NEWS AUS DEM IT-SECURITY BEREICH

Wurm-Welle durch Sobig.F beeinträchtigt Mailverkehr

Der am gestrigen Dienstag aufgetauchte Virus Sobig.F verbreitet sich bislang nahezu ungebremst im Internet. Die Virenscanner auf den Mail-Servern ächzen derzeit unter der Last der großen Zahl infizierter Mails. Allein im Heise-Verlag sind seit gestern Nachmittag 13.000 verseuchte Mails, die von außen auf dem Mail-Server eintrafen, in die Quarantäne verschoben worden. Zusätzlich werden die Anwender in vielen Firmen durch Mails belastet, die darauf hinweisen, dass die elektronische Post nicht zugestellt werden konnte, da sie infiziert oder der Empfänger nicht bekannt sei.

In der von Messagelabs bereitgestellten Grafik zur Anzeige der derzeit aktiven Viren wird das Skalenende über die infizierten Mails, die in den vergangenen 24 Stunden über die Virenscanner des Anbieters liefen, momentan ständig nach oben verschoben. Gestern lag es bei 40.000, heute morgen bei 300.000, mittlerweile geht der Virus an die Grenze zu 350.000. Berichte auf der Sicherheits-Mailingliste Full-Disclosure zufolge konnte sich Sobig.F im Vergleich zu seinen Vorganger diesmal so explosionsartig vermehren, da der eingebaute SMTP-Server zum Versenden von Mails Multi-Threading unterstützt. Der Virus kann also mehrere Verbindungen parallel öffnen.

Weitere Hinweise zu Viren und Würmern, zum Schutz vor den Schädlingen und Links zu den Herstellern von Antiviren-Software finden Sie auf den Antiviren-Seiten von heise Security. Auf den Seiten der Antivirenhersteller gibt es bereits Tools, wie Stinger von NAI zum Entfernen des Virus.

Der Virus verbreitet sich als Dateianlage in Mails, die zum Beispiel folgende Betreffzeilen haben können:
"Re: Thank you!", "Re: Your Application", "Re: Approved", "Your details", "Thank you!", "Re: Your application", "Re: Wicked screensaver", "Re: That movie" . Anhänge mit verdächtigen Endungen wie *.pif und *.scr, dürfen nicht geöffnet werden, etwa mit Doppelklick. Dies gilt auch wenn der Absender bekannt ist und das Attachment nicht explizit angefordert wurde, da Sobig.F die Absenderadressen fälscht. (dab/c't)

HeiseLink

____

Studie: Unternehmen sparen an der IT-Sicherheit

MÜNCHEN (COMPUTERWOCHE) - Weltweit sparen Unternehmen an der Sicherheit ihrer IT und gefährden damit strategische Geschäftziele. Dies ergab eine Umfrage von Ernst & Young. Befragt wurden 1400 IT-Verantwortliche und Geschäftsführer von Unternehmen verschiedener Branchen in 66 Ländern.

Obwohl 90 Prozent der Befragten IT-Sicherheit für wichtig halten, räumte ein Drittel ein, im Falle eines Angriffes auf ihre Systeme nur unzureichend reagieren zu können. 34 Prozent gaben an, nur bedingt Überblick zu haben, ob und wann Ihre Systeme überhaupt attackiert werden.

Nach Meinung von 16 Prozent der Befragten sind unausgereifte Technologien der Hauptgrund für Sicherheitslücken. Für 55 Prozent stehen der Absicherung der IT allerdings Beschränkungen im Budget entgegen. Über eine zu geringe Aufmerksamkeit des Managements gegenüber IT-Themen klagen 24 Prozent, 32 Prozent fehlt die Zustimmung des Managements völlig. "Geschäftsziele und Sicherheitsstrategie der Unternehmen stimmen oft nicht überein", sagte Marcus Rubenschuh, IT-Sicherheitsexperte bei Ernst & Young.

Eine vergleichsweise hohe Aufmerksamkeit widmen die Manager der Abwehr schwerwiegender Krisensituationen. Demnach hielten in Deutschland schon vor dem 11. September 2001 knapp 40 Prozent der Befragten Katastrophenschutz für wichtig bis sehr wichtig (weltweit 41 Prozent). Unmittelbar nach dem 11. September waren dies 70 Prozent (weltweit 64 Prozent), heute sind dies sogar 73 Prozent (weltweit 65 Prozent). "Die Unternehmen investieren viel in Sicherheitsmaßnahmen, die den völligen Geschäftsstillstand verhindern sollen, unterschätzen aber die vermeintlich kleinen Sicherheitslücken", kritisiert Rubenschuh. Die häufigere und insgesamt größte Gefahr gehe aber gerade von weniger beachteten Risiken aus: "Es sind nicht nur Katastrophen oder Cyber-Terroristen, die das Geschäft nachhaltig beeinträchtigen können. Eine viel größere Eintrittswahrscheinlichkeit haben alltäglichere Risiken, wie zum Beispiel der Diebstahl von intellektuellem Kapital oder Viren und Würmern."

