nutzen, um beliebigen Programmcode auf einem fremden System auszuführen, wozu der Angegriffene lediglich eine URL öffnen muss.

    Ein weiteres Sicherheitsleck steckt in den Internet-Explorer-Programmroutinen für den Upload von Dateien. Ein Angreifer kann einen Dateinamen an diese Routine übermitteln, um Daten von einem fremden System auf einen Web-Server zu laden und sich so Einblick in fremde Daten zu verschaffen.

    Bei der Anzeige von Dateien anderer Hersteller versagt die Prüfung der übermittelten Parameter im Internet Explorer. Über eine speziell formatierte URL mit Script-Kommandos kann dieses Script in der Sicherheitszone des Anwenders ausgeführt werden.

    Das letzte der vier Sicherheitslöcher betrifft die Anzeige von modalen Dialogen im Internet Explorer, weil ein Eingabe-Parameter nicht richtig geprüft wird. Darüber kann ein Angreifer ein Script einfügen und so Zugriff auf die lokalen Dateien eines fremden Rechners erlangen. Dazu muss der Angreifer den Betreffenden nur dazu bringen, eine spezielle Webseite zu besuchen.

    Microsoft bietet deutschsprachige Sammel-Patches zur Behebung der Sicherheitslecks zum Download an. Die auf der Download-Seite angebotenen Patches eignen sich für den Internet Explorer 5.01 mit Service Pack 3, für den Internet Explorer 5.5 mit Service Pack 2 sowie für den Internet Explorer 6.0 mit und ohne Service Pack 1.

    GolemLink

    _______


    Computer-Virus setzt auf Angst vor SARS

    Dieser Ausbruch hält sich zumindest in Grenzen

    London (pte, 23. Apr 2003 17:04) - Der britische Hersteller von Virenschutzsoftware Sophos warnt vor einem Computer-Wurm, der sich die Besorgnis der Benutzer über die Lungenkrankheit SARS zunutze macht. Der Virus wird von Sophos als Coronenx-A bezeichnet und versucht die Empfänger der verseuchten Nachricht mit Informationen über die Krankheit zum Öffnen des Attachments zu bewegen. http://sophos.com/virusinfo/articles/coronex.html

    Das Attachment führt unterschiedliche Namen wie "Severe Acute Respiratory Syndrome", "SARS Virus" und Hongkong.exe. Der Virus nutzt einen eigenen SMTP-Server für die Weiterverbreitung und befällt ausschließlich Windows-Systeme. Die Verbreitung von Coronex-A ist bisher gering.

    "Der Wurm ist eine Demonstration dazu, wie Virenschreiber mit psychologischen Tricks versuchen, ihre Schöpfungen zu verbreiten", erklärte Graham Cluley, Senior Technology Consultant für Sophos Anti Virus. Er ruft andere Hersteller von Sicherheitslösungen dazu auf, den Wurm mit Coronex - nach den als Verursacher verdächtigten Coronaviren - und nicht als SARS-Virus zu bezeichnen. Die Berichterstattung über dem Computerwurm soll nicht noch zusätzlich zur allgemeinen Beunruhigung über die Krankheit beitragen, so Cluley. (Ende)

    PresseTextLink

    ________



    Sicherheitspatch bremst XP aus



    Der am 16. April im Microsoft Security Bulletin MS03-013 vorgestellte Patch für Windows NT 4.0, 2000 und XP ist fehlerhaft. Die Performance von XP-Systemen kann durch die Installation massiv eingeschränkt werden.

    Die Diskussion darüber in verschiedenen Internet-Foren ist inzwischen auch zu Microsoft durchgedrungen. Im nunmehr aktualisierten Bulletin werden die Performanceprobleme bestätigt: Nach eingehenden Untersuchungen habe man festgestellt, dass sich der Patch auf Windows XP mit Service Pack 1 verlangsamend auswirken kann. Microsoft arbeitet nun an einer Lösung. Wann der aktualisierte Patch zum Download bereitstehen wird, teilte Microsoft bislang nicht mit.

    Microsoft selbst stuft den Patch, der ein potenzielles Sicherheitsleck im Kernel von Windows NT, Windows Terminal Server, Windows 2000 und Windows XP korrigiert, lediglich als important, aber nicht als kritisch ein: Ein Angreifer muss, um das Leck ausnutzen zu können, lokalen Zugang zu der Maschine haben oder über eine Terminal-Session mit dem System verbunden sein. Bei Microsoft empfiehlt man daher den Anwendern zunächst zu prüfen, ob ihr XP-System unbedingt mit dem Patch aktualisiert werden muss. Danach müsse der Patch gründlich auf den eigenen Systemen getestet werden. Nur wenn die Tests keinerlei spürbare Performance-Einbußen zeigten, solle der Anwender den Patch einspielen. In dem Bulletin wird weiterhin versprochen, alsbald einen Knowledge-Base-Artikel bereitzustellen, wenn genauere Aussagen über die betroffenen Rechnerkonfigurationen gemacht werden können. (ola/c't)


    HeiseLink
     
  66. Sicherheitsleck in Ciscos Zugriffsrechte-Management unter Windows

    In der Windows-Verwaltungssoftware des Router-Marktführers ist ein Sicherheitsleck aufgetaucht. In Ciscos Web-Managementinterface Secure ACS für Windows wurde ein Fehler entdeckt, der sich ausnutzen lässt, um eine Denial-of-Service-Attacke zu fahren, Root-Rechte auf der Secure-ACS-Maschine zu erlangen oder im schlimmsten Fall den im Hintergrund laufenden Cisco-Service unter Kontrolle zu bringen und beliebigen Code auszuführen. Betroffen sind die Secure-ACS-Versionen 2.6.4, 3.0.3 und 3.1.1, sowie ihre jeweiligen Vorgänger. Die Unix-Variante der Software ist von dem Sicherheitsloch nicht betroffen und daher dieser Gefahr nicht ausgesetzt.

    Mittels Secure ACS lassen sich die Zugriffsrechte und Accounting für alle IOS-Router, VPNs, Gateways, Catalyst-Switches und andere Cisco-Produkte verwalten, die ein Unternehmen einsetzt. Details zu dem Bug gehen aus einem Advisory von Cisco hervor. Zuerst entdeckt und veröffentlicht wurde das Sicherheitsloch von Yang Yu, einem Mitarbeiter des Netzwerksicherheitsdienstleisters Nsfocus.

    Administratoren sollten den Zugriff auf den TCP-Port 2002 auf allen Rechnern sperren, auf denen der Service Cisco Secure ACS läuft, solange sie die zum Download bereitgestellten Patches noch nicht eingespielt haben. Die Patches werden in späteren Versionen von Secure ACS enthalten sein.

    Die Verwaltung von Cisco Secure ACS findet über eine Webinterface statt. Ein Service mit dem Namen "CSAdmin" läuft dazu im Hintergrund und nimmt am TCP-Port 2002 http-Anfragen an. Wenn der Service einen Login-Versuch abhandelt, kommt es zu einem Buffer Overflow, sofern die http-Anfrage überlange Parameter enthält. Typischerweise hängt sich das System danach auf und muss neugestartet werden. Es ist allerdings außerdem möglich, dass das Ausnutzen der Sicherheitslücke dem Angreifer die volle Kontrolle über das System gibt. (ola/c't)


    HeiseLink


    ________



    WLAN-Sicherheit: Anwender sind skeptisch und warten ab



    Weltmarkt für WLAN-Sicherheitstechnologie untersucht


    Der verstärkte Einsatz von kabellosen Netzwerken im Unternehmensumfeld führt zu einer erheblichen Nachfrage nach Sicherheitsapplikationen zum Schutz der sensiblen Unternehmensdaten, so eine Studie von Frost und Sullivan. Das in fast allen WLANs genutzte Sicherheitsprotokoll WEP ("Wired Equivalent Privacy") ist zwar der gegenwärtig gebräuchliche Sicherheitsstandard, aber seine Sicherheitslücken haben die Unternehmen zu einem erneuten Überdenken ihrer Schutzstrategien bewegt.

    Da eine vertrauenswürdige Lösung fehlt, die das kabellose Hacking verhindert, ergibt sich für Hersteller die Gelegenheit, ihre eigenen Standards auf dem Markt für Sicherheitstechnologie zu platzieren.

    Nach einer Studie der Unternehmensberatung Frost & Sullivan werden die aufkommenden WLAN-Sicherheitsstandards die Entwicklung und Herstellung von neuen und zusätzlichen Gerätschaften und Softwarelösungen forcieren, wodurch ein enormes Marktwachstum entsteht. Der Weltmarkt für WLAN-Sicherheitsapplikationen lag im Jahr 2002 bei einem Gesamtumsatz von 41,1 Millionen Dollar, für das Jahr 2009 wird ein gewaltiger Umsatzsprung auf 278,7 Millionen Dollar prognostiziert.

    Der Überfluss an Protokollen macht schon heute die Interoperabilität zwischen ähnlichen Produkten unterschiedlicher Hersteller zu einem Problem. Mit der Einführung des Wi-Fi-geschützten Zugangsprotokolls (WPA), das auf dem 802.11i-Standard des Institute of Electrical & Electronics Engineers basiert, soll sich die Lage jedoch entscheidend ändern. Das Protokoll soll gegen Jahresende verfügbar sein und die Frage der Interoperabilität lösen, indem alle Produkte auf WPA-Kompatibilität abgeprüft werden. Diese Standards sollen nicht nur für unternehmenstaugliche Sicherheit in WLAN-Netzwerken sorgen, sondern auch die Anzahl der Unternehmen verkleinern, die sich nach Lösungen von Drittanbietern umschauen. "Obwohl es die WLAN-Technologie schon seit Jahren gibt, brauchte es bis zur Entwicklung der 802.11b-Spezifikation durch das IEEE, um die Geräte aus ihren historischen Marktnischen Warenlagerung, Einzelhandel und Logistik herauszuführen. Der Einsatz von WLAN findet jetzt in fast allen Marktsegmenten statt und schließt die traditionellen logistischen Anwendungsbereiche, die Gesundheitsversorgung und auch beispielsweise Kanzleien mit ein", erklärte Wai Sing Lee, Research Analyst bei Frost & Sullivan.

    "Auf Grund der unzähligen Standards haben die Anwender allerdings ihre Zweifel, ob die Interoperabilität, die Erweiterungsfähigkeit und die Kompatibilität mit anderen Protokollen und Spezifikationen tatsächlich funktionieren wird. Denn sie werden definitiv keine Lösung integrieren, die sich als technische Sackgasse herausstellt. Sie können diesem Umstand aber nur begegnen, indem sie eine Lösung akzeptieren, die von Anbietern von Netzwerklösungen als empfehlenswert eingestuft wird, indem sie den Einsatz ausbremsen bis industrieweite Lösungen zur Verfügung stehen oder indem sie ganz generell die Einrichtung von WLAN-Netzwerken einstellen", sagt Lee. "Die WLAN-Anbieter müssen eine Balance finden zwischen Schulung der Anwender und technologischem Fortschritt. Nur so kann die WLAN-Nutzung seitens der Unternehmen nachhaltig gestärkt oder ausgebaut werden", fügte er hinzu.

    Kleinere Entwickler von WLAN-Sicherheitstechnologien sind nach Ansicht der Studienautoren ausreichend kompetent, um zusätzliche effektive Lösungen auf dem Markt einzuführen. Um sich allerdings als sichtbarer Player im Markt zu positionieren, bedürfe es einiger Mühen, da sie gegen etablierte Marktgrößen antreten. Einen Vorteil auf diesem ungleichen Spielfeld können sie sich verschaffen, indem sie neben den erweiterten Lösungen zusätzliche Anreize bieten. Denn durch das Aufkommen neuer Standards lässt sich vorhersehen, dass beträchtliche Investitionen nötig werden, um die Sicherheitsstufen zu verstärken. WLAN-Sicherheitslösungen sollten deswegen zusätzliche Funktionen bieten, z.B. die Fähigkeit zum Policy Management, die Skizzierung von Dienstklassen und die Begleitung der Kunden bei der Umsetzung der Netzwerkrichtlinien.

    Auf Grund der gegenwärtig unsicheren Wirtschaftslage ist eine komplette Überholung/Neuinstallation der Netzwerke nach Einschätzung von Frost und Sullivan aber unwahrscheinlich. Anbieter von unternehmensweiten Netzwerklösungen wie z.B. Cisco und Symbol haben schon jetzt proprietäre WLAN-Sicherheitslösungen in ihre Systeme eingebettet. Von diesen erwartet man sich einen höheren Nutzen bezüglich der gesamten Lizenzkosten, da keine weiteren Anwendungen oder Bauteile installiert werden müssen.

    Sicherheitsanbieter haben weitläufig Aufklärungsmaterialien verschickt, um die skeptischen Überlegungen der Anwender zum Thema WLAN-Sicherheit zu zerstreuen. Lösungen, die mit den WLAN-Sicherheitsstandards konform sind, werden wahrscheinlich den Markt beherrschen; allerdings werden immer erweiterte Sicherheitsmaßnahmen vonnöten sein, die nicht von der Leistungsfähigkeit oder dem Umfang dieser Standards abgedeckt werden. Generell rechnet man damit, dass der Markt für WLAN-Technologie eindrucksvoll wachsen und einen entsprechend großen Markt für Sicherheitslösungen nachbilden wird.

    Der Titel der Frost und Sullivan-Analyse lautet: "World Wireless LAN Security Technology Markets".

    GolemLink
     
  67. Microsoft veröffentlicht Sicherheits-Leitfaden für Windows Server 2003

    Anweisungen sollen Administratoren die Installation erleichtern

    Redmond (pte, 28. Apr 2003 15:42) - Parallel zum Start seines Windows Server 2003 hat Microsoft http://www.microsoft.com auch einen eigenen Security Guide herausgegeben. Die im Internet verfügbare Anleitung soll Administratoren die benötigten Informationen für die sichere und einfache Installation des Server-Betriebssystems geben. Dabei werden unterschiedliche Einsatzszenarien in Umgebungen mit mehreren Clients berücksichtigt.

    Die Anleitung beinhaltet unter anderem Anweisungen für die besonders sichere Installation von Domain Controllern, Infrastrukturservern, File-Servern, Drucker-Servern oder Internet-Information-Service-Servern. Zusätzlich bietet Microsoft Hintergrundinformationen zu den einzelnen Sicherheitsproblemen und Risiken der einzelnen Einstellungen als auch über die Auswirkungen der verschiedenen Konfigurationen. Der Sicherheitsleitfaden ist auf Englisch erhältlich unter: http://microsoft.com/downloads/deta...C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en (Ende)


    PresseTextLink


    _________



    Exploit gegen Linux-PPTP-Server im Umlauf



    Auf der Sicherheitsmailing-Liste Bugtraq wurde nun ein Exploit zu einem Buffer-Overflow-Fehler des Linux-VPN-Servers PoPToP veröffentlicht. PoPToP dient zur Realisierung von Virtual Private Networks (VPN) über PPTP (Point-to-Point Tunneling Protocol) unter Linux.

    Die PoPToP-Entwickler haben den Fehler allerdings bereits am 9.4.2003 beseitigt. Betroffen sind alle Versionen vor 1.1.3-20030409 beziehunsgweise 1.1.4-b3. Adminstratoren solcher Server sollten unbedingt eine aktuelle PoPToP-Version einspielen. In Tests in der c't-Redaktion genügte es, die Binaries pptpd und pptpctrl einer Installation mit Version 1.1.2 durch aktualiserte Versionen zu ersetzen, um den Betrieb wieder aufzunehmen. (ju/c't)


    HeiseLink
     
  68. Großrazzia gegen Telefonanlagen-Hacker

    29.04.2003 um 14:46 Uhr

    MÜNCHEN (COMPUTERWOCHE) - Mehrere Staatsanwaltschaften, Polizeidienststellen der Bundesländer und das Bundeskriminalamt (BKA)haben heute Morgen 37 Wohnungen wegen des Verdachts des Computerbetruges durchsucht. Wie das BKA mitteilt, wird den Tatverdächtigen vorgeworfen, in den letzten zwölf Monaten mit Handys und Computern zahlreiche Telefonanlagen von Firmen gehackt und manipuliert zu haben.
    Die Täter riefen dann auf Kosten der geschädigten Unternehmen teure 0190er-Nummern an, die sie nach bisherigen Erkenntnissen vorher per Internet für sich oder Bekannte angemietet hatten. Durch die so erschwindelten anteiligen Gebühren sei jeweils innerhalb weniger Tage mehrere tausend Euro Schaden entstanden, so die Wiesbadener Behörde weiter. Insgesamt betrage der Gesamtschaden wohl mindestens 750.000 Euro.

    Offenbar standen zudem mehrere der Täter in Kontakt zueinander. Ob die Straftaten gemeinschaftlich begangen wurden, sei aber noch unklar. Die Auswertung der sichergestellten Beweismaterialien könnte noch weitere Computerstraftaten aufdecken, vermutet das BKA. (tc)

    ComputerWocheLink

    _____


    Falsche Cacheeinträge in BIND

    Software: BIND 4.8 bis 4.9.11 und 8.1 bis 8.3.4
    Typ: Cache Poisoning


    Problem: Die IDs die für die Kommunikation zwischen DNS Dämonen benutz werden sind leicht nachzubilden.
    Effekt: Ein Angreifer kann falsche DNS-Informationen einschläusen, was zu einer fehlerhaften Hostname/IP umsetzung führt.
    Lokal: nein
    Remote: ja


    Exploit: Derzeit sind uns keine Exploits bekannt.

    Link und Lösungsvorschlag bei ComputerSecurity.de
     
  69. Harte Bandagen für Spammer in Virginia

    Gesetz sieht fünf Jahre Haft vor

    aol
    Dulles (pte, 30. Apr 2003 10:28) - Der US-Bundesstaat Virginia streift im Kampf gegen Spam die Boxhandschuhe über. Gouverneur Mark Warner hat dazu zwei Gesetze unterzeichnet, die für verschiedene Spam-Taktiken Haftstrafen von einem bis zu fünf Jahren vorsehen. Daneben dürfen die Behörden auch alle Gewinne, die Spammer aus ihrer Tätigkeit ziehen, sowie alle verwendeten Geräte beschlagnahmen. Die Gesetze betreffen alle Spam-Nachrichten, die von Virginia aus versendet werden oder an Empfänger im Bundesstaat gerichtet sind. http://www.governor.state.va.us/Press_Policy/Releases/2003/Apr03/0429b.htm

    "Die Hälfte aller E-Mails weltweit werden über den Commonwealth von Virginia geleitet. So ist es nur angebracht, dass wir unseren Strafverfolgungsbehörden die benötigten Tools in die Hand geben", erklärte Warner bei der Unterzeichnung der Gesetzesvorlagen im Hauptquartier von AOL. Demnach macht sich strafbar, wer bewusst die Header oder Routing-Informationen seiner E-Mail verändert, und mehr als 10.000 Mail innerhalb von 24 Stunden oder 100.000 Nachrichten innerhalb eines Monats versendet. Unter dieses Gesetz fallen auch Spammer, die mehr als 10.000 Dollar Gewinn aus einer Aussendung ziehen oder mehr als 50.000 Dollar im Monat erwirtschaften.

    Bereits mehr als 40 Prozent aller E-Mails sind unerwünschte Massenaussendungen. Man geht davon aus, dass sich das Volumen an Spam-Nachrichten in den kommenden sechs Monaten verdoppeln wird. Der Schaden für die US-Wirtschaft wird für 2003 auf 14 Mrd. Dollar geschätzt. Allerdings gehen viele Beobachter davon aus, dass die Gesetze in Virginia keine große Auswirkungen auf das Spam-Volumen haben werden. Vor allem Fragen der Zuständigkeit stehen einer Strafverfolgung entgegen. (Ende)


    PresseTextLink


    _______


    Denial of Service in Superstack 3



    Betriebsystem: 3Com SuperStack 3 NBX 4.0.17, 4.1.4, 4.1.21
    Typ: Denial of Service


    Problem: Der FTP Server und einige andere Services des ERTOS (Embeded Real Time Operating System) reagieren sensibel auf CEL Parameter mit grosser Länge.
    Effekt: Die jeweiligen Services reagieren nicht mehr auf Anfragen. Nicht sicher ist ob durch den Bug auch Code ausführbar ist.
    Lokal: nein
    Remote: ja


    Exploit: "CEL aaaa[...]aaa" mit einer Gesamtlänge von 2048 Bytes
    Lösung: Derzeit sind uns keine Patches/Updates bekannt.
     
  70. Scotland Yard schnappt Hacker "Fluffi Bunni"

    Verdächtiger auf Computersicherheitsmesse verhaftet

    London (pte, 30. Apr 2003 15:52) - Scottland Yard hat den vermutlichen Kopf der Hacker-Gruppe, die unter dem Pseudonym "Fluffi Bunni" verschiedene Webpages geknackt hatte, verhaftet. Wie der britische Dienst The Register http://www.theregister.co.uk berichtet, wurde der 24-jährige Verdächtige Lynn Htun auf einer Computersicherheitsmesse in London festgenommen. Die britische Polizei hat noch keine Informationen zu dem Fall veröffentlicht.

    Das Markenzeichen von Fluffi Bunni war das Bild eines rosaroten Plüsch-Kaninchens, das der Hacker auf den geknackten Webseiten hinterlassen hatten. Fluffi Bunni war in den Jahren 2000 und 2001 für 18 Monate aktiv und knackte in dieser Zeit zahlreiche Websites. Darunter befanden sich auch die Seiten von führenden Internet-Sicherheitsorganisationen wie vom SANS Institute, SecurityFocus oder Attrition.org.

    Der bekannteste Hack war der Massen-Angriff auf den Registrar NetNames im September 2001, bei dem mehr als 1.000 Webseiten übernommen wurden. Die Hacker platzierten die Nachricht "Fluffi Bunni goes Jihad" auf den entführten Webseiten unter dem Bild des rosaroten Kaninchens an einem Computerschirm. "Wenn ihr das Internet wieder sehen wollt übergebt uns Mr. Bin Laden und fünf Mio. Dollar in einem braunen Papier-Sack." Der dazugehörende Text mit über 500 Wörtern wurde vom FBI als anti-amerikanisch eingestuft. (Ende)

    :(
    PresseTextLink

    __________



    Microsoft stopft Lecks in BizTalk Server und korrigiert Windows-Patch



    MÜNCHEN (COMPUTERWOCHE) - Microsoft warnt vor Sicherheitslücken in der Integrationssoftware BizTalk Server. Durch einen Buffer Overflow (Speicherüberlauf) in der HTTP-Receiver-Funktion von BizTalk 2002 können Angreifer beliebigen Code auf betroffenen Systemen ausführen oder Daten modifizieren und löschen. Der HTTP Receiver dient zum Austausch von Geschäftsdaten zwischen Backend-Systemen und ist als ISAPI-Erweiterung (Internet Services Application Programming Interface) implementiert. Dabei handelt es sich um eine DLL, auf die zum Beispiel ein ISS-Server (Internet Information Server) zugreifen kann. Hacker nutzen die Lücke, indem sie manipulierte Anfragen an den HTTP Receiver senden, die den Buffer Overflow auslösen.

    Die BizTalk-Versionen 2000 und 2002 sind durch die so genannte "SQL Injection Vulnerability" angreifbar, durch die sich Hacker Zugriff auf in BizTalk eingebundene SQL-Datenbanken und in extremen Fällen auch auf das Betriebssystem verschaffen können. Die Zugriffe sind aufgrund fehlerhafter Prüfungen der Eingabeparameter möglich. Obwohl im Prinzip jedermann manipulierte Anfragen an DTA-Websites (Document Tracking & Administration) absetzen kann, lässt sich das Leck nur von angemeldeten DTA-Nutzern erfolgreich ausnutzen, heißt es bei Microsoft. Patches für beide Sicherheitslücken sind verfügbar.

