NEWS AUS DEM IT-SECURITY BEREICH

Fizzer: KaZaA ruft zum Virenkampf

P2P-User sollen Anti-Virus-Software aktivieren

Sydney/Wien (pte, 16. Mai 2003 10:41) - Sharman Networks, Betreiber des P2P-Filesharing-Netzes KaZaA http://www.kazaa.com , ruft zum Kampf gegen Viren. Anlässlich der anhaltenden Verbreitung des Computerschädlings Fizzer http://www.pte.at/pte.mc?pte=030513041 werden alle KaZaA-User aufgerufen, den in der P2P-Software enthaltenen Virenschutz zu aktivieren. Der Fizzer-Wurm verbreitet sich nicht nur per E-Mail, sondern auch über IRC (Internet Relay Chat) und eben P2P-Netze. Letzteres dürfte für den besonderen "Erfolg" von Fizzer verantwortlich sein.

In der Rangliste der aktuell meistgefundenen Computerschädlinge des international tätigen Anti-Viren-Spezialisten Ikarus http://www.ikarus-software.at hat der neue Wurm den bereits lange bekannten "Klez.H" nach über einem Jahr unangefochtener Führung von der Tabellenspitze abgelöst. Obwohl Fizzer erst seit etwa einer Woche im Umlauf ist, führt er auch schon in der Statistik für die letzten drei Wochen. Thomas Mandl von Ikarus sagt dem aktuellen Wurm noch eine große Zukunft voraus. Gegenüber pressetext.austria sagte er: "Der Peak ist wohl noch nicht erreicht. Es ist zwar schwer vorherzusagen, aber ich vermute, dass die Zahlen noch hinaufgehen werden. Fizzer ist deshalb so erfolgreich, weil er sich insbesondere bei KaZaA-Usern verbreitet. Und dort sind sich leider viele User der Problematik nicht bewusst."

So mancher Anwender dürfte den im KaZaA-Client enthaltenen Virenscanner BullGuard Lite http://www.bullguard.com nicht aktiviert haben oder die Virendefinition nicht auf dem jeweils aktuellen Stand halten. Dadurch kann sich Fizzer durch heruntergeladene Dateien einschleichen, ohne dass der Computerbenutzer etwas davon bemerkt. Befallene PCs werden wiederum als Brückenkopf zur Weiterverbreitung per E-Mail, IRC und P2P missbraucht. Entsprechend rufen sowohl Sharman Networks als auch BullGuard dazu auf, den Scanner zu aktivieren und auch die Virendefinitionen, beispielsweise über das automatische Aktualisierungsfeature, up-to-date zu halten. Auch im Ad- und Spyware-freien KaZaA lite http://www.k-lite.tk ist der kostenlose BullGuard enthalten. (Ende)


PresseTextLink

____


NTBugTraq kritisiert unzuverlässige Windows-Update-Funktion


Windows-Update-Funktion bietet mitunter wichtige Sicherheitspatches nicht an


Laut der Windows-Fehlersuche-Community NTBugTraq hat sich Microsofts Windows-Update-Funktion zumindest in den letzten Tagen als wenig vertrauenswürdig gezeigt. Nutzer, die sie aufgerufen haben, erhielten nach erfolgter Überprüfung die Meldung, dass ihr Windows auf neuestem Stand sei, obwohl kritische Updates gar nicht installiert waren oder Fehler vorlagen; damit würden Windows-Anwender in trügerischer Sicherheit gewogen.

Bereits vor einem Jahr wurde auf NTBugTraq die ausschließliche Überprüfung der Registry durch die Windows-Update-Routine sowie viele weitere Probleme kritisiert. Bisher habe Microsoft auch nach mehreren Hinweisen nicht darauf reagiert, so dass Ross Cooper von NTBugTraq Microsoft nicht mehr als vertrauenswürdig einschätzt und entsprechend skeptisch in Bezug auf die "Trustworthy Computing"-Bemühungen des Redmonder Softwareriesen ist. Die Autoupdate-Funktion hätten gerade Unternehmen wegen mangelnden Vertrauens für Microsoft bzw. Windows XP deaktiviert.

Damit das Windows Update bei Fehlern und fehlenden Updates bzw. Patches nicht meldet, dass alles in Ordnung sei, seien folgende Dinge unabdingbar: 1. Das Systemdatum muss hinreichend akkurat sein, 2. die Internet-Explorer-Spracheinstellungen müssen gesetzt sein, könnten aber zwischendurch verschwinden. Selbst wenn dem nicht so sei, sollte man bei Problemen einfach eine zusätzliche weitere Sprache einstellen, was Probleme beheben könne. 3. Es dürfe kein Netzwerklaufwerk verbunden sein, das eine größere Kapazität besitze als die Festplatten im System, 4. bei einer Geräte-Neuinstallation müsse man darauf achten, dass man den IE nicht angewiesen hat, auf zurückgezogene Zertifikate zu überprüfen, 5. man sollte als Administrator von dem System aus prüfen, das auch aktualisiert werden soll, entweder müssten alle Systeme das gleiche OS einsetzen oder man müsste mehrere Systeme separat auf vorliegende Updates überprüfen. 6. man sollte im Windows-Update-Link HTTPS anstelle von HTTP nutzen, wenn Windows Update sagt, dass keine Patches vorliegen. Einige andere Möglichkeiten zur Problemlösung sei eine unbestimmte Wartezeit, man sollte es also in verschiedenen Abständen immer mal wieder versuchen, wenn wichtige Patches nicht angeboten werden. Erst als letzte Möglichkeit nennt Ross Cooper eine Kontaktaufnahme mit Microsoft, auch wenn er dieser nicht viel Erfolg zuspricht, da man ihm selber nie auf seine Hinweise und Fragen geantwortet habe.

GolemLink

_______


US-Behörden nehmen Spammer ins Visier


MÜNCHEN (COMPUTERWOCHE) - US-Behörden unter der Federführung der Federal Trade Commission (FTC) wollen künftig verstärkt gegen Spam und Internet-Betrügereien vorgehen. Unter dem Namen Netforce haben sich die FTC, die US-amerikanische Börsenaufsicht Security and Exchange Commission (SEC), sowie Postbehörden und verschiedene Anwälte aus mehreren US-Bundesstaaten zusammengeschlossen. 45 Klagen gegen Spammer und andere Anbieter unlauterer Offerten im World Wide Web (WWW) laufen bereits. So wurden beispielsweise in Texas mehrere Anbieter unseriöser Finanzdienstleistungen angeklagt. Sie hätten in Massenwerbe-Mails falsche Angaben zu Renditen gemacht. In New Jersey haben die Internet-Wächter das Unternehmen Alyon Technologies vor den Kadi gezerrt, weil die Firmenverantwortlichen über Dialer-Programme Internet-Nutzer ohne deren Wissen auf das eigene Netz umgeleitet und dabei oftmals unverhältnismäßig hohe Gebühren für Fernverbindungen kassiert hätten. Über tausend Anwender haben sich bereits über diese Praktiken beschwert, berichtet Mark Groman, Verbraucherschützer bei der FTC. Allerdings hielten sich die Internet-Schurken nicht an Landesgrenzen, warnt Greg Abott, Staatsanwalt aus Texas. Deshalb müsse man versuchen, auch außerhalb der USA zu wirken. So versuche Netforce mit dem Open Relay Projekt offene Netz-Server, über die Spammer ihre Massen-Mail in Umlauf bringen, abzusichern. Über 1000 dieser ungesicherten Systeme in 59 Ländern habe man bereits identifiziert und deren Betreiber aufgefordert, Sicherheitsmechanismen einzuführen. (ba)


ComputerWocheLink


_____


Mehr Sicherheit durch Open Source?


Auf dem BSI-Kongress in Bonn diskutierten heute Experten darüber, ob Open Source für mehr IT-Sicherheit sorge. Magnus Harlander von der Sicherheits-Firma GeNUA bezeichnete die Behauptung "Open Source ist unsicher" als "Unfug". Andererseits bedeute "Open-Source-Software", dass sie nicht nur "open for read", sondern auch "open for write" sei. Die Transparenz von Open-Source sei eine Option für mehr Sicherheit, aber keine Gewissheit.

Harlander wies darauf hin, dass es sichere Software nur durch "institutionalisierte Review-Prozesse" geben könne: Man müsse Software während der Produktion und des Roll-Out testen und dokumentieren. Ein kontrolliertes Change-Management sei ebenfalls nötig. Roman Drahtmüller von Linux-Distributor SuSe pflichtete Harlander darin bei, meinte jedoch: "Sie können 25 Leute eine Open-Source-Software prüfen lassen, doch auch sie können Fehler übersehen."

Harlander wies darauf hin, dass es auch bei Open-Source-Software Hintertüren gebe. So habe es Jahre gedauert, eine "gezielt platzierte Hintertür" in dem weltweit verbreiteten WU-FTP zu finden. Auch bei Open SSL wurden erst jetzt schwerwiegende Programmierfehler bei einer Prüfung gefunden. Open Source sei deshalb kein Garant dafür, dass es keine Hintertüren gebe. Kommerzielle Anbieter von proprietärer Software könnten schließlich ihren Kunden oder auch einer externen Instanz den Code für Prüfungsverfahren zur Verfügung stellen. Würden dann Hintertüren auffliegen, hätte dies "ernste Konsequenzen".

Drahtmüller erinnerte daran, dass die "Absicht" beim Erstellen von Hintertüren entscheidend sei: Wurden sie vom Hersteller selbst, von Programmierern oder von Eindringlinen eingebracht? So brachen etwa Cracker in ein offenbar nur unzureichend gesichertes Open-Source-Entwicklerportal ein und hinterließen Hintertüren bei Open SSL, Sendmail und einem FTP-Demon, die jedoch rasch entdeckt wurden.

"In den vergangenen drei Jahren wurden sämtliche Hintertüren binnen 18 Stunden mit Hilfe eines MD5-Prüfsummenvergleichs entdeckt", behauptete Roman Drahtmüller. Sein Unternehmen könne binnen zwei Minuten auf diese Weise sämtliche SuSe-Versionen prüfen. Ob die Software auf dem Distributionsweg verändert wurde, könnten Nutzer selbst feststellen: Sie könnten aus dem Sourcecode dieselben Binär-Pakete herstellen wie der Hersteller selbst. SuSe unterschreibe zudem jedes Paket kryptografisch. Auch die Programmierer würden inzwischen auch zunehmend ihre Werke kryptografisch signieren.

Der Distributor hat kürzlich seinen Suse Linux Enterprise Server zur Prüfung bei der BSI-Zertifizierungsstelle angemeldet. Damit wolle er eine Brücke schlagen zwischen der Behauptung "Wir wissen was drin ist" und der Tatsache "Wir haben es nicht geschrieben", sagte Drahtmüller. Zum Thema Haftung will sich Drahtmüller erst im Juli auf dem Linux-Tag in Karlsruhe äußern. (Christiane Schulzki-Haddouti) / (anw/c't)


HeiseLink


______



Routing-Tabellen unter Linux anfällig für Denial-of-Service-Attacken (Update)


Nutzt ein Angreifer die gefundene Schwachstelle aus, reichen 400 IP-Pakete pro Sekunde, um ein Linux-System zum Stillstand zu bringen. Eine bereits im Februar veröffentliche Studie zu Low-Bandwidth-Denial-of-Service-Attacken weist auf die Gefahr hin, mit wenig Bandbreite in kurzer Zeit Server zu crashen.

Der Fehler basiert auf der Behandlung neuer Routen und wie sie in den Routing-Cache einsortiert werden. Um schnell herauszufinden, über welche Schnittstelle ein Antwortpaket zu verschicken ist, führt der Kernel so genannte Hash-Tabellen. In diesen lassen sich einzelne Einträge über Schlüssel schnell nachschlagen. Das bringt aber nur dann etwas, wenn die Einträge einigermaßen gleich über alle Schlüssel verteilt sind. Erhält der Linux-Kernel nun Pakete mit speziell gefälschten Quelladressen, sortiert er (fast) alle Einträge unter einem Schlüssel ein (table collision). Dies führt nach Angaben von Red Hat zu einer hohen CPU-Last, bis hin zum Stillstand des Systems. Da unter Linux nicht nur Router mit solchen Hash-Tabellen arbeiten, sind auch Server oder Desktops mit Netzwerkverbindung betroffen. Bisher ist uns kein öffentlicher Exploit zu diesem Angriff bekannt. Sollte ein solcher auftauchen, besteht die Gefahr, dass Skript-Kiddies versuchen, in großem Stil Linux-Rechner lahmzulegen,

Frühere Distributed-Denial-of-Service-Attacken gegen Webportale brachten diese durch die extrem hohe Anzahl von Verbindungen zum Stillstand. 400 Pakete pro Sekunden lassen sich mit einer Modemverbindung leicht bewerkstelligen. Als Betroffener kann man sich gegen solche Angriffe eigentlich nur durch einen entsprechenden Kernel-Patch schützen.

Langfristig ist zu hoffen, dass die Provider etwas gegen Angriffe mit gefälschten IP-Quelladressen unternehmen. Sie können dazu auf ihrem Einwahl-Routern beziehungsweise an den Übergängen zu anderen Netzen Pakete verwerfen, die dort nichts zu suchen haben, weil sie zum Beispiel nicht aus ihrem Netz stammen. Das machen zwar bereits einzelne Provider, wirkliche Abhilfe schafft das aber erst, wenn es flächendeckend praktiziert wird.

Alle auf dem 2.4-Kernel basierenden Linux-Distributionen dürften von dem Bug betroffen sein. Red Hat stellt bereits einen Patch zur Behebung des Fehlers zur Verfügung. (dab/c't)


HeiseLink

Sind die letzten Tage der Freiheit gezählt?

Von Sebastian Wündisch, Rechtsanwalt in der Kanzlei Nörr Stiefenhofer Lutz sowie Lehrbeauftragter für Medien- und IT-Recht an der Technischen Universität Dresden.

