NEWS AUS DEM IT-SECURITY BEREICH

Unternehmensweite E-Mail-Verschlüsselung leichtgemacht

CryptoEx Gateway ermöglicht den Aufbau von Public Key Infrastrukturen in kürzester Zeit.

Das neue CryptoEx Gateway von Glück & Kanja Technology AG, einem führenden Hersteller von Anwendungen für elektronische Verschlüsselung, bietet selbst für große Firmen eine einfache Lösung bei der Einführung unternehmensweiter Verschlüsselung von E-Mails. Die automatische und zentrale E-Mail-Verschlüsselung durch das selbstlernende Gateway hat gegenüber konventionellen Public Key Infrastrukturen den großen Vorteil, dass die Schlüssel nicht durch eine Zertifizierungsstelle manuell generiert und verwaltet werden müssen. Sobald das Gateway implementiert ist - in den meisten Fällen dauert dies nicht länger als einen Tag -, nehmen alle Mitarbeiter des Unternehmens automatisch an der Verschlüsselung teil. CryptoEx Gateway unterstützt mit OpenPGP und S/MIME beide gebräuchlichen Sicherheitsstandards. So ist auch mit beliebigen externen Geschäftspartnern, Kunden und Zulieferern verschlüsselter E-Mail-Verkehr möglich.

Der entscheidende Unterschied von CryptoEx Gateway zu herkömmlichen Public Key Infrastrukturen ist zum einen, dass die Schlüsselpaare bei Bedarf vollautomatisch erzeugt werden und die zeitraubende manuelle Administration entfällt, und zum anderen findet die Verschlüsselung durch das Gateway zentral statt und verursacht für den einzelnen Mitarbeiter keinerlei Aufwand. Durch die zentrale Gateway-Sicherheitslösung entfällt auch die umständliche Installation von Client-Software an jedem einzelnen Arbeitsplatz des Unternehmens.

Für jeden einzelnen Benutzer verwendet CryptoEx Gateway einen eigenen Schlüssel, damit dieser über standardisierte Verfahren automatisch gefunden
werden kann. Auch bei externen Anfragen nach dem öffentlichen Schlüssel eines Mitarbeiters wird falls nötig automatisch ein persönliches Schlüsselpaar generiert und zertifiziert.

Link von Computer-Security.de

Original geschrieben von Fireglider
Heftig.....

Windows XP Benutzerpasswörter absolut nutzlos


Passwortschutz umgehen leicht gemacht, bei Windows XP reicht dazu eine Windows 2000 CD.

Heftige Diskussionen löste die Meldung aus, dass mit einer einfach Windows 2000 Installations-CD der Passwortschutz von Windows XP ausgehebelt werden kann. Damit ist es möglich, auf jeden Benutzeraccount inkl. Administrator ohne Passwort und auf sämtliche Daten zuzugreifen.

Gefunden wurde diese höchst brisante Sicherheitslücke von Brian Livingston, nach dessen Angaben es möglich ist, mit einer von einer normalen Windows 2000 CD gestarteten Recovery-Konsole vollen Zugriff auf Windows XP-Systeme zu erhalten.

Obwohl Microsoft bereits vor 4 Wochen informiert wurde, liegt bislang keine Stellungnahme vor, verschiedene Tests haben bislang ergeben, dass die Sicherheitslücke offenbar von verschiedenen Faktoren abhängt und zwar meistens, aber nicht ausnahmslos immer funktioniert.

Komplettlink von ComputerSecurity.de

Gleichlautende Meldungen von Netz-id.de und der Krypto-Crew

Fg

Zum Vergrößern anklicken....

This behavior is by design. Geht unter Linux auch, nimm ne Knoppix- oder sonstige Rettungs-CD, mounte die /-Partition, ersetze das root-Passwort und das System gehört dir.
Weder unter Windows noch unter Linux ist das eine Sicherheitslücke, sondern "das ist einfach so", man hat nunmal Vollzugriff auf unverschlüsselte Daten eines Computers wenn man mit einem eigenen Betriebssystem bootet.

