NEWS AUS DEM IT-SECURITY BEREICH

Unerwarteter Spam-Erfolg

Einige Werbe-E-Mails bescherten dem Moskauer American Language Center 1000 Telefonanrufe des Spam-Opfers Andrei Korotkov an einem einzigen Vormittag. Das Pikante an der Geschichte: Korotkov ist der stellvertretende russische Telekommunikationsminister, der nach über 40 unerwünschten Einladungen, einen Sprachkurs des Instituts zu buchen, Gegenmaßnahmen für angebracht hielt. Zunächst schrieb der Beamte eine freundliche Mail an das Institut, man möge doch bitte mit dem Spam aufhören, er brauche keine Sprachschulungen. Doch diese Äußerung blieb nicht nur den erhofften Erfolg schuldig, sondern verschaffte dem Absender auch noch den namentlichen Einzug in weiteren Spam-Listen, also noch mehr Reklamemüll.

"Die wollten mit uns scherzen, also beschlossen wir, mit ihnen zu scherzen" lautet Korotkovs lakonische Schlussfolgerung aus dieser Erfahrung. Er holte sich Rat bei der russischen Group Against Harmful Programs, einer Virenschutz-Initiative, der auch namhafte russische Internet-Serviceprovider angehören. Mit Hilfe der Aktivisten setzte Korotkov ein automatisches Anrufsystem auf, das die Anschlüsse des Spamversenders mit aufgezeichneten Gardinenpredigten blockierte. "Ich möchte Sie warnen, dass, wenn Sie Ihre illegalen Aktivitäten fortsetzen, die nötigen Gegenmaßnahmen nicht nur von mir erfolgen werden." Nach dem Hinweis auf dessen Identität und Autorität drohte die Stimme des Ministers weiter, er werde den Spammern das Leben schwer machen und verhindern, dass sie weiterhin harmlosen E-Mail-Benutzern im Wege stünden.

Die Telefonaktion blockierte das American Language Center einen Vormittag lang, bis die dortigen Techniker ein Mittel gegen die Anruftirade fanden -- auch wenn sie damit ihre eigenen Kommunikationswege unterbrachen. Doch letztlich muss man die Maßnahme wohl als staatliche Verzweiflungstat bewerten: Korotkov räumte gegenüber der Moscow Times selbst ein, er sei mit seinen Äußerungen bewusst vage geblieben. Es gebe nämlich gar kein Gesetz gegen Spam. Was er getan hätte, sei kein sehr wirksamer Weg zur Spambekämpfung, aber es habe wenigstens Aufmerksamkeit auf das Problem gelenkt. Zur Routine-Reaktion will er seine Anruf-Welle nicht erheben. (hps/c't)


HeiseLink

___

Tool zur Überprüfung des RPC/DCOM-Sicherheitslochs

Die Sicherheitsfachleute von eEye haben aus ihrem Schwachstellenscanner Retina einen Teil zur Überprüfung auf die aktuelle RPC/DCOM-Schwachstelle unter Windows herausgelöst und als Stand-Alone-Tool kostenlos zur Verfügung gestellt. Der so genannte DCOM-Scanner testet alle in einem Subnetz angeschlossenen Systeme auf mögliche Verwundbarkeit durch den kürzlich veröffentlichten Exploit des RPC/DCOM-Fehlers. Windows 2000 und XP werden als Vulnerable erkannt, nach Einspielen des Patches MS03-026 erscheinen diese nicht mehr in der Liste des Scanner. Bei Windows NT erkennt der Scanner jedoch nur, ob DCOM aktiviert ist, nicht ob es verwundbar ist. Um sich einen schnellen Überblick über das Ausmaß möglicher Probleme in seinem Netzwerk zu verschaffen, ist das Tool sehr gut geeignet.

Zum Download des Tools muss man auf den Seiten von eEye seinen Namen und seine E-Mail-Adresse angeben sowie einige Marketingfragen beantworten. Ein Link zum Download des Tools wird dann per Mail versendet. eEye gilt bisher als vertrauenswürdiges Unternehmen, Benutzerdaten sollten also nicht an Dritte weitergeleitet werden. (dab/c't)


HeiseLink


____


Einmalpasswort-Generator für Handys


Kobil Systems bietet Software auf Windows CE-Basis

Worms (pte, 28. Jul 2003 11:45) - Kobil Systems hat eine Software zur Generierung und sicheren Verteilung von Einmalpasswörtern für Handys und PDAs entwickelt. Per Mausklick erzeugt das SecOVID-Administrationstool die Software und stellt diese automatisch auf den Webserver. Der Benutzer lädt sich seinen Einmalpasswort-Generator auf den PDA sicher über den Browser per SSL und anschließender Datenverbindung zum PDA herunter. Um ihn auf das Handy zu spielen, baut er zum Download direkt per WTLS über das WAP-Gateway seines Providers eine sichere Verbindung zum Webserver auf. http://www.kobil.de/

Damit haben die User eine noch größere Auswahl an Geräten, um Einmalpasswörter zu generieren. Bislang standen bereits das SecOVID Token und der SecOVID Reader Plus zur Verfügung. Der üblicherweise auf der Smart Card gespeicherte Einmalpasswortgenerator wird über eine Software auf PDAs und Handys gespielt. Möglich ist das für alle Handys, die Java und WAP unterstützen sowie für alle PDAs, die Java oder das Betriebssystem Windows CE unterstützen. Das sind fast alle auf dem Markt befindlichen PDAs. Die Software wird ab Ende August kostenlos erhältlich sein.

Einmalpasswörter bieten eine wesentlich höhere Sicherheit bei der Identifikation als die bisher üblichen statischen Passwörter, die erraten, weitergegeben oder bei der Übertragung mitgehört und dann missbräuchlich eingesetzt werden können. Das Einmalpasswort-System SecOVID eignet sich überall dort, wo ein sicherer Zugangsschutz notwendig ist, beispielsweise für den Remote-Zugang von Außendienstmitarbeitern ins Firmennetzwerk, sicheres Login in Betriebssysteme oder für die Absicherung von Webservern, also auch für die Benutzeridentifikation beim Online-Banking. (Ende)

PresseTextLink

Aktuelle Sicherheitslücken

Beliebige Befehle ausführbar in Linux Kernel 2.4



Betriebsystem: Linux Kernel 2.4 bis 2.4.21
Typ: Fehlerhafter Systemaufruf


Problem: Der execve() Systemcall hinterlegt den Filedescriptor eines aufzurufenden Binaries im Prozessdeskriptor des aktuellen Prozesses, um es auszuführen.
Effekt: Ein Angreifer kann dadurch die Leserechte eines Binaries ändern, und so Ausführungsrechte für Befehle erlangen, die er sonst nicht hätte ausführen dürfen. Eventuell kann er auch Code in diese Binaries einfügen, um diesen somit mit höheren Rechten ausführen lassen.
Lokal: ja
Remote: nein


Exploit: Suiddmp.c
Lösung: Verschiedene Hersteller haben Patches für ihre Produkte unter Kernel 2.4.x veröffentlicht.


Veröffentlicht: 28.07.2003
Aktualisiert: 28.07.2003
Quelle: Bugtraq

Cisco schließt Lecks in WLAN-Access-Points

MÜNCHEN (COMPUTERWOCHE) - Cisco warnt vor Sicherheitslücken im WLAN-Access-Point (Wireless LAN) "Aironet AP 1100". Demnach ist es möglich, durch so genannte Brute-Force-Techniken die Zugangsdaten der Nutzer auszuspionieren. Über ein zweites Leck können Angreifer Access Points mittels manipulierter HTTP-Anfragen (Hypertext Transfer Protocol) zum Absturz bringen. Entdeckt haben die Fehler die Spezialisten des Security-Anbieters Vigilante.

Laut Cisco haben Kunden bislang keine Angriffe auf die neu entdeckten Sicherheitslücken gemeldet. Der Hersteller hat für beide Lecks Advisories (ID 44161 und ID 44162) mit entsprechenden Patches veröffentlicht. (lex)

ComputerWocheLink

____


Sophos bringt MailMonitor für Exchange 2003

Neue Version an aktuelle Exchange-Variante angepasst


Der Antivirenhersteller Sophos hat eine neue Version seines MailMonitor für Exchange entwickelt. Mit der Software lassen sich nun auch Microsoft Exchange 2003 Server auf E-Mail-fähige Würmer, Viren und Trojanische Pferde überprüfen.

Die neue Version MailMonitor für Exchange 1.6 überprüft die eingehenden E-Mails auf bösartige Anhänge und lässt sich so vom Administrator konfigurieren, dass verseuchte Nachrichten entweder desinfiziert, gelöscht oder zur weiteren Beobachtung isoliert werden.

"Die am meisten verbreiteten Viren nutzen E-Mail-Dienste aus, um sich zu vermehren", erklärte David Mitchell, Produktmanager bei Sophos. "Viele Unternehmen werden ein Upgrade ihrer E-Mail-Server auf Microsoft Exchange 2003 in Erwägung ziehen".

Sophos MailMonitor für Exchange 1.6 soll ab sofort bei allen lizenzierten Vertriebspartnern des Unternehmens erhältlich sein. Das Produkt unterstützt sowohl Exchange 2000 als auch Exchange 2003 und wird durch Antiviren-Updates vom Sophos Enterprise Manager automatisch aktualisiert.

GolemLink

KDE-Browser Konqueror verrät Benutzerdaten

Das KDE-Team hat ein Advisory über ein Sicherheitsleck im Browser Konqueror der Unix/Linux-Desktop-Umgebung veröffentlicht. Das Leck führt dazu, dass Authentifizierungsdaten fälschlicherweise an andere als die vorgesehenen Webseiten gesendet werden. Zur Anmeldung an Webserver können Benutzername und Passwort in einer URL mitgesendet werden: userassword@host. Nahezu alle Browser unterstützen diese Möglichkeit -- auch wenn dies laut den RFCs 2396 beziehungsweise 2616 im Standard für http-URLs eigentlich nicht empfohlen ist. Sinnvoll kann dies dagegen für automatisierte Anmeldungen für ftp-Übetragungen per Webbrowser sein, um sich die manuelle Eingabe der Daten zu sparen.

Wechselt man mit einem Browser auf einen anderen als den bereits besuchten Webserver, so wird die URL der zuvor besuchten Webseite als HTTP-Referer übertragen. Normalerweise darf dort nur der Teil hinter dem @-Zeichen enthalten sein. Konqueror sendet aber die komplette URL, inklusive Name und Passwort, im Klartext mit. Ein Angreifer in lokalen Netzwerken kann diesen Referer mitlesen und erhält damit Informationen über Anmeldedaten. Darüber hinaus kann der Betreiber eines Webservers ebenfalls an die Informationen gelangen, indem er die empfangenen Referer analysiert.

