NEWS AUS DEM IT-SECURITY BEREICH

OpenBSD in Version 3.5 verfügbar



Ein halbes Jahr nach dem vorangegangenen Update haben die Entwickler von OpenBSD Version 3.5 des gleichnamigen freien Unix-Derivats bereitgestellt. Das Betriebssystem steht nun für drei neue Hardware-Plattformen zur Verfügung; unter anderem auch für AMDs 64-Bit-Prozessoren. Die aktuelle Version soll gegen Angriffe von außen noch sicherer sein -- unter anderem enthält sie eine große Anzahl von Fehlerkorrekturen, Änderungen und Optimierungen am BSD-Paketfilter. Eine ausführlichere Liste der Änderungen ist im changelog zu 3.5 einzusehen.


http://www.heise.de/security/news/meldung/47061


####

Informationen zum Schutz vor Sasser



Der am Wochendende aufgetauchte Wurm Sasser hat schon Geschwister bekommen: Sasser.B ist deutlich aktiver als sein Vorgänger; Symantec hat ihn bereits in die Bedrohungsstufe 4 eingeordnet. Auch die Variante Sasser.C ist schon vereinzelt gesichtet worden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Sonntag vor der akuten Bedrohung, auch Microsoft hat eine Warnung vor den Sasser-Würmern veröffentlicht und gibt Tips zum Schutz. Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. Außer Microsoft stellen auch Symantec (W32.Sasser Removal Tool), NAI (Stinger) und Trend Micro (System Cleaner) Sasser-Entfernungsprogramme bereit.

Die Sasser-Würmer kommen nicht via E-Mail ins Haus, sondern verbreiten sich ähnlich wie Blaster/Lovsan direkt übers Netz. Sie nutzen dazu einen Fehler in einem standardmäßig aktiven Windows-Dienst. Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. Das Internet Storm Center registriert seit dem Wochenende eine signifikante Zunahme der Scans auf Port 445, den die Schädlinge nutzen, um neue Opfer zu infizieren.

Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren. Normalerweise sollte diese ohnehin für DFÜ-Verbindungen aktiviert sein, allerdings hebelt die Zugangssoftware einiger Provider diese Standardeinstellung aus, in dem sie eigene Verbindungen definiert. Im Zweifel sollte der Provider beziehungsweise Hersteller zu Rate gezogen werden. Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. Kostenlose Versionen stellen unter anderem Kerio und ZoneLabs bereit.

Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten. Umsichtige Netzwerk-Adminstratoren können vorbeugend mit dem Tool DSScan ihr Netz auf verwundbare Systeme scannen. Findet das kostenlose Programm von Foundstone einen ungepatchten Rechner, kann der Admin dem Anwender auch gleich ein einen passenden Hinweis schicken.

Sasser.A,.B und .C versuchen zwar auch andere Systeme anzugreifen, sind aber nur bei Windows 2000 und XP erfolgreich. Die Meldung, der Computer würde nun heruntergefahren, ist ein Indiz für einen fehlgeschlagenen Versuch des Wurms in den PC einzudringen. Allerdings ist die Wahrscheinlichkeit sehr hoch, dass der PC trotzdem bereits infiziert ist.

Siehe dazu auch:

• BSI-Warnung zu Sasser
• Beschreibung Sasser.B von Symantec

http://www.heise.de/security/news/meldung/47063

+++++


Sicherheitslücke in Apples QuickTime



Der Sicherheitsdienstleister eEye hat eine Lücke in Apples Mediaplayer Quicktime entdeckt, mit dem Angreifer Code auf ein verwundbares System schleusen und im Systemkontext ausführen können. Schuld soll ein Fehler in der QuickTime.qts-Datei sein, die auch andere Applikationen zum Zugriff auf Quicktime-Funktionen benutzen. Durch manipulierte Movie-Dateien ist es möglich einen Heap-Overflow zu provozieren, mit dem sich Teile des Speichers überschreiben lassen. Im Gegensatz zu eEye geht Apple aber davon aus, dass damit nur Quicktime abstürzt und nicht das System kompromittiert werden kann. Betroffen sind laut Advisory Apple QuickTime 6.5 und Apple iTunes 4.2.0.72. Apple hat bereits Patches zur Verfügung gestellt. Alternativ können Anwender die fehlerbereinigte Quicktime-Version 6.5.1 herunterladen.

Siehe dazu auch:

• Security Advisory von eEye

http://www.heise.de/security/news/meldung/47069
#####

Microsoft unterstützt Bundesinnenministerium bei IT-Sicherheit



Bundesinnenminister Otto Schily und Microsoft-CEO Steve Ballmer haben heute in Berlin eine Vereinbarung zum Schutz der Informationstechnologie von Betreibern kritischer Infrastrukturen, wie beispielsweise von Energieversorgern und Telekommunikationsnetzbetreibern, unterzeichnet. Der Softwarekonzern habe sich in der Vereinbarung verpflichtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei dieser Aufgabe zu unterstützen, erklärte Schily. "Konkret umfasst dies die Überlassung von Informationen zu Sicherheitsfragen rund um die Microsoft-Produkte, die Benennung von permanent erreichbaren Ansprechpartnern sowie die Etablierung fester Prozesse zur Zusammenarbeit im Falle möglicher IT-Sicherheitsprobleme."

Weitere Einzelheiten, etwa zur Art der Informationen, die der US-amerikanische Software-Hersteller gegenüber dem BMI und dem BSI im Rahmen der Vereinbarung offen legen werde, wollte Schily auch auf Rückfrage nicht nennen. "Da müssen wir einen gewissen Diskretionsvorbehalt machen", erklärte der Minister. "Wir wollen niemanden einladen, von Informationen Gebrauch zu machen, solange wir kein Mittel haben, die Schwachstellen zu schließen."

Bei ihrem Treffen hatte Schily und Ballmer auch die Interoperabilität von Microsoft-Produkten mit den Produkten anderer Hersteller und freier Software erörtert. Vor allem für die eGovernment-Projekte der Bundesbehörden -- aber auch die Projekte in Ländern und Kommunen -- ist die Möglichkeit des herstellerübergreifenden Austausches von Informationen zwischen den verschiedenen Systemplattformen von großer Bedeutung. Microsoft sei den Interoperabilitätsanforderungen des Bundesinnenministeriums sehr weit entgegengekommen, hob Schily anerkennend hervor. Als Beispiel nannte er die Entwicklung einer .NET-Version des Verwaltungsstandards OSCI. (Richard Sietmann) /


http://www.heise.de/security/news/meldung/47079

Weitere Informationen zu Sasser-Würmern



Die Sasser-Wurm-Familie hat sich um ein weiteres Mitglied vergrößert: Sasser.D. Die neue Variante sucht nach anderen Systemen, indem sie bis zu 30 Ping-Pakete (ICMP Echo-Request) pro Sekunde versendet. Nach Angaben des Internet Storm Centers greift Sasser.D auch auf Multicast-Scans zur Suche zurück, was in einigen Netzwerken -- aufgrund der hohen Last -- wohl schon zu instabilen Routern geführt hat. Auch die anderen Sasser-Varianten erhöhen die Netzlast signifikant, wenn sie auf die Suche nach verwundbaren Rechnern gehen: Bis zu 1000 Scan-Threads können gleichzeitig laufen.

Der E-Mail-Wurm Netsky.AC versucht derweil, die Sorge vor Wurmangriffen auszunutzen und tarnt sich unter anderem als Removal-Tool für Sasser.B. Als Absender erscheint dann ein Hersteller von Antivirensoftware. Anwender sollten solche Mails sofort löschen, die Hersteller versenden niemals derartige Tools, Patches oder Signaturen per E-Mail.

Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können. Bei einer Mehrfachinfektion nützen auch die Removal-Tools der Hersteller nichts mehr. Am sichersten ist dann nur noch die Neuinstallation des Betriebssystems.

Zu ersten Ausfällen hat der Wurm schon geführt, allerdings nur indirekt: Die Deutsche Post hat nach Angaben der hannoverschen Neuen Presse aus Angst vor dem Wurm die Sicherheitsrichtlinie der Firewall verschärft. Das hielt dann aber nicht nur den Wurm außen vor, sondern auch die Rechner für Bankgeschäfte in den Postfilialen. Geldauszahlungen konnten nur noch per Formular verbucht werden.

Siehe dazu auch:

• Informationen zum Schutz vor Sasser auf heise Security
• Wurm Sasser dringt über Windows-Sicherheitslücke ein auf heise Security

http://www.heise.de/security/news/meldung/47097

####

EICAR: Informationssicherheit für alle



Während Sasser für Panik sorgt und Microsoft das Bundesinnenministerium bei der IT-Sicherheit unterstützt, geht es bei der 14. Jahrestagung des European Institute for Computer Anti Virus Research (EICAR) in Luxemburg nachgerade idyllisch zu. Unter dem allumfassenden Thema "Information Security in the Information Society" liefern Firmen wie Microsoft ihre Powerpoints ab, in denen in Hinblick auf die kommende WinHEC-Konferenz die neue NGSCB-Sicherheitsarchitektur gepriesen wird. Zu den positiven Aspekten der schon altehrwürdigen Konferenz, bei der sich alles um ein Gala-Dinner mit vielen Reden und Ehrungen dreht, gehört die Aufnahme neuer Sicherheitsaspekte in die Agenda. Nicht nur die Viren stören die Privatsphäre der Computernutzer, sondern auch die Chip gewordenen Viren der RFID-Klasse. Aus diesem Grunde gibt es eine neue EICAR-Arbeitsgruppe und auf der zweitägigen Konferenz auch einen Vortrag von RSA Security über verschiedene Typen von RFID-Blockern dieser Firma. Das von RSA gewählte Beispiel, nach dem Passsanten auf der Strasse identififiziert werden, weil sie das Kapital von Marx und ein kommunistisches Handbuch in der Einkaufstüte haben, belustigte eher. Die Debatten beginnen eher dort, wo RSA-Vertreter Mike Szydlo behauptet, dass RFID-Chips von Konkurrenten benutzt werden könnten, das Supply Chain Management einer Firma auszuspionieren.

