NEWS AUS DEM IT-SECURITY BEREICH

Kritische Sicherheitslücke bei Windows 98 bis XP

Microsoft empfiehlt schnelles Einspielen des Patches

Redmond (pte, 20. März 2003 11:09) - Microsoft warnt vor einer kritischen Sicherheitslücke, die alle Windows-Versionen von Windows 98 bis Windows XP betrifft. Wie der Softwarekonzern in seinem Security-Bulletin mitteilt, liegt der Fehler in der Windows Script Engine bei der Verarbeitung von JScript. Microsoft empfiehlt allen Benutzern von Windows den Patch so schnell wie möglich zu installieren. Als provisorische Maßnahme kann auch die Unterstützung für Active Scripting im Internet Explorer deaktiviert werden. http://www.microsoft.com/security/security_bulletins/ms03-008.asp

Die Windows Script Engine ermöglicht es dem Betriebssystem Scripts von Webseiten zu behandeln. Scripts werden dazu verwendet, zusätzliche Funktionen in Webseiten oder einem Programm zu integrieren, und können in mehreren unterschiedlichen Sprachen wie Visual Basic Script oder Jscript geschrieben sein. Um die Sicherheitslücke auszunützen, muss ein Angreifer eine speziell präparierte Webseite zusammenstellen. Sobald das Opfer die Webpage besucht, kommt der gewünschte Code des Angreifers zur Ausführung. Dabei erhält der Angreifer alle Privilegien des Benutzers. Die Webpage kann entweder auf einem Webserver bereitgestellt werden oder direkt an das Opfer als HTML-Mail versandt werden.

In diesem Szenario kann es zu einer automatischen Ausführung des Angriffs kommen, ohne dass der Benutzer auf den Link klickt. Nicht betroffen sind Outlook Express 6.0 und Outlook 2002 in der Grundeinstellung sowie Outlook 98 und 2000 mit dem entsprechenden Sicherheitsupdate. http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q235309&id=KB;EN-US;Q235309 (Ende)

_______________________________

Sicherheitsloch im Linux-Multiuser-Betrieb

Der Kern des Betriebssystems Linux enthält einen Fehler, der es lokalen Benutzern erlaubt, auf dem System Root-Rechte zu erlangen. Betroffen sind die Kernel-Versionen 2.2 und 2.4 und damit nahezu alle Linux-Systeme, die seit 1999 installiert wurden, und bei denen der Administrator die Möglichkeit, Kernel-Module nachträglich zu laden, nicht explizit abgeschaltet hat. Es existiert auch bereits ein fertiger Demo-Exploit, der einem Angreifer direkt eine Shell mit Root-Rechten beschert.

Allerdings lässt sich der Fehler nicht ohne direkten Zugang -- also remote von einem beliebigen anderen System aus -- ausnutzen; der Angreifer muss also bereits einen Zugang auf dem attackierten Computer haben. Wo Linux also im Multiuser-Betrieb genutzt wird, sollten Administratoren schleunigst ein Kernel-Update einspielen. Auf Servern, auf denen regulär nur Adminstratoren Zugang haben, ist die Lücke nicht ganz so ernst; man sollte jedoch auch dort den Patch einspielen und sich gegen den Fall absichern, dass ein anderes Sicherheitsloch Angreifern einen Zugang mit eingeschränkten Rechten ermöglicht, der dann über den Kernel-Bug sofort zur Root-Shell ausgebaut werden könnte.

Auf dem zentralen Kernel-Archiv steht ein Patch für die Version 2.2 bereit; Red Hat bietet bereits Kernel-Updates für 2.4er-Kernel (Red Hat 7.x, 8.0).

Der Bug beruht darauf, dass der Kernel das Nachladen von Modulen nicht ausreichend gegen externe Modifikationen absichert. So kann man über die Debug-Funktion ptrace() die Kontrolle über einen Prozess erlangen, der ein Modul nachladen soll und dort beliebigen eigenen Code einschleusen. Dieser wird dann mit Root-Rechten ausgeführt. (ju/c't)


Heise Link

______________________________


Hacker klaut unveröffentlichte Security-Advisories vom CERT


MÜNCHEN (COMPUTERWOCHE) - Ein Hacker mit dem Pseudonym "hack4life" hat unveröffentlichte Sicherheitswarnungen vom Server des CERT (Computer Emergency Response Team) gestohlen und in der öffentlich zugänglichen Security-Mailing-Liste Full-Disclosure publiziert. Die Warnungen über Sicherheitslücken in der Version 4 des Authentifizierungs-Protokolls Kerberos, in RSA-Private-Keys und in von Sun entwickelten Netzwerk-Bibliotheken, die in vielen Unix- und Linux-Distributionen integriert sind, sollten eigentlich nicht vor Juni 2003 an die Öffentlichkeit gelangen. Die Maßnahme sollte Herstellern Zeit geben, Bugfixes für betroffene Produkte zu entwickeln.

Die Sicherheitsprobleme waren von dem Unternehmen eEye Digital Security und von Forschern des MIT (Massachusetts Institute of Technology) entdeckt worden. Gemeinsam mit dem CERT hatten sich die Experten auf den Zeitplan für die Veröffentlichung entsprechender Advisories geeinigt. Diese Vorgehensweise stößt jedoch nicht auf uneingeschränkte Zustimmung. So lehnt es zum Beispiel Mark Litchfield von NGS Software ab, Informationen über Sicherheitslücken zurückzuhalten, da sich die Organisation ohnehin nur eingeschränkt daran halte. Diverse Behörden seien mehrfach vorab über Systemfehler informiert worden.

Laut Shawn Hernan, zuständig für die IT-Sicherheit beim CERT, ist noch nicht geklärt, wie der Hacker an die Advisories gelangte. Selbst wenn das Leck gefunden werde, sei es unwahrscheinlich herauszufinden, wer sich hinter hack4life verbirgt. (lex)

ComputerWoche Link

______________________



Windows-Patch macht Probleme

Nach Einspielen von IIS/WebDAV-Patch stürzen manche Systeme ab

Redmond (pte, 21. März 2003 11:55) - Nachdem Microsoft zu Beginn der Woche eine kritische Sicherheitslücke bei Windows-2000 mit einem Patch geflickt hatte, muss der Softwarekonzern nun nochmals nachlegen. Wie Microsoft in einer Ergänzung zu der ursprünglichen Security-Bulletin mitteilt, könnten unter bestimmten Umständen die gepachten Systeme nicht mehr booten. Die Sicherheitslücke hatte einige Unruhe bei Microsoft ausgelöst. Zumindest zwei Server der US-Army wurden über dieses Leck geknackt, bevor der Softwarekonzern den Patch veröffentlichen konnte. http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-007.asp

Von dem Fehler sind Windows-2000-Systeme betroffen, auf denen einer von zwölf Hotfixes aus den Produkt Support Services eingespielt wurde, die zwischen Dezember 2001 und Februar 2002 veröffentlicht wurden. Nach Angaben des Softwareunternehmens erhalten Benutzer, die einen dieser Hotfixes und Service Pack 2 sowie den Patch gegen die IIS/WebDAV-Sicherheitslücke eingespielt haben, eine Fehlermeldung beim Neustart des Systems. Laut Microsoft sind ohne diese Hotfixes und mit Service-Pack 3 für Windows 2000 keine Probleme zu erwarten.

In der überarbeiteten Security-Bulletin gibt Microsoft Anweisungen, wie die betroffenen Systeme wieder zum Laufen gebracht werden können. Die Benutzer sollen sich entweder an die Product Support Services wenden oder Service Pack 3 einspielen. (Ende)

Pressetext Link


_________________________________

Hacker greifen NSA an

Pressebüro erfolgreich geknackt

Fort Georg G. Meade (pte, 21. März 2003 10:52) - Nach einem Bericht des US-Dienstes SecurityFocus http://www.securityfocus.com/news haben Hacker ein IT-System der National Security Agency (NSA) http://www.nsa.gov geknackt. Dieser Geheimdienst ist auf die weltweite elektronische Überwachung von Kommunikationsverbindungen spezialisiert und für seine strenge Geheimhaltung berühmt. Wer sich allerdings einen erfolgreichen Angriff auf die ultra-geheimen Abhöranlagen der NSA erwartet hat, wird enttäuscht. Das Ziel der Hacker war nach Angaben von SecurityFocus das eher harmlose Pressebüro der Organisation. Dementsprechend sind den Angreifern keine vertraulichen Dokumente in die Hände gefallen sondern nur die Lebensläufe einiger Mitarbeiter sowie einige private E-Mails zwischen den NSA-Sprechern und einigen Medienunternehmen.

Als Beweis für ihren erfolgreichen Hack haben die Angreifer ein E-Mail mit ihren Beweisen geschickt, das mit "Nescafe Open Up" unterschrieben war. Es ist soweit bekannt der erste erfolgreiche Hack eines NSA-Computers. Über die Motive zum Angriff ist bisher nichts bekannt. Die Hacker haben jedenfalls noch nicht auf Versuche zur Kontaktaufnahme geantwortet. Das Beweis-E-Mail, das SecurityFocus erhalten hatte, enthielt zusätzlich noch einige Telefonnummern der NSA sowie eine Anweisung zum Umgang mit E-Mail-Problemen. Das selbe Dokument ist unter anderem auch auf der öffentlichen Seite des US-Verteidigungsministeriums zu finden. (pte-special Irak) (Ende)

Pressetext Link

___________________________________

noch etwas ältere News.....

Meldung vom 18.03.2003 10:11

Sicherheitslücke mit IIS 5.0 unter Windows 2000

Etwas Hektik scheint bei Microsoft ausgebrochen zu sein, nachdem eine Sicherheitslücke unter Windows 2000 entdeckt wurde, für die angeblich bereits Exploits existieren: An die Premier Customer von Microsoft ging am gestrigen Montag eine Vorabwarnung heraus: Danach stand ein Advisory über eine kritische Sicherheitslücke an. Das Advisory, das Microsoft dann am Abend in den USA veröffentlichte, beschreibt ein Problem im Zusammenhang mit Microsofts Webserver Internet Information Server 5.0 und WebDAV unter Windows 2000. Das vom IIS eingesetzte WebDAV weist eine Sicherheitslücke auf, die Angreifer zum Ausführen beliebigen Codes nutzen können. Gelingt dies dem Angreifer, so läuft dieser Code im Sicherheitskontext des IIS.

Web Distributed Authoring and Versioning beschreibt eine HTTP-Erweiterung zur Verwaltung und Bearbeitung von Files bei Web-Servern. Die Sicherheitslücke in WebDAV entsteht durch einen Buffer Overflow; Microsoft stuft den Fehler, der durch das Senden einer WebDAV-Anforderung an einen Web-Server mit IIS 5.0 ausgenutzt werden kann, als kritisch ein. Für etwas Unruhe sorgte unter einigen Anwendern, dass Microsoft sich in der Ankündigung des Adivsorys auf Windows 2000 allgemein bezog, zur Ausnutzung der Sicherheitslücke aber nach dem schließlich veröffentlichten Advisory auf den betroffenen Systemen der IIS 5.0 aktiv sein muss. WebDAV setzt nach Angaben von Microsoft auf den IIS, um Anforderungen an Windows 2000 weiterzuleiten beziehungsweise sie von dem System zu erhalten.