    Außerdem hat Microsoft einen Patch für Die Windows-Versionen NT 4 bis XP erneuert. Er beseitigt eine Sicherheitslücke in der "WM_TIMER"-Funktion des Betriebssystems und machte bereits mehrere Male Ärger (Computerwoche online berichtete). Der ursprünglich bereits im Dezember 2002 veröffentlichte Bugfix wurde zunächst vom Netz genommen, nachdem sich herausgestellt hatte, dass er NT-4-Konfigurationen zerstörte. Im Februar 2003 folgte eine korrigierte Version, die jedoch Probleme auf der Terminal Server Edition von NT 4 bereitete. Der abermals erneuerte Patch soll einwandfrei funktionieren, verspricht Microsoft. (lex)



    ComputerWocheLink
     
  71. Linux: Keine Chance für Buffer Overflows

    Linux soll noch sicherer werden, vor allem das Grundübel der Buffer Overflows wollen die Entwickler endlich ausmerzen. Auch Kernelentwickler Ingo Molnar von Red Hat beteiligt sich an den Bemühungen und stellt auf seinen Seiten den Kernelpatch exec-shield zum Download bereit.

    Der Patch ist für die Kernelversion 2.4.21-rc1 und schützt vor Angriffen, die Adressen überschreiben oder eigene Befehle einschleusen. Außer dem Kernel muss nichts neu übersetzt werden, exec-shield arbeitet im Idealfall für Anwendungen transparent. Unter anderem setzt exec-shield für jedes Programm den höchsten Adresswert fest, der noch Ausführbares enthält; eine genauere Beschreibung liefert der Autor in seinem Ankündigungstext.

    Bereits Ende April stellten Entwickler eine Linux-Distribution auf Basis von Debian vor, die unter anderem besonderen Schutz gegen Attacken, die Buffer Overflows ausnutzen, bieten soll. Auch das freie Unix-Derivat OpenBSD kommt in der Version 3.3 mit Maßnahmen, die Buffer Overflows den Garaus machen sollen. (cgl/c't)


    HeiseLink

    ________


    Website-Sperrungen in der Schweiz aufgehoben


    Die Schweizer Provider können aufatmen: Die Sperrungsverfügung einer Untersuchungsrichterin des Kantons Waadt hat keinen rechtlichen Bestand, wie die Swiss Network Operators Group (SwiNOG) mitteilt. In der Verfügung waren im Dezember vergangenen Jahres über 30 Provider aufgefordert worden, den Zugang zu zwei Webseiten zu sperren.

    Betroffen waren die Seiten appel-au-peuple.org und swiss-corruption.com, gegen die verschiedene Anzeigen unter anderem wegen Ehrverletzung vorlagen. Da die Schweizer Justiz keine Zugriffsmöglichkeiten auf die Server hatte, sollten die Provider des Staates die Auslieferung der beanstandeten Inhalte durch gefälschte DNS-Einträge verhindern. Die Provider wurden nun informiert, dass die Anordnung hinfällig ist. Das zuständige Gericht in Lausanne hatte entschieden, dass die in der Anordnung zitierte Rechtsgrundlage nicht auf das Internet anzuwenden sei. Damit kam das Gericht einem Rekurs mehrerer betroffener Provider nach.

    Die Sperre hatte sich erwartungsgemäß als wenig wirksam erwiesen: Schon kurze Zeit nach dem Erlass der Verfügung zog eine der inkriminierten Seiten auf eine Geocities-Adresse um. Eine Sperre über DNS-Einträge war nicht mehr möglich ohne gleichzeitig den Zugriff auf Tausende weiterer Seiten zu blockieren.

    Der Provider green.ch weigerte sich ganz, der Anordnung nachzukommen. "Sollten solche kantonalen Verfügungen Schule machen, fänden sich die ISPs der Schweiz mit unzähligen Verfügungen konfrontiert, was zu einer massiven Beeinträchtigung des Internet-Zugangs für die Schweizer Kunden und Kundinnen führt", sagt Geschäftsführer Guido Honegger. Die anderen Provider kamen der offiziellen Anordnung nach, viele Unternehmen legten aber Rekurs ein. (Torsten Kleinz) / (jk/c't)


    HeiseLink

    ____



    HTML-Code bringt Internet Explorer zum Absturz


    Auch Outlook und FrontPage betroffen


    Der Microsoft Internet Explorer lässt sich mit einem einfachen HTML-Code zum Absturz bringen - darüber informierte jetzt das IT-Sicherheitsunternehmen Secunia. Das Problem steckt in einer Bibliothek, die von diversen Windows-Applikationen - darunter dem Internet Explorer - verwendet wird.

    Durch den Bug in Microsofts "Shell Light-Weight Utility Library" (shlwapi.dll) lässt sich der Browser mit einem einfachen HTML-Code zum Absturz bringen. Die Applikation wird mit der Fehlermeldung "Unhandled exception in iexplore.exe (SHLWAPI.DLL): 0xC0000005: Access Violation" beendet.

    Laut Secunia sind neben dem Internet Explorer ab Version 4.0 auch der Windows Explorer, Outlook, Outlook Express, Frontpage und alle anderen Microsoft-Programme betroffen, die die shlwapi.dll verwenden.

    Dabei spielt es keine Rolle, ob Funktionen wie JavaScript oder ActiveX aktiviert oder deaktiviert sind, da reiner HTML-Code ausreicht, um die Applikationen zum Absturz zu bringen. Eine Lösung für das Problem existiert bislang nicht.


    GolemLink
     
  72. Viren machen vor Linux und Unix nicht Halt

    Von CW-Redakteur Frank Niemann.

    MÜNCHEN (COMPUTERWOCHE) - In letzter Zeit machten vor allem Virenattacken auf Windows-Rechnern Schlagzeilen, gleichwohl haben auch Unix-Anwender mit Sicherheitsproblemen zu kämpfen. Terminal-Server mildern die Gefahr nicht, sondern verlagern das Problem nur auf den zentralen Rechner.

    Immer mehr Firmen liebäugeln damit, Linux für geschäftskritische Anwendungen heranzuziehen. Als ein oft genannter Vorteil des quelloffenen Unix-Derivats gilt dabei die geringere Anfälligkeit für Virenattacken. Nach Meinung von Experten verliert diese Annahme ihre Gültigkeit, da die Anzahl der Linux-Viren und -Würmer ständig zunimmt. „Wenn eine Plattform oder eine Applikation richtig populär ist, wird sie auch attackiert“, bemerkt Toralv Dirro, Security Lead Systems Engineer beim Sicherheitsspezialisten McAfee. Dirro referierte auf den „Security-Tagen“ der CW-Schwesterzeitschrift „Network World“ in München über Schadenspotenziale und Abwehrtechniken durch Computerviren und -würmer.


    Foto: Pordue University

    „Linux/Slapper“ sei ein Beispiel für einen hartnäckigen Linux-Wurm, so Dirro. Ihm gelang es, rund 25.000 Linux-Rechner zu einer Art Peer-to-Peer-Netz zusammenzuschalten. Diese befallenen Rechner können Hacker nach Belieben fernsteuern oder sie als Wirtssysteme für Distributed-Denial-of-Service-Attacken verwenden, um öffentliche Websites gezielt lahm zu legen. Auch kommerzielle Unix-Derivate wie etwa „Solaris“ von Sun Microsystems sind vor Viren nicht gefeit. So infiziert beispielsweise „Boxpoison“ diese Plattform mit dem Ziel, über die Sun-Systeme Web-Server anzugreifen, die auf Microsofts Software „Internet Information Server“ laufen.

    Im Vergleich zu Windows ist die Anzahl der Unix- und Linux-Viren zwar verschwindend gering, doch gibt es laut Dirro für diese Systeme nur wenige On-Access-Scanner, die Störroutinen während des Dateizugriffs erkennen und eliminieren. Daher müssten Antivirenprodukte bereits in Hypertext-Transfer-Protocol-(HTTP-)Datenströmen Würmer ausfindig machen. Über dieses Protokoll kommunizieren Web-Browser und -Server miteinander. Zudem sei es bei kontinuierlich betriebenen Rechnern wie etwa Web-Servern erforderlich, Viren nicht nur in Dateien, sondern auch im Arbeitsspeicher ausfindig zu machen.

    Allerdings haben die Virenautoren Mittel und Wege gefunden, Antivirenwerkzeuge zu behindern oder sogar ganz zu entfernen - so geschehen beim Windows-Wurm „Klez.h“. Nur mit großem Aufwand seien dieser und andere Viren zu eliminieren. Erschwerend kommt hinzu, dass Windows-PCs mit NTFS-Dateisystem zwecks Virenbereinigung unter Umständen über eine entsprechende Boot-Diskette hochgefahren werden müssen, ein solcher Datenträger aber oftmals nicht zur Verfügung steht.

    Die Strategie mancher Unternehmen, auf lokale Client-Software zu verzichten und stattdessen Programme über Windows-Terminals bereitzustellen, erleichtert den Virenschutz kaum, meint der McAfee-Experte. „Damit verlagert man lediglich das Problem von den Desktops auf die Server.“ Unter Umständen führt dieses Konzept sogar zu größeren Problemen, da es Würmern so gelingen könnte, alle auf dem Terminal-Server laufenden Client-Sessions anzugreifen.

    Eine wichtige Schutzmaßnahme ist das Erkennen von Schwachstellen in Systemen, denn die meisten Viren und Würmer nutzen bekannte Lücken in Betriebssystemen und Applikationen aus. Nach Meinung von Klaus Hornung, Enterprise Technical Account Manager beim McAfee-Konkurrenten Symantec, dürfen auch Mainframes nicht mehr uneingeschränkt als sichere Bastion angesehen werden. Da die Rechnerboliden zunehmend mit TCP/IP-Funktionen ausgestattet sind und als Ablaufumgebung für Linux fungieren, müssten Anwender dies in ihren Sicherheitskonzepten berücksichtigen.


    ComputerWocheLink


    _________



    Sandboxen: Nimda und Code Red im Visier




    Von CW-Redakteurin Sabine Ranft.

    MÜNCHEN (COMPUTERWOCHE) - Unbekannte Viren lassen sich in vielen Fällen durch Sandbox-Systeme enttarnen. Eine simulierte Umgebung bildet eine Schleuse, in der das Verhalten ausführbarer Files untersucht wird, bevor sie in das richtige System gelangen. Die neueste Herausforderung: eine Version, die auch hybride Viren wie Nimda oder Code Red erkennt.

    An der Enttarnung unbekannter Viren beißen sich herkömmliche Antivirenscanner heute noch die Zähne aus. Sie reagieren meist auf Codesequenzen, die für einen bestimmten Virus charakteristisch sind. Einen zweiten Ansatz stellen heuristische Systeme dar: Sie suchen nach einer bestimmten Anzahl von Merkmalen, die das Infektionsverhalten mit sich bringt - zum Beispiel: eine Datei öffnet eine andere und trägt etwas ein. Das kann aber auch eine ganz reguläre Datei sein. „Die Fehlalarmquote ist deshalb sehr hoch, eine Analyse des Virus fehlt“, erklärt daher Volker Krause, Geschäftsführer von Norman Data Defense, die Schwäche der meisten Verfahren.


    Foto: IBM

    Quarantäne für Viren

    Die ebenfalls heuristische Methode der Sandbox-Systeme soll hier Abhilfe schaffen. Eine Sandbox ist eine virtuelle Umgebung, in der verdächtige Files gefahrlos getestet werden können. Sie stellt eine Art Quarantänestation für eingehende Dateien dar. Die Grundidee ist einfach: Repliziert sich ein File in der Sandbox, und ist das entstandene Duplikat wieder infektiös, handelt es sich um einen Virus. In diesem Fall wird das File nicht an das reale System weitergeleitet.

    Das Verfahren ist sicher, weil nichts physisch auf die Platte gespeichert wird, selbst wenn das Muster es versucht. Die Testumgebung muss Speichermedien, Input-Output-Manager, ROM, RAM, CPU und den Benutzer (Tastatureingaben etc.) simulieren. Der Teufel steckt jedoch im Detail: Auch wenn eine virtuelle Welt viele Aspekte abdeckt, fehlt immer irgendetwas, eine bestimmte API etwa oder ein Service. Daran können Viren unter Umständen bemerken, dass sie sich in einer virtuellen Welt befinden. Manche Erreger sind zudem wählerisch bezüglich ihrer Ziel-Files und wann sie etwas tun. Daher muss auch die Auswahl der Zieldateien in der Sandbox gut überlegt werden.

    Bei hybriden Viren wie Code Red oder Nimda ergeben sich weitere Schwierigkeiten. „Hybrid“ bedeutet in diesem Zusammenhang, die Viren verwenden auch klassische Hacker-Methoden zum Angriff. Sie nutzen Sicherheitslücken aus und verbreiten sich über E-Mail und Netzzugriffe. Um einem solchen Virus die Möglichkeit zur Verbreitung zu geben, muss die Simulationsumgebung diese Optionen offen lassen.

    Die grundlegende Frage ist also: Wie simuliert man ein Netz? Zum Glück werden nicht mehrere emulierte PCs benötigt, im Prinzip genügt ein Computer für eine LAN-Simulation. Eine Nachbildung der Schnittstellen und APIs ist allerdings erforderlich. Insbesondere muss der emulierte PC über Schreibzugriff auf geteilte Ressourcen verfügen sowie über die Option, mit einem simulierten SMTP-Server zu kommunizieren (E-Mail-Verkehr). Daraus ergeben sich verschiedene Fragen und Komplikationen. An der Umsetzung dieser Ideen arbeitet Norman Data Defense.

    Für viele Anwender ist jedoch ein anderes Handicap entscheidend: Will der Anwender überprüfen, ob das Programm etwas anstellt, müsse er dabei zugucken, legt Gernot Hacker, Senior Technical Consultant bei Sophos in Nieder-Olm, den Finger in die Wunde. „Das ist weit davon entfernt, bequem zu sein oder gar praktikabel in der täglichen Anwendung.“ Daher schränkt auch Krause ein: „Eine solche Emulation macht man nicht für jede Datei.“ Der Zeit- und Rechenaufwand wäre einfach zu groß.

    Ergänzende Maßnahme

    Das Verfahren eignet sich somit in erster Linie als ergänzende Maßnahme zu herkömmlichen Scannern. Beim On Access Scanning, einer ständigen Überprüfung auf Viren, die im Hintergrund läuft, kommt es nicht in Frage. Aber an Mail-Gateways, wo oft mehrere Antivirenprodukte parallel eingesetzt werden, ist ein kleiner Zeitverzug akzeptabel.

    Zwischen den Herstellern herrscht allerdings ein Dissens darüber, was eine Sandbox wirklich ist. „Wir sind die Einzigen, die in dieser Form eine Sandbox haben“, beansprucht Krause die Technik für Norman Data Defense. Die Sandboxen anderer Hersteller seien oft regelbasierende Systeme. Dem widerspricht Hacker von Sophos: „In gewissem Umfang nutzt jeder Hersteller eine Sandbox“, glaubt er. Ein Anbieter von Virenschutz-Tools simuliere beispielsweise ein Windows-Betriebssystem und überprüfe dabei lediglich, ob eine Datei versucht, E-Mails nach draußen zu schicken.

    Komprimierte Dateien


    Auch Sophos verwendet die Grundidee der Technik, aber auf eine noch speziellere Art und Weise. Viele Viren verstecken sich in verschlüsselten oder komprimierten Dateien, die sich erst entpacken, kurz bevor sie ausgeführt werden. Die Software „Code Emulator“ erkennt, welche Dekompressionsroutine läuft. Die führt sie aus und spiegelt der Datei vor, sie sei das Betriebssystem. An dem weiteren Verhalten der Datei erkennt das Programm dann, ob es sich um einen Virus handelt. Der Vorzug dieser Spezialisierungen liegt in einer merklichen Beschleunigung des Verfahrens. „Grundsätzlich handelt es sich schon um eine gute Idee, nur eben ein bisschen Performance-hungrig“, wertet Hacker abschließend und argumentiert, dass sich viele Dinge mittlerweile auch mit einer Personal Firewall in den Griff bekommen ließen.

    ComputerWocheLink
    _____________


    Zahlreiche Sicherheitslecks in ICQ entdeckt


    Hersteller reagierte bislang nicht; keine Patches verfügbar


    Die Sicherheitsfirma Secunia berichtet in einem aktuellen Security Advisory über zahlreiche Sicherheitslöcher in dem Instant Messenger ICQ. Der Hersteller Mirabilis bietet bislang keine Patches an, obwohl er bereits informiert wurde und diese Sicherheitslöcher in etlichen ICQ-Versionen stecken.

    Bei der Benutzung des ICQ-Mail-Clients kann ein Angreifer durch ein präpariertes UIDL-Feld über einen POP3-Server Zugriff auf das betreffende System erlangen. Zudem prüft der POP3-Client in ICQ weder die Betreffzeile noch das Datum auf eine korrekte Formatierung, worüber ein Angreifer mit Hilfe überlanger Betreff- und Datumszeilen ausführbare Programme starten kann.

    Bei der Installation neuer Funktionen prüft ICQ nicht die Echtheit der entsprechenden Routinen, so dass ein Angreifer durch eine Man-in-the-Middle- oder DNS-Spoofing-Attacke beliebige Software auf einem anderen System installieren kann. Ebenfalls mit einem Man-in-the-Middle- oder DNS-Spoofing-Angriff bringt man ICQ dazu, alle CPU-Rechenzeit zu verbrauchen, weil die Software nicht mit fehlerhaften HTML-Inhalten im Werbefenster klarkommt. Schließlich prüft ICQ nicht die Gültigkeit von GIF-Dateien, worüber ein Angreifer eine Denial-of-Service-Attacke ausführen kann.

    Nach Angaben von Secunia betreffen diese Sicherheitslecks die ICQ-Versionen 1.x, 99, 2000, 2001, 2002 sowie 2003a. Der Hersteller wurde im März und April 2003 darüber unterrichtet, reagierte allerdings bislang nicht darauf. Um die schlimmsten Sicherheitslecks zu umschiffen, sollte man nicht länger die E-Mail-Funktion in ICQ verwenden. Ansonsten bleibt nur als Ausweg, einen anderen ICQ-kompatiblen Instant Messenger oder einen ganz anderen Instant-Messaging-Dienst zu verwenden.

    GolemLink
     
  73. Versteck im Code: geheime Nachrichten in Executables

    Die diesjährige CodeCon 2003, ein nicht kommerzieller Entwickler-Event mit Workshop-Charakter, auf dem letztes Jahr beispielsweise die erste öffentliche Demonstration von Peek-A-Booty stattfand, nutzte der Informatik-Student Rakan El-Khalil, um sein Projekt Hydan (alt-englisch für verstecken) vorzustellen. Hydan weitet das Konzept der Steganografie auf Binärcode aus: Unscheinbarer Inhalt wird benutzt, um geheime Nachrichten zu transportieren. Was bei Bildern durch die für den Menschen nicht direkt sichtbare Manipulation von einzelnen Bits geschieht, bedarf bei Executables großer Sorgfalt, denn die Lauffähigkeit des Codes darf nicht beeinträchtigt werden. El-Khalil erreicht dies, indem funktional äquivalente Funktionspaare gleicher Länge einen versteckten Strom aus Nullen und Einsen kodieren. Im konkreten Fall verwendet Hydan Additions- und Subtraktions-Operationen des Intel Instruction-Set:

    ADD reg, KONSTANTE und SUB reg, -KONSTANTE führen zum gleichen Ergebnis, könnten also im Code vertauscht werden, wobei jedoch das Carry-Bit von beiden Operationen konträr gesetzt wird. Coder/Decoder müssen den Code eindeutig als Code erkennen, ihn analysieren und sich im Zweifelsfall gegen eine Vertauschung aussprechen. Dazu verwendet Hydan einen Disassembler, der bislang zwar MMX, aber weder 3Dnow noch SSE oder gar SSE2 kennt und so zuweilen an seine Grenzen stößt. Die Software ist allerdings als gut kommentierte C-Source auf El-Khalils Website verfügbar, sodass sie sich leicht ergänzen ließe.

    Die Kodierung von Informationen mit den beiden ADD- und SUB-Befehlen ist dann recht einfach: ADD steht für eine Null, SUB für eine Eins. Konsequent fortgeführt über ein ganzes Binary lässt sich so ein Binärstring zusammenbasteln, ohne dass die Länge des Binary verändert wird. Mittels statistischer Untersuchungen ließe sich der Unterschleif auffällig vieler SUB-Operationen aber wohl ebenso entdecken wie durch einen direkten Vergleich mit dem Original, so es denn vorhanden ist. Obwohl noch nicht optimiert, bringt Hydan zurzeit immerhin schon die US-Verfassung und die Declaration of Independence in Microsoft Word unter -- Microsoft wird sich geehrt fühlen. Das Verhältnis Nutzdaten zu Code liegt dabei bei circa 1/150, in der Bild-Steganografie werden üblicherweise Raten erreicht, die bis um den Faktor 10 höher ausfallen. Zukünftige Versionen von Hydan sollen laut Autor weitere Redundanzen im Code-Set ausnutzen können und sich robuster gegenüber Attacken wie dem Überschreiben zeigen, die vorliegende Ausgabe verschlüsselt Nachrichten bereits via Blowfish. Anwendungszwecke sieht der eifrige Student neben der Geheimnisträgerei in einer Art eingebetteter Signatur sowie als binäres Wasserzeichen.

    Ganz neu ist die Technik allerdings nicht: Eric Isaacson hat schon in den 80er Jahren mit ähnlichen Methoden den von unregistrierten Versionen seines A86-Assemblers erzeugten Object-Code gekennzeichnet. A86 nutzt die Tatsache aus, dass etwa der Befehl MOV AX,BX durch zwei verschiedene Opcodes vollkommen gleichwertig und in derselben Länge kodiert werden kann. Das binäre Wasserzeichen soll als Beweismittel gegen Raubkopierer vor Gericht dienen. Auch die Spezies der Cavity-Viren platziert sich in Executables, ohne deren Länge zu verändern. Solche Viren bedienen sich instruktionsfreier Platzhalter (mit Konstanten) im Code, wie sie etwa das Portable-Executable-Format (PE) unter Windows offeriert. (Tobias Engler) / (as/c't) / (jk/c't)

    HeiseLink

    ________


    SCO wirft Linux-Fans DoS-Attacken vor


    Die Auseinandersetzung um die angebliche Verletzung des geistigen Eigentums von SCO an Unix-Techniken scheint langsam etwas außer Kontrolle zu geraten: Nachdem die Server des Unix-Traditionshauses am vergangenen Freitag unter einem Denial-of-Service-Angriff fast zusammenbrachen, beschuldigt SCO nunmehr Mitglieder der Linux-Community, für die Attacke verantwortlich zu sein.

    SCO erklärte, ein Distributed-Denial-of-Service-Angriff (dDoS) habe bis zu 90 Prozent der Bandbreite im Backbone von SCOs Internet-Provider in Lindon (US-Bundesstaat Utah) aufgebraucht. Der Provider habe insgesamt 138 Maschinen identifiziert, die von den Angreifern für die Attacke mit dDoS-Tools infiziert wurden. Den eigentlichen Ursprung des Angriffs habe man aber noch nicht herausgefunden; der Provider bezeichnete den Angriff aber als zweitgrößten, den die Firma je erlebt habe.

    SCO-Sprecher Blake Stowell glaubt aber bereits zu ahnen, wer hinter dem Angriff steckt. Der sei innerhalb von 48 Stunden gefahren worden, nachdem IBM seine Antwort auf die Anschuldigungen von SCO wegen Urheberrechtsverletzungen vorgelegt habe: "Aufgrund dieser zeitlichen Nähe untersuchen wir sehr sorgfältig, ob es eine Verbindung gibt zwischen SCOs juristischen Schritten und einigen aus der Linux-Community, die SCO wegen des Bestehens auf seine Rechte feindlich gegenüberstehen." Unglücklicherweise hätten einige Programmierer, die mit SCOs Firmenpolitik nicht übereinstimmen, die Gefährlichkeit von Cyber-Terrorismus ignoriert. "Dies ist ein Fehler auf Seiten der Leute, die daran beteiligt sind, denn wir werden dies strafrechtlich verfolgen, und zwar mit aller Härte des Gesetzes, und wir werden alles dafür tun, um sicherzustellen, dass es für das Begehen dieses Verbrechens eine gerechte Strafe gibt", betonte Stowell.