Betroffen sind alle Versionen von Konqueror bis einschließlich KDE 3.1.2. Patches stehen auf dem FTP-Server von KDE zur Verfügung; seit dem gestrigen Dienstag ist auch KDE 3.1.3 fertig gestellt, das den Fehler ebenfalls nicht mehr enthält. Als Workaround empfiehlt das KDE-Team, keine Anmeldedaten in einer URL mitzusenden und stattdessen die eingebaute Dialog-Funktion zu verwenden. (dab/c't)


HeiseLink

____

Sicherheitslöcher in Half-Life gefährden PCs von Online-Gamern

Auf Bugtraq wurden drei Meldungen über Schwachstellen in Client und Server von Half-Life gepostet. Half-Life ist bereits seit mehreren Jahren eines der populärsten Online-Spiele, für das eine Vielzahl von MODs verfügbar sind, zum Beispiel Counter-Strike und Day of Defeat. Besonders Counter-Strike gerät immer wieder in die Kritik von Jugendschützern, so zuletzt nach dem Massaker in dem Erfurter Gymnasium. Die Bundesprüfstelle für jugendgefährdende Medien lehnte allerdings zuletzt eine Indizierung ab -- was wiederum heftige Kritik auslöste und zu der Forderung nach einer erneuten Überprüfung führte.

Betroffen von den nun aufgetauchten Sicherheitsproblemen ist Half-Life 1.1.1.0. Der Hersteller Valve ist informiert und arbeitet an Updates.

Ein Buffer Overflow im Game Server und Dedicated Server kann für eine Denial-of-Service-Attacke ausgenutzt werden. Um an einem Multiplayer-Match teilzunehmen, verhandelt der Client mit dem Server diverse Parameter. Sind einige davon zu lang, kann ein Pufferüberlauf provoziert werden, der den Server zum Stillstand bringt. Da auf dem Stack der Instruction Pointer überschrieben wird, kann man prinzipiell auch beliebigen Code einschleusen und ausführen. Im Original-Advisory ist Beispiel-Code zum Testen der Fehler enthalten.

Die Clients von Half-Life überprüfen ebenfalls die Länge von Puffern unzureichend, weshalb Antwortpakete von Servern mit zu langen Parametern Buffer Overflows hervorrufen können. Auch hier stellt der Autor einen Proof-of-Concept-Exploit zur Verfügung.

Darüber hinaus versteckt sich ein Buffer Overflow im Client, der mit der Datei namens "liblist.gam" ausgelöst werden kann. Zu lange Argumente überschreiben den Stack. Die Datei ist eine Textdatei und in jedem Half-Life-MOD enthalten. Da MODs auch eigene DLLs enthalten können, muss sich ein Angreifer aber nicht die Mühe machen und Code auf den Stack schreiben, -- er kann ihn gleich in die DLLs schreiben. Es wird empfohlen, nur MODs aus vertrauenswürdigen Quellen zu installieren. (dab/c't)

HeiseNews

____

US-Abgeordnete will per Gesetz vor Schnüffelsoftware schützen

Die republikanische Abgeordnete des US-amerikanischen Repräsentantenhaus Mary Bono will Internet-Nutzer besser vor so genannter Spyware schützen. Sie hat zusammen mit dem demokratischen Abgeordneten Edolphus Towns den Gesetzentwurf Safeguard Against Privacy Invasions Act (SPI Act) erarbeitet, in dem vorgeschrieben wird, dass Web-Surfer informiert und gefragt werden sollen, ob sich eine Spyware-Software auf ihrem PC installieren darf.

Web-Surfer würden sich eine Spyware oft bereits einfangen, wenn sie nur eine bestimmte Website aufsuchen. Das geschehe zum Beispiel auch, wenn sich jemand eine Software aus dem Internet besorge und Nutzungsbedingungen zustimme. "Unternehmen, die derartige Software verwenden, können vieles einsehen, von Passwörtern bis hin zu Kreditkartennummern", sorgt sich Bono. SPI Act soll helfen, solche Eingriffe in die Privatsphäre zu verhindern, indem die Internet-Nutzer ausführlich aufgeklärt werden. Zuwiderhandlungen sollen von der Federal Trade Commission zivilrechtlich belangt werden. (anw/c't)


HeiseLink

_____


Secure Computing übernimmt Content-Filterer N2H2


MÜNCHEN (COMPUTERWOCHE) - Die Secure Computing Corp. will im Rahmen eines Aktientauschs im Wert von rund 20 Millionen Dollar den in Seattle ansässigen Anbieter von Web-Inhaltefiltern N2H2 ("Bess", "Sentian") übernehmen. Secure Computing, das neben Firewall- und Authentifizierungs-Software selbst mit "Smartfilter" in diesem laut IDC im vergangenen Jahr 270 Millionen Dollar schweren Markt aktiv ist, vergrößert mit dem Zukauf Reichweite und Marktanteil. N2H2 ist bis dato mit rund 2000 Kunden vor allem im Bildungssektor aktiv, wohingegen SCCs Kunden eher aus dem Firmen- und öffentlichen Sektor (u.a. US Army und Air Force) kommen.
Den Markt für Content Filtering dominierten laut IDC 2002 vor allem Websense und Surfcontrol mit jeweils rund 20 Prozent Marktanteil, gefolgt von Secure Computing, Symantec und N2H2. Neun weitere Anbieter weisen eher vernachlässigbare Marktanteile auf. (tc)


ComputerWoche

_______


Jede 166. Mail ist virenverseucht


Zahl der Porno-Nachrichten im Juli vervierfacht

New York (pte, 30. Jul 2003 08:05) - Bereits jede 166. weltweit versandte Mail ist virenverseucht. Dabei dominieren die "gängigen" Viren wie Yaha.E., Klez.H., BugBear.B oder Sobig.A. Dies hat eine Untersuchung der New Yorker Sicherheitsspezialisten von Message Labs http://www.messagelabs.com ergeben, die in den ersten Juliwochen über 156 Mio. Mails auf Viren und Spam untersucht haben.

Neben dem Befall mit Viren hat im Juli die Verbreitung von Spam ein Rekordhoch erreicht. So wurden im Untersuchungszeitraum insgesamt fast 80 Mio. E-Mails abgefangen, die als Spam identifiziert worden sind. D.h. weltweit sind bereits mehr als 50 Prozent aller versandten elektronischen Nachrichten der Kategorie Spam zuzuordnen. Damit wurden im bisherigen Verlauf des Monates Juli global bereits mehr Spam verschickt als im gesamten Vorjahr.

Stark zugelegt hat im Juli auch die Zahl der versandten Porno-Nachrichten. Message Labs haben dazu etwa knapp 124 Mio. Mails auf entsprechende Inhalte überprüft und wurden bei 200.000 fündig. Damit weist gerade jede 589. versendete elektronische Nachricht einen pornographischen Inhalt auf. Gegenüber dem unmittelbaren Vormonat hat sich die Zahl der Porno-Mails aber glatt vervierfacht. (Ende)


PresseTextLink

Lektion nicht gelernt: Viele Sicherheitslöcher bleiben ungepatched

Qualys, Anbieter von Online-Schwachstellenscans, hat auf den Black Hat-Briefings Ergebnisse einer Beobachtung von Schwachstellen im Internet präsentiert. Über einen Beobachtungszeitraum von eineinhalb Jahren wurden mehr als 1,1 Millionen Scans auf 185.000 Systemen ausgewertet -- die Ergebnisse sind recht ernüchternd.

Nach der Veröffentlichung von kritischen Sicherheitslöchern und dem Bereitstellen von Security-Fixes ist die Hälfte der betroffenen Systeme noch nach 30 Tagen verwundbar. Viele Unternehmen benötigten sogar mehr als 60 Tage, um Schwachstellen zu beseitigen, die als weniger kritisch eingestuft wurden. In diesem Zeitraum werden allerdings für 80 Prozent der Sicherheitslöcher enstprechende Exploits in Umlauf gebracht.

Auch zeigte die Studie, dass einige Bedrohungen wieder akut sind. Code Red und SQL-Slammer sind weiterhin unterwegs; nach Aussage von Eschelbeck, CTO von Qualys, sogar mit zunehmender Tendenz. Seiner Theorie zufolge installieren Unternehmen veraltete Software, ohne sie hinreichend zu aktualiseren. In einer Podiumsdiskussion zu den von Qualys gefundenen Ergebnisssen äußerte sich Mary Ann Davidson, Chief Security Officer von Oracle: "Viele Unternehmen habe ihre Lektion nicht gelernt." Sicherheitsexperten stellten dem aber entgegen, dass die Hauptursache ja wohl in der unzulänglichen Serversoftware liege. (dab/c't)


HeiseLink

____

Sicherheitsmerkmal aus dem Laserdrucker

Durch ein neuartiges Verfahren sollen sich Dokumente aus dem Bürolaserdrucker künftig mit einem Sicherheitsmerkmal versehen lassen. Forscher des Druckerherstellers Xerox haben ein Verfahren entwickelt, mit dessen Hilfe sich der Auftrag von Polymertoner beim Laserdruck so steuern lässt, dass Flächen mit einem speziellen Glanz entstehen, die sich nicht mit herkömmlichen Methoden kopieren lassen. Die bedruckten Flächen können softwaregesteuert durch bestimmte Kombinationen von Toner, Papier und Fixierung unterschiedlichen Oberflächenglanz erhalten.