Microsoft stellt bereits einen Patch für die Sicherheitslücke bereit; zusätzlich beschreibt die Firma in dem Advisory Vorgehensweisen, um Windows-2000-Systeme auch ohne Installation des Patches gegen Angreifer zu schützen. Dazu gehören beispielsweise das Abschalten des IIS, den Betrieb des IIS ohne WebDAV und verschiedene Maßnahmen zur Absicherung von WebDAV. Microsoft empfiehlt aber, auf Windows-2000-Systemen den Patch auf jeden Fall zu installieren. Der Internet Information Server 4.0 unterstützt WebDAV nicht, daher kann die Lücke dort nicht ausgenutzt werden. Beim IIS 5.1 unter Windows XP existiert das Sicherheitsloch ebenfalls nicht. (jk/c't)


Heise Link

______________________________

vom 19.03.2003

Sicherheitslücke im Linux-Kernel

"Remote Exploit" angeblich nicht möglich


Eine Sicherheitslücke im Linux-Kernel erlaubt es lokalen Angreifern, Root-Rechte auf verwundbaren Systemen zu erlangen. Patches für die aktuellen stabilen Kernel-Serien stehen bereit.

Betroffen ist laut Kernel-Entwickler Alan Cox die ptrace-Funktion im Linux 2.2 und Linux 2.4. Der aktuelle Entwickler-Kernel 2.5 scheint nicht betroffen und auch ein "Remote Exploit" ist nicht möglich, so dass Angreifer einen lokalen Systemaccount benötigen.

Mit Linux 2.2.25 hat man bereits eine korrigierte Version von Linux 2.2 veröffentlicht, die eigentlich für diese Version vorgesehenen Bugfixes sollen nun in Linux 2.2.26 erscheinen. Der entsprechende Patch soll sich aber auch mit älteren Versionen der Serie 2.2.x nutzen lassen.

Für Linux 2.4.20 sowie Linux 2.4.21pre ist ebenfalls ein Patch erhältlich. Die notwendigen Änderungen sollten keine Auswirkungen auf die Funktion von Applikationen haben, lediglich in sehr ungewöhnlichen Debug-Situationen sollte sich der Patch auswirken, so Cox.


Golem Link

IIS-Sicherheitsloch kritischer als angenommen

Die kürzlich gefundene Sicherheitslücke in Microsofts Webserver IIS betrifft offenbar wesentlich mehr Nutzer als ursprünglich angenommen, denn nicht nur IIS scheint von der Lücke betroffen: Aus einem Paper des Sicherheitsunternehmens NGSS geht hervor, dass der eigentliche Fehler wesentlich tiefer liegt.

Microsoft berichtete im entsprechenden Advisory, dass sich der Fehler nur über WebDAV (Web Distributed Authoring and Versioning), eine Erweiterung zur Verwaltung und Bearbeitung von Files bei Web-Servern, ausnutzen ließe. Die Sicherheitsexperten bei NNGS wollen aber herausgefunden haben, dass sich der Buffer Overflow durch das Aufrufen der Funktion "RtlDosPathNameToNtPathName_U" erzeugen lässt -- diese Funktion setzt keineswegs WebDAV oder IIS voraus, zahlreiche DLLs in Windows 2000 verwenden diese Funktion. Das Microsoft zugespielte Exploit nutzt den Fehler zwar über WebDAV aus, jedoch gibt es laut NNGS zahlreiche weitere Angriffsmöglichkeiten. Für die kommenden Monaten rechnet das Unternehmen mit weiteren Exploits. NNGS rät daher allen Windows-2000-Nutzern dringend, den von Microsoft bereitgestellten Patch einzuspielen, ganz gleich ob IIS verwendet wird oder nicht. (pab/c't)


Heise Link

______________________________


Sicherheitsexperten warnen vor Problemen mit Office 2003


24.03.2003 um 15:46 Uhr

MÜNCHEN (COMPUTERWOCHE) - Nach Ansicht von Security-Experten könnte der Einsatz des Office-XP-Nachfolgers "Office 2003" ernste Sicherheitsprobleme nach sich ziehen. Grund sei das Zusammenspiel des XML-basierenden (Extensible Markup Language) Dateiformats mit Makros. Die in den bisher veröffentlichten Microsoft-Office-Paketen verwendeten Dokumentenformate sehen fest definierte Stellen für die Einbettung der Mini-Anwendungen vor, wodurch sie gut von Virenscannern geprüft werden können. XML kennt solche Fixpunkte nicht. Dadurch lassen sich Makros - und auch Makroviren - an beliebigen Stellen im Dokument verstecken, so die Spezialisten.

Tests mit der unlängst veröffentlichten zweiten Betaversion des Büropakets (Computerwoche online berichtete) hätten ergeben, dass XML-Dateien komplett geprüft werden müssten, um Makroviren zu entdecken. Entsprechende Prüfroutinen nehmen deutlich mehr Zeit und Systemressourcen in Anspruch als bislang, sagte Jan Hruska, Gründer des auf Antivirensoftware spezialisierten Unternehmens Sophos. Hruska warf Microsoft vor, damit Sicherheitsaspekte zu Gunsten der Funktionalität nicht ausreichend zu berücksichtigen und forderte, das Dateiformat mit einem Header zu versehen, in dem die Makros abgelegt werden.

Der Ursprung des Problems liege nicht in Office 2003, sondern betreffe auch XML-basierenden Dateiformate anderer Hersteller, entgegnete ein Microsoft-Sprecher. Bei der Entwicklung des Büropakets sei man exakt den vom Web-Konsortium W3C gesetzten Standards gefolgt. Microsoft beabsichtige nicht, diese Kompatibilität aufzugeben, sei jedoch dazu bereit, gemeinsam mit den Antivirenherstellern nach einer Lösung des Problems zu suchen. (lex)


Computerwoche Link

Sicherheits-Update für Mac OS X

Mit dem Sicherheits-Update vom gestrigen Montag schließt Apple zwei Lücken in Mac OS X. Zum einen beseitigt das über die Software-Aktualisierung des Betriebssystems oder als separater Download erhältliche Update ein kürzlich entdecktes Problem im freien Windows-Server Samba, der zum Lieferumfang des Apple-Systems gehört. Angreifer könnten es nutzen, um unerlaubten Zugriff auf ein Gastsystem zu erlangen.

Das Update behebt außerdem ein von Schweizer Wissenschaftlern jetzt in der Praxis nachgewiesene Unsicherheit in den OpenSSL-Bibliotheken. Die Theorie hierfür ist schon länger bekannt. Es geht dabei um die Möglichkeit, private Schlüssel während des Transfers von Client zu Server abzufangen und zu missbrauchen. (adb/c't)

Heise Link


_________________


Sicherheits-Update für Windows-Version von Opera 6


Opera 6.06b bereinigt Sicherheitslücke bei langen Dateinamen


Opera bietet ab sofort ein Sicherheits-Update für Opera 6.x zum Download an. Mit Opera 6.06b wird ein Sicherheitsleck bei der Nutzung langer Dateinamen während eines Downloads behoben.

Bereits am 11. März 2003 wurde auf der Mailingliste Bugtraq über diese Sicherheitslücke berichtet, wonach die Opera-Fassungen bis zur Version 6.06 bei dem Download einer Datei die Länge des Dateinamens nicht überprüfen. So kann es zu einem Buffer Overflow kommen, worüber Angreifer den herunterzuladenden Programmcode ausführen können.

Opera 6.06b für die Windows-Plattform steht ab sofort in englischer Sprache entweder mit oder ohne Java-Engine auf dem ftp-Server von Opera zum Download bereit. Wer die Werbebanner der kostenlosen Version aus der Programmoberfläche verbannen will, kann die Software für 39,- US-Dollar registrieren. Oliver J. Thiele bietet eine alternative deutsche Sprachdatei für Opera 6.06 zum Download an, die auch mit der aktuellen Opera-Fassung funktioniert.

Golem.de Link

Microsoft: Palladium respektiert den Datenschutz

Das letzte Referat am ersten Tag der D-A-CH Security in Erfurt lieferte Microsoft, das als Sponsor der Konferenz der Sicherheitsspezialisten mit dem Slogan "innovativer Partner mit Visionen" auftritt. Unter der Rubrik "Perspektiven und Ausblick" stellte Gerold Hübner, Chief Security Officer bei Microsoft Deutschland, den Teilnehmern das Trustworthy Computing und NGSCB (Next Generation Secure Computing Base) vor, die einstmals Palladium genannte Sicherheitsarchitektur. Hübner bemühte sich, die Computersicherheit als Führungsthema des Managements darzustellen, bezeichnete gar im Umkehrschluss die verbreitete Unsicherheit über sichere Netzwerke und virenfreie E-Mail als "Führungsfehler". NGSCB stellte Hübner darum den Zuhörern als große Chance vor, das Vertrauen in Computertechnik beim durchschnittlichen Anwender zu rehabilitieren. Dabei benutzte Hübner eine übersetzte Version der Präsentation, die Microsoft Journalisten zur Comdex in Las Vegas präsentierte: Wieder einmal musste Mandrake nach den Zahlen der Bugtraq-Mailingliste von Security Focus als unsicherstes Betriebssystem den Spott ertragen.

Im Unterschied zu früheren Ausführungen anderer Microsoft-Sprecher betonte Hübner den Aspekt des Datenschutzes: Auf keinen Fall sollen die Nexus-Chips, mit denen NGSCB realisiert wird, standardmäßig den Anwender "verpetzen" und etwa an DRM-Systeme melden, welche Musik auf dem Computer gespielt wird. "Es ist bei NGSCB ein wichtiges Designprinzip, dass der Nutzer stets selbst kontrollieren und entscheiden kann, ob und wann er die NGSCB-Technologien benutzt. Er entscheidet selbst im Sinne des Datenschutzes, ob er Dritten die auf dem Sicherheitschip gespeicherten Merkmale zugänglich macht, mit denen er identifiziert werden kann." Überdies versprach Hübner den Sicherheitsspezialisten, dass Microsoft den bei den Nexus-Chips genutzten Source-Code im Sinne der Shared-Source-Philosophie des Unternehmens offen legen wird. Schriftlich bekamen die Teilnehmer der D-A-CH Security die weitere Vorgehensweise Microsofts bezüglich NGSCB; im Tagungsband zur Konferenz endet das Referat Hübners mit den Worten: "NGSCB wird Bestandteil des Windows-Betriebssystems und muss nicht gesondert beschafft werden. Mit Auslieferung der ersten NGSCB-fähigen PCs ist frühestens im Laufe des Jahres 2004 zu rechnen."