Als hohe oder sehr hohe Gefahr bezeichnen 51 Prozent der Unternehmen Viren und Würmer. 32 Prozent sehen leichtsinniges oder absichtliches Fehlverhalten von Mitarbeitern als hohes Risiko. Dennoch geben 83 Prozent der Unternehmen das meiste Geld lediglich für die Anschaffung neuer Hard- und Software aus: Nur 29 Prozent der Befragten gaben an, einen Großteil des Budgets in Schulungen zu investieren. Dies sei zu kurz gedacht, da sich bei der Bekämpfung von Würmern wie dem Mitte vergangener Woche erstmals aufgetauchten "W32.Blaster" (Computerwoche online berichtete) die Aufmerksamkeit und das Know-How der IT-Mitarbeiter gefordert sei.

Risikoreduktion, gesetzliche Bestimmungen und die Sorge um das Image sind international die häufigsten Gründe für Investitionen in neue Sicherheitsmaßnahmen. Lediglich in Deutschland sind angesichts der wirtschaftlichen Rezession zu 51 Prozent Sparmaßnahmen, gefolgt von gesetzlichen Vorschriften (47 Prozent) und der Verringerung von Risiken (44 Prozent) die am häufigsten genannten Kriterien für Sicherheitsinvestitionen. International hielten nur 23 Prozent der Befragten Kostenreduktionen für entscheidungsrelevant. An der Sicherheit zu sparen, könne fatale Auswirkungen auf die gesamte Geschäftspraxis haben, mahnt Rubenschuh: "Sicherheitsanspruch und Realität in deutschen Unternehmen stimmen nicht überein." (lex)


ComputerWocheLink

Wieder ein Patch für den Internet Explorer >= v5.01, der eine kritische Sicherheitslücke schließt.

Das Security-Bulletin und den Patch findet ihr hier: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-032.asp

Über diese Lücke kann beliebiger Code auf dem System ausgeführt werden, wenn man eine speziell preparierte Internetseite besucht oder eine HTML-Mail zugeschickt bekommt. Outlook und Outlook Express benutzen beide den IE zur Anzeige der HTML-Mails. Da die meisten hier mit Administratorrechten unterwegs sind, ist damit nicht zu spaßen.

Sobig.F bricht alle Rekorde

Moskau/New York/Wien (pte, 21. Aug 2003 14:10) - Sobig.F schlägt weltweit ein, wie eine Bombe. Hunderttausende Computer sollen laut dem russischen IT-Sicherheitsunternehmen Kaspersky Lab http://www.kaspersky.com/de bereits infiziert sein. Wie stark der Wurm verbreitet ist, gibt auch Message Labs (ML) http://www.messagelabs.com zu denken. Das Unternehmen, das für Geschäftskunden weltweit E-Mails filtert, verzeichnete in Sobigs ersten 24 Stunden über eine Mio. infizierte E-Mails. "Eine Zahl", wie ML-Marketing-Direktor Brian Czarny zu Protokoll gibt, "die alles bisher da gewesene übertrifft - Sobig.F ist der am schnellsten wachsende Wurm aller Zeiten."

Weiters habe sich, wie Kaspersky Lab erklärte, Sobig.F mit einem Anteil von 92 Prozent längst den mit Abstand ersten Platz unter den momentan verbreiteten binären Übeltätern gesichert. Ikarus Software http://www.ikarus-software.at greift sogar noch ein bisschen weiter und spricht von über 99 Prozent.

Immer deutlicher behindert Sobig.F den E-Mail-Verkehr. Für Tobias Marburg, Geschäftsführer der Allgäuer Hoster Domainfactory http://www.domainfactory.de , ist die Mehrlast, die auf Sobig.F zurückzuführen ist, noch schwer einzuschätzen. Sie bewege sich jedoch in einem Breich zwischen 30 und 40 Prozent und sei somit für die Kunden spürbar.

Erstaunlich an der rasanten Verbreitung des Wurms ist besonders seine Lässigkeit. Er macht sich gar nicht erst die Mühe, nach Schwachstellen zu suchen, sondern vertraut auf menschliches Versagen. Erst wenn der Anwender den Anhang einer infizierten E-Mail selbst geöffnet hat, kann Sobig.F in den Computer eindringen. (Ende)


PressseTextLink


____



Schwere Sicherheitslücke in etlichen Microsoft-Produkten


MDAC-Datenbankfunktion erlaubt Angreifer Ausführung beliebigen Programmcodes


Die Datenbankkomponente Microsoft Data Access Components (MDAC) gehört zum Lieferumfang mehrerer Microsoft-Produkte und enthält nach Microsoft-Angaben ein gefährliches Sicherheitsloch, worüber ein Angreifer beliebigen Programmcode auf einem fremden System ausführen kann. Zur Abhilfe bietet Microsoft einen entsprechenden Patch an.

Das Sicherheitsleck in der Datenbankfunktion Microsoft Data Access Components (MDAC) der Versionen 2.5, 2.6 und 2.7 erlaubt es einem Angreifer, auf eine Anfrage an einen SQL-Server mit einem präparierten Datenpaket zu antworten und so auf dem betreffenden System einen Buffer Overflow auszulösen. Das versetzt einen Angreifer in die Lage, beliebigen Programmcode auf dem System zu starten, um so eine weitreichende Kontrolle über das System zu erlangen. Dabei erhält eine Attacke die gleichen Rechte wie die Applikation, welche die Datenbankanfrage gestellt hat. Nach Herstellerangaben soll die aktuelle MDAC-Version 2.8 nicht von dem Problem betroffen sein.