Kriminell wird es, wenn selbst die Verschlüsselung für'n A.... ist (Quelle: Heise):
Doch bei Windows 2000 lässt sich selbst das mit ein wenig mehr Aufwand umgehen, wie beispielsweise c't-Leser bereits seit Ausgabe 23/2002 wissen (siehe Dateiverschlüsselung von Windows 2000 unsicher, S. 33 -- kostenpflichtiger Download). Hier existiert eine echte Sicherheitslücke: Man kann mit einer speziellen Bootdiskette das Zugangspasswort eines beliebigen Nutzers ändern und erhält bei der Anmeldung mit dem neuen Passwort den Zugriff auch auf verschlüsselte Daten.

München_(smk)_?_
Ein Hacker hat in den USA Zugriff auf Daten von rund 2,2 Millionen Inhabern von Visa- und MasterCard-Nutzer erlangt. Nach Angaben beider Kreditinstitute sind bisher keine Schadensfälle bekannt geworden.
Der Einbrecher soll das Sicherheitssystem eines Finanzdienstleisters eingebrochen sein, der Kreditkarten-Transaktionen für Händler abwickelt. Dabei konnte er die Daten von rund 0,25 Prozent der in den USA im Umlauf befindlichen 560 Millionen MasterCard und Visa-Karten einsehen. Alle kartenausgebenden Institute sind nach Angaben der Kreditkarten-Unternehmen bereits informiert.
Wie der US-Dienst "CNN" schreibt, hat MasterCard unter anderem die Bundespolizei FBI kontaktiert, um den Hacker zu identifizieren. Kunden beider Unternehmen sollen im Fall eines Missbrauchs durch eine Vertragsklausel vor finanziellen Verlusten geschützt sein.
Info:___
www.mastercard.com
www.usa.visa.com

Quelle: Chip

Schon genial. Also ich möchte da nun nicht als SysAdmin arbeiten. Der hat sicher in den letzten zwei Nächten nicht mehr geschlafen :sf:

Nur wäre es schon interessant, was sie nun gegen den Missbrauch unternehmen ? 2,2 Millionen Karten sperren ?

0,25% von 560 mio sind doch nur 1,4 mio... dann gehts ja noch :st:

laut heise sind es mittlerweile 8 mio.

Neue OpenSSL Version 0.9.7a behebt Sicherheitslücken

Ab sofort gibt es eine neue Version von OpenSSL, die insgesamt 11 Sicherheitslücken und bugs beseitigt.

OpenSSL hat den Release der neuen Version 0.9.7a von OpenSSL bekanntgegeben. Die neue Version behebt insgesamt 11 verschiedene Sicherheitslücken und Bugs. Die Entwickler von OpenSSL empfehlen allen Anwendern auf die neue Version umzusteigen.

Computer-Security Link

Schweizer knacken SSL-Verfahren

Schweizer Wissenschaftler liefern Praxisbeweis für bekannte Sicherheitslücke.

Schweizer Wissenschaftlern ist der Beweis für eine in der Theorie seit längerem bekannten Sicherheitslücke in SSL gelungen. Mit der gestern angekündigten neuen Version von SSL 0.9.7a (wir berichteten) ist das Ausnützen der Lücke allerdings nicht mehr möglich.

Auf Ihrer Homepage bieten die Wissenschaftler Hintergrundinformationen über dieses Verfahren an, bei dem im Rahmen eines Man-in-the-Middle Angriffs gefälschte Pakete in die Verbindung zwischen Server und Client eingefügt werden und durch Rückschlüsse aus den Antworten des Servers z.B. Benutzerdaten erraten werden können.

Allen SSL-Anwendern wird empfohlen, sofort auf die neueste Version umzusteigen, was jedoch gerade bei Anwendungen, die SSL fest integriert haben schwierig werden dürfte.


ComputerSecurity Link

Die Kundendatenbank des amerikanischen
Internetserviceproviders AOL ist möglicherweise Opfer eines
gezielten und erfolgreichen Hackerangriffs geworden.