Gegen Ende des ersten Konferenztages stellen Vertreter aus Belgien, Luxemburg, der Schweiz und Deutschland ihre Varianten des CASES-Projektes vor, das Virenschutz als öffentlichen Gesundheitsschutz definiert. Im Kern geht es bei Projekten wie dem Schweizer Melani (Melde- und Analysestellung Informationssicherung) darum, dass Vireninformationen in allen Sprachen aktuell und doch verständlich für den Laien angeboten werden. "Es geht doch nicht an", ereiferte sich Urs Gattiker von der Fachhochschule Lübeck über Sasser und andere Kalamitäten, "dass Virenspezialisten Freitagnachmittag alle wichtigen Informationen veröffentlichen, diese aber bis Montag, Dienstag liegen bleiben, weil in den Nachrichtenagenturen Feierabend ist. Es muss doch jemanden geben, der in der Sprache des Durschnittsbürgers Vireninformationen verteilt, die dieser verstehen kann." Bei den auf der EICAR komplett versammelten Vertretern der Antivirenindustrie erntete Gattiker damit nicht nur Zustimmung. "Es reicht doch, wenn Otto Normalverbraucher unser Programm installiert und es so einrichtet, dass es ein- bis zweimal am Tag die neuesten Schutzinfos und Virensignaturen abholt", lautete unisono der Kommentar der professionellen Virenjäger. Von denen freilich niemand die Rolle des Buhmannes übernehmen wollte. (Detlef Borchers) /

http://www.heise.de/security/news/meldung/47091

##

Apple stellt weiteres Sicherheitsupdate für Mac OS X bereit



Seit gestern gibt es ein neues Sicherheitsupdate für Mac OS X. Das "Security Update 2004-05-03" liegt auf Apples Website in vier Varianten jeweils für Client- und Server-Version von Jaguar (10.2.8) und Panther (10.3.3) oder ist über die Software-Aktualisierung des Systems zu beziehen. Apple empfiehlt es allen betroffenen Anwendern.

Alle Varianten lösen laut Knowledge-Base-Artikel 61798 Probleme des AFP-Servers mit langen Passwörtern, installieren Apache 2.0.49, verbessern das Handling von Umgebungsvariablen der CoreFoundation sowie die Sicherheit von VPN-Tunneling mit IPSec. Die Jaguar-Variante behebt außerdem noch ein Problem von RAdmin mit dem Handling größerer Anfragen. Weiterhin enthalten die aktuellen Updates das Security Update 2004-04-05 vom 5. April (Infos ebenfalls im Artikel 61789).

Das Update für den Panther-Client ist 3,7, das für Panther-Server 7,2 MByte groß, während die Jaguar-Varianten 9,3 und 13,1 MByte umfassen.

http://www.heise.de/security/news/meldung/47094

Checkpoints VPN-1-Produkte verwundbar



Checkpoint, Hersteller von Firewall- und VPN-Lösungen, hat einen Security Alert herausgegeben, der auf eine Sicherheitslücke in allen VPN-1-Produkten hinweist. Durch einen Fehler bei der Aushandlung von Tunnel-Parametern können manipulierte ISAKMP-Pakete einen Buffer Overflow provozieren. Unter bestimmten -- im Alert nicht näher erläuterten -- Umständen können Angreifer damit das System kompromittieren und in das dahinterliegende Netzwerk vordringen.

Betroffen sind VPN-1/FireWall-1 VSX NG, VPN-1 SecuRemote, VPN-1 SecureClient, VPN-1/FireWall-1 NG mit Application Intelligence (AI), VPN-1/Firewall-1 NG und FireWall-1 GX 2.x. auf den Plattformen Windows, Solaris, Linux, IPSO und SecurePlatform. Checkpoint empfiehlt allen Betroffenen, die aktuellen Hotfix Accumulators (HFA) für die entsprechenden Produkte zu installieren. Die HFAs liegen auf den Seiten des Herstellers für registierte Kunden zum Download bereit.

Siehe dazu auch:

• Security Alert von Checkpoint

http://www.heise.de/security/news/meldung/47116

###

Zertifikate für IT-Sicherheitsexperten



Seit Anfang Mai können sich Administratoren und Datenschutzbeauftragte zur Prüfung zum sogenannten Teletrust Information Security Professional (TISP) anmelden. Das nach erfolgreicher Prüfung verliehene Zertifikat dient als standardisierter Nachweis über Kenntnisse in der IT-Sicherheit, der deutsche und europäische Besonderheiten berücksichtigt. Zwar gibt es bereits international anerkannte Zertifikate, etwa den amerikanischen Certified Information Systems Security Professional (CISSP), diese berücksichtigen aber deutsche und europäische Besonderheiten nicht. Die Gesetzgebung zur elektronischen Signatur oder der BSI-Grundschutz bleiben beispielsweise außen vor.

Der Prüfung geht ein einwöchiger Kurs voraus, in dem Grundlagen aus den Bereichen Netzwerksicherheit, Kryptographie, Sicherheitsmanagement sowie wichtige rechtliche Rahmenbedingungen vermittelt werden. Bislang dürfen aber nur wenige geprüfte Anbieter die für das TISP-Zertifikat nötigen Lehrgänge veranstalten. Entwickelt haben das Zertifikat das Fraunhofer-Institut für Sichere Telekooperation SIT und Partner unter der Schirmherrschaft des TeleTrusT Deutschland e. V.

Siehe dazu auch:

• Informationen zum TISP-Zertifikat vom Fraunhofer Institut

http://www.heise.de/security/news/meldung/47128

++++

BSI schreibt Studie zum Pervasive Computing aus



Das Bundesamt für Sicherheit in der Informationstechnik (BSI) will die Auswirkungen von kleinsten Prozessoren, Speicherelementen und Sensoren auf den Alltag der Nutzer erforschen. Dafür hat das Bundesamt die Studie "Pervasive Computing -- Entwicklungen und Auswirkungen" ausgeschrieben, für die sich Interessierte bis zum 15. Juni 2004 bewerben können. Der anschließende Auftrag würde von Oktober 2004 bis September 2005 laufen.

"Während aufgrund des schnellen technologischen Fortschritts bereits viele Systeme im Einsatz sind (logistische Systeme, Erfassung von Abfalltonnen, Tieridentifikation) beziehungsweise in Feldversuchen erprobt werden (Smart Labels in Kleidung, Metro Future Store, Personaldokumente mit RF-Chips), sind die Auswirkungen auf den Alltag des Nutzers genauso wenig untersucht wie Implikationen aus Sicht der IT-Sicherheit", heißt es in der Ausschreibung.

Ziel der Studie soll es sein, die derzeitige Entwicklung zu dokumentieren und zu prognostizieren. Außerdem sollen ausgewählte Anwendungsfelder des Pervasive Computing (PvC) bestimmt und analysiert und die Auswirkungen des PvC vor allem im Bereich der IT-Sicherheit dargestellt werden. Weiter geht es um die Chancen und Risiken des Einsatzes ubiquitärer Techniken.


http://www.heise.de/security/news/meldung/47133

####

Sasser: Phatbot als blinder Passagier



Dass Phatbot zur Verbreitung unter anderem Hintertüren von Schädlingen wie Bagle oder MyDoom nutzt, ist bekannt. Findet Phatbot einen solchen Schädling, wird er normalerweise gelöscht und die Hintertür geschlossen, sodass darüber keine weiteren Viren den Rechner infizieren können. Anders geht Phatbot beim Sasser-Wurm vor: Anstatt den Schädling zu entfernen und durch Phatbot zu ersetzen, modifiziert Phatbot den aktiven Sasser-Schädling für seine eigenen Zwecke.

Bei Neuinfektion eines Rechners durchsucht Phatbot das System zunächst nach dem Sasser-Wurm. Findet er einen, so modifiziert Phatbot den Sasser-Prozess und protokolliert alle IP-Adressen, an die sich der Sasser-Wurm weiterverschickt. Die Phatbot-Instanz folgt diesen Verbindungen dann einfach und installiert sich auf den neu befallenen Rechnern.

Eine solche Infektion lässt sich daran erkennen, dass die Datei "wormride.dll" im Windows-Systemverzeichnis existiert. Sie ist offenbar dafür zuständig, die über die Sasser-Verbreitung neu infizierten Hosts mit Phatbot-Instanzen zu versorgen. Wer eine solche Datei auf seinem Rechner findet, kann davon ausgehen, dass er sowohl mit Sasser als auch Phatbot infiziert ist.

Als Schutz vor Sasser und Phatbot sollten alle Windows-Anwender die jüngsten Microsoft-Patches sowie einen Virenscanner mit aktuellen Signaturen installieren. Weiterhin empfiehlt sich eine Personal Firewall zur Überwachung von ein- und ausgehendem Netzverkehr. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.



Siehe dazu auch:

• Superwurm mit öffentlichem Quelltext auf heise Security
• Informationen zum Schutz vor Sasser" auf heise Security
• Übersicht der April-Patches von Microsoft

http://www.heise.de/security/news/meldung/47134

Studie: Milliardenschaden durch betrügerische E-Mails



Durch eine Art betrügerische E-Mails, Phishing-Mails genannt, sind nach Schätzungen des Marktforschungsunternehmens Gartner vermutlich Schäden in Milliardenhöhe entstanden. Allein in den USA habe die Zunahme der Phishing-Mails bei Banken und Eigentümern von Kreditkarten im Jahr 2003 ein Schaden in Höhe von 1,2 Milliarden US-Dollar verursacht, teilte Gartner heute mit. Die E-Mails tarnen sich meist als seriöse Nachricht eines Kreditinstituts und fordern den Empfänger auf, zum Beispiel seine persönlichen Daten, Passwörter oder PIN-Codes zu aktualisieren. Mit den Daten können die Betrüger dann ungehindert die Konten plündern.

Phishing-Mails sind nicht neu, haben aber innerhalb der vergangenen zwölf Monate dramatisch zugenommen, hieß es. Nach Angaben von Gartner haben 76 Prozent der Attacken innerhalb der letzten sechs Monate stattgefunden, nur 16 Prozent der Fälle passierten in den sechs Monaten davor. "Finanzinstitute, Internet-Service-Provider und andere Anbieter sollten das Phishing ernst nehmen", sagte Avivah Litan, Forschungsdirektor bei Gartner. Sollte das Phänomen nicht deutlich eingedämmt werden, könnte dies alle Beteiligten des elektronischen Geschäftsverkehrs betreffen, da das Vertrauen der Kunden nachhaltig zerstört werden könnte.

Nach Schätzungen von Gartner haben insgesamt 19 Prozent der Attacken Erfolg gehabt, und rund 11 Millionen erwachsene US-Bürger hätten auf eine Phishing-Mail reagiert. Davon hätten mit 1,78 Millionen Erwachsenen insgesamt 3 Prozent ihre finanziellen und persönlichen Daten weitergegeben. Zuletzt hatte im April das IT-Sicherheitsunternehmen MessageLabs von den betrügerischen Mails gewarnt. Zur Vorsorge rät MessageLabs allen Finanzdienstleistern, ihre Kunden darüber zu informieren, auf welche Weise sie ihre Korrespondenz abwickeln. Zu den betroffenen Instituten gehörten unter anderen das britische Geldinstitut Barclays, die Citibank und Visa sowie das Internet-Bezahlsystem PayPal des Auktionshauses Ebay. (dpa) /

http://www.heise.de/security/news/meldung/47170

####

Open-Source-Implementierung von Kerberos mit Sicherheitslücken



In der Open-Source-Implementierung des Kerberos-Protokolls Version 5 -- Heimdahl -- ist ein Fehler enthalten, mit dem Angreifer den Dienst zum Absturz bringen können. Unter Umständen ist auch das Einschleusen von beliebigem Code möglich. Ursache ist ein Fehler im Dienst kadmin zur Administration des Kerberos Key Distribution Center (KDC). Aus Kompatibilitätsgründen unterstützt kadmin in einigen Distributionen auch Kerberos-4-Administrationsanfragen, was aber bei bestimmten Paketen zu einem Heap Overflow führt. Betroffen sind alle Versionen bis einschließlich 0.6.1. In Version 0.6.2 ist das Problem behoben. Anwender können alternativ beim Start von kadmin die Kerberos-4-Unterstützung mit der Option --no-kerberos4 deaktivieren.