In der abschließenden Diskussion mit den Teilnehmern der D-A-CH Security ging es vor allem um das Bonmot von Hübner, dass Microsoft "die Software vor der Software schützen will". Auch die Tatsache, dass die Mehrheit der in der TCPA zusammengeschlossenen Firmen weitreichendere Ziele verfolgt um etwa ein geschlossenes DRM zu realisieren, in dem sich jede Datei ausweisen muss, beschäftigte die Disputanten. Hübner zeigte sich von der "Konvergenz" beider Ansätze überzeugt, schlussendlich würden TCPA und NGSCB in der harmlosen Variante zusammengehen. Auf Anfrage von heise online erklärte Microsofts Sicherheitsexperte, dass Microsoft in Deutschland anders als in England vorerst keine universitären Einrichtungen unterstützen wird, Studenten zum sicherheitsbewussten Programmieren anzuleiten. (Detlef Borchers) / (jk/c't)


Heise Link


_______________________


Englische El-Dschasira-Site per DoS lahm gelegt


26.03.2003 um 14:13 Uhr

MÜNCHEN (COMPUTERWOCHE) - Der arabische Nachrichtensender "El Dschasira" hatte am Montag eine englischsprachige Website eröffnet (Computerwoche online berichtete). Heute folgt die Nachricht, dass Hacker die Website angegriffen haben, weswegen sie vorübergehend nicht verfügbar war. Die Angreifer machten sich dabei eine altbekannte Strategie zu Eigen: Sie müllten die Website mit Unmengen von automatisierten Anfragen zu, bis die Server des in Doha, Katar, ansässigen Nachrichtensenders in die Knie gingen.. Diese Methode ist als Denial-of-Service-Attacke (DoS) unter anderem durch Würmer wie "Nimda" oder jüngst "Slammer" weltweit bekannt.
Nach Angaben von Ayman Arrashid, dem Internet-Systemadministrator von Horizons Media & Information Services, das die Website betreibt, begann der Hackerangriff am Dienstagmorgen nur wenige Stunden nach der Inbetriebnahme. Die Server von El Dschasira stehen in Frankreich und in den USA. Nach gegenüber dem "Wall Street Journal" gemachten Angaben von Arrashid waren von den Attacken ausschließlich die Server in den USA betroffen. (jm)

Computerwoche Link

Sicherheitsleck in Windows NT 4.0, 2000 und XP

Microsoft kann keinen Bugfix für Windows NT 4.0 anbieten


In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke im RPC-Protokoll von Windows NT 4.0, 2000 und XP. Ein Angreifer kann darüber die Funktionstüchtigkeit des Dienstes torpedieren. Während Microsoft einen Patch für Windows 2000 und XP anbietet, sieht sich der Hersteller außer Stande, auch einen Patch für das ebenfalls betroffene Windows NT 4.0 anzubieten.

Der Fehler besteht darin, dass mit fehlerhaften Messages falsch umgegangen wird, was den RPC Endpoint Mapper beeinträchtigt, der bei TCP/IP-Verbindungen an Port 135 lauscht und die Festsetzung von Port-Nummern eines bestimmten RPC-Services erlaubt.

Besteht über einen Remote-Zugang eine TCP/IP-Verbindung zum Endpoint Mapper, kann ein Angreifer den Prozess zum Versagen bringen. Da der Endpoint Mapper direkt innerhalb des RPC-Services läuft, verweigert so der gesamte RPC-Service seinen Dienst und funktioniert nicht mehr. Damit einhergehend gehen alle RPC-basierenden Dienste verloren, aber auch einige COM-Funktionen stehen dann nicht mehr zur Verfügung. Das RPC-Protokoll stammt von der Open Software Foundation (OSF) und wurde von Microsoft aber um bestimmte Erweiterungen ergänzt.

Microsoft bietet deutschsprachige Patches für Windows 2000 sowie XP in der 32-Bit- und 64-Bit-Version an - jedoch nicht für Windows NT 4.0. Nach Aussagen von Microsoft sieht sich der Hersteller nicht in der Lage, einen passenden Patch anzubieten. Die Architektur von Windows NT 4.0 erlaube es nicht, solche Änderungen am Betriebssystem vorzunehmen, heißt es in dem betreffenden Security Bulletin. Um dem Problem beizukommen, müsste Microsoft einen Teil von Windows NT 4.0 komplett neu schreiben, was wiederum massive Kompatibilitätsprobleme nach sich ziehen würde. Hier empfiehlt Microsoft als Work-Around, eine Firewall so zu konfigurieren, dass der Datenverkehr auf Port 135 gefiltert wird.


Golem.Link

Firewalls in den USA bald illegal?

US-Bundesstaaten planen Verschärfung des DMCA


In einem Kommentar weist der Informatik-Professor Edward W. Felten auf Gefahren hin, die eine geplante Verschärfung des Digital Millenium Copyright Act (DMCA) mit sich bringen könnte. Durch die in den Entwürfen einiger US-Bundesstaaten vorgesehenen Regelungen würde die Nutzung von Firewalls als auch die Verschlüsselung des E-Mail-Verkehrs illegal.

Die Gesetzesvorschläge, die in den Bundesstaaten Massachusetts, Texas, South Carolina, Florida, Georgia, Alaska, Tennessee und Colorado derzeit vorliegen, sehen laut Felten vor, "Besitz, Verkauf und Nutzung von Techniken zu verbieten, die geeignet sind, die Herkunft oder den Adressaten einer Kommunikationsverbindung vor einem Service-Provider zu verbergen".

Laut Felten wäre damit unter anderem auch die Verschlüsselung von E-Mails untersagt, würde dort doch der Adressat im To-Feld verschlüsselt und somit verborgen werden. Auch der Zugriff auf E-Mails über ein verschlüsselte Verbindung wäre damit nicht mehr erlaubt.

Schlimmer noch treffe es die Network Address Translation (NAT), eine in Firewalls und Routern genutzte Technologie, die Rechner mit lokalen IP-Adressen ans Internet anbindet und so Absender und Empfänger ändert. Aber auch Betriebssysteme wie Windows oder Linux unterstützen NAT.

Edward W. Felten ist seit 1999 Professor für Informatik an der Princeton University und war von 1998 bis 2002 für das US-Justizministerium im Zusammenhang mit dem Kartellrechtsprozess gegen Microsoft tätig und ist Mitglied der Electronic Frontier Foundation.

GolemLink

_____________________

FBI untersucht Angriff auf Al-Jazeera


Arabischer Sender weiterhin offline



Washington/Doha (pte, 28. März 2003 09:15) - Im Fall des Angriffes auf die Webseite des arabischen Nachrichtensenders Al Jazeera http://english.aljazeera.net hat nun das FBI http://www.fbi.gov die Ermittlungen aufgenommen. Hacker, die mit den USA sympathisieren, hatten Anfragen für die Seite mit einem gefälschten Eintrag im Name Service auf eine andere Webpage umgeleitet. Die englische Online-Seite des arabischen Nachrichtensenders Al-Jazeera ist weiterhin nicht zu erreichen.

Besucher, die in den vergangenen Tagen versuchten die Seite zu erreichen, sahen zum Beispiel eine US-Flagge mit der Botschaft "Let Freedom Ring", Besucher der arabischen Webpage wurden zu einer Porno-Seite umgeleitet. Der Sender selbst bezeichnet den Hack als einen Angriff auf die freie Presse. Während das arabische Angebot bald wieder online sein soll, wird sich der Launch der regulären englischen Seite nach einem Bericht der BBC wahrscheinlich bis April verzögern. Bereits zuvor war das Internet-Angebot des Senders mit Denial-of-Service-Angriffen lahm gelegt worden.

Der Verwalter der .com und .net-Domains, das Verisign-Tochterunternehmen Network Solutions, hat inzwischen die Umleitung wieder rückgängig gemacht. Allerdings wird es noch einige Zeit dauern, bis auch diese Veränderung im gesamten Internet wirksam wird. (pte-special Irak) (Ende)


PresseText LInk

Erneut Sicherheitslücke in sendmail

Erneut ist eine kritische Sicherheitslücke in sendmail bekannt geworden. Alle Versionen der Open-Source-Variante des Message Transfer Agent (MTA) vor Version 8.12.9 sowie alle kommerziellen sendmail-Ausgaben für Unix und Windows weisen eine Schwachstelle auf, die von Michael Zalewski entdeckt wurde. Durch sie kann ein Angreifer über einen speziellen E-Mail-Header einen Buffer Overflow provozieren; dadurch lässt sich beliebiger Code mit den Rechten des sendmail-Daemons ausführen oder ein Denial-of-Service-Angriff auslösen. Die Ursache für das Leck liegt im Parser für die E-Mail-Adressen. Laut CERT wurde in Tests die Lücke bereits erfolgreich für Denial-of-Service-Angriffe ausgenutzt.

Als Gegenmaßnahme empfiehlt das CERT in einem Advisory ein Upgrade auf sendmail 8.12.9. Für ältere Versionen gibt es zudem Patches. Sendmail Inc. stellt für die kommerziellen Varianten Updates bereit. Außerdem arbeiten die Linux-Distributoren bereits an aktualisierten sendmail-Paketen für ihre Distributionen; dasselbe dürfte bei Apple für sendmail in Mac OS X gelten.

Das CERT betont ausdrücklich, es handele sich bei dem nun entdeckten Fehler -- auch wenn es ein ähnliches Problem ist -- nicht um den gleichen Bug wie bei dem Leck, das Anfang März bekannt wurde; es sind also auf jeden Fall neue Software-Updates oder das Einspielen von Patches bei den betroffenen Servern angesagt. Wie bei dem damaligen Fehler gilt aber, dass auch sendmail-Server innerhalb eines geschlossenen Netzwerks betroffen sein können, die über andere MTAs als sendmail den Kontakt zur Außenwelt herstellen: Denn präparierte Mails werden von nicht betroffenen MTAs unverändert weitergeleitet.

sendmail ist seit langem der meist verwendete MTA im Internet. Angeblich nutzen 50 bis 75 Prozent der Mail-Server im Internet das Programm, um Mails auszutauschen. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern. (anw/c't)


Heise Link

_________________________

Microsoft verbessert WLAN-Sicherheit für Windows XP

Download als erster Schritt in Richtung 802.11i

Redmond (pte, 1. Apr 2003 10:38) - Microsoft hat ein eigenes Update für die Verbesserung der WLAN-Sicherheit von Windows XP vorgestellt. Das kostenlose Download soll die erste Umsetzung von Wi-Fi Protected Access (WPA) sein. Damit nimmt Microsoft den ersten Schritt zum Standard 802.11i vorweg. Dieser Standard wird voraussichtlich erst im Sommer ratifiziert.

http://www.microsoft.com/presspass/press/2003/mar03/03-31WiFiProtectedAccessPR.asp
WAP ersetzt den oft kritisierten Standard Wired Equivalent Privacy, der den Sicherheitsanforderungen nicht genügt. Der Standard bietet eine verbesserte Verschlüsselung der Übertragung und eine sicheren Austausch der Schlüssel. Zusätzlich verhindert ein "Integrity Check", dass die Nachrichten nicht von einem Angreifer verändert werden. Schließlich stellt eine Authentifizierungsfunktion sicher, dass nur autorisierte Personen das WLAN nutzen. (Ende)


PresseTextLink

_______________


Identitätsklau an US-Universitäten

Online-Eindringlinge haben die Namen, Adressen und Kreditkartendaten von privaten Geldgebern des Georgia Institute of Technology, Fachbereich Künste und Theater, in Atlanta ausspioniert. Betroffen seien insgesamt 57.000 Personen, heißt es in Medienberichten. Der Identitätsdiebstahl sei in den vergangenen zwei Monaten geschehen und vergangene Woche entdeckt worden. Bislang gebe es aber noch keine Hinweise auf eine betrügerische Verwendung der gestohlenen Daten.

Nun ermitteln das Georgia Bureau of Investigations und das FBI. Die Betroffenen seien per E-Mail benachrichtigt worden. Der Einbruch in Atlanta ist der dritte Vorfall, der in den vergangenen Monaten bekannt wurde. Mitte März soll ein Student rund 55.000 Sozialversicherungsnummern aus einer Datenbank der University of Texas in Austin gestohlen haben. Im Januar wurden die Daten von 1400 Auslandsstudenten der University of Kansas ausspioniert.