    Die SCO Group -- vormals Caldera -- hatte IBM auf eine Milliarde US-Dollar Schadensersatz verklagt, weil IBM im Rahmen seiner Linux-Initiative geistiges Eigentum von SCO gestohlen haben soll. Einige Patente, Urheberrechte und Kerntechnologien im Besitz von SCO datiert das Unternehmen auf das Jahr 1969 zurück, als in den Bell Laboratories der erste Unix-Quellcode programmiert wurde. Das berühmt-berüchtigte geistige Eigentum von AT&T an Unix -- und die damit verbundenen, seit 1983 von AT&T erhobenen teuren Unix-Lizenzen -- wurde später an Novell Networks verkauft. Die Netzwerk-Spezialisten wollten einst mit einem eigenen Unix reüssieren. Novell wiederum verscherbelte die Besitztümer später an SCO.

    Mit der Übernahme von OpenServer und UnixWare durch Caldera ging das geistige Eigentum an den AT&T-Unix-Entwicklungen dann an Caldera über und landete durch deren Umbenennung wieder bei der SCO Group. Nach Interpretation von SCO gehören dem Unternehmen damit die Rechte an AT&Ts Ur-Unix und damit auch an allen modernen Unix-Versionen inklusive Linux, die laut SCO alle von Unix System V abgeleitet sein sollen. Einige der Vorwürfe, die SCO gegenüber IBM erhebt, resultieren zudem aus dem Monterey-Projekt, bei dem beide Firmen an einem 64-Bit-Unix für Intel-Prozessoren arbeiteten. IBM wies die Vorwürfe bereits in einer Eingabe bei Gericht als haltlos zurück.

    Bei SCO glaubt man aber zudem belegen zu können, dass Teile des Source-Codes des eigenen Unix-Systems in das frei erhältliche Linux kopiert wurden und wirft daher auch SuSE und Red Hat Verletzung der eigenen Rechte vor. SuSE allerdings sieht sich, unabhängig davon, dass man die Anschuldigungen für unhaltbar ansieht, durch Cross-Licensing im Rahmen der Kooperation bei der United-Linux-Initiative auf der sicheren Seite. Von Linux-Protagonisten werden die Versuche von SCO, sich durch Lizenzen neue Einnahmequellen zu erschließen, zwar als "Anschlag auf das Herz der Community" bezeichnet, aber keineswegs als Anlass für dDoS-Attacken. Denn so richtig ernst zu nehmen erscheint SCOs Vorgehen vielen nicht: Bruce Perens etwa beschrieb das Vorgehen von SCO als Selbstmordversuch, Eric S. Raymond nannte es vollständig bescheuert. (jk/c't)


    HeiseLink
     
  74. Eine Liste der beliebtesten Security-Tools

    Eine Umfrage zu Security Tools in der Mailingliste nmap-hackers liefert einen Überblick populärer Angriffs- und Abwehrwerkzeuge. 1854 Teilnehmer konnten jeweils acht Tools ihrer Wahl nennen. Erwartungsgemäß sind unter den meist genannten Tools Scanner wie Nessus und Whisker, die Sniffer Ethereal und Snort und der Passwortcracker John the Ripper. Trotzdem lohnt der Blick in die Rangliste, da im Vergleich zu vorangegangen Umfragen interessante Tools hinzugekommen sind.

    Einige davon sind nicht wirklich neu, die Platzierung von Ettercap auf Platz 9 zeigt aber beispielsweise, dass Man-in-the-Middle-Attacken nicht mehr zu den exotischen Angriffsszenarien zu rechnen sind. Ettercap ist ein Werkzeug, dass automatisiert ARP-Spoofing in geswitchten Netzwerken durchführt und damit TCP/IP-Verkehr über Lauschrechner umlenken kann. Aufgrund der freien Verfügbarkeit von Ettercap sollte zukünftig wohl häufiger mit dieser Angriffsart gerechnet werden. (dab/c't)


    HeiseLink


    ________


    Automatische Schwachstellenanalysen im Netzwerk per Software


    Internet Scanner 7.0 von Internet Security Systems


    Internet Security Systems (ISS) bietet ab sofort die Sicherheits-Software Internet Scanner 7.0 an. Als integraler Bestandteil der Sicherheitsplattform Dynamic Threat Protection führt das Programm automatische Schwachstellenanalysen im Netzwerk durch. Internet Scanner erkennt potenzielle Risiken durch verteilte oder ereignisgesteuerte Überprüfungen von Netzwerk-Services, Betriebssystemen, Routern, Switches, Servern und Firewalls.

    Die Software unterstützt die von ISS angebotene zentrale Management-Anwendung RealSecure SiteProtector und dessen Modul SecurityFusion. Durch die Kombination dieser Lösungen können Unternehmen große Mengen an Intrusion-Detection-Ereignissen sowie Informationen über Schwachstellen analysieren und miteinander korrelieren. Damit werden die Daten übersichtlich zusammengefasst und die Gefahren klar priorisiert.

    "Durch die Zusammenfassung von Stand-alone-Technologien wie Intrusion Protection, Schwachstellenanalyse, Firewall und Abwehrmechanismen in eine zentrale Management-Plattform verbessert Dynamic Threat Protection deutlich die Fähigkeit des Unternehmens, das heutige, sich ständig ändernde Gefahrenspektrum effektiv zu entdecken, sich davor zu schützen und darauf zu reagieren", so Volker Pampus, Geschäftsführer ISS Deutschland. "Dynamic Threat Protection bietet den Unternehmen nicht nur den bestmöglichen Schutz ihrer Netze, sondern erhöht auch den Return ihres Sicherheits-Investments."

    Nach Registrierung kann man auf der amerikanischen Website des Unternehmens eine Testversion herunterladen. Preise gibt es nur auf Anfrage.

    GolemLink


    ________



    Spam soll zukünftig wettbewerbswidrig sein


    Das Kabinett hat am gestrigen Mittwoch einen Entwurf zur Neuregelung des Gesetzes gegen den unlauteren Wettbewerb vorgelegt, der erstmals Werbe-E-Mails, -Faxen und -Anrufe als wettbewerbswidrig erklärt. Danach ist eine "unzumutbare Belästigung" anzunehmen bei "einer Werbung unter Verwendung von automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post, ohne dass eine Einwilligung der Adressaten vorliegt".

    Derartige Werbeformen sind zukünftig nur zulässig, wenn ein Unternehmen die Kontaktdaten im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten und der Kunde die Nutzung nicht untersagt hat. Damit entspricht die Neuregelung weitgehend der bisherigen Rechtsprechung zu Spam. Die Rechtstellung von betroffenen Privatpersonen und Unternehmen verbessert der Entwurf allerdings nicht -- klagen dürfen nur direkte Mitbewerber, Verbraucherverbände sowie die Industrie- und Handelskammern.

    Am Spam-Aufkommen wird das neue Gesetz ohnehin nicht viel ändern -- schließlich kommt ein Großteil des Werbemülls aus dem Ausland, und Spammer aus Tuvalu, den Bahamas oder den USA kümmern sich erfahrungsgemäß wenig um deutsches Wettbewerbsrecht.

    In einem Artikel auf c't aktuell beschäftigt sich Heise-Juistiziar Joerg Heidrich ausführlich mit der Gesetzesnovelle:

    Gesetzes-Novelle mit Schwachstellen beim Spam-Schutz


    HeiseLink


    __________



    Sicherheitslücken.....


    Programmcode ausführbar in Windows Media Player
     
  75. Rückkehr der Phone Phreaker?


    Allem Misstrauen gegenüber Voice-over-IP im LAN und WAN zum Trotz, sind Angebote für VoIP-Dienste von Telekommunkationsdienstleistern mittlerweile nahezu Standard in deren Portfolio. Selbst internationale Verbindungen, abgerechnet über Calling Cards, laufen bereits über VoIP, ohne dass der Kunde dies merken würde.

    Matt Barrie, Sicherheitsexperte und ehemaliger Betreuer von Packet Storm, weist darauf hin, dass VoIP-Dienste potenziell ähnlichen Angriffen ausgesetzt sind wie früher die analoge Telefonie. Seinerzeit erschlichen sich so genannte Phone Phreaker kostenlose Telefonate, indem sie die Inband-Signalisierung von Telcos wie AT&T und Telekom überlisteten. Nötig waren dazu Blue, Black oder Red Boxes, die Töne bestimmter Frequenzen an die Vermittlungsstelle sendeten, um etwa ein Verbindungsende vorzutäuschen und trotzdem weiter zu telefonieren.

    Eine kürzlich gefundene Schwachstelle im SIP-Protokoll gibt einen ersten Vorgeschmack auf kommende Probleme. Barrie macht darauf aufmerksam, dass nicht nur kostenloses Telefonieren ein Problem werden könnte, auch das Mitsniffen von VoIP-Verkehr beziehungsweise das Umrouten von Telefonaten ist prinzipiell möglich. Protokolle zur Authentifizierung und Verschlüsselung werden zwar von VoIP unterstützt, jedoch meist aus Performancegründen nicht verwendet, da die Sprachqualität wegen der höheren Verzögerungen leidet. (dab/c't)

    HeiseLink


    ______



    Passport-Lücke kann Microsoft teuer kommen



    FTC: 11.000 Dollar pro betroffenem User

    Redmond (pte, 9. Mai 2003 08:09) - Die gestern bekannt gewordene Sicherheitslücke im Passport-Service kann Microsoft teuer zu stehen kommen. Wie der US-Dienst Cnet berichtet, könnte sich jetzt die Federal Trade Commission (FTC) http://www.ftc.gov der USA dem Vorfall annehmen. Microsoft hat im vergangenen Jahr einen Vergleich mit der Behörde über die Sicherheit der Passport-Daten geschlossen. Damals hatte sich das Unternehmen verpflichtet, keine falschen Angaben über die Sicherheit der Daten im Passport-System zu machen.

    Eine Untersuchung könnte zu einer Strafe von 11.000 Dollar pro festgestelltem Verstoß gegen das Abkommen mit der FTC führen. Bei 200 Mio. Passport-Usern summiert sich die mögliche Schadenssumme für Microsoft auf bis zu 2,2 Bio. Dollar. Ob die FTC Microsoft eine Strafe aufbrummt und wie hoch diese ausfällt, hängt allerdings davon ab, inwieweit dem Softwarekonzern Nachlässigkeit nachgewiesen werden kann. Die in den vergangenen Tagen bekannt gewordene Sicherheitslücke im Passportsystem erlaubt einem Angreifer, nur mit der E-Mail-Adresse des Users, den Zugriff auf alle gespeicherten Userdaten einschließlich Name, Adresse und Kreditkartennummer. Microsoft hatte die Sicherheitslücke innerhalb weniger Stunden behoben. (Siehe auch pte-Meldung: http://www.pte.at/pte.mc?pte=030508015 ) (Ende)


    PresseTextLink
     
  76. Symantec-Tool spürt Sicherheitslecks in vernetzten Rechnern auf

    MÜNCHEN (COMPUTERWOCHE) - Symantec hat die Software "Symantec Vulnerability Assessment 1.0" angekündigt. Sie soll unsichere Rechner und Anwendungen im Netz aufspüren. Dazu werden auf den einzelnen Hosts SESA-Agenten (Symantec Enterprise Security Agent) installiert, die die Rechner auf Schwachstellen in der Konfiguration und fehlerhafte Anwendungen prüfen. Über ein Web-Tool können Administratoren die Lecks beseitigen und Patches einspielen. Dabei lässt sich die Dringlichkeit der zu erledigenden Aufgaben festlegen.

    Durch die Verbindung zur Datenbank des "DeepSight Alert Network" von Symantec, in der bekannte Sicherheitslücken gelistet sind, bekommen Anwender sicherheitsrelevante Nachrichten in Echtzeit, verspricht der Hersteller. So melde der Dienst zum Beispiel das Erscheinen von Bugfixes und integriere die Information in das Administrationswerkzeug. Unter anderem könne sich auch die angezeigte Dringlichkeitsstufe für einzelne Lecks ändern, wenn zum Beispiel ein Patch via Auto-Update auf Rechnern eingespielt werde.

    Zudem hat Symantec das Tool "Incidant Manager" auf den Versionsstand 2.0 gebracht. Verbesserungen betreffen vor allem Echtzeit-Korrelationsfunktionen. Außerdem gibt es neue Tracking-Features, durch die sich redundante Ereignisberichte aufspüren lassen sollen. Für identifizierte Sicherheitslücken lassen sich mittels "Risk Analysis Engine" Risikoanalysen für verschiedene Unternehmensbereiche erstellen. Die Software, die ab 75.000 Dollar zu haben ist, lässt sich mit dem neuen Vulnerability Assessment integrieren. Das Symantec Vulnerability Assessment 1.0 kostet knapp 800 Dollar pro Server und 150 Dollar pro Client. (lex)


    ComputerWocheLink

    ____


    SSL-Sicherheitsleck in Safari-Browser und Konqueror Embedded


    Zertifizierung einer SSL-Verbindung kann manipuliert werden


    Gemäß einem Sicherheitsbericht von Secunia weist sowohl der Apple-Browser Safari als auch Konqueror Embedded ein Sicherheitsleck auf, wodurch ein Angreifer dem Nutzer die korrekte Zertifizierung einer SSL-Verbindung vorgaukeln kann. Die Desktop-Ausführung von Konqueror betrifft dieses Sicherheitsleck nicht.

    Die Ursache für eine falsche Zertifizierung einer SSL-Verbindung liegt in einer fehlerhaften Abfrage des Common Name eines SSL-Zertifikats. Ein Angreifer könnte dies über DNS-Spoofing ausnutzen, berichtet Secunia. Dadurch kann ein Nutzer nicht sicher sein, ob sich eine SSL-Seite richtig authentifiziert, so dass die Entdecker der Lücke von einer Nutzung von SSL-Seiten mit Safari und Konqueror Embedded abraten. Ein Patch existiert derzeit für beide Browser nicht.

    GolemLink

    _______


    NRW-Nameserver umgeht Sperrungsverfügung [Update]


    Websperren will gelernt sein. Ausgerechnet ein Nameserver in der Domain der Landesregierung Nordrhein-Westfalen erlaubt es, die in dem Bundesland geltende Sperrungsverfügung gegen zwei Webseiten zu umgehen.

    Wie die Kölner Sektion des Chaos Computer Clubs (CCC) berichtet, ist unter der offiziellen Domain des Landes der Nameserver nic.netzagentur.nrw.de (131.220.4.1) zu erreichen, der weiterhin die korrekte IP-Adressen der eigentlich zu sperrenden Domains liefert.

    DNS-Sperren bei Providern sind das einfachste, aber wenig erfolgversprechende Mittel um Seiten von ausländischen Servern zu blockieren. Dazu muss der Provider in seinen eigenen DNS-Servern einen gefälschten Eintrag anlegen. Will ein Kunde die Seite aufrufen, wird er zu einer falschen IP-Adresse geleitet. Davon betroffen ist nicht nur der Http-Verkehr, alle Internet-Daten werden so in die Irre geleitet. Wer als Kunde eines solchen Providers einen nicht manipulierten Netzzugang haben will, muss lediglich einen anderen Nameserver in seiner Netzkonfiguration eintragen. Dazu eignet sich auch der vom CCC gefundene Server in der Domain der Landesregierung.

    Wie die in der vergangenen Woche außer Kraft gesetzten Website-Sperrungen in der Schweiz zeigen, haben auch die Anbieter unzulässiger Seiten keine großen Schwierigkeiten, solche Blockaden zu umgehen. Nur kurz nach dem Erlass einer Sperrungsverfügung hatten die betroffenen Seiten Ausweichquartiere gefunden, die weiterhin problemlos erreichbar waren. Zudem war nur ein Teil der Schweizer Provider von der Anordnung betroffen.

    Unter der Ägide der Bezirksregierung Düsseldorf war vor über einem Jahr mit der Entwicklung eines komplexeren Filtersystems begonnen worden. Nach Angaben der am Projekt beteiligten Firma Webwasher ist das Konzept "Filterpilot" Ende 2002 als prinzipiell funktionstüchtig vorgestellt worden. Allerdings ist mit dem System nur eine eng begrenzte Zahl von Websperren zu realisieren, die administrativen Probleme sind offenbar noch ungeklärt. (Torsten Kleinz)/ (tol/c't)


    HeiseLink

    ___


    Keine Panik bei den Netzbürgern


    Dem Kriminologischen Seminar der Universität Bonn zufolge, fühlt sich die Mehrzahl der Netzbürger im Cyberspace weitgehend sicher. Das geht aus den Ergebnissen einer Online-Umfrage zum Thema "Sicherheit und Delinquenz im Internet" hervor, die die Bonner Wissenschaftler in den vergangenen Monaten durchgeführt haben.

    Insgesamt 1419 Teilnehmer gaben Auskunft über ihre Cyber-Opfer-Betroffenheit zu Delikten wie Auktions-Betrug, Hacking, Dialer-Betrug, Viren und Hoaxes, Spam-Mail und Kinder-Porno-Seiten. Neun von zehn Internet-Nutzern haben schon negative Erfahrungen mit unerwünschten Spam-Mails gesammelt. Zwei Drittel gaben an, bereits negative Erfahrungen mit Viren gemacht zu haben, immerhin jeder fünfte wurde nach eigenen Angaben schon einmal Opfer eines 0190-Dialers. Ebenso gaben zehn Prozent an, bei Internet-Auktionen betrogen worden zu sein. Auch Cyber Stalking -- das Belästigen anderer Personen im Chat, Usenet oder per E-Mail -- verbreitet sich. Ein Drittel der Frauen unter den Befragten gaben an, bereits online belästigt worden zu sein.

    Trotz der relativ verbreiteten Gefahren fühlen sich über achtzig Prozent beim Surfen im Internet weitgehend sicher. Zum Schutz vor Cyber-Crimes fordern die Befragten vor allem eine intensivere Aufklärung über wirksame Selbstschutz-Möglichkeiten und den Ausbau von technischen Sicherungssystemen; nur jeder Dritte spricht sich für mehr strafrechtliche Kontrollen aus. (dab/c't)


    HeiseLink


    ____________

    Aktuelle Sicherheitslücken

    Benutzeraccounts gefährdet in .NET Passport
     
  77. Computerschädling Fizzer überholt Klez.H

    Nach einem Jahr "Tabellenführung" entthront

    Wien (pte, 13. Mai 2003 15:08) - In der Rangliste der aktuell meistgefundenen Computerschädlinge des international tätigen Anti-Viren-Spezialisten Ikarus http://www.ikarus-software.at ist heute, Dienstag, nach über einem Jahr Tabellenführung der Schädling "Klez.H" entthront worden. In den letzten 24 Stunden sind etwa dreimal so viele Fizzer aufgetaucht wie Klez.H-Würmer. Selbst in den eher ruhigen Mittagsstunden wurden in den mailserver-seitigen Schutzprogrammen von Ikarus stündlich mehr als 1.000 Fizzers erkannt - damit waren etwa 2,5 Prozent aller gescannten Mails allein mit diesem Wurm verseucht.

    Laut Ikarus-CEO Joe Pichlmayr ist der Höhepunkt aber schon vorbei: "Die höchsten Werte haben wir sicher gestern Abend gesehen. In ein paar Tagen wird Klez.H die Tabellenführung zurückerobert haben", erzählte er pressetext.austria, "Was uns aber wundert, ist, dass noch immer so viele Fizzer-Mails eintreffen. Dabei sind die Virendefinitionen seit gestern Vormittag aktualisiert und die meisten Admins dürften ihre Mailserver upgedatet haben. Offenbar haben wir unterschätzt, wie stark (die Nutzung von) IRC verbreitet ist." Fizzer kommt nicht nur über E-Mail, sondern auch via IRC (Internet Relay Channels), das Filesharing-Netz KaZaA oder sonst in Netzwerken gemeinsam genutzte Daten auf die Rechner. Der Virenschutzexperte bezeichnete den Fizzer-Wurm als "stärkere Mittelklasse", der auf Dauer dem "sehr clever agierenden" Klez.H nicht den Rang ablaufen könne.

    Dennoch sei es wichtig, jede noch nicht aktualisierte Virenschutzsoftware sofort upzudaten und auch in Zukunft aktuell zu halten. "Einmal die Woche ist zuwenig." Denn eine Verseuchungsrate von fünf Prozent aller Mails sei völlig normal. "Das ist ein Hintergrundrauschen, das niemanden mehr aufregt. Durch Spitzen wie Fizzer kann das auf sechs, sieben Prozent steigen. Zehn Prozent erreichen wir nur bei besonders starken Ausbrüchen, wie wir sie etwa mit Klez oder dem Loveletter erreicht haben."

    Heute Abend könnte die Fizzer-Kurve noch einmal ansteigen, schätzt Pichlmayr: "Viele Privatuser haben nicht upgedatet und klicken auf ihnen unbekannte Attachments. Und sie merken auch gar nicht, dass ihr Computer befallen wurde und den Schädling weiterschickt, solange sie nicht danach suchen." Der Großteil der mit Fizzer befallenen Mails komme aus den Kabelnetzen, in denen viele User sehr unvorsichtig Filesharing betreiben würden.

    Detailinfos zu Fizzer siehe http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&show=I-Worm.Fizzer
    Ein kostenloser Fizzer-Remover kann von der Ikarus-Site heruntergeladen werden. (Ende)


    PresseTextLink

    _______


    Iran verstärkt Internet-Zensur


    MÜNCHEN (COMPUTERWOCHE) - Die iranischen Behörden haben rund 15.000 Web-Seiten gesperrt. Betroffen sind Internet-Angebote mit "unmoralischen" Angeboten oder unerwünschten politischen Inhalten, die sich etwa über Religion oder über iranische Politiker lustig machen. Das Internet - geschätzte zwei Millionen Iraner können darauf zugreifen - hat sich in dem Land als eine alternatives Informationsmedium etabliert. Allein in den letzten drei Jahren wurden im Iran 80 Zeitungen und Magazine verboten. (ho)


    ComputerWocheLink


    _______


    Kerio Personal Firewall löchrig


    Der Sicherheitsdienstleister Corelabs meldet in einem Advisory zwei Sicherheitslöcher in der beliebten Kerio Personal Firewall. Die gefundenen Löcher beziehen sich auf Fehler in der Remote-Administration und der dabei notwendigen Authentifizierung. Durch einen Designfehler kann trotz der Verschlüsselung der Verbindung eine Replay-Attacke durchgeführt werden.

    Wird ein gültiger Administrationszugriff mit einem Sniffer im Netzwerk aufgezeichnet, können alle in der Session vorgenommenen Einstellungen reproduziert werden, wenn die Aufzeichnung wieder an die Firewall gesendet wird. Denkbar ist der Mitschnitt eines Zugriffes, bei dem bestimmte Ports kurzzeitig geöffnet werden, um sie später ebenfalls wieder zu öffnen. Der Fehler basiert auf der fehlenden Nummerierung von Sessions, um sie voneinander unterscheiden zu können, wie Corelabs berichtet.

    Darüber hinaus kann durch einen Buffer Overflow im Authentifizierung-Handshake der Firewall beliebiger Code in den Stack des Systems kopiert und ausgeführt werden. Dazu muss sich ein Angreifer nur mit dem Administrationsport verbinden und eine bestimmte Paketfolge senden. Eine erfolgreiche Authentifizierung ist für diesen Angriff nicht erforderlich, ein erster Exploit ist bereits verfügbar

    Betroffen sind Version 2.1.4 und alle vorhergehenden. Empfohlen wird der Upgrade auf Version 2.1.5 oder das Abschalten der Remote-Administration. Die für Heimanwender kostenlose Firewall schützt den Desktop vor Angriffen aus dem Internet und dem lokalen Netzwerk. Ein Vergleich verschiedener Personal Firewalls findet sich in c't 22/02. (dab/c't)

    HeiseLink


    _________


    Firewall-1 soll vor Schwachstellen in Applikationen schützen



    Die gestern angekündigte Integration der Applikation Intelligence Technology in die Firewall Suite Next Generation des Sicherheitsherstellers Checkpoint verspricht besseren Schutz vor Application-Level-Attacken. Potenzielle Buffer Overflows, mittlerweile täglich in Security-Foren beschrieben, sollen zukünftig schon an der Firewall geblockt werden. Verdächtig große Parameter und Header in Protokollen verwirft die Firewall einfach.