FreeBSD hat bereits mit Patches reagiert und die Gelegenheit genutzt, eine weitere Schwachstelle in Heimdahl zu beseitigen: Administratoren unterschiedlicher Vertrauensbereiche unter Kerberos konnten jede beliebige Identität vortäuschen. Kerberos dient in Netzwerken zur Authentifizerung von Systemen und wurde ursprünglich vom Massachusetts Institute of Technology (MIT) entwickelt.



Siehe dazu auch:

• Security Advisory von Evgeny Demidov
• Security Advisories von FreeBSD

http://www.heise.de/security/news/meldung/47144

####

Wieder Schwachstellen in KAMEs IKE-Implementierung



Der IKE-Dienst des KAME-Projektes Racoon lässt sich durch manipulierte Pakete zum Absturz bringen. KAME ist eine freie Referenz-Implementierung von IPv6 und IPSec für verschiedene BSD-Varianten, die auch im Linux-Kernel 2.6 verwendet wird. Versucht ein Client im Aggressive Mode einen Tunnel zu etablieren und füllt einige reservierte Felder in IKE-Paketen mit sinnlosen Daten, so beendet der Racoon-Dienst alle bestehenden Verbindungen und geht in eine Endlosschleife, in der er einen Großteil der Systemressourcen in Anspruch nimmt. Im Original-Advisory ist ein Demo-Exploit aufgeführt. Betroffen sind Versionen vor dem 7. 4. 2004 (20040407b). Anwendern sollten auf eine aktuelle Version wechseln.

In diesem Jahr wurden bereits mehrere Sicherheitslücken in Racoon aufgedeckt. Unter anderem konnten unautorisierte Clients die Verbindungen anderer Anwender beenden und sich mit beliebigen RSA-Signaturen gegenüber Gateways authentifizieren.

Siehe dazu auch:

• Security Advisory von John Lampe

http://www.heise.de/security/news/meldung/47147

####

Mail-Server Exim in einigen Konfigurationen verwundbar



Der Sicherheitsexperte Georgi Guninski hat im Open-Source-Mail-Transfer-Agent (MTA) Exim 3.35 und 4.32 zwei Sicherheitslücken entdeckt. Lücke eins basiert auf einem möglichen Buffer Overflow in der Funktion verify.c zur Überprüfung von Absenderadressen. Dazu muss aber in der Konfiguration sender_verify=true definiert sein, was aber in der Standardeinstellung nicht der Fall ist. Angreifer können mit manipulierten Mails eigenen Code in einen Exim-Server schleusen und ausführen. Nach Angaben von Guninski ist nur Version 3.35 von diesem Fehler betroffen.

Der zweite Fehler ist in beiden genannten Versionen enthalten. Manipulierte Mail-Header können beim Syntax-Check ebenfalls einen Buffer Overflow provozieren. Dazu müssen die Optionen headers_check_syntax beziehungsweise </I>require verify = header_syntax</I> aktiviert sein. Auch diese Funktion ist in der Standardinstallation ausgeschaltet.

Guninski hat in seinem Advisory sowohl Patches als auch Proof-of-Concept-Exploits veröffentlicht. Die Entwickler von Exim sind bereits informiert. Auch Debian soll bereits an neuen Paketen arbeiten. Betroffene Anwender können als Workaround die entsprechenden Optionen wieder deaktivieren.

Siehe dazu auch:

• Security Advisory von Guninski

http://www.heise.de/security/news/meldung/47156

2004/5/10

Buffer Overflow in Online-Virenscanner



[Virus- & A/V-Software] (http://www.heise.de/newsticker/meldung/46354, http://www.heise.de/newsticker/meldung/46355) In mehreren kostenlosen Online-Virenscanner sind Fehler enthalten, durch die ein Angreifer in der Lage ist, beliebigen Code auf den Stack des Systems zu schreiben und im Kontext des Anwenders auszuführen.

Rafel Ivgi hat drei Security Advisories veröffentlicht, in denen er Fehler bei McAfee, Panda und Symantecs ActiveX-Controls beschreibt. Ob die Hersteller bereits über das Problem informiert sind, gibt Ivgi in seinen Advisories nicht an. Anwender sollten die verwundbaren Controls unter C:\Windows\Downloaded Program Files\ deinstallieren und ActiveX deaktivieren. Der Fehler basiert jeweils auf einer so genannten Null-Pointer-Dereference, bei der der Versuch auf freigegebenen Speicher zuzugreifen zum Absturz führt. Der Fehler in Pandas Controls basiert auf einem Heap Overflow, der aber das Einschleusen und Starten von Code erlaubt.

http://www.rotalarm.de/
Hochleistungsrechner der Stanford University geknackt



[Hacks & Incidents] (http://www.heise.de/newsticker/meldung/46485) Die IT-Sicherheitsabteilung der Stanford University (ITSS) hat im April einen Bericht über Einbrüche in die eigenen Hochleistungsrechner und die angeschlossener Institute veröffentlicht. Demzufolge seien Unbekannte in mehrere über Highspeed-Netzwerke zusammengeschaltete Linux- und Solaris-Maschinen eingedrungen. Unklar sei, seit wann die Einbrüche stattgefunden hätten. Aufgefallen seien die Angriffe am 3. April. Den Angreifern sei offenbar zunächst durch das Ausspähen und Knacken der Passwörter nicht-privilegierter Konten der Zugang zu den Systemen gelungen. Dort hätten sie dann bekannte lokale Sicherheitslücken ausgenutzt, unter anderem do_brk() und mremap() auf Linux sowie sadmind, passwd und das unautorisierte Laden von Kernelmodulen unter Solaris, um Administrator-Privilegien zu erhalten.

http://www.rotalarm.de/
Gentoo – Aktualisierung für ipsec-tools

[Security-Software & -Tools] GLSA 200404-05: ipsec-tools contains an X.509 certificates vulnerability (http://www.tecchannel.de/sicherheit/reports/2590.html) Von Gentoo gibt es seit Mitte April eine Aktualisierung für ipsec-tools. Diese behebt eine Schwachstelle, über die ein Angreifer MitM-Angriffe (Man-in-the-Middle) durchführen oder unautorisierte Verbindungen herstellen kann.

http://www.rotalarm.de/
2004/5/07

Patch behebt Probleme vom WMP-Patch



[Microsoft Windows] Windows-Media-Player-Patch vom Februar 2004 macht Schwierigkeiten (http://www.golem.de/0404/30938.html) Ein im Februar 2004 erschienener Patch für den Windows Media Player macht offenbar Schwierigkeiten, die nun ein weiterer Patch beheben soll. So kann es passieren, dass in Form einer URL übermittelte Script-Befehle nicht umgesetzt werden, was der nun erschienene Patch bereinigt.

Das im Februar 2004 bekannt gewordene Sicherheitsleck in mehreren Versionen des WMP gestattet es einem Angreifer, in einen Audio- oder Video-Stream ausführbaren Script-Code in Form einer URL einzubinden, der dann in der lokalen Sicherheitszone des Opfers ausgeführt werden kann. Damit erlangt ein Angreifer umfassende Kontrolle über ein fremdes System, indem ein Opfer lediglich einen Audio- oder Video-Stream mit dem WMP empfängt. Der damals erschienene Patch für den WMP bereinigte das Problem, brachte aber neue Schwierigkeiten. Nach Microsofts Angaben kann es vorkommen, dass Script-Code als URL dann nicht mehr korrekt umgesetzt wird.

Im Februar 2004 erklärte Microsoft in einem Knowledge-Base-Artikel, dass es sich bei der Sicherheitslücke eigentlich gar nicht um einen Fehler handele, sondern dies eine spezielle Funktion des WMP sei. Dennoch sah sich Redmond veranlasst, einen Patch bereitzustellen, der einen neuen Eintrag in der Registry vornimmt, worüber ein Administrator bestimmen kann, wie URL-Daten in entsprechenden Audio- und Video-Streams verarbeitet werden. Der damalige KB-Artikel beschreibt, unter welchen Umständen der Windows Media Player entsprechende URLs in Streaming-Daten berücksichtigt. Um die mit dem im Februar 2004 erschienenen Patch auftretenden Probleme im WMP zu beseitigen, bietet Microsoft einen weiteren Patch für den WMP zum Download an. Dazu gibt es von Microsoft drei verschiedene Patches für den WMP 6.4, 7.1 sowie die 9er-Version für Windows Millennium, für den WMP unter Windows 2000, XP und Server 2003 sowie einen weiteren Patch für Systeme mit Windows NT 4.0 Server.

http://www.rotalarm.de/
Sasser: Phatbot als blinder Passagier



[Trojaner & Backdoors] (http://www.heise.de/newsticker/meldung/47134) Phatbot alias W32.HLLW.Gaobot.gen, W32/Gaobot.worm.gen, Backdoor.Agobot, nutzt zur Verbreitung unter anderem Hintertüren von Schädlingen wie Bagle oder MyDoom. Findet Phatbot einen solchen Schädling, wird er normalerweise gelöscht und die Hintertür geschlossen, sodass darüber keine weiteren Viren den Rechner infizieren können. Anders geht Phatbot beim Sasser-Wurm vor: Anstatt den Schädling zu entfernen und durch Phatbot zu ersetzen, modifiziert Phatbot den aktiven Sasser-Schädling für seine eigenen Zwecke.