MÜNCHEN (COMPUTERWOCHE) - Noch in diesem Jahr wird im Bundestag ein neues Urheberrecht verabschiedet. Es sieht einschneidende Veränderungen für die zulässige Nutzung digitaler Werke vor. Betroffen sind sowohl der berufliche als auch der private Bereich.


Foto: Photodisk

Es ist so weit: Schenkt man dem Feuilleton der „Süddeutschen Zeitung“ Glauben, so steht die Übernahme der mächtigsten Demokratien der Welt durch ein zentral gelenktes Industriekartell unmittelbar bevor. Der freie Zugang zu Wissen werde unter die Kontrolle einer selbst nicht kontrollierbaren Allianz der Großindustrie gestellt. Durch eine unmittelbar bevorstehende Änderung des Urheberrechtsgesetzes soll diese Herrschaft rechtlich abgesichert und staatlich sanktioniert werden.

Tatsache ist, dass das Urheberrecht als originäres Schutzrecht von Software und Content vor einer Novellierung steht, die einen Paradigmenwechsel in seiner Geschichte bedeutet. Erstmalig schützt das Gesetz nämlich Vorrichtungen, die den Zugang zu urheberrechtlich geschützten Werken beziehungsweise deren Nutzung technisch verhindern. Nicht erst die Kopie des Werkes, sondern bereits die Umgehung des Kopierschutzes beziehungsweise der Verkauf und sogar die Bewerbung entsprechender Tools stellen künftig schon strafbare Urheberrechtsverletzungen dar. Warum diese gravierenden Maßnahmen?

Nach heutigem Verständnis belohnt die Rechtsordnung den Urheber für seine geistige Leistung mit einer dem Eigentum vergleichbaren Rechtsposition, um ihm die finanzielle Beteiligung an der Verwertung seiner Schöpfung zu sichern. Denn nur wenn der Urheber, in der Regel gegen Entgelt, in die Vervielfältigung, Verbreitung oder Bearbeitung eingewilligt hat, kann ein Dritter diese Handlungen vornehmen, ohne mit Unterlassungs- und Schadensersatzansprüchen rechnen zu müssen. Hier zeigt sich der wesentliche Nachteil des geistigen Eigentums im Unterschied zum körperlichen: Letzteres kann bereits vor Diebstahl geschützt werden, indem man es in einen Tresor legt.



Dem geistigen Eigentum fehlt dieser natürliche Schutz, da das Urheberrecht nur an der geistigen, immateriellen Leistung seines Schöpfers besteht. Der Rechteinhaber kann daher lediglich mittels der Rechtsordnung unerlaubte Nutzungen unterbinden. Zur sinnvollen Verwertung seiner Rechte ist er jedoch darauf angewiesen, Vervielfältigungsstücke seines Werkes in den Verkehr zu bringen, sprich zu verkaufen. Wenn aber Kopien an Dritte verkauft werden oder diese sich auf andere Weise Zugang zu einem Werk verschaffen, wird dem Rechteinhaber die Kontrolle darüber entzogen, ob der Käufer weitere Kopien anfertigt und damit - sofern er nicht dazu berechtigt ist - geistigen Diebstahl begeht.

Digitalisierung und Internet

Spätestens Mitte der 90er Jahre wurde deutlich, dass die digitale Revolution nur mit der Erfindung der Buchdruckkunst vergleichbare Auswirkungen auf den Schutz und die Verwertung geistiger Werke wie Musik, Fotografien, Filme, Bücher sowie Software hat. Plötzlich war es nicht nur möglich, vom Original nicht unterscheidbare Kopien eines Werkes in nahezu unbegrenzter Anzahl herzustellen, sondern diese auch durch das Internet an eine ebenfalls unbegrenzte Vielzahl von Adressaten weiterzugeben. Der gesetzliche Schutz vor unerlaubter Vervielfältigung und Verbreitung stand mit einem Mal nur noch auf dem Papier; die Kontrolle und Durchsetzung des Urheberrechts war angesichts der jetzt möglichen Anzahl von Kopien wie auch der unzähligen Verbreitungswege kaum noch zu gewährleisten.

Technischer Kopierschutz

Als Folge daraus wurde die Entwicklung von Kopierschutzmechanismen forciert. Auf diese Weise sollen die ebenfalls technisch bedingten Fortschritte in der Kopier- und Verbreitungstechnik ausgeglichen werden. Da jede technische Verschlüsselung oder sonstige Schutzvorrichtung irgendwann umgangen werden kann, werden nun mit Hilfe einer Änderung des Urheberrechtsgesetzes (UrhG) der eigentlichen Urheberrechtsverletzung vorausgehende Handlungen unter Strafe gestellt. Die neuen Paragrafen 95 a ff. UrhG sehen folgende Regeln vor:

Verbot der Umgehung von Zugangs- und Kopierschutzvorrichtungen;
Verbot der Herstellung, des Verkaufs und der Werbung im Hinblick auf Vorrichtungen, Erzeugnisse sowie Dienstleistungen, deren Ziel die Umgehung von Zugangs- und Kopierschutzvorrichtungen ist;
Verbot der Entfernung von digitalen Wasserzeichen und sonstiger Hinweise auf den Rechteinhaber.

Diese neuen Vorschriften werden voraussichtlich noch in diesem Jahr vom Bundestag verabschiedet. Das Urheberrecht wird also ausgeweitet und umfasst künftig nicht nur das Verbot unerlaubter Vervielfältigung und Verbreitung des Werkes als solches. Bereits die Umgehung von Zugangs- beziehungsweise Kopierschutzmaßnahmen wird mit bis zu drei Jahren Gefängnis bestraft. Außerdem werden auch die Hersteller und Vertreiber entsprechender „Umgehungsmaßnahmen“ - ohne dass sie selbst Kopien herstellen oder den Kopierschutz umgehen - zu Straftätern.

Die Weichen für den verstärkten Schutz geistigen Eigentums im digitalen Zeitalter sind - von der Öffentlichkeit weitgehend unbemerkt - schon Mitte der 90er Jahre auf internationaler Ebene gestellt worden; die jetzige Anpassung des deutschen Urheberrechts ist nur der Abschluss dieser Entwicklung. Aufgrund der zwingenden internationalen Vorgaben ist kaum mit wesentlichen Änderungen im laufenden Gesetzgebungsverfahren zu rechnen.

Umgesetzt wird der technische Urheberschutz durch zahlreiche Maßnahmen der Rechteinhaber, die unter den Stichworten Digital-Rights-Management (DRM), TCPA und Palladium die Fachpresse beherrschen. Auf diese Weise sollen die Rechner der Endverbraucher direkt und individuell kontrolliert werden und damit die Nutzung von ausschließlich legal lizenzierter Software und Content sicherstellen.

Mittels dieses Instrumentariums können die Verwerter ihre Rechte direkt auf den Endgeräten der User verwalten und die Nutzung individuell abrechnen. Durch Vereinbarungen mit dem jeweiligen Endnutzer (End-User-Agreements) werden zusätzliche vertragliche Pflichten begründet. Ob damit nicht doch der gläserne Nutzer geschaffen wird, muss die Zukunft zeigen, wobei der rechtliche Anknüpfungspunkt weg vom Urheberrecht auf die Gebiete des Datenschutzes, des Persönlichkeitsrechts wie auch vor allem des Kartellrechts verlagert wird. Es erscheint aber angesichts der Sensibilität der User nicht ausgeschlossen, dass Kontrollexzessen der Rechteinhaber wirksam begegnet werden kann.

Bisher war es gesetzlich zulässig, dass Privatpersonen einzelne Kopien von urheberrechtlich geschützten Werken (mit Ausnahme von Software) zum privaten Gebrauch anfertigen. Dieses so genannte Recht auf die Privatkopie soll im Grundsatz auch nach der Gesetzesänderung erhalten bleiben. Sofern ein geschütztes Werk mit technischen Maßnahmen vor der Vervielfältigung geschützt wird, ist der jeweilige Rechteinhaber verpflichtet, dem Endnutzer zur Herstellung von Privatkopien den Kopierschutz zu entsperren.

Nichtdigitale Kopien

Freilich soll diese Verpflichtung nur für die Anfertigung nichtdigitaler Kopien auf analogen Trägern gelten, da das Gesetz nur eine „fotomechanische“ Vervielfältigung auf Papier oder einem ähnlichen Träger erlaubt. Das zulässige Speichermedium für die Privatkopie wird aus dem digitalen Umfeld herausgelöst und auf analoge Datenträger beschränkt. Von dem Recht auf die Privatkopie ausgeschlossen bleibt jedoch individuell abrufbarer Content wie Video on Demand oder wirtschaftlich vergleichbare Dienste wie Pay per View. Hier hat der Nutzer keinen Anspruch auf eine Entsperrung durch den Rechteinhaber.

Das konzertierte Vorgehen von Industrie und Gesetzgebung legt tatsächlich den Schluss nahe, dass die letzten Tage der Content-Freiheit gekommen sind. Richtig ist dies allerdings nur dann, wenn man den Gratiszugriff auf von Dritten geschaffenen und urheberrechtlich geschützten Content beziehungsweise Software als Ausdruck dieser Freiheit versteht. Diese Nutzung war aber bereits nach bisherigem Urheberrecht unzulässig, praktisch jedoch kaum zu verfolgen. Vielfach wird nun argumentiert, der freie Zugang zu Wissen werde durch die geplanten und in Umsetzung befindlichen Maßnahmen behindert, wenn nicht gar ausgeschlossen.

Free Access vs. Access for free

Free Access zu Wissen, Information und Unterhaltung sollte jedoch nicht mit Access for free verwechselt werden. Bei aller notwendigen Skepsis darf eines nicht vergessen werden: Wovon soll die viel zitierte „Wissens- und Informationsgesellschaft“ leben, wenn ihre Produkte, also die Verkörperung von Wissen und Information, nicht effektiv vor Ausbeutung durch Dritte geschützt werden? Über den Grad dieser Effektivität lässt sich sicher streiten, über das Bedürfnis eines verstärkten Schutzes geistiger Werke nicht.


ComputerWocheLink

_______


Wurm kommt als .PIF-Attachment vorgeblich von Microsoft


Wien (pte, 19. Mai 2003 12:14) - Der Wiener Anti-Viren-Spezialist Ikarus http://www.ikarus-software.at schlägt Alarm. Ein brandneuer Wurm feiert derzeit fröhliche Urständ' und dürfte in den nächsten Stunden tausende Windows-Systeme befallen. Er kommt per E-Mail-Attachment mit .PIF- oder .PI-Ednung und ist etwa 50KB groß, allerdings wird in vielen Windows-Installationen die Dateiendung nicht angezeigt. International wurde er auf zwei verschiedene Namen getauft, "Palyh" und "Mankx". "Wir haben innerhalb weniger Minuten 100 infizierte Mails erhalten", berichtet Ikarus-CEO Joe Pichlmayr, "Das droht ein Großer zu werden. Ich gehe davon aus, dass wir in Kürze einige Tausend infizierte Mails abgefangen haben werden."

Der Schädling nutzt keine Sicherheitslücke in der Systemsoftware, sondern mangelndes Gefahrenbewusstsein von Usern aus: Er kann nur durch Öffnen des Attachments aktiviert werden. Um die User dazu zu verleiten, tarnt er sich mit der Absenderadresse "[email protected]" als Nachricht aus Redmond. Subject- und Attachment-Bezeichnung sind variabel. Ist Palyh einmal aktiviert, bringt er seine eigene Versandroutine mit, ist also nicht auf das Vorhandensein bestimmter E-Mail-Software angewiesen. Laut Pichlmayr verteilt sich der in der vergangenen Nacht erstmals aufgetauchte Virus gerade über den gesamten Globus. Auch in der pressetext.austria-Redaktion sind bereits Exemplare eingetrudelt, die vom Virenschutz aber identifiziert werden konnten.

Der Wurm durchsucht im infizierten System alle Dateien mit den Endungen .TXT, .EML, .HTML, .HTM, .DBX und .WAB und verschickt sich an alle darin enthaltenen E-Mail-Adressen. Außerdem verteilt er sich über Netzwerke, an die der infizierte PC angeschlossen ist. Er versucht sich in das Auto-Start-Verzeichnis aller angebundenen Windows-Systeme zu kopieren. Darüber hinaus schreibt er neue Einträge in die Registry und dokumentiert die Liste aller E-Mail-Adressen, an die er sich versandt hat, in einer "hnks.ini" genannten Datei im Windows-Verzeichnis. Eine Datei namens "mdbrr.ini" im gleichen Verzeichnis speichert die Konfiguration des Wurmes.

Wie auch der Fizzer-Wurm http://www.pte.at/pte.mc?pte=030513041 , der es als erster Schädling nach einem Jahr geschafft hatte, Klez.H von der Spitze der Virenrangliste zu vertreiben, verfügt Palyh über eine Updatefunktion. Er kann sich bis Ende Mai selbst durch den Aufruf einer bestimmten Website aktualisieren und dadurch potenziell zusätzliche Schadensroutinen erhalten.

Die Tips von Virendoktor Pichlmayr: "Stehen Sie jedem ausführbaren Dateianhang kritisch gegenüber. Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben. Und aktualisieren Sie die Virendefinitionen ihrer Anti-Viren-Software regelmäßig." Die großen Antivirensoftware-Hersteller bieten bereits entsprechende Downloads an. (Ende)


PresseTextLink

Microsoft gründet Anti-Viren-Allianz

Um Informationen über Viren besser austauschen zu können, hat Microsoft die Virus Information Alliance (VIA) ins Leben gerufen. Das teilt das Unternehmen im MS-TechNet mit. An der VIA beteiligen sich die auf Virenbekämpfung spezialisierten Sparten von Microsoft, Trend Micro und Network Associates. Ziel der Allianz ist es, Erkenntnisse über neue Viren, Würmer und andere Schädlinge zu teilen und dadurch schneller Gegenmaßnahmen entwickeln zu können.