Dieser so genannte Differenzglanz soll auf gedruckten Dokumenten eine ähnliche Funktion übernehmen wie das Hologramm auf einer Scheckkarte. Wann die Technik in marktreifen Seriengeräten verfügbar sein wird, war zur Stunde von Xerox noch nicht zu erfahren. Die Patentierung des Verfahrens ist bereits beantragt, eine Lizenzierung soll möglich sein, heißt es aber bei dem Drucker- und Kopierer-Spezialisten. (tig/c't)

HeiseLink

______


Webwasher kündigt Standalone-Spam-Filter an


MÜNCHEN (COMPUTERWOCHE) - Der Siemens-Spin-off Webwasher AG kündigt mit "Spamequator Prime" eine standalone-Software zur Bekämpfung unerwünschter Werbe-E-Mails an. Dem Spam rückt das Produkt mit sechs unterschiedlichen Methoden - Mailshell Spamcatcher (Fingerprinting und Heuristik), Habeas Sender Warranted Filtering, Realtime Blackhole Lists (RBLs), Header-Regeln, Body-Regeln, Bayes'sche Filter - zuleibe, die sich in beliebigen Kombinationen nutzen lassen und regelmäßig auf den neusten Stand gebracht werden. Der Spamequator lässt sich nach Herstellerangaben mit im Unternehmen vorhandenen Authentifizierungsmechanismen wie LDAP integrieren, um die Filterung individuell für einzelne Nutzer oder Gruppen anzupassen.
Spamequator Prime läuft unter Windows NT/2000, Linux sowie Solaris und benötigt einen Server, der ICAP (Internet Content Adaptation Protocol) unterstützt. Der Preis hängt von Benutzerzahl und Lizenzlaufzeit ab, eine Testversion ist kostenlos erhältlich. (tc)

ComputerWocheLink

Network File System unter Linux angreifbar

Auf Bugtraq wurde ein Exploit veröffentlicht, der über das Netzwerk Linux-Rechner zu einer Kernel-Panic veranlasst. Der Fehler findet sich in der Implementierung des Network File Systems (NFSv3), das seit Kernel 2.4 als Kernelmodul weite Verbreitung gefunden hat. Betroffen sind alle Versionen des Kernels bis einschließlich 2.4.20. Das Network File System erlaubt auf einfache Weise, Daten zwischen mehreren Computern zu teilen.

Durch die falsche Abfrage von Argumenten in der Funktion decode_fh() wird bei einer Kopierfunktion zu viel Speicher im Kernel Space belegt. Tests des Exploits in der heise-Redaktion führten zu einer Kernel Panic und einem Neustart des angegriffenen Systems. Zuvor muss man über NFS Zugriff auf ein beliebiges exportiertes Volume haben, um sich am NFS-Daemon anzumelden. Bei Volumes ohne Zugriffsbeschränkung funktioniert dies allerdings ohne Authentifizierung. Ein Patch existiert nicht. Systeme, die das Network File System verwenden und Volumes exportieren, sollten auf den Kernel 2.4.21 migrieren. (dab/c't)


HeiseLink

Meldung vom 03.08.2003 12:45 [<<Vorige] [Nächste>>]

Statt RPC-Wurm nun IRC-Bots im Internet unterwegs
Auf der Mailing-Liste Full-Disclosure gab es gestern erste Postings, die vermuten ließen, dass der erwartete RPC-Wurm im Internet unterwegs ist und verwundbare Windows-Systeme über den RPC-Port 135 und andere befällt.

Angegriffene Systeme sollen an folgenden Dateien auf c:\ erkennbar sein:

rpc.exe
rpctest.exe
tftpd.exe
worm.exe
lolx.exe

und

lolx.exe
dcomx.exe
im Windows-Systemverzeichnis.

rpc.exe und dcom.exe sind zusätzlich im Task-Manager als laufende Dienste zu identifizieren.

Wie sich nach einer Analyse bei Symantec mittlerweile herausstellte, gehören diese Dateien zu einem so genannten Massrooter-Toolkit, das in Windows-Systeme einbricht und sich dort einnistet. Befallene Systeme arbeiten als IRC-Bot: Sie öffnen IRC-Channels und nehmen Kommandos entgegen.

Ein Wurm verbreitet sich automatisch selbst. Diese Eigenschaft fehlt dem Toolkit, da es von Angreifern zentral gesteuert auf verwundbaren Systemen installiert wird. Einmal infizierte Systeme greifen keine weiteren PCs an, können aber als Plattform für weitere Angriffe, zum Beispiel Distributed Denial-of-Service-Attacken, missbraucht werden. Darüber hinaus erlaubt der TFTP-Server (tftpd.exe) das Hochladen beliebiger Dateien.

Das Auftauchen eines RPC-Wurms ist aber weiterhin möglich, insbesondere da das jetzt aufgetauchte Toolkit nur noch um die Komponente der automatischen Weiterverbreitung ergänzt werden muss. Es wird weiterhin empfohlen, die Patches von Microsoft einzuspielen und RPC- sowie NetBios-Ports in Richtung Internet zu sperren oder zu filtern. Desweiteren sollten nach dem Wochenende potenziell bedrohte Rechner auf oben genannte Dateien hin überprüft werden. (dab/c't)


Heise Security

Sicherheitslücken im MTA Postfix

Spezielle Envelope-Adressen könne Postfix außer Gefecht setzen


Michal Zalewski weist auf zwei Sicherheitslücken im MTA Postfix hin, die Angreifen Denial-of-Service-Angriffe auf die Systeme ermöglichen. Schuld an den Problemen ist das Adress-Parsing von Postfix 1.1. Die aktuelle Version 2.0 ist von den Problemen nicht betroffen, allerdings ist die ältere Version 1.1 noch auf vielen Systemen im Einsatz und wird mit zahlreichen Linux-Distributionen ausgeliefert.

So lässt sich zum einen mit einer speziell formatierten Envelope-Adresse das Programm "nqmgr" permanent blockieren, bis die entsprechende E-Mail aus der Mail-Queue gelöscht wird. Weitere E-Mails können derweil von Postfix nicht bearbeitet werden.

Zum anderen ist es möglich, durch eine entsprechende Envelope-Adresse eine einzelne Instanz des SMTP-Listeners in einen unbrauchbaren Zustand zu versetzen, die auch anhält, nachdem der Client die Verbindung beendet hat. Durch mehrfache Wiederholungen lässt sich der MTA oder auch das ganze System außer Gefecht setzen.

Abhilfe schafft unter anderem ein Update auf Postfix 2.0, bei dem der Code zum Parsen der Adressen grundlegend verändert wurde. Zudem soll eine Version 1.1.13 von Postfix erscheinen, aber Zalewski weist in seiner E-Mail auch auf Workarounds hin, mit denen sich die Probleme umgehen lassen.

GolemLink

--------

Mimail-Wurm nutzt Sicherheitsleck in Outlook Express


Wurm gibt Informationen offener Applikationen weiter


Wie etliche Anbieter von Antiviren-Lösungen berichten, tauchte am Wochenende der Wurm Mimail auf, der sich zur Verbreitung eine Sicherheitslücke in Outlook Express zu Nutze macht und sich rasant verbreitet hat. Zudem gaukelt einem die Absenderadresse vor, dass es sich um eine Benachrichtigung vom Administrator handelt, damit der Anwender die angehängte Datei unbedarft öffnet und den Wurm somit aktiviert.

Der Wurm-Code befindet sich im Mail-Anhang in einer ZIP-Datei mit der Bezeichnung Message.zip. Öffnet der Anwender diese, findet er darin die HTML-Datei Message.htm, die den schadhaften Code enthält. Wird diese HTML-Datei geöffnet, macht sich der Wurm die im April diesen Jahres entdeckte Sicherheitslücke in Outlook Express zu Nutze und führt entsprechenden Programmcode (foo.exe) aus. Parallel mit der Bekanntgabe der Sicherheitslücke in Outlook Express wurde im April 2003 auch ein Patch von Microsoft bereitgestellt.

Die Absenderadresse des Wurms weist das Muster admin@eigene-domain auf und soll dem Anwender so in den Glauben versetzen, dass die betreffende E-Mail vom eigenen Administrator stammt. Die Betreffzeile beginnt mit "your account", gefolgt von einigen zufällig ausgewählten Buchstaben. Der Nachrichtentext ist ebenfalls immer identisch und sieht folgendermaßen aus:
Hello there,

I would like to inform you about important information
regarding your email address. This email address will be
expiring. Please read attachment for details.

Diesem Textbaustein folgen - wie auch in der Betreffzeile - einige zufällig ausgewählte Buchstaben.

Für die Verbreitung durchforstet der Wurm etliche lokale Dateien nach passenden E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine. Daneben sammelt Mimail Informationen von offenen Applikationen und versendet diese Informationen an im Wurm-Code abgelegte E-Mail-Adressen. So können vertrauliche Informationen in fremde Hände gelangen. Mimail kopiert sich mit den Bezeichnungen exe.tmp, zip.tmp sowie videodrv.exe in das Windows-Verzeichnis und trägt sich mit videodrv.exe in die Registry ein, so dass der Wurm bei jedem Neustart des Rechners gestartet wird.

Die Hersteller von Antiviren-Software haben ihre Signaturdateien aktualisiert, so dass der Wurm damit erkannt und beseitigt werden kann.

GolemLink

Linux-Firewalls anfällig für DoS-Angriffe [Update]

Das Netfilter-Team hat zwei Advisories zu Fehlern in den Firewall-Funktionen des Linux-Kernels herausgegeben. Eines bezieht sich auf die Network Adress Translation (NAT), das andere auf das Connection Tracking, das Pakete einer Verbindung zuordnet. Beide Schwachstellen ermöglichen es unter bestimmten Umständen, dass Angreifer ein betroffenes System zum Absturz bringt (Denial-of-Service, DoS); zumindest das Connection-Tracking-Problem stufen die Entwickler als schwerwiegend ein. Betroffen ist die Kernel-Version 2.4.20, die Entwickler empfehlen ein Upgrade auf 2.4.21.

Das Netfilter-Team benachrichtigte bereits im März die Distributoren über deren Sicherheits-Mailingliste. Die einzige Reaktion kam von RedHat, die das Problem bestätigt und in ihren 2.4.20er-Kerneln beseitigt haben. Über den Status der anderen Distributionen ist derzeit noch nichts bekannt.

Auffällig ist der lange Zeitraum zwischen der Verfügbarkeit des Patches und dem Advisory: Fast fünf Monate waren zahlreiche Linux-Systeme für einen bekannten DoS-Angriff anfällig, ohne dass eine Warnung erfolgte. Ein Kommentar auf heise Security beschäftigt sich deshalb mit der Frage: Wann veröffentlichen? (ju/c't)

HeiseLink

____


SuSE und IBM erhalten Sicherheitszertifikat EAL2+


Sicherheitszertifikat nach Common Criteria für SuSE Linux Enterprise Server 8


SuSE und IBM haben heute das Common-Criteria-Sicherheitszertifikat der Sicherheitsstufe EAL2+ (Evaluation Assurance Level 2+) für den SuSE Linux Enterprise Server 8 auf IBM eServer xSeries erhalten. Eine Zertifizierung nach dem höheren Sicherheitslevel EAL3+ zusammen mit den Anforderungen des Controlled Access Protection Profile (CAPP) für die gesamte IBM eServer Produktlinie wurde bereits beantragt. Damit soll Linux der Weg zu einem breiteren Einsatz bei Regierungen und in unternehmenskritischen Umgebungen geebnet werden.