Bei Neuinfektion eines Rechners durchsucht Phatbot das System zunächst nach dem Sasser-Wurm. Findet er einen, so modifiziert Phatbot den Sasser-Prozess und protokolliert alle IP-Adressen, an die sich der Sasser-Wurm weiterverschickt. Die Phatbot-Instanz folgt diesen Verbindungen dann einfach und installiert sich auf den neu befallenen Rechnern. Eine solche Infektion lässt sich daran erkennen, dass die Datei wormride.dll im Windows-System-Verzeichnis existiert. Sie ist offenbar dafür zuständig, die über die Sasser-Verbreitung neu infizierten Hosts mit Phatbot-Instanzen zu versorgen. Wer eine solche Datei auf seinem Rechner findet, kann davon ausgehen, dass er sowohl mit Sasser als auch Phatbot infiziert ist.

http://www.rotalarm.de/
Checkpoints VPN-1-Produkte verwundbar



[Security-Software & -Tools] (http://www.heise.de/newsticker/meldung/47116) Checkpoint, Hersteller von Firewall- und VPN-Lösungen, hat einen Security Alert herausgegeben, der auf eine Sicherheitslücke in allen VPN-1-Produkten hinweist. Durch einen Fehler bei der Aushandlung von Tunnel-Parametern können manipulierte ISAKMP-Pakete einen Buffer Overflow provozieren. Unter bestimmten – im Alert nicht näher erläuterten – Umständen können Angreifer damit das System kompromittieren und in das dahinterliegende Netzwerk vordringen. Betroffen sind VPN-1/FireWall-1 VSX NG, VPN-1 SecuRemote, VPN-1 SecureClient, VPN-1/FireWall-1 NG mit Application Intelligence (AI), VPN-1/Firewall-1 NG und FireWall-1 GX 2.x. auf den Plattformen Windows, Solaris, Linux, IPSO und SecurePlatform. Checkpoint empfiehlt allen Betroffenen, die aktuellen Hotfix Accumulators (HFA) für die entsprechenden Produkte zu installieren. Die HFAs liegen auf den Seiten des Herstellers für registierte Kunden zum Download bereit.

http://www.rotalarm.de/
Kerio Personal Firewall – DoS über Verarbeitung von URLs



[Security-Software & -Tools] (http://www.tecchannel.de/sicherheit/reports/2588.html) Emmanouel Kellinis meldete Mitte April eine Schwachstelle in Kerio Personal Firewall, über die ein Angreifer einen Denial-of-Service hervorrufen kann.

Das Problem wird dadurch verursacht, dass Kerio Personal Firewall bei eingeschalteter Web-Filterung Probleme mit den Zeichen </I>%12</I> und %13 in URLs hat. Taucht ein solches Zeichen auf, stürzt die GUI von Kerio ab. Bei zwei oder mehr solcher Zeichen stürzt die ganze Personal Firewall ab. Dies ist bestätigt für Version 4.0.13. Andere Versionen könnten jedoch ebenfalls betroffen sein.

http://www.rotalarm.de/
2004/5/06

MS-Patch verhindert Verschlüsselung des IE



[Microsoft Windows] Full-Disclosure: MS04-011 Break SSL support in IE 6.0.3790.0 with Windows 2003 (http://www.heise.de/newsticker/meldung/46620) Auf der Sicherheits-Mailingliste Full Disclosure gibt es mehrere Postings, die darauf hinweisen, dass der jüngst im Security Bulletin MS04-011 empfohlene Sammelpatch – zum Stopfen mehrerer Sicherheitslücken in Windows – die SSL-Verschlüsselung des Internet Explorer 6 unbrauchbar macht. In der Folge kann der Browser nicht mehr mit SSL-gesicherten Servern (https://) kommunizieren, da die Verschlüsselungsstärke nur mit 0 Bit verfügbar ist anstatt der nötigen 128 Bit.

Den Meldungen nach soll aber nur Windows Server 2003 von dem Problem betroffen sein. Der Knowledge Base Artikel 261328 widmet sich dem Problem, das in der Vergangenheit bereits unter Windows 95, 98 und ME aufgetreten ist. Die dort aufgeführte Lösung funktioniert allerdings nicht unter Windows Server 2003. Abhilfe schafft derzeit nur die De-Installation des kumulativen Patches. Allerdings bleiben dann 14 – teilweise kritische – Sicherheitslücken offen. Alternativ können Anwender auf andere Browser, etwa Mozilla oder Opera, zurückgreifen. Auf Bugtraq ist derweil ein Proof-of-Concept-Exploit für die SSL-Sicherheitslücke unter Windows erschienen. Auf nicht gepatchte Rechner angewandt soll der Exploit zum Absturz des Systems führen. Insbesondere Microsofts Internet Information Server (IIS) dürfte nun verstärktem Beschuss aus dem Internet ausgesetzt sein. Administratoren sollten, sofern noch nicht geschehen, den Patch aus MS04-011 installieren – auch wenn das System Windows Server 2003 heißt.

http://www.rotalarm.de/
Warnung vor TCP-Sicherheitslücke



[Netzwerke / Protokolle] NISCC-VA 236929: Vulnerability Issues in TCP (http://www.intern.de/news/5527.html) Das britische National Infrastructure Security Co-Ordination Centre (NISCC) warnte vor rund zwei Wochen in einem Vulnerability Advisory vor einer Sicherheitslücke im Transmission Control Protocol (TCP). Die Sicherheitslücke, die im Wesentlichen im falschen Befehl zum Zurücksetzen (Reset, RST) einer TCP-Verbindung besteht, ist nach Angaben des NISCC schon seit langem bekannt. Die Gefahr, dass diese Sicherheitslücke ausgenutzt werden kann, wurde bisher mit einer extrem niedrigen Wahrscheinlichkeit verbunden.

Die Problematik musste nun aber neu eingeschätzt werden, nachdem Paul A. Watson in seinem Paper Slipping In The Window: TCP Reset Attacks beschrieben hat, dass zur Ausnutzung nicht die Ermittlung einer bestimmten, 32 Bit langen Sicherheits-Sequenz notwendig ist. Er zeigt vielmehr, dass die TCP-Implementierung in verschiedenen Systemen und Anwendungen so ausgelegt ist, dass eine Sequenz innerhalb einer bestimmten Zahlenspanne schon zur Akzeptanz des RST-Pakets genügt. Mit diesem "Fenster" unterschiedlicher Größe erhöht sich die Wahrscheinlichkeit, eine solche Lücke ausnutzen zu können. Das Gefahrenpotential schwankt demnach von Implementierung zu Implementierung. In Abhängigkeit vom Hersteller beziehungsweise der jeweiligen Anwendung, in der das Protokoll eingesetzt wird, ist von einem unterschiedlich hohen Gefahrenpotential auszugehen. Was dieser Allgemeinplatz in der Praxis bedeutet, wird sich vermutlich in den kommenden Wochen zeigen.

Sicherheitsloch in SSL-Proxy



Das schwedische Security-Team 0xbadc0ded.org berichtet von einem Sicherheitsproblem in der SSL-Erweiterung des Proxy-Pakets DeleGate. DeleGate ist ein universeller Application Level Proxy, der unter anderem die Protokolle HTTP, FTP, NTTP, SMTP, POP, Telnet und SOCKS vermitteln kann und auf Unix, Windows 95/98/ME/NT/2K und OS/2 läuft. Ein Buffer-Overflow im Filter SSLway lässt sich laut dem Advisory durch speziell präparierte SSL-Zertifikate übers Netz ausnutzen. DeleGate wurde am 2. 5. benachrichtigt und stellt seit dem 5. 5. eine bereinigte Version 8.9.3 bereit, die den Fehler nicht mehr enthält. In den Relase-Notes ist allerdings nur kurz von einem Fix für einen möglichen Buffer Overflow die Rede.

Siehe dazu auch:

• Security Advisory von 0xbadc0ded.org
• Release Notes zu DeleGate 8.9.3

http://www.heise.de/security/news/meldung/47180


####

Suse Live CD offen für Angriffe übers Netz



Suse warnt in einem Security-Advisory, dass die Live CD der Suse Linux 9.1 Personal Edition Root-Zugang via SSH ohne Passwort erlaubt. Ähnlich wie bei Knoppix kann der Anwender von der Live CD ein Linux booten, das dann eine vorhandene Netzwerkkarte automatisch via DHCP aktiviert. Ein direkter Internet-Zugang ist auch möglich, muss aber vom Nutzer eingerichtet werden. Ist der Rechner an ein Netz angebunden, kann der SSH-Zugriff auch von außen erfolgen.

Als reine CD-Installation ist die Live CD nicht gefährdet, als System-Administrator kann ein Angreifer allerdings auch beliebig auf die Festplatte des Rechners zugreifen. Festplatten-Installationen von SuSE Linux sind nicht betroffen, da für alle bei der Installation eingerichteten Benutzerkonten einschließlich des Root-Accounts ein Passwort eingerichtet wird, das dann für den Zugang via SSH benötigt wird.

Auf einem laufenden Live-System schließt das Beenden der SSH-Prozesse das Sicherheitsloch; das System ist aber auf jeden Fall während des Boot-Vorgangs angreifbar. Deshalb sollten Anwender die Live CD nicht auf Systemen mit Netzanbindung nutzen. Suse stellt ein neues ISO-Image für die Live CD bereit, das den SSH-Zugang ohne Passwort generell verbietet.

Das PGP-signierte Advisory wurde vom Suse Security Team auf der Sicherheits-Mailingliste Bugtraq gepostet. Auf den Sicherheitsseiten von Suse findet es sich bisher noch nicht.

Knoppix startet den SSH-Server standardmäßig nicht, er muss vom Anwender aktiviert werden. Dabei wird auch gleich ein Passwort für den Zugang für den Knoppix-User eingerichtet, ein Root-Login ist per default überhaupt nicht möglich.

Siehe dazu auch:

• Security Advisory von Suse

http://www.heise.de/security/news/meldung/47183

###


Kritisches Sicherheitsloch in Eudora



Paul Szabo hat eine Schwachstelle im Mail-Client Eudora gefunden, durch die Angreifer von außen beliebigen Code ausführen können. Betroffen sind Eudora 5.x und 6.x für Windows. Das Problem tritt bei überlangen URLs in E-Mails auf: Klickt ein Anwender auf einen überlangen Hyperlink (circa 300 Bytes), führt das zu einem Buffer Overflow in Eudora, der sich zum Einschleusen von beliebigem Code nutzen lässt. Szabo hat ein Proof-of-Concept-Exploit auf der Sicherheits-Mailingliste Full-Disclosure veröffentlicht, das Eudora zum Absturz bringt. In einem Test mit Eudora 6.1 unter Windows XP funktionierte das reproduzierbar.

Szabo empfiehlt in seinem Advisory, auf andere Produkte auszuweichen oder zumindest "Allow executables in HTML content" und "Use Microsoft's viewer" in den Eudora-Optionen zu deaktivieren. Einen Patch für das Problem gibt es bislang noch nicht. Die Sicherheitlücke ähnelt zwei anderen Lücken, die mittlerweile gestopft sind. Auch dabei handelte es sich um Buffer Overflows, die durch überlange Zeichenketten auslösbar waren, einmal im Header "Reply To:" und in Dateinamen für Attachments.