Ein neuer Bereich im MS-TechNet enthält neben Ausführungen zu den Charakteristika einer Attacke auch aktuelle Viruswarnungen. Zusätzlich werden verschiedene Tipps, Tools und weitergehende Informationen zu Viren mit hohem Verbreitungsgrad auf der Seite zur Verfügung gestellt. (svh/c't)


HeiseLink

_______


Neuer Wurm tarnt sich als E-Mail von Microsoft


MÜNCHEN (COMPUTERWOCHE) - Die großen Hersteller von Antivirensoftware warnen vor einem neuen Mail-Wurm, der sich als Nachricht von [email protected] ausgibt. Der als "Palyh" oder "Mankx" bezeichnete Schädling verwendet verschiedene, griffige englischsprachige Betreffzeilen und transportiert seinen Code über einen Anhang mit der Dateiendung .pif (Tipp: Immer die Windows-Einstellung "Endungen bei bekannten Dateitypen ausblenden" in den Explorer-Voreinstellungen deaktivieren - dann erkennt man solche Würmer meist schon anhand des Typs). Er verankert sich bei Ausführung im System und vervielfältigt sich mit eignem SMTP-Versand über Einträge im Windows-Adressbuch, anderswo im System gefundene Mail-Addressen und Netzwerk-Shares. Aktuelle Virendefinitionen erkennen Palyh/Mankx bereits. (tc)



ComputerWocheLink

___


Internetproxy als Angriffsplattform missbraucht



Hugo Vázquez Caramés und Toni Cortés Martínez von Infohacking haben Schwachstellen bei Internetproxies aufgedeckt. Betroffen sind der Inktomi Traffic-Server und Microsofts ISA-Server. Die genannten Produkte werden vielfach eingesetzt: In Spanien, dem Herkunftsland der Sicherheitsexperten, setzt Telefonica flächendeckend Inktomi Traffic-Server ein, Microsofts Internet Security and Acceleration Server (ISA) wird von vielen Unternehmen als Firewall eingesetzt.

Grundlage der Löcher sind falsch behandelte Anfragen der Webbrowser. Ein Angreifer kann Scripting-Code in eine HTTP-Anfrage einbauen, die der Proxy nicht vollständig ausfiltert. Klickt ein Benutzer auf einen manipulierten Link in einem HTML-Formular, so kann der Angreifer dort Code innerhalb von Script-Tags versteckt haben, folgender Code nutzt die Schwachstelle im ISA-Server aus:



Der Browser des Opfers folgt nun einem Link auf einen Server, der im Proxy einen Fehlerzustand verursacht. Aufgrund der falschen Behandlung der übergebenen Parameter wird der Code wieder an den Browser zurückgesendet. Im Browser wird nun je nach Sicherheitseinstellung der Code ausgeführt und erlaubt Zugriff auf Cookies. Die Cookies werden aber nun an den Server des Angreifers gesendet. Diese Cross-Site-Scripting-Angriffe setzen voraus, dass der manipulierte Link auf einen Server führt, dem der Benutzer vertraut. Der Browser muss also diesen Server als "vertrauenswürdige Site" konfiguriert haben und Cookie-Anfragen zulassen. Cookies können unter anderem auch Authentifizierungsdaten für Websites enthalten.

In der Mailing-Liste Full-Disclosure erschien heute ebenfalls der Hinweis auf eine Cross-Site-Scripting-Schwäche auf den Servern des Internic. Das Internic ist einer der größten Registrare für Domänen und betreut mehrere tausend Kunden. Dieser Link demonstriert die Schwachstellen, stellt aber keinen Angriff dar. (dab/c't)


HeiseLink

"Pit of Confusion" soll RIAA-Schnüffelsoftware ausbremsen

Erste User ergreifen Gegenmaßnahmen gegen Schnüffelsoftware (so genannte "Spider"), die das Internet abgrasen, um illegale MP3-Websites aufzuspüren. So hat ein Hacker namens "salimfadhley" als erste Reaktion darauf, dass zunehmend mehr Anwender zu Unrecht der illegalen Verbreitung urheberrechtlich geschützten Materials bezichtigt werden -- etwa kürzlich ein Mitarbeiter der Pennsylvania State University --, ein PHP-Script namens "Pit of Confusion" geschrieben, das den Schnüffelprogrammen mehrere Websites mit Links auf MP3-Dateien erzeugt, die tatsächlich aber nur auf Datenmüll zeigen.

Trifft der Spider auf derartig präparierte MP3-Links, übermittelt der Server eine der Fake-Dateien. Um den Spider möglichst lange zu beschäftigen, drosselt ein spezieller im Script integrierter Downloadmanager künstlich die Datenübertragung. Das PHP-Script erzeugt zudem aus einer Wortliste und bekannten Künstlernamen zufällige Songtitel und erstellt daraus eine HTML-Seite mit entsprechenden Links. Diese Seiten laden erschreckend langsam -- ebenfalls kein Bug, sondern ein konfigurierbares Feature. Zusätzlich werden Links zu weiteren ebenfalls mit dem Script erzeugten Seiten angelegt, um den Spider so lange wie möglich zu beschäftigen.

Ob diese Gegenmaßnahmen erfolgreich sind, bleibt abzuwarten. Denn auf derartige Seiten fällt nicht nur die Schnüffelsoftware der RIAA herein, sondern möglicherweise auch so mancher unbedarfter MP3-Fan, der dann schnell gefrustet das Handtuch werfen könnte. Im Endeffekt würde auch dies helfen, die illegale Verbreitung urheberrechtlich geschützten Materials über MP3-Webseiten einzudämmen. (svh/c't)


HeiseLink

_______


Windows-Firewall scheitert an IPv6


Microsoft empfiehlt: "Besorgen Sie sich Software, die das kann"

Redmond/Wien (pte, 21. Mai 2003 14:02) - Microsoft http://www.microsoft.com hat zugegeben, dass die mit den Betriebssystemen Windows XP und Windows Server 2003 mitgelieferten Firewalls an IPv6 scheitern. Sie filtern nur IPv4-Daten, lassen IPv6-Traffic aber ungehindert durch. Die offizielle Workaround-Empfehlung des Software-Riesen lautet: "Besorgen Sie sich Firewall-Software, die IPv6-Traffic filtern und blockieren kann."

"Die praktischen Auswirkungen dieser Lücke sind zur Zeit noch gering. Eigentlich haben nur Provider mit Backbone-Anschluss und internationalen Verbindungen IP Version 6 in Betrieb", sagte Florian Leeber vom Netzwerkspezialisten GHL http://www.ghl.at dazu pressetext.austria. Gleichzeitig merkte Leeber an, dass die gegenwärtig bei Microsoft-Betriebssystemen mitgelieferten Software-Firewalls generell nur über geringen Funktionsumfang und damit beschränkte Sicherheit verfügten.

IPv6 ist noch nicht sehr verbreitet, allerdings gibt es bereits einige Provider, die die längeren IP-Adressen anbieten. In mehr und mehr Ländern werden aufgrund des Mangels an IPv4-Adressen konkrete Einführungspläne geschmiedet. Als erstes Land möchte Taiwan http://www.ipv6.org.tw/eng/index_E.shtml komplett auf IPv4 verzichten.

Microsofts Knowledge-Base-Eintrag kann unter http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q306203 nachgelesen werden. (Ende)


PresseTextLink


________



Computerkriminalität geht nur scheinbar zurück


Während in den Vorjahren ein stetiger Anstieg der Computerkriminalität zu verzeichnen war, ist diese 2002 auf den ersten Blick um 27,5 Prozent auf 57.488 Fälle gesunken. Sieht man genauer hin, so weist die polizeiliche Kriminalstatistik (PDF) darauf hin, dass sich die Systematik bei der Erfassung der Straftaten geändert hat. Ab 2002 werden Fälle von betrügerischer Ausnutzung des Lastschriftverfahrens nicht mehr unter Computerkriminalität verbucht. Zählt man für einen Vergleich mit dem Vorjahr diese 40.346 Fälle zur jetzt berücksichtigten Gesamtzahl hinzu, so kommt man auf einen Anstieg um 23 Prozent. Immerhin hat sich damit das Tempo der Zunahme, die im Jahr 2001 noch bei 40 Prozent lag, wieder etwas verringert.

Die polizeiliche Kriminalstatistik fasst jetzt unter Computerkriminalität Computerbetrug (minus 45 Prozent), Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten (minus 27 Prozent) sowie mit Konto- oder EC-Karten mit PIN (kein Vergleich möglich), private (plus 16 Prozent) und gewerbsmäßige (plus 90 Prozent) Softwarepiraterie, Datenveränderung und Computersabotage (plus 54 Prozent) und Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung (plus 75 Prozent). Besonders hoch war mit ungefähr 95 Prozent die Aufklärungsquote bei der Softwarepiraterie. Im Durchschnitt wird die Hälfte der Computerdelikte aufgeklärt.

Insgesamt stieg 2002 die Zahl der polizeilich erfassten Straftaten um 2,3 Prozent auf 6.507.394. Mit einem Anteil von 0,9 Prozent spielt die Computerkriminalität damit nach wie vor eine eher untergeordnete Rolle. (anm/c't)


HeiseLink

_____


Fizzer-Virus offenbar gehackt



Virusexperten des britischen Unternehmens IC5 Networks und der "Fizzer Task Force", einem Zusammenschluss von rund 50 IRC-Netzwerkern, ist es offensichtlich gelungen, den Wurm W32/Fizzer zu entschärfen. Fizzer treibt seit dem 8. Mai sein Unwesen, installiert auf den befallenen Systemen unter anderem eine IRC-Backdoor und nimmt Kontakt zu einer Website auf den Geocities-Servern auf, um von dort neue Instruktionen herunterzuladen.

Diesen Umstand machten sich die Sicherheitsexperten zu Nutze: IC5 Networks übernahm die Geocities-Website und präparierte sie mit Code, der den Wurm von dem infizierten System entfernt. Will Fizzer sein subversives Werk beginnen, zerstört er sich selbst. Software-Entwickler der Antiviren-Firma Trend Micro wollten dieser für Anwender einfachen und eleganten Lösung genauer auf den Grund gehen, "aber als wir auf die Geocities-Website zugriffen, konnten wir die modifizierte Datei nicht finden", sagt Rommel Ramos von Trend Micro. IC5 Networks war bis jetzt für eine Stellungnahme nicht erreichbar.

Einen Virus zu entschärfen sei prinzipiell erst einmal eine gute Sache, meint Cary Nachenberg, Chefentwickler bei Symantec, jedoch könne man damit auch mehr Schaden als Nutzen anrichten, solange man nicht wisse, wie der Wurm genau funktioniert. Der "One-Half-Virus" von 1999 zum Beispiel verschlüsselte auf einem infizierten System sämtliche Daten, enthielt aber auch den Dekodierungsschlüssel, also die Lösung des Problems. Hätte man damals den Virus einfach von befallenen Rechnern entfernt, wären die verschlüsselten Daten für immer verloren gewesen. Der richtige Weg bestand vielmehr darin, erst den Dekodierungcode zu sichern, dann den Virus zu entfernen und schließlich seine Daten wieder herzustellen.

Die Lösung von IC5 Network mache es den Anwendern zu einfach und erziehe nicht zu sicherheitsbewußtem Verhalten, meint Joe Hartman, Direktor der Entwicklungsabteilung von Trend Micro. Bereits vorhandene Virenscanner seien in der Lage, Fizzer zu stoppen, und Benutzer mit befallenen Systemen würden sich nicht ausreichend um Sicherheitsmaßnahmen kümmern, ergänzt Hartmann. Auf lange Sicht sei daher der Ansatz, Antiviren zu schreiben, die dann den ursprünglichen Virus attackieren und zerstören, keine gute Idee. (ku/c't)

HeiseLink

________


Neue und alte Sicherheitslücken beunruhigen Windows-Nutzer


Der Internet Explorer 6.0 unter Windows 2000 erlaubt einmal mehr das Einschleusen und Ausführen von beliebigem Code. Eine präparierte HTML-Seite öffnet Frames mit Aufrufen, um lokale Dateien zu öffnen oder zu starten. So weit kein Problem, da zu jedem Aufruf explizit die Bestätigung des Benutzers erforderlich ist. Problematisch wird es, wenn mehr als 200 Frames mit solchen Aufrufen geöffnet werden. Dies flutet die Tabelle, in der die Sicherheitszonen verwaltet werden. Der Internet Explorer unterscheidet dann nicht mehr zwischen "Internet" und "lokalem Intranet", sondern führt weitere Aufrufe ohne Bestätigung des Benutzers aus. Ein Angreifer könnte in den Aufrufen nun Download und Installation eines Trojaners verstecken. Erste Demo-Exploits hierzu kursieren schon im Internet. Ein Patch ist noch nicht verfügbar.

Die Kaspersky-Labs warnen vor dem neuen Trojaner StartPage, der sich als Mass-Mailer bemerkbar macht. Nach Angaben der Virenforscher wurde in Russland Anfang der Woche eine Spam-Flut durch den Schädling verursacht. StartPage macht sich eine alte Schwachstelle im Internet Explorer 5.0 zunutze. Durch die falsche Behandlung von IFRAMES können beliebige Programme ausgeführt werden. Benutzer des IE 5.0, die aufgrund der eingangs beschriebenen Schwachstelle nun nicht mehr auf IE 6.0 upgraden wollen, können Version 5.5 mit allen erforderlichen Patches einsetzen.