Common Criteria ist ein international anerkannter ISO-Standard (ISO 15408) und wird von der US-Regierung, europäischen Staaten und vielen anderen Organisationen verwendet, um die Sicherheit von Technologieprodukten zu bewerten. Er wird bei IT-Anwendern, Regierungsstellen und vielen Unternehmen ebenfalls als Sicherheitsstandard für unternehmenskritische IT-Produkte anerkannt.

Die Evaluierung wurde von der atsec information security GmbH, einem beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiertem Prüflabor, durchgeführt.

Darüber hinaus ist die Zertifizierung für die Common Criteria in Vorbereitung für die IBM Virtualisierungstechnologie z/VM. Diese wird für 2004 erwartet; z/VM ermöglicht Großrechner-Anwendern, bis zu mehrere tausend virtuelle Linux-Server auf einem einzelnen IBM Mainframe zu betreuen.

Auch die IBM Middleware Suite durchläuft derzeit die Common-Criteria-Zertifizierung - unter anderem für Linux. Dabei hat der IBM Director die Zertifizierung bereits durchlaufen, Websphere Application Server und Tivoli Access Manager sowie weitere IBM-Software-Produkte werden gerade geprüft.


GolemLink

Softwarepiraterie in den USA rückläufig

Der Anteil illegaler Programme unter der verbreiteten Software ist in den USA 2002 gegenüber dem Vorjahr um zwei Prozentpunkte auf knapp 23 Prozent zurückgegangen. Das hat der Interessenverband der Softwareindustrie Business Software Alliance (BSA) mit Hilfe der Marktforscher von IPR herausgefunden. Softwarepiraterie habe dennoch weiterhin einen schädlichen Effekt auf die Softwareindustrie und die Wirtschaft. Die BSA meint, sie koste dem Staat 2002 1,9 Milliarden US-Dollar gegenüber 1,8 Milliarden US-Dollar. Das entspreche 105.000 Arbeitsplätzen.

Die Entwicklung in den USA entspricht dem globalen Trend, den die BSA kürzlich von IPR feststellen ließ. Robert Holleymann, Präsident und CEO der BSA, findet den Schwund der Piraterie-Rate zwar ermunternd, aber es gebe weiterhin noch einen nicht akzeptablen Anteil illegaler Software. Den Rückgang führt er auf gesteigerte Aufklärungsarbeit zurück. Unter den US-Bundesstaaten war Illinois mit 13,4 Prozent im vergangenen Jahr derjenige mit der geringsten Piraterie-Rate. Darauf folgen Michigan, Ohio, Indiana und New York. Den größten Rückgang bei der Rate der illegalen Software weist Louisiana auf, wo sie um 14 Prozentpunkte auf 44,6 Prozent zurückging. (anw/c't)

HeiseLink

Sun ernennt Datenschutz-Managerin

Der Unix- und Server-Spezialist Sun hat Michelle Finneran Dennedy zur Beauftragten für den Datenschutz der Firma ernannt. Auf der neu geschaffenen Stelle des Chief Privacy Officer soll Dennedy nicht nur für die interne Datenschutz-Politik bei allen Abteilungen von Sun zuständig sein. Sie soll auch die Entwicklungsabteilungen dabei unterstützen, Produkte und Dienstleistungen für Kunden bereitzustellen, die dabei helfen, den Schutz der Privatsphäre zu gewährleisten. Denelly soll außerdem eine zentrale Rolle bei der Zusammenarbeit in der Liberty Alliance spielen, die einen Internet-Identifikationsdienst als eine Art "Internet-Ausweis" entwickelt.

Piper Cole, Vizepräsident bei Sun, betonte angesichts zunehmender Einführung von Webdiensten die Bedeutung, die das Vertrauen der Öffentlichkeit gegenüber einer Firma und ihren Diensten für die Umsetzung solcher Services habe. Als ein führender Lieferant von Netzwerktechniken habe Sun ein Interesse daran, die Privatsphäre von Kunden und Partner zu schützen und gleichzeitig die Öffentlichkeit darüber zu informieren, worin die Vorteile von "bewusster Informations-Weitergabe" lägen.

Dennedy kam im Jahr 2000 zu Sun und war als Mitglied der Marketing- und Marken-Rechtsabteilung unter anderem mit dem Schutz geistigen Eigentum, unfairen Wettbewerbspraktiken der Konkurrenz und Datenschutz beschäftigt. Sie machte ihren Doktor der Rechtswissenschaften an der Fordham University Law School; bevor sie zu Sun kam arbeitete sie bei der Kanzlei Fish & Neave als Patentanwältin.

Sun ist allerdings beileibe nicht die erste US-Hightech-Firma, die einen eigenen Posten für Datenschutz einrichtet. Auch in den USA wächst mit zunehmender Verbreitung des Internet und damit auch von Sicherheits- beziehungsweise Datenschutzlecks bei Anbietern die Sorge von Nutzern und Firmen vor Verletzungen der Privatsphäre und ungewollter Weitergabe privater Daten. So hat zum Beispiel Microsoft seit einiger Zeit einen eigenen Konzern-Datenschutzbeauftragten, der unter anderem die Datensammelpraktiken im Zaum halten soll und etwa auch dafür zuständig ist, den so genannten Privacy Health Index über die Vertrauenswürdigkeit der Mitarbeiter bei Datenschutzfragen zu erstellen. (jk/c't)

HeiseLink

___

Systems setzt auf IT-Security


20 Prozent mehr Ausstelllungsfläche


München (pte, 07. Aug 2003 11:00) - Die IT-SecurityArea der Systems 2003, von 20. bis 24. Oktober, wird mindestens 20 Prozent mehr Ausstellungsfläche einnehmen als im vergangenen Jahr. Die IT-SecurityArea deckt das gesamte Angebot an IT-Sicherheitsloesungen ab und präsentiert nicht nur Hersteller, sondern auch Distributoren, Integratoren und Berater. Neben Ausstellungsständen, Kurzvorträgen, Livedemonstrationen von Hacker-Tricks und Anti-Spam-Rezepten gibt es auf der IT-SecurityArea in diesem Jahr erstmals einen Branchenpark für Mittelstands-Komplettloesungen. http://www.systems-world.de/?id=6545

Vorgestellt wird auch Technologie Server-based Computing, ein IT-Konzept, bei dem Anwendungen und Daten komplett auf zentralen
Servern konsolidiert werden. Darüber hinaus finden Besucher der IT-SecurityArea eine ganze Reihe weiterer Security-Angebote für den Mittelstand. Dazu gehört auch Mcert, das neue Computer-Notfallzentrum für den Mittelstand, das gemeinsam von der Bundesregierung und dem Branchenverband BITKOM betrieben wird. http://www.it-security-area.de (Ende)

PresseTextLink

Kein Vertrauen in Trusted Computing

Der Chaos Computer Club (CCC) warnt nach wie vor eindringlich vor der Umsetzung der Trusted-Computing-Pläne der Hard- und Softwareindustrie in ihrer momentanen Form. Sicherheitsexperten des Hackervereins führten auf dem Chaos Communication Camp bei Berlin ihre Kritik an dem Vorstoß von Größen wie Intel und Microsoft aus, eine "sichere" Computerplattform zu schaffen. Sie erklärten "Trusted Computing" (TC) dabei als per se unsicher, da neben Strafverfolgern und Geheimdiensten selbst PC-Händler das System leicht unterwandern könnten. "Wir haben es mit der größten Gefährdung sicherer Transaktionen im E-Commerce zu tun", sagte Rüdiger Weis, CCC-Veterane und Forscher an den Amsterdamer Cryptolabs. Die Technik könne zudem verwendet werden, um freie Software "aus dem Rennen zu kicken". Die einzig sinnvolle Anwendungsmöglichkeit von TC sei und bleibe gemäß den jetzigen Spezifikationen die Unterstützung von Nutzerkontrolltechniken wie Digital Rights Management (DRM).

Die Kritik der Sicherheitstester bezieht sich sowohl auf Hard- wie auch Softwarekomponenten des Trusted Platform Module (TPM), an dem die ehemals als TCPA bekannte Trusted Computing Group (TCG) werkelt, und dem Microsoft-Vorhaben Next Generation Secure Computing Base (NGSCB), früher bekannt als Palladium. Schon die für das ganze Unterfangen wesentlichen Verschlüsselungsmechanismen seien alles andere als sicher, wiederholte Weis seine bereits auf dem vergangenen Chaos Communication Congress Ende Dezember vorgetragene Kritik an der "Black Box Crypto" des TPM. Gemeinsam mit einem Forscherkollegen habe er inzwischen nachgewiesen, dass die Gefahr des Einbaus von "hidden channels", die bei der Zufallszahlen-Generierung genutzt werden, real sei (das Dokument ist als Post-Script-Datei verfügbar). Das Vertrackte an diesen Kanälen sei, dass sie eben tatsächlich im Nachhinein nicht zu finden seien.

Noch sei auch unklar, so der Krypto-Experte weiter, ob Microsoft einen zusätzlichen symmetrischen Schlüssel in die Plattform integriert wissen wolle. Darauf habe die US-Firma bisher bestanden. Das käme jedoch einem "riesigen Sicherheitsproblem" gleich, da die Krypto-Chips dann entweder aus dem System leicht heraus zu operieren wären -- oder unwiederrufbar in es integriert und bei einem Fehler verloren wären. Insgesamt besteht für Weis keinen Zweifel daran, dass Microsoft "die Kontrolle über Ihren Computer haben will". Lizenzen wie das -- nach heftiger Kritik noch überarbeitete -- End User License Agreement (EULA) für den Windows Media Player, die in diese Richtung weisen, würden von Juristen hierzulande zwar noch als "lächerlich" und "vollkommen unvereinbar mit europäischem Recht" dargestellt. Doch "wenn die Hardware nicht mehr unter unserer Kontrolle ist, kann Microsoft sie durchsetzen."

Für alle, denen sich das zu sehr nach Verschwörungstheorie anhört, hatte Weis eine Reihe von Einschätzungen prominenter Kryptoforscher zum Thema mitgebracht. So berief er sich etwa auf Ron Rivest. Dem Mitbegründer der RSA-Kryptographie zufolge würden die Nutzer mit TC und NGSCB "einen Teil ihres Computers Leuten vermieten, denen sie nicht vertrauen könnten". Die Krypto-Cracks Whitfield Diffie und Bruce Schneier sehen das ganze Geplänkel um den "Trusted Computer" gar mehr als "Computer-Trust", also als Basis für ein neues Industriekartell, in dem letztlich Microsoft sein Monopol im Desktop-Bereich weiter ausbauen könne und auch die TCG an die Wand spielen werde.