Die Schutzmechanismen der Datenbank, in der rund 35
Millionen Kundendaten abgelegt sind, sollen erfolgreich
umgangen worden sein, berichtet das Nachrichtenmagazin Focus
unter Berufung auf das Onlinemagazin ?Wired?. Demnach
konnten die Angreifer die Sicherheitssperren der aktuellen
AOL- Datenbank umgehen, in dem sie sich über das
AOL-Intranet in die Datenbank vorarbeiten.
Angeblich sei ein AOL-Mitarbeiter auf einen verschickten
Trojaner hereingefallen. Die Zugangsdaten zur
Kundendatenbank habe der Hacker anschliessend durch gefakte
Security-Updates bekommen. Sowohl bei AOL in Deutschland als
auch in den USA kommentierte man den mysteriösen
Datenbankhack gegenüber unserer Nachrichtenredaktion bislang
nicht.
Quelle: PCMagazin

Streit um Sicherheitslücke in Unreal-Engine (Update)

Disput zwischen Epic Games und PivX Solutions


Nachdem das amerikanische Unternehmen PivX Solutions eine Sicherheitslücke in der von Epic Games entwickelten Unreal-Engine festgestellt hat, scheint ein Streit zwischen den beiden Unternehmen über die Veröffentlichung dieser Probleme entbrannt zu sein. Laut diversen Berichten plante Epic Games vorübergehend sogar, PivX auf Grund der Veröffentlichung der Probleme zu verklagen.

Auf Grund der Lücke sei es für Angreifer möglich, Attacken gegen Game-Server durchzuführen, unter Umständen aber auch direkt auf PCs von Spielern zuzugreifen. Das Problem würde laut PivX bereits seit fünf Jahren bestehen, bisher hätte es aber keine Anstrengungen seitens Epic Games gegeben, dies zu beheben. Betroffen sind praktisch alle Spiele, die die Unreal-Engine nutzen, neben Unreal und Unreal Tournament (2003) also etwa auch Americas Army und Deus Ex.
..........weiterführender Link auf Golem.de

IE-Sicherheitsloch: HTML-Datei führt EXE-File aus

München (vp/smk) – Microsofts Internet Explorer enthält ein Sicherheitsrisiko, durch das in HTML-Dateien eingebettete EXE-Files automatisch gestartet werden können. Auf der Mailingliste "Bugtraq" meldeten Spezialisten von der Website Malware.com, dass die Versionen 5.0, 5.5 und 6.0 des Browsers von diesem Problem betroffen sind.

Ein Angreifer soll laut Malware.com eine EXE-Datei als MIME in eine HTML-Datei einbauen. Mit Hilfe eines ebenfalls im HTML-Dokument eingebetteten Java-Scripts lässt sich das ausführbare Binär-File starten, um beliebigen Schaden auf einem User-Rechner zu verursachen.

Bisher war der Microsoft-Browser durch eine per Skript aufgerufene HTML-Hilfedatei zu überlisten, Code auszuführen. Dieses Sicherheitsleck stopften die Microsoft-Entwickler Anfang Februar dieses Jahres mit einem Sammelpatch für alle gängigen Browser-Versionen.


Chip.de News Link

EU-Justizminister legen Hackern und Virenschreibern die Daumenschrauben an

EU-Justizminister legen Hackern und Virenschreibern die Daumenschrauben an
03.03.2003 um 11:12 Uhr

MÜNCHEN (COMPUTERWOCHE) - Die EU-Justizminister haben die Gesetzeslage für Hacker und so genannte Cyber-Terroristen signifikant verschärft. Wer sich unbefugt in Informationssysteme einklinkt, begeht nach der neuen Rechtsprechung ein Delikt, das so bislang nicht per Gesetz als abzustrafender Tatbestand festgehalten war. Außerdem erhöhten die Minister das Strafmaß empfindlich. Die Vorschläge der EU-Justizminister müssen jetzt noch das EU-Parlament passieren, um dann auch in die nationale Rechtsprechung eingearbeitet zu werden.
Die Politiker einigten sich unter anderem darauf, dass Hacker und Virenautoren bis zu fünf Jahre hinter Gitter kommen können. Online-Kriminalität soll nach dem Beschluß der Minister einen einheitlichen Strafkodex in Europa erhalten."Wir legen eine gemeinsame Definition und ein Strafmaß für Online-Kriminalität in allen 15 Mitgliedsstaaten fest", sagte Antonio Vitorino, EU-Kommissar für Justiz und Inneres. Hacker ist nach dem harmonisierten EU-Strafrecht danach jede Person, die sich rechtswidrig Zugang zu Informationssystemen verschafft. Als "rechtswidriger Eingriff in Informationssysteme" werden Angriffe auf Dienste oder Verbreitung von Viren bezeichnet. Kann eine solche Tat in Zusammenhang mit organisierter Kriminalität gebracht werden, setzen die Minister das Strafmaß auf zwei bis maximal fünf Jahre an. In weniger schweren Fällen können Delinquenten ein bis drei Jahre in Haft kommen.