Totgesagte leben länger. Auch Outlook Express 6.0 bleibt nicht verschont, auf Securityfocus wurde ein Bug in der Behandlung von HTML-Mails veröffentlicht.Offenbar handelt es sich um eine alte Schwachstelle im WebBrowser Control und dem Media Player 7.01/8.0, die nie korrigiert wurde. In HTML-Mails eingebettete Aufrufe zu anderen Media-Dateien vom Typ Audio/ASF können verwendet werden, um unbemerkt Dateien auf dem System zu installieren und auszuführen. Ein Patch existiert nicht, eine Schutzmöglichkeit besteht aber darin, sich E-Mails als "Nur Text" anzeigen zu lassen. Unter Extras/Optionen/Lesen muss dazu im Feld "Nachricht lesen" die Option "Alle Nachrichten als Nur-Text lesen" aktiviert sein. (dab/c't)


HeiseLink

FBI scheitert an PGP :st:

http://www.pcwelt.de/news/vermischtes/31271/


Verschlüsselungsverfahren wieder unter Druck

Die Diskussion über den Umgang mit starken Verschlüsselungsverfahren - und damit über Privatsphäre versus Sicherheit - war in den USA schon immer ein Thema, das in regelmäßigen Abständen auftauchte. Durch die Ereignisse um den 11. September wurde es erst recht zum heißen Eisen. Neuerlicher Anlass ist eine Schießerei zwischen der italienischen Polizei und Mitgliedern der Roten Brigade Anfang März und anschließend sichergestellte Beweismittel, berichtet Philip Willan vom IDG News Service.



Hintergrund: Mindestens zwei, vielleicht sogar noch mehr, PDAs wurden nach dem Schusswechsel sichergestellt - und auf den PDAs kommt Krypografie-Software zum Einsatz, die sich bislang allen Bemühungen der Behörden widersetzt. Auch zu dem Fall hinzugezogenen Computerexperten des U.S. Federal Bureau of Investigation (FBI) tappen noch im Dunkeln.

Die Software, die die Ermittler von den wie auch immer gearteten Infos fernhält: PGP (Pretty Good Privacy). Die Aussichten es doch noch zu schaffen, sind wohl eher bescheiden.



Der Erfinder meldet sich zu Wort

In einem Telefon-Interview erklärte der Entwickler der Software, Phil Zimmerman, dass er keine Chance für die Ermittler sähe, den Code mit Hilfe des Herstellers zu knacken. Einen Hintereingang gibt es nicht. Die einzige Möglichkeit, so Zimmermann, sei es, alternative Methoden auszuprobieren. Darunter versteht er beispielsweise, den ungenutzten Speicher nach Überresten von Texten abzusuchen, bevor diese verschlüsselt wurden.



Kritik an der Software widersetzt sich Zimmerman hartnäckig - er ist überzeugt, dass die Vorteile des einstmals als "human rights project" entwickelten Tools etwaige Nachteile bei weitem aufwiegen. Sein Hauptaugenmerk gilt folgendem: "PGP wird von jeder Menschenrechtsorganisationen in der Welt benutzt. Sie wird für etwas gutes eingesetzt. Sie rettet Leben


Nutzen für Menschenrechtsorganisationen

Auf seiner Website, www.philzimmermann.com , sind dazu diverse Dankesbriefe von Mitarbeitern von Menschenrechtsorganisationen bereitgestellt. Ein Brief vom 18. März 1996 beschreibt, wie die Software dabei half, eine zum Christentum übergetretene ehemalige Muslimin vor Übergriffen zu schützen.



Besonders stolz ist Zimmerman unserem Kollegen zufolge auf einen Brief einen Mannes aus dem Kosovo. Mit PGP-verschlüsselte Kommunikation ermöglichte es, die Evakuierung von rund 8000 Zivilisten zu koordinieren - mit serbischen Truppen im Nacken. Zimmermann dazu: "Das hätte ein weiteres Massengrab geben können."

Dementsprechend erteilt Zimmerman auch der Idee, eine Hintertür einzubauen, eine klare Absage: Es sei technisch nicht machbar, ein System mit einer Hintertür zu entwickeln, ohne dabei das Risiko einzugehen, dass der Key in die Hände eines Saddam Hussein oder eines Slobodan Milosevic fallen könnte.




das motiviert doch Verschluesselungssoftware zubenutzen die sogar noch besser ist

Chips in Euroscheinen sollen eingefuehrt werden..

na prima, das ist wieder ein kleiner Schritt zur totalen Ueberwachung...


http://www.tecchannel.de/news/20030523/thema20030523-10800.html

RFID-Chip soll Euro-Blüten verhindern


11:58:57

(tecCHANNEL.de, 23.05.2003) Die Europäische Zentralbank (EZB) plant Presseberichten zufolge die Integration von Chips in Euro-Banknoten, um den Euro besser vor Fälschungen zu schützen. Laut "Handelsblatt" verhandelt die EZB derzeit mit dem japanischen Konzern Hitachi über die Realisierung des Vorhabens.


Ein Sprecher von Hitachi habe dies bestätigt, meldet das Handelsblatt. Der so genannte "Mu-Chip" enthält RFID Tags (Radio Frequency Identification), die per Funk ausgelesen werden können. Er speichert eine 38stellige Nummer, mit der die Echtheit der Banknote eindeutig nachzuweisen ist. Um Geldfälschern das Handwerk zu legen, müssten allerdings die Geschäftskassen flächendeckend mit speziellen Scannern ausgerüstet sein.



Der ID-Chip soll auf dem Geldschein weder mit dem bloßen Auge zu erkennen noch erfühlbar sein. Hitachi bietet eigenen Angaben zufolge einen RFID-Chip an, der eine Kantenlänge von etwa 0,4 Millimetern besitzt und die Echtheit von Geldscheinen und Dokumenten gewährleisten soll. Nur: Bei einem Chip-Stückpreis von etwa sieben bis acht Cent würden sich die Kosten für die Geld-Produktion mehr als verdoppeln. Daher kann es durchaus sein, dass der Chip künftig - wenn überhaupt - eher in höherstelligen Euroscheinen (z.B. 200 Euro) eingesetzt wird.

Angesichts der derzeitigen Blüten-Lage ist die EZB fast schon zum Handeln gezwungen. Dem Handelsblatt zufolge nahm die EZB im zweiten Halbjahr 2002 rund 145.000 gefälschte Banknoten aus dem Verkehr - im ersten Halbjahr 2002 waren es lediglich 22.000. Unter einer Million echten Geldscheinen sollen im Euro-Raum rund 20 gefälschte Banknoten sein, zu D-Mark-Zeiten lag das Verhältnis laut Handelsblatt bei zehn zu einer Million. (Jürgen Mauerer)

Kamerawettbewerb zu Videoüberwachung in Deutschland

Initiative STOP1984 will umfassende Überwachungskamera-Datenbank bereitstellen


Bis zum 31.12.2003 will die Initative STOP1984 mit der Mithilfe der Internetgemeinde eine möglichst umfassende Datenbank der Überwachungskameras in Deutschland zur Verfügung stellen. Wer die meisten Fotos einsendet, dem winkt zudem ein Pokal.

STOP1984 will mit der Aktion zu einem "Seitenwechsel" aufrufen und die Überwachten zum Überwacher machen, denn diesmal sollen die Überwachungskameras selbst überwacht und vor allem katalogisiert werden. Wer möchte, kann Überwachungskameras fotografieren und die Bilder direkt auf die STOP1984.info- Homepage hochladen, wo sie von den STOP1984-Mitarbeitern geprüft und freigeschaltet werden. Wer lediglich eine analoge Kamera hat, kann den eigens eingerichteten Service nutzen, der zugesandte Bilder einscannt und hochlädt.

Die drei Teilnehmer, die bis zum 31.12.2003 die meisten Fotos eingesandt haben, erhalten einen "Shooting Star"-Pokal mit Gravur. STOP1984 will auf diese Weise auf die zunehmende Videoüberwachung aufmerksam machen, da die meisten Kameras nicht einmal ausgeschildert sind.

GolemLink

_______


Gartner warnt Firmen vor Passport-Nutzung


MÜNCHEN (COMPUTERWOCHE) - Anlässlich der jüngst bekannt gewordenen Sicherheitsprobleme mit Microsofts Internet-SSO-Dienst (Single Sign-On) "Passport" (Computerwoche online berichtete) warnt Gartner Unternehmen davor, das System für die Authentifizierung von Kunden zu nutzen. Und zwar mindestens sechs Monate lang bis November 2003 (so lange dauert aus Sicht von Research Director Avivah Litan ein ordentlicher Sicherheits-Check) beziehungsweise bis Microsoft "adäquate" Sicherheit garantieren könne.
Derzeit existieren rund 200 Millionen Passport-Kunden. Neben Microsoft selbst nutzen auch andere Firmen den Service, darunter die Nasdaq, Ebay und Starbucks. Diesen rät Gartner außerdem, für all ihre ausgegebenen Passport-Identitäten in zusätzliche und sicherere Authentifizierungsmethoden zu investieren. Ein Microsoft-Sprecher bezeichnete Gartners Ratschläge als "unkonstruktiv". Passport sei zuverlässig und man habe aus der jüngsten Episode gelernt. "Auch wenn wir wissen, dass wir immer alles noch besser machen könnten, glauben wir, dass wir solide Prozesse und Prozeduren etabliert haben, um Passport vertrauenswürdig zu betreiben", so der Microsoft-Mann.

Neben Passport schade Microsofts Sicherheitsproblem auch der konkurrierende Liberty Alliance, so Gartner, auch wenn diese derzeit nicht als Service, sondern als Set XML-basierender Spezifikationen existiere. Aus Sicht des Endnutzers mache das wenig Unterschied, beide sähen gleich aus unabhängig von der im Hintergrund verwendeten Architektur. Analystin Litan erwartet allerdings nicht, dass Libertys Vordringen im B2B-E-Commerce durch die Passport-Panne beeinträchtigt wird. (tc)


ComputerWocheLink


________


Sicherheits-Update für Sicherheits-Tool Nessus



Die jüngst freigegebene Version 2.0.6 des Netzwerksicherheits-Scanners Nessus behebt unter anderem einen Fehler, der es Benutzern erlaubt, beliebigen Code mit Root-Rechten auszuführen. Anzeige


Das Open-Source-Projekt Nessus ist ein Client-Server-System zur Sicherheitsüberprüfung von Netzwerken. Es enthält eine eigene Skript-Sprache, in der sich Prüfungen von Sicherheitslücken programmieren lassen. Diese Skripte laufen in einer gesicherten Umgebung auf dem Server ab (Sand-Box). Unter gewissen Bedingungen können Angreifer mehrere Fehler in älteren Versionen des Skript-Interpreters ausnutzen, um ihr Plugin aus der Sand-Box ausbrechen zu lassen und dann beliebigen Code mit Root-Rechten auf dem Nessus-Server auszuführen.

Allerdings brauchen sie dazu einen Nessus-User-Account auf dem Server und außerdem das Recht, Plugins zu installieren. Der Nessus-Server unterbindet dies in den Default-Einstellungen. Die Entwickler des Tools empfehlen dennoch dringend ein Upgrade auf die aktuelle Version 2.0.6. (je/c't)


HeiseLink

GMX landete auf Open-Relay-Blacklist

DNS-Blocklisten spielen bei der Abwehr von Spam-Mails eine immer größere Rolle. Neben anderen hat sich die Non-Profit-Organisation "Open Relay Database" (ORDB) der Pflege einer solchen Liste verschrieben: Sie testet SMTP-Server mit einem automatisierten Verfahren darauf hin, ob sie von nicht authentifizierten Gegenstellen Mails annehmen und an die Zieladresse weiterleiten. Tun sie das, gelten sie als so genannte "offene Relays" und damit als Spammer-freundlich. Die Folge: Sie werden in die ORDB-Blacklist aufgenommen. Anzeige


In der Nacht von Sonntag auf Montag dieser Woche nun nahm ORDB die SMTP-Server des E-Mail-Services GMX unter die Lupe. Dem ORDB-System gelang es, ohne Authentifizierung Nachrichten über mail.gmx.net abzusetzen, wenn es bestimmte Absender-Adressen angab. Es ist eher unwahrscheinlich, dass Spammer diese Lücke schon entdeckt und für ihre Zwecke genutzt haben. Dessen ungeachtet waren damit die ORDB-Kriterien für ein offenes Relay erfüllt -- die auf mail.gmx.net auflösenden IP-Adressen wanderten sofort in die Blacklist.

Für die GMX-Kunden hatte dieser kleine Eintrag unmittelbare Folgen. Sehr viele Mail-Provider nutzen die ORDB-Blacklist, um Nachrichten von SMTP-Servern, die in der Open Relay Database gelistet sind, zurückzuweisen. GMX-Kunden war es plötzlich nicht mehr möglich, Kunden dieser Provider Mails zu schicken -- sie konnten plötzlich einen Teil des Internet nicht mehr per E-Mail erreichen. Gerade die ORDB-Blacklist gilt als recht zuverlässig und wird sehr oft genutzt. So ist sie beispielsweise in der Standardkonfiguration des beliebten Anti-Spam-Tools Spam Assassin eingebunden.

Für GMX, das gerade durch die Implementierung eines umfangreichen Spam-Schutzes für die Kunden auf sich aufmerksam gemacht hat, ist die Angelegenheit recht peinlich. Als der Fall in den Usenet-Foren publik wurde, ergoss sich schnell Häme über das Unternehmen.

Gegenüber heise online machte GMX-Produkt-Manager Thomas Röder keinen Hehl daraus, dass er auf ORDB nicht gut zu sprechen ist. Es sei sehr schwer gewesen, auf einem unbürokratischen Weg dafür zu sorgen, schnell wieder von der Liste genommen zu werden: "Alle Versuche der raschen, direkten Kontaktaufnahme seitens GMX scheiterten an der Anonymität, in die sich ORDB hüllt." Der angebotene Weg über das Kontaktformular habe sich als langsam erwiesen. Mittlerweile ist GMX nach einem erneuten ORDB-Test wieder von der Blacklist verschwunden.

Röder äußerte Zweifel am Sinn der Testkriterien: "ORDB hatte für den Open-Relay-Check zwei GMX-Adressen verwendet, die nicht auf SMTP-Auth konfiguriert waren." In der eigenen Open-Relay-Definition beschreibe ORDB ein solches System aber als einen Mail-Server, der Nachrichten weiterleite, "bei denen weder der Sender noch der Empfänger ein lokaler Nutzer ist". In den von ORDB dokumentierten Fällen habe es sich aber eindeutig um "local user" gehandelt.