Siehe dazu auch:

• Do not use Eudora von Paul Szabo
• Schwachstelle im Mailprogramm Eudora auf heise Security
• Neue Version von Eudora weiterhin mit Sicherheitslücken auf heise Security

####

Sasser-Programmierer in Deutschland gefasst



Wie das Landeskriminalamt in Hannover heute Morgen mitteilte, wurde gestern der mutmaßliche Programmierer des Internet-Wurms Sasser festgenommen. Es handele sich um einen 18-jährigen Schüler aus Rotenburg (Wümme) in Niedersachsen, der Rahmen eines Verfahrens der Staatsanwaltschaft Verden ermittelt wurde. Er habe mittlerweile ein Geständnis abgelegt und befinde sich wieder auf freiem Fuß, erklärte Frank Federau vom LKA Niedersachsen gegenüber heise online. Außerdem hätten Experten von Microsoft das Beweismaterial gesichtet und den Verdacht gegen den Schüler bestätigt.

Sasser hatte seit Ende April weltweit Millionen Computer heimgesucht. Nach Meinung von Experten waren auch einige internationale Großunternehmen von den Folgen betroffen. Ihnen entstehen zum Teil erhebliche Produktionsausfälle. Der Wurm nutzt bei nicht gepatchten Windows-2000 und XP-Systemen einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können.



Siehe dazu auch:

• Sasser: Phatbot als blinder Passagier
• Weitere Informationen zu Sasser-Würmern
• Superwurm mit öffentlichem Quelltext
• Informationen zum Schutz vor Sasser
• Wurm Sasser dringt über Windows-Sicherheitslücke ein

http://www.heise.de/security/news/meldung/47205



#####



Mutmaßlicher Phatbot-Entwickler bei Lörrach festgenommen



Dem Landeskriminalamt Baden-Württemberg ist am gestrigen Freitag Abend ein dicker Fang gelungen: Die Ermittler nahmen einen vermutlichen Programmierer des als "Superwurm" bekannt gewordenen Schädlings Phatbot fest. Wegen des Verdachts der Computersabotage und anderer Tatvorwürfe durchsuchten Spezialisten des LKA zusammen mit Einsatzkräften der Polizeidirektion Lörrach die Wohnungen von drei "mutmaßlichen Internet-Hackern" im Raum Lörrach.

Der Haupttatverdächtige sei ein 21-jähriger Arbeitsloser, teilte das LKA heute mit. Er habe bereits zugegeben, den Trojaner "Agobot", der später zum "Phatbot" weiterentwickelt wurde, zusammen mit anderen programmiert zu haben. Bei drei weiteren Tatverdächtigen in Niedersachsen, Hamburg und Bayern wurde ebenfalls durchsucht. Sie sollen mit dem Hauptverdächtigen bei der Entwicklung der Viren zusammengearbeitet haben. Bei den Durchsuchungen wurden zahlreiche Unterlagen sowie Computer und Speichermedien sichergestellt, die jetzt noch ausgewertet werden müssen.

Der Festgenommene habe den derzeit grassierenden Wurm "Sasser" dazu benutzt, um den von ihm selbst entwickelten weit gefährlicheren Wurm "Phatbot" zu verbreiten. Nach Erkenntnissen der Ermittler soll er bereits 2003 gezielt Firmen in den USA und Großbritannien angegriffen haben. Die betroffenen Firmen waren aufgrund der Attacken mehrere Tage offline. Auch in Deutschland sollen die Verdächtigen in Firmen-Computer eingedrungen und diese für eigene Zwecke missbraucht haben. Neben den strafrechtlichen Konsequenzen müssen die Verdächtigen nach Kenntnissen von c't wohl auch mit Schadenersatzforderungen in Millionenhöhe rechnen.

Die Strafverfolgungsbehörden seien den mutmaßlichen Hackern aufgrund von Hinweisen der US-Behörden auf die Spur gekommen. Nach Angaben des LKA Baden-Württemberg liegen derzeit keine Anhaltspunkte dafür vor, dass es direkte Verbindungen zwischen dem in Baden-Württemberg Festgenommenen und dem mutmaßlichen Sasser-Programmierer aus Niedersachen gibt.


http://www.heise.de/security/news/meldung/47209

###

Vermutlicher Sasser-Autor auch Netsky-Urheber



In einer gemeinsamen Pressekonferenz gaben das Landeskriminalamt Niedersachsen, die Staatsanwaltschaft Verden und Microsoft weitere Details zu der heute morgen gemeldeten Verhaftung des mutmaßlichen Sasser-Autors bekannt. Der 18-jährige Hobby-Programmierer soll auf seinem selbstgebauten PC nicht nur den Sasser-Wurm, sondern auch alle Varianten des Netsky-Wurms erstellt und dann auch in Umlauf gebracht haben. Seine Verhaftung sei ein Meilenstein im Kampf gegen Computerkriminalität.

Die Staatsanwaltschaft ist zuversichtlich, dem Schüler nicht nur die Urheberschaft, sondern auch die Verbreitung der Schädlinge nachweisen zu können, die er im übrigen auch eingestanden habe. Sie sieht damit den Straftatbestand der Computersabotage erfüllt. In seinem umfangreichen Geständnis gab der Verdächtige an, er sei durch die in Umlauf befindlichen Viren wie Mydoom und Bagle motiviert worden, einen "Antivirus" zu entwickeln. Angespornt durch Gespräche mit Klassenkameraden entwickelte er Netsky weiter -- woraus dann schließlich auch Sasser entstanden sein soll. Da der erst kürzlich 18 gewordene einen Großteil der Taten vor seiner Volljährigkeit begangen habe, komme jedoch vermutlich das Jugendstrafrecht zur Anwendung. Zu eventuellen zivilrechtlichen Folgen der Schäden, die vermutlich im Millionenbereich anzusiedeln seien -- sofern denn Millionen ausreichten --, wollte sich die Staatsanwaltschaft nicht äußern.

Der erste Hinweis auf den Urheber kam aus dem direkten Umfeld des Verhafteten. In einem Telefonanruf bei Microsoft behauptete eine Person, die Identität des Sasser-Autors zu kennen. Auf Nachfragen lieferte sie dann auch Teile des Quellcodes, die Microsoft in forensischen Analysen als authentisch einstufte. Daraufhin schaltete Microsoft die Ermittlungsbehörden ein, die dann innerhalb kürzester Zeit reagierten und auch die Verhaftung vornahmen. Der Microsoft-Sprecher sah dies als Erfolg des Anti-Virus-Reward-Programms, das eine Prämie auf Hinweise auslobt, die zur Ergreifung und Verurteilung von Viren-Autoren führen. Bei der Frage, ob und in welcher Höhe der Hinweisgeber in diesem Fall ein solches Kopfgeld erhalte, wollte er sich jedoch nicht festlegen.

Einen direkte Verbindung zu dem ebenfalls gestern verhafteten, mutmaßlichen Phatbot-Autor sah das LKA Niedersachsen nicht. Dabei verhedderten sich die Podiumsteilnehmer allerdings in Widersprüche. So behauptete der Microsoft-Sprecher unwidersprochen, dies sei die bisher einzige bekannte Quelle für Sasser-Code. Ein anderer Podiumsteilnehmer bestätigte hingegen, dass auch gegen den Phatbot-Autor wegen Sasser ermittelt werde. Er habe wohl eine eigene Variante des Wurms in Umlauf gebracht. Die Art und Weise, wie sich Phatbot beim so genannten "Worm-Riding" die Eigenheiten von Sasser zunutze macht, lässt ebenfalls darauf schliessen, dass der Autor im Besitz des Sasser-Quellcodes war. Jedenfalls wollen die Landeskriminalämter Baden-Württemberg und Niedersachsen ihre weiteren Ermittlungen eng koordinieren.


http://www.heise.de/security/news/meldung/47212

Microsoft will 250.000 US-Dollar Belohnung an Informanten zahlen



Microsoft will Informanten, die dabei geholfen haben, den mutmaßlichen jungen deutschen Urheber des Internet-Wurms Sasser aufzuspüren, eine Belohnung von 250.000 US-Dollar zahlen. Das Geld solle aber erst nach der Verurteilung des Wurm-Urhebers gezahlt werden, sagte Microsoft-Vizepräsident und Anwalt Brad Smith am Samstag in einer telefonischen Pressekonferenz in Redmond.

Smith wollte den Namen des 18-Jährigen aus Niedersachsen nicht nennen. Der Schüler hat inzwischen die Programmierung des weltweit grassierenden Wurms gestanden. Es seien weniger Informanten gewesen als man Finger an einer Hand habe, betonte Smith. Ihre Namen wollte der Microsoft-Rechtsexperte ebenfalls nicht nennen. Die Belohnung werde im Rahmen eines Anti-Virus-Reward-Programms gezahlt, das eine Gesamthöhe von 5 Millionen US-Dollar habe.

Smith bedankte sich mehrfach bei den deutschen Behörden. An dem Fall hatten auch das US-amerikanische FBI sowie Microsoft-Experten eng zusammengearbeitet. Nach Angaben von Smith laufen auch noch andere Untersuchungen. Dazu könne er aber keine weiteren Angaben machen. Der 18-jährige Deutsche sei auch für sämtliche 28 Varianten des Netsky-Wurms verantwortlich, der im Februar dieses Jahres aufgetaucht war.



Siehe dazu auch:

• Sasser: Phatbot als blinder Passagier
• Weitere Informationen zu Sasser-Würmern
• Superwurm mit öffentlichem Quelltext
• Informationen zum Schutz vor Sasser
• Wurm Sasser dringt über Windows-Sicherheitslücke ein

http://www.heise.de/security/news/meldung/47217

###

Windows-Service Pack auch für Raubkopien



Microsoft will das für Ende Juli angekündigte Service Pack 2 zu Windows XP auch für Raubkopien anbieten. "Wir haben ausdrücklich nichts unternommen, um SP2 für Raubkopien unbrauchbar zu machen" erklärte Firmensprecher Barry Goffe gegenüber der Computer Times. Das inzwischen schon selbst überarbeitete erste Service Pack für Microsofts aktuelles Betriebssystem enthält gezielte Bremsen, die seine Anwendung auf illegal installierte Windows-Kopien verhindern sollen. Laut Goffe war der Verzicht auf solche Maßnahmen beim SP2 "eine schwere Entscheidung, aber am Ende haben wir beschlossen, dass es, selbst wenn jemand eine Raubkopie von Windows hat, wichtiger ist, ihn sicher zu halten als sich nur um den Umsatz zu kümmern."

Die Äußerung lässt sich nicht nur mit schierer Menschenfreundlichkeit erklären, sondern auch mit strategischen Erwägungen: Zum Einen dürfte sich die Umsatzsteigerung durch Raubkopierer, die sich zum Patchen nun doch ein Windows kaufen, in engen Grenzen halten -- war doch der Kontrollmechanismus im SP1 nach den Erkenntnissen vieler Anwender nicht besonders wirksam. Zum Anderen hat wohl auch Microsoft erkannt, dass die hohe Verbreitung seiner Software zum großen Teil auf eben diesen Raubkopien beruht, und dass deren Zustand im Falle Windows-spezifischer Wurm-Epidemien sehr wohl zum schlechten Image der Redmonder Betriebssysteme beiträgt.