HeiseLink


_________________


James Bond hackt Xbox

Bisher konnte man das Xbox-Linux nur auf einer per Modchip manipulierten Xbox abspielen. Nun soll es Hackern gelungen sein, Linux auch auf einer nicht modifizierten Xbox zu starten -- mit Hilfe des Xbox-Spiels James Bond 007 Agent im Kreuzfeuer. Wie der User Habibi_Xbox in diesem Thread des User-Forums von Xboxhacker.net erklärt, nutzt er einen Bug in der Verwaltung der Speicherstände des Spiels. Ändert man die Spielstandsdatei, so sei es möglich, einen Buffer-Overflow zu erzeugen und eigenen Code auszuführen. Um die Spielstandsdatei bearbeiten zu können, bräuchte man einen Adapter, um die Memory-Card der Xbox am PC auszulesen und verändern zu können.

Bisher sei es nur möglich, das Xbox-Linux zu starten, kopierte Spiele liefen nicht. Dazu müsse man eine gesonderte Drahtverbindung in die Xbox einlöten, um das originale BIOS flashen zu können, wie mike2225 im Forum erklärt. Das Spiel "Agent im Kreuzfeuer" sei nicht der einzige Titel mit diesem Speicher-Bug, es gäbe noch zahlreiche andere mit ähnlichen Fehlern.

Mit seiner Lösung hat Habibi_Xbox fast alle Punkte der Phase B des Xbox-Hack-Wettbewerbs erfüllt. Lindows-Gründer Michael Robertson hatte hierzu ein Preisgeld von 100.000 Dollar ausgelobt, falls es gelingt, ein Linux von einer nicht modifizierten Xbox direkt von der Festplatte oder einem USB-Dongle zu starten. Die Habibi-Lösung kommt dem sehr nahe, lediglich die nötige 007-Disc entspricht nicht ganz den Regeln


Heise Link

________________


Studie: IT-Sicherheitsexperten müssen enger mit Microsoft zusammenarbeiten


Rund 77 Prozent der IT-Sicherheitsexperten in großen Unternehmen sind der Meinung, dass Software-Produkte von Microsoft nicht sicher sind. Das ist ein Ergebnis der Studie Can Microsoft be secure? der Marktforscher von Forrester, für die sie 35 IT-Sicherheitsexperten aus Unternehmen mit einem Jahresumsatz von mindestens einer Milliarde US-Dollar befragt haben.

Sicherheitsbedenken haben die besagten drei von vier Experten aus gutem Grund -- die gleiche Anzahl hat in den vergangenen 12 Monaten Sicherheitsprobleme mit MS-Produkten gehabt: Bugbear, Code Red oder Konsorten fanden Einzug in das System oder Cracker nutzen Sicherheitslücken, um an vertrauliche Informationen zu gelangen. Dennoch benutzen 89 Prozent der Befragten weiterhin MS-Produkte.

Die Autorin der Forrester-Studie, Laura Koetzle, kritisiert: "Zu wenig Firmen kümmern sich darum, ihre Windows-Systeme zu sichern." So ergab die Studie, dass 40 Prozent der Firmen nicht planen, Sicherheitsverbesserungen vorzunehmen. Und nur 59 Prozent derjenigen, die Opfer von Sicherheitsproblemen mit ihren MS-Produkten wurden, haben daraus auch Konsequenzen gezogen. So richtet Koetzle ihre Kritik an beide Seiten: So müsse Microsoft einfachere Tools entwickeln, die ein problemloses Aufspielen von Sicherheitspatches ermöglichten. IT-Sicherheitsexperten aus den Unternehmen sollten aber gleichfalls auf das Redmonder Unternehmen zugehen und ihre Hilfe bei der Behebung von Sicherheitsproblemen anbieten anstatt Microsoft nur für Sicherheitslücken zu schelten


HeiseLink

Debatte um "totale Überwachung"

Total Information Awareness (TIA), das Datenspürprogramm des US-amerikanischen Verteidigungsministeriums, ist notwendig, um terroristische Aktion zu verhindern. Diese Meinung äußerte unter anderem die Anwältin Heather McDonald vom Manhattan Institute auf der derzeitigen Conference on Computers, Freedom & Privacy in New York. Sie hält die Kritik von Bürgerrechtlern und Datenschützern laut Medienberichten für "hysterisch".

McDonald meint, die USA solle jedes legale Mittel anwenden, um solche Ereignisse wie die vom 11. September 2001 zu verhindern. Al Qaida könne die modernsten Techniken anwenden, während die USA mit veralterter Technik auskommen müsse. Sicherheitsexperte Michael Scardaville stellt sich auf ihre Seite. Er unterstreicht, bei TIA handele es sich nicht um das "orwellsche Monster", wie es von Kritikern heraufbeschworen werde.

Doch nicht nur bei Bürgerrechtler ist das ehrgeizige Überwachungsprogramm umstritten. Im Februar haben sich US-Senat und -Abgeordnetenhaus gemeinsam dafür ausgesprochen, TIA nicht gegen die eigenen Bürger einzusetzen. Dies geschah, nachdem unter anderen der US-Senator Chuck Grassley Befürchtungen ausgesprochen hatte, die Privatsphäre der US-Amerikaner könne dem FBI offenbart werden, wenn Daten über Kontobewegungen, Telefongespräche und Internet-Sitzungen gesammelt würden. Außerdem stehen die Aktivitäten des zuständigen Information Awareness Office unter besonderer Kontrolle des US-Kongress.

Auf der Konferenz in New York sprach unter anderem die Anwältin Katie Corrigan den Gegnern von TIA aus dem Herzen. Sie meinen, das Überwachungsprogramm sei nicht akzeptabel, da nicht zu gewährleisten sei, dass die Datensammlung nicht missbraucht werde. Allerdings sei über TIA schwer zu debattieren, da die US-Regierung die Pläne weitgehend geheim halte.

Heise Link


_______________



DoS-Problem mit Apache 2.0



Die Apache-Entwickler stellen eine neue Version des Apache 2.0 bereit. In der Ankündigung warnen sie vor einem nicht näher spezifizierten Denial-Of-Service-Problem, von dem alle 2er-Versionen vor 2.0.45 betroffen seien und raten zum sofortigen Upgrade. Apache 2.045 beseitigt auch gleich ein anderes Problem, das darin besteht, dass CGI-Skripte und andere Kind-Prozesse Zugriff auf bestimmte Dateideskriptoren ihrer Erzeuger erhalten konnten.

Interessanter als das Sicherheitsproblem, von dem wohl nur wenige Produktionssysteme betroffen sein dürften, sind die Vorgänge hinter den Kulissen. Das DoS-Problem wurde von David Endler von der Firma iDefense entdeckt und an die Apache-Entwickler gemeldet. Diese stellen nun ein Update bereit, halten aber die konkreten Details zurück und verweisen lediglich darauf, dass Endler am 7. April nähere Einzelheiten zu der Sicherheitslücke veröffentlichen wird. (ju/c't)


Heise Link


__________________




RealPlayer und Quicktime sind löchrig

MÜNCHEN (COMPUTERWOCHE) - Experten warnen vor Sicherheitslücken in den Multimedia-Playern von Real Networks und Apple, RealPlayer und Quicktime. In beiden Fällen können sich Hacker Zugriff auf betroffenen Systeme verschaffen, indem sie manipulierte Daten an die Software senden. Den Spezialisten von iDefense zufolge löst bei Quicktime ein URL (Uniform Resource Locator), der mehr als 400 Zeichen enthält, einen Speicherüberlauf aus, durch den sich Schadroutinen auf betroffenen Systemen ausführen lassen. Der Fehler stecke allerdings nur in den Windows-Version 5.x und 6.0 des Players. Die Spezialisten empfehlen das Update auf Quicktime 6.1, Mac-OS-Anwender sind auch mit den älteren Versionen auf der sicheren Seite.

Vom RealPlayer sind auch Varianten für Mac OS unsicher. Neben der Version 8 für Mac OS 9 und dem RealOne Player für Mac OS X sind auch die Windows-Varianten 1 und 2 des RealOne Players, der RealPlayer 8 sowie die Enterprise-Desktop-Edition angreifbar. Angreifer können sich durch manipulierte PNG-Dateien (Portable Network Graphic) Zugang zum System verschaffen, so die Experten. Real hält bereits Updates vor, die den Fehler beheben sollen. (lex)


Computerwoche Link

US-Behörden verschlafen Sicherheitsinitiative

Verschiedene US-Bundesbehörden haben eine vier Jahre alte Aufforderung verschlafen, ihre IT-Sicherheit auf Vordermann zu bringen. Sie sollten die wichtigsten Informationssysteme und Netzwerke identifizieren, um elektronischen Attacken vorbeugen und Präventiv-Maßnahmen ergreifen zu können. Bereits 1998 hatte sich der damalige US-Präsident Bill Clinton mit einer Aufforderung an die verschiedenen Behörden gewandt, um Schritte zum Schutz gegen Online-Attacken einzuleiten.

Nach Angaben des General Accounting Office (GAO) haben alle Behörden immer noch "beträchtliche Lücken in der Sicherheit ihrer Informationssysteme, die einen Teil der Aktionen des Bundes einem großen Risiko aussetzen". In dem dieser Tage veröffentlichten Report wurden erneut Pläne und Maßnahmen festgelegt, um das Problem Sicherheit und Datenschutz der Behörden in den Griff zu bekommen. Dazu gehören etwa verstärkte Anstrengungen, um die Sicherheitsmaßnahmen der einzelnen Behörden untereinander und mit den übergeordneten Verwaltungsinstitutionen zu koordinieren. Außerdem merkte das GAO an, in der Privatwirtschaft gebe es Bedenken, dass vertrauliche Informationen, die an die Regierung gingen, möglicherweise in die Öffentlichkeit gelangen könnten: Regierungsbehörden sind unter dem Freedom of Information Act in den USA verpflichtet, auf Anfrage von Bürgern detailliert Auskunft über ihre Maßnahmen zu geben.


Heise Link

_________



Apache beseitigt Sicherheitslücke


MÜNCHEN (COMPUTERWOCHE) - Die ASF (Apache Software Foundation) hat ein Update für den Apache Web-Server 2.0 bereitgestellt. Apache 2.0.45 soll unter anderem eine Sicherheitslücke aller bislang veröffentlichten 2.0.x-Versionen beseitigen, über die Angreifer DoS-Attacken (Denial of Service) ausführen können. Das gilt jedoch nur für die Linux- und Windows-Variante, sagte die ASF. OS/2-Anwender müssen sich noch bis zur Version 2.0.46 gedulden, um den Bugfix nachgeliefert zu bekommen.

Entdeckt wurde die Lücke von David Endler, Sicherheitsexperte bei iDefense. Bislang sind keine Details über den Bug bekannt. Endler will ein ausführliches Security-Advisory Anfang nächster Woche publizieren. (lex)


ComputerWoche Link

Sicherheitslücke in allen stabilen Samba-Versionen

Samba 2.2.8a schließt die Sicherheitslücke


Digital Defense hat eine kritische Sicherheitslücke in der Netzwerksoftware Samba entdeckt. Diese findet sich in allen derzeit stabilen Samba-Versionen bis einschließlich 2.2.8.

Richtig ausgenutzt erlaubt es diese Sicherheitslücke einem Angreifer, Root-Rechte auf einem betroffenen System zu erlangen. Entsprechende Patches liegen bereits vor und sind sowohl für Samba 2.2.8, Samba 2.2.7a als auch für Samba 2.0.10 erhältlich. Zur aktuellen Version ist zudem ein Update auf 2.2.8a verfügbar.