Das Wort "Vertrauen" in TC, brachte Andreas Bogk die Sicht des CCC auf den Punkt, stehe allein für das Vertrauen, das Firmen wie Disney nach der Verbreitung der neuen Technik den Nutzern entgegenbringen könne. Die Film- und die Musikindustrie könnten dann nämlich auf Nummer Sicher gehen, dass die Nutzer ihre Werke bei jedem Abspielen auf unterschiedlichen Plattformen neu bezahlen müssten. Alle anderen von der Industrie angepriesenen "interessanten Funktionen" außer DRM seien mit gegenwärtigen Hard- und Softwarelösungen einfacher zu erzielen, bestätigte Weis. Um TC zu akzeptieren, "muss man dagegen der US-Regierung, Microsoft, Intel und sogar den Computer-Verkäufern vertrauen", betont der Sicherheitsprüfer. Denn das TPM sei nicht gegen Hardware-Attacken abgesichert; jeder Angreifer mit physikalischem Zugang zu den Rechnern -- und dazu zählen auch die Händler -- könne sich mit einfachen Mitteln Zugang zu den privaten Schlüsseln der Geräte verschaffen und die Systeme manipulieren. Das würde vertrauenswürdige Geschäfte im Internet absolut unmöglich machen, wobei der Nutzer das Nachsehen hätte. Er müsste umständlich nachträglich beweisen, dass sein Computer kompromittiert wurde.

Doch "Widerstand ist möglich", lautet das Motto der Hacker. Sie fordern die Übergabe der Schlüssel in die Hände der Nutzer, damit diese selbst die Kontrolle über ihre Daten und ihre Geräte behalten können. "Vertrauensfunktionen nur für Dritte von außerhalb" seien dagegen absolut inakzeptabel, betonte Bogk. Das Mindeste, was die Industrie zusagen müsste", ergänzte Weis, sei die Ermöglichung der "unabhängigen und internationalen Überprüfbarkeit" aller Hard- und Softwareeinheiten der geplanten Plattformen. (Stefan Krempl) (jk/c't)


HeiseLink

____

Zweites Chaos Communication Camp eröffnet


Unter brutzelnder Sonne wurde heute das zweite vom CCC organisierte Chaos Communication Camp 2003 eröffnet. Noch bis Sonntag bietet die Veranstaltung in Altlandsberg bei Berlin zahlreiche Vorträge, Workshops und Projekte rund ums Thema Hacken und Computer im Allgemeinen. Bereits am heutigen Donnerstagmorgen sind weit über 1000 Besucher im Camp registriert worden, nicht wenige bauten ihre Zelte in der Nacht mit Taschenlampen auf.





Die Infrastruktur des Camps verfügt über einen eigenen Radio-Sender (UKW 88,3 MHz; Streams auf www.subether.de), drei Antennentürme für Wireless-LAN- und Funk-Unterstützung sowie Strom auf dem gesamten Gelände. Ethernet-Verbindungen werden durch so genannte "Datenklos" (Bild links) sichergestellt: In zweckentfremdeten Dixi-Toiletten stehen Cisco-Router für die Kabelanbindung ans Netz. Das Herzstück ist das Hackcenter (Bild rechts), das größte Zelt mit mehreren hundert Sitzplätzen und einem Bereich für Vorträge.

In den zwei Vortragszelten finden jeden Tag von 12 Uhr mittags bis 12 Uhr nachts Diskussionen, Worshops und Vorträge statt. Das komplette Veranstaltungsprogramm steht auf den offiziellen Seiten des Camps zur Verfügung. Wie schon beim ersten Camp 1999 steht auch diesmal wieder die Heart of Gold im Mittelpunkt: Nach vier Jahren soll das Schiff in den kommenden Tagen wieder landen. Kontakt wurde laut Veranstalter Tim Pritlove bereits hergestellt, die genaue Landezeit ist aber noch unklar.

Neben Technischem gibt es auf dem Gelände noch genug Alternativen fürs Freizeitvergnügen, ein Badesee macht die momentane Hitze erträglich. Wer die Übernachtung einplant, sollte aber neben Badehose auch einen Pullover und eine lange Hose mitnehmen -- in der Nacht sinken die Temperaturen auf unter 15 Grad. Für alle vier Tage kostet das Camp 100 Euro, für einen Tag 20 Euro. (pab/c't) / (jk/c't)


HeiseLink

Kampf dem Spam: Die Filter schlagen zurück

Paul Graham: Angriff ist die beste Verteidigung


Bereits mit seinem Artikel A Plan for Spam hat Paul Graham nicht nur für Aufsehen gesorgt, sondern auch den Grundstein für eine neue Generation von Spam-Filtern - die so genannten Bayes-Filter - gelegt. Doch für Graham hat der Kampf gegen Spam erst begonnen. In seinem neuen Artikel Filters that Fight Back beschreibt er weitere Methoden, um Spammern Einhalt zu gebieten.






Paul Graham
Bislang verläuft der Kampf gegen Spam eher passiv, so dass man eingehenden Spam automatisch zu identifizieren und auszusortieren versucht. Graham schlägt nun aktive Methoden vor, um dem zunehmenden Spam-Problem zu begegnen. Zwar erlauben Bayes-Filter derzeit eine recht hohe Erkennungsrate von echten Spam bei einer geringen Zahl von falschen Erkennungen, doch sei zu beobachten, dass Spammer versuchen sich auf diese neuen Filter einzustellen.

Zwar seien die Versuche Bayes-Filter zu umgehen bislang weitgehend erfolglos, wenn nicht sogar kontraproduktiv, dies könne sich aber zunehmend ändern, zumal Bayes-Filter eine immer höhere Verbreitung finden. So integriert unter anderem Mozillas E-Mail-Client einen Bayes-Filter, aber auch Tools wie Spamassassin bieten entsprechende Möglichkeiten und immer mehr Provider nutzen die neue Technik.

Der Spam der Zukunft wird nach Meinung von Graham daher auf das Notwendigste reduziert werden, so dass entsprechende E-Mails kaum mehr als die entsprechende URL enthalten. Aber genau an dieser Stelle sollte nach Meinung von Graham angesetzt werden. Man müsse das Übel bei der Wurzel packen und dies sei das Web und nicht die E-Mail. Schließlich enthalten Spam-E-Mails als Kontaktmöglichkeit meist eine URL. Entwickler von Anti-Spam-Filtern sollten sich daher genau darauf konzentrieren, denn daran könnten Spam-Versender kaum etwas ändern.

Spam-Filter könnten Spammer mit ihren eigenen Waffen schlagen, indem sie in E-Mails enthaltene URLs automatisch abrufen. Wer Millionen E-Mails versendet, erhält also Millionen von automatisierten Zugriffen, was die Last auf dessen Server erhöht, ohne die Zahl der Verkäufe zu steigern. Bei entsprechend breitbandingen Verbindungen könnte man die Links auch mehrfach abrufen, um die Last weiter zu erhöhen. Diese werden die Spammer zwar nicht direkt in die Knie zwingen, aber die Kosten für das Spamming zumindest merklich erhöhen.

Um sicherzustellen, dass nicht die Falschen bestraft werden, sollte eine entsprechende "weiße Liste" eingerichtet werden, die URLs enthält, die nicht auf Spammer zurückgehen. Darunter fallen beispielsweise Fußzeilen wie sie von kostenlosen E-Mail-Anbietern eingefügt werden. Eine solche Liste sollte von vertrauenswürdigen Freiwilligen gepflegt oder über Umfragen unter Anwendern erzeugt werden.

Als Reaktion der Spammer sei damit zu rechnen, dass diese funktionierende Unsubscribe-Links in ihre E-Mails integrieren, um Empfänger auszuschließen, die entsprechende "Auto-Retrieving-Filter" verwenden. Damit würde man Spam zwar nicht komplett stoppen, er würde aber nur mehr Leute erreichend, die unbedarft oder zu faul sind, entsprechende Filter einzusetzen, also genau die Leute, die Spammer versuchen zu erreichen. So würde Spam ironischerweise letztendlich zu einer deutlich zielgerichteteren Werbeform, so Graham.

Paul Graham hält einen PhD in Informatik der Harvard Universität, hat Bücher über Lisp veröffentlicht und die Programmiersprache Arc - einen Lisp-Dialekt - entwickelt.

golemLink


___


Schwachstellen in FreeBSD ermöglichen lokale Angriffe


Die FreeBSD-Entwickler haben zwei Advisories veröffentlicht, die auf Sicherheitslöcher hinweisen, mit denen lokale Benutzer mit beschränkten Zugriffsrechten Angriffe durchführen können. Ein Fehler in der Signalerzeugung zur asynchronen Kommunikation mit anderen Prozessen ermöglicht es, ungültige Signalnummern zu erzeugen. Die falschen Nummern werden durch eine fehlerhafte ptrace()-Funktion beziehungsweise den Videocapture-Gerätetreiber "spigot" hervorgerufen. In der Folge kann ein Angreifer das System zum Absturz bringen oder Speicherinhalte manipulieren und beliebigen Code mit Root-Rechten ausführen. Letzteres allerdings nur auf FreeBSD 5.x-Systemen wie 5.0-RELEASE und 5.1-RELEASE, wenn die Kernel-Option "INVARIANTS" nicht benutzt wurde. Von einem möglichen Systemcrash sind alle Versionen bis einschließlich 4.8-RELEASE-p1 beziehungsweise 5.1-RELEASE bedroht.

Die Programmierer von FreeBSD empfehlen, die aktuellen Patches einzuspielen. Als Workaround sollte bei den 5.x-Systemen der Kernel mit der Option "INVARIANTS" neu übersetzt werden. Die mögliche Denial-Of-Service-Attacke bleibt damit allerdings bestehen.