Die Äußerungen von Goffe enthalten allerdings keinen Hinweis, ob das Service Pack 2 auch die Praxis fallen lässt, den Produktschlüssel der gepatchten Windows-Installation nach Hause zu übermitteln. Beim SP1 hatte sich Microsoft durch diese Erfassung über Kopien informiert, die durch kursierende Schlüsselgeneratoren für Windows XP aktiviert worden sind.

Seit Ende März steht der Release Candidate 1 von Service Pack 2 im Web -- allerdings noch mit einer Kontrolle auf die Legalität des zugrundeliegenden Windows. Zentraler Bestandteil des 260-MByte-großen Pakets sind zusätzliche Sicherheits- und Schutzfunktionen. Einen Überblick gibt der Artikel Vergitterte Fenster auf heise Security. Wer die Monster-Downloads der kompletten Service-Packs scheut, kann sich immerhin über Windowsupdate.com mit den individuellen Sicherheitspatches versorgen -- auch gegen die grassierende Sasser-Seuche ohne Kontrolle des Windows-Produktschlüssels.

http://www.heise.de/security/news/meldung/47227

####

Patches für Red Hat 7.2, 7.3 und 8.0



Fedoralegacy.org stellt Updates für Sicherheitslücken in Red Hat Linux 7.2, 7.3 und 8.0 zur Verfügung. Es handelt sich um Patches für Fehler in der ASN.1-Implementation der OpenSSL-Pakete. In OpenSSL-Versionen vor 0.9.6l besteht ein Fehler, der es Angreifern von außen ermöglicht, den SSL-Dienst lahm zu legen.

Die Schwachstellen sind in aktuellen Paketen beseitigt und Patches stehen über die Update-Tools yum und apt zur Verfügung. Alternativ können die Updates über das http-archiv heruntergeladen werden. Am 30. April hat Red Hat den Support für die älteren Endkunden-Versionen Red Hat Linux 7.1, 7.2, 7.3 und 8.0 eingestellt und an Fedoralegacy übertragen.

http://www.heise.de/security/news/meldung/47226

Sicherheitsloch im Sasser-Wurm

Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern, die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt. Die Autoren des Exploits haben einen Buffer Overflow im Sasser-Wurm gefunden; durch Überschreiben des SEH-Pointers (Structured Exception Handler) erhält der Angreifer eine Administrator-Shell auf Sasser-infizierten Windows-PCs. Zwar verfügt der Sasser-Wurm über eine Hintertür, doch diese lässt sich nur für begrenzten Lese-Zugriff verwenden. Durch Ausnutzen des Buffer Overflows kann quasi jeder die komplette Kontrolle über die Rechner übernehmen.

Allerdings funktioniert das veröffentlichte Exploit offenbar nur für Windows 2000 mit Service Pack 4 und Windows XP mit Service Pack 1. Bei anderen Windows-Versionen führt das Exploit zum Absturz des Wurms -- prinzipiell dürfte aber jedes Sasser-infizierte System anfällig sein, da der Exploit-Code angepasst werden kann. Durch die Veröffentlichung des Exploits ist zudem befürchten, dass bald Folgewürmer auftauchen, die diese Lücke ausnutzen. Unabhängig vom Patch-Level steht also jedes System, dass mit Sasser infiziert ist, sperrangelweit offen. Vorsorglich sollten alle Anwender ihren Rechner nach dem Einspielen der Microsoft-Patches mit einem aktuellen Virenscanner untersuchen.

Quelle:Heise

In Norton Antivirus 2004 ist ein fehlerhaftes ActiveX-Control enthalten, mit dem Angreifer Code ausführen oder den Virenscanner zum Absturz bringen können. Das Control überprüft externe Eingaben nicht richtig, sodass Skripte von manipulierten Webseiten darauf zugreifen können, um weitere Dateien zu starten. Laut Security Advisory von Symantec muss der Code allerdings bereits auf dem System des Opfers vorhanden sein -- sowie der Pfad dorthin bekannt sein, um ihn im Kontext des angemeldeten Benutzers auszuführen. In Kombination mit Sicherheitslücken in Webbrowsern und anderen Applikationen sollte dies einen Angreifer aber nicht vor eine allzu große Hürde stellen. Symantec hat Patches zu Verfügung gestellt. Anwender, die ihr System bereits über LiveUpdate aktualisiert haben, sollten nicht mehr verwundbar sein.

Die Hersteller von Antivirensoftware setzen in ihren Produkten mittlerweile häufig ActiveX-Controls ein, selbst wenn der Scanner völlig offline arbeitet. ActiveX-Controls stellen ein Sicherheitsrisiko dar, da -- sofern als "Safe for Scripting" markiert -- Webseiten auf sie zugreifen können. Sicherheitslücken in den Controls führen dann oftmals zum Zugriff auf das System. Fehlerhafte Controls in Produkten von Symantec wurden schon mehrfach gefunden. Auch McAfees Virenscanner installiert unsichere ActiveX-Controls.

Siehe dazu auch:

Security Advisory von Symantec
Quelle:Heise

Die Apache Software Foundation hat die Apache-Version 1.3.31 veröffentlicht, die im Wesentlichen ein so genanntes "Bug Fix Release" ist. Wer sich über den Sprung in der Versionsnummer wundert: 1.3.30 wurde nie veröffentlicht.

Die neue Version beseitigt unter anderem vier potenzielle Sicherheitslücken. Das Modul mod_digest verifiziert nun so genannte Nonces korrekt. Das Blockieren von Sockets, auf die selten zugegriffen wird, ist ebenso behoben wie das fehlerhafte Parsen von Zugriffsregeln bei IP-Adressen ohne Netzmaske. Auch filtert Apache nun Strings bevor er sie in den Fehler-Logfile schreibt, um das Einschleusen von manipulierten Zeichenketten zu verhindern

Quelle:Heise

Anwender, die gerade die Hotfixes für die heute gemeldete Schwachstelle in F-Secure Antiviren-Produkte heruntergeladen haben, können den Browser gleich zum Download offen lassen. Der Hersteller meldet einen Buffer Overflow in seinen Anti-Virus-Produkten, der sich von Dritten für Denial-of-Service-Attacken ausnutzen lässt.

Der Fehler tritt bei der Verarbeitung von manipulierten LHA-Archiven auf und führt -- abhängig vom jeweils eingesetzten Produkt -- zum Absturz oder Restart von Modulen oder zum Versagen der Virenerkennung. Ob der Buffer Overflow auch das Einschleusen und Ausführen von eigenem Code ermöglicht, erwähnt der Hersteller in seinem Advisory nicht. Betroffen sind


Anti-Virus for Workstation 5.42 und frühere
Anti-Virus for Windows Servers 5.42 und frühere
Anti-Virus for MIMEsweeper 5.42 und frühere
Anti-Virus Client Security 5.52 und frühere
Anti-Virus for MS Exchange 6.21 und frühere
Internet Gatekeeper 6.32 und frühere
F-Secure for Firewalls 6.20 und frühere
Internet Security 2004 und frühere
Anti-Virus 2004 und frühere
Applikationen, die auf F-Secure Personal Express 4.5x, 4.6x und 4.7x basieren
Anti-Virus for Linux Workstations 4.52 und frühere
Anti-Virus for Linux Servers 4.52 und frühere
Anti-Virus for Linux Gateways 4.52 und frühere
Anti-Virus for Samba Servers 4.60

F-Secure empfiehlt den Anwendern den Download und die Installation der Hotfixes.

Quelle:Heise

Ein neuer Hybrid-Schädling nutzt zur Verbreitung Lücken im Windows LSASS- und RPC-Dienst, und eine neue Netsky-Variante versucht, den Harry-Potter-Wahn auszunutzen.

Der von Kasperky Labs Plexus getaufte Hybrid-Wurm verbreitet sich einerseits über E-Mail (.exe-Deteianhang) und Windows-Netzwerkfreigaben. Andererseits nutzt der Wurm aber auch die Sicherheitslücken im LSASS-Dienst und RPC-Dienst, über die sich auch Sasser, Korgo und Lovsan/W32.Blaster selbstständig, ohne Zutun des Anwenders verbreiteten. Für beide Sicherheitslücken stehen Patches zur Verfügung, die aber offensichtlich auf vielen Systemen noch nicht eingespielt wurden. Mit Plexus infizierte Rechner weisen eine Datei "upu.exe" im system32-Verzeichnis von Windows auf. Ferner öffnet der Wurm diverse Ports auf dem Rechner, die als Hintertür genutzt werden können.

Laut Kasperky hat auch die Verbreitung der im März entdeckten P-Variante des Netsky-Schädlings zugenommen: Die russischen Antivirus-Experten vermuten, dass das am Kinostart des jüngsten Harry-Potter Films liegt. Denn der Schädling verwendet unter anderem Dateinamen, die sich als Harry-Potter-eBooks oder -Spiele tarnen.

Quelle:Heise

Der Security-Dienstleister Integralis hat eine gravierende Sicherheitslücke im Zusammenspiel zwischen WLAN-Hotspots und bestimmten Bluetooth-Handy-Modellen aufgedeckt. Demnach können Angreifer Zugang zu kostenpflichtigen Hotspots der Anbieter Vodafone und T-Mobile über Bluetooth-Handys von Dritten erlangen. Die eigentlichen Nutzer der Bluetooth-Handys bemerken von diesem Vorgang nichts -- und dürften sich am Monatsende über unerwartete Posten auf ihrer Handy-Rechnung wundern.

Die Methode nutzt Implementationsmängel von bestimmten Bluetooth-Handy-Modellen sowie einen verbreiteten Komfort-Service der Hotspot-Betreiber aus. Kunden können ihre WLAN-Notebooks nämlich unter anderem einfach per SMS in kostenpflichtige WLAN-Hotspots einbuchen. Bei T-Mobile etwa sendet man eine SMS mit dem Stichwort "OPEN" an eine bestimmte T-Mobile-Nummer. Das T-Mobile-Netz antwortet darauf mit einer SMS-Nachricht, die kundengebundene Login-Daten für den Internetzugang enthält. Diese Zugangsdaten muss man lediglich auf dem Laptop in den Browser bei der Verbindungsaufnahme zum Hotspot übertragen. Die Daten verfallen nicht und gelten zudem an sämtlichen T-Mobile-Hotspots in Europa und den USA. Die Kosten für die WLAN-Nutzung werden automatisch über die Handyrechnung des Benutzers abgerechnet.