Der Fall dokumentiert, dass sich die Betreiber der DNS-Blacklists eine große Verantwortung aufbürden. Ein Eintrag kann ein Mail-System über Nacht unbrauchbar machen. Für Röder ist die Sache klar: "GMX muss nach diesen Erfahrungen leider vor der vorbehaltlosen Verwendung von automatisch generierten Blocklisten warnen, insbesondere, wenn kein direkter Support geboten wird." (hob/c't)

HeiseLink

Alte WebDAV-Schwachstelle jetzt auch in Windows XP entdeckt [2. Update]

Still und heimlich hat Microsoft sein Bulletin MS03-007 aktualisiert. Die Schwachstelle, die bisher nur Windows 2000 und NT 4.0 tangierte, ist in Windows XP ebenfalls vorhanden. Ein falsch behandelter Puffer kann von einem Angreifer ausgenutzt werden, beliebigen Code auszuführen: Das Problem besteht im Zusammenhang mit Microsofts Webserver Internet Information Server und WebDAV. Das vom IIS eingesetzte Web Distributed Authoring and Versioning weist eine Sicherheitslücke auf, die Angreifer zum Ausführen beliebigen Codes nutzen können. Gelingt dies dem Angreifer, so läuft dieser Code im Sicherheitskontext des IIS.

Benutzer, die ein Windows-XP-Update starten, wundern sich derzeit über ein angebotenes Sicherheitsupdate Q815021 -- der entsprechende Knowledgebase-Artikel entpuppt sich dann als neue Version des Security-Advisories MS03-007. Das aktualisierte Bulletin ist mittlerweile in deutsch erhältlich, allerdings nur auf der österreichischen Seite von Microsoft. Der deutsche Patch kann auch hier bezogen werden. (dab/c't)


HeiseLink

_________


Loch in Windows Media Services doch kritischer



In seinem Advisory MS03-19 empfiehlt Microsoft das Einspielen des neuesten Patches, um möglichen Denial-of-Service-Angriffen gegen den IIS vorzubeugen -- stuft den Fehler aber als nicht kritisch ein. Auf Buqtraq wird allerdings davon ausgegangen, dass der Fehler weit schwerwiegender ist, als Microsoft selbst zugibt. Demzufolge soll das Sicherheitsloch geeignet sein, beliebigen Code auf dem Server auszuführen. Der Entdecker des Bugs, Brett Moore, bestätigt, dass die Schwachstelle zu weit mehr nutzbar ist, als nur einen Crash des Servers auszulösen. Die Security-Experten von eEye hätten dies ebenfalls festgestellt.

Betroffen sind Windows NT 4.0 und 2000 -- aber nur wenn die Windows Media Services nachinstalliert wurden. In der Grundinstallation sind die Windows Media Services nicht enthalten. Microsoft hat die Bedeutung dieses Fehlers lediglich als "moderate" eingestuft. Die Media Services für Windows 2000 und NT dienen dazu, Medieninhalte an Clients zu streamen. (dab/c't)


HeiseLink

Programmcode ausführbar in Windows NT / 2000 / XP

Betriebsystem: Microsoft Windows NT 4.0 / 2000 / XP
Typ: Pufferüberlauf


Problem: Die Programmbibliothek ntdll.dll enthält eine Sicherheitslücke, die einen Pufferüberlauf verursacht. Dies geschieht durch eine überlange HTTP-Anfrage an einen IIS 5.0 Webserver (mit WebDAV). Lokal angemeldete Benutzer können die Schwachstelle ebenfalls zur Erhöhung ihrer Privilegien ausnutzen.
Effekt: Angreifer können beliebige Programmcode auführen. Im Falle eines Angriffs auf den IIS-Webserver erhält der Angreifer Systemprivilegien.
Lokal: ja
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Offizieller Patch für Microsoft Security Bulletin MS03-007


Veröffentlicht: 30.05.2003
Aktualisiert: 30.05.2003
Quelle: Microsoft Security Bulletin MS03-007

Quelle ComputerSecurity.de

Sobig.C: Wurm mit Ablaufdatum

Virus deaktiviert sich am 8. Juni

Internet (pte, 2. Jun 2003 13:43) - Virenschützer wie Sophos http://www.sophos.com oder Symantec http://www.symantec.com warnen vor einer neuen Variante des Wurmes Sobig, die sich zurzeit im Internet rasant verbreitet. Der Virus Sobig.C ist am vergangenen Wochenende erstmals aufgetreten und wie sein Vorgänger nur eine Woche aktiv. Der Wurm deaktiviert seinen Verbreitungsmechanismus am 8. Juni 2003. Wird danach das Attachment mit Wurm geöffnet, dann installiert sich zwar der Wurm. Der Schädling verbreitet sich allerdings nicht mehr weiter.

Sobig.C versendet sich an alle E-Mail-Adressen im Adressbuch des Opfers. Die Absendeadresse wird aus 52 Möglichkeiten gewählt, darunter werden auch Adressen wie *@microsoft.com oder *@winzip.com aufgeführt. Sobig.C führt nach Angaben von Symantec eine von sechs Betreffzeilen "Re: Movie", "Re: Submitted (004756-3463)", "Re: 45443-343556", "Re: Approved", " Approved", "Re: Your application" oder "Re: Application". Das Attachment mit dem eigentlichen Wurm ist als Worddokument oder Screensaver getarnt. Der Vorgänger, Sobig.B wurde ursprünglich "Palyh" getauft und trat Mitte Mai auf. (Ende)


PresseTextLink

______


Schwachstelle in Yahoo Messenger


Yahoo veröffentlichte am Wochenende ein Security Advisory, in dem vor einem Buffer Overflow im Audio-Conferencing-ActiveX-Control gewarnt wird. Kann ein Angreifer HTML-Dokumente manipulieren, die ein Benutzer aufruft, so wird man aus dem Chat ausgeloggt und der Browser stürzt ab; theoretisch lässt sich sogar beliebiger Code ausführen. Auf den Seiten von Yahoo kann der Benutzer testen, ob er betroffen ist und sich von dort ein Update herunterladen. (dab/c't)


HeiseLink


_______


Sicherheitslöcher in alten Apache-Versionen aufgedeckt [Update]


Nachdem vergangene Woche ein neuer Release von Apache zu Verfügung gestellt wurde, werden nun Schwachstellen in den Vorgängerversionen bekannt gegeben. Sie wurde bereits im März entdeckt, jedoch zunächst nur der Apache Software Foundation mitgeteilt. Diese hatte ausreichend Gelegenheit, den Fehler zu beheben und eine neue Apache-Version 2.0.46 bereitzustellen. Schon vorher wurde über einen Fehler im Modul mod_dav berichtet, der nicht näher beschrieben wurde und in Version 2.0.45 eigentlich behoben sein sollte.

Ursache der Schwachstelle ist ein Buffer Overflow in der Apache-Portable-Runtime-Bibliothek, die Strukturen und Routinen zur einfachen Portierung auf beliebige Betriebssysteme zur Verfügung stellt. Übergibt man dort an eine Funktion einen zu langen String, so stürzt Apache ab. Beliebiger Code könnte prinzipiell auch eingeschleust und ausgeführt werden, ein Exploit existiert aber noch nicht.

Von dem Fehler betroffen sind die Module:


mod_dav
mod_rewrite
mod_ssl
mod_usertrack
mod_alias
mod_dir
mod_imap
mod_speling
mod_proxy

Verwendet man diese Module, so sollte die Apache-Version 2.0.46 installiert werden. Apache 1.3.2x ist nicht betroffen.

Interessant ist die Zusammenarbeit, die zur Behebung des Sicherheitslochs führte. Bevor die Schwachstelle veröffentlicht wurde, haben die Sicherheitsexperten von iDefense die Apache Software Foundation informiert, um dann in Zusammenarbeit das Leck zu stopfen. An dieser Vorgehensweise scheiden sich die Geister: Einige sind der Meinung, eine Schwachstelle müsse sofort veröffentlicht werden, während andere die Meinung vertreten, dem Hersteller müsse Gelegenheit zum Nachbessern gegeben werden.

Microsoft steht auf dem Standpunkt, dass Schwachstellen überhaupt nicht veröffentlicht werden sollten. Allerdings lassen sich die Entdecker der Fehler selten darauf ein. Der vergangene Woche veröffentlichte kumulative Patch für den IIS beseitigt Fehler, über die Microsoft nach Angaben von NSFocus im November 2002 informiert wurde.

Siehe hierzu auch:

RFC für Veröffentlichung von Sicherheitslücken kommt doch nicht


HeiseLink

Spam übernimmt Führung im weltweiten Mail-Aufkommen

MÜNCHEN (COMPUTERWOCHE) - Laut einer Untersuchung der Firma Message Labs waren im vergangenen Monat rund 51 Prozent der weltweit kursierenden Mail-Nachrichten Spam. Damit überwog im Mai zum ersten Mal der Anteil der Massenwerbesendungen. Für seine Untersuchung analysierte der Anbieter von Mail-Sicherheitsservices und Anti-Spam-Tools knapp 134 Millionen Mail-Sendungen, die durch die Netze seiner Kunden flossen. Die Spam-Flut habe mittlerweile ein Niveau erreicht, angesichts dessen man nicht mehr nur von einem lästigen Übel sprechen könne, warnt Mark Sunner, Chief Technology Officer (CTO) bei Message Labs. Die Werbesendungen verursachten Produktivitätseinbußen und kosteten die Unternehmen dadurch auch Geld. Zwar hätten Internet Service Provider (ISPs) und Gesetzgeber in verschiedenen Staaten mittlerweile Maßnahmen gegen Spam ergriffen. Er rechne allerdings damit, dass diese erst in zwei oder drei Jahren Wirkung zeigen. Auch Ryan Hamlin, Leiter von Microsofts Anti-Spam Technology and Strategy Group, hat wenig Hoffnung, das Problem in absehbarer Zeit einzudämmen. Viele Menschen würden aufgrund der Werbeflut bereits mit dem Gedanken spielen, sich vom Kommunikationsmittel E-Mail wieder zu verabschieden. Seiner Einschätzung nach könnte der Anteil von Spam am gesamten Mail-Aufkommen bis zum Jahresende auf 65 bis 70 Prozent ansteigen. Er hoffe jedoch, dass ab 2004 gesetzliche Regelungen gegen unlautere Werbung erste Wirkung zeigen. (ba)



ComputerWocheLink

_____


Patch für MAILsweeper for SMTP veröffentlicht


Clearswift hat einen Patch für MAILsweeper for SMTP veröffentlicht. Betroffen ist nach Angaben des Herstellers die Versionen 4.x. Clearswift empfiehlt ein Update auf Version 4.3.10, ein entsprechender Patch ist verfügbar.

Die Schwachstelle liegt in der Behandlung von Mail-Attachments: Speziell präparierte RTF-Dokumente können MAILsweeper in eine Endlosschleife zwingen. Der Dienst nimmt keine weiteren Anfragen mehr entgegen. Eine einzige E-Mail genügt somit, um MAILSweeper zum Absturz zu bringen und den kompletten Mailverkehr lahm zu legen.

MAILsweeper wird eigentlich eingesetzt, um genau solche Szenarien zu verhindern und Netzwerk-Clients zu schützen. Als Contentscanner untersucht er E-Mails und Attachments und verwirft diese, falls sie verdächtig erscheinen. (dab/c't)

HeiseLink


_______



Internet-Nutzer sollen kostenpflichtige Dialer sperren können


Die Bundesregierung will ihren Gesetzentwurf zur Bekämpfung des Missbrauchs von 0190er-/0900er-Rufnummern erweitern. Verbraucher sollen künftig Nummernkombinationen, die ausschließlich für Dialer zur Verfügung stehen, gesondert sperren können. In den Entwurf solle eine Regelung aufgenommen werden, wonach kostenpflichtige Dialer nur über eine bestimmte, von der Regulierungsbehörde zur Verfügung gestellte "Gasse" angeboten werden dürfen.

Der Bundestag will die Regelungen gegen den Missbrauch der "Mehrwertdienstenummern" noch in dieser Woche beschließen. Dabei geht es um eine Vielzahl verschiedener Bestimmungen. Unter anderem dürfen Anrufe künftig maximal 3 Euro pro Minute kosten. Nach einer Stunde muss die Verbindung automatisch getrennt werden. Der Preis für die Nutzung der Nummer muss künftig angegeben werden, bevor Kosten für den Kunden entstehen. Jeder Nutzer soll bei der Regulierungsbehörde außerdem Namen und ladungsfähige Anschrift eines Anbieters erfragen können.

Die Unionsmehrheit im Bundesrat hatte in ihrer Stellungnahme den Entwurf zwar grundsätzlich begrüßt, ihn aber nicht für ausreichend befunden. Der Bundesrat hatte gefordert, alle Dialer in die Regelung einzubeziehen und ein Ausweichen auf andere, nicht geregelte Nummerngassen nicht zuzulassen. Unseriöse Angebote und Praktiken schadeten zunehmend der Entwicklung des Marktes für Mehrwertdienste und dem seriösen Angebot der Anbieter.

Der Entwurf der Bundesregierung fördere zwar die Transparenz, weise jedoch noch gravierende Lücken auf, so die Länderkammer weiter. Sie hatte auch beanstandet, dass die Befugnisse der Regulierungsbehörde zum Entzug oder zur Abschaltung von Rufnummern selbst bei "gesicherter Kenntnis einer rechtswidrigen Nutzung" lediglich als "Kann-Vorschriften" ausgestaltet seien. Der Verbraucher sollte bei jeder Internetverbindung, die durch einen Dialer hergestellt wird, zunächst eine aktuelle Preisinformation online erhalten, die er durch Anklicken bestätigen muss, bevor eine kostenpflichtige Verbindung zustande kommt. Auch sei die Preisobergrenze von 3 Euro pro Minute zu hoch, hieß es im Bundesrat. Die Bundesregierung will weitere Maßnahmen prüfen. Der Bundesrat muss dem Gesetz zustimmen. (anw/c't)


HeiseLink

Microsoft überarbeitet Patch-Installationen

Bis Ende des Jahres sollen nur zwei Installer-Routinen übrig bleiben


Microsoft plant, die Installer für Software-Patches zu vereinheitlichen, um so aus den derzeit acht Installern nur noch zwei zu machen. Das teilte der Chief Security Strategist Scott Charney von Microsoft mit. Eine Arbeitsgruppe soll den Plan bis Ende des Jahres umsetzen.