Ein Fehler im iBCS2-Call-Translator für die Funktion statfs() ermöglicht einem Benutzer, einen Längenparameter zu manipulieren und zu übergeben. Die Intel Binary Compatibility Specification (iBCS) bietet eine Zwischenschicht für Systemaufrufe, um zum Beispiel unter Linux verfügbare Intel-Binaries auf FreeBSD-Systemen laufen zu lassen. Die Funktion statfs() liefert Informationen über ein gemountetes Dateisystem. Ist der Längenparameter größer als erforderlich, werden zusätzlich Teile des Kernel-Speichers zurückgegeben. Je nach Herkunft dieser Teile können dort kritische Informationen enthalten sein, zum Beispiel Daten anderer Sitzungen.

iBCS2 wird standardmäßig nicht im FreeBSD-Kernel unterstützt, aber als Modul nachgeladen, wenn in der rc.conf der Eintrag "ibcs2_enable" vorhanden ist. Betroffen ist FreeBSD bis einschließlich 4.8.RELEASE-p2 und 5.1-RELEASE-p1. Die FreeBSD-Entwickler empfehlen, die aktuellen Patches einzuspielen. Deaktiviert man den iBCS2-Support, sind ebenfalls keine Angriffe mehr möglich. (dab/c't)


HeiseLink

____


Zone Labs verspricht sichereres Instant Messaging


MÜNCHEN (COMPUTERWOCHE) - Zunächst an Privatanwender von IM-Software (Instant Messaging) wendet sich der bislang vor allem durch seine Firewalls ("Zonealarm") bekannte US-Anbieter Zone Labs mit seinem morgen erscheinenden Produkt "Imsecure Pro". Diese installiert sich zwischen dem Client eines Nutzers - unterstützt werden die Messenger von AOL, Microsoft und Yahoo sowie alternative Messenger, die eines oder mehrere der drei Netze nutzen - und dem öffentlichen IM-Netz. Sie scannt den Traffic und blockiert bösartigen Code und Spam, kann die Kommunikation zwischen zwei Imsecure-Anwendern verschlüsseln und bestimmte Features wie Dateiaustausch oder Sprach- und Video-Chats blockieren.
IMsecure Pro kostet 19,95 Dollar. Ende des Monats soll auch eine abgespeckte, für Privatpersonen gemeinnützige Anwender kostenlose Version verfügbar sein. Für Unternehmen will Zone Labs IM-Sicherheits-Features in eine für das vierte Quartal geplante neue Version seiner Software "Integrity" integrieren. Diese soll dann zusätzlich Client-Verwaltung und Policies bieten. (tc)

ComputerWocheLink

_____


BSI veröffentlicht Zertifizierung für SuSE-Linux mit IBM-Server


Nach der Ankündigung liegen nun die offiziellen Dokumente für die Zertifizierung von SuSE-Linux auf IBM-Servern nach den Common Criteria vor: In einer Zusammenarbeit zwischen der IBM Corporation, atsec Information Security GmbH und der SuSE Linux AG wurde der Linux Enterprise Server 8, eingesetzt auf xSeries-Servern von IBM, nach den international anerkannten Common Criteria (CC) evaluiert. Die Evaluierung wurde von atsec Information Security GmbH, München, durchgeführt, einem beim Bundesamt fuer Sicherheit in der Informationstechnik (BSI) akkreditiertem Prüflabor.

Zur Erhöhung der IT-Sicherheit bietet das BSI die Dienstleistung der Zertifizierung von IT-Produkten und IT-Systemen im Hinblick auf deren Sicherheitseigenschaften an. Durch Evaluierungen soll bestätigt werden, dass das geprüfte Produkt oder System die vom Hersteller vorgegebenen Sicherheitseigenschaften wirklich besitzt. Das BSI ist eine von sechs international anerkannten Zertifizierungsstellen, die unter dem Dach des Common Criteria Arrangements zusammenarbeiten.

Das Ergebnis der Überprüfung des SuSE-IBM-Systems ist die Einstufung in EAL2 (Evaluation Assurance Level). Damit genügt es den Anforderungen eines Einsatzes in Produktionsumgebungen mit niedrigem bis mittlerem Risiko. Bei einer EAL-Einstufung ist die Software mit einer Hardware-Plattform untrennbar verknüpft. Im Vergleich besitzen IBMs AIX 5.2 und Windows-2000-Systeme die Evaluierungsstufe 4, diese soll für das SuSE-IBM-Tandem später folgen.

Der Zertifizierungsbericht kann unter http://www.bsi.bund.de/zertifiz/zert/reporte/0216a.pdf eingesehen werden. Eine Beschreibung der Sicherheitsvorgaben von SuSE und IBM ist hier zu finden: http://www.bsi.bund.de/zertifiz/zert/reporte/0216b.pdf

Um ein Zertifikat zu erhalten, wird das so genannte Target of Evaluation (TOE) mehreren Überprüfungen unterzogen, die in den CCs für jede Stufe beschrieben sind. Erforderlich ist die Vorlage einer kompletten Dokumentation des Produkts, inklusive der Entwicklungsunterlagen und einer Beschreibung der Sicherheitsfunktionen. Zusätzlich sollen Tests durchgeführt werden, um eventuelle Schwachstellen zu entdecken. Allerdings beschränken sich die meisten Überprüfungen auf das Studium der Dokumentation. Darüber hinaus liegt es im Ermessen des Prüfers, was getestet wird. EAL2 spezifiziert zwar, was alles untersucht werden kann, jedoch sind nicht wenige Punkte optional. Die Angabe "the evaluator should .." ist an vielen Stellen des EAL2-Evaluierungsleitfadens zu finden. Somit ist ein Vergleich EAL2-zertifizierter Produkte untereinander erst nach genauem Studium der Berichte möglich, um herauszufinden, was genau geprüft wurde.

Wichtig ist das Studium des Berichtes schon deshalb, um zu erfahren, in welchem Kontext geprüft wurde. Bei einer Evaluierung wird in Bezug auf eine bestimmte Umgebung oder einen bestimmten Einsatz getestet. Ein Hersteller kann seine Server-Systeme für ein Szenario, so genannte Protection Profiles, testen lassen, das wenig Bedrohungspotenzial für das System enthält. Ein System kann auf diese Weise eine EAL4-Stufe erreichen, da es allen Anforderung an die Umgebung genügt, ohne jedoch ausreichend gegen Angriffe von außen geschützt zu sein. Kritiker werfen zum Beispiel Microsoft vor, auf diese Art und Weise das EAL4-Zertifikat für Windows 2000 erhalten zu haben. (dab/c't)

HeiseLink

Sicherheitslücken

Code ausführbar in PINE

Software: University of Washington Pine 3.98 bis 4.44
Typ: Pufferüberlauf


Problem: Unter betimmten Umständen ist PINE nicht in der Lage die FROM-Zeile einer E-Mail zu parsen, obwohl diese den RFC Bestimmungen entspricht.

Effekt: Die Folge eines solchen Fehlers ist ein Core-Dump. Eventuell ist auch Code ausführbar.

Lokal: nein
Remote: ja


Exploit: E-Mails mit FROM Zeilen die der folgenden ähneln lösen den Fehler aus:
""""""""""""""""""""""""""""""""@host.fubar
Lösung: Es wird empfohlen auf PINE 4.50 upzudaten, oder Patches der jeweiligen Distributoren zu installieren.


Veröffentlicht: 09.08.2003
Aktualisiert: 09.08.2003
Quelle: Bugtraq


ComputerSecurityLink

Task-Force gegen Spam

Die Vertreter von 70 deutschen Internet-Providern haben sich in der vergangenen Woche in Karlsruhe getroffen, um gemeinsam Wege gegen die Spam-Flut zu finden. Die Anti-Spam-Task-Force war vom Verband der deutschen Internet-Wirtschaft eco beim ersten deutschen Anti-Spam-Kongress in Usingen ins Leben gerufen worden.

Erster Schritt zum vereinten Kampf gegen den Spam ist nun ein Zeitplan; in verschiedenen Gruppen diskutieren die Teilnehmer, wie sich die Flut unerwünschter E-Mails eindämmen lässt. Der Schwerpunkt liegt dabei auf den technischen Aspekten; auf dem Treffen diskutierten die Teilnehmer aber auch die rechtliche Seite. So ist etwa ein Eingriff des Providers in den Mail-Verkehr rechtlich umstritten. Auch die Betreiber von Mailservern, die der Arbeitsgruppe nicht angehören, sollen unterstützt werden. In der Agenda findet sich auch eine Diskussion über die Erstellung eines "Anti-Spam-Guides".

Die Task Force soll einen möglichst breiten Konsens finden, um die Position der Anbieter gegenüber den Spammern zu stärken. Das Treffen markiert aber erst den Einstieg in die Diskussion. Mit konkreten Ergebnissen ist daher erst gegen Ende des Jahres zu rechnen. Entscheidend für den Erfolg wird es sein, ob es den Initiatoren tatsächlich gelingt, eine einheitliche Front gegen die Werbeflut aufzubauen. (uma/c't)


HeiseLink

___


Schutz vor RPC/DCOM-Wurm W32.Blaster

Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen.

Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst. Ein Paketfilter oder eine Firewall kann eingehende Verbindungsversuche über Port 135 sperren. Schon handelsübliche ISDN- und DSL-Router mit eingebauter Firewall blockieren derartige Angriffe erfolgreich. Ankommende Verbindungsversuche werden grundsätzlich ignoriert.

Wer über keinen Router zum Filtern verfügt, kann unter Windows XP die systemeigene Firewall unter den erweiterten Netzwerkeigenschaften einschalten. Windows-2000-Benutzern wird empfohlen, sich eine Personal Firewall, zum Beispiel Kerio Personal Firewall, zu installieren. Zusätzlich sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele andere Dienste RPC benötigen.

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.

HeiseLinkhttp://www.heise.de/newsticker/data/dab-12.08.03-001/


_____________



Internet-Wurm nutzt Sicherheitsleck zur rasanten Verbreitung


Windows-Sicherheitslücke erlaubt nahezu unkontrollierbare Verbreitung


Nachdem Microsoft Mitte Juli 2003 über ein Sicherheitsleck im RPC-Protokoll etlicher Windows-Betriebssysteme berichtet hatte, erwarteten Sicherheitsexperten schon mehrfach, dass ein entsprechender Wurm oder aber anderer Programmcode das Internet torpedieren werde. Diese Prognose bewahrheitete sich nun, denn ein entsprechender Wurm verbreitet sich seit vergangener Nacht explosionsartig über das Internet, wie zahlreiche Hersteller von Antiviren-Software übereinstimmend warnen.

Der vergangene Nacht entdeckte Wurm hört auf den Namen "Blaster" respektive "Lovsan" und verbreitete sich innerhalb kürzester Zeit massiv, was bedeutet, dass etliche Anwender die seit einem Monat bekannte Sicherheitslücke bislang nicht geschlossen haben, obgleich zeitgleich mit der Veröffentlichung des Sicherheitslecks auch ein Patch zur Verfügung gestellt wurde. Zugleich scheint der TCP-Port 135 nicht so stark durch Firewalls geschützt zu sein, wie Microsoft es im entsprechenden Security Bulletin noch vermutet hatte und damit das Risiko des Sicherheitslecks herunterspielte.

Der Wurm sucht über zufällig ausgewählte IP-Adressen auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet. Findet der Wurm ein System ohne installierten Patch, öffnet er eine Remote-Shell auf Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Verzeichnis System32. Auf einem infizierten System lauscht der Wurm als TFTP-Server fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage, um sich so weiter zu verbreiten. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch zum Absturz oder zu einem Neustart geführt werden.