Ähnlich sieht das Zugangsverfahren bei Vodafone aus. Der Kunde kann sich auf der Hotspot-Webpage von Vodafone anmelden, indem er dort seine Mobilnummer eingibt. Anschließend erhält er von Vodafone eine SMS mit seinen Zugangsdaten. Der Account kann an weltweit allen Vodafone-Hotspots je nach Wahl 30 Minuten, drei Stunden oder 24 Stunden lang genutzt werden. Auch bei Vodafone erfolgt die Abrechnung über die Handyrechnung.

Dieses eigentlich bequeme und harmlose Anmeldungsverfahren können Angreifer jedoch unbemerkt auslösen, wenn sie mittels spezieller Programme die Kontrolle über Bluetooth-Handys erlangen, die bestimmte Sicherheitslücken aufweisen.

Die Angriffe erfolgen von benachbarten Laptops oder PDAs aus, und bei den anfälligen Handys muss Bluetooth aktiviert sein. Je nach Sendeleistung und Güte der beteiligten Funkeinheiten sind bei Bluetooth-Handys Angriffe im Umkreis von 10 bis 20 Metern möglich, bei sehr guten Funkern im Prinzip auch darüber hinaus. Sobald Angreifer ein anfälliges Handy identifiziert haben, können sie erkunden, zu welchem Mobilfunkanbieter die verwendete SIM-Karte des Opfer-Handys gehört (etwa indem sie eine SMS an ein eigenes Handy, mit "anonymer" Pre-Paid-Karte senden lassen und dort die Absendervorwahl auswerten). Eine anschließend von Außen veranlasste Hotspot-Anmeldung über das Opfer-Handy ist für den Netzbetreiber nicht von einer normalen und vom eigentlichen Nutzer gewollten Anmeldung zu unterscheiden. Die daraufhin im Opfer-Handy eingehenden Daten lassen sich von außen auslesen und anschließend löschen, sodass im anfälligen Handy keine Spur von den Aktionen übrig bleibt.

In Beispiel-Szenarien hat Integralis ermittelt, dass ein Angreifer-Duo Zugangsdaten von Vodafone innerhalb von 2 Minuten erlangen kann. Bei T-Mobile genügen sogar nur 30 bis 45 Sekunden. Das Opfer entdeckt den Schaden im Prinzip erst auf seiner Handy-Rechnung. Der ausgenommene Handybesitzer kann praktisch nicht nachweisen, dass ein Fremder auf seine Kosten das Internet genutzt hat, da keine Spuren auf eine Manipulation deuten.

Die Möglichkeiten, die sich den Angreifern eröffnen, sind vielfältig, denn sie können praktisch beliebig viele anonyme Accounts horten; diejenigen von T-Mobile sind sogar zeitlich unbefristet. Die Kosten für die Internetnutzung trägt allein der ahnungslose Handybesitzer. Michael Müller und Andreas Bröhl, Bluetooth- und WLAN-Experten von Integralis, empfehlen den Mobilfunkanbietern, das Authentisierungsverfahren für Hotspots via SMS abzustellen. Zudem raten die Sicherheitsspezialisten den Handy-Nutzern, Bluetooth in Handys und PDAs nur in sicheren Umgebungen zu aktivieren und keinesfalls an öffentlichen Plätzen wie Bahnhöfen, Flughäfen oder Messen. Zudem sollte die Sichtbarkeit immer ausgeschaltet sein. Das schützt zwar nicht vor Angriffen, erschwert sie aber deutlich. Zuallererst stehen aber die Handy-Hersteller in der Pflicht, fehlerbereinigte Firmware ihrer Handys anzubieten.

Eine Liste der anfälligen Bluetooth-Handy-Modelle sowie weitere Informationen zum Thema hat Integralis im Internet bereitgestellt.

Quelle:Heise

Die Fail-Close-Funktion der Sygate Personal Firewall PRO -- eine Option zum Blocken von Verbindungen, falls der Firewall-Dienst nicht läuft -- kann von bösartigen Programmen umgangen werden. Da der Firewall-Treiber die Herkunft von Kommandos nicht überprüft, können auch Anwendungen mit eingeschränkten Zugriffsrechten die Fail-Close-Funktion deaktivieren.

Zwar versucht der im Kernelspace laufende Treiber (teefer.sys) dem vorzubeugen, indem immer nur ein Programm aus dem User-Space auf ihn zugreifen darf -- in der Regel der Firewall-Dienst smc.exe --, dieser lässt sich aber zum Absturz bringen. In der Folge kann das Schadprogramm Kommandos an den Treiber senden. Trojaner und Würmer können damit die besondere Schutzfunktion Firewall Termination Prevention der Sygate Personal Firewall aushebeln und Verbindungen nach außen aufbauen.

Laut Security Advisory ist der Fehler für Version 5.5 Build 2525 auf Windows 2000 SP4 bestätigt. Der Autor hat in seiner Beschreibung Codebeispiele zum Terminieren der smc.exe und zum Abschalten des Fail-Close aufgeführt. Sygate ist über das Problem informiert und will den Fehler mit der nächsten Release beheben.

Quelle:Heise

Für den schnellen Scan zwischendurch oder systematisches Penetration-Testing: Die Boot-CD der Security Tool Distribution (STD) verwandelt jeden PC in ein gut ausgestattes Sicherheitslabor

Die kostenlose Security Tools Distribution (STD) Version 0.1 bringt auf einer bootbaren CD alles an gängigen Werkzeugen mit, was Administratoren und Netzwerkverantwortliche zum Testen der Sicherheit ihrer Server und zum Schutz der Infrastruktur benötigen. Knoppix-STD basiert auf Knoppix, entledigt sich aber der Office- und Multimediaanwendungen und erweitert dafür den mitgelieferten Satz an Sicherheitswerkzeugen erheblich.

Eine feste Installation auf einem Rechner ist nicht notwendig. Wie schon beim normalen Knoppix bootet der Rechner von CD und lädt die benötigten Programme in eine RAM-Disk. Grafikkarte, Soundkarte, Netzwerkkarten und sonstige Peripherie erkennt Knoppix-STD automatisch. Nach dem Hochfahren steht eine grafische Oberfläche zur Verfügung, unter der sich zahlreiche Security Tools aufrufen lassen. Eine Konfiguration ist in den meisten Fällen nicht mehr erforderlich. Auch sind alle Bibliotheken vorhanden: Das nervenaufreibende Suchen und Nachinstallieren, um irgendeine Abhängigkeit zu erfüllen, entfällt praktischerweise. Damit lässt sich mal eben zwischendurch die Analyse eines Systems mit dem Open-Source-Schwachstellenscanner Nessus durchführen. Aber auch eine Firewall oder ein Intrusion Detection System stehen innerhalb weniger Minuten zu Testzwecken zur Verfügung. Davor steht allerdings der Download des mehr als 600 MByte großen ISO-Image aus dem Internet und das Brennen auf CD.

Schlank und schnell

Nach dem Hochfahren präsentiert der schlanke Fluxbox Window Manager unter X-Window eine nackte Oberfläche. Einzig ein schmales Toolbar zeigt die Uhrzeit und den aktuellen Desktop an. Ein Klick mit der rechten Maustaste offenbart ein umfangreiches Menü mit reichlich Unterpunkten. Die verfügbaren Tools sind in verschiedene Rubriken einsortiert: Authentication, Encryption, Forensic, Firewall, Honeypots, IDS, Network Utilities, Password Tools, Servers, Packet Sniffers, TCP Tools, Tunnels, Vulnerability Assesment und Wireless Tools. Daneben bietet STD auch diverse Shells und Tools zum Konfigurieren der Benutzeroberfläche an. Auch Internet-Applikationen zum Browsen und Mailen fehlen natürlich nicht. Bei Gefallen können Anwender sich Knoppix-STD fest auf die Platte installieren. Ein eigener Menüpunkt hilft dabei.



Über die Fluxbox-Menüs gelangt man ohne große Umwege zu den Tools

In den verschiedenen Werkzeugrubriken wurden Klassiker zusammengetragen wie nmap, Nessus, Sleuthkit, shorewall, ,fragroute, snort, arpwatch, John the Ripper, ethereal, ettercap, netcat, nikto, airsnort, kismet, wellenreiter und diverse Server. In jeder Rubrik lässt sich zudem eine Shell öffnen, in deren Startverzeichnis weitere nützliche Tools liegen. Zusätzlich können Anwender eine Konsole öffnen, um auf die Manuals zu den einzelnen Werkzeugen zuzugreifen. STD bezieht bei angeschlossener Netzwerkkarte automatisch eine Adresse vom DHCP-Server, sodass man sofort mit einer Sicherheitsanalyse loslegen kann. Die Zusammenstellung und Tauglichkeit der Distribution haben wir anhand einiger Beispiele untersucht.



Für den schnellen Scan zwischendurch oder systematisches Penetration-Testing: Die Boot-CD der Security Tool Distribution (STD) verwandelt jeden PC in ein gut ausgestattes Sicherheitslabor

Die kostenlose Security Tools Distribution (STD) Version 0.1 bringt auf einer bootbaren CD alles an gängigen Werkzeugen mit, was Administratoren und Netzwerkverantwortliche zum Testen der Sicherheit ihrer Server und zum Schutz der Infrastruktur benötigen. Knoppix-STD basiert auf Knoppix, entledigt sich aber der Office- und Multimediaanwendungen und erweitert dafür den mitgelieferten Satz an Sicherheitswerkzeugen erheblich.

Eine feste Installation auf einem Rechner ist nicht notwendig. Wie schon beim normalen Knoppix bootet der Rechner von CD und lädt die benötigten Programme in eine RAM-Disk. Grafikkarte, Soundkarte, Netzwerkkarten und sonstige Peripherie erkennt Knoppix-STD automatisch. Nach dem Hochfahren steht eine grafische Oberfläche zur Verfügung, unter der sich zahlreiche Security Tools aufrufen lassen. Eine Konfiguration ist in den meisten Fällen nicht mehr erforderlich. Auch sind alle Bibliotheken vorhanden: Das nervenaufreibende Suchen und Nachinstallieren, um irgendeine Abhängigkeit zu erfüllen, entfällt praktischerweise. Damit lässt sich mal eben zwischendurch die Analyse eines Systems mit dem Open-Source-Schwachstellenscanner Nessus durchführen. Aber auch eine Firewall oder ein Intrusion Detection System stehen innerhalb weniger Minuten zu Testzwecken zur Verfügung. Davor steht allerdings der Download des mehr als 600 MByte großen ISO-Image aus dem Internet und das Brennen auf CD.