Über die MDAC-Funktion wickeln zahlreiche Microsoft-Produkte Datenbankabfragen ab, die allesamt von der Sicherheitslücke betroffen sind: So enthalten Windows Millennium Edition, 2000 und XP, Office 2000 ab dem Service Release 1, der SQL-Server 7.0 ab dem Service Pack 2 sowie der SQL-Server 2000, Visual Studio .NET und schließlich der Internet Explorer die MDAC-Komponente. Wer eines dieser Produkte einsetzt, sollte den von Microsoft bereitgestellten Patch umgehend installieren, um das Sicherheitsleck zu schließen. Alternativ lässt sich die MDAC-Funktion nachträglich installieren, so dass auch hier nicht gelistete Systeme von dem Problem betroffen sein können.

Microsoft bietet ab sofort einen Patch für die MDAC-Versionen 2.5, 2.6 sowie 2.7 zum Download an, welche das Sicherheitsleck beseitigen soll.

GolemLink

____

Abermals gefährliche Sicherheitslecks im Internet Explorer


Sicherheitslöcher erlauben Angreifer das Ausführen von Programmcode


Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthält der Internet Explorer in den Versionen 5.01, 5.5 und 6.0 erneut zwei gefährliche Sicherheitslöcher, worüber ein Angreifer beliebigen Programmcode auf dem System starten kann. Ein Sammel-Patch soll diese Sicherheitslücken sowie bisherige Sicherheitslöcher in Microsofts Browser schließen und aktualisiert weitere Komponenten rund um den Internet Explorer.

Eines der beiden Sicherheitslecks im Internet Explorer betrifft das Cross-Domain-Sicherheitsmodell des Browsers, worüber eigentlich der Austausch von Informationen über Domain-Grenzen hinweg unterbunden werden sollte. Ein Angreifer kann über eine entsprechend formatierte Webseite Script-Code in der Sicherheitszone "Mein Computer" ausführen, um auf dem angegriffenen System befindliche Applikationen mit den Rechten des angemeldeten Benutzers zu starten oder Dateien auf dem betreffenden System einzusehen.

Das zweite Sicherheitsloch erlaubt es einem Angreifer sogar, beliebigen Programmcode auf ein anderes System zu laden und diesen mit den Rechten des angemeldeten Nutzers auszuführen. Ein Fehler im Internet Explorer sorgt dafür, dass der Browser einen von einem Web-Server stammenden Object-Typ falsch erkennt und einem Angreifer so über die Bereitstellung einer speziell formatierten Webseite das Einschleusen von beliebigem Programmcode erlaubt.

Die letztere der beiden Sicherheitslücken kann neben der Bereitstellung als Webseite auch über eine HTML-Mail ausgenutzt werden, da viele Mail-Clients die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails verwenden. Dann genügt die Ansicht einer entsprechend formatierten E-Mail, um Opfer einer solchen Attacke zu werden.

Zudem setzt der von Microsoft bereitgestellte Sammel-Patch für das nicht mehr unterstützte ActiveX-Control BR549.DLL ein Kill-Bit, da dieses Reporting-Control ebenfalls ein Sicherheitsloch aufweist und so deaktiviert wird. Als Weiteres behebt der Patch einen Programmfehler, wodurch der Internet Explorer durch die Anzeige einer HTML-Seite zum Absturz gebracht werden kann. Dadurch ist auch ein Absturz des E-Mail-Clients möglich, wenn dieser den Internet Explorer zur Ansicht von HTML-Mails verwendet.

Microsoft bietet einen Sammel-Patch für den Internet Explorer 5.01, 5.5 mit Service Pack 2 und 6.0 zum Download an, der auch frühere einzeln erschienene Sicherheits-Updates umfasst.

Aktuelle Sicherheitslücken


Code ausführbar in Netris



Software: Netris 0.3 bis 0.5
Typ: Pufferüberlauf


Problem: Ein Puffer, der dazu verwendet wird, das Servergreeting in lokalen Speicher zu kopieren, ist nicht ausreichend geschützt.
Effekt: Durch eine besonders lange Begrüssung kann der Puffer überlaufen und das Ausführen von Code mit den Benutzerprivilegiern ermöglichen.
Lokal: nein
Remote: ja


Exploit: Exploit der beliebigen Code ausführt
Lösung: Es wird empfohlen auf Netris 0.52 upzudaten. Debian hat Patches für seine Distribution bereit gestellt.


Veröffentlicht: 20.08.2003
Aktualisiert: 20.08.2003
Quelle: Bugtraq

FBI ist Sobig.F-Machern auf der Spur

Erneuter Virusangriff abgewehrt

Washington (pte, 25. Aug 2003 14:36) - Die US-Sicherheitsbehörde FBI (Federal Bureau of Investigation) http://www.fbi.gov hat in Zusammenarbeit mit Antivirusexperten am vergangenen Wochenende einen erneuten Sobig.F-Angriff abgewendet. Dabei wurden bis zu 20 Internet-Server abgeschaltet, die den Virus über das Netz verbreiten sollten. Experten des FBIs vermuten, dass der Macher des SoBig.F-Virus diesen auf einer pornographischen Internet-Homepage platziert hatte und User dieser Seite den Virus verbreitet hätten. Die F-Version des Sobig-Virus hat seit Beginn der Attacken weltweit bis zu 570.000 Computer lahm gelegt, so der Antivirushersteller Trend Micro Inc. http://www.trendmicro.com .