Die Europäische Kommission hatte zuvor einen Rahmenbeschluss des Rates über "Angriffe auf Informationssysteme" verabschiedet. "In den Rechtsvorschriften der Mitgliedstaaten gibt es erhebliche Lücken, die es den Strafverfolgungs- und Justizbehörden erschweren könnten, Verbrechen gegen Informationssysteme zu verfolgen“, so Vitorino. Die vereinheitlichte Rechtsprechung soll auch der Tatsache Rechnung tragen, dass Hackerattacken und Virenangriffe grenzüberschreitend sind. Hier mußte, so die Politiker, durch eine harmonisierte Rechtsprechung die Zusammenarbeit von Exekutive und Judikative gewährleistet werden. Weitere Hausaufgaben bekamen die einzelnen Länder insofern, als sie aufgefordert wurden, ihre Behörden mit geeigneten Strafverfolgungswerkzeugen auszustatten. (jm)


Link von Computerwoche.de


______________________________


Hacker löschen 899 Homepages bei Tiscali Schweiz

Angriff blieb sechs Stunden unbemerkt

Basel (pte, 3. Mär 2003 14:56) - Hacker sind in einen der yourDomain-Server von Tiscali Schweiz http://www.tiscali.ch eingedrungen und haben 899 private Webseiten gelöscht. Der Angriff der Gruppe "Xtreme Power" fand bereits gestern, Sonntagabend, statt und blieb über sechs Stunden unbemerkt. Inzwischen hat der Provider nach eigenen Angaben das Problem heute, Montagvormittag, behoben. Die gelöschten Webseiten konnten wieder hergestellt werden.

Die Hacker hatten für ihren Angriff nach lokalen Sicherheitslücken gescannt und die Passwörter der Kunden für ihre Webseiten geknackt, so Tiscali. Die Daten konnten wieder hergestellt werden, da der Provider Sicherungskopien von den Homepages angelegt hatte. Tiscali hostet rund 40.000 Webseiten von Schweizer Kunden.

Wie die Schweizer Tageszeitung Blick http://www.blick.ch berichtet, hatten die Hacker eine Nachricht auf den betroffenen Webseiten zurückgelassen. "Xtreme Power hat entschieden, alle 899 Homepages auf yourdomain1.datacomm.ch zu löschen, weil die Betreiber es nicht für nötig hielten, die Sicherheitsstandards zu verbessern", zitiert die Tageszeitung die Hacker. Auch sollen nicht alle Webseiten wieder hergestellt worden sein. (Ende)

Pressetext.at

Kritische Sicherheitslücke in sendmail [Update]

Ein Buffer Overflow in dem Message Transfer Agent (MTA) sendmail ermöglicht es Angreifern, Root-Rechte auf den Mail-Servern zu erlangen, die sendmail einsetzen. Durch einen speziell präparierten E-Mail-Header kann ein Angreifer das Sicherheitsleck nutzen, ohne besondere Kenntnisse von dem Zielsystem haben zu müssen. Details zu dem Sicherheitsloch sind unter anderem in einem CERT-Advisory beschrieben. Das CERT warnt davor, dass auch sendmail-Server innerhalb eines geschlossenen Netzwerks betroffen seien, die über andere MTAs als sendmail den Kontakt zur Außenwelt herstellen: Präparierte Mails werden von nicht betroffenen MTAs unverändert weitergeleitet.

Laut Internet Security Systems (ISS), den Entdeckern des Sicherheitslochs, sind alle kommerziellen Versionen und die Open-Source-Varianten bis Version 8.12.7 betroffen. Für die kommerzielle Variante von sendmail inc. gibt es bereits Patches für Windows und einige Unix-Derivate. Die Open-Source-Entwickler haben eine sendmail-Version 8.12.8 bereitgestellt, die das Sicherheitsloch ebenfalls schließt; mehrere Linux-Distributoren beispielsweise bieten bereits Aktualisierungen für ihre Systeme an. Auch Apple hat einen Patch für sendmail in Mac OS X bereitsgestellt.

Nutzern des MTAs wird dringend empfohlen, die Patches einzuspielen beziehungsweise die neue Version zu installieren, da es zumindest in Tests bereits gelungen ist, die Sicherheitslücke auszunutzen -- öffentlich kursierende Exploits sollen aber noch nicht vorliegen.

sendmail ist seit langem der meist verwendete MTA im Internet; angeblich nutzen 50 bis 75 Prozent der Mail-Server im Internet das Programm, um Mails auszutauschen. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.