Schlank und schnell

Nach dem Hochfahren präsentiert der schlanke Fluxbox Window Manager unter X-Window eine nackte Oberfläche. Einzig ein schmales Toolbar zeigt die Uhrzeit und den aktuellen Desktop an. Ein Klick mit der rechten Maustaste offenbart ein umfangreiches Menü mit reichlich Unterpunkten. Die verfügbaren Tools sind in verschiedene Rubriken einsortiert: Authentication, Encryption, Forensic, Firewall, Honeypots, IDS, Network Utilities, Password Tools, Servers, Packet Sniffers, TCP Tools, Tunnels, Vulnerability Assesment und Wireless Tools. Daneben bietet STD auch diverse Shells und Tools zum Konfigurieren der Benutzeroberfläche an. Auch Internet-Applikationen zum Browsen und Mailen fehlen natürlich nicht. Bei Gefallen können Anwender sich Knoppix-STD fest auf die Platte installieren. Ein eigener Menüpunkt hilft dabei.



Über die Fluxbox-Menüs gelangt man ohne große Umwege zu den Tools

In den verschiedenen Werkzeugrubriken wurden Klassiker zusammengetragen wie nmap, Nessus, Sleuthkit, shorewall, ,fragroute, snort, arpwatch, John the Ripper, ethereal, ettercap, netcat, nikto, airsnort, kismet, wellenreiter und diverse Server. In jeder Rubrik lässt sich zudem eine Shell öffnen, in deren Startverzeichnis weitere nützliche Tools liegen. Zusätzlich können Anwender eine Konsole öffnen, um auf die Manuals zu den einzelnen Werkzeugen zuzugreifen. STD bezieht bei angeschlossener Netzwerkkarte automatisch eine Adresse vom DHCP-Server, sodass man sofort mit einer Sicherheitsanalyse loslegen kann. Die Zusammenstellung und Tauglichkeit der Distribution haben wir anhand einiger Beispiele untersucht.

Quelle:Heise

Nicht nur Windows bietet zahlreiche Angriffsflächen, auch der RealPlayer (http://germany.real.com) weist in den Versionen 8 und 10 sowie im RealOne Player 1 und 2 zwei gravierende Sicherheitslücken auf. Um Programme auf den befallenen Systemen auszuführen, müssen Anwender lediglich speziell manipulierte RealMedia-Dateien im RAM-Format öffnen. Nutzer der angesprochenen Software sollten deswegen unbedingt die Player über die Updatefunktion patchen.

Quelle:Pcpraxis-Networld

Ein Bug im Linux-Kernel führt dazu, dass Anwender mit einem einfachen C-Programm das System lahm legen können. Dazu sind nicht einmal Root-Rechte nötig. Offenbar sind alle Linux-Kernel 2.4.x und 2.6.x betroffen, während das Problem bei 2.2er-Kerneln nicht auftritt. Die Sicherheitslücke ist besonders gravierend, da sie jeder Benutzer mit einem Shell-Account ausnutzen kann. Viele Webhoster beispielsweise bieten Ihren Kunden die Möglichkeit, sich übers Netz auf Maschinen einzuloggen, auf denen die Webserver mehrerer Kunden laufen. Anzeige


Der Code in dem kritischen Programm löst aufgrund einer fehlerhaften Assembler-Anweisung in einem Signal-Handler eine Floating-Point-Exception im Kernel aus, die nicht korrekt abgefangen wird. Der FPU-Fehler tritt in einer Endlosschleife immer wieder auf, die CPU-Last steigt auf 100 Prozent. Einprozessor-Maschinen frieren komplett ein. Auf Mehrprozessor-Maschinen und Hyperthreading-Prozessoren ist lediglich die CPU lahm gelegt, auf der das Programm läuft, und die dem Programm zugeordnete Konsole blockiert. Ein Einloggen übers Netz ist weiterhin möglich. User-Mode-Linux-Kernel (UML) stürzen mit einer floating point exception ab.

Das Problem und mögliche Lösungen werden bereits auf der Linux-Kernel-Mailingliste diskutiert. Patches für einige Kernelversionen stehen schon bereit. Als erste Sicherheitsmaßnahme empfiehlt es sich, die Accounts aller nicht vertrauenswürdigen User zu deaktivieren. Bei Linux-Servern, die über das Internet erreichbar sind, sollte man Netz-Logins wenn möglich komplett abschalten.

Quelle:Heise

Mit der Sequenz "%2F" in einer URL kann ein Angreifer das Zonenmodell des Internet Explorer austricksen und sich die Rechte vertrauenswürdiger Zonen erschleichen. "%2F" ist die hexadezimale Darstellung des Trennzeichens "/". Bei einer URL der Form Anzeige



<a href="http://www.heise.de%2F redir=.e-gold.com">


lädt der Microsoft-Browser die Startseite von e-gold mit den Sicherheitseinstellungen für heise.de. Die Umleitung kann auch auf andere Server erfolgen; diese müssen allerdings falsche HOST-Header akzeptieren. Des weiteren muss der Zugriff direkt und ohne vorgeschalteten Proxy erfolgen.

Der Artikel "Verrammelt, Internet Explorer sicher konfigurieren" in der aktuellen c't 13/04 erläutert, wie man die Sicherheitszonen des Internet Explorer nutzen kann, um auf unbekannten Web-Sites potenzielle Sicherheitsrisiken wie ActiveX oder JavaScript zu verbieten. Fehler wie dieser stellen dieses Konzept für sicheres Surfen mit dem Internet Explorer allerdings in Frage.

Hat der Anwender beispielsweise die Heise-Domain in seine Liste der vertrauenswürdigen Sites aufgenommen, kommen deren Einstellungen zur Anwendung und die fremde Seite kann dann zum Beispiel JavaScript oder ActiveX nutzen, obwohl der Anwender dies in der Internet-Zone deaktiviert hat. Sie könnte dann ein Sicherheitsloch ausnutzen, das JavaScript erfordert, um einen Trojaner auf dem System des Anwenders zu installieren. Für mindestens ein solches Loch, das auch bereits aktiv ausgenutzt wird, gibt es bisher keinen Patch von Microsoft.

Der folgende Link demonstriert das Problem und lädt die e-Gold-Seite mit den Sicherheitseinstellungen für heise.de. Wenn Sie zumindest testweise heise.de in die Liste der vetrauenswürdigen Sites aufnehmen und die Serverüberprüfung auf https abschalten, erscheint unten das grüne Symbol für vertrauenswürdige Sites: Test

Das Problem ist nicht die Umleitung als solche; diese erfolgt auch mit anderen Browsern wie Mozilla oder Firefox (unter Windows). Durch sie lässt sich lediglich die wahre URL verschleiern. Wirklich sicherheitsrelevant ist jedoch, dass der Internet Explorer die Seite mit den falschen Sicherheitseinstellungen lädt.

Quelle:Heise

In Optix Pro, einem frei verfügbaren Trojaner der Hintertürchen auf PCs öffnet, ist selbst eine Backdoor enthalten. Über den Trojaner lassen sich kompromittierte Windows-Systeme aus der Ferne kontrollieren und etwa Tastatureingaben mitlesen oder Bilder aus einer Webcam übertragen. Des Weiteren kann ein Angreifer mit Optix Pro Antviren- und Firewallsoftware abschalten. Aufgrund der komfortablen Remote-Administration-Funktionen setzen allerdings auch einige Anwender den Optix-Pro-Server gewollt auf Systemen zur Fernwartung ein. Glaubt man den Zahlen auf der Homepage von OP, so ist das Remote-Access-Tool bislang fast 270.000 mal heruntergeladen worden. Anzeige


Normalerweise ist der Zugriff auf das Tool nur durch ein vergebenes Passwort möglich. Über das doch schwer zu erratende fest eingebaute Master-Password kjui3498fjk34289890fwe334gfew4ger$"sdf können aber auch Unbekannte auf das System zugreifen. Der Autor des Trojaners gibt auf seiner Homepage auch freimütig zu, das Master-Password zur eigenen Sicherheit eingebaut zu haben. Demnach war geplant, dass Master-Password zu veröffentlichen, sobald Optix Pro (OP) zu populär zu werden drohte und ihm deshalb etwa das FBI zu Leibe rücke. Mit dem Bekanntwerden der Backdoor hätte die Popularität von OP seiner Meinung nach abgenommen -- die Ermittlungsbehörden hätten dann von einer weiteren Verfolgung abgesehen.

Leider ist das Passwort wahrscheinlich schon Anfang des Jahres in die falschen Hände geraten. Jedenfalls sah sich s13az3, so das Pseudonym des Entwicklers, gezwungen die Hintertür öffentlich einzugestehen und davor zu warnen. Betroffen sind alle Versionen von 1.0 bis 1.2. In den Versionen 1.3x soll die Backdoor nicht mehr enthalten sein.

Einen Überblick über Hintertüren und Spionageprogramme bietet auch der c't-Artikel Unter fremder Kontrolle in Ausgabe 03/04 ab Seite 118

Quelle:Heise

Vollmundig preisen viele Hersteller ihre Firewalls. Marktführer Symantec etwa verspricht auf der Packung der Norton Personal Firewall 2004: Das Programm hält Hacker fern und persönliche Daten unter Verschluss. Unter anderem sollen Spyware-Programme und Trojanische Pferde nicht unbemerkt Daten an das Internet senden.

Solche Versprechen löst jedoch Symantec ebenso wenig ein wie Agnitum (deutsch als Buhl Fire Alarm) und fast alle anderen Firewalls im Test. Schon eine einzige Sicherheitslücke kann bedeuten, dass ein Angreifer Daten ausspioniert, missbraucht oder vernichtet. Beim Einsatz im Unternehmen ist dann die Existenz der gesamten Firma gefährdet.

Und selbst die verbreitete Firewall Zone Alarm ist unsicher: Durch fünf Lücken können nicht geblockte Denial-of-Service-Attacken PCs und Netzwerke lahm legen. Zwei von drei Leak-Tests verlaufen zudem negativ. Das bedeutet, dass Angreifer in der Lage sind, mittels Trojaner-Attacken gezielt Datenspionage zu betreiben. In so einem Fall ist die Firewall-Sicherheit mangelhaft.

Einzig Sygate Personal Firewall 5.5 Pro blockt im Testlabor alle gefährlichen Angriffe. Um zu testen, ob die Software wirklich Trojaner stoppt, setzt PC Professionell drei unter Experten anerkannte Simulationen ein, die jede Desktop-Firewall blocken sollte: Dabei versuchen Programme, vom Anwender-PC aus unter falschem Namen Daten ins Internet zu senden. So tarnt sich die Simulation Firehole als Internet Explorer. Obwohl die meisten Firewalls versprechen, dass dank ihrer Hilfe Trojaner nicht nach Hause telefonieren können, enttarnen nur Sygate, Kerio und Tiny diese Testangriffe.



Kapitel: "Personal Firewalls" unsicher?
Kapitel: 10 von 23 Software-Firewalls bestehen die Test-Hacks

weiter mit 10 von 23 Software-Firewalls bestehen die Test-Hacks

Quelle:Testticke