Scott Charney berichtete, dass er kurz nach seinem Eintritt bei Microsoft am 1. April 2002 untersuchte, wie das Patch-Management bei Microsoft organisiert ist. Dabei stellte er fest, dass es keine einheitlichen Patch-Routinen gibt und insgesamt acht verschiedene Installer existieren.

Eine eingesetzte Arbeitsgruppe - die Patch Management Working Group - soll bis Ende des Jahres daraus nur noch zwei Installer machen, so dass hier eine größere Transparenz für den Anwender erreicht wird. Während der eine Installer für Aktualisierungen des Betriebssystems zuständig ist, kümmert sich der andere um die übrigen Microsoft-Applikationen, wenn diese aktualisiert werden müssen. Beide Installer sollen dabei eine einheitliche Bedienoberfläche verpasst bekommen.

Als Weiteres will Scott Charney ein zentrales Tool zur Verfügung stellen, das nach fälligen Updates für alle installierten Microsoft-Produkte sucht. Nach Microsoft-Angaben werden 95 Prozent aller Sicherheitslücken erst nach Veröffentlichung entsprechender Security Bulletins samt passender Patches von Angreifern ausgenutzt. Daher will Microsoft das Patch-Management für die Anwender erleichtern, um hier für eine höhere Sicherheit zu sorgen.

GolemLink

_____


Bildet Nordkorea Cyber-Soldaten aus?


MÜNCHEN (COMPUTERWOCHE) - Wenn es nach der südkoreanischen Regierung geht, dann bildet der nordkoreanische Nachbar seit zwei Dekaden Jahr für Jahr 100 Cybersoldaten aus, die in digitaler Kriegführung geübt sind. Graduierte einer Militärakademie namens Mirim in der Region Hyungsan würden ausgebildet, Viren zu schreiben, sich in Netzwerke einzuschleusen und Waffenlenksysteme zu programmieren. Seit mindestens 1994 warnen Militär- und Sicherheitsexperten in Seoul, der Hauptstadt Südkoreas, vor der drohenden Gefahr, die angeblich von der Cyberwar-Akademie (auch als Automated Warfare Institute bezeichnet) ausgeht.
Mitte Mai 2003 hatte Südkoreas Kommando für Sicherheits- und Verteidigungsfragen auf einem Seminar zur Sicherheit im Cyber-Zeitalter die Möglichkeit angedeutet, Nordkorea verstärke wieder seine Cyberterror-Kapazitäten. Spezialisten aus dem US-amerikanischen Verteidigungs- und Außenministerium sehen dies allerdings ganz anders. Sie könnten nicht feststellen, dass Südkoreas Aussagen zutreffen. Sie könnten nicht einmal die Existenz der Militärakademie Mirim bestätigen. Einige US-Verteidigungsexperten gehen so weit, wiederum Südkorea zu beschuldigen, es lanciere die Anschuldigungen bewusst. Nordkorea sei nicht in der Lage, das US-Militär ernsthaft durch Hacker-Attacken zu gefährden. (jm)


ComputerWocheOnlineLink


_____


Microsoft weitet Initiative für Vertrauenswürdigkeit aus


Scott Charney, Chefstratege bei Microsoft für Trustworthy Computing, hat auf der Tech Ed in Dallas neue Sicherheitsinitiativen verkündet. So soll es eine Art Trainings- und Zertifizierungsprogramm für Systemadministratoren und Techniker geben, durch die sie sich Fertigkeiten für die spezifischen Sicherheitsanforderungen von kritischen Systemen aneignen können sollen, verkünden die Redmonder.

Am Abschluss der neuen Schulungsprogramme stehen die Sicherheits-Zertifikate Microsoft Certified Systems Administrator (MCSA) und Microsoft Certified Systems Engineer (MCSE) für Windows 2000, die in Kürze erhältlich sein sollen. Wenn die spezifischen Prüfungsanforderungen erstellt worden sind, soll es die beiden Zertifikate auch für Windows Server 2003 geben -- nach Angaben von Microsoft etwa im Laufe des Jahres. Die Prüfung zum MCSA wurde im Oktober 2001 angekündigt. Sie umfasst eine Untermenge der MCSE-Prüfung.

Was sich hinter der Vereinbarung verbirgt, die Microsoft mit VeriSign geschlossen hat, konkretisierte Charney ein wenig zusammen mit Nico Popp von VeriSign. Sie verkündeten Pläne zur Entwicklung einiger Sicherheitsvorkehrungen für Unternehmenskunden. Diese schließen eine Public Key Infrastructure (PKI) zur automatischen Registrierung von VeriSign-Zertifikaten ein sowie eine Zusammenarbeit der Zertifizierungsstellen beider Unternehmen basierend auf Windows Server 2003. VeriSign wird in diesem Rahmen unter anderem SSL-Zertifikate für den Handel über das Internet vertreiben.

Charney kündigte in seiner Keynote auf der Tech Ed auch an, man werde das Umgehen mit den Patches für Sicherheits-Updates und Bug-Fixes überarbeiten. Das Patch-Management sei unbenutzbar und "kaputt", meinte Microsofts Sicherheitsspezialist; man habe beispielsweise acht verschiedene Installer für Patches, und einige der Updates registrierten sich beim Betriebssystem, andere nicht. Zum Ende des Jahres will Charney zumindest diesen Wildwuchs auf zwei Installationswege reduziert haben, einen für Betriebssysteme und einen für Anwendungen. In Zukunft soll es auch ein einheitliches Bedien-Interface für das Patch-Management geben. Man werde Werkzeuge haben, die installierte Patches und die Notwendigkeit für Updates für das gesamte Spektrum der Microsoft-Produkte überprüfen könnten. (anw/c't)


HeiseLink

Zwei kritische Sicherheitslücken bei Internet Explorer


Alle aktuellen Versionen betroffen

Redmond (pte, 5. Jun 2003 10:56) - Microsoft warnt in seiner Security Bulletin MS03-20 vor zwei kritischen Sicherheitslücken in seinem Internet Explorer. Betroffen sind nach Angaben des Softwarekonzerns die Versionen 5.01, 5.5 und auch 6.0. Selbst der Internet Explorer 6.0 für Windows Server 2003 bleibt nicht verschont. Die Lecks erlauben einem Angreifer den vollständigen Zugriff auf das System seines Opfers. Der Konzern hat bereits Sammelpatches zum Download bereitgestellt. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-020.asp

Die erste Sicherheitslücke ergibt sich aus der Möglichkeit zu einer Buffer-Overflow-Attacke, weil der Internet Explorer von einem Web-Server stammende Objekt-Typen nicht korrekt bestimmt. Um dieses Leck auszunutzen muss der Angreifer sein Opfer nur auf eine entsprechend präparierte Webseite locken oder eine HTML-Mail zusenden.

Das zweite Leck betrifft einen Fehler im Handling der Dialogbox für File-Downloads. Auch über diese Sicherheitslücke kann ein Angreifer beliebige Codes auf dem System seines Opfers ausführen. Der Angreifer muss wieder sein Opfer nur auf eine vorbereitete Webseite locken, weitere Aktionen des Benutzers sind nicht notwendig. Das Leck kann aber auch mit einer HTML-Mail ausgenutzt werden.

Microsoft empfiehlt allen Benutzern, den Sicherheits-Patch für ihren Internet Explorer einzuspielen. Die Sammelpatches für alle betroffenen Versionen, die auch mehrere andere kürzlich entdeckte Sicherheitslücken verschließen, können bereits in Deutsch über das Download-Service von Microsoft heruntergeladen werden. http://www.microsoft.com/windows/ie/downloads/critical/818529/default.asp (Ende)


PresseTextLink


_______



Einwahlnummern von Call2Surf wegen Hackerangriff lahm gelegt


Probleme sollen bis heute Nachmittag behoben sein


Der Internet-Provider Call2Surf hat bekannt gegeben, dass auf Grund eines "schwerwiegenden Hackerangriffs" auf die eigenen Server im Rechenzentrum Hannover seit dem Abend des gestrigen 4. Juni 2003 einige Einwahlnummern nicht genutzt werden könnten. Insgesamt seien fünf Rufnummern betroffen.

Betroffen sollen die Einwahlnummern 019193153, 019193154, 019193155, 019193157 und 019193180 sein. Man arbeite bereits seit 2 Uhr morgens an der Beseitigung der Probleme. Call2Surf-Geschäftsführer Jürgen Magdziarz geht davon aus, dass man den Dienst bereits am heutigen Nachmittag wieder in gewohnter Form zur Verfügung stellen könne.

GolemLink

Aktuelle Sicherheitslücken

Code ausführbar im Microsoft Internet Explorer

Software: Microsoft Internet Explorer 5.01 / 5.5 / 6.0
Typ: Pufferüberlauf / Programmfehler


Problem: IE kann bestimmte, von einer Website stammende Objekttypen nicht korrekt bestimmen und hat unter bestimmten Umständen Probleme mit dem Handling von Filedownload Dialogboxen.
Effekt: In beiden fällen können Angreifer über eine präparierte Website bzw. HTML-Email, die das Opfer aufruft, beliebigen Programmcode auf dem betroffenen System ausführen.
Lokal: ja
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Offizieller Patch zu Microsoft Security Bulletin MS03-020


Veröffentlicht: 05.06.2003
Aktualisiert: 05.06.2003
Quelle: Microsoft Security Bulletin MS03-020

Return of the Bugbear


Version B kommt von Down Under

Sydney (pte, 5. Jun 2003 16:05) - Virenschützer melden das Auftauchen einer neuen Version des Bugbear-Virus. Bugbear.B verbreitet sich nach Angaben von Sophos und Symantec rasant in Australien und den USA. Sie befürchten inzwischen, dass sich der Wurm vor allem auf privaten PCs verbreiten wird. Richtig gewartete Unternehmensnetzwerke und Virenschutz-Lösungen sollten dagegen nicht bedroht sein. http://www.sophos.com/virusinfo/analyses/w32bugbearb.html

Bugbear.B gleicht weitgehend seinem Vorgänger, der in den letzten Monaten des Jahres 2002 sich weit verbreitet hat. Der Wurm errang den zweiten Platz in der "Jahreswertung" von Sophos. Diese Version von Bugbear tarnt sich allerdings besser als die erste Ausführung. So verwendet der Schädling eine der auf dem PC des Opfers gefundenen E-Mail-Adressen um seinen Ursprung zu tarnen. Der Wurm verbreitet sich an alle E-Mail-Adressen im Verzeichnis des Benutzers. Neben E-Mail versucht sich der Wurm auch über gemeinsame Netzwerkressourcen zu verbreiten.

Bugbear.B versucht weiterhin die seit zwei Jahren bekannte MIME-Sicherheitslücke (Multipurpose Internet Mail Extension) im Outlook zu nutzen. Wurde der entsprechende Patch nicht eingespielt, so muss der Benutzer nicht das Attachment der Mail öffnen, sondern bloß den Text in der Vorschau betrachten, um seinen PC zu infizieren. Das Attachment selbst mit dem Wurm verfügt über zwei Extensions mit .exe, .scr oder .pif zum Schluss. Der Name des E-Mail-Anhangs wird zufällig generiert. Der Wurm versucht ein Backdoor auf dem System des Opfers zu installieren und verfügt über eine Key-Logging-Funktion. Daneben versucht der Wurm verschiedene Sicherheitsprogramme auf dem Computer des Opfers zu deaktivieren. (Ende)


PresseTextLink

_______


Bundestag verabschiedet Gesetz gegen Dialer-Missbrauch


Mehr Transparenz und Preisgrenzen sollen Verbraucher schützen


Der Bundestag hat gestern ein neues Gesetz zum Schutz vor so genannten 0190/0900-Dialern verabschiedet. Das neue Gesetz soll Verbraucher vor ungerechtfertigten Forderungen betrügerischer Anbieter schützen.

So soll das Gesetz zukünftig für mehr Transparenz sorgen. Verbraucher erhalten ein Auskunftsrecht gegenüber der Regulierungsbehörde für Telekommunikation und Post um zu erfahren, wer sich hinter den entsprechenden Diensten befindet. So sollen Verbraucher die Adressen von Unternehmen bekommen, die in Deutschland im Falle von Missbrauch haftbar gemacht werden können. Möglich wird dies unter anderem dadurch, dass Betreiber von Dialer-Diensten diese in Zukunft bei der Regulierungsbehörde für Telekommunikation und Post registrieren lassen müssen und auf eine Nummerngasse beschränkt werden.

Auch soll es bei 0900er- und 0190er-Nummern zukünftig eine Preisobergrenze von 2 Euro pro Minute bzw. 30 Euro pro Einwahl geben und die Anbieter verpflichtet werden, die Verbindung nach einer Stunde automatisch zu trennen, sofern ein Nutzer dies nicht explizit anders wünscht. Dabei müssen die Tarife vor jedem Gespräch angesagt werden, noch bevor ein Entgelt bezahlt werden muss.

Auch soll mit dem Gesetz durch verschärfte Bußgeldvorschriften eine größere Abschreckung erzielt werden. So kann die Regulierungsbehörde zukünftig eine Strafe bis zu 100.000 Euro und nicht wie bisher bis zu 20.000 Euro verhängen.

GolemLink

Microsoft kauft Antiviren-Technik

Antiviren-Technologien von GeCAD sollen Sicherheit von Windows erhöhen


Microsoft kauft alle Rechte und Technologien des rumänischen Antiviren-Spezialisten GeCAD Software. Man wolle mit der Übernahme die Sicherheit der Windows-Plattform durch Antiviren-Lösungen erhöhen, so Microsoft. Das Unternehmen will dabei die Unterstützung für Antiviren-Lösungen von Drittanbietern verbessern und diesen so einen besseren Zugang zum System verschaffen.