Der Wurm sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Ab dem 16. August 2003 startet der Wurm außerdem eine Denial-of-Service-Attacke auf die Website www.windowsupdate.com, was verhindern soll, dass sich Anwender entsprechende Patches auf den Rechner laden können. Diese Denial-of-Service-Attacke läuft dann ununterbrochen bis Ende des Jahres.

Der Wurm-Code enthält einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE
YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!

Dieser Text wird jedoch vom Wurm nicht angezeigt, sondern verbirgt sich lediglich im Programmcode.

Alle Nutzer der Windows-Versionen NT 4.0, 2000, XP sowie der Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003 sollten den von Microsoft bereit gestellten Patch gegen das RPC-Sicherheitsloch schleunigst auf ihren Systemen einspielen, um sich vor einem derartigen Wurm-Angriff zu schützen.

Die Hersteller von Antiviren-Software haben ihre entsprechenden Viren-Signaturen bereits aktualisiert.

GolemLink

Lovesan plant Mitternachts-Attacke

Blaster-Wurm dreht weiter seine Runden im Internet

Frankfurt (pte, 14. Aug 2003 12:11) - Der Blaster Wurm Lovesan programmiert automatisch alle befallenen PCs, um in der Nacht von Freitag, 15. August, zum Samstag, 16. August, eine Denial-of-Service-Attacke auf die Update-Website von Microsoft http://www.windowsupdate.com zu starten. Dies teilte der Virenspezialist Sophos in einer Aussendung mit.

Der in der Nacht vom 11. August das erste Mal aufgetauchte Wurm agiert anders als gewöhnliche E-Mail-fähige Würmer, die meist über PC-Nutzer hereinbrechen und nach kurzer Umlaufzeit wieder von der Bildfläche verschwinden. Blaster dagegen dreht seine Runden im Internet und sucht nach Schwachstellen im Microsoft Windows Betriebssystem - was ihm zur Zeit eine rasante Eigendynamik verschafft. "Blaster ist gerade dabei, sich einen Namen als meist verbreiteter Virus der Welt zu machen", meint Gernot Hacker, Senior Technical Consultant bei Sophos. http://www.sophos.de/

Rechner können laut Sophos auch ohne offensichtliche Anzeichen von Blaster befallen sein. Infizierte PCs arbeiten merklich langsamer. Computer, die mit Windows XP laufen, neigen dazu, sich permanent neu zu booten. Sophos warnt davor, dass die Zeichen als Hitze-Probleme oder alltägliches Zipperlein des Rechners zu deuten.

"Wer Windows XP permanent updatet, hat kein Problem. Bestraft werden offenbar all jene, die für ihr Betriebssystem nicht bezahlen", vermutet Gerhard Sternath, Geschäftsführer von LINBIT. Die Wiener Softwareschmiede bietet mit der Linbox eine Komplettlösung mit Firewall, Fileserver, Mailserver und Proxyservere, die für KMUs schon ab zwei Arbeitsplätze leistbar ist. "Da die auf Linux basierende Linbox einen Mailserver inkludiert, können dort auch Viren, die sich über E-Mail verbreiten, abgefangen werden", erläutert Sternath. http://www.linbit.com (Ende)

PresseTextLink

_____


FTP-Server des GNU-Projekts gecrackt

GNU-Quelltexte offenbar unverändert


Der zentrale FTP-Server des GNU-Projekts steht bereits seit geraumer Zeit unter fremder Kontrolle. Ein Nutzer hatte im März 2003 eine Sicherheitslücke ausgenutzt und so Root-Zugriff auf der Maschine erlangt. Derzeit ist man dabei, die Integrität der auf dem Server zur Verfügung stehenden Dateien zu prüfen und diese auf einem Ersatz-System einzuspielen. Bislang gehen die Verantwortlichen aber davon aus, dass kein Source-Code des GNU-Projekts verändert wurde.




Derzeit werden alle Dateien, für die bekannte MD5-Checksummen existieren, anhand dieser überprüft, was ausschließen soll, dass die Dateien unbemerkt verändert wurden. Auch wenn ein großer Teil der Dateien bereits wieder zur Verfügung steht, ist die Überprüfung noch nicht abgeschlossen.

Der GNU-FTP-Server wurde bereits im März 2003 gecrackt, was aber erst in der letzten Juli-Woche aufgefallen ist. Der Angreifer nutzte dabei den so genannten "Ptrace Exploit", eine lokale Sicherheitslücke im Linux-Kernel, die kurz zuvor veröffentlicht wurde. Er erlangte Root-Rechte und installierte ein trojanisches Pferd. Wie es scheint, so Bradley M. Kuhn, Executive Director der Free Software Foundation, sei der Cracker aber in erster Linie daran interessiert gewesen, Passwörter auszuspähen und den Server für Angriffe auf andere zu nutzen.

Seit dem 1. August 2003 werden alle neuen Veröffentlichungen mit GPG (GNU Privacy Guard) von deren Betreuer signiert. Damit soll eine automatische Zertifizierung der Integrität der Quelltexte sichergestellt werden. Zudem wurde den GNU-Maintainern der lokale Zugriff auf den FTP-Server vorübergehend gesperrt.

GolemLink

_____

FBI ist MSBlaster-Wurm auf der Spur

Bis zu 250.000 Rechner mit Virus infiziert

Washington (pte, 14. Aug 2003 16:16) - Das FBI (Federal Bureau of Investigation) http://www.fbi.gov hat die Ermittlungen gegen den Erschaffer des MSBlaster-Wurms aufgenommen. Bis zu 250.000 Computer sollen, nach Schätzung von dem IT-Unternehmen Symantec Corp. http:// www.symantec.com , weltweit infiziert worden sein. Davon sollen sich rund 120.000 Rechner in den USA befinden. Das IT-Sicherheitsunternehmen RedSiren http://www.redsiren.com rechnet sogar mit bis zu zwei Mio. infizierten Rechnern weltweit. Besorgniserregend ist vor allem der finanzielle Schaden, der nicht nur Privatbenützer sondern auch Unternehmen betrifft. Laut RedSiren müssen Unternehmen mit bis zu 329 Mio. Dollar rechnen, die durch den MSBlaster am Dienstag entstanden sind. Dies berichtet die Washington Post heute, Donnerstag.

Sogar der US-Senat und die Federal Reserve Bank of Atlanta, die nach den Angriffen beinahe ihr gesamtes Computernetz abschaltete, blieb vor dem MSBlaster-Wurm nicht verschont. Bei CBS in New York verursachte der Wurm Arbeitsverzögerungen und zum Teil die komplette Arbeitsunterbrechung und kostete dem Medieunternehmen somit ein Vermögen. Doch ein Ende des Wurmbefalls ist noch lange nicht in Sicht. Ist die Anzahl der Neuinfektionen zwar um 50 Prozent gesunken, muss mit einem erneuten Angriff am Samstag gerechnet werden. IT-Sicherheitsexperten weisen darauf hin, dass der MSBlaster am Samstag die Microsoft-Website angreifen wird, die User zum Download von Softwareupdates nützen. Microsoft habe sich bereits auf den Angriff am Samstag vorbereitet, so ein Microsoft-Sprecher im Interview mit der Washington Post.

Der MSBlaster, der auch unter dem Namen LoveSan bekannt ist, attackiert den Großteil der neueren Versionen von Microsofts Windows. Der MSBlaster verbreitet sich unterschiedlich zu den herkömmlichen Viren, die mittels einer zugeschickten E-Mail oder der Aktualisierung einer Homepage auf den Computer gelangen. Der Wurm sucht im Netz Computer mit denen er eine Verbindung herstellt und diese infiziert. Es sei sehr wahrscheinlich, dass in Kürze Folgeversionen des MSBlaster im Netz auftauchen werden, so Alfred Huger, Senior Direktor von Symantec. Tatsächlich sind bereits zwei neue Versionen des Wurms von IT-Sicherheitsexperten entdeckt worden. Dabei seien jedoch nur geringfügige Änderungen vorgenommen worden, so die IT-Experten. (Ende)


PresseTextLink

___



Verschlüsselung weicht ZIP-Standard auf


Die beiden führenden Anbieter von Tools zur Dateikompression, Pkware und Winzip, entwickelten voneinander abweichende Mechanismen zur Verschlüsselung von ZIP-Archiven. Beobachter sehen darin eine Bedrohung für den De-facto-Standard zur Datenkompression. Verschlüsselte Archive tragen wie unverschlüsselte die Dateiendung ".zip" und werden durch denselben MIME-Type beschrieben. Finden die proprietären Sicherheits-Features bei vielen Anwendern Anklang, dann scheitern Tools anderer Hersteller beim Dekomprimieren der verschlüsselten Daten.

Aufgrund der Geschäftspolitik der beiden Anbieter sieht es aber nicht so aus, als würden sehr viele verschlüsselte Archive im Internet auftauchen. Pkware führte diese Funktionalität zuerst ein, um für Unternehmenskunden einen Mehrwert im Vergleich zu den zahllosen freien Tools bieten zu können. Winzip als Marktführer mit großem Vorsprung zog nach, um gegenüber dem Rivalen konkurrenzfähig zu bleiben. Während Pkware Lizenzen für seine Verschlüsselungstechniken verkaufen möchte, legte Winzip seine Variante für den Nachbau durch andere Anbieter von ZIP-Tools offen

Die für den Unternehmenseinsatz gedachten, ZIP-basierenden Tool-Pakete versuchen auf das schwindende Bedürfnis nach Datenkompression zu reagieren. Große Speicherkapazitäten und gestiegene Bandbreiten in Firmennetzen reduzieren die Notwendigkeit, derartige Datenquetscher einzusetzen. Mit den neuen Verschlüsselungsverfahren könnten ZIP-Tools aber vermehrt Aufgaben des Datei-Managements übernehmen - etwa den sicheren Datenaustausch zwischen Geschäftspartnern. (ws)


ComputerWocheLink


______


Dokumentenschutz SmartShelter weiterentwickelt


Neue Version schützt auch in HTML eingebettete PDF-Dokumente

Karlsruhe (pte, 13. Aug 2003 10:38) - Der Anbieter von Softwareschutz Wibu-Systems http://www.wibu.de hat die bestehende Version seines Dokumentenschutzes SmartShelter weiterentwickelt. Die Implementierung von SmartShelter ist jetzt einfacher und benutzerfreundlicher, als neues Feature wurde der Schutz von PDF-Dokumenten realisiert. SmartShelter dient zum Schutz von HTML-Dokumenten, welche die verschiedenen Elemente wie Texte, Tabellen, Präsentationen im Office-Bereich oder wie Video, Filme, Sounds im Multimedia-Bereich vereinigt. Die geschützten Dokumente können nur mit der passenden Hardware, der WIBU-BOX, entschlüsselt und benutzt werden.