HeiseLink

Sicherheits-Patch für Macromedias Flash-Player

Programmausführung außerhalb der Sandbox möglich


Macromedia bietet ab sofort ein Sicherheits-Update für den Flash-Player für die Windows-Plattform an, das eine kritische Sicherheitslücke in der Software behebt. Über ein Sicherherheitsleck in der Sandbox erhält ein Angreifer Zugang über einen anderen Rechner und kann darauf Programmcode ausführen.

Eigentlich soll die Sandbox exakt diesen Fall verhindern und Fremden so den Zugriff über den Flash-Player begrenzen. Mit dem zur Verfügung gestellten Patch erreicht der Flash-Player die Version 6.0.97.0 und soll so auch vor künftigen Buffer Overflows geschützt sein, verspricht Macromedia.

Der englischsprachige Flash-Player für die Windows-Plattform steht ab sofort in der Version 6.0.97.0 zum Download bereit und soll die Sicherheitslöcher schließen.


Golem Info Link

_________________

Sicherheitslücke in Snort lässt Hacker ins Netz

MÜNCHEN (COMPUTERWOCHE) - Ein Leck im weit verbreiteten Open-Source-IDS (Intrusion Detection System) "Snort" ermöglicht es Angreifern, die Snort-Sensoren zum Absturz zu bringen oder Zugriff auf die Rechner zu erlangen, auf denen die Sensoren laufen. Ursache ist ein ungeprüfter Speicherbereich in dem Code, der für die Überprüfung fragmentierter RPC-Aufrufe (Remote Procedure Call) zuständig ist, meldet der Anbieter von Security-Lösungen ISS (Internet Security Systems). Um die Lücke zu nutzen, erzeugen Angreifer RPC-Aufrufe, die einen Speicherüberlauf verursachen. Dabei müssen sie die Adresse der attackierten Sensoren nicht kennen, sondern entsprechende Datenpakete lediglich in einem vom IDS überwachten Netz verschicken.

Betroffen sind alle Snort-Versionen ab dem im Juli 2001 erschienenen Release 1.8. Die am Dienstag veröffentlichte Version Version 1.9.1 soll den Fehler beheben. (lex)


Computerwoche Link

Zwei Japaner stahlen 136.000 Dollar übers Netz

07.03.2003 um 10:47 Uhr

MÜNCHEN (COMPUTERWOCHE) - Die Tokioter Polizei hat gestern zwei Männer festgenommen, die sich per Hacking von Online-Bankkonten umgerechnet 136.000 Dollar ergaunert haben sollen. Die Verdächtigen, der arbeitslose Programmierer Ko Hakata (35) und der Geschäftsmann Goro Nakahashi (27), räuberten einem Bericht des "Wall Street Journal" zufolge von einem Internet-Café in Tokio aus am 18. September verschiedene Konten.
Dazu installierten sie offenbar zunächst ein Trojanerprogramm, das die Tastatureingaben von Gästen protokollierte. Aus diesen Mitschriften fanden die Gauner dann die Zugangsdaten für die Internet-Zugänge zu den Bankkonten von fünf Besuchern und transferierten anschließend insgesamt 141.000 Dollar auf andere Konten. Nakahashi hat bereits gestanden, unter falschem Namen 136.000 Dollar abgehoben zu haben.

Wann die Männer verhaftet wurden und was mit den verbleibenden 5000 Dollar geschah, wollten die Ermittler nicht verraten. Falls die Verdächtigen überführt werden, drohen ihnen bis zu zehn Jahre Haft. Einem Bericht der Zeitung "Asahi" zufolge haben Hakata und Nakahashi sogar versucht, rund 100 PCs in 13 verschiedenen Internet-Cafés auszuspähen. Zu den Geschädigten gehöre unter anderem die Citibank Japan, von der keine Stellungnahme vorliegt. (tc)