Mit dem Wissen und der Erfahrung, die man jetzt bei GeCAD eingekauft habe, will Microsoft das eigene Verständnis in Bezug auf mögliche Angriffspunkte verbessern, um sich wieder mehr der eigentlichen Verbesserung der Plattform widmen zu können. So will Microsoft auf der einen Seite den Anteil der Kunden erhöhen, die eine ständig aktualisierte Antiviren-Software nutzen. Auf der anderen Seite will man aber auch neue Lösungen gegen künftige Angriffsmodelle entwickeln.

Microsoft sieht die Übernahme als Teil seiner Trustworthy-Computing-Initiative sowie als Fortsezung diverser Aktivitäten im Antiviren-Bereich. So hat Microsoft mit der Windows File System Filter Manager Architektur im April 2003 eine Schnittstelle für Hersteller von Antiviren-Software angekündigt und im Mai 2003 die Virus Information Alliance (VIA) ins Leben gerufen.

Details zu der Übernahme nannte Microsoft nicht.


GolemLink


________



Bugbear.B zielt auf Banken



MÜNCHEN (COMPUTERWOCHE) - Der vergangene Woche aufgetauchte Internet-Wurm "Bugbear.B" (Computerwoche online berichtete) ist darauf ausgelegt, Passwörter von Banken auszuspionieren. So enthält der Quellcode des Schädlings die Web-Adressen von Geldinstituten wie J.P. Morgan, American Express, Wachovia, Bank of America und Citybank.

Das von der US-Regierung eingerichtete Department of Homeland Security warnte die Unternehmen, deren Sicherheitssysteme den Wurm nach eigenen Angaben erfolgreich geblockt haben. Bugbear ist so programmiert, dass eine spezielle Routine nach Passwörtern sucht, sobald er an eine Mail-Adresse geschickt wird, die zu einem der Kreditinstitute gehört. Nun fahndet die US-Bundespolizei FBI nach dem Autor des Wurms, der Passwörter an zehn Mailboxen weitergeleitet hat. Diese sind jedoch sehr wahrscheinlich unter falschem Namen bei kostenlosen Diensten wie MSN eingerichtet worden. (lex)


ComputerWocheLink


________



Erneut Website-Sperrungen in der Schweiz


Für viel Aufregung in der Schweiz hatte eine Kantons-Richterin gesorgt, als sie Ende des vergangenen Jahres per Anordnung die Sperrung von einigen, angeblich inkriminierten Websites sorgen wollte. Viele Provider hatten gegen die Verfügung Rekurs eingelegt und bekamen im April 2003 schließlich Recht: Die ohnehin juristisch umstrittene Verfügung wurde aufgehoben.

Doch damit wollte sich Francoise Dessaux, die erwähnte Untersuchungsrichterin aus dem Kanton Waadt, nicht abfinden. Offenbar sind ihr die entsprechenden Websites weiterhin ein Dorn im Auge. Weil ihre Verfügung keinen Bestand hatte, griff sie zu drastischen Mitteln: In einem Schreiben vom 16. Mai an mehrere Provider, das heise online vorliegt, erklärte sie alle ISPs, die freien Zugang zu den Websites zulassen, kurzerhand zu Mittätern.

Sie forderte in dem Schreiben von den Providern nicht nur, die Websites selbst für die Kundschaft zu blockieren, sondern auch die Sites des Thailändischen Webhosters c9c.net. Der Grund: c9c.net führt per Redirect zu aktuellen Mirror-Sites mit den betroffenen Inhalten. Für den Fall, dass die Provider ihrer Bitte nicht nachkommen sollten, drohte die Richterin ihnen unverblümt mit der Eröffnung eines Strafverfahrens wegen angeblicher Beihilfe zur Verleumdung, Beschimpfung und übler Nachrede.

Mit Bluewin, dem zur Swisscom gehörigen Zugangs-Provider, ließ sich ausgerechnet der größte Schweizer Provider von dem Schreiben der Richterin beeindrucken. Er kam der neuerlichen Sperrungsaufforderung vorbehaltlos nach. Bluewin-Kunden können nun die betroffenen Websites nicht mehr erreichen. Dabei hat Bluewin den Webhoster c9c.net gleich komplett blockiert. Weil davon auch die MX-Einträge betroffen sind, können Bluewin-Kunden nicht einmal mehr an c9c-Adressen mailen.

"In Absprache mit unserer Muttergesellschaft haben wir entschieden, der Sperrungsaufforderung vorsorglich erst einmal nachzukommen", erklärte Bluewin-Sprecherin Deborah Bucher gegenüber heise online. Derzeit würden Gespräche laufen, ob die Sperre weiter aufrecht erhalten werden solle.

Die Verwunderung darüber, dass Bluewin ohne richterlichen Beschluss den Zugriff auf bestimmte Websites sperrt, ist derweil groß in der Schweiz. Schon rufen die ersten Zensur-Gegner dazu auf, Bluewin als Provider zu meiden. Der von der Sperrung betroffene Hoster c9c.net formuliert es drastischer: "Kündigen Sie alle Ihre E-Mail-Konten sowie Web-Hostings beim Schweizer Provider bluewin.ch sofort und wenden Sie sich ebenfalls an einen besseren Internet-Anbieter. Vermeiden Sie eine Einwahl in das Internet über Zensur-Provider." (hob/c't)


HeiseLink


_________



Treiber für Netzwerkkarten verraten Informationen

Durch die fehlende Initialisierung von Puffern in Treibern für Ethernetkarten werden Daten aus altem Netzwerkverkehr mitgesendet. Über die fehlerhaften Treiber berichteten die Sicherheitsexperten von @stake bereits Anfang des Jahres. Daraufhin erschien eine Liste verwundbarer Treiber auf CERT/CC. Jetzt hat sich herausgestellt, dass auch einige Treiber, etwa von VIA und AMD, unter Windows 2003 betroffen sind.

IP-Pakete werden zum Transport über Ethernet in einen Ethernetframe eingekapselt, das heißt, das Paket erhält einen Ethernet-Header und eine weitere Checksumme. Ist die Summe aller Bytes kleiner als die erforderlich Mindestlänge 46, zum Beispiel bei ICMP-Pakten, wird das Datenfeld aufgefüllt, in dem auch das IP-Paket liegt. Die Länge des IP-Paketes bleibt davon unberührt. Der eigentliche Fehler der Treiber resultiert nun aus der Herkunft der Füllbytes.

Um einen Datenframe zu übertragen, muss er in den Sendepuffer kopiert werden. Hierzu wird ein Zeiger auf den zu kopierenden Puffer und eine Variable mit der Länge des Puffers übergeben. Ist der Datenframe nun wie beschrieben zu kurz, wird nur die Variable angepasst, die die Länge enthält. Der ursprüngliche Frame bleibt davon unberührt. RFC 1042 fordert an dieser Stelle eigentlich das Auffüllen mit "Octets of Zero", also Null-Bytes. In der Folge werden nun aber Bytes über den Originalpuffer hinaus gelesen, die interessante Daten enthalten können.

Je nach Netzwerktreiber variiert die Lage des Puffers im Speicher. Drei mögliche Orte kommen in Frage: Kernel Memory, statisch allozierter Treiberspeicher oder Hardwarepuffer auf der Karte selbst. Im Hardwarepuffer ist jedes Füllbyte Artefakt eines zuvor gesendeten Frames. Der Treiberspeicher ist zwar etwas größer, allerdings auch immer mit Daten aus älteren Paketen gefüllt. Im Kernel Memory hat man die geringsten Chancen, sinnvolle Daten zu treffen, dazu ist der Speicher in der Regel zu groß.

Eine Variante dieses Fehlers offenbarte der DSL-Router OfficeConnect 812 von 3Com: Pakete zur Beantwortung von DHCP-Request wurden in den Puffer eines vorhergehenden HTTP-Requests geschrieben, ohne diesen vorher zu löschen. In der Folge wurde dann Fragmente daraus mitgesendet. (dab/c't)


HeiseLink


_______



Verschlüsselungs-Lösung für WindowsCE-PDAs


Pointsec für PocketPC 2.0 für Firmenkunden verfügbar


Pointsec Mobile Technologies bietet ab sofort für WindowsCE-PDAs mit PocketPC 2002 die Verschlüsselungslösung Pointsec für PocketPC 2.0 auf dem deutschen Markt an. Mit der für Firmen konzipierten Software lassen sich die Daten auf mobilen Endgeräten in Echtzeit verschlüsseln, so dass Unbefugte selbst bei einem Geräteverlust nicht auf sensitive Firmendaten zugreifen können.

Pointsec für PocketPC 2.0 verschlüsselt sämtliche PDA-Daten in Echtzeit, ganz gleich, ob diese sich im RAM-Speicher des Geräts oder auf einer Speicherkarte befinden. Der Hersteller verspricht mit seinen Verschlüsselungsalgorithmen einen zuverlässigen Schutz vor Datendieben. So entschlüsselt die Software nur die derzeit bearbeiteten Informationen, während alle übrigen Daten weiterhin verschlüsselt bleiben, was die Sicherheit zusätzlich erhöhen soll.

Die Software verschlüsselt die Daten mit dem AES-Verfahren (Advanced Encryption Standard) und nutzt dazu 128-Bit-Schlüssel. Nach der Installation kann der Anwender die Sicherheitsfunktionen nicht mehr umgehen und auch nicht deinstallieren. Mit Hilfe einer Synchronisationssoftware wie XTND Connect Server von Extended Systems soll sich die Lösung von zentraler Stelle aus auf allen mobilen Geräten im Unternehmen leicht installieren und administrieren lassen.

Alternativ zur Authentisierung eines Benutzers mit einer alphanumerischen Zeichenkette bietet die Software die PicturePIN-Technologie, wobei Passwörter durch eine Abfolge grafischer, im Anmeldefenster erscheinender Symbole ersetzt werden.

Pointsec für PocketPC 2.0 soll ab sofort für Unternehmen erhältlich sein, wobei eine einzelne Lizenz mit 120,- Euro zu Buche schlägt. Die Software läuft ausschließlich auf WindowsCE-PDAs, die mit dem aktuellen PocketPC 2002 ausgestattet sind, so dass die Software auf älteren Geräten nicht verwendet werden kann.

GolemLink

PDF-Reader unter Linux angreifbar

Auf der Mailingliste Full-Disclosure wird von einem Sicherheitsloch im Acrobat Reader 5.06 und xpdf 1.0.1 unter Linux berichtet. Durch das Leck kann ein Angreifer mit manipulierten PDF-Dateien beliebigen Code ausführen. In PDF-Dokumenten eingebettete Links können externe Programme wie zum Beispiel einen Browser oder E-Mail-Client starten, wenn sie angeklickt werden. Die dabei übergebenen Argumente können auch eingeschleusten Shell-Code enthalten, der dann gestartet wird.

Möglich wird dies, weil die PDF-Reader zusätzliche Applikationen über sh -c <program> <embedded link> starten. Der Link kann dann auch den Befehl rm -rf $HOME enthalten, der im Kontext des Benutzers ausgeführt wird. Ein Patch ist derzeit nicht verfügbar; als Workaround hilft es, nur PDF-Dokumente zu öffnen, deren Herkunft zweifelsfrei ist. (dab/c't)


HeiseLink

_________


Forrester: Markt für Managed IT-Security wächst rasant


MÜNCHEN (COMPUTERWOCHE) - Bis 2008 werde das Marktvolumen für Managed IT-Security in Europa von derzeit 962 Millionen auf 4,6 Milliarden Euro wachsen, prognostizieren die Marktforscher von Forrester Research. Der Anteil der von Firmen mit zehn bis 250 Mitarbeitern nachgefragten IT-Sicherheitslösungen und Dienstleistungen werde bei rund drei Milliarden Euro liegen. Demnach tragen multinationale Unternehmen mit mehr als 5000 Beschäftigten nur zu acht Prozent am Umsatz bei.

36 Prozent des gesamten IT-Security-Marktes werden nach Annahme von Forrester auf "Managed Firewalls" entfallen, rund 30 Prozent auf "Managed Intrusion Detection" und knapp 24 Prozent auf Public-Key-Infrastrukturlösungen. Dies werde auch der einzige Bereich sein, in den Firmen mit weniger als zehn Angestellten investieren werden. Komplexere Sicherheitslösungen seien für diese Anwendergruppe nicht bezahlbar. (lex)


ComputerWocheLink


_______



Chaotische Umsetzung der Sperrungsverfügung in NRW



Die Aufgabe schien trivial: Im Februar 2002 verpflichtete die Bezirksregierung Düsseldorf die Provider in Nordrhein-Westfalen zur Sperrung zweier Webseiten. Über ein Jahr nach dem Erlass der Sperrungsverfügung hat der Bonner Rechtswissenschaftler Maximillian Dornseif deren Auswirkungen untersucht und fand chaotische Verhältnisse vor: Während sich manche Provider strikt an die Vorgaben der Behörde halten und den Zugriff auf strafbare Inhalte kaum erschweren, schießen andere über das Ziel hinaus und sperren legale Inhalte. Sogar der Mailverkehr ist betroffen.

Dornseif stellte die Ergebnisse seiner Untersuchung erstmals auf der Arbeitstagung des Vereins zur Förderung eines Deutschen Forschungsnetzes (DFN) in Düsseldorf vor. Der Jurist konzentrierte sich auf die technischen Aspekte der Sperrungen: "Während die rechtlichen Probleme von Gelehrten, Verwaltung, Bürgerrechtlern, Anwälten und Gerichten ausführlich im Detail diskutiert wurden, gab es keine ernsthafte Erörterung der sonstigen Aspekte der Sperrungsverfügung."