Aktuelle Alpha-Versionen von Samba 3.0 sind nicht verwundbar.

Bedenkliche Datenwanderung bei Internet-Anbietern

Mit den Zugangsdaten von amazon.de oder ebay.de kann man sich problemlos auch auf den amerikanischen oder englischen Seiten der Unternehmen einloggen. Was auf den ersten Blick nach Kundenfreundlichkeit aussieht, ist aus Datenschutzgründen mehr als bedenklich, schreibt iX in seiner aktuellen Ausgabe 5/2003. "Wir geben Kundenkonten und persönliche Daten über Kunden bekannt, wenn wir hierzu gesetzlich verpflichtet sind (...)". Diese Erklärung findet man neuerdings beispielsweise in der Datenschutzerklärung von Amazon. Damit informiert Amazon seine Kunden erstmals über die Tatsache, dass Daten aus einem Rechtsverhältnis zwischen einem deutschen Kunden mit einer deutschen GmbH uneingeschränkt und ohne wirksame rechtliche Kontrolle von amerikanischen Behörden eingesehen werden können.

Die Weitergabe von Daten in den USA, die über keinen entsprechenden Schutzstandard verfügen und nicht einmal ein nationales Datenschutzgesetz kennen, war von jeher problematisch. Das Ende 2000 geschlossene Abkommen zwischen der EU und den USA, nach dem sich auch amerikanische Unternehmen an EU-Datenschutzrichtlinien orientieren sollten (safe harbor), war in den USA bereits recht umstritten und wurde nach den Anschlägen vom 11. September 2001 weitgehend hinfällig. Die "öffentliche Sicherheit" und die Abwehr von Terrormaßnahmen haben seitdem Vorrang vor dem Schutz der Daten einzelner. Mit der Verabschiedung des Patriot Act (Provide Appropriate Tools Required to Intercept and Obstruct Terrorism) wurden die Bürgerrechte zugunsten staatlicher Überwachung weitgehend eingeschränkt.

Und so werden jetzt nicht nur Daten von Flugzeugpassagieren an amerikanische Behörden weitergegeben, auch Daten von Amazon, Ebay und Co. werden zu potenziellen Zielen von Strafverfolgungsbehörden auf Terroristenjagd. Denn neben den zur Abrechnung notwendigen Informationen wie Adresse und Bestellung gibt es hier begehrliche Daten über Vorlieben der Nutzer, etwa die Bücher, die sich diese im Angebot angesehen haben. "Zwar versicherte Amazon, dass kundenbezogene Daten in höchstem Maße geschützt seien, doch es bleibt ein mulmiges Gefühl", schreibt die iX-Redaktion. "Aufgrund des enormen Gefälles in der Qualität des Schutzes personenbezogener Daten zwischen Deutschland und den USA sollte man sich gut überlegen, in welche Hände man welche persönlichen Daten gibt."

Einen ausführlichen Bericht über die Problematik mit den persönlichen Nutzer-Daten bei Internet-Anbietern mit US-amerikanischen Mutterhäusern bringt iX in Ausgabe 5/2003 (ab Donnerstag, den 10. April, im Handel) auf S. 96. (jk/c't)

HeiseLInk
____________________



Alien-Jäger warnen vor Sicherheitslücke


Seti-Bildschirmschoner von Buffer-Overflow bedroht

Berkeley (pte, 7. Apr 2003 11:21) - Die Alien-Jäger des Seti@home-Projekts warnen vor einer Sicherheitslücke in ihrem Bildschirmschoner für die Suche nach Außerirdischen. Die Mitarbeiter des an der Universität von Berkeley beheimateten Projekts, empfehlen ein Update auf die Version 3.08 des Bildschirmschoners, da bei früheren Versionen des Clients die Möglichkeit zu Buffer-Overflow-Angriffen besteht. Nach Angaben von Seti@home ist kein erfolgreicher Angriff auf diese Sicherheitslücke bekannt. http://setiathome.ssl.berkeley.edu/version308.html

Das Seti-Projekt greift auf die ungenutzte Rechenkapazität von Computern zu, um Radiosignale aus dem Weltall auf Zeichen von intelligenten Lebens zu durchsuchen. Mit der jetzigen Sicherheitslücke könnte ein Angreifer Zugriff auf den PC des Benutzers erhalten. Allerdings muss der Angreifer den Client dazu veranlassen, einen falschen zu Server zu kontaktieren. Ein Download für den neuen Client steht bereits zur Verfügung. Genauere Informationen zur Sicherheitslücke finden sich unter http://spoor12.edup.tudelft.nl (Ende)

PresseTExt Link
__________________________



Angriffe im Internet nehmen zu



ISS: Exploits kommen immer schneller

Atlanta (pte, 8. Apr 2003 09:11) - Laut dem Sicherheitsunternehmen Internet Security Systems (ISS) http://www.iss.net hat im ersten Quartal 2003 die Anzahl von sicherheitsrelevanten Vorfällen im Internet dramatisch zugenommen. Wie ISS in seinem Bericht "Internet Risk Impact Summary" für das ersten Quartal 2003 mitteilte, wurden in den vergangenen drei Monaten mehr als 160,57 Mio. sicherheitsrelevanter Ereignisse registriert. Mehr als zehn Mal soviel wie im vorangegangenen Untersuchungszeitraum. Gleichzeitig identifizierte das Unternehmen 2.551 Angriffe über das Internet, eine Zunahme von 36,6 Prozent gegenüber dem letzten Quartal 2002. Der Bericht wurde von der X-Force, einer Forschungsabteilung des Unternehmens erstellt. http://www.iss.net/issEn/delivery/prdetail.jsp?type=&oid=22158

Die dramatische Zunahme in sicherheitsrelevanten Ereignissen ( z.B. Scanns von Unternehmensnetzwerken auf Schwachstellen) wurde vor allem durch das vermehrte Auftreten von Würmern und kombinierten Angriffen verursacht. "Die große Zunahme an sicherheitsrelevanten Ereignissen und Würmern kündigen ein herausforderndes Jahr für Sicherheitsexperten und IT-Administratoren an", erklärte Chris Rouland, Direktor der X-Force von ISS.

Im selben Zeitraum nahm das Unternehmen 606 neue Sicherheitslücken in seine Datenbank auf. Von diesen wurden 156 als hoch gefährlich, 341 mittel und 109 als wenig gefährlich eingestuft. Ein leichter Rückgang gegenüber den letzten drei Monaten im Jahr 2002 als 644 Sicherheitslücken gefunden wurden. Allerdings haben die Mitarbeiter der X-Force festgestellt, dass Hacker immer schneller ihre Exploits schreiben. So eine "Zero-Day-Attack" wurde unter anderem bei der WebDAV-Sicherheitslücke in Microsofts Internet Information Server festgestellt. Siehe auch pte-Meldung: http://www.pte.at/pte.mc?pte=030318038
Der Report ist unter https://gtoc.iss.net/documents/summaryreport.pdf verfügbar. (Ende)


PresseTExt LInk

Trügerische Sicherheit bei deutschsprachigen Servern

Sicherheitsexperten der französischen Firma Exaprobe weisen darauf hin, dass viele Security-Scanner Sicherheitslücken nicht entdecken, wenn die getesteten Dienste in einer nicht-englischen Version laufen. Das Gefährliche daran: Während die Administratoren sich in Sicherheit wiegen, weil beim letzten Security-Scan alles im grünen Bereich war, funktionieren manche Exploits auch mit den sprachlich angepassten Versionen der Software. Die Autoren des Advisories zeigen dies anhand der Verwundbarkeit mancher SQL-Server-Installationen, die für den Administrator-Zugang "sa" ein leeres Passwort akzeptieren. Fünf der sechs getesteten Security-Scanner ließen sich von der fremden Sprache in die Irre führen und meldeten kein Sicherheitsproblem. Der Wurm SQLSpida (alias SQLSnake) hingegen konnte das Loch auch in diesen Versionen ausnutzen.

Diese Sicherheitslücke im SQL-Server ist jedoch eher untypisch. Die meisten Sicherheitslöcher in Server-Diensten beruhen auf Buffer-Overflows. Da es bei deren Ausnutzung darauf ankommt, bestimmte Adressen im Speicher recht exakt zu treffen, sind angepasste Programmversionen gegen die Standard-Exploits häufig immun -- das heißt, der Server-Prozess stürzt zwar ab, aber der Exploit-Code kommt nicht zur Ausführung. Trotzdem weist Exaprobe natürlich zu Recht darauf hin, dass es notwendig sei, die Security-Scanner auf länderspezifische Eigenheiten anzupassen, damit sich auch Anwender nicht-englischsprachiger Software auf die Ergebnisse solcher Tests -- die häufig sogar für viel Geld gekauft werden -- verlassen können. (ju/c't)

HeiseLink

_______________



IT-Bürgerrechtsgruppe zeichnet die "dümmsten Sicherheitsmaßnahmen" aus



And the winners are...

Washington (pte, 9. Apr 2003 14:25) - Die Aktivisten der Menschenrechtsgruppe Privacy International haben die Gewinner ihres "Most Stupid Security Measure"-Wettbewerbs vorgestellt. Der Wettbewerb wurde im vergangenen Februar gestartet und sollte die unnötigsten Sicherheitsmaßnahmen der Welt finden. Insgesamt wurden 5.000 "Teilnehmer" aus 35 Staaten genannt. Die Nennungen kamen aus allen Teilen der Wirtschaft wie dem Transportwesen oder der Telekomindustrie sowie den Behörden. Privacy International befasst sich vor allem mit den Sicherheitsaspekten und dem Schutz der Privatsphäre im IT-Bereich. Der Wettbewerb wurde als Reaktion auf die Überhandnahme von Sicherheitsmaßnahmen gestartet, die nach Meinung der Gruppe nutzlos, ärgerlich, illusorisch, zudringlich oder einfach nur dumm sind. http://www.privacyinternational.org/activities/stupidsecurity/ss-pr.html

"Die außergewöhnlich hohe Anzahl von Nennungen zeigt, dass die Situation schon ans Lächerliche grenzt", erklärte Simon Davis, Direktor von Privacy International. "Sicherheit ist zum Rauchschleier geworden, hinter dem sich die Inkompetenz vieler Manager verbirgt." Vergeben wurden die "Preise" von einem "angesehenen internationalen Gremium von Sicherheitsexperten", heißt es auf der Homepage der Gruppe.

Zum Gesamtsieger wurde die australische Regierung mit ihrer Sammlung an "nutzlosen, irritierenden und selbstgerechten Sicherheitsmaßnahmen" ernannt. Weitere "Preisträger" sind die Flughäfen Philadelphia und JFK, T-Mobile Großbritannien, das San Francisco General Hospital sowie die Universität von Texas. (Ende)


PresseText Link


_______________



Kabinett beschließt Gesetzentwurf zum Schutz vor Dialern



Verbraucher erhalten Auskunftsrecht zu 0190er-/0900er- Mehrwertdiensterufnummern


Das Bundeskabinett hat in seiner heutigen Sitzung den Gesetzentwurf zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern beschlossen. Der Gesetzentwurf soll Transparenz bei Angeboten von 0190er- und 0900er-Mehrwertdiensterufnummern schaffen und dem Verbraucher eine bessere Handhabe geben, gegen den Missbrauch dieser Nummern vorzugehen.