    Eine vom FBI und SANS Institute veröffentlichte Liste der Top 20 der gefährlichsten Schwachstellen beinhaltet viele Applikationen, die über HTTP, SMTP und FTP kommunizieren und bisher nicht ausreichend gegen Attacken und Exploits geschützt sind. Web-Services zur Kommunikation von Business-Anwendungen über Netzwerke wie XML-RPC und SOAP oder WebDAV als Netzwerkordner verwenden ebenfalls Protokolle wie HTTP und bieten somit neue Angriffspunkte. Die neue Technik analysiert nach Angaben des Herstellers nicht nur die Gültigkeit der Befehle im entsprechenden Protokoll, sondern auch deren Schlüssigkeit. Checkpoint hat die Freigabe der Erweiterung für den 3. Juni angekündigt. Sie soll kostenlos verfügbar sein.

    Während die Sicherheitserweiterungen in Checkpoints Lösungen erst implementiert werden, bieten Hersteller wie Kavado und Teros bereits Sicherheitslösungen für Applikationen an. Microsoft hält ebenfalls das Tool URL-Scan bereit, mit dem bekannte HTTP-Attacken gegen den Webserver IIS abgewehrt werden. Die sichere Konfiguration eines Servers ersetzen alle genannten Produkte dennoch nicht. (dab/c't)


    HeiseLink
     
  78. Neuer Wurm könnte Samba-Bug ausnutzen

    Mehrere bereits gemeldete Schwachstellen in Samba 2.2.8 und Samba-TNG 0.3.1 könnten nach Angaben von Securityfocus Angriffspunkte für einen neuen Wurm sein. Ein automatisiertes Tool, das Beobachtungen zufolge derzeit nur FreeBSD angreift, installiert eine trojanisierte Version von SSH und öffnet Port 44444 für eingehende Verbindungen. Ob es sich tatsächlich um einen Wurm handelt, ist noch nicht bestätigt, die Art der Verbreitung deutet aber darauf hin. Sollte sich die Vermutung bestätigen, werden wir Warnhinweise veröffentlichen.

    Zum Schutz vor Angriffen auf Samba aus dem Internet sollten entsprechende Regeln auf einer Firewall definiert sein. Meist reicht das Sperren der UDP-Ports 137 und 138 und der TCP-Ports 139 und 445 aus. Ist keine Firewall vorhanden, sollten die entsprechenden Patches der Distributionen eingespielt werden oder Samba abgeschaltet werden. (dab/c't)

    HeiseLink

    ________


    CCC veranstaltet "Gulasch Programmier Nacht"


    Vom 23. bis zum 25. Mai findet die zweite Gulasch Programmier Nacht statt. Neben einer Vielzahl von Vorträgen gibt es ein Hackcenter, das zum Basteln, Coden und Experimentieren einladen soll. Alternativ kann an einem Hackerjeopardy, an Lockpicking-Einführungen des SSD e.V. oder Vorführungen von Independentfilmen der Filmwerkstatt Karlsruhe teilgenommen werden. Teilnehmer können eigene Hardware mitbringen und an das Netzwerk im Hackcenter anschließen; ein WLAN-Access-Point zur Anbindung mobiler Cracker wird ebenfalls aufgebaut. Neben einem FTP-Server und Debian-Mirror steht eine schmalbandige Verbindung zum Internet zur Verfügung.

    Ausgerichtet wird die Veranstaltung vom Chaos Computer Club Karlsruhe und Entropia e.V. in den alten Pfaffwerken in Durlach. Nach Angabe des CCC war der Ansturm im vergangenen Jahr so groß, dass man sich in diesem Jahr für einen neuen Veranstaltungsort entschieden hat. Die Teilnahme kostet bis zu 15 Euro. (dab/c't)


    HeiseLink


    _______
    Aktuelle Sicherheitslücken:

    Denial of Service in MS RPC
     
  79. USA: "Buffalo-Spammer" muss hinter Gitter

    MÜNCHEN (COMPUTERWOCHE) - Howard Carmack, besser bekannt unter der Bezeichnung "Buffalo-Spammer", wurde verhaftet. Ihm wird vorgeworfen, seit März vergangenen Jahres über 800 Millionen unerwünschte Werbe-E-Mails an illegal beschaffte Adressen versandt zu haben. Er soll dabei 343 verschiedene Namen genutzt haben. Der zuständige New Yorker Anwalt betonte, dass das Versenden von unerwünschte E-Mails nicht per se eine kriminelle Handlung sei. Im Fall von Cormack kämen die Erschleichung von Dienstleistungen sowie der Diebstahl von Daten dazu. Der 36-jährige war bereits in der vergangenen Woche zu einer Schadensersatzzahlung von 16,4 Millionen Dollar an den Provider Earthlink verurteilt worden. Er hatte nicht nur durch das Datenaufkommen finanziellen Schaden bei dem Online-Provider verursacht, sondern auch unter Angabe falscher Identitäten E-Mail-Konten eröffnet. (ho)


    ComputerWocheLink

    ________


    BITKOM und Bund gründen IT-Notfallzentrum für Mittelständler


    MÜNCHEN (COMPUTERWOCHE) - Der BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) e.V. hat gemeinsam mit dem Bundesinnen- und -wirtschaftsministerium ein IT-Notfallzentrum für den Mittelstand gegründet. Die Private-Public-Partnerschaft wird von weiteren Partnern finanziell unterstützt, darunter Datev, Deutsche Telekom, Giesecke & Devrient, Microsoft, PSINet, SAP sowie Symantec.
    Das "Mcert" (M für Mittelstand, Cert für Computer Emergency Response Team) soll möglichst rasch kundenspezifische Informationen zu neuen Viren und Hacker-Bedrohungen sowie Gegenmitteln (Software-Updates und -Patches) bereitstellen und spezielle Beratungsleistungen anbieten und dabei mit den entsprechenden Netzwerken von Bund, Wirtschaft und Hochschulen kooperieren. Die Trägergesellschaft Mcert - Deutsche Gesellschaft für IT-Sicherheit mbH ist eine 100-prozentige BITKOM-Tochter. Deren Geschäftsstelle wird gerade in Berlin aufgebaut, der Praxisbetrieb soll noch im Sommer beginnen. Interessierte können sich einer Mitteilung zufolge bereits jetzt auf der Web-Seiten der Firma informieren und als potenzielle Nutzer vormerken lassen. (tc)


    ComputerWocheLink
     
  80. Fizzer: KaZaA ruft zum Virenkampf

    P2P-User sollen Anti-Virus-Software aktivieren

    Sydney/Wien (pte, 16. Mai 2003 10:41) - Sharman Networks, Betreiber des P2P-Filesharing-Netzes KaZaA http://www.kazaa.com , ruft zum Kampf gegen Viren. Anlässlich der anhaltenden Verbreitung des Computerschädlings Fizzer http://www.pte.at/pte.mc?pte=030513041 werden alle KaZaA-User aufgerufen, den in der P2P-Software enthaltenen Virenschutz zu aktivieren. Der Fizzer-Wurm verbreitet sich nicht nur per E-Mail, sondern auch über IRC (Internet Relay Chat) und eben P2P-Netze. Letzteres dürfte für den besonderen "Erfolg" von Fizzer verantwortlich sein.

    In der Rangliste der aktuell meistgefundenen Computerschädlinge des international tätigen Anti-Viren-Spezialisten Ikarus http://www.ikarus-software.at hat der neue Wurm den bereits lange bekannten "Klez.H" nach über einem Jahr unangefochtener Führung von der Tabellenspitze abgelöst. Obwohl Fizzer erst seit etwa einer Woche im Umlauf ist, führt er auch schon in der Statistik für die letzten drei Wochen. Thomas Mandl von Ikarus sagt dem aktuellen Wurm noch eine große Zukunft voraus. Gegenüber pressetext.austria sagte er: "Der Peak ist wohl noch nicht erreicht. Es ist zwar schwer vorherzusagen, aber ich vermute, dass die Zahlen noch hinaufgehen werden. Fizzer ist deshalb so erfolgreich, weil er sich insbesondere bei KaZaA-Usern verbreitet. Und dort sind sich leider viele User der Problematik nicht bewusst."

    So mancher Anwender dürfte den im KaZaA-Client enthaltenen Virenscanner BullGuard Lite http://www.bullguard.com nicht aktiviert haben oder die Virendefinition nicht auf dem jeweils aktuellen Stand halten. Dadurch kann sich Fizzer durch heruntergeladene Dateien einschleichen, ohne dass der Computerbenutzer etwas davon bemerkt. Befallene PCs werden wiederum als Brückenkopf zur Weiterverbreitung per E-Mail, IRC und P2P missbraucht. Entsprechend rufen sowohl Sharman Networks als auch BullGuard dazu auf, den Scanner zu aktivieren und auch die Virendefinitionen, beispielsweise über das automatische Aktualisierungsfeature, up-to-date zu halten. Auch im Ad- und Spyware-freien KaZaA lite http://www.k-lite.tk ist der kostenlose BullGuard enthalten. (Ende)


    PresseTextLink

    ____


    NTBugTraq kritisiert unzuverlässige Windows-Update-Funktion


    Windows-Update-Funktion bietet mitunter wichtige Sicherheitspatches nicht an


    Laut der Windows-Fehlersuche-Community NTBugTraq hat sich Microsofts Windows-Update-Funktion zumindest in den letzten Tagen als wenig vertrauenswürdig gezeigt. Nutzer, die sie aufgerufen haben, erhielten nach erfolgter Überprüfung die Meldung, dass ihr Windows auf neuestem Stand sei, obwohl kritische Updates gar nicht installiert waren oder Fehler vorlagen; damit würden Windows-Anwender in trügerischer Sicherheit gewogen.

    Bereits vor einem Jahr wurde auf NTBugTraq die ausschließliche Überprüfung der Registry durch die Windows-Update-Routine sowie viele weitere Probleme kritisiert. Bisher habe Microsoft auch nach mehreren Hinweisen nicht darauf reagiert, so dass Ross Cooper von NTBugTraq Microsoft nicht mehr als vertrauenswürdig einschätzt und entsprechend skeptisch in Bezug auf die "Trustworthy Computing"-Bemühungen des Redmonder Softwareriesen ist. Die Autoupdate-Funktion hätten gerade Unternehmen wegen mangelnden Vertrauens für Microsoft bzw. Windows XP deaktiviert.

    Damit das Windows Update bei Fehlern und fehlenden Updates bzw. Patches nicht meldet, dass alles in Ordnung sei, seien folgende Dinge unabdingbar: 1. Das Systemdatum muss hinreichend akkurat sein, 2. die Internet-Explorer-Spracheinstellungen müssen gesetzt sein, könnten aber zwischendurch verschwinden. Selbst wenn dem nicht so sei, sollte man bei Problemen einfach eine zusätzliche weitere Sprache einstellen, was Probleme beheben könne. 3. Es dürfe kein Netzwerklaufwerk verbunden sein, das eine größere Kapazität besitze als die Festplatten im System, 4. bei einer Geräte-Neuinstallation müsse man darauf achten, dass man den IE nicht angewiesen hat, auf zurückgezogene Zertifikate zu überprüfen, 5. man sollte als Administrator von dem System aus prüfen, das auch aktualisiert werden soll, entweder müssten alle Systeme das gleiche OS einsetzen oder man müsste mehrere Systeme separat auf vorliegende Updates überprüfen. 6. man sollte im Windows-Update-Link HTTPS anstelle von HTTP nutzen, wenn Windows Update sagt, dass keine Patches vorliegen. Einige andere Möglichkeiten zur Problemlösung sei eine unbestimmte Wartezeit, man sollte es also in verschiedenen Abständen immer mal wieder versuchen, wenn wichtige Patches nicht angeboten werden. Erst als letzte Möglichkeit nennt Ross Cooper eine Kontaktaufnahme mit Microsoft, auch wenn er dieser nicht viel Erfolg zuspricht, da man ihm selber nie auf seine Hinweise und Fragen geantwortet habe.

    GolemLink

    _______


    US-Behörden nehmen Spammer ins Visier


    MÜNCHEN (COMPUTERWOCHE) - US-Behörden unter der Federführung der Federal Trade Commission (FTC) wollen künftig verstärkt gegen Spam und Internet-Betrügereien vorgehen. Unter dem Namen Netforce haben sich die FTC, die US-amerikanische Börsenaufsicht Security and Exchange Commission (SEC), sowie Postbehörden und verschiedene Anwälte aus mehreren US-Bundesstaaten zusammengeschlossen. 45 Klagen gegen Spammer und andere Anbieter unlauterer Offerten im World Wide Web (WWW) laufen bereits. So wurden beispielsweise in Texas mehrere Anbieter unseriöser Finanzdienstleistungen angeklagt. Sie hätten in Massenwerbe-Mails falsche Angaben zu Renditen gemacht. In New Jersey haben die Internet-Wächter das Unternehmen Alyon Technologies vor den Kadi gezerrt, weil die Firmenverantwortlichen über Dialer-Programme Internet-Nutzer ohne deren Wissen auf das eigene Netz umgeleitet und dabei oftmals unverhältnismäßig hohe Gebühren für Fernverbindungen kassiert hätten. Über tausend Anwender haben sich bereits über diese Praktiken beschwert, berichtet Mark Groman, Verbraucherschützer bei der FTC. Allerdings hielten sich die Internet-Schurken nicht an Landesgrenzen, warnt Greg Abott, Staatsanwalt aus Texas. Deshalb müsse man versuchen, auch außerhalb der USA zu wirken. So versuche Netforce mit dem Open Relay Projekt offene Netz-Server, über die Spammer ihre Massen-Mail in Umlauf bringen, abzusichern. Über 1000 dieser ungesicherten Systeme in 59 Ländern habe man bereits identifiziert und deren Betreiber aufgefordert, Sicherheitsmechanismen einzuführen. (ba)


    ComputerWocheLink


    _____


    Mehr Sicherheit durch Open Source?


    Auf dem BSI-Kongress in Bonn diskutierten heute Experten darüber, ob Open Source für mehr IT-Sicherheit sorge. Magnus Harlander von der Sicherheits-Firma GeNUA bezeichnete die Behauptung "Open Source ist unsicher" als "Unfug". Andererseits bedeute "Open-Source-Software", dass sie nicht nur "open for read", sondern auch "open for write" sei. Die Transparenz von Open-Source sei eine Option für mehr Sicherheit, aber keine Gewissheit.

    Harlander wies darauf hin, dass es sichere Software nur durch "institutionalisierte Review-Prozesse" geben könne: Man müsse Software während der Produktion und des Roll-Out testen und dokumentieren. Ein kontrolliertes Change-Management sei ebenfalls nötig. Roman Drahtmüller von Linux-Distributor SuSe pflichtete Harlander darin bei, meinte jedoch: "Sie können 25 Leute eine Open-Source-Software prüfen lassen, doch auch sie können Fehler übersehen."

    Harlander wies darauf hin, dass es auch bei Open-Source-Software Hintertüren gebe. So habe es Jahre gedauert, eine "gezielt platzierte Hintertür" in dem weltweit verbreiteten WU-FTP zu finden. Auch bei Open SSL wurden erst jetzt schwerwiegende Programmierfehler bei einer Prüfung gefunden. Open Source sei deshalb kein Garant dafür, dass es keine Hintertüren gebe. Kommerzielle Anbieter von proprietärer Software könnten schließlich ihren Kunden oder auch einer externen Instanz den Code für Prüfungsverfahren zur Verfügung stellen. Würden dann Hintertüren auffliegen, hätte dies "ernste Konsequenzen".

    Drahtmüller erinnerte daran, dass die "Absicht" beim Erstellen von Hintertüren entscheidend sei: Wurden sie vom Hersteller selbst, von Programmierern oder von Eindringlinen eingebracht? So brachen etwa Cracker in ein offenbar nur unzureichend gesichertes Open-Source-Entwicklerportal ein und hinterließen Hintertüren bei Open SSL, Sendmail und einem FTP-Demon, die jedoch rasch entdeckt wurden.

    "In den vergangenen drei Jahren wurden sämtliche Hintertüren binnen 18 Stunden mit Hilfe eines MD5-Prüfsummenvergleichs entdeckt", behauptete Roman Drahtmüller. Sein Unternehmen könne binnen zwei Minuten auf diese Weise sämtliche SuSe-Versionen prüfen. Ob die Software auf dem Distributionsweg verändert wurde, könnten Nutzer selbst feststellen: Sie könnten aus dem Sourcecode dieselben Binär-Pakete herstellen wie der Hersteller selbst. SuSe unterschreibe zudem jedes Paket kryptografisch. Auch die Programmierer würden inzwischen auch zunehmend ihre Werke kryptografisch signieren.

    Der Distributor hat kürzlich seinen Suse Linux Enterprise Server zur Prüfung bei der BSI-Zertifizierungsstelle angemeldet. Damit wolle er eine Brücke schlagen zwischen der Behauptung "Wir wissen was drin ist" und der Tatsache "Wir haben es nicht geschrieben", sagte Drahtmüller. Zum Thema Haftung will sich Drahtmüller erst im Juli auf dem Linux-Tag in Karlsruhe äußern. (Christiane Schulzki-Haddouti) / (anw/c't)


    HeiseLink


    ______



    Routing-Tabellen unter Linux anfällig für Denial-of-Service-Attacken (Update)


    Nutzt ein Angreifer die gefundene Schwachstelle aus, reichen 400 IP-Pakete pro Sekunde, um ein Linux-System zum Stillstand zu bringen. Eine bereits im Februar veröffentliche Studie zu Low-Bandwidth-Denial-of-Service-Attacken weist auf die Gefahr hin, mit wenig Bandbreite in kurzer Zeit Server zu crashen.

    Der Fehler basiert auf der Behandlung neuer Routen und wie sie in den Routing-Cache einsortiert werden. Um schnell herauszufinden, über welche Schnittstelle ein Antwortpaket zu verschicken ist, führt der Kernel so genannte Hash-Tabellen. In diesen lassen sich einzelne Einträge über Schlüssel schnell nachschlagen. Das bringt aber nur dann etwas, wenn die Einträge einigermaßen gleich über alle Schlüssel verteilt sind. Erhält der Linux-Kernel nun Pakete mit speziell gefälschten Quelladressen, sortiert er (fast) alle Einträge unter einem Schlüssel ein (table collision). Dies führt nach Angaben von Red Hat zu einer hohen CPU-Last, bis hin zum Stillstand des Systems. Da unter Linux nicht nur Router mit solchen Hash-Tabellen arbeiten, sind auch Server oder Desktops mit Netzwerkverbindung betroffen. Bisher ist uns kein öffentlicher Exploit zu diesem Angriff bekannt. Sollte ein solcher auftauchen, besteht die Gefahr, dass Skript-Kiddies versuchen, in großem Stil Linux-Rechner lahmzulegen,

    Frühere Distributed-Denial-of-Service-Attacken gegen Webportale brachten diese durch die extrem hohe Anzahl von Verbindungen zum Stillstand. 400 Pakete pro Sekunden lassen sich mit einer Modemverbindung leicht bewerkstelligen. Als Betroffener kann man sich gegen solche Angriffe eigentlich nur durch einen entsprechenden Kernel-Patch schützen.

    Langfristig ist zu hoffen, dass die Provider etwas gegen Angriffe mit gefälschten IP-Quelladressen unternehmen. Sie können dazu auf ihrem Einwahl-Routern beziehungsweise an den Übergängen zu anderen Netzen Pakete verwerfen, die dort nichts zu suchen haben, weil sie zum Beispiel nicht aus ihrem Netz stammen. Das machen zwar bereits einzelne Provider, wirkliche Abhilfe schafft das aber erst, wenn es flächendeckend praktiziert wird.

    Alle auf dem 2.4-Kernel basierenden Linux-Distributionen dürften von dem Bug betroffen sein. Red Hat stellt bereits einen Patch zur Behebung des Fehlers zur Verfügung. (dab/c't)


    HeiseLink
     
  81. Sind die letzten Tage der Freiheit gezählt?

    Von Sebastian Wündisch, Rechtsanwalt in der Kanzlei Nörr Stiefenhofer Lutz sowie Lehrbeauftragter für Medien- und IT-Recht an der Technischen Universität Dresden.

    MÜNCHEN (COMPUTERWOCHE) - Noch in diesem Jahr wird im Bundestag ein neues Urheberrecht verabschiedet. Es sieht einschneidende Veränderungen für die zulässige Nutzung digitaler Werke vor. Betroffen sind sowohl der berufliche als auch der private Bereich.


    Foto: Photodisk

    Es ist so weit: Schenkt man dem Feuilleton der „Süddeutschen Zeitung“ Glauben, so steht die Übernahme der mächtigsten Demokratien der Welt durch ein zentral gelenktes Industriekartell unmittelbar bevor. Der freie Zugang zu Wissen werde unter die Kontrolle einer selbst nicht kontrollierbaren Allianz der Großindustrie gestellt. Durch eine unmittelbar bevorstehende Änderung des Urheberrechtsgesetzes soll diese Herrschaft rechtlich abgesichert und staatlich sanktioniert werden.

    Tatsache ist, dass das Urheberrecht als originäres Schutzrecht von Software und Content vor einer Novellierung steht, die einen Paradigmenwechsel in seiner Geschichte bedeutet. Erstmalig schützt das Gesetz nämlich Vorrichtungen, die den Zugang zu urheberrechtlich geschützten Werken beziehungsweise deren Nutzung technisch verhindern. Nicht erst die Kopie des Werkes, sondern bereits die Umgehung des Kopierschutzes beziehungsweise der Verkauf und sogar die Bewerbung entsprechender Tools stellen künftig schon strafbare Urheberrechtsverletzungen dar. Warum diese gravierenden Maßnahmen?

    Nach heutigem Verständnis belohnt die Rechtsordnung den Urheber für seine geistige Leistung mit einer dem Eigentum vergleichbaren Rechtsposition, um ihm die finanzielle Beteiligung an der Verwertung seiner Schöpfung zu sichern. Denn nur wenn der Urheber, in der Regel gegen Entgelt, in die Vervielfältigung, Verbreitung oder Bearbeitung eingewilligt hat, kann ein Dritter diese Handlungen vornehmen, ohne mit Unterlassungs- und Schadensersatzansprüchen rechnen zu müssen. Hier zeigt sich der wesentliche Nachteil des geistigen Eigentums im Unterschied zum körperlichen: Letzteres kann bereits vor Diebstahl geschützt werden, indem man es in einen Tresor legt.



    Dem geistigen Eigentum fehlt dieser natürliche Schutz, da das Urheberrecht nur an der geistigen, immateriellen Leistung seines Schöpfers besteht. Der Rechteinhaber kann daher lediglich mittels der Rechtsordnung unerlaubte Nutzungen unterbinden. Zur sinnvollen Verwertung seiner Rechte ist er jedoch darauf angewiesen, Vervielfältigungsstücke seines Werkes in den Verkehr zu bringen, sprich zu verkaufen. Wenn aber Kopien an Dritte verkauft werden oder diese sich auf andere Weise Zugang zu einem Werk verschaffen, wird dem Rechteinhaber die Kontrolle darüber entzogen, ob der Käufer weitere Kopien anfertigt und damit - sofern er nicht dazu berechtigt ist - geistigen Diebstahl begeht.