Zur Verfolgung des Sobig-Erfinders arbeitet das FBI mit dem Department of Homeland Security, der Computerindustrie und anderen Bundesbehörden zusammen. Das FBI setzte vergangenen Freitag in der Verfolgung des Sobig.F-Virus erste Schritte und erteilte dem IT-Unternehmen Easynews http://www.easynews.com eine Vorladung zur Offenlegung seiner Internetprotokolle. Dabei wurde die Bekanntgabe der IP-Adresse des Computers gefordert, der für die Aussendung von Sobig.F-verseuchten E-Mails am 18. August verantwortlich war. Jimmy Kuo, ein Sprecher des Antivirus-Softwareherstellers Network Associates, sagte, dass der Erfinder des Sobig-Virus diesen auf pornographischen Internetseiten gepostet hatte. Dabei wurde der Virus von Usern dieser Seite unbeabsichtigt verbreitet.

Nach Angaben des Antivirus-Softwareherstellers Trend Micro nahm die Anzahl der befallenen Computer von 150.000 am Samstag auf 85.000 am Sonntag ab. Sobig.F ist die sechste Version des Sobig-Virus, der im Januar dieses Jahres erstmals aufgetaucht ist. Wie seine Vorgänger trägt auch der Sobig.F-Virus einen Selbstzerstörungsmechanismus in sich. So soll sich der Virus per 10. September selbst zerstören. Antivirus-Experten vermuten dahinter, dass der Sobig-Erfinder damit die Auswirkungen seines Virus studieren will um dessen Effizienz zu erhöhen. (Ende)


PresseText.de

__________


Phoenix packt Antivirensoftware ins BIOS

MÜNCHEN (COMPUTERWOCHE) - Der kalifornische Hersteller Phoenix Technologies bietet eine BIOS-Variante (Basic Input Output System) an, in die die Antivirensoftware "Virusscan" von McAfee integriert ist. Die Software sitzt im geschützten CME-Bereich (Cored Managed Environment) und dient ausschließlich zur Beseitigung von Schädlingen. Die Infizierung eines PCs kann sie nicht verhindern. Wie bei der herkömmlichen Virusscan-Variante lassen sich die Virensignaturen via Online-Update erneuern.

Das Antiviren-BIOS ist für PC-Hersteller ab sofort verfügbar. Phoenix stattet eigenen Angaben zufolge 70 bis 80 Prozent aller PCs weltweit mit einem Basissystem aus. (lex)

ComputerWoche.de

___


Sicherheitsloch in Servern von RealNetworks


RealNetworks meldet eine Schwachstelle im Medien-Streaming-Server Helix Universal Server 9 und früheren Versionen, wie etwa RealSystem Server 7, 8 und RealServer G2. Der RealNetworks Proxy ist nicht betroffen. Der Fehler findet sich in einem Protokoll-Parser des View-Source-Plug-ins zur Darstellung der Format-Header von Media-Dateien. Werden in einer URL sehr viele spezielle Zeichenketten übertragen, so kann damit beliebiger Code eingeschleust und im Root-Kontext ausgeführt werden.

Ein Patch wird derzeit noch nicht bereitgestellt, nach Angaben von RealNetworks arbeitet man aber an einer neuen Version des Helix-Servers. Als Workaround empfiehlt der Hersteller das Plug-in "vsrcplin.so" (Unix) beziehungsweise "vsrcplin.dll" (Windows) aus dem Verzeichnis /Plugins zu entfernen und den Server neu zu starten. Das Content-Browsing ist dann nicht mehr verfügbar, weitere Funktionen wie On-Demand-Video, Live-Streaming, Logging und Authentifizierung werden davon aber nicht beeinflusst. (dab/c't)


Heise.de

Aktuelle Sicherheitslücken

Code ausführbar in Linux C-Library



Betriebsystem: Linux (diverse Versionen u. Dists), Free/Open BSD (diverse Versionen), Mac OS X 10.2.6
Typ: Pufferüberlauf


Problem: Die Implementierung der realpath() Funktion in der C-Library, die den kompletten Pfad als Ergebnis liefert, ist fehlerhaft.
Effekt: Bei Aufruf dieser Funktion kann ein Puffer überlaufen. Dies kann das Ausführen von Code zur Folge haben.
Lokal: nein
Remote: ja


Exploit: Exploit für WuFTP
Lösung: Die C-Library sollte gepatcht werden. Satisch gebundene Programme sollten neu übersetzt werden. Bei Programmen, bei denen kein Source zur verfügung steht sollte der Hersteller kontaktiert werden.


Veröffentlicht: 25.08.2003
Aktualisiert: 25.08.2003
Quelle: Bugtraq

OpenBSD-Firewall erkennt Betriebssysteme

Die Paketfilter-Firewall von OpenBSD kann jetzt mit OS Fingerprinting das Betriebssystem der zugreifenden Rechner erkennen und in Filterregeln berücksichtigen. Dabei achtet die Firewall etwa auf winzige Nuancen, in denen sich die TCP/IP-Implementierungen der Systeme unterscheiden.

Als Anwendung schlagen die Entwickler etwa Filterregeln vor, die es Windows-PCs verbieten, Mails bei einem SMTP-Server abzuliefern. Damit wären E-Mail-Würmer ausgesperrt, die ihre Nachrichten direkt an einen Mailserver senden. Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum. (kav/c't)

HeiseLink

___


Norton AntiVirus 2004 bekämpft nicht nur Viren


Symantec verpasst Antiviren-Software Produkt-Aktivierung


In den USA will Symantec im September 2003 eine neue Version der Antiviren-Software Norton AntiVirus für die Windows-Plattform auf den Markt bringen. In Norton AntiVirus 2004 wurden Funktionen integriert, um auch gegen Nicht-Viren vorzugehen und etwa Spyware oder Software zur Protokollierung von Texteingaben (Key-Logger) zu bekämpfen. Außerdem fügt Symantec erstmals eine Produktaktivierung in seinen Produkten ein.