Gemäß dem Gesetzentwurf werden Preisobergrenzen eingeführt, die bei maximal 3,- Euro pro Minute respektive 30,- Euro pro Einwahl liegen. Zudem sieht der Gesetzestext vor, dass nach der Nutzung von einer Stunde die Verbindung beendet werden muss. Damit soll das Risiko verringert werden, durch ein missbräuchliches Angebot solcher Nummern einen übermäßig hohen Geldbetrag entrichten zu müssen.

Künftig erhält der Verbraucher einen Auskunftsanspruch gegenüber der Regulierungsbehörde für Telekommunikation und Post, um Informationen zu erhalten, was für ein Anbieter sich hinter einer 0190er-Mehrwertdiensterufnummern verbirgt. Die seit dem 1.1.2003 eingeführten 0900er-Mehrwertdiensterufnummern werden in einer Datenbank im Internet veröffentlicht. Bei der Werbung für 0190er-/0900er-Mehrwertdiensterufnummern muss der Preis für die Nutzung deutlich genannt werden. Diese Pflicht zur Preisansage gilt nach Ablauf einer Übergangsfrist von einem Jahr auch für Anrufe aus Mobilfunknetzen.

Bei gesicherter Kenntnis von einer rechtswidrigen Nutzung einer Nummer kann die Regulierungsbehörde diese entziehen. Dialer müssen künftig vor ihrer Inbetriebnahme bei der Regulierungsbehörde separat registriert werden. Zudem dürfen die 0190er-/0900er-Mehrwertdiensterufnummern ungekürzt gespeichert werden und entsprechend auf dem Einzelverbindungsnachweis erscheinen, was die Transparenz für den Verbraucher erhöhen soll. Das Gesetz bedarf noch der Zustimmung des Bundesrates.

Wolfgang Clement (SPD), der Bundesminister für Wirtschaft und Arbeit, kommentierte das Gesetz folgendermaßen: "Mit dem neuen Gesetz haben wir ein schlagkräftiges Instrument geschaffen, mit dem seit einiger Zeit herrschenden Missbrauch von Mehrwertdiensterufnummern aufzuräumen. Das ist unsere Politik für den Verbraucher."

GolemLink

Schweres Sicherheitsleck in Microsofts Java Virtual Machine

Patch behebt auch frühere Sicherheitslücken


Auf Grund eines weiteren Sicherheitslochs in der Java Virtual Machine von Microsoft veröffentlichte der Hersteller nun einen Sammel-Patch, der auch alle kürzlich veröffentlichten Sicherheits-Updates umfasst. Die neue Sicherheitslücke erlaubt es einem Angreifer, Daten zu verändern, Programme auszuführen oder die Festplatte zu formatieren.

Das Sicherheitsleck in Microsofts Java Virtual Machine tritt in der ByteCode-Verifier-Komponente auf, weil diese nicht korrekt die Präsenz von schädlichem Programmcode beim Laden eines Java-Applets überprüft. Über ein entsprechend formatiertes Java-Applet kann ein Angreifer dieses Sicherheitsleck ausnutzen, wozu das Applet von einer Webseite geladen werden muss. Dann erhält der Angreifer die Möglichkeit, seine Webseite auf einer anderen Website abzulegen oder diese per E-Mail zu versenden. Auf dem betreffenden System lassen sich dann über das Sicherheitsloch Daten verändern, Programme ausführen oder sogar Festplattenlaufwerke formatieren.

Der Patch für die Java Virtual Machine steht ab sofort für Windows 2000 per Download bereit. Alle übrigen Systeme müssen über das Windows-Update aktualisiert werden. Die Virtual Machine ist Bestandteil von Windows ab der Version 95 sowie dem Internet Explorer.

Alternativ zur Virtual Machine von Microsoft kann auch die Java Virtual Machine von Sun verwendet werden, die dieses Sicherheitsleck nicht aufweist.

GolemLink

______________________


WLAN wird zum Sicherheitsrisiko für deutsche Unternehmen


WLAN hebelt in vielen Unternehmen etablierte Sicherheitsniveaus aus


Eine Mehrzahl der größeren deutschen Unternehmen nutzt bereits die WLAN-Technologie oder plant deren Einsatz. Aber nur eine Minderheit ist sich über die Sicherheitsrisiken im Klaren. Nicht einmal die Hälfte der Unternehmen, die WLAN einsetzen, sorgt für einen ausreichenden Schutz des Funknetzes. Das sind Ergebnisse der Studie "WLAN - ein Paradies für Hacker?" der Ernst & Young IT-Security GmbH. Basis der Studie ist eine repräsentative Umfrage unter deutschen Unternehmen. Zusätzlich wurden Unternehmens-Funknetze in sieben deutschen Großstädten untersucht.

Während die Mehrzahl der deutschen Unternehmen inzwischen für einen grundsätzlichen Schutz ihrer kabelgebundenen Netzwerke sorgt, ist das Sicherheitsbewusstsein beim Thema WLAN nach Angaben der Studienautoren vielfach mangelhaft: Die Vertraulichkeit von Informationen sei bei der Mehrheit der Unternehmen nicht gewährleistet. 52 Prozent der befragten Unternehmen nutzen entweder gar keine Verschlüsselung oder verlassen sich auf die unzureichende WEP-Verschlüsselung. Nur 48 Prozent der WLAN wenden weitergehende Verschlüsselungsmechanismen an.

"Der Vorteil eines WLAN ist zugleich auch sein größter Nachteil: Funkwellen können sich offen ausbreiten und lassen sich nur schwer auf einen bestimmten Bereich begrenzen", bemerkte Hans-Georg Büttner, Autor des Reports und zuständig für den Bereich IT-Netzwerksicherheit bei der Ernst & Young IT-Security GmbH. "Für WLAN-Hacking muss man kein Spezialist sein. Die notwendige Software ist frei im Internet verfügbar, die Hardware für wenige Euro erhältlich."

Neben der zumeist mangelhaften Verschlüsselung gebe es weitere Probleme: WLAN geben Auskunft über Hersteller von Hardware-Komponenten, verraten den Netzwerknamen oder sogar den Namen des Unternehmens. Grundsätzlich sollten WLAN möglichst keine Informationen über die Hersteller preisgeben, weil dies geübten Hackern einen ersten Ansatzpunkt für eine Attacke bietet. Zudem lasse ein hoher Prozentsatz der Anwender die Kennwörter aus der Grundeinstellung unverändert - eine Eintrittskarte für ungebetene Gäste, so die Studie.

Die Leichtigkeit des systematischen Angriffs auf WLAN (beispielsweise "WarDriving" und weitergehende Hackermethoden) müsste eigentlich besondere Sicherheitsmaßnahmen erzwingen: "Wer sein WLAN nicht ausreichend schützt, sollte sich im Klaren darüber sein, dass dies vergleichbar ist mit dem öffentlichen Auslegen einer beliebigen Anzahl von Hausschlüsseln für die Eingangstür zum Unternehmen", betonte Marcus Rubenschuh, Bereichsleiter Information Security bei der Ernst & Young IT-Security GmbH. Das mangelnde Sicherheitsbewusstsein bei vielen Unternehmen sei umso erstaunlicher, als mindestens die Hälfte der befragten Unternehmen bereits Opfer von Hackern wurde - und die Dunkelziffer groß sei.

Etwa zwei Drittel der befragten Unternehmen haben bereits ein WLAN im Einsatz oder planen seine Einrichtung. Doch die Mehrzahl der Unternehmen, die diese Technik nutzen, vergessen dabei, ihre Sicherheitsstandards der neuen Technik anzupassen. Zahlreiche Unternehmen ergreifen zwar einzelne Maßnahmen zur Sicherung ihrer Netzwerke, vergessen oder übersehen aber Teilaspekte und erzeugen so unwissentlich massive Sicherheitsprobleme.

Insgesamt behandeln viele IT-Verantwortliche das Thema WLAN innerhalb ihrer generellen Sicherheitsstrategie eher stiefmütterlich. Bei der Mehrzahl der befragten Unternehmen enthalten die Regelungen zur Netzwerksicherheit keine speziellen Regelungen zum WLAN. Darüber hinaus verzichten die meisten Unternehmen darauf, eine Firewall zwischen WLAN und LAN zu schalten. Und bei der regelmäßigen Überprüfung der Netzwerksicherheit wird bei immerhin einem Fünftel der Befragten das WLAN nicht berücksichtigt.

GolemLink

_______________________


Bundesregierung pocht auf Kontrolle neuer IT-Sicherheitsschnittstellen


Die Bundesregierung hat erste Bedingungen für den Einsatz der geplanten Palladium-Software Microsofts in den eigenen Reihen aufgestellt. "Unverzichtbare Voraussetzung" für den Einsatz der 'Next Generation Secure Computing Base' (NGSCB) in der Bundesverwaltung "ist die vollständige Kontrolle über alle vorgesehenen Sicherheitsmechanismen und Schnittstellen", heißt es in der Antwort auf die Kleine Anfrage der CDU/CSU-Bundestagsfraktion zu der TCPA (Trusted Computing Platform Alliance) beziehungsweise der neu gegründeten Trusted Computing Group (TCG). Dies bedeute insbesondere, dass Software mit Palladium-Funktionen von der Bundesverwaltung verifiziert werden müsse. Spezielle Vorteile für E-Government-Anwendungen sieht man in Berlin jedoch bislang nicht aus den Bemühungen der Hard- und Softwarehersteller um mehr Sicherheit erwachsen.

Noch liegen der Bundesregierung so gut wie keine handfesten Erkenntnisse über die Auswirkungen von TCPA und Palladium auf künftige IT-Welten vor. Die 26 Fragen der Union werden in dem sechsseitigen Antwortschreiben, das heise online vorliegt, daher eher knapp und mit vielen Verweisen auf eine bereits erfolgte Stellungnahme des Wirtschaftsministeriums abgehandelt.

So heißt es etwa schwammig, dass eine Zertifizierung von potenziell auf den beiden Sicherheitsplattformen beruhenden und bei der ISO registrierten Standards durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder jede anerkannte Prüfstelle erfolgen könne. Noch unklar sei allerdings das spätere Verhältnis zwischen der entsprechenden TCPA-Zulassung und der Microsoft-Lizenzierungspolitik für Soft- und Hardwareanbieter. "Probleme können sich ergeben, wenn hierdurch Marktzutrittsschranken errichtet werden", warnt die Regierung. Hierzu gebe es derzeit aber "noch keine gesicherten Aussagen der Beteiligten."

Man sei sich bewusst, heißt es in der Bundestagsdrucksache (Nr. 15/660), "dass die Anbieter urheberrechtlich geschützter digitaler Inhalte eine deutliche Verbesserung der Durchsetzbarkeit ihrer Nutzungs- und Verwertungsrechte von der neuen Technologie erwarten." Die Entwicklung müsse aber erst zeigen, "ob diese Technologie vom Markt angenommen wird und sich damit die Hoffnungen der Anbieter erfüllen."

Insgesamt durchziehen die Antwort der Bundesregierung zahlreiche Bedenken gegenüber TCPA und Palladium. Von einer wahrscheinlichen Verteuerung der IT-Technologie ist nach wie vor die Rede. Die Kompatibilität mit Open-Source-Software, die auch von der Bundesverwaltung verstärkt eingesetzt wird, stehe in Frage. "Nicht unproblematisch" erscheine die neue Technik zudem, wenn technische Schutzmechanismen zum Ausspionieren der Anwender missbraucht würden. Die Regierung will daher "eingehend prüfen, ob hier über die bestehenden Regelungen insbesondere des Teledienstedatenschutzgesetzes hinaus zusätzliche gesetzgeberische Maßnahmen erforderlich sind." Ferner sehen die Experten aus den Ministerien die Gefahr, dass der Umgang mit Dokumenten auf einem Rechner künftig "ausschließlich gemäß den Vorgaben der externen Kontrollinstanz zulässig sein könnte und somit eine sehr weitgehende Zensur ermöglicht werden könnte"- Bewusst sind sie sich auch, "dass bislang nur wenige deutsche Unternehmen Mitglied in der TCPA sind und dass dieser Zusammenschluss von US-Unternehmen dominiert wird." Dies sei "industrie- und sicherheitspolitisch" bedeutsam.