    Digitalisierung und Internet

    Spätestens Mitte der 90er Jahre wurde deutlich, dass die digitale Revolution nur mit der Erfindung der Buchdruckkunst vergleichbare Auswirkungen auf den Schutz und die Verwertung geistiger Werke wie Musik, Fotografien, Filme, Bücher sowie Software hat. Plötzlich war es nicht nur möglich, vom Original nicht unterscheidbare Kopien eines Werkes in nahezu unbegrenzter Anzahl herzustellen, sondern diese auch durch das Internet an eine ebenfalls unbegrenzte Vielzahl von Adressaten weiterzugeben. Der gesetzliche Schutz vor unerlaubter Vervielfältigung und Verbreitung stand mit einem Mal nur noch auf dem Papier; die Kontrolle und Durchsetzung des Urheberrechts war angesichts der jetzt möglichen Anzahl von Kopien wie auch der unzähligen Verbreitungswege kaum noch zu gewährleisten.

    Technischer Kopierschutz

    Als Folge daraus wurde die Entwicklung von Kopierschutzmechanismen forciert. Auf diese Weise sollen die ebenfalls technisch bedingten Fortschritte in der Kopier- und Verbreitungstechnik ausgeglichen werden. Da jede technische Verschlüsselung oder sonstige Schutzvorrichtung irgendwann umgangen werden kann, werden nun mit Hilfe einer Änderung des Urheberrechtsgesetzes (UrhG) der eigentlichen Urheberrechtsverletzung vorausgehende Handlungen unter Strafe gestellt. Die neuen Paragrafen 95 a ff. UrhG sehen folgende Regeln vor:

    Verbot der Umgehung von Zugangs- und Kopierschutzvorrichtungen;
    Verbot der Herstellung, des Verkaufs und der Werbung im Hinblick auf Vorrichtungen, Erzeugnisse sowie Dienstleistungen, deren Ziel die Umgehung von Zugangs- und Kopierschutzvorrichtungen ist;
    Verbot der Entfernung von digitalen Wasserzeichen und sonstiger Hinweise auf den Rechteinhaber.

    Diese neuen Vorschriften werden voraussichtlich noch in diesem Jahr vom Bundestag verabschiedet. Das Urheberrecht wird also ausgeweitet und umfasst künftig nicht nur das Verbot unerlaubter Vervielfältigung und Verbreitung des Werkes als solches. Bereits die Umgehung von Zugangs- beziehungsweise Kopierschutzmaßnahmen wird mit bis zu drei Jahren Gefängnis bestraft. Außerdem werden auch die Hersteller und Vertreiber entsprechender „Umgehungsmaßnahmen“ - ohne dass sie selbst Kopien herstellen oder den Kopierschutz umgehen - zu Straftätern.

    Die Weichen für den verstärkten Schutz geistigen Eigentums im digitalen Zeitalter sind - von der Öffentlichkeit weitgehend unbemerkt - schon Mitte der 90er Jahre auf internationaler Ebene gestellt worden; die jetzige Anpassung des deutschen Urheberrechts ist nur der Abschluss dieser Entwicklung. Aufgrund der zwingenden internationalen Vorgaben ist kaum mit wesentlichen Änderungen im laufenden Gesetzgebungsverfahren zu rechnen.

    Umgesetzt wird der technische Urheberschutz durch zahlreiche Maßnahmen der Rechteinhaber, die unter den Stichworten Digital-Rights-Management (DRM), TCPA und Palladium die Fachpresse beherrschen. Auf diese Weise sollen die Rechner der Endverbraucher direkt und individuell kontrolliert werden und damit die Nutzung von ausschließlich legal lizenzierter Software und Content sicherstellen.

    Mittels dieses Instrumentariums können die Verwerter ihre Rechte direkt auf den Endgeräten der User verwalten und die Nutzung individuell abrechnen. Durch Vereinbarungen mit dem jeweiligen Endnutzer (End-User-Agreements) werden zusätzliche vertragliche Pflichten begründet. Ob damit nicht doch der gläserne Nutzer geschaffen wird, muss die Zukunft zeigen, wobei der rechtliche Anknüpfungspunkt weg vom Urheberrecht auf die Gebiete des Datenschutzes, des Persönlichkeitsrechts wie auch vor allem des Kartellrechts verlagert wird. Es erscheint aber angesichts der Sensibilität der User nicht ausgeschlossen, dass Kontrollexzessen der Rechteinhaber wirksam begegnet werden kann.

    Bisher war es gesetzlich zulässig, dass Privatpersonen einzelne Kopien von urheberrechtlich geschützten Werken (mit Ausnahme von Software) zum privaten Gebrauch anfertigen. Dieses so genannte Recht auf die Privatkopie soll im Grundsatz auch nach der Gesetzesänderung erhalten bleiben. Sofern ein geschütztes Werk mit technischen Maßnahmen vor der Vervielfältigung geschützt wird, ist der jeweilige Rechteinhaber verpflichtet, dem Endnutzer zur Herstellung von Privatkopien den Kopierschutz zu entsperren.

    Nichtdigitale Kopien

    Freilich soll diese Verpflichtung nur für die Anfertigung nichtdigitaler Kopien auf analogen Trägern gelten, da das Gesetz nur eine „fotomechanische“ Vervielfältigung auf Papier oder einem ähnlichen Träger erlaubt. Das zulässige Speichermedium für die Privatkopie wird aus dem digitalen Umfeld herausgelöst und auf analoge Datenträger beschränkt. Von dem Recht auf die Privatkopie ausgeschlossen bleibt jedoch individuell abrufbarer Content wie Video on Demand oder wirtschaftlich vergleichbare Dienste wie Pay per View. Hier hat der Nutzer keinen Anspruch auf eine Entsperrung durch den Rechteinhaber.

    Das konzertierte Vorgehen von Industrie und Gesetzgebung legt tatsächlich den Schluss nahe, dass die letzten Tage der Content-Freiheit gekommen sind. Richtig ist dies allerdings nur dann, wenn man den Gratiszugriff auf von Dritten geschaffenen und urheberrechtlich geschützten Content beziehungsweise Software als Ausdruck dieser Freiheit versteht. Diese Nutzung war aber bereits nach bisherigem Urheberrecht unzulässig, praktisch jedoch kaum zu verfolgen. Vielfach wird nun argumentiert, der freie Zugang zu Wissen werde durch die geplanten und in Umsetzung befindlichen Maßnahmen behindert, wenn nicht gar ausgeschlossen.

    Free Access vs. Access for free

    Free Access zu Wissen, Information und Unterhaltung sollte jedoch nicht mit Access for free verwechselt werden. Bei aller notwendigen Skepsis darf eines nicht vergessen werden: Wovon soll die viel zitierte „Wissens- und Informationsgesellschaft“ leben, wenn ihre Produkte, also die Verkörperung von Wissen und Information, nicht effektiv vor Ausbeutung durch Dritte geschützt werden? Über den Grad dieser Effektivität lässt sich sicher streiten, über das Bedürfnis eines verstärkten Schutzes geistiger Werke nicht.


    ComputerWocheLink

    _______


    Wurm kommt als .PIF-Attachment vorgeblich von Microsoft


    Wien (pte, 19. Mai 2003 12:14) - Der Wiener Anti-Viren-Spezialist Ikarus http://www.ikarus-software.at schlägt Alarm. Ein brandneuer Wurm feiert derzeit fröhliche Urständ' und dürfte in den nächsten Stunden tausende Windows-Systeme befallen. Er kommt per E-Mail-Attachment mit .PIF- oder .PI-Ednung und ist etwa 50KB groß, allerdings wird in vielen Windows-Installationen die Dateiendung nicht angezeigt. International wurde er auf zwei verschiedene Namen getauft, "Palyh" und "Mankx". "Wir haben innerhalb weniger Minuten 100 infizierte Mails erhalten", berichtet Ikarus-CEO Joe Pichlmayr, "Das droht ein Großer zu werden. Ich gehe davon aus, dass wir in Kürze einige Tausend infizierte Mails abgefangen haben werden."

    Der Schädling nutzt keine Sicherheitslücke in der Systemsoftware, sondern mangelndes Gefahrenbewusstsein von Usern aus: Er kann nur durch Öffnen des Attachments aktiviert werden. Um die User dazu zu verleiten, tarnt er sich mit der Absenderadresse "support@microsoft.com" als Nachricht aus Redmond. Subject- und Attachment-Bezeichnung sind variabel. Ist Palyh einmal aktiviert, bringt er seine eigene Versandroutine mit, ist also nicht auf das Vorhandensein bestimmter E-Mail-Software angewiesen. Laut Pichlmayr verteilt sich der in der vergangenen Nacht erstmals aufgetauchte Virus gerade über den gesamten Globus. Auch in der pressetext.austria-Redaktion sind bereits Exemplare eingetrudelt, die vom Virenschutz aber identifiziert werden konnten.

    Der Wurm durchsucht im infizierten System alle Dateien mit den Endungen .TXT, .EML, .HTML, .HTM, .DBX und .WAB und verschickt sich an alle darin enthaltenen E-Mail-Adressen. Außerdem verteilt er sich über Netzwerke, an die der infizierte PC angeschlossen ist. Er versucht sich in das Auto-Start-Verzeichnis aller angebundenen Windows-Systeme zu kopieren. Darüber hinaus schreibt er neue Einträge in die Registry und dokumentiert die Liste aller E-Mail-Adressen, an die er sich versandt hat, in einer "hnks.ini" genannten Datei im Windows-Verzeichnis. Eine Datei namens "mdbrr.ini" im gleichen Verzeichnis speichert die Konfiguration des Wurmes.

    Wie auch der Fizzer-Wurm http://www.pte.at/pte.mc?pte=030513041 , der es als erster Schädling nach einem Jahr geschafft hatte, Klez.H von der Spitze der Virenrangliste zu vertreiben, verfügt Palyh über eine Updatefunktion. Er kann sich bis Ende Mai selbst durch den Aufruf einer bestimmten Website aktualisieren und dadurch potenziell zusätzliche Schadensroutinen erhalten.

    Die Tips von Virendoktor Pichlmayr: "Stehen Sie jedem ausführbaren Dateianhang kritisch gegenüber. Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben. Und aktualisieren Sie die Virendefinitionen ihrer Anti-Viren-Software regelmäßig." Die großen Antivirensoftware-Hersteller bieten bereits entsprechende Downloads an. (Ende)


    PresseTextLink
     
  82. Microsoft gründet Anti-Viren-Allianz

    Um Informationen über Viren besser austauschen zu können, hat Microsoft die Virus Information Alliance (VIA) ins Leben gerufen. Das teilt das Unternehmen im MS-TechNet mit. An der VIA beteiligen sich die auf Virenbekämpfung spezialisierten Sparten von Microsoft, Trend Micro und Network Associates. Ziel der Allianz ist es, Erkenntnisse über neue Viren, Würmer und andere Schädlinge zu teilen und dadurch schneller Gegenmaßnahmen entwickeln zu können.

    Ein neuer Bereich im MS-TechNet enthält neben Ausführungen zu den Charakteristika einer Attacke auch aktuelle Viruswarnungen. Zusätzlich werden verschiedene Tipps, Tools und weitergehende Informationen zu Viren mit hohem Verbreitungsgrad auf der Seite zur Verfügung gestellt. (svh/c't)


    HeiseLink

    _______


    Neuer Wurm tarnt sich als E-Mail von Microsoft


    MÜNCHEN (COMPUTERWOCHE) - Die großen Hersteller von Antivirensoftware warnen vor einem neuen Mail-Wurm, der sich als Nachricht von support@microsoft.com ausgibt. Der als "Palyh" oder "Mankx" bezeichnete Schädling verwendet verschiedene, griffige englischsprachige Betreffzeilen und transportiert seinen Code über einen Anhang mit der Dateiendung .pif (Tipp: Immer die Windows-Einstellung "Endungen bei bekannten Dateitypen ausblenden" in den Explorer-Voreinstellungen deaktivieren - dann erkennt man solche Würmer meist schon anhand des Typs). Er verankert sich bei Ausführung im System und vervielfältigt sich mit eignem SMTP-Versand über Einträge im Windows-Adressbuch, anderswo im System gefundene Mail-Addressen und Netzwerk-Shares. Aktuelle Virendefinitionen erkennen Palyh/Mankx bereits. (tc)



    ComputerWocheLink

    ___


    Internetproxy als Angriffsplattform missbraucht



    Hugo Vázquez Caramés und Toni Cortés Martínez von Infohacking haben Schwachstellen bei Internetproxies aufgedeckt. Betroffen sind der Inktomi Traffic-Server und Microsofts ISA-Server. Die genannten Produkte werden vielfach eingesetzt: In Spanien, dem Herkunftsland der Sicherheitsexperten, setzt Telefonica flächendeckend Inktomi Traffic-Server ein, Microsofts Internet Security and Acceleration Server (ISA) wird von vielen Unternehmen als Firewall eingesetzt.

    Grundlage der Löcher sind falsch behandelte Anfragen der Webbrowser. Ein Angreifer kann Scripting-Code in eine HTTP-Anfrage einbauen, die der Proxy nicht vollständig ausfiltert. Klickt ein Benutzer auf einen manipulierten Link in einem HTML-Formular, so kann der Angreifer dort Code innerhalb von Script-Tags versteckt haben, folgender Code nutzt die Schwachstelle im ISA-Server aus:


    PHP:
    xmlHttp.setRequestHeader("Via""CODE_INJECTED_IN_VIA_HEADER\
    <skript>alert\(\"ISA_SERVER_XSS_by_INFOHACKING\"\)\<\/skript>"
    )
    Der Browser des Opfers folgt nun einem Link auf einen Server, der im Proxy einen Fehlerzustand verursacht. Aufgrund der falschen Behandlung der übergebenen Parameter wird der Code wieder an den Browser zurückgesendet. Im Browser wird nun je nach Sicherheitseinstellung der Code ausgeführt und erlaubt Zugriff auf Cookies. Die Cookies werden aber nun an den Server des Angreifers gesendet. Diese Cross-Site-Scripting-Angriffe setzen voraus, dass der manipulierte Link auf einen Server führt, dem der Benutzer vertraut. Der Browser muss also diesen Server als "vertrauenswürdige Site" konfiguriert haben und Cookie-Anfragen zulassen. Cookies können unter anderem auch Authentifizierungsdaten für Websites enthalten.

    In der Mailing-Liste Full-Disclosure erschien heute ebenfalls der Hinweis auf eine Cross-Site-Scripting-Schwäche auf den Servern des Internic. Das Internic ist einer der größten Registrare für Domänen und betreut mehrere tausend Kunden. Dieser Link demonstriert die Schwachstellen, stellt aber keinen Angriff dar. (dab/c't)


    HeiseLink
     
  83. "Pit of Confusion" soll RIAA-Schnüffelsoftware ausbremsen

    Erste User ergreifen Gegenmaßnahmen gegen Schnüffelsoftware (so genannte "Spider"), die das Internet abgrasen, um illegale MP3-Websites aufzuspüren. So hat ein Hacker namens "salimfadhley" als erste Reaktion darauf, dass zunehmend mehr Anwender zu Unrecht der illegalen Verbreitung urheberrechtlich geschützten Materials bezichtigt werden -- etwa kürzlich ein Mitarbeiter der Pennsylvania State University --, ein PHP-Script namens "Pit of Confusion" geschrieben, das den Schnüffelprogrammen mehrere Websites mit Links auf MP3-Dateien erzeugt, die tatsächlich aber nur auf Datenmüll zeigen.

    Trifft der Spider auf derartig präparierte MP3-Links, übermittelt der Server eine der Fake-Dateien. Um den Spider möglichst lange zu beschäftigen, drosselt ein spezieller im Script integrierter Downloadmanager künstlich die Datenübertragung. Das PHP-Script erzeugt zudem aus einer Wortliste und bekannten Künstlernamen zufällige Songtitel und erstellt daraus eine HTML-Seite mit entsprechenden Links. Diese Seiten laden erschreckend langsam -- ebenfalls kein Bug, sondern ein konfigurierbares Feature. Zusätzlich werden Links zu weiteren ebenfalls mit dem Script erzeugten Seiten angelegt, um den Spider so lange wie möglich zu beschäftigen.

    Ob diese Gegenmaßnahmen erfolgreich sind, bleibt abzuwarten. Denn auf derartige Seiten fällt nicht nur die Schnüffelsoftware der RIAA herein, sondern möglicherweise auch so mancher unbedarfter MP3-Fan, der dann schnell gefrustet das Handtuch werfen könnte. Im Endeffekt würde auch dies helfen, die illegale Verbreitung urheberrechtlich geschützten Materials über MP3-Webseiten einzudämmen. (svh/c't)


    HeiseLink

    _______


    Windows-Firewall scheitert an IPv6


    Microsoft empfiehlt: "Besorgen Sie sich Software, die das kann"

    Redmond/Wien (pte, 21. Mai 2003 14:02) - Microsoft http://www.microsoft.com hat zugegeben, dass die mit den Betriebssystemen Windows XP und Windows Server 2003 mitgelieferten Firewalls an IPv6 scheitern. Sie filtern nur IPv4-Daten, lassen IPv6-Traffic aber ungehindert durch. Die offizielle Workaround-Empfehlung des Software-Riesen lautet: "Besorgen Sie sich Firewall-Software, die IPv6-Traffic filtern und blockieren kann."

    "Die praktischen Auswirkungen dieser Lücke sind zur Zeit noch gering. Eigentlich haben nur Provider mit Backbone-Anschluss und internationalen Verbindungen IP Version 6 in Betrieb", sagte Florian Leeber vom Netzwerkspezialisten GHL http://www.ghl.at dazu pressetext.austria. Gleichzeitig merkte Leeber an, dass die gegenwärtig bei Microsoft-Betriebssystemen mitgelieferten Software-Firewalls generell nur über geringen Funktionsumfang und damit beschränkte Sicherheit verfügten.

    IPv6 ist noch nicht sehr verbreitet, allerdings gibt es bereits einige Provider, die die längeren IP-Adressen anbieten. In mehr und mehr Ländern werden aufgrund des Mangels an IPv4-Adressen konkrete Einführungspläne geschmiedet. Als erstes Land möchte Taiwan http://www.ipv6.org.tw/eng/index_E.shtml komplett auf IPv4 verzichten.

    Microsofts Knowledge-Base-Eintrag kann unter http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q306203 nachgelesen werden. (Ende)


    PresseTextLink


    ________



    Computerkriminalität geht nur scheinbar zurück


    Während in den Vorjahren ein stetiger Anstieg der Computerkriminalität zu verzeichnen war, ist diese 2002 auf den ersten Blick um 27,5 Prozent auf 57.488 Fälle gesunken. Sieht man genauer hin, so weist die polizeiliche Kriminalstatistik (PDF) darauf hin, dass sich die Systematik bei der Erfassung der Straftaten geändert hat. Ab 2002 werden Fälle von betrügerischer Ausnutzung des Lastschriftverfahrens nicht mehr unter Computerkriminalität verbucht. Zählt man für einen Vergleich mit dem Vorjahr diese 40.346 Fälle zur jetzt berücksichtigten Gesamtzahl hinzu, so kommt man auf einen Anstieg um 23 Prozent. Immerhin hat sich damit das Tempo der Zunahme, die im Jahr 2001 noch bei 40 Prozent lag, wieder etwas verringert.

    Die polizeiliche Kriminalstatistik fasst jetzt unter Computerkriminalität Computerbetrug (minus 45 Prozent), Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten (minus 27 Prozent) sowie mit Konto- oder EC-Karten mit PIN (kein Vergleich möglich), private (plus 16 Prozent) und gewerbsmäßige (plus 90 Prozent) Softwarepiraterie, Datenveränderung und Computersabotage (plus 54 Prozent) und Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung (plus 75 Prozent). Besonders hoch war mit ungefähr 95 Prozent die Aufklärungsquote bei der Softwarepiraterie. Im Durchschnitt wird die Hälfte der Computerdelikte aufgeklärt.

    Insgesamt stieg 2002 die Zahl der polizeilich erfassten Straftaten um 2,3 Prozent auf 6.507.394. Mit einem Anteil von 0,9 Prozent spielt die Computerkriminalität damit nach wie vor eine eher untergeordnete Rolle. (anm/c't)


    HeiseLink

    _____


    Fizzer-Virus offenbar gehackt



    Virusexperten des britischen Unternehmens IC5 Networks und der "Fizzer Task Force", einem Zusammenschluss von rund 50 IRC-Netzwerkern, ist es offensichtlich gelungen, den Wurm W32/Fizzer zu entschärfen. Fizzer treibt seit dem 8. Mai sein Unwesen, installiert auf den befallenen Systemen unter anderem eine IRC-Backdoor und nimmt Kontakt zu einer Website auf den Geocities-Servern auf, um von dort neue Instruktionen herunterzuladen.

    Diesen Umstand machten sich die Sicherheitsexperten zu Nutze: IC5 Networks übernahm die Geocities-Website und präparierte sie mit Code, der den Wurm von dem infizierten System entfernt. Will Fizzer sein subversives Werk beginnen, zerstört er sich selbst. Software-Entwickler der Antiviren-Firma Trend Micro wollten dieser für Anwender einfachen und eleganten Lösung genauer auf den Grund gehen, "aber als wir auf die Geocities-Website zugriffen, konnten wir die modifizierte Datei nicht finden", sagt Rommel Ramos von Trend Micro. IC5 Networks war bis jetzt für eine Stellungnahme nicht erreichbar.

    Einen Virus zu entschärfen sei prinzipiell erst einmal eine gute Sache, meint Cary Nachenberg, Chefentwickler bei Symantec, jedoch könne man damit auch mehr Schaden als Nutzen anrichten, solange man nicht wisse, wie der Wurm genau funktioniert. Der "One-Half-Virus" von 1999 zum Beispiel verschlüsselte auf einem infizierten System sämtliche Daten, enthielt aber auch den Dekodierungsschlüssel, also die Lösung des Problems. Hätte man damals den Virus einfach von befallenen Rechnern entfernt, wären die verschlüsselten Daten für immer verloren gewesen. Der richtige Weg bestand vielmehr darin, erst den Dekodierungcode zu sichern, dann den Virus zu entfernen und schließlich seine Daten wieder herzustellen.

    Die Lösung von IC5 Network mache es den Anwendern zu einfach und erziehe nicht zu sicherheitsbewußtem Verhalten, meint Joe Hartman, Direktor der Entwicklungsabteilung von Trend Micro. Bereits vorhandene Virenscanner seien in der Lage, Fizzer zu stoppen, und Benutzer mit befallenen Systemen würden sich nicht ausreichend um Sicherheitsmaßnahmen kümmern, ergänzt Hartmann. Auf lange Sicht sei daher der Ansatz, Antiviren zu schreiben, die dann den ursprünglichen Virus attackieren und zerstören, keine gute Idee. (ku/c't)

    HeiseLink

    ________


    Neue und alte Sicherheitslücken beunruhigen Windows-Nutzer


    Der Internet Explorer 6.0 unter Windows 2000 erlaubt einmal mehr das Einschleusen und Ausführen von beliebigem Code. Eine präparierte HTML-Seite öffnet Frames mit Aufrufen, um lokale Dateien zu öffnen oder zu starten. So weit kein Problem, da zu jedem Aufruf explizit die Bestätigung des Benutzers erforderlich ist. Problematisch wird es, wenn mehr als 200 Frames mit solchen Aufrufen geöffnet werden. Dies flutet die Tabelle, in der die Sicherheitszonen verwaltet werden. Der Internet Explorer unterscheidet dann nicht mehr zwischen "Internet" und "lokalem Intranet", sondern führt weitere Aufrufe ohne Bestätigung des Benutzers aus. Ein Angreifer könnte in den Aufrufen nun Download und Installation eines Trojaners verstecken. Erste Demo-Exploits hierzu kursieren schon im Internet. Ein Patch ist noch nicht verfügbar.