Computerwoche Link

Ministerium: HP verletzt Datenschutz

Nach Auffassung des Innenministeriums Baden-Württemberg verstößt Hewlett-Packard mit der Datenübermittlung durch einige Druckertreiber gegen das Bundesdatenschutzgesetz. Ermittlungen der für den deutschen HP-Standort Böblingen zuständigen Aufsichtsbehörde ergaben mehrere Verstöße gegen Datenschutzbestimmungen durch den Druckerhersteller. Anlass zur Beanstandung ist die so genannte myPrintMileage-Funktion der Druckertreiber für den DeskJet 450ci und einige andere DeskJet-Modelle. Ruft der Anwender diese Funktion auf, übermittelt die Software nach Erkenntnissen der Ermittler:

die Druckerbezeichnung sowie die Typ- und Seriennummer des Druckers,
die Anzahl der Druckjobs und der gedruckten Seiten,
den Typ, die Produktnummer, die Kapazität und den prozentualen Füllstand der eingesetzten Tintenpatronen,
die Anzahl der verschiedenen Ausdruckmedien,
sowie weitere technische Informationen an einen HP-Server im Ausland. Dabei werde auch die IP-Adresse in einer Protokolldatei gespeichert. Die Daten ließen sich nach Ansicht der Behörde durch die übermittelte IP-Nummer auch auf Personen in Bezug setzen; die von HP bei der Softwareinstallation angezeigte "Erklärung" reiche formal nicht aus, um als Einwilligung zur Speicherung personenbezogener Daten im Sinne von § 4a Bundesdatenschutzgesetz (BSDG) gelten zu können.

Außerdem könnte HP nach Lage der Dinge anhand einer Produktregistrierung durch den Anwender den Bezug der übermittelten Daten zu einer natürlichen Person herstellen. Auch dafür fehlt es nach Ansicht des Ministeriums an einer ordentlichen Einwilligung durch den Benutzer. HP müsse daher die strikte Trennung der Daten sicherstellen oder den Installationsprozess so verändern, dass dabei für den Benutzer als solche erkennbare Einwilligungen eingeholt werden, fordern die Datenschützer. Man gehe aber davon aus, dass die an HP übermittelte Rechtsauffassung bei einem Konzern dieser Größenordnung "Anlass zum Nachdenken" sein werde, kommentierte ein Ministeriumssprecher das Untersuchungsergebnis gegenüber heise online.

Man habe das Problem mit den deutschen Datenschutzbestimmungen in der Tat übersehen, bestätigte eine HP-Sprecherin im Gespräch mit heise online. Sie versprach, dass die Gestaltung der Druckertreiber und der erforderlichen Einwilligungen gemäß den Vorgaben aus der Datenschutzbehörde baldmöglichst geändert würden.

Link von Heise.de

_______________________________

Opera 6.12 für Linux beseitigt Sicherheitsleck

Keine neuen Funktionen für den Linux-Browser


Ab sofort bietet Opera die Linux-Version des norwegischen Browsers in der Version 6.12 zum Download an. Damit sollen einige Programmfehler behoben werden. Neue Funktionen bietet die aktuelle Version nicht.

So behebt Opera 6.12 eine Redirect-Sicherheitslücke, die von Secunia entdeckt wurde, sowie einige Fehler im Xft-libraly-loader. Schließlich wurde noch eine Ungereimtheit beim Umgang mit Fonts und der Anti-Aliasing-Funktion behoben, so dass es hier nicht mehr zu Problemen kommen soll. Weitere Veränderungen bietet die aktuelle Opera-Version gegenüber der Vorversion Opera 6.11 nicht.

Opera 6.12 für Linux steht ab sofort in englischer Sprache zum Download bereit. Die Gratis-Version blendet Werbebanner in die Oberfläche ein, die nach einer Registrierung in Höhe von 39,- US-Dollar verschwinden. Oliver J. Thiele bietet auf seiner Homepage eine deutsche Sprachdatei zum Download an.

Golem.de Link

___________________________________

eBay-Sicherheitslücke offenbart Kontodaten

Verkäufer-Daten unsicher gelagert


Nach Angaben von Axel Gronen, der eine informative Seite über Wortfilter bei eBay unterhält, können durch eine Sicherheitslücke beim Online-Auktionsveranstalter eBay hinterlegte Kontodaten von Verkäufern von Unbefugten eingesehen werden.

Dazu müsse nicht einmal eine aktuelle Auktion des potenziellen Opfers vorliegen. Mit Hilfe der eBay-Datenbank könne man aus der Mailadresse oder dem Mitgliedsnamen eines Verkäufers dessen Kontoverbindung herausfinden. Das funktioniert natürlich nicht bei allen eBay-Accounts, da z.B. Nur-Käufer ihre Bankdaten im Allgemeinen nicht angegeben haben.