Das Bundeswirtschaftsministerium plant nun, noch im Frühsommer ein Symposium zu veranstalten, auf dem unter anderem die Auswirkungen von TCPA/Palladium auf die deutsche Wirtschaft umfassend behandelt werden. Der Internet-Beauftragten der CDU, Martina Krogmann, gehen die Erkenntnisbemühungen der Bundesregierung jedoch nicht weit genug: "Die Antworten sind wirklich sehr dürftig dafür, dass eine Projektgruppe der Regierung mit 17 Mitarbeitern seit über neun Monaten an der Thematik arbeitet", merkte die Mitinitiatorin der Anfrage gegenüber heise online an. Sie will TCPA und Palladium im Unterausschuss Neue Medien auf die Tagesordnung bringen, um "negative Folgewirkungen rechtlicher, datenschutzrelevanter und wirtschaftlicher Art so gering wie möglich zu halten." (Stefan Krempl) / (jk/c't)


HeiseLink

Kein einstweiliger Rechtsschutz gegen Spam


Für große Überraschung und Verärgerung hatte im März ein Beschluss des Landgerichts Düsseldorf gesorgt. Dieses hatte einen Antrag auf Erlass einer einstweiligen Verfügung gegen den Versender von unerwünschten Werbe-E-Mails abgewiesen. Begründet hatte das Gericht seine Entscheidung damit, dass nicht jede Spam-Mail automatisch rechtswidrig sei, wenn diese "nach ihrem Inhalt lediglich einen vorstellenden Charakter des Leistungsangebots" habe. Diese Entscheidung stand im Widerspruch zu dem überwiegenden Teil der bisherigen Rechtsprechung.

In dieser Angelegenheit hat nunmehr auch das Oberlandesgericht Düsseldorf per Beschluss (Aktenzeichen: I-15 W 25/03) entschieden. Der Einschätzung der Vorinstanz hinsichtlich der Rechtswidrigkeit von unerwünschten Werbe-Mails mochten sich die Düsseldorfer Richter nicht anschließen und ließen diese Frage in dem Beschluss ausdrücklich offen.

Im Ergebnis bestätigte das OLG jedoch die Ablehnung der Verfügung. Dies begründet die Kammer damit, dass unerbetene Werbe-E-Mails "mit einem einzigen Klick" entfernt werden können, sodass die Beeinträchtigung für den Empfänger nicht gravierend sei. Der Rechtsschutz im Eilverfahren setze jedoch voraus, dass für den Antragsteller schwerwiegende Nachteile drohen, die das Gericht in diesem Fall nicht annehmen wollte.

Ob sich andere Gerichte dieser Rechtsprechung anschließen, bleibt abzuwarten. Die bisher ganz überwiegende Zahl der Urteile im Bereich der E-Mail-Werbung ergingen im Verfügungsverfahren. Für die Empfänger von Spam bleibt allerdings nach wie vor die Möglichkeit, ihre Ansprüche auf Unterlassung auf dem normalen Gerichtsweg geltend zu machen. Dies hat jedoch den Nachteil, dass bis zu einem Urteil oftmals viele Monate vergehen, während in den Eilrechtsschutzverfahren in aller Regel eine Entscheidung innerhalb weniger Wochen zu erreichen ist.

Auch der Heise Zeitschriften Verlag, der c't, iX und Telepolis herausgibt sowie heise online betreibt, führt derzeit ein Musterverfahren gegen einen Spammer vor dem Amtsgericht Hannover. Eine Entscheidung in dieser Sache ist für den kommenden Montag, den 14. April 2003, angekündigt. (Joerg Heidrich) (jk/c't)


HeiseLink

Sicherheitslücke im PDF/PS-Handling von KDE

Die KDE-Entwickler haben ein Advisory veröffentlicht, das eine Sicherheitslücke im PDF- und Postscript-Handling des Unix/Linux-Desktops beschreibt. Für den Umgang mit PDF- beziehungsweise Postscript-Dateien setzt KDE auf Ghostscript-Software. Durch Ausnutzen eines Lecks können Angreifer Befehle, die in den PDF-Dateien enthalten sein können, mit den Rechten und unter dem Account des lokalen Anwenders ausführen lassen. Dazu muss ein Angreifer dem Nutzer ein PDF- oder Postscript-File unterschieben, das die entsprechenden Befehle enthält. Öffnet der Anwender diese Datei (auch in der automatischen Datei-Vorschau), ist es nach Angaben der KDE-Entwickler für den Angreifer möglich, zum einen private Daten des Nutzers auszulesen und Shell-Kommandos mit den Rechten des lokalen Anwenders auszuführen.

Das KDE-Team hat Updates für die Desktop-Software herausgegeben, die das Problem korrigieren. Die Entwickler empfehlen dringend, auf die Versionen 3.1.1a beziehungsweise 3.0.5b zu aktualisieren. Für die Version 2.2.2 hat das KDE-Team Patches herausgegeben; auf dem ftp-Server finden sich auch Patch-Files für Version 3.05 und 3.1.1. Für Binär-Dateien der neuen KDE-Versionen verweisen die Entwickler auf die einzelnen Linux-Distributoren; für Debian, SuSE und TurboLinux liegen entsprechende Pakete bereits auf den Mirror-Servern des KDE-Projekts bereit. (jk/c't)


HeiseLink



______________



Security-Appliance-Markt im Vormarsch



IDC: Wachstum von 15 Prozent im vierten Quartal

Framingham (pte, 10. Apr 2003 17:25) - Der Markt für IT-Sicherheits-Anwendungen befindet sich auf Wachstumskurs. Laut einer heute, Donnerstag, von IDC http://www.idc.com veröffentlichten Studie sind die Umsätze dieses Geschäftsbereiches im vierten Quartal 2002 im Vergleich zum Vorquartal um 15 Prozent oder 46 Mio. Dollar auf 355 Mio. Dollar angewachsen. Dominiert wird das Geschäft nach wie vor von Firewalls bzw. VPNs (Virtual Private Networks), die rund 90 Prozent des Umsatzes ausmachen.

Der Teilbereich "Network Intrusion Detection" (Aufspüren von Hackerangriffen) wuchs in Q4 gar um 19 Prozent. "Unternehmen sehen in Sachen Sicherheit ihren Grundstein noch immer bei Sicherheitsanwendungen wie Firewalls oder VPNs", so IDC-Sicherheits-Analyst Charles Kolodgy. Im vierten Quartal konnte Cisco seine Position als Nummer eins weiterhin behaupten. Der Marktanteil lag bei 37,4 Prozent. Dahinter folgen Nokia (15,9 Prozent) und Netscreen (zwölf Prozent), dessen Umsätze im Vergleich zu Q3 mit 31,7 Prozent am stärksten wuchsen. (Ende)


PresseText Link

OpenBSD mit neuem Sicherheitskonzept

Die für den 1. Mai angekündigte neue Version 3.3 des freien Unix-Derivats OpenBSD will den Buffer Overflows, einer wichtigen Ursache für Software-Sicherheitsprobleme, den Garaus machen. Eine Kombination von Maßnahmen soll es praktisch unmöglich machen, Programmschwächen bei der Prüfung von Eingabedaten dazu auszunutzen, um fremden Code in den Speicher des Programms zu schmuggeln und durch Überschreiben der Rücksprungadresse einer Funktion auszuführen. Details dazu finden sich in dem c't-Artikel Das Sicherheitsloch -- Buffer-Overflows und wie man sich davor schützt.

Der so genannte ProPolice-Stackschutz implementiert die StackGuard-Methode. Dabei handelt es sich um einen gcc-Patch, der dafür sorgt, dass ein Überschreiben der Rücksprungadresse auf dem Stack bemerkt wird. Eingeschmuggelter Fremdcode lässt sich so nicht mehr anspringen. Zudem kommt "W^X" (Writeable xor eXecutable) in der Version 3.3 von OpenBSD auf einigen Prozessorarchitekturen zum Einsatz (Sparc, Sparc64, Alpha und HP-PA; i386 soll mit der Version 3.4 folgen): Das Beschreiben von Speicherseiten und das Auführen von Code in diesen Speicherseiten schließen sich gegenseitig aus. So soll es Angreifern unmöglich gemacht werden, eigenen Code in den Speicher zu bringen und auszuführen.

Die Arbeit an den neuen Schutzkonzepten wird unter anderem mit Geldern des US-Verteidigungsministeriums finanziert. Die OpenBSD-Entwickler rühmen sich der hohen Sicherheit ihres Betriebssystems: Bislang will ihnen in der Default-Installation nur eine einzige von außen angreifbare Sicherheitslücke durchgerutscht sein; zur Geschichte von OpenBSD und der anderen Unix-Derivate auf Basis der 4.4BSDLite-Linie siehe auch den Artikel Das Allerwelts-Unix: 10 Jahre NetBSD. (odi/c't)


HeiseLInk


______________



Honeynet: Know Your Enemy, Generation II




Lance Spitzner, Gründer des Honeynet-Projekts hat die neue Generation der Honeynet-Software veröffentlicht. Honeynet stellt die klassische "Honig"-Falle dar: Im Rahmen des Projekts stellen die Beteiligten bewußt Server ins Netz, die markante Sicherheitslücken aufweisen, und behalten diese genau im Auge. Über die Art der Angriffe, mit denen Hacker in diese Rechner eindringen, lernen die Sicherheitsexperten die neuen Angriffstechniken und können so bessere Abwehrmaßnahmen ergreifen.

Die neue Generation der Software führt ein paar Verbesserungen ein, die es Angreifern noch schwieriger machen soll, die Falle zu erkennen oder gar zu umgehen. Unter anderem wurde das darunterliegende Linux so modifiziert, dass von Angreifern nachträglich eingebaute Verschlüsselung nicht mehr greift. Außerdem wurden Routinen implementiert, die verhindern sollen, dass ein Rechner im Honeynet für einen Angriff auf andere Rechner missbraucht wird, beispielsweise als so genannter Slave für einen Distributed-Denial-of-Service-Angriff. Alle Pakete, die ein Angreifer an andere Rechner schickt, werden um ein Byte modifiziert, sodass der Angriff fehlschlagen muss.

Enthalten ist nun auch eine Spoofing-Funktion; ein Rechner im Honeynet kann so ein ganzes Netzwerk simulieren. In einem Dokument beschreiben die Honeynet-Entwickler im Detail die Funktionsweise der neuen Version. Für die Zukunft plane man, eine CD-ROM herauszubringen, die die einfache Installation eines Honeynet ermöglicht. (pab/c't)


HeiseLink


___________



US-Senatoren wollen Anti-Spam-Gesetz




Erfolg der Maßnahme wird bezweifelt - Keine Klagebefugnis für Betroffene

Washington D.C. (pte, 14. Apr 2003 09:05) - Zwei US-Senatoren haben neuerlich ein Anti-Spam-Gesetz beantragt. Gegenwärtig gibt es Gesetze mit dem Ziel der Einschränkung unverlangter Werbemails in 27 US-Bundesstaaten. Der Republikaner Conrad Burns http://burns.senate.gov aus Montana und sein Demokratischer Kollege Ron Wyden aus Oregon wünschen sich ein Bundesgesetz, das Spam-Versender verpflichtet, eine gültige Absenderadresse anzugeben. Außerdem sollen die Absender Bitten um Streichung einzelner Adressen aus den Datenbanken nachkommen müssen.