    Die Kaspersky-Labs warnen vor dem neuen Trojaner StartPage, der sich als Mass-Mailer bemerkbar macht. Nach Angaben der Virenforscher wurde in Russland Anfang der Woche eine Spam-Flut durch den Schädling verursacht. StartPage macht sich eine alte Schwachstelle im Internet Explorer 5.0 zunutze. Durch die falsche Behandlung von IFRAMES können beliebige Programme ausgeführt werden. Benutzer des IE 5.0, die aufgrund der eingangs beschriebenen Schwachstelle nun nicht mehr auf IE 6.0 upgraden wollen, können Version 5.5 mit allen erforderlichen Patches einsetzen.

    Totgesagte leben länger. Auch Outlook Express 6.0 bleibt nicht verschont, auf Securityfocus wurde ein Bug in der Behandlung von HTML-Mails veröffentlicht.Offenbar handelt es sich um eine alte Schwachstelle im WebBrowser Control und dem Media Player 7.01/8.0, die nie korrigiert wurde. In HTML-Mails eingebettete Aufrufe zu anderen Media-Dateien vom Typ Audio/ASF können verwendet werden, um unbemerkt Dateien auf dem System zu installieren und auszuführen. Ein Patch existiert nicht, eine Schutzmöglichkeit besteht aber darin, sich E-Mails als "Nur Text" anzeigen zu lassen. Unter Extras/Optionen/Lesen muss dazu im Feld "Nachricht lesen" die Option "Alle Nachrichten als Nur-Text lesen" aktiviert sein. (dab/c't)


    HeiseLink
     
  84. FBI scheitert an PGP :D :st:

    http://www.pcwelt.de/news/vermischtes/31271/


    Verschlüsselungsverfahren wieder unter Druck

    Die Diskussion über den Umgang mit starken Verschlüsselungsverfahren - und damit über Privatsphäre versus Sicherheit - war in den USA schon immer ein Thema, das in regelmäßigen Abständen auftauchte. Durch die Ereignisse um den 11. September wurde es erst recht zum heißen Eisen. Neuerlicher Anlass ist eine Schießerei zwischen der italienischen Polizei und Mitgliedern der Roten Brigade Anfang März und anschließend sichergestellte Beweismittel, berichtet Philip Willan vom IDG News Service.



    Hintergrund: Mindestens zwei, vielleicht sogar noch mehr, PDAs wurden nach dem Schusswechsel sichergestellt - und auf den PDAs kommt Krypografie-Software zum Einsatz, die sich bislang allen Bemühungen der Behörden widersetzt. Auch zu dem Fall hinzugezogenen Computerexperten des U.S. Federal Bureau of Investigation (FBI) tappen noch im Dunkeln.

    Die Software, die die Ermittler von den wie auch immer gearteten Infos fernhält: PGP (Pretty Good Privacy). Die Aussichten es doch noch zu schaffen, sind wohl eher bescheiden.



    Der Erfinder meldet sich zu Wort

    In einem Telefon-Interview erklärte der Entwickler der Software, Phil Zimmerman, dass er keine Chance für die Ermittler sähe, den Code mit Hilfe des Herstellers zu knacken. Einen Hintereingang gibt es nicht. Die einzige Möglichkeit, so Zimmermann, sei es, alternative Methoden auszuprobieren. Darunter versteht er beispielsweise, den ungenutzten Speicher nach Überresten von Texten abzusuchen, bevor diese verschlüsselt wurden.



    Kritik an der Software widersetzt sich Zimmerman hartnäckig - er ist überzeugt, dass die Vorteile des einstmals als "human rights project" entwickelten Tools etwaige Nachteile bei weitem aufwiegen. Sein Hauptaugenmerk gilt folgendem: "PGP wird von jeder Menschenrechtsorganisationen in der Welt benutzt. Sie wird für etwas gutes eingesetzt. Sie rettet Leben


    Nutzen für Menschenrechtsorganisationen

    Auf seiner Website, www.philzimmermann.com , sind dazu diverse Dankesbriefe von Mitarbeitern von Menschenrechtsorganisationen bereitgestellt. Ein Brief vom 18. März 1996 beschreibt, wie die Software dabei half, eine zum Christentum übergetretene ehemalige Muslimin vor Übergriffen zu schützen.



    Besonders stolz ist Zimmerman unserem Kollegen zufolge auf einen Brief einen Mannes aus dem Kosovo. Mit PGP-verschlüsselte Kommunikation ermöglichte es, die Evakuierung von rund 8000 Zivilisten zu koordinieren - mit serbischen Truppen im Nacken. Zimmermann dazu: "Das hätte ein weiteres Massengrab geben können."

    Dementsprechend erteilt Zimmerman auch der Idee, eine Hintertür einzubauen, eine klare Absage: Es sei technisch nicht machbar, ein System mit einer Hintertür zu entwickeln, ohne dabei das Risiko einzugehen, dass der Key in die Hände eines Saddam Hussein oder eines Slobodan Milosevic fallen könnte.




    das motiviert doch Verschluesselungssoftware zubenutzen die sogar noch besser ist ;)
     
  85. Chips in Euroscheinen sollen eingefuehrt werden..

    na prima, das ist wieder ein kleiner Schritt zur totalen Ueberwachung...


    http://www.tecchannel.de/news/20030523/thema20030523-10800.html

    RFID-Chip soll Euro-Blüten verhindern


    11:58:57

    (tecCHANNEL.de, 23.05.2003) Die Europäische Zentralbank (EZB) plant Presseberichten zufolge die Integration von Chips in Euro-Banknoten, um den Euro besser vor Fälschungen zu schützen. Laut "Handelsblatt" verhandelt die EZB derzeit mit dem japanischen Konzern Hitachi über die Realisierung des Vorhabens.


    Ein Sprecher von Hitachi habe dies bestätigt, meldet das Handelsblatt. Der so genannte "Mu-Chip" enthält RFID Tags (Radio Frequency Identification), die per Funk ausgelesen werden können. Er speichert eine 38stellige Nummer, mit der die Echtheit der Banknote eindeutig nachzuweisen ist. Um Geldfälschern das Handwerk zu legen, müssten allerdings die Geschäftskassen flächendeckend mit speziellen Scannern ausgerüstet sein.



    Der ID-Chip soll auf dem Geldschein weder mit dem bloßen Auge zu erkennen noch erfühlbar sein. Hitachi bietet eigenen Angaben zufolge einen RFID-Chip an, der eine Kantenlänge von etwa 0,4 Millimetern besitzt und die Echtheit von Geldscheinen und Dokumenten gewährleisten soll. Nur: Bei einem Chip-Stückpreis von etwa sieben bis acht Cent würden sich die Kosten für die Geld-Produktion mehr als verdoppeln. Daher kann es durchaus sein, dass der Chip künftig - wenn überhaupt - eher in höherstelligen Euroscheinen (z.B. 200 Euro) eingesetzt wird.

    Angesichts der derzeitigen Blüten-Lage ist die EZB fast schon zum Handeln gezwungen. Dem Handelsblatt zufolge nahm die EZB im zweiten Halbjahr 2002 rund 145.000 gefälschte Banknoten aus dem Verkehr - im ersten Halbjahr 2002 waren es lediglich 22.000. Unter einer Million echten Geldscheinen sollen im Euro-Raum rund 20 gefälschte Banknoten sein, zu D-Mark-Zeiten lag das Verhältnis laut Handelsblatt bei zehn zu einer Million. (Jürgen Mauerer)
     
  86. Kamerawettbewerb zu Videoüberwachung in Deutschland

    Initiative STOP1984 will umfassende Überwachungskamera-Datenbank bereitstellen


    Bis zum 31.12.2003 will die Initative STOP1984 mit der Mithilfe der Internetgemeinde eine möglichst umfassende Datenbank der Überwachungskameras in Deutschland zur Verfügung stellen. Wer die meisten Fotos einsendet, dem winkt zudem ein Pokal.

    STOP1984 will mit der Aktion zu einem "Seitenwechsel" aufrufen und die Überwachten zum Überwacher machen, denn diesmal sollen die Überwachungskameras selbst überwacht und vor allem katalogisiert werden. Wer möchte, kann Überwachungskameras fotografieren und die Bilder direkt auf die STOP1984.info- Homepage hochladen, wo sie von den STOP1984-Mitarbeitern geprüft und freigeschaltet werden. Wer lediglich eine analoge Kamera hat, kann den eigens eingerichteten Service nutzen, der zugesandte Bilder einscannt und hochlädt.

    Die drei Teilnehmer, die bis zum 31.12.2003 die meisten Fotos eingesandt haben, erhalten einen "Shooting Star"-Pokal mit Gravur. STOP1984 will auf diese Weise auf die zunehmende Videoüberwachung aufmerksam machen, da die meisten Kameras nicht einmal ausgeschildert sind.

    GolemLink

    _______


    Gartner warnt Firmen vor Passport-Nutzung


    MÜNCHEN (COMPUTERWOCHE) - Anlässlich der jüngst bekannt gewordenen Sicherheitsprobleme mit Microsofts Internet-SSO-Dienst (Single Sign-On) "Passport" (Computerwoche online berichtete) warnt Gartner Unternehmen davor, das System für die Authentifizierung von Kunden zu nutzen. Und zwar mindestens sechs Monate lang bis November 2003 (so lange dauert aus Sicht von Research Director Avivah Litan ein ordentlicher Sicherheits-Check) beziehungsweise bis Microsoft "adäquate" Sicherheit garantieren könne.
    Derzeit existieren rund 200 Millionen Passport-Kunden. Neben Microsoft selbst nutzen auch andere Firmen den Service, darunter die Nasdaq, Ebay und Starbucks. Diesen rät Gartner außerdem, für all ihre ausgegebenen Passport-Identitäten in zusätzliche und sicherere Authentifizierungsmethoden zu investieren. Ein Microsoft-Sprecher bezeichnete Gartners Ratschläge als "unkonstruktiv". Passport sei zuverlässig und man habe aus der jüngsten Episode gelernt. "Auch wenn wir wissen, dass wir immer alles noch besser machen könnten, glauben wir, dass wir solide Prozesse und Prozeduren etabliert haben, um Passport vertrauenswürdig zu betreiben", so der Microsoft-Mann.

    Neben Passport schade Microsofts Sicherheitsproblem auch der konkurrierende Liberty Alliance, so Gartner, auch wenn diese derzeit nicht als Service, sondern als Set XML-basierender Spezifikationen existiere. Aus Sicht des Endnutzers mache das wenig Unterschied, beide sähen gleich aus unabhängig von der im Hintergrund verwendeten Architektur. Analystin Litan erwartet allerdings nicht, dass Libertys Vordringen im B2B-E-Commerce durch die Passport-Panne beeinträchtigt wird. (tc)


    ComputerWocheLink


    ________


    Sicherheits-Update für Sicherheits-Tool Nessus



    Die jüngst freigegebene Version 2.0.6 des Netzwerksicherheits-Scanners Nessus behebt unter anderem einen Fehler, der es Benutzern erlaubt, beliebigen Code mit Root-Rechten auszuführen. Anzeige


    Das Open-Source-Projekt Nessus ist ein Client-Server-System zur Sicherheitsüberprüfung von Netzwerken. Es enthält eine eigene Skript-Sprache, in der sich Prüfungen von Sicherheitslücken programmieren lassen. Diese Skripte laufen in einer gesicherten Umgebung auf dem Server ab (Sand-Box). Unter gewissen Bedingungen können Angreifer mehrere Fehler in älteren Versionen des Skript-Interpreters ausnutzen, um ihr Plugin aus der Sand-Box ausbrechen zu lassen und dann beliebigen Code mit Root-Rechten auf dem Nessus-Server auszuführen.

    Allerdings brauchen sie dazu einen Nessus-User-Account auf dem Server und außerdem das Recht, Plugins zu installieren. Der Nessus-Server unterbindet dies in den Default-Einstellungen. Die Entwickler des Tools empfehlen dennoch dringend ein Upgrade auf die aktuelle Version 2.0.6. (je/c't)


    HeiseLink
     
  87. GMX landete auf Open-Relay-Blacklist

    DNS-Blocklisten spielen bei der Abwehr von Spam-Mails eine immer größere Rolle. Neben anderen hat sich die Non-Profit-Organisation "Open Relay Database" (ORDB) der Pflege einer solchen Liste verschrieben: Sie testet SMTP-Server mit einem automatisierten Verfahren darauf hin, ob sie von nicht authentifizierten Gegenstellen Mails annehmen und an die Zieladresse weiterleiten. Tun sie das, gelten sie als so genannte "offene Relays" und damit als Spammer-freundlich. Die Folge: Sie werden in die ORDB-Blacklist aufgenommen. Anzeige


    In der Nacht von Sonntag auf Montag dieser Woche nun nahm ORDB die SMTP-Server des E-Mail-Services GMX unter die Lupe. Dem ORDB-System gelang es, ohne Authentifizierung Nachrichten über mail.gmx.net abzusetzen, wenn es bestimmte Absender-Adressen angab. Es ist eher unwahrscheinlich, dass Spammer diese Lücke schon entdeckt und für ihre Zwecke genutzt haben. Dessen ungeachtet waren damit die ORDB-Kriterien für ein offenes Relay erfüllt -- die auf mail.gmx.net auflösenden IP-Adressen wanderten sofort in die Blacklist.

    Für die GMX-Kunden hatte dieser kleine Eintrag unmittelbare Folgen. Sehr viele Mail-Provider nutzen die ORDB-Blacklist, um Nachrichten von SMTP-Servern, die in der Open Relay Database gelistet sind, zurückzuweisen. GMX-Kunden war es plötzlich nicht mehr möglich, Kunden dieser Provider Mails zu schicken -- sie konnten plötzlich einen Teil des Internet nicht mehr per E-Mail erreichen. Gerade die ORDB-Blacklist gilt als recht zuverlässig und wird sehr oft genutzt. So ist sie beispielsweise in der Standardkonfiguration des beliebten Anti-Spam-Tools Spam Assassin eingebunden.

    Für GMX, das gerade durch die Implementierung eines umfangreichen Spam-Schutzes für die Kunden auf sich aufmerksam gemacht hat, ist die Angelegenheit recht peinlich. Als der Fall in den Usenet-Foren publik wurde, ergoss sich schnell Häme über das Unternehmen.

    Gegenüber heise online machte GMX-Produkt-Manager Thomas Röder keinen Hehl daraus, dass er auf ORDB nicht gut zu sprechen ist. Es sei sehr schwer gewesen, auf einem unbürokratischen Weg dafür zu sorgen, schnell wieder von der Liste genommen zu werden: "Alle Versuche der raschen, direkten Kontaktaufnahme seitens GMX scheiterten an der Anonymität, in die sich ORDB hüllt." Der angebotene Weg über das Kontaktformular habe sich als langsam erwiesen. Mittlerweile ist GMX nach einem erneuten ORDB-Test wieder von der Blacklist verschwunden.

    Röder äußerte Zweifel am Sinn der Testkriterien: "ORDB hatte für den Open-Relay-Check zwei GMX-Adressen verwendet, die nicht auf SMTP-Auth konfiguriert waren." In der eigenen Open-Relay-Definition beschreibe ORDB ein solches System aber als einen Mail-Server, der Nachrichten weiterleite, "bei denen weder der Sender noch der Empfänger ein lokaler Nutzer ist". In den von ORDB dokumentierten Fällen habe es sich aber eindeutig um "local user" gehandelt.

    Der Fall dokumentiert, dass sich die Betreiber der DNS-Blacklists eine große Verantwortung aufbürden. Ein Eintrag kann ein Mail-System über Nacht unbrauchbar machen. Für Röder ist die Sache klar: "GMX muss nach diesen Erfahrungen leider vor der vorbehaltlosen Verwendung von automatisch generierten Blocklisten warnen, insbesondere, wenn kein direkter Support geboten wird." (hob/c't)

    HeiseLink
     
  88. Alte WebDAV-Schwachstelle jetzt auch in Windows XP entdeckt [2. Update]

    Still und heimlich hat Microsoft sein Bulletin MS03-007 aktualisiert. Die Schwachstelle, die bisher nur Windows 2000 und NT 4.0 tangierte, ist in Windows XP ebenfalls vorhanden. Ein falsch behandelter Puffer kann von einem Angreifer ausgenutzt werden, beliebigen Code auszuführen: Das Problem besteht im Zusammenhang mit Microsofts Webserver Internet Information Server und WebDAV. Das vom IIS eingesetzte Web Distributed Authoring and Versioning weist eine Sicherheitslücke auf, die Angreifer zum Ausführen beliebigen Codes nutzen können. Gelingt dies dem Angreifer, so läuft dieser Code im Sicherheitskontext des IIS.

    Benutzer, die ein Windows-XP-Update starten, wundern sich derzeit über ein angebotenes Sicherheitsupdate Q815021 -- der entsprechende Knowledgebase-Artikel entpuppt sich dann als neue Version des Security-Advisories MS03-007. Das aktualisierte Bulletin ist mittlerweile in deutsch erhältlich, allerdings nur auf der österreichischen Seite von Microsoft. Der deutsche Patch kann auch hier bezogen werden. (dab/c't)


    HeiseLink

    _________


    Loch in Windows Media Services doch kritischer



    In seinem Advisory MS03-19 empfiehlt Microsoft das Einspielen des neuesten Patches, um möglichen Denial-of-Service-Angriffen gegen den IIS vorzubeugen -- stuft den Fehler aber als nicht kritisch ein. Auf Buqtraq wird allerdings davon ausgegangen, dass der Fehler weit schwerwiegender ist, als Microsoft selbst zugibt. Demzufolge soll das Sicherheitsloch geeignet sein, beliebigen Code auf dem Server auszuführen. Der Entdecker des Bugs, Brett Moore, bestätigt, dass die Schwachstelle zu weit mehr nutzbar ist, als nur einen Crash des Servers auszulösen. Die Security-Experten von eEye hätten dies ebenfalls festgestellt.

    Betroffen sind Windows NT 4.0 und 2000 -- aber nur wenn die Windows Media Services nachinstalliert wurden. In der Grundinstallation sind die Windows Media Services nicht enthalten. Microsoft hat die Bedeutung dieses Fehlers lediglich als "moderate" eingestuft. Die Media Services für Windows 2000 und NT dienen dazu, Medieninhalte an Clients zu streamen. (dab/c't)


    HeiseLink
     
  89. Programmcode ausführbar in Windows NT / 2000 / XP

    Betriebsystem: Microsoft Windows NT 4.0 / 2000 / XP
    Typ: Pufferüberlauf


    Problem: Die Programmbibliothek ntdll.dll enthält eine Sicherheitslücke, die einen Pufferüberlauf verursacht. Dies geschieht durch eine überlange HTTP-Anfrage an einen IIS 5.0 Webserver (mit WebDAV). Lokal angemeldete Benutzer können die Schwachstelle ebenfalls zur Erhöhung ihrer Privilegien ausnutzen.
    Effekt: Angreifer können beliebige Programmcode auführen. Im Falle eines Angriffs auf den IIS-Webserver erhält der Angreifer Systemprivilegien.
    Lokal: ja
    Remote: ja


    Exploit: Derzeit sind uns keine Exploits bekannt.
    Lösung: Offizieller Patch für Microsoft Security Bulletin MS03-007


    Veröffentlicht: 30.05.2003
    Aktualisiert: 30.05.2003
    Quelle: Microsoft Security Bulletin MS03-007

    Quelle ComputerSecurity.de
     
  90. Sobig.C: Wurm mit Ablaufdatum

    Virus deaktiviert sich am 8. Juni

    Internet (pte, 2. Jun 2003 13:43) - Virenschützer wie Sophos http://www.sophos.com oder Symantec http://www.symantec.com warnen vor einer neuen Variante des Wurmes Sobig, die sich zurzeit im Internet rasant verbreitet. Der Virus Sobig.C ist am vergangenen Wochenende erstmals aufgetreten und wie sein Vorgänger nur eine Woche aktiv. Der Wurm deaktiviert seinen Verbreitungsmechanismus am 8. Juni 2003. Wird danach das Attachment mit Wurm geöffnet, dann installiert sich zwar der Wurm. Der Schädling verbreitet sich allerdings nicht mehr weiter.

    Sobig.C versendet sich an alle E-Mail-Adressen im Adressbuch des Opfers. Die Absendeadresse wird aus 52 Möglichkeiten gewählt, darunter werden auch Adressen wie *@microsoft.com oder *@winzip.com aufgeführt. Sobig.C führt nach Angaben von Symantec eine von sechs Betreffzeilen "Re: Movie", "Re: Submitted (004756-3463)", "Re: 45443-343556", "Re: Approved", " Approved", "Re: Your application" oder "Re: Application". Das Attachment mit dem eigentlichen Wurm ist als Worddokument oder Screensaver getarnt. Der Vorgänger, Sobig.B wurde ursprünglich "Palyh" getauft und trat Mitte Mai auf. (Ende)


    PresseTextLink

    ______


    Schwachstelle in Yahoo Messenger


    Yahoo veröffentlichte am Wochenende ein Security Advisory, in dem vor einem Buffer Overflow im Audio-Conferencing-ActiveX-Control gewarnt wird. Kann ein Angreifer HTML-Dokumente manipulieren, die ein Benutzer aufruft, so wird man aus dem Chat ausgeloggt und der Browser stürzt ab; theoretisch lässt sich sogar beliebiger Code ausführen. Auf den Seiten von Yahoo kann der Benutzer testen, ob er betroffen ist und sich von dort ein Update herunterladen. (dab/c't)


    HeiseLink


    _______


    Sicherheitslöcher in alten Apache-Versionen aufgedeckt [Update]


    Nachdem vergangene Woche ein neuer Release von Apache zu Verfügung gestellt wurde, werden nun Schwachstellen in den Vorgängerversionen bekannt gegeben. Sie wurde bereits im März entdeckt, jedoch zunächst nur der Apache Software Foundation mitgeteilt. Diese hatte ausreichend Gelegenheit, den Fehler zu beheben und eine neue Apache-Version 2.0.46 bereitzustellen. Schon vorher wurde über einen Fehler im Modul mod_dav berichtet, der nicht näher beschrieben wurde und in Version 2.0.45 eigentlich behoben sein sollte.

    Ursache der Schwachstelle ist ein Buffer Overflow in der Apache-Portable-Runtime-Bibliothek, die Strukturen und Routinen zur einfachen Portierung auf beliebige Betriebssysteme zur Verfügung stellt. Übergibt man dort an eine Funktion einen zu langen String, so stürzt Apache ab. Beliebiger Code könnte prinzipiell auch eingeschleust und ausgeführt werden, ein Exploit existiert aber noch nicht.

    Von dem Fehler betroffen sind die Module:


    mod_dav
    mod_rewrite
    mod_ssl
    mod_usertrack
    mod_alias
    mod_dir
    mod_imap
    mod_speling
    mod_proxy

    Verwendet man diese Module, so sollte die Apache-Version 2.0.46 installiert werden. Apache 1.3.2x ist nicht betroffen.

    Interessant ist die Zusammenarbeit, die zur Behebung des Sicherheitslochs führte. Bevor die Schwachstelle veröffentlicht wurde, haben die Sicherheitsexperten von iDefense die Apache Software Foundation informiert, um dann in Zusammenarbeit das Leck zu stopfen. An dieser Vorgehensweise scheiden sich die Geister: Einige sind der Meinung, eine Schwachstelle müsse sofort veröffentlicht werden, während andere die Meinung vertreten, dem Hersteller müsse Gelegenheit zum Nachbessern gegeben werden.

    Microsoft steht auf dem Standpunkt, dass Schwachstellen überhaupt nicht veröffentlicht werden sollten. Allerdings lassen sich die Entdecker der Fehler selten darauf ein. Der vergangene Woche veröffentlichte kumulative Patch für den IIS beseitigt Fehler, über die Microsoft nach Angaben von NSFocus im November 2002 informiert wurde.