Wie man die Sicherheitslücke konkret ausnutzen kann, will Gronen nicht veröffentlichen, sondern nur auf die Missbrauchsmöglichkeit aufmerksam machen. Auch eBay soll bereits Mitte Januar 2003 von einem Berliner Informatiker informiert worden sein, hat aber augenscheinlich nicht reagiert.

Nach Angaben von Gronen wurde von Elmar Denkmann, Autor der Tools BayWotch und PreisHai, ein kleines Programm zum Demonstrieren dieser Sicherheitslücke geschrieben, das allerdings nicht zum Download angeboten wird. Als Login funktioniere jeder eBay-Account.

Es bleibt allerdings festzuhalten, dass man selbst mit den hinterlegten Kontodaten und dem echten Namen des eBay-Mitglieds kaum wirklichen Schaden anrichten kann - auch wenn jemand mittels gefälschter Lastschrift Geld vom Konto des Opfers abhebt, kann der Bestohlene das Geld zurückholen lassen. Eine Menge Ärger und Zeitaufwand zur Behebung des Schadens wird allerdings nicht ausbleiben.

Mittlerweile soll eBay reagiert haben und die entsprechende Funktion vorerst deaktiviert haben.

_________________________________

Sicherheitslöcher in Blogger.com geschlossen

MÜNCHEN (COMPUTERWOCHE) - Der Weblog-Anbieter Pyra Labs hat eine Reihe von Sicherheitslücken geschlossen. Der "Good Guy Hacker" Adrian Lamo hatte die Schwierigkeiten erkannt und Pyra informiert. Weblogs sind tagebuchartige Web-Seiten von Internet-Aktivisten, die sich einer immer größeren Beliebtheit erfreuen. Die unlängst von Google übernommene Firma Pyra betreibt mit "Blogspot" einen der bekanntesten Hosting-Service, auf dem Anwender ihre eigenen Weblogs erstellen und aktualisieren können. Die von Lamo identifizierten Schwachstellen im Online-Publishing-Tool von Pyra hatten es Hackern ermöglicht, bestehende Weblog-Adressen von Blogspot-Anwendern auf eigene Inhalte umzulenken - so als würde man einer Internet-Domain eine anderen IP-Adresse zuweisen. Ein weiterer Fehler hatte es Hackern gestattet, sich heimlich auf die Liste derer zu setzen, die ein Weblog administrieren dürfen. (fn)

Computerwoche.de Link

Deloder attackiert Windows-Netze

MÜNCHEN (COMPUTERWOCHE) - Seit Anfang der Woche treibt der Wurm „Deloder“ sein Unwesen in Windows-basierenden Netzen. Der vermutlich aus China stammende Schädling verbreitet sich nicht via E-Mail, sondern über den Microsoft-Netzwerk-Port 445. Nach dem Eindringen überträgt der Wurm eine „install.exe“-Datei in den Start-Ordner des Systems. Dieser Trojaner öffnet den Zugang zum Rechner. Deloder kopiert eine schreibgeschützte Kopie seines Codes in die Datei „dvldr32.exe“. Anschließend versucht der Wurm, über eine Liste gebräuchlicher Passwörter weitere Windows-Systeme im Netz zu befallen. Zuletzt beschädigt er Netzressourcen und manipuliert die Registry des befallenen Systems, so dass er ständig ausgeführt wird. Die Antivirenhersteller bieten mittlerweile Updates ihrer Schutzprogramme zum Download im Internet an. (ba)

Computerwoche.de Link

SuSE findet Samba-Sicherheitsloch

Erneut müssen die Samba-Entwickler eine Sicherheitslücke im freien Windows-Server schließen. Nachdem Debian-Entwickler bei einem Quelltext-Audit im November eine Lücke entdeckt hatten, hat nun Sebastian Krahmer aus dem SuSE Security Audit Team eine weitere gefunden: Sie betrifft Samba ab Version 2.0.x, beruht auf einem Pufferüberlauf in dem Code, der einzelne Paketfragmente neu zusammenbaut, und könnte von einem Angreifer dafür genutzt werden, beliebigen Code mit root-Rechten auszuführen. In der auf den Mirror-Servern bereitstehenden neuen Samba-Version 2.2.8 hat das Samba-Team die Sicherheitslücke geschlossen. Detaillierte Anleitungen, wie man ältere Server schützen kann, sind in den Release Note zur neuen Version zu finden. Anzeige