In diversen Online-Foren wird der Entwurf der beiden Abgeordneten für ein Anti-Spam-Bundesgesetz als wenig effektiv kritisiert. Die vorgeschlagenen Bestimmungen wären etwa mit einem Gesetz vergleichbar, dass Einbrecher verpflichtete, Visitkarten zu hinterlassen und auf Aufforderung nicht erneut im gleichen Haus zuzuschlagen, meinte etwa ein User. Außerdem bemängeln manche eher wehrhafte Spam-Empfänger, dass nach dem neuen "CAN-SPAM" genannten Gesetzesentwurf nur Generalstaatsanwälte der Bundesstaaten zur Verfolgung der Gesetzbrecher berechtigt sind. Daneben kann auch die Federal Trade Commission Strafen verhängen, die Belästigten können jedoch selbst keine Klagen führen.

Die neuen Regelungen würden es Internet Service Providern gestatten, Spam-Filter einzusetzen. Wyden und Burns haben bereits in der vorangegangenen Senats-Periode ein Anti-Spam-Gesetz entworfen und auch in dieser Gesetzgebungsperiode schon einen Anlauf gestartet. Ihr Vorschlag hatte zwar zu einem einstimmigen Beschluss im Wirtschaftsausschuss, nicht aber zu einem Gesetz geführt. "Es ist an der Zeit, etwas zu unternehmen. Das Gesetz ist zu lange aufgehalten worden", so Burns.



PresseTextLink

RSA: Microsoft integriert Viren- und Spam-Filter in Windows, Office und Exchange

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat auf der Fachmesse RSA Conference 2003, die diese Woche in San Francisco stattfindet, Funktionen vorgestellt, mit denen sich Anwender der Versionen 2003 von Windows, Office und Exchange Server gegen Viren und Spam schützen können.

Bei der "Windows Filter Manager Architecture" handelt es sich um ein Set von APIs (Application Programming Interfaces), über die sich Basisfunktionen von Antivirensoftware ansteuern lassen. Dadurch lässt sich definieren, auf welche Weise die Anwendungen zum Beispiel Festplatten prüfen sollen, sagte Jonathan Perera, Chef der Security Business Unit bei Microsoft. das Konzept sei ähnlich dem von Druckertreibern. Während diese früher von den Herstellern mitgeliefert wurden, sind sie nun standardmäßig in Windows integriert, so Perera. Dadurch sollen Antivirenanbieter die Möglichkeit haben, neue Produkte schneller auf den Markt zu bringen. Ein weiterer Vorteil sei, dass sich mehrere Virenscanner parallel betreiben lassen. Dies verursache Probleme, wenn Software mit herstellerspezifischen Schnittstellen eingesetzt wird.

Exchange Server 2003 soll um Funktionen erweitert werden, die unerwünschte Mails filtern. Laut Produkt-Manager Edward Wu können Administratoren Regeln definieren, über die sich Mails in das Postfach des ursprünglichen Adressaten oder in einen speziellen Ordner leiten lassen. Auch Anwender haben laut Wu die Möglichkeit, Spam zu blocken. So können sie selbst Filter definieren und zum Beispiel den Empfang von Nachrichten bestimmter Absender blocken oder Mails direkt in den Papierkorb leiten, die festgelegte Schlüsselwörter enthalten.

Zur Einbindung von Antivirensoftware dient das auf den Versionsstand 2.5 gebrachte VSAPI (Antivirus Application Programming Interface). Dabei handelt es sich um das erste Update der Schnittstelle seit der mit Exchange Server 2000 ausgelieferten Version 2.0. Über sie lassen sich eingehende und ausgehende Nachrichten prüfen. Mit der Integration der neuen Funktionen reagiere man auf Anregungen von Entwicklungspartnern, sagte Wu.

Auch für Office 2003 sind erweiterte Sicherheitsfunktionen geplant. So will Microsoft Mitte des Jahres Anpassungen für Word nachliefern, die die Suche nach Makroviren erleichtern sollen. Damit reagiert der Hersteller auf Kritik von Sicherheitsexperten, das XML-basierende Dateiformat der Textverarbeitung ziehe ernste Sicherheitsprobleme nach sich (Computerwoche online berichtete).

Die in den bisher veröffentlichten Microsoft-Office-Paketen verwendeten Dokumentenformate sehen fest definierte Stellen für die Einbettung der Mini-Anwendungen vor, wodurch sie gut von Virenscannern geprüft werden können. XML kennt solche Fixpunkte nicht. Dadurch lassen sich Makros - und auch Makroviren - an beliebigen Stellen im Dokument verstecken. Das angekündigte Sicherheitsupdate für Word 2003 ergänzt die Kopfdaten von Dokumenten um Verweise auf die Makros. Dadurch sind sie von Antivirenprogrammen besser aufzufinden, so Microsoft. (lex)


ComputerWocheLink

________


AOL verschärft Vorgehen gegen Spammer


America Online hat offenbar rechtliche Schritte gegen fünf Spammer eingeleitet. Wie US-Medien berichten, sollen die mutmaßlichen Versender von unerwünschten Reklame-Mails mehr als eine Milliarde Nachrichten, in denen sie Kredite und pornografische Inhalte bewarben, versendet haben. Mehr als acht Millionen AOL-Nutzer hätten sich darüber beschwert -- die meisten hätten dafür die "Report Spam"-Funktion genutzt, heißt es weiter.

Nur von zwei Beklagten seien die Namen bekannt, in den anderen Fällen habe AOL Anzeige gegen Unbekannt gestellt, da sie ihre Domains unter falschen Namen mit ungültigen Telefonnummern angemeldet hätten. Bereits vor zwei Wochen war bekannt geworden, dass AOL mutmaßlichen Spammern den DSL-Anschluss lahm gelegt hat. Die Betroffenen sollen Kunden von Comcast gewesen sein, einer Tochterfirma von AOL Time Warner. (tol/c't)

Heise Link

__________


US-Urheberrecht stoppt Vortrag über Sicherheitslücken


US-Urheberrecht stoppt Vortrag über Sicherheitslücken

Zwei US-amerikanische Studenten wurden von einem US-amerikanischen Unternehmen daran gehindert, auf der Konferenz Interz0ne einen Vortrag zu halten. Der Spezialist für Bildungs-Software Blackboard hatte ein Gericht in Georgia davon überzeugen können, dass das Unternehmen geschädigt werden könnte, wenn Billy Hoffman und Virgil Griffith über potenzielle Sicherheitslücken im Blackboard Transaction System dozieren. Dieses dient laut Hersteller zur "Bearbeitung von Matrikelnummern, Speiseplänen von Kantinen und Mensen, Transaktionen mit gewerblichen Einrichtungen sowohl innerhalb als auch außerhalb des Campus und die Regelung des Zugangs zu den Gebäuden".

Hoffman wurde auch angemahnt, weil er auf seiner Website Namen und Logo von Blackboard verwendet habe. Auch wurde ihm untersagt, Software und Hardware weiterzugeben, die die Blackboard-Produkte emulieren. Die beiden Studenten seien zudem illegal in das Blackboard-System eingedrungen und hätten gegen eine Reihe von US-amerikanischen Gesetzen verstoßen, darunter auch der Digital Millennium Copyright Act. Die Blackboard-Anwälte erwägen weitere rechtliche Schritte.

Die Veranstalter der Interz0ne sind hingegen der Meinung, den beiden Studenten sei das Recht auf freie Meinungsäußerung entzogen worden. Anstelle des Vortrags haben sich die Konferenzteilnehmer mit der gerichtlichen Unterlassungsverfügung beschäftigt und die Bürgerrechtler der Electronic Frontier Foundation sowie den Rechtsprofessor Lawrence Lessig um Rat gefragt.

Lessig ist ein ausgewiesener Gegner des DMCA und fordert eine Änderung des Gesetzes. Er hatte sich unter anderem dafür eingesetzt, dass die Copyright-Fristen in den USA nicht verlängert werden. Für Kritiker ist das Vorgehen von Blackboard nur ein weiterer Fall in einer Kette, in der Unternehmen das Urheberrecht zu Hilfe nehmen, um unliebsame Äußerungen zu unterbinden oder Informationen zurückzuhalten.

HeiseLink mit noch mehr InfoLinks


___________


Open Security Exchange will für mehr Sicherheit sorgen


Der Hersteller von Netzwerk- und Sicherheitsmanagementsoftware Computer Associates (CA) will gemeinsam mit anderen Herstellern aus der Sicherheitsbranche empfohlene Vorgehensweisen und umfassende Sicherheitslösungen entwickeln. Der Zusammenschluss aus CA, dem französischen Chipkartenhersteller Gemplus, dem ID-Card-Hersteller HID, der Sicherheitsfirma Pinkerton und dem Sicherheitsoftwareentwickler Software House nennt sich Open Security Exchange; die Vereinigung startete während der RSA Data Security Conference in San Francisco.

Zunächst will man sich bei der Open Security Exchange auf die Integration von physischer Sicherheit und Cyber Security konzentrieren. Diese Disziplinen seien bislang nur getrennt betrachtet worden. Einem Bericht von Pinkerton Consulting and Investigation zufolge verfügen nur 36 Prozent der befragten Unternehmen über formale Prozeduren, die die Zusammenarbeit der Abteilungen für Gebäudesicherheit und IT-Sicherheit gewährleisten. Dies führe dazu, dass die Unternehmen großen Gefahren ausgesetzt sind -- von innen wie von außen. Der Umstand begrenze außerdem das Bewusstsein für die möglichen Bedrohungen und ziehe unklare Verantwortlichkeiten und unnötig hohe Betriebskosten nach sich.

"Security Manager wollen weder getrennte Sicherheitssysteme für ihre Windows- und UNIX-Server, noch möchten sie auf die Kopplung der Einrichtungen für Gebäudesicherheit mit denen der IT-Sicherheit (cyber security systems) verzichten", meint Russel M. Artzt, Executive Vice President von CA eTrust. Open Security Exchange habe es sich zum Ziel gesetzt, diesem Missstand abzuhelfen, und zwar auf drei Ebenen: Benutzer und deren Rechte sollen systemübergreifend administriert werden können, der Zutritt zu Gebäuden und deren Einrichtungen sowie der Zugriff auf Computersysteme soll per einheitlicher, starker Authentifizierung kontrolliert werden, alle Systeme sollen von einer zentralen Stelle aus verwaltet und geprüft werden können. (ola/c't)


HeiseLink

Kritisches Sicherheitsleck im NT-Kernel von Windows NT 4.0, 2000 und XP

Angreifer mit lokalem Zugang zur Maschine können beliebigen Code ausführen und/oder Administratorrechte erlangen. Auch Angriff über eine Terminal-Session ist möglich.

Nähere Informationen und den Link zum Patch gibt es hier:
http://dyn1.golem.de/cgi-bin/usisapi.dll/forprint?id=25089

Microsoft empfiehlt Einspielung des Patches "at the earliest opportunity":
http://www.microsoft.com/technet/security/bulletin/MS03-013.asp