    Siehe hierzu auch:

    RFC für Veröffentlichung von Sicherheitslücken kommt doch nicht


    HeiseLink
     
  91. Spam übernimmt Führung im weltweiten Mail-Aufkommen

    MÜNCHEN (COMPUTERWOCHE) - Laut einer Untersuchung der Firma Message Labs waren im vergangenen Monat rund 51 Prozent der weltweit kursierenden Mail-Nachrichten Spam. Damit überwog im Mai zum ersten Mal der Anteil der Massenwerbesendungen. Für seine Untersuchung analysierte der Anbieter von Mail-Sicherheitsservices und Anti-Spam-Tools knapp 134 Millionen Mail-Sendungen, die durch die Netze seiner Kunden flossen. Die Spam-Flut habe mittlerweile ein Niveau erreicht, angesichts dessen man nicht mehr nur von einem lästigen Übel sprechen könne, warnt Mark Sunner, Chief Technology Officer (CTO) bei Message Labs. Die Werbesendungen verursachten Produktivitätseinbußen und kosteten die Unternehmen dadurch auch Geld. Zwar hätten Internet Service Provider (ISPs) und Gesetzgeber in verschiedenen Staaten mittlerweile Maßnahmen gegen Spam ergriffen. Er rechne allerdings damit, dass diese erst in zwei oder drei Jahren Wirkung zeigen. Auch Ryan Hamlin, Leiter von Microsofts Anti-Spam Technology and Strategy Group, hat wenig Hoffnung, das Problem in absehbarer Zeit einzudämmen. Viele Menschen würden aufgrund der Werbeflut bereits mit dem Gedanken spielen, sich vom Kommunikationsmittel E-Mail wieder zu verabschieden. Seiner Einschätzung nach könnte der Anteil von Spam am gesamten Mail-Aufkommen bis zum Jahresende auf 65 bis 70 Prozent ansteigen. Er hoffe jedoch, dass ab 2004 gesetzliche Regelungen gegen unlautere Werbung erste Wirkung zeigen. (ba)



    ComputerWocheLink

    _____


    Patch für MAILsweeper for SMTP veröffentlicht


    Clearswift hat einen Patch für MAILsweeper for SMTP veröffentlicht. Betroffen ist nach Angaben des Herstellers die Versionen 4.x. Clearswift empfiehlt ein Update auf Version 4.3.10, ein entsprechender Patch ist verfügbar.

    Die Schwachstelle liegt in der Behandlung von Mail-Attachments: Speziell präparierte RTF-Dokumente können MAILsweeper in eine Endlosschleife zwingen. Der Dienst nimmt keine weiteren Anfragen mehr entgegen. Eine einzige E-Mail genügt somit, um MAILSweeper zum Absturz zu bringen und den kompletten Mailverkehr lahm zu legen.

    MAILsweeper wird eigentlich eingesetzt, um genau solche Szenarien zu verhindern und Netzwerk-Clients zu schützen. Als Contentscanner untersucht er E-Mails und Attachments und verwirft diese, falls sie verdächtig erscheinen. (dab/c't)

    HeiseLink


    _______



    Internet-Nutzer sollen kostenpflichtige Dialer sperren können


    Die Bundesregierung will ihren Gesetzentwurf zur Bekämpfung des Missbrauchs von 0190er-/0900er-Rufnummern erweitern. Verbraucher sollen künftig Nummernkombinationen, die ausschließlich für Dialer zur Verfügung stehen, gesondert sperren können. In den Entwurf solle eine Regelung aufgenommen werden, wonach kostenpflichtige Dialer nur über eine bestimmte, von der Regulierungsbehörde zur Verfügung gestellte "Gasse" angeboten werden dürfen.

    Der Bundestag will die Regelungen gegen den Missbrauch der "Mehrwertdienstenummern" noch in dieser Woche beschließen. Dabei geht es um eine Vielzahl verschiedener Bestimmungen. Unter anderem dürfen Anrufe künftig maximal 3 Euro pro Minute kosten. Nach einer Stunde muss die Verbindung automatisch getrennt werden. Der Preis für die Nutzung der Nummer muss künftig angegeben werden, bevor Kosten für den Kunden entstehen. Jeder Nutzer soll bei der Regulierungsbehörde außerdem Namen und ladungsfähige Anschrift eines Anbieters erfragen können.

    Die Unionsmehrheit im Bundesrat hatte in ihrer Stellungnahme den Entwurf zwar grundsätzlich begrüßt, ihn aber nicht für ausreichend befunden. Der Bundesrat hatte gefordert, alle Dialer in die Regelung einzubeziehen und ein Ausweichen auf andere, nicht geregelte Nummerngassen nicht zuzulassen. Unseriöse Angebote und Praktiken schadeten zunehmend der Entwicklung des Marktes für Mehrwertdienste und dem seriösen Angebot der Anbieter.

    Der Entwurf der Bundesregierung fördere zwar die Transparenz, weise jedoch noch gravierende Lücken auf, so die Länderkammer weiter. Sie hatte auch beanstandet, dass die Befugnisse der Regulierungsbehörde zum Entzug oder zur Abschaltung von Rufnummern selbst bei "gesicherter Kenntnis einer rechtswidrigen Nutzung" lediglich als "Kann-Vorschriften" ausgestaltet seien. Der Verbraucher sollte bei jeder Internetverbindung, die durch einen Dialer hergestellt wird, zunächst eine aktuelle Preisinformation online erhalten, die er durch Anklicken bestätigen muss, bevor eine kostenpflichtige Verbindung zustande kommt. Auch sei die Preisobergrenze von 3 Euro pro Minute zu hoch, hieß es im Bundesrat. Die Bundesregierung will weitere Maßnahmen prüfen. Der Bundesrat muss dem Gesetz zustimmen. (anw/c't)


    HeiseLink
     
  92. Microsoft überarbeitet Patch-Installationen

    Bis Ende des Jahres sollen nur zwei Installer-Routinen übrig bleiben


    Microsoft plant, die Installer für Software-Patches zu vereinheitlichen, um so aus den derzeit acht Installern nur noch zwei zu machen. Das teilte der Chief Security Strategist Scott Charney von Microsoft mit. Eine Arbeitsgruppe soll den Plan bis Ende des Jahres umsetzen.

    Scott Charney berichtete, dass er kurz nach seinem Eintritt bei Microsoft am 1. April 2002 untersuchte, wie das Patch-Management bei Microsoft organisiert ist. Dabei stellte er fest, dass es keine einheitlichen Patch-Routinen gibt und insgesamt acht verschiedene Installer existieren.

    Eine eingesetzte Arbeitsgruppe - die Patch Management Working Group - soll bis Ende des Jahres daraus nur noch zwei Installer machen, so dass hier eine größere Transparenz für den Anwender erreicht wird. Während der eine Installer für Aktualisierungen des Betriebssystems zuständig ist, kümmert sich der andere um die übrigen Microsoft-Applikationen, wenn diese aktualisiert werden müssen. Beide Installer sollen dabei eine einheitliche Bedienoberfläche verpasst bekommen.

    Als Weiteres will Scott Charney ein zentrales Tool zur Verfügung stellen, das nach fälligen Updates für alle installierten Microsoft-Produkte sucht. Nach Microsoft-Angaben werden 95 Prozent aller Sicherheitslücken erst nach Veröffentlichung entsprechender Security Bulletins samt passender Patches von Angreifern ausgenutzt. Daher will Microsoft das Patch-Management für die Anwender erleichtern, um hier für eine höhere Sicherheit zu sorgen.

    GolemLink

    _____


    Bildet Nordkorea Cyber-Soldaten aus?


    MÜNCHEN (COMPUTERWOCHE) - Wenn es nach der südkoreanischen Regierung geht, dann bildet der nordkoreanische Nachbar seit zwei Dekaden Jahr für Jahr 100 Cybersoldaten aus, die in digitaler Kriegführung geübt sind. Graduierte einer Militärakademie namens Mirim in der Region Hyungsan würden ausgebildet, Viren zu schreiben, sich in Netzwerke einzuschleusen und Waffenlenksysteme zu programmieren. Seit mindestens 1994 warnen Militär- und Sicherheitsexperten in Seoul, der Hauptstadt Südkoreas, vor der drohenden Gefahr, die angeblich von der Cyberwar-Akademie (auch als Automated Warfare Institute bezeichnet) ausgeht.
    Mitte Mai 2003 hatte Südkoreas Kommando für Sicherheits- und Verteidigungsfragen auf einem Seminar zur Sicherheit im Cyber-Zeitalter die Möglichkeit angedeutet, Nordkorea verstärke wieder seine Cyberterror-Kapazitäten. Spezialisten aus dem US-amerikanischen Verteidigungs- und Außenministerium sehen dies allerdings ganz anders. Sie könnten nicht feststellen, dass Südkoreas Aussagen zutreffen. Sie könnten nicht einmal die Existenz der Militärakademie Mirim bestätigen. Einige US-Verteidigungsexperten gehen so weit, wiederum Südkorea zu beschuldigen, es lanciere die Anschuldigungen bewusst. Nordkorea sei nicht in der Lage, das US-Militär ernsthaft durch Hacker-Attacken zu gefährden. (jm)


    ComputerWocheOnlineLink


    _____


    Microsoft weitet Initiative für Vertrauenswürdigkeit aus


    Scott Charney, Chefstratege bei Microsoft für Trustworthy Computing, hat auf der Tech Ed in Dallas neue Sicherheitsinitiativen verkündet. So soll es eine Art Trainings- und Zertifizierungsprogramm für Systemadministratoren und Techniker geben, durch die sie sich Fertigkeiten für die spezifischen Sicherheitsanforderungen von kritischen Systemen aneignen können sollen, verkünden die Redmonder.

    Am Abschluss der neuen Schulungsprogramme stehen die Sicherheits-Zertifikate Microsoft Certified Systems Administrator (MCSA) und Microsoft Certified Systems Engineer (MCSE) für Windows 2000, die in Kürze erhältlich sein sollen. Wenn die spezifischen Prüfungsanforderungen erstellt worden sind, soll es die beiden Zertifikate auch für Windows Server 2003 geben -- nach Angaben von Microsoft etwa im Laufe des Jahres. Die Prüfung zum MCSA wurde im Oktober 2001 angekündigt. Sie umfasst eine Untermenge der MCSE-Prüfung.

    Was sich hinter der Vereinbarung verbirgt, die Microsoft mit VeriSign geschlossen hat, konkretisierte Charney ein wenig zusammen mit Nico Popp von VeriSign. Sie verkündeten Pläne zur Entwicklung einiger Sicherheitsvorkehrungen für Unternehmenskunden. Diese schließen eine Public Key Infrastructure (PKI) zur automatischen Registrierung von VeriSign-Zertifikaten ein sowie eine Zusammenarbeit der Zertifizierungsstellen beider Unternehmen basierend auf Windows Server 2003. VeriSign wird in diesem Rahmen unter anderem SSL-Zertifikate für den Handel über das Internet vertreiben.

    Charney kündigte in seiner Keynote auf der Tech Ed auch an, man werde das Umgehen mit den Patches für Sicherheits-Updates und Bug-Fixes überarbeiten. Das Patch-Management sei unbenutzbar und "kaputt", meinte Microsofts Sicherheitsspezialist; man habe beispielsweise acht verschiedene Installer für Patches, und einige der Updates registrierten sich beim Betriebssystem, andere nicht. Zum Ende des Jahres will Charney zumindest diesen Wildwuchs auf zwei Installationswege reduziert haben, einen für Betriebssysteme und einen für Anwendungen. In Zukunft soll es auch ein einheitliches Bedien-Interface für das Patch-Management geben. Man werde Werkzeuge haben, die installierte Patches und die Notwendigkeit für Updates für das gesamte Spektrum der Microsoft-Produkte überprüfen könnten. (anw/c't)


    HeiseLink
     
  93. Zwei kritische Sicherheitslücken bei Internet Explorer


    Alle aktuellen Versionen betroffen

    Redmond (pte, 5. Jun 2003 10:56) - Microsoft warnt in seiner Security Bulletin MS03-20 vor zwei kritischen Sicherheitslücken in seinem Internet Explorer. Betroffen sind nach Angaben des Softwarekonzerns die Versionen 5.01, 5.5 und auch 6.0. Selbst der Internet Explorer 6.0 für Windows Server 2003 bleibt nicht verschont. Die Lecks erlauben einem Angreifer den vollständigen Zugriff auf das System seines Opfers. Der Konzern hat bereits Sammelpatches zum Download bereitgestellt. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-020.asp

    Die erste Sicherheitslücke ergibt sich aus der Möglichkeit zu einer Buffer-Overflow-Attacke, weil der Internet Explorer von einem Web-Server stammende Objekt-Typen nicht korrekt bestimmt. Um dieses Leck auszunutzen muss der Angreifer sein Opfer nur auf eine entsprechend präparierte Webseite locken oder eine HTML-Mail zusenden.

    Das zweite Leck betrifft einen Fehler im Handling der Dialogbox für File-Downloads. Auch über diese Sicherheitslücke kann ein Angreifer beliebige Codes auf dem System seines Opfers ausführen. Der Angreifer muss wieder sein Opfer nur auf eine vorbereitete Webseite locken, weitere Aktionen des Benutzers sind nicht notwendig. Das Leck kann aber auch mit einer HTML-Mail ausgenutzt werden.

    Microsoft empfiehlt allen Benutzern, den Sicherheits-Patch für ihren Internet Explorer einzuspielen. Die Sammelpatches für alle betroffenen Versionen, die auch mehrere andere kürzlich entdeckte Sicherheitslücken verschließen, können bereits in Deutsch über das Download-Service von Microsoft heruntergeladen werden. http://www.microsoft.com/windows/ie/downloads/critical/818529/default.asp (Ende)


    PresseTextLink


    _______



    Einwahlnummern von Call2Surf wegen Hackerangriff lahm gelegt


    Probleme sollen bis heute Nachmittag behoben sein


    Der Internet-Provider Call2Surf hat bekannt gegeben, dass auf Grund eines "schwerwiegenden Hackerangriffs" auf die eigenen Server im Rechenzentrum Hannover seit dem Abend des gestrigen 4. Juni 2003 einige Einwahlnummern nicht genutzt werden könnten. Insgesamt seien fünf Rufnummern betroffen.

    Betroffen sollen die Einwahlnummern 019193153, 019193154, 019193155, 019193157 und 019193180 sein. Man arbeite bereits seit 2 Uhr morgens an der Beseitigung der Probleme. Call2Surf-Geschäftsführer Jürgen Magdziarz geht davon aus, dass man den Dienst bereits am heutigen Nachmittag wieder in gewohnter Form zur Verfügung stellen könne.

    GolemLink
     
  94. Aktuelle Sicherheitslücken

    Code ausführbar im Microsoft Internet Explorer

    Software: Microsoft Internet Explorer 5.01 / 5.5 / 6.0
    Typ: Pufferüberlauf / Programmfehler


    Problem: IE kann bestimmte, von einer Website stammende Objekttypen nicht korrekt bestimmen und hat unter bestimmten Umständen Probleme mit dem Handling von Filedownload Dialogboxen.
    Effekt: In beiden fällen können Angreifer über eine präparierte Website bzw. HTML-Email, die das Opfer aufruft, beliebigen Programmcode auf dem betroffenen System ausführen.
    Lokal: ja
    Remote: ja


    Exploit: Derzeit sind uns keine Exploits bekannt.
    Lösung: Offizieller Patch zu Microsoft Security Bulletin MS03-020


    Veröffentlicht: 05.06.2003
    Aktualisiert: 05.06.2003
    Quelle: Microsoft Security Bulletin MS03-020
     
  95. Return of the Bugbear


    Version B kommt von Down Under

    Sydney (pte, 5. Jun 2003 16:05) - Virenschützer melden das Auftauchen einer neuen Version des Bugbear-Virus. Bugbear.B verbreitet sich nach Angaben von Sophos und Symantec rasant in Australien und den USA. Sie befürchten inzwischen, dass sich der Wurm vor allem auf privaten PCs verbreiten wird. Richtig gewartete Unternehmensnetzwerke und Virenschutz-Lösungen sollten dagegen nicht bedroht sein. http://www.sophos.com/virusinfo/analyses/w32bugbearb.html

    Bugbear.B gleicht weitgehend seinem Vorgänger, der in den letzten Monaten des Jahres 2002 sich weit verbreitet hat. Der Wurm errang den zweiten Platz in der "Jahreswertung" von Sophos. Diese Version von Bugbear tarnt sich allerdings besser als die erste Ausführung. So verwendet der Schädling eine der auf dem PC des Opfers gefundenen E-Mail-Adressen um seinen Ursprung zu tarnen. Der Wurm verbreitet sich an alle E-Mail-Adressen im Verzeichnis des Benutzers. Neben E-Mail versucht sich der Wurm auch über gemeinsame Netzwerkressourcen zu verbreiten.

    Bugbear.B versucht weiterhin die seit zwei Jahren bekannte MIME-Sicherheitslücke (Multipurpose Internet Mail Extension) im Outlook zu nutzen. Wurde der entsprechende Patch nicht eingespielt, so muss der Benutzer nicht das Attachment der Mail öffnen, sondern bloß den Text in der Vorschau betrachten, um seinen PC zu infizieren. Das Attachment selbst mit dem Wurm verfügt über zwei Extensions mit .exe, .scr oder .pif zum Schluss. Der Name des E-Mail-Anhangs wird zufällig generiert. Der Wurm versucht ein Backdoor auf dem System des Opfers zu installieren und verfügt über eine Key-Logging-Funktion. Daneben versucht der Wurm verschiedene Sicherheitsprogramme auf dem Computer des Opfers zu deaktivieren. (Ende)


    PresseTextLink

    _______


    Bundestag verabschiedet Gesetz gegen Dialer-Missbrauch


    Mehr Transparenz und Preisgrenzen sollen Verbraucher schützen


    Der Bundestag hat gestern ein neues Gesetz zum Schutz vor so genannten 0190/0900-Dialern verabschiedet. Das neue Gesetz soll Verbraucher vor ungerechtfertigten Forderungen betrügerischer Anbieter schützen.

    So soll das Gesetz zukünftig für mehr Transparenz sorgen. Verbraucher erhalten ein Auskunftsrecht gegenüber der Regulierungsbehörde für Telekommunikation und Post um zu erfahren, wer sich hinter den entsprechenden Diensten befindet. So sollen Verbraucher die Adressen von Unternehmen bekommen, die in Deutschland im Falle von Missbrauch haftbar gemacht werden können. Möglich wird dies unter anderem dadurch, dass Betreiber von Dialer-Diensten diese in Zukunft bei der Regulierungsbehörde für Telekommunikation und Post registrieren lassen müssen und auf eine Nummerngasse beschränkt werden.

    Auch soll es bei 0900er- und 0190er-Nummern zukünftig eine Preisobergrenze von 2 Euro pro Minute bzw. 30 Euro pro Einwahl geben und die Anbieter verpflichtet werden, die Verbindung nach einer Stunde automatisch zu trennen, sofern ein Nutzer dies nicht explizit anders wünscht. Dabei müssen die Tarife vor jedem Gespräch angesagt werden, noch bevor ein Entgelt bezahlt werden muss.

    Auch soll mit dem Gesetz durch verschärfte Bußgeldvorschriften eine größere Abschreckung erzielt werden. So kann die Regulierungsbehörde zukünftig eine Strafe bis zu 100.000 Euro und nicht wie bisher bis zu 20.000 Euro verhängen.

    GolemLink
     
  96. Microsoft kauft Antiviren-Technik

    Antiviren-Technologien von GeCAD sollen Sicherheit von Windows erhöhen


    Microsoft kauft alle Rechte und Technologien des rumänischen Antiviren-Spezialisten GeCAD Software. Man wolle mit der Übernahme die Sicherheit der Windows-Plattform durch Antiviren-Lösungen erhöhen, so Microsoft. Das Unternehmen will dabei die Unterstützung für Antiviren-Lösungen von Drittanbietern verbessern und diesen so einen besseren Zugang zum System verschaffen.

    Mit dem Wissen und der Erfahrung, die man jetzt bei GeCAD eingekauft habe, will Microsoft das eigene Verständnis in Bezug auf mögliche Angriffspunkte verbessern, um sich wieder mehr der eigentlichen Verbesserung der Plattform widmen zu können. So will Microsoft auf der einen Seite den Anteil der Kunden erhöhen, die eine ständig aktualisierte Antiviren-Software nutzen. Auf der anderen Seite will man aber auch neue Lösungen gegen künftige Angriffsmodelle entwickeln.

    Microsoft sieht die Übernahme als Teil seiner Trustworthy-Computing-Initiative sowie als Fortsezung diverser Aktivitäten im Antiviren-Bereich. So hat Microsoft mit der Windows File System Filter Manager Architektur im April 2003 eine Schnittstelle für Hersteller von Antiviren-Software angekündigt und im Mai 2003 die Virus Information Alliance (VIA) ins Leben gerufen.

    Details zu der Übernahme nannte Microsoft nicht.


    GolemLink


    ________



    Bugbear.B zielt auf Banken



    MÜNCHEN (COMPUTERWOCHE) - Der vergangene Woche aufgetauchte Internet-Wurm "Bugbear.B" (Computerwoche online berichtete) ist darauf ausgelegt, Passwörter von Banken auszuspionieren. So enthält der Quellcode des Schädlings die Web-Adressen von Geldinstituten wie J.P. Morgan, American Express, Wachovia, Bank of America und Citybank.

    Das von der US-Regierung eingerichtete Department of Homeland Security warnte die Unternehmen, deren Sicherheitssysteme den Wurm nach eigenen Angaben erfolgreich geblockt haben. Bugbear ist so programmiert, dass eine spezielle Routine nach Passwörtern sucht, sobald er an eine Mail-Adresse geschickt wird, die zu einem der Kreditinstitute gehört. Nun fahndet die US-Bundespolizei FBI nach dem Autor des Wurms, der Passwörter an zehn Mailboxen weitergeleitet hat. Diese sind jedoch sehr wahrscheinlich unter falschem Namen bei kostenlosen Diensten wie MSN eingerichtet worden. (lex)


    ComputerWocheLink


    ________



    Erneut Website-Sperrungen in der Schweiz


    Für viel Aufregung in der Schweiz hatte eine Kantons-Richterin gesorgt, als sie Ende des vergangenen Jahres per Anordnung die Sperrung von einigen, angeblich inkriminierten Websites sorgen wollte. Viele Provider hatten gegen die Verfügung Rekurs eingelegt und bekamen im April 2003 schließlich Recht: Die ohnehin juristisch umstrittene Verfügung wurde aufgehoben.

    Doch damit wollte sich Francoise Dessaux, die erwähnte Untersuchungsrichterin aus dem Kanton Waadt, nicht abfinden. Offenbar sind ihr die entsprechenden Websites weiterhin ein Dorn im Auge. Weil ihre Verfügung keinen Bestand hatte, griff sie zu drastischen Mitteln: In einem Schreiben vom 16. Mai an mehrere Provider, das heise online vorliegt, erklärte sie alle ISPs, die freien Zugang zu den Websites zulassen, kurzerhand zu Mittätern.

    Sie forderte in dem Schreiben von den Providern nicht nur, die Websites selbst für die Kundschaft zu blockieren, sondern auch die Sites des Thailändischen Webhosters c9c.net. Der Grund: c9c.net führt per Redirect zu aktuellen Mirror-Sites mit den betroffenen Inhalten. Für den Fall, dass die Provider ihrer Bitte nicht nachkommen sollten, drohte die Richterin ihnen unverblümt mit der Eröffnung eines Strafverfahrens wegen angeblicher Beihilfe zur Verleumdung, Beschimpfung und übler Nachrede.

    Mit Bluewin, dem zur Swisscom gehörigen Zugangs-Provider, ließ sich ausgerechnet der größte Schweizer Provider von dem Schreiben der Richterin beeindrucken. Er kam der neuerlichen Sperrungsaufforderung vorbehaltlos nach. Bluewin-Kunden können nun die betroffenen Websites nicht mehr erreichen. Dabei hat Bluewin den Webhoster c9c.net gleich komplett blockiert. Weil davon auch die MX-Einträge betroffen sind, können Bluewin-Kunden nicht einmal mehr an c9c-Adressen mailen.

    "In Absprache mit unserer Muttergesellschaft haben wir entschieden, der Sperrungsaufforderung vorsorglich erst einmal nachzukommen", erklärte Bluewin-Sprecherin Deborah Bucher gegenüber heise online. Derzeit würden Gespräche laufen, ob die Sperre weiter aufrecht erhalten werden solle.