Norton AntiVirus 2004 erkennt Viren oder Würmer nun auch, wenn diese sich in einer komprimierten Datei verbergen, womit Symantec auf die aktuelle Entwicklung bei Würmern reagiert. Als weitere Neuerung soll die Software das Einschleusen von Spyware oder Key-Loggern verhindern und PC-Systeme so vor weiteren Angriffen aus dem Internet sichern.

Mit Norton AntiVirus 2004 erhält erstmals ein Symantec-Produkt eine Produkt-Aktivierung, um zu garantieren, dass keine Raubkopien der Software verwendet werden. Leider gab Symantec keine weiteren Details bekannt, wie diese Aktivierung gestaltet ist. Vermutlich wird die Software nur für einen begrenzten Zeitpunkt ohne Aktivierung zu nutzen sein. Welche Daten Symantec zur Produktaktivierung vom Nutzer verlangt und auf welchem Wege sich das Produkt aktivieren lässt, behielt der Hersteller ebenfalls für sich.

Zusätzlich zur Standard-Ausführung soll Norton AntiVirus 2004 Professional die Möglichkeit bieten, gelöschte oder zerstörte Dateien zu reparieren. Außerdem lassen sich Daten so löschen, dass diese nicht wieder gerettet werden können. Die Professional-Version umfasst eine Lizenz für zwei verschiedene PCs, so dass die Software etwa im Büro und zu Hause installiert werden kann.

Norton AntiVirus 2004 für die Windows-Plattform soll in der Standard- und Professional-Version im September 2003 in den USA in den Handel kommen. Während die normale Ausführung für 49,95 US-Dollar zu haben ist, kostet die Professional-Variante 69,95 US-Dollar. Der Preis umfasst ein 1-Jahres-Abonnement für Virensignaturen. Für beide Versionen bietet Symantec Update-Optionen an: So kostet das Update auf Norton AntiVirus 2004 29,95 US-Dollar und das Update auf Norton AntiVirus 2004 Professional gibt es für 39,95 US-Dollar. Deutsche Verfügbarkeiten und Preise sind derzeit nicht bekannt.

GolemLink

______


Lovsan treibt Internetnutzer auf die Webseiten der Antiviren-Hersteller

Am besten selber dort schauen...da dort ne Tabelle ist....die kann man dort besser lesen.


HeiseLink

_____


Sobig.F, Spammer und die nächste Wurmwelle


MÜNCHEN (COMPUTERWOCHE) - Antivirenexperten rechnen damit, dass der "Sobig"-Urheber in Kürze eine neue Variante des Internet-Wurms freisetzen wird. Von Sobig, dessen erste Version Anfang des Jahres auftauchte, sind bislang sechs Varianten bekannt. Das Design des Wurms sieht vor, trojanische Pferde einzuschleusen, durch die vertrauliche Daten ausspioniert werden können (Computerwoche online berichtete).


Mikko Hypponen
Mikko Hypponen, Chef des Antiviren-Herstellers F-Secure hat allerdings einen anderen Verdacht. Demnach lässt sich die Trojaner-Funktion dazu nutzen, infizierte Rechner zur Anonymisierung von Spam-Mails zu missbrauchen. "Die Aktion ist gut geplant, gut programmiert und gut ausgeführt". Das Motiv des Wurm-Urhebers steht für Hypponen ebenfalls fest: Der Wurm-Urheber protokolliere die Liste der IP-Adressen von infizierten Rechnern. Diese verkaufe er an Spammer, die daraufhin ihre Massen-Mails über die durch Sobig eingerichteten Spam-Relays leiten können.

Dem stimmt Joe Stewart, Chef-Analyst beim IT-Sicherheitsspezialisten Lurhq zu. Bei Sobig handele es sich möglicherweise um den ersten Schädling, der als Gelderwerbsquelle programmiert wurde. Die bedeute, dass es der Virenprogrammierer oder das Entwickler-Team nicht bei der Variante "F" belassen werde. Stewart rechnet allerdings nicht damit, dass eine neue Version schon in Kürze auftauchen wird. Auf Grund der Ermittlungen verschiedener Behörden wie der US-Bundespolizei FBI werde sich der Urheber vorerst zurückhalten. Das FBI werde den Verursacher ohnehin nicht ermitteln können, glaubt der Analyst: "Dieser Bursche weiß ganz offensichtlich, wie man seine Spuren im Internet effektiv verschleiert."

Die Behörden haben unterdessen ermittelt, dass Sobig.F über diverse Porno-Newsgroups freigesetzt wurde. Da der entsprechende Account jedoch mit einer gestohlenen Kreditkartennummer angelegt wurde, führt die Spur an dieser Stelle bislang nicht weiter (Computerwoche online berichtete). Mit einer neuen Wurm-Variante könnte in rund einem Monat zu rechnen sein. Denn am 10. September deaktiviert sich Sobig.F automatisch. (lex)


ComputerWocheLink

____


Alter Fehler in sendmail wird zum Sicherheitsproblem


Der Open-Source-MTA sendmail in den Versionen 8.12. bis einschließlich 8.12.8 ist von einem Fehler betroffen, mit dem ein Angreifer den Server zum Absturz bringen kann. Potenziell könnte der Fehler auch das Einschleusen und Ausführen von beliebigem Code ermöglichen. sendmail ist immer noch einer der meist verwendeten MTAs im Internet. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.