In der neuen Version können auch in HTML eingebettete PDF-Dokumente geschützt werden. Eine verständliche graphische Oberfläche löst die bisherige Kommandozeilenstruktur ab. Die Standardvariante der WIBU-BOX ist als USB-, LPT-, PCMCIA- oder COM-Version verfügbar und beinhaltet Parameter, die den lokalen Einsatz oder die Anzahl der Anwender im Netzwerk festlegen. Mit dem Feature Remote Programming ist eine Umprogrammierung aus der Ferne möglich. Der Anwender kann mit SmartShelter vertrauliche Informationen in Dateiform, Filmausschnitte, Service-Unterlagen und vieles mehr für eine bestimmte Gruppe zugänglich machen. Damit können Informationen gezielt auf sichere Weise weitergegeben werden. "Wichtig ist es uns, den Urhebern sowohl Sicherheit als auch Flexibilität zu bieten", so Oliver Winzenried, Vorstand und Gründer der Wibu-Systems.

Die neue Version von SmartShelter wird erstmals im Rahmen der Systems 2003 http://www.systems-world.de in München vorgestellt. Die Business-to-Business-Messe für Informationstechnik, Telekommunikation und Neue Medien findet vom 20. bis zum 24. Oktober 2003 statt.

PresseTextLink

Meldung vom 18.08.2003 20:01 [<<Vorige]

Wurm jagt Wurm [Update]
Der Antiviren-Firma TrendMicro zufolge ist seit dem 18.8. im Internet eine neue Version des Wurms W32.Blaster/LovSAN unterwegs. Sie nutzt zwar die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber auch eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem befallenen Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die Wurmdatei msblast.exe und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und macht sich auf die Jagd nach weiteren Opfern. Zu Beginn des Jahres 2004 hat der Spuk dann ein Ende; der Wurm entfernt sich selbst von den befallenen Systemen. Eine echte Schadroutine hat er laut TrendMicro nicht.

Der offenbar gut gemeinte Wurm dürfte Anlass zu heftigen Debatten über die Legitimität eines solchen Vorgehens geben. Der Anti-Viren-Hersteller Trend Micro hat jedoch seine Entscheidung schon getroffen: Da der Wurm ohne Einverständnis des Benutzers agiert, wird er als Schädling klassifiziert und von der Anti-Viren-Software gestoppt beziehungsweise entfernt. Ähnlich sieht das offenbar auch Network Associates, die ebenfalls entsprechende Updates ihrer Software und Virensignaturen bereitstellen.

Wer ein deutsches Windows XP verwendet, sollte keinesfalls auf die "Heilungskräfte" des neuen Wurms spekulieren: In TrendMicros Liste der Patches, deren Adresse der Wurm enthält, findet sich kein deutscher. Der beste Schutz ist nach wie vor, die Patches von Microsoft selbst zu installieren. Siehe dazu auch:


Schutz vor RPC/DCOM-Wurm W32.Blaster

Update: Network Asscoiates stuft den Wurm nicht als Variante von W32.Blaster/LovSAN ein. Der von NAI W32/Nachi.worm getaufte neue Wurm unterscheide sich grundsätzlich von W32.Blaster. So könne er über RPC auf Port 135 nur Windows-XP-Systeme befallen; Windows-2000-Rechner atttackiert Nachi dafür über eine bekannte Schwachstelle in WebDAV (MS03-007). (ju/c't)

Quelle:Heise Security

Trojaner-Wurm nutzt Angst vor Blaster-Wurm

Vermeintlicher Microsoft-Patch in einer E-Mail


Über den altbekannten E-Mail-Weg verbreitet sich seit kurzer Zeit der Wurm Dumaru stark, der eine Trojaner-Komponente in ein befallenes System einschleust, worüber ein Übeltäter via IRC-Verbindung das befallene System belauschen kann. Der Wurm gaukelt dem Anwender vor, dass die verseuchte E-Mail von Microsoft stamme, um den Anwender dazu zu bringen, die angehängte Patch-Datei zu starten und somit den Wurm zu aktivieren.

Der Dumaru-Wurm versendet sich über eine eigene SMTP-Engine an zahlreiche E-Mail-Adressen, die der Schädling auf dem betreffenden System findet. Dazu durchsucht der Wurm Dateien mit den Endungen .html, .htm, .abd, .dbx, .tbb und .wab nach gültigen Adressen.

Die verseuchte E-Mail enthält als Absenderzeile den gefälschten Eintrag "Microsoft <[email protected]>" und weist folgende Betreffzeile auf: "Use this patch immediately !". Im Nachrichtentext behauptet der Wurm dann, dass die E-Mail einen wichtigen Patch enthalte, um Sicherheitslücken im Internet Explorer zu schließen:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

Der eigentliche Wurm-Code steckt im Dateianhang (patch.exe), der manuell vom Anwender geöffnet werden muss, damit der Unhold sich auf dem System einnisten kann.

Nach der Aktivierung des Dumaru-Wurms kopiert sich dieser unter mehreren Dateinamen (dllreg.exe, load32.exe und vxdmgr32.exe) in das Systemverzeichnis respektive das Windows-Verzeichnis, während die Trojaner-Komponente als windrv.exe im Windows-Ordner abgelegt wird. Der Trojaner tritt einem bestimmten IRC-Channel bei, um darüber das betreffende System zu beobachten und alle Aktionen des Anwenders zu protokollieren. Schließlich trägt sich der Wurm in die Registry respektive die Dateien Win.ini und System.ini ein, damit der Schädling bei jedem Neustart des Rechners automatisch ausgeführt wird.

Die Anbieter von Antiviren-Software haben bereits ihre Signaturdateien zur Erkennung des Dumaru-Wurms aktualisiert, so dass man den eigenen Virenscanner unverzüglich auf den aktuellen Stand bringen sollte.

GolemLink

____


http://www.heise.de/newsticker/data/pab-19.08.03-000/

Während noch immer verschiedene RPC-Würmer wüten und sogar versuchen, Patches gegen sich selbst einzuspielen, ist schon ein neuer Wurm unterwegs: Sobig.F, eine Variante der bekannten Sobig-Würmer, kursiert seit wenigen Stunden im Internet und verbreitet sich extrem schnell.

Laut MessageLabs hat Sobig.F bereits nach wenigen Stunden mehrere tausend Rechner infiziert; man geht davon aus, dass die Verbreitungsgeschwindigkeit noch zunehmen wird. Im Heise-Verlag sind bereits mehrere tausend Exemplare des Schädlings in der normalen E-Mail eingetroffen.

Sobig.F verbreitet sich wie seine Vorgänger über E-Mail (mit eigener SMTP-Engine) und Netzwerkfreigaben unter Windows. Im Unterschied zu den jüngsten RPC-Würmern können sich Rechner jedoch nicht automatisch infizieren, sondern es muss explizit das Attachment ausgeführt werden. Die Namen der Attachments und Betreffszeilen variieren dabei und auch an der Größe des Dateianhangs kann man den Schädling nicht erkennen, da er teilweise Müll-Daten hinten anfügt, um seine wahre Größe zu verbergen. Laut MessageLabs sei der Schädling im Durchschnitt circa 74 Kilobyte groß. Tückisch an dem Wurm ist auch, dass er wie schon bei vorherigen Varianten sowohl Absender- also auch Empfängeradressen fälscht. Besonders E-Mails mit Attachments, die von vermeintlich bekannten Adressen kommen, sind also mit Vorsicht zu genießen.

Genau wie alle Sobig-Würmer vorher hat auch die F-Variante ein Ablaufdatum: Nach Angaben von Network Associates soll sich der Wurm ab dem 10. September 2003 nicht weiter verbreiten. Mittlerweile haben fast alle Antiviren-Hersteller reagiert und stellen Signatur-Updates für die neue Sobig-Variante bereit. Auch das BSI warnt mittlerweile vor Sobig.F, weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security. (pab/c't)


HeiseLink

_____


Neuer Wurm bekämpft Blaster

Nachi verbreitet sich über die gleiche Windows-Schwachstelle

Nieder-Olm (pte, 19. Aug 2003 13:16) - Ein neuer Wurm namens W32/Nachi-A (W32/Nachi.worm, WORM_MSBLAST.D) ist aufgetaucht, der gegen den seit letzter Woche kursierenden Wurm W32/Blaster-A arbeitet. Das meldet der Anti-Viren-Spezialist Sophos http://www.sophos.de. Wie Blaster verbreitet sich Nachi über die RPC DCOM Schwachstelle von Windows. Nachi verwendet zwei Dateien: dllhost.exe, der die Hauptkomponente des Wurms ist, und svchost.exe, den Standard TFTP-Server, den der Wurm nur zum Übertragen von einem Ausgangsrechner auf einen Zielrechner verwendet.

Wenn der Wurm ausgeführt wird, kopiert er sich in das System und erstellt neue Windows-Dienste. Nachi durchsucht dann das Netzwerk nach Computern, auf denen er die RPC DCOM Schwachstelle ausnutzen kann. Wenn er erfolgreich ist, kopiert der Wurm die Wurmdateien von dem Ausgangssystem. Ist das System infiziert, versucht Nachi Sicherheitspatches von den Microsoft Update-Websites herunterzuladen. Dabei verwendet er eine je nach Sprache des Betriebssystems entsprechende URL. Allerdings ist die Liste der Updates auf Sprachen wie Chinesisch oder Koreanisch sowie Englisch beschränkt. Nach dem Download des Sicherheitspatch versucht Nachi das System neu zu starten.

Nachi nistet sich allerdings auch auf Systemen ein, die nicht von Blaster angegriffen wurden. Vor allem in Asien verbreitet sich der Wurm momentan sehr schnell. Nachi ist so programmiert, dass er sich am 1. Januar 2004 selbst vom System löscht.
(Ende)


Pressetext.de Link

Aktuelle Sicherheitslücken

Sensible Daten lesbar in Unix/Linux


Betriebsystem: Unix / Linux - verschiedene Distributionen und Unixe
Typ: Ungeschützte Daten


Problem: Keyboardeingaben werden von Unixsystemen verwendet um den Entropiepool der /dev/random Devicedatei zu füllen.
Effekt: Da die Timings für die Keyboardeingabe vorhrsagbar sind kann ein Angreifer auf die Tastatureingaben eines Benutzers rückschliessen.
Lokal: ja
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Derzeit sind uns keine Patches/Updates bekannt.


Veröffentlicht: 18.08.2003
Aktualisiert: 18.08.2003
Quelle: Bugtraq