    Die Verwunderung darüber, dass Bluewin ohne richterlichen Beschluss den Zugriff auf bestimmte Websites sperrt, ist derweil groß in der Schweiz. Schon rufen die ersten Zensur-Gegner dazu auf, Bluewin als Provider zu meiden. Der von der Sperrung betroffene Hoster c9c.net formuliert es drastischer: "Kündigen Sie alle Ihre E-Mail-Konten sowie Web-Hostings beim Schweizer Provider bluewin.ch sofort und wenden Sie sich ebenfalls an einen besseren Internet-Anbieter. Vermeiden Sie eine Einwahl in das Internet über Zensur-Provider." (hob/c't)


    HeiseLink


    _________



    Treiber für Netzwerkkarten verraten Informationen

    Durch die fehlende Initialisierung von Puffern in Treibern für Ethernetkarten werden Daten aus altem Netzwerkverkehr mitgesendet. Über die fehlerhaften Treiber berichteten die Sicherheitsexperten von @stake bereits Anfang des Jahres. Daraufhin erschien eine Liste verwundbarer Treiber auf CERT/CC. Jetzt hat sich herausgestellt, dass auch einige Treiber, etwa von VIA und AMD, unter Windows 2003 betroffen sind.

    IP-Pakete werden zum Transport über Ethernet in einen Ethernetframe eingekapselt, das heißt, das Paket erhält einen Ethernet-Header und eine weitere Checksumme. Ist die Summe aller Bytes kleiner als die erforderlich Mindestlänge 46, zum Beispiel bei ICMP-Pakten, wird das Datenfeld aufgefüllt, in dem auch das IP-Paket liegt. Die Länge des IP-Paketes bleibt davon unberührt. Der eigentliche Fehler der Treiber resultiert nun aus der Herkunft der Füllbytes.

    Um einen Datenframe zu übertragen, muss er in den Sendepuffer kopiert werden. Hierzu wird ein Zeiger auf den zu kopierenden Puffer und eine Variable mit der Länge des Puffers übergeben. Ist der Datenframe nun wie beschrieben zu kurz, wird nur die Variable angepasst, die die Länge enthält. Der ursprüngliche Frame bleibt davon unberührt. RFC 1042 fordert an dieser Stelle eigentlich das Auffüllen mit "Octets of Zero", also Null-Bytes. In der Folge werden nun aber Bytes über den Originalpuffer hinaus gelesen, die interessante Daten enthalten können.

    Je nach Netzwerktreiber variiert die Lage des Puffers im Speicher. Drei mögliche Orte kommen in Frage: Kernel Memory, statisch allozierter Treiberspeicher oder Hardwarepuffer auf der Karte selbst. Im Hardwarepuffer ist jedes Füllbyte Artefakt eines zuvor gesendeten Frames. Der Treiberspeicher ist zwar etwas größer, allerdings auch immer mit Daten aus älteren Paketen gefüllt. Im Kernel Memory hat man die geringsten Chancen, sinnvolle Daten zu treffen, dazu ist der Speicher in der Regel zu groß.

    Eine Variante dieses Fehlers offenbarte der DSL-Router OfficeConnect 812 von 3Com: Pakete zur Beantwortung von DHCP-Request wurden in den Puffer eines vorhergehenden HTTP-Requests geschrieben, ohne diesen vorher zu löschen. In der Folge wurde dann Fragmente daraus mitgesendet. (dab/c't)


    HeiseLink


    _______



    Verschlüsselungs-Lösung für WindowsCE-PDAs


    Pointsec für PocketPC 2.0 für Firmenkunden verfügbar


    Pointsec Mobile Technologies bietet ab sofort für WindowsCE-PDAs mit PocketPC 2002 die Verschlüsselungslösung Pointsec für PocketPC 2.0 auf dem deutschen Markt an. Mit der für Firmen konzipierten Software lassen sich die Daten auf mobilen Endgeräten in Echtzeit verschlüsseln, so dass Unbefugte selbst bei einem Geräteverlust nicht auf sensitive Firmendaten zugreifen können.

    Pointsec für PocketPC 2.0 verschlüsselt sämtliche PDA-Daten in Echtzeit, ganz gleich, ob diese sich im RAM-Speicher des Geräts oder auf einer Speicherkarte befinden. Der Hersteller verspricht mit seinen Verschlüsselungsalgorithmen einen zuverlässigen Schutz vor Datendieben. So entschlüsselt die Software nur die derzeit bearbeiteten Informationen, während alle übrigen Daten weiterhin verschlüsselt bleiben, was die Sicherheit zusätzlich erhöhen soll.

    Die Software verschlüsselt die Daten mit dem AES-Verfahren (Advanced Encryption Standard) und nutzt dazu 128-Bit-Schlüssel. Nach der Installation kann der Anwender die Sicherheitsfunktionen nicht mehr umgehen und auch nicht deinstallieren. Mit Hilfe einer Synchronisationssoftware wie XTND Connect Server von Extended Systems soll sich die Lösung von zentraler Stelle aus auf allen mobilen Geräten im Unternehmen leicht installieren und administrieren lassen.

    Alternativ zur Authentisierung eines Benutzers mit einer alphanumerischen Zeichenkette bietet die Software die PicturePIN-Technologie, wobei Passwörter durch eine Abfolge grafischer, im Anmeldefenster erscheinender Symbole ersetzt werden.

    Pointsec für PocketPC 2.0 soll ab sofort für Unternehmen erhältlich sein, wobei eine einzelne Lizenz mit 120,- Euro zu Buche schlägt. Die Software läuft ausschließlich auf WindowsCE-PDAs, die mit dem aktuellen PocketPC 2002 ausgestattet sind, so dass die Software auf älteren Geräten nicht verwendet werden kann.

    GolemLink
     
  97. PDF-Reader unter Linux angreifbar

    Auf der Mailingliste Full-Disclosure wird von einem Sicherheitsloch im Acrobat Reader 5.06 und xpdf 1.0.1 unter Linux berichtet. Durch das Leck kann ein Angreifer mit manipulierten PDF-Dateien beliebigen Code ausführen. In PDF-Dokumenten eingebettete Links können externe Programme wie zum Beispiel einen Browser oder E-Mail-Client starten, wenn sie angeklickt werden. Die dabei übergebenen Argumente können auch eingeschleusten Shell-Code enthalten, der dann gestartet wird.

    Möglich wird dies, weil die PDF-Reader zusätzliche Applikationen über sh -c <program> <embedded link> starten. Der Link kann dann auch den Befehl rm -rf $HOME enthalten, der im Kontext des Benutzers ausgeführt wird. Ein Patch ist derzeit nicht verfügbar; als Workaround hilft es, nur PDF-Dokumente zu öffnen, deren Herkunft zweifelsfrei ist. (dab/c't)


    HeiseLink

    _________


    Forrester: Markt für Managed IT-Security wächst rasant


    MÜNCHEN (COMPUTERWOCHE) - Bis 2008 werde das Marktvolumen für Managed IT-Security in Europa von derzeit 962 Millionen auf 4,6 Milliarden Euro wachsen, prognostizieren die Marktforscher von Forrester Research. Der Anteil der von Firmen mit zehn bis 250 Mitarbeitern nachgefragten IT-Sicherheitslösungen und Dienstleistungen werde bei rund drei Milliarden Euro liegen. Demnach tragen multinationale Unternehmen mit mehr als 5000 Beschäftigten nur zu acht Prozent am Umsatz bei.

    36 Prozent des gesamten IT-Security-Marktes werden nach Annahme von Forrester auf "Managed Firewalls" entfallen, rund 30 Prozent auf "Managed Intrusion Detection" und knapp 24 Prozent auf Public-Key-Infrastrukturlösungen. Dies werde auch der einzige Bereich sein, in den Firmen mit weniger als zehn Angestellten investieren werden. Komplexere Sicherheitslösungen seien für diese Anwendergruppe nicht bezahlbar. (lex)


    ComputerWocheLink


    _______



    Chaotische Umsetzung der Sperrungsverfügung in NRW



    Die Aufgabe schien trivial: Im Februar 2002 verpflichtete die Bezirksregierung Düsseldorf die Provider in Nordrhein-Westfalen zur Sperrung zweier Webseiten. Über ein Jahr nach dem Erlass der Sperrungsverfügung hat der Bonner Rechtswissenschaftler Maximillian Dornseif deren Auswirkungen untersucht und fand chaotische Verhältnisse vor: Während sich manche Provider strikt an die Vorgaben der Behörde halten und den Zugriff auf strafbare Inhalte kaum erschweren, schießen andere über das Ziel hinaus und sperren legale Inhalte. Sogar der Mailverkehr ist betroffen.

    Dornseif stellte die Ergebnisse seiner Untersuchung erstmals auf der Arbeitstagung des Vereins zur Förderung eines Deutschen Forschungsnetzes (DFN) in Düsseldorf vor. Der Jurist konzentrierte sich auf die technischen Aspekte der Sperrungen: "Während die rechtlichen Probleme von Gelehrten, Verwaltung, Bürgerrechtlern, Anwälten und Gerichten ausführlich im Detail diskutiert wurden, gab es keine ernsthafte Erörterung der sonstigen Aspekte der Sperrungsverfügung."

    Um sich einen Überblick über die tatsächlichen Effekte der Sperrungen zu verschaffen, versuchte Dornseif auf die DNS-Server der betroffenen Provider zuzugreifen und prüfte deren Antworten auf bestimmte Anfragen. Auf diese Weise konnte er 27 Provider testen, die offenbar zur Durchführung der Sperrung auf DNS-Manipulationen setzen. Das Ergebnis: zwar sperren alle untersuchten Provider genau die in der Verfügung erwähnte Internetadresse http://www.stormfront.org. Bei 12 Anbietern reicht es allerdings schon aus, die Subdomain "www." wegzulassen, um ohne Probleme auf die strafbaren Inhalte zuzugreifen. Auch unter umgekehrten Vorzeichen gibt es Mängel: So sperren 15 Provider ebenfalls eine Subdomain, auf der keine strafbaren Inhalte zu finden sind. Drei Provider sperren sogar die Domain rotten.com, die zwar zu Beginn im Fokus der Bezirksregierung stand, auf der Sperrungsverfügung aber fehlt.

    Selbst auf den Email-Verkehr haben die DNS-Manipulationen beträchtliche Auswirkungen. Nur ein Provider hat nach Angaben von Dornseif versucht, die Effekte auf den Mailverkehr zu begrenzen. Bei allen Providern gab es in der Untersuchung Probleme mit Mails, die an die von der Sperrung betroffenen Domains gesandt werden sollen.

    Die Information der Kunden ist ebenfalls mangelhaft: zwar leiten einige Unternehmen ihre Kunden auf Seiten um, die sie über die Sperrungen informieren, bei vielen Providern erhält der Kunde aber lediglich unklare Fehlermeldungen wie "Host not found". Bei zwölf Providern liegen die Fehlerseiten bei einem anderen Anbieter. Dornseif sieht darin ein Datenschutzproblem, da so verfolgt werden kann, wer die gesperrten Seiten aufgerufen hat.

    Grund für die Konfusion ist die ungenaue Formulierung der Sperrungsverfügung. Die Bezirksregierung ließ den Providern die Wahl zwischen drei verschiedenen Blockade-Methoden, die jedoch nicht näher erläutert werden. Auch was genau zu sperren ist, ist unklar, mal ist vom "Gesamtangebot" die Rede, an anderer Stelle von einzelnen Internet-Seiten. Infos über die IPs der zu sperrenden Seiten oder gar eine technische Beschreibung der zu treffenden Maßnahmen fehlen in der behördlichen Anweisung komplett.

    Auf Nachfrage erläutert Regierungsdirektor Jürgen Schütte von der Bezirksregierung Düsseldorf gegenüber heise online die Intention der Sperrungsverfügung: "Der Erfolg liegt nicht in einer Totalsperre, sondern dass der Zugang zu den strafbaren Internetseiten behindert oder erschwert wird." Eine Sperrung des Email-Verkehrs sei weder beabsichtigt, noch gefordert.

    Wenn die Provider die Verfügung nicht oder nur unzureichend erfüllen, kann die Behörde Zwangsgelder verhängen. Bevor dies geschehe, müsse der Sachverhalt erst geprüft werden. Bei Zuwiderhandlungen würden die Provider laut Schütte zunächst kontaktiert und ihnen ein Zwangsgeld angedroht.

    Im Zuge der Beratungen zu den Internetsperren hatten die Firmen Webwasher, Bocatel und Intranet ein Filterkonzept vorgestellt, das die Internetblockade zentral und zielgenau abwickeln sollte. In Zusammenarbeit mit der Universität Dortmund wurde das Konzept getestet. Der Abschlußbericht vom Dezember 2002 liegt jetzt auch online vor. Demnach kann der Filterpilot Inhalte auf einigen hundert IPs sperren. Eine Umsetzung des Konzepts steht jedoch zur Zeit nicht an, da organisatorische Fragen nicht geklärt sind und Projektgelder zur Finanzierung fehlen. (Torsten Kleinz)/ (tol/c't)

    HeiseLink

    ______


    Al-Jazeera-Hacker bekennt sich schuldig


    US-Bürger hat Netzwerkverkehr auf "patriotische" Webseite umgeleitet

    Los Angeles (pte, 13. Jun 2003 11:56) - Ein US-Hacker aus Kalifornien bekennt sich schuldig, während des Irakkriegs den Internet-Verkehr zur Webseite des arabischen Nachrichtensenders Al-Jazeera umgeleitet zu haben. Wie der US-Dienst Cnet http://www.cnet.com berichtet, hofft der angeklagte 24-jährige Webdesigner John William Racine damit eine geringere Strafe zu erhalten.

    Racine übernahm die Webseite des Senders, nachdem Al-Jazeera die Bilder von toten und gefangenen US-Soldaten veröffentlicht hatte. Der Hacker soll mit gefälschten Dokumenten die VeriSign-Tochter Network Solutions dazu gebracht haben, die Domain aljazeera.net auf ihn zu übertragen. Besucher der Seite des arabischen Nachrichtensenders wurden danach auf eine andere Webseite umgeleitet, wo sie die US-Flagge mit dem Text "Lets Freedom Ring..." fanden. Zusätzlich fing Racine so auch alle E-Mails ab, die an den Sender geschickt wurden. Der 24-Jährige hatte sich im März selbst gestellt.

    Die arabische und englische Seite des Nachrichtensenders Al-Jazeera war während des Irakkriegs wiederholt Ziel von Angriffen. Der Sender war deswegen für eine Woche nicht zu erreichen. Die englische Seite wurde vollständig vom Netz genommen. Siehe auch pte-Meldung: http://www.pte.at/pte.mc?pte=030328007

    Racine könnte für seine Tat eine Strafe von 25 Jahren Haft sowie 500.000 Dollar erhalten. Wegen seinem Geständnis und der Zusammenarbeit mit dem FBI wird die Staatsanwaltschaft allerdings auf eine milde Strafe von 1.000 Stunden gemeinnütziger Arbeit, eine Geldstrafe von 1.500 Dollar sowie Schadenersatz für das Opfer plädieren. Racine hatte sein Schuldeingeständnis gestern, Donnerstag, unterzeichnet. Der Prozess wird am kommenden Montag stattfinden. (pte-special Irak) (Ende)


    PresseTextLink
     
  98. Aktuelle Sicherheitslücken

    Code Ausführbar in Apache



    Software: Apache 2.0.37 bis 2.0.45
    Typ: Pufferüberlauf


    Problem: Ein Fehler in der Apache Portable Runtime (APR) Funktion apr_psprintf() kann zum Überlauf in einem Puffer führen.
    Effekt: Beliebiger Code kann ausgeführt werden.
    Lokal: nein
    Remote: ja

    Exploit: Apache-Knacker.pl
    Lösung: Es wird empfohlen auf Apache 2.0.46 upzugraden.
     
  99. Hacker veröffentlicht CERT-Infos über PDF-Leck in Linux

    MÜNCHEN (COMPUTERWOCHE) - Über Sicherheitslücken im Acrobat Reader 5.06 und im PDF-Reader Xpdf 1.01 können Angreifer beliebigen Code auf Linux- und Unix-Systemen ausführen, berichtet ein Hacker mit dem Pseudonym "Hack4Life" in der Mailing-Liste Full-Disclosure. Dazu legen sie in PDF-Dateien Verknüpfungen zu externen Anwendungen an, über die sich zum Beispiel Shell-Code starten lässt. Um die Schadroutinen auszuführen, genügt es, PDF-Dokumente zu öffnen, die in Websites eingebunden sind, so Experten.

    Laut Hack4Life soll ein entsprechendes Security Advisory am 23. Juni dieses Jahres vom CERT (Computer Emergency Response Team) veröffentlicht werden. Dies bestätigte der CERT-Mitarbeiter Jeffrey Carpenter. Man habe sich mit den Herstellern auf den Zeitrahmen verständigt, um die Möglichkeit zu haben, Fehlerbereinigungen zu entwickeln. Laut Carpenter hat Hack4Life die Informationen abgegriffen, als sie vom Sicherheitsexperten Martyn Gilmore aus Cincinnati an das CERT übermittelt wurden.

    Der Hacker hat nicht zum ersten Mal unveröffentlichte Sicherheitsberichte vom CERT vorzeitig publiziert. Bereits im März stahl er Advisories vom CERT-Server und publizierte sie in der Full-Disclosure-Mailing-Liste (Computerwoche online berichtete). (lex)


    ComputerWocheLink

    _______


    Symantec Mail Security für Microsoft Exchange erschienen


    Sicherheitslösung soll vor Spam, Viren und unerwünschten Inhalten schützen


    Symantec bietet ab sofort die Software "Mail Security für Microsoft Exchange" an, um in einer Exchange-Umgebung Viren, Spam und unerwünschte Inhalte herausfiltern zu können. Früher bot der Hersteller das Produkt unter der Bezeichnung Symantec AntiVirus/Filtering für Microsoft Exchange an.

    Symantec Mail Security für Microsoft Exchange schützt vor Spam-Mails, indem alle DNS-basierten Realtime Black Lists (RBLs) von Drittanbietern (zum Beispiel: MAPS, spamhaus.org und orbd.org) unterstützt werden. Zugleich besteht zur Blockade von Spam ein Zugriff auf mehrere Blacklist-Dienste. Die Software kennzeichnet verdächtige Werbe-E-Mails durch einen Text im Betreff, so dass eine leichte Filterung möglich ist, ohne wichtige E-Mails zu verlieren.

    Durch überarbeitete Filtersysteme soll das Eindringen unerwünschter Inhalte ins Firmennetzwerk verhindert werden. Aber auch der Versand von vertraulichen Informationen lässt sich so unterbinden. Administratoren stehen spezielle Regeln für die Überprüfung ankommender E-Mails bereit, wobei auch zwischen internem und externem Mailverkehr unterschieden wird. Zudem wurde die Heuristik-Technik Dynamic Document Review (DDR) von Symantec integriert, um nicht-einwandfreie Inhalte automatisch abzuweisen.

    Auch der integrierte Virenschutz soll verbessert worden sein und Würmer stoppen, bevor diese den Anwender erreichen. Das unterbindet eine Flut von Anrufen beim Help Desk und spart Speicherplatz, verspricht der Hersteller. Die "Proactive-Outbreak"Funktion erkennt Virenbefall bereits in einem sehr frühen Stadium und isoliert verdächtige Nachrichten. Die skalierbare Lösung lässt sich zentral von einer Konsole aus verwalten.

    Symantec Mail Security für Microsoft Exchange ist ab sofort über Symantec-Fachhändler, Distributoren und Systemintegratoren erhältlich. Der von der Anzahl der Lizenzen abhängige Preis liegt für 25 bis 49 Lizenzen bei 38,46 Euro pro Lizenz und kostet bei 100 bis 249 Lizenzen 34,40 Euro pro Lizenz.

    GolemLink


    ______



    Computer Associates bringt Sicherheitspaket gegen Viren und Spam


    MÜNCHEN (COMPUTERWOCHE) - Computer Associates (CA) will im Herbst dieses Jahres ein Softwarepaket auf den Markt bringen, das Viren und Spam-Mails blockt sowie die Übertragung von Dateien absichert. Mit "Trust Secure Content Management" lassen sich außerdem Web-Inhalte auf Basis von Unternehmens-Policies filtern und die Nutzung von Peer-to-Peer-Tauschbörsen unterbinden, sagte Ian Hameroff, Business Manager for Security Solutions bei CA.

    Die Software wird bei CA zurzeit getestet und ist dort auf 16.000 Rechnern installiert. Sie läuft unter Windows und soll 55 Dollar pro Arbeitsplatz kosten. Anwender, die bereits Antiviren-Produkte des Herstellers nutzen, können laut Hameroff zum halben Preis aufrüsten. (lex)


    ComputerWocheLink


    ______


    Nokia: Fernzugriff auf Unternehmensressourcen per SSL


    Nokia Secure Access System integriert "Client Integrity Scan"


    Nokia bringt mit dem Secure Access System eine SSL-basierte Lösung für den sicheren Fernzugriff auf Unternehmensressourcen. Im Gegensatz zu normalen VPN-Lösungen kann das Secure Access System auch ohne speziellen Client über einen Browser genutzt werden.

    Das System unterstützt dabei einen "Client Integrity Scan", der automatisch eine individuell definierbare Analyse von Schwachstellen (Vulnerability Check) des jeweiligen Endgeräts durchführt, um die passende Vertraulichkeitsstufe festzulegen. Die Funktion "Advanced Access Control" soll es zudem IT-Abteilungen erlauben, Remote-Access-Dienste auf SSL-Basis kosteneffizient zu implementieren und gleichzeitig die Umsetzung der Unternehmenspolitik in Sachen Sicherheit zu gewährleisten. Die Funktion erlaubt es, Zugriffsrechte entsprechend der Identität des Anwenders, dem verwendeten Endgerät, der Sicherheit des Endgeräts und dem Zeitpunkt des Zugriffs automatisch anzupassen.

    Durch "Session Persistence" soll zudem gewährleistet werden, dass der Anwender auch bei einem Time-out der SSL-Sitzung seine Arbeit fortsetzen kann, ohne dass Daten verloren gehen. So ermöglicht das Secure Access System dem Anwender beispielsweise, über ein mobiles Endgerät zuverlässig auf Firmenanwendungen zuzugreifen - ob im Hotel oder über das WLAN eines Wi-Fi-Providers. Dabei werden auch firmenfremde Endgeräte wie der heimische PC oder öffentliche Internet-Terminals unterstützt. Auch der Download/Upload über FTP, HTTP, Windows und Unix NFS ist möglich. Die Lösung unterstützt gängige Authentifizierungsmethoden sowie Client-Zertifikate und integriert RADIUS, LDAP, NT Domänen, NIS und SecurID.

    "Wir glauben einfach nicht, dass man beim sicheren Netzzugang mit einer Universal-Lösung für alle Bedürfnisse Erfolg haben kann", sagt Dan MacDonald, Vice President des Produktmanagement und Marketing bei Nokia. "Für die einen sind IPSec VPNs die geeignete Lösung, in vielen anderen Szenarien dagegen macht der SSL-basierte Zugriff eher Sinn."

    Das Nokia Secure Remote Access System soll ab dem 3. Quartal 2003 erhältlich sein, Preise nannte Nokia nicht.

    GolemLink
     
Die Seite wird geladen...

NEWS AUS DEM IT-SECURITY BEREICH - Ähnliche Themen

Forum Datum
Umfrage zum Theme Thema News Analytics Software im Finanzsektor. Umfragen 1. Juni 2015
Wofür nutzt Ihr Newsgroups`? Telefon und Internet 10. Apr. 2009
News in eigende HP einbinden Web & Grafik 23. Feb. 2009
Münznews Lifestyle - Freizeit, Urlaub, Garten, Kochen 25. Dez. 2008
iFrame im Newsletter Web & Grafik 14. Juni 2008