Der Fehler im DNS-Mapping von sendmail ist bereits in Version 8.12.9 behoben worden, wurde aber nicht als Sicherheitsproblem erkannt. Durch eine falsche Initialisierung der Struktur RESOURCE_RECORD_T ruft sendmail bei einer fehlerhaften DNS-Antwort die Funktion free() mit zufälligen Adressen auf. In der Folge stürzt Sendmail ab. Bisher haben Mandrake und SGI neue Pakete und Updates zur Verfügung gestellt. Die Firmen empfehlen, diese so bald wie möglich einzuspielen.

HeiseLink mit fortführenden Themen

_____


FBI: Sobig.F wurde über Porno-Newsgroups freigesetzt


MÜNCHEN (COMPUTERWOCHE) - Der Internet-Wurm Sobig.F, der seit rund einer Woche im Umlauf ist, könnte seinen Ursprung im so genannten Usenet haben. Ermittlungen der US-Bundespolizei FBI zufolge wurde der Schädling als Pornobild getarnt mit einem Beitrag verbreitet, der in verschiedenen Newsgroups veröffentlicht wurde.

Der Usenet-Betreiber Easynews Inc. erklärte, eine Vorladung der Behörde erhalten zu haben. Einer der Accounts des Unternehmens soll dafür verwendet worden sein, den Wurm freizusetzen. Das Unternehmen teilte weiter mit, alle Daten, die mit dem Account in Zusammenhang stehen, an die Bundesbehörde weitergeleitet zu haben.

Easynews veröffentlichte zudem Details zu dem betreffenden Posting. Demnach wurde am Montag, dem 18. August gegen 21 Uhr mitteleuropäischer Zeit ein Eintrag in sechs Newsgroups erstellt: alt.binaries.amp, alt.binaries.boneless, alt.binaries.nl, alt.binaries.pictures.chimera, alt.binaries.pictures.erotica und alt.binaries.pictures.erotica.amateur.female. Das Posting hatte den Titel: "Nice, who has more of it? DSC-00465.jpeg". Sobald auf das vermeintliche Bild geklickt wurde, installierte sich der Wurm auf den jeweiligen Systemen.

Der fragliche Account sei mit Hilfe gestohlener Kreditkartendaten wenige Minuten vor dem eigentlichen Posting erstellt worden. Der mutmaßliche Urheber hat zudem wenige Minuten vor der Freisetzung des Wurms einen Testlauf im Usenet unternommen. Der letzte Stand der Ermittlungen ergab, dass für das Posting ein PC im kanadischen British Columbia verwendet wurde.

Beim Usenet handelt es sich um ein Netzwerk aus tausenden verschiedener Diskussionsgruppen, so genannter Newsgroups. Die Nutzerzahlen liegen im Millionen-Bereich. Das Diskussionsspektrum ist breit gefächert und beinhaltet Computer- und Wissenschaftsthemen genau so wie Fanclubs von Pop-Gruppen und pornografische Inhalte. (lex)


ComputerWocheLink

Real Networks warnt: Helix ist unsicher

MÜNCHEN (COMPUTERWOCHE) - Real Networks warnt vor einer Sicherheitslücke in der Streaming-Plattform "Helix Universal Server 9". Durch einen Fehler in der Verarbeitung der Protokolle lässt sich beliebiger Code einschleusen. Betroffen sind auch die Vorgänger der Plattform "RealSystem Server" (Versionen 7 und 8) sowie der "RealServer G2". Als Workaround empfiehlt der Hersteller, das "View-Source"-Plug-in zu löschen und den Server neu zu starten. Die Komponente besteht aus den Dateien "vsrcplin.so" und "vscrcplin.dll", die im Plug-in-Ordner gespeichert sind.

Das Entfernen des Moduls habe keinen Einfluss auf die Streaming- und Authentifizierungs-Funktionen des Servers. Lediglich das Navigieren in Inhalten werde deaktiviert. Einen Patch will Real nicht anbieten. Die Sicherheitslücke soll mit der nächsten Version des Helix Universal Servers geschlossen werden. (lex)


ComputerWocheLink


____


DDoS-Attacken gegen Blacklist-Server


Mehrere so genannter Blacklist-Server stehen seit einer Woche unter Beschuss: Per DDoS-Attacke (Distributed Denial of Service) werden die Rechner mit sinnlosen Anfragen überflutet und sind dadurch für die Nutzer nicht mehr oder nur eingeschränkt zu erreichen. Die Blacklist-Server dienen dazu, mögliche Quellen für Spam-Aussendungen bekannt zu machen. Die Nutzer der Server können Sendungen von diesen Quellen dann unterbinden.

Der Betreiber des Servers Osirusoft.com, der sich auf spammende Dialup-User spezialisiert hat, hat offenbar bereits das Handtuch geworfen: Abfragen bei der Datenbank werden grundsätzlich mit "listed" beantwortet. Damit ist der Dienst nicht mehr nutzbar. Auch der bei Osirusoft gehostete anonyme Dienst Spews.org ist seit einigen Tagen nicht mehr verfügbar -- vermutlich fiel auch er der DDoS-Attacke zum Opfer.