Um sich einen Überblick über die tatsächlichen Effekte der Sperrungen zu verschaffen, versuchte Dornseif auf die DNS-Server der betroffenen Provider zuzugreifen und prüfte deren Antworten auf bestimmte Anfragen. Auf diese Weise konnte er 27 Provider testen, die offenbar zur Durchführung der Sperrung auf DNS-Manipulationen setzen. Das Ergebnis: zwar sperren alle untersuchten Provider genau die in der Verfügung erwähnte Internetadresse http://www.stormfront.org. Bei 12 Anbietern reicht es allerdings schon aus, die Subdomain "www." wegzulassen, um ohne Probleme auf die strafbaren Inhalte zuzugreifen. Auch unter umgekehrten Vorzeichen gibt es Mängel: So sperren 15 Provider ebenfalls eine Subdomain, auf der keine strafbaren Inhalte zu finden sind. Drei Provider sperren sogar die Domain rotten.com, die zwar zu Beginn im Fokus der Bezirksregierung stand, auf der Sperrungsverfügung aber fehlt.

Selbst auf den Email-Verkehr haben die DNS-Manipulationen beträchtliche Auswirkungen. Nur ein Provider hat nach Angaben von Dornseif versucht, die Effekte auf den Mailverkehr zu begrenzen. Bei allen Providern gab es in der Untersuchung Probleme mit Mails, die an die von der Sperrung betroffenen Domains gesandt werden sollen.

Die Information der Kunden ist ebenfalls mangelhaft: zwar leiten einige Unternehmen ihre Kunden auf Seiten um, die sie über die Sperrungen informieren, bei vielen Providern erhält der Kunde aber lediglich unklare Fehlermeldungen wie "Host not found". Bei zwölf Providern liegen die Fehlerseiten bei einem anderen Anbieter. Dornseif sieht darin ein Datenschutzproblem, da so verfolgt werden kann, wer die gesperrten Seiten aufgerufen hat.

Grund für die Konfusion ist die ungenaue Formulierung der Sperrungsverfügung. Die Bezirksregierung ließ den Providern die Wahl zwischen drei verschiedenen Blockade-Methoden, die jedoch nicht näher erläutert werden. Auch was genau zu sperren ist, ist unklar, mal ist vom "Gesamtangebot" die Rede, an anderer Stelle von einzelnen Internet-Seiten. Infos über die IPs der zu sperrenden Seiten oder gar eine technische Beschreibung der zu treffenden Maßnahmen fehlen in der behördlichen Anweisung komplett.

Auf Nachfrage erläutert Regierungsdirektor Jürgen Schütte von der Bezirksregierung Düsseldorf gegenüber heise online die Intention der Sperrungsverfügung: "Der Erfolg liegt nicht in einer Totalsperre, sondern dass der Zugang zu den strafbaren Internetseiten behindert oder erschwert wird." Eine Sperrung des Email-Verkehrs sei weder beabsichtigt, noch gefordert.

Wenn die Provider die Verfügung nicht oder nur unzureichend erfüllen, kann die Behörde Zwangsgelder verhängen. Bevor dies geschehe, müsse der Sachverhalt erst geprüft werden. Bei Zuwiderhandlungen würden die Provider laut Schütte zunächst kontaktiert und ihnen ein Zwangsgeld angedroht.

Im Zuge der Beratungen zu den Internetsperren hatten die Firmen Webwasher, Bocatel und Intranet ein Filterkonzept vorgestellt, das die Internetblockade zentral und zielgenau abwickeln sollte. In Zusammenarbeit mit der Universität Dortmund wurde das Konzept getestet. Der Abschlußbericht vom Dezember 2002 liegt jetzt auch online vor. Demnach kann der Filterpilot Inhalte auf einigen hundert IPs sperren. Eine Umsetzung des Konzepts steht jedoch zur Zeit nicht an, da organisatorische Fragen nicht geklärt sind und Projektgelder zur Finanzierung fehlen. (Torsten Kleinz)/ (tol/c't)

HeiseLink

______


Al-Jazeera-Hacker bekennt sich schuldig


US-Bürger hat Netzwerkverkehr auf "patriotische" Webseite umgeleitet

Los Angeles (pte, 13. Jun 2003 11:56) - Ein US-Hacker aus Kalifornien bekennt sich schuldig, während des Irakkriegs den Internet-Verkehr zur Webseite des arabischen Nachrichtensenders Al-Jazeera umgeleitet zu haben. Wie der US-Dienst Cnet http://www.cnet.com berichtet, hofft der angeklagte 24-jährige Webdesigner John William Racine damit eine geringere Strafe zu erhalten.

Racine übernahm die Webseite des Senders, nachdem Al-Jazeera die Bilder von toten und gefangenen US-Soldaten veröffentlicht hatte. Der Hacker soll mit gefälschten Dokumenten die VeriSign-Tochter Network Solutions dazu gebracht haben, die Domain aljazeera.net auf ihn zu übertragen. Besucher der Seite des arabischen Nachrichtensenders wurden danach auf eine andere Webseite umgeleitet, wo sie die US-Flagge mit dem Text "Lets Freedom Ring..." fanden. Zusätzlich fing Racine so auch alle E-Mails ab, die an den Sender geschickt wurden. Der 24-Jährige hatte sich im März selbst gestellt.

Die arabische und englische Seite des Nachrichtensenders Al-Jazeera war während des Irakkriegs wiederholt Ziel von Angriffen. Der Sender war deswegen für eine Woche nicht zu erreichen. Die englische Seite wurde vollständig vom Netz genommen. Siehe auch pte-Meldung: http://www.pte.at/pte.mc?pte=030328007

Racine könnte für seine Tat eine Strafe von 25 Jahren Haft sowie 500.000 Dollar erhalten. Wegen seinem Geständnis und der Zusammenarbeit mit dem FBI wird die Staatsanwaltschaft allerdings auf eine milde Strafe von 1.000 Stunden gemeinnütziger Arbeit, eine Geldstrafe von 1.500 Dollar sowie Schadenersatz für das Opfer plädieren. Racine hatte sein Schuldeingeständnis gestern, Donnerstag, unterzeichnet. Der Prozess wird am kommenden Montag stattfinden. (pte-special Irak) (Ende)


PresseTextLink

Aktuelle Sicherheitslücken

Code Ausführbar in Apache



Software: Apache 2.0.37 bis 2.0.45
Typ: Pufferüberlauf


Problem: Ein Fehler in der Apache Portable Runtime (APR) Funktion apr_psprintf() kann zum Überlauf in einem Puffer führen.
Effekt: Beliebiger Code kann ausgeführt werden.
Lokal: nein
Remote: ja

Exploit: Apache-Knacker.pl
Lösung: Es wird empfohlen auf Apache 2.0.46 upzugraden.

Hacker veröffentlicht CERT-Infos über PDF-Leck in Linux

MÜNCHEN (COMPUTERWOCHE) - Über Sicherheitslücken im Acrobat Reader 5.06 und im PDF-Reader Xpdf 1.01 können Angreifer beliebigen Code auf Linux- und Unix-Systemen ausführen, berichtet ein Hacker mit dem Pseudonym "Hack4Life" in der Mailing-Liste Full-Disclosure. Dazu legen sie in PDF-Dateien Verknüpfungen zu externen Anwendungen an, über die sich zum Beispiel Shell-Code starten lässt. Um die Schadroutinen auszuführen, genügt es, PDF-Dokumente zu öffnen, die in Websites eingebunden sind, so Experten.

Laut Hack4Life soll ein entsprechendes Security Advisory am 23. Juni dieses Jahres vom CERT (Computer Emergency Response Team) veröffentlicht werden. Dies bestätigte der CERT-Mitarbeiter Jeffrey Carpenter. Man habe sich mit den Herstellern auf den Zeitrahmen verständigt, um die Möglichkeit zu haben, Fehlerbereinigungen zu entwickeln. Laut Carpenter hat Hack4Life die Informationen abgegriffen, als sie vom Sicherheitsexperten Martyn Gilmore aus Cincinnati an das CERT übermittelt wurden.

Der Hacker hat nicht zum ersten Mal unveröffentlichte Sicherheitsberichte vom CERT vorzeitig publiziert. Bereits im März stahl er Advisories vom CERT-Server und publizierte sie in der Full-Disclosure-Mailing-Liste (Computerwoche online berichtete). (lex)


ComputerWocheLink

_______


Symantec Mail Security für Microsoft Exchange erschienen


Sicherheitslösung soll vor Spam, Viren und unerwünschten Inhalten schützen


Symantec bietet ab sofort die Software "Mail Security für Microsoft Exchange" an, um in einer Exchange-Umgebung Viren, Spam und unerwünschte Inhalte herausfiltern zu können. Früher bot der Hersteller das Produkt unter der Bezeichnung Symantec AntiVirus/Filtering für Microsoft Exchange an.

Symantec Mail Security für Microsoft Exchange schützt vor Spam-Mails, indem alle DNS-basierten Realtime Black Lists (RBLs) von Drittanbietern (zum Beispiel: MAPS, spamhaus.org und orbd.org) unterstützt werden. Zugleich besteht zur Blockade von Spam ein Zugriff auf mehrere Blacklist-Dienste. Die Software kennzeichnet verdächtige Werbe-E-Mails durch einen Text im Betreff, so dass eine leichte Filterung möglich ist, ohne wichtige E-Mails zu verlieren.

Durch überarbeitete Filtersysteme soll das Eindringen unerwünschter Inhalte ins Firmennetzwerk verhindert werden. Aber auch der Versand von vertraulichen Informationen lässt sich so unterbinden. Administratoren stehen spezielle Regeln für die Überprüfung ankommender E-Mails bereit, wobei auch zwischen internem und externem Mailverkehr unterschieden wird. Zudem wurde die Heuristik-Technik Dynamic Document Review (DDR) von Symantec integriert, um nicht-einwandfreie Inhalte automatisch abzuweisen.

Auch der integrierte Virenschutz soll verbessert worden sein und Würmer stoppen, bevor diese den Anwender erreichen. Das unterbindet eine Flut von Anrufen beim Help Desk und spart Speicherplatz, verspricht der Hersteller. Die "Proactive-Outbreak"Funktion erkennt Virenbefall bereits in einem sehr frühen Stadium und isoliert verdächtige Nachrichten. Die skalierbare Lösung lässt sich zentral von einer Konsole aus verwalten.

Symantec Mail Security für Microsoft Exchange ist ab sofort über Symantec-Fachhändler, Distributoren und Systemintegratoren erhältlich. Der von der Anzahl der Lizenzen abhängige Preis liegt für 25 bis 49 Lizenzen bei 38,46 Euro pro Lizenz und kostet bei 100 bis 249 Lizenzen 34,40 Euro pro Lizenz.

GolemLink


______



Computer Associates bringt Sicherheitspaket gegen Viren und Spam


MÜNCHEN (COMPUTERWOCHE) - Computer Associates (CA) will im Herbst dieses Jahres ein Softwarepaket auf den Markt bringen, das Viren und Spam-Mails blockt sowie die Übertragung von Dateien absichert. Mit "Trust Secure Content Management" lassen sich außerdem Web-Inhalte auf Basis von Unternehmens-Policies filtern und die Nutzung von Peer-to-Peer-Tauschbörsen unterbinden, sagte Ian Hameroff, Business Manager for Security Solutions bei CA.

Die Software wird bei CA zurzeit getestet und ist dort auf 16.000 Rechnern installiert. Sie läuft unter Windows und soll 55 Dollar pro Arbeitsplatz kosten. Anwender, die bereits Antiviren-Produkte des Herstellers nutzen, können laut Hameroff zum halben Preis aufrüsten. (lex)


ComputerWocheLink


______


Nokia: Fernzugriff auf Unternehmensressourcen per SSL


Nokia Secure Access System integriert "Client Integrity Scan"


Nokia bringt mit dem Secure Access System eine SSL-basierte Lösung für den sicheren Fernzugriff auf Unternehmensressourcen. Im Gegensatz zu normalen VPN-Lösungen kann das Secure Access System auch ohne speziellen Client über einen Browser genutzt werden.

Das System unterstützt dabei einen "Client Integrity Scan", der automatisch eine individuell definierbare Analyse von Schwachstellen (Vulnerability Check) des jeweiligen Endgeräts durchführt, um die passende Vertraulichkeitsstufe festzulegen. Die Funktion "Advanced Access Control" soll es zudem IT-Abteilungen erlauben, Remote-Access-Dienste auf SSL-Basis kosteneffizient zu implementieren und gleichzeitig die Umsetzung der Unternehmenspolitik in Sachen Sicherheit zu gewährleisten. Die Funktion erlaubt es, Zugriffsrechte entsprechend der Identität des Anwenders, dem verwendeten Endgerät, der Sicherheit des Endgeräts und dem Zeitpunkt des Zugriffs automatisch anzupassen.

Durch "Session Persistence" soll zudem gewährleistet werden, dass der Anwender auch bei einem Time-out der SSL-Sitzung seine Arbeit fortsetzen kann, ohne dass Daten verloren gehen. So ermöglicht das Secure Access System dem Anwender beispielsweise, über ein mobiles Endgerät zuverlässig auf Firmenanwendungen zuzugreifen - ob im Hotel oder über das WLAN eines Wi-Fi-Providers. Dabei werden auch firmenfremde Endgeräte wie der heimische PC oder öffentliche Internet-Terminals unterstützt. Auch der Download/Upload über FTP, HTTP, Windows und Unix NFS ist möglich. Die Lösung unterstützt gängige Authentifizierungsmethoden sowie Client-Zertifikate und integriert RADIUS, LDAP, NT Domänen, NIS und SecurID.

"Wir glauben einfach nicht, dass man beim sicheren Netzzugang mit einer Universal-Lösung für alle Bedürfnisse Erfolg haben kann", sagt Dan MacDonald, Vice President des Produktmanagement und Marketing bei Nokia. "Für die einen sind IPSec VPNs die geeignete Lösung, in vielen anderen Szenarien dagegen macht der SSL-basierte Zugriff eher Sinn."

Das Nokia Secure Remote Access System soll ab dem 3. Quartal 2003 erhältlich sein, Preise nannte Nokia nicht.

GolemLink