Wie schon beim letzten Mal nutzen die Entwickler das Update, um weitere Korrekturen an der stabilen Version (2.2) vorzunehmen. Der ursprüngliche Plan sah vor, die Weiterentwicklung der Nachfolgegeneration von Samba (3.0) mit aller Kraft voranzutreiben. Die Version 2.2.8 bringt diverse kleine Korrekturen mit, die unter anderem die LDAP- und Winbind-Funktionen betreffen. Das Frontend zur Verwaltung der verschlüsselten Passwörter (smbpasswd) kennt nun Optionen, mit denen man die SID für den Domänenbetrieb auslesen und setzen kann, die bisher in einer der Samba-eigenen Konfigurationsdatenbanken (secrets.tdb) verborgen und nur schwer zu beeinflussen war. (ps/c't)

Heise Link

Leck in Sun ONE lässt Hacker auf den Server

MÜNCHEN (COMPUTERWOCHE) - Die Sicherheitsexperten von @Stake warnen vor einer Sicherheitslücke in Suns Applikations-Server Sun ONE, durch die sich Angreifer volle Zugriffsrechte auf den zugehörigen Web-Server verschaffen können. Der Fehler steckt im "Connector Module", einem NSAPI-Plug-in (Netscape Server Application Programming Interface), das den Web-Server mit dem Applikations-Server integriert. Um die Lücke auszunutzen, verursachen die Angreifer einen Speicherüberlauf, indem sie einen überlangen URI (Uniform Resource Indicator) via HTTP-Anfrage (Hypertext Transfer Protocol) an den Server schicken.

Betroffen sind die Sun-ONE-Versionen 6.0 und 6.5. Ein Patch ist nur für die Version 6.5 verfügbar und im Service Pack 1 für den Server enthalten. Für die Version 6.0 empfehlen die Experten, via NSAPI-Modul die Länge der über HTTP-Anfragen geschickten URIs zu prüfen oder SSL-Anfragen (Secure Sockets Layer) abzufangen, bevor sie auf den Web-Server gelangen. (lex)


Computerwoche Link

Quelle: Heise

Der Kern des Betriebssystems Linux enthält einen Fehler, der es lokalen Benutzern erlaubt, auf dem System Root-Rechte zu erlangen. Betroffen sind die Kernel-Versionen 2.2 und 2.4 und damit nahezu alle Linux-Systeme, die seit 1999 installiert wurden, und bei denen der Administrator die Möglichkeit, Kernel-Module nachträglich zu laden, nicht explizit abgeschaltet hat. Es existiert auch bereits ein fertiger Demo-Exploit, der einem Angreifer direkt eine Shell mit Root-Rechten beschert.

Allerdings lässt sich der Fehler nicht ohne direkten Zugang -- also remote von einem beliebigen anderen System aus -- ausnutzen; der Angreifer muss also bereits einen Zugang auf dem attackierten Computer haben. Wo Linux also im Multiuser-Betrieb genutzt wird, sollten Administratoren schleunigst ein Kernel-Update einspielen. Auf Servern, auf denen regulär nur Adminstratoren Zugang haben, ist die Lücke nicht ganz so ernst; man sollte jedoch auch dort den Patch einspielen und sich gegen den Fall absichern, dass ein anderes Sicherheitsloch Angreifern einen Zugang mit eingeschränkten Rechten ermöglicht, der dann über den Kernel-Bug sofort zur Root-Shell ausgebaut werden könnte.

Auf dem zentralen Kernel-Archiv steht ein Patch für die Version 2.2 bereit; Red Hat bietet bereits Kernel-Updates für 2.4er-Kernel (Red Hat 7.x, 8.0).

Der Bug beruht darauf, dass der Kernel das Nachladen von Modulen nicht ausreichend gegen externe Modifikationen absichert. So kann man über die Debug-Funktion ptrace() die Kontrolle über einen Prozess erlangen, der ein Modul nachladen soll und dort beliebigen eigenen Code einschleusen. Dieser wird dann mit Root-Rechten ausgeführt. (ju/c't)

Zum Vergrößern anklicken....