Die Nutzergemeinde spekuliert nun über die Urheber. Der Verdacht richtet sich gegen die Spammer -- denn diese haben ein vitales Interesse daran, dass die Blacklist-Server vom Netz gehen. Da viele Spam-Filter server- und clientseitig auch die Blacklists zur Spam-Erkennung nutzen, wird ein Ausfall einer oder mehrerer Blacklist-Server zu einem erhöhten Spam-Aufkommen in E-Mail-Postfächern führen, da ein Teil der Spam-Mails dann nicht mehr erkannt wird. (uma/c't)


HeiseLink

:::

Anonymisier-Dienst JAP ist wieder anonym


Das Landgericht Frankfurt am Main ordnete an, die Vollziehung des richterlichen Beschlusses gegen die AN.ON-Projektpartner auszusetzen (Az.: 5/6 Qs 47/03). Sowohl das Unabhängige Landesdatenschutzzentrum (ULD) in Kiel als auch die TU Dresden schalteten am gestrigen Dienstag nach dem Entscheid des Gerichts sofort die Protokollierungsfunktion wieder ab. Die Projektverantwortlichen sehen die Entscheidung als einen "ersten Teilerfolg" in ihrer juristischen Auseinandersetzung mit dem Bundeskriminalamt (BKA).

Auf Antrag des BKA hatte das Amtsgericht Frankfurt verfügt, dass der Anonymisierungsdienst AN.ON den Zugriff auf eine bestimmte IP-Nummer protokollieren musste. AN.ON ist das gemeinsame Projekt des ULD und der Technischen Universität Dresden für anonymes Surfen im Internet. Allerdings waren nicht alle Mix-Kaskaden von dem richterlichen Beschluss betroffen.

Das ULD hatte bereits vor sechs Wochen gegen den Beschluss das förmliche Rechtsmittel der Beschwerde eingelegt, da es den Beschluss für "offenkundig rechtswidrig" hielt. Bis gestern hatte die behördlich angeordnete Fangschaltung gerade einmal einen einzigen Datensatz protokolliert. Über seine Verwendung entscheidet das Landgericht voraussichtlich in den kommenden Tagen. (uma/c't)

HeiseLink

Aktuelle Sicherheitslücken


Denial of Service in sendmail



Betriebsystem: verschiedene Linux-Distributionen
Software: sendmail 8.12 - 8.12.8
Typ: Denial of Service


Problem: Der DNS map - Code ist fehlerhaft. Diese Funktion wird durch FEATURE(`enhdnsbl') aktiviert.
Effekt: Bekommt sendmail eine ungültige DNS-Antwort, wird free(3) auf zufällige Daten aufgerufen, was zu einem Absturz des sendmail-Prozesses führt.
Lokal: nein
Remote: ja


Exploit: Derzeit sind uns keine Exploits bekannt.
Lösung: Update auf sendmail 8.12.9 oder einspielen eines Patches .


Veröffentlicht: 27.08.2003
Aktualisiert: 27.08.2003
Quelle: SuSE-Security-Announcement


:::::


Rootrechte in WIDZ erlangbar



Software: WIDZ 1.0, 1.5
Typ: Fehlerhafte Ausnahmebehandlung


Problem: Alarmmeldungen werden ohne Prüfung durch einen Systemaufruf weitergegeben.
Effekt: Durch einfügen von Fehlerhaften Daten in die essid kann das zugrundeliegende Betriebssystem angegriffen werden.
Lokal: nein
Remote: ja


Exploit: Go to Apple Airport and set network name to ';/usr/bin/id;

This will generate the following message:
unknown AP essid=
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
sh: -c: line 3: unexpected EOF while looking for matching `''
sh: -c: line 4: syntax error: unexpected end of file

Lösung: Derzeit sind uns keine Patches/Updates bekannt.


Veröffentlicht: 27.08.2003
Aktualisiert: 27.08.2003
Quelle: Bugtraq

News vom 28.08.2003

RealNetworks schließt Sicherheitsloch im RealOne Player


RealNetworks weist in einem Security Advisory auf einen Fehler im RealOne Player hin. Durch eine Schwachstelle beim Abspielen so genannter SMIL-Dateien (Synchronized Multimedia Integration Language), kann ein Angreifer Skripte im Kontext der Sicherheitszone "My Computer" ausführen und damit auf beliebige lokale Dateien zugreifen. Betroffen sind RealOne Player (englische Version), RealOne Player Version 2 für Windows (alle Sprachversionen) und RealOne Enterprise Desktop (alle Versionen, eigenständig und mit der Konfiguration von RealOne Desktop Manager).

Die Entdecker der Schwachstelle, DigitalPranksters, haben bereits einen Proof-of-Concept-Exploit veröffentlicht. RealNetworks empfiehlt zur Beseitigung des Fehlers, den Player über die Funktion "Auf Update überprüfen" zu aktualisieren. Allerdings würden dann, so der Hersteller, einige Präsentationen nicht mehr richtig funktionieren, wie etwa alle Anwendungen, die Javascript als eingebettetes Ereignis in einer .RM-Datei aufrufen.

SMIL-Dateien werden für Multimedia-Präsentationen benutzt und ermöglichen es, Inhalte von unterschiedlichen URLs nachzuladen. Wird als URL ein Scripting-Protokoll angegeben (javascript, so wird im RealOne Player das Skript im Kontext der vorhergehenden URL ausgeführt, zum Beispiel "My Computer". Diese Zone ist eigentlich nicht vorhanden, Microsoft beschreibt sie wie folgt:"Darüber hinaus werden alle bereits auf dem lokalen Computer befindlichen Dateien als sehr sicher angesehen, sodass ihnen nur minimale Sicherheitseinstellungen zugewiesen werden. Sie können die auf dem Computer befindlichen Ordner bzw. Laufwerke keiner Sicherheitszone zuweisen." Zum Starten einer SMIL-Präsentation bedarf es keiner Benutzerinteraktion. Sind SMIL-Präsentationen als Objekt in einem HTML-Dokument eingebettet, werden sie automatisch ausgeführt.


HeiseLInk


____


Der Chef liest mit: Privates Surfen am Arbeitsplatz bleibt umstritten


Schnäppchen ersteigern, Bankgeschäfte erledigen, persönliche Mails lesen -- private Internet-Nutzung ist in vielen Firmen selbstverständlich, aber selten eindeutig geregelt. So ist zum Beispiel unklar, ob der Arbeitgeber aufgerufene Webseiten protokollieren oder E-Mails filtern darf. "Das ist eine Grauzone mit Unsicherheiten für Mitarbeiter und Arbeitgeber", sagt Kai Kuhlmann, Spezialist für E-Business-Recht des Bundesverbandes der Informationswirtschaft Bitkom. Während die Abrechnung von Telefonaten oder Dienstreisen genau festgelegt ist, wirft die Internet-Nutzung zahlreiche Fragen auf. Verstopft privater Datenstrom die Leitungen, landen wirklich Viren aus verseuchten Musikdateien auf dem Firmenrechner -- oder profitiert das Unternehmen, wenn sich Angestellte per Web auf dem Laufenden halten, recherchieren oder die Konkurrenz beobachten?

Durch Virenangriffe und Wurmattacken aufgeschreckt, machen sich immer mehr Firmen Gedanken, wie sich Surfgewohnheiten der Mitarbeiter kontrollieren lassen. Dabei geht es einerseits um Überwachungssoftware, aber vor allem um Filterprogramme, die nur den Zugriff auf bestimmte Internetseiten erlauben. Moderne Programme erkennen bestimmte Wortkombinationen -- oder auch einen hohen Anteil an nackter Haut -- und sperren die Seiten. Einer Studie der amerikanischen Unternehmensberatung Frost und Sullivan zufolge lag der Umsatz für entsprechende Software im vergangenen Jahr weltweit bei 247 Millionen US-Dollar. Für das Jahr 2007 sehen die Analysten hier einen Markt von rund 770 Millionen US-Dollar. Den meisten Umsatz mit Kontrollprogrammen erwarten die Marktforscher in den Vereinigten Staaten, gefolgt von Europa, China, Südkorea und Japan.

In Deutschland ist die Situation unübersichtlich. "Große Unternehmen beschäftigen sich intensiv mit dem Thema", erläutert Berni Lörwald, Sprecher des deutschen Softwareproduzenten Webwasher. "Gerade in vielen kleinen und mittelständischen Betrieben fehlt noch das Bewusstsein für die Problematik", schätzt Bitkom-Spezialist Kuhlmann den Trend ein. Durch klare Regeln könnten sich Mitarbeiter und Firmen aber zahlreiche arbeitsrechtliche und datenschutztechnische Streitfälle ersparen. Ein Beispiel: Nach Angaben Kuhlmanns haben Firmen versucht, Arbeitnehmer wegen übermäßigen Surfens zu kündigen. Da der Internet- Zugriff nicht geregelt gewesen sei, habe der Betrieb schließlich die Verbindungsdaten nicht vor Gericht nutzen können. "Das scheiterte dann an einem Beweisverwertungsverbot", schildert Kuhlmann die Problematik. In einer Broschüre, die von der Bitkom-Homepage heruntergeladen werden kann, stellt der Verband Handlungsmöglichkeiten und rechtliche Grundlagen vor.

Auch die Gewerkschaften haben das Thema auf die Tagesordnung gesetzt. "Aus Unsicherheit über die Rechtslage verbieten viele Unternehmen das Surfen ganz", erläutert Cornelia Brandt von der Dienstleistungsgewerkschaft ver.di. "Das bringt genauso wenig, wie den Leuten das Zeitunglesen zu verbieten", kritisiert sie. Geschäftsführung und Betriebsräte sollten kooperieren. "Das kann zum Beispiel ein PC mit Internetzugang in der Kantine sein", schlägt die ver.di-Spezialistin vor. Außerdem sei ein so genanntes Arbeitnehmer-Datenschutzgesetz überfällig. Mit einem speziellen Internet-Angebot informiert ver.di über Spionagesoftware und Überwachung. Unter der Adresse onlinerechte- fuer-beschaeftigte.de hat die Gewerkschaft Hinweise über die rechtliche Grundlage veröffentlicht und bietet auch einen Spionageprüfer für den Bürocomputer an.

HeiseLink

News vom 29.08.2003


RSA schlägt RFID-Blocker vor

Wissenschaftler der RSA Security Laboratories haben nach eigenen Angaben eine Methode entwickelt, um den von Datenschützern befürchteten Verlust an Privatspäre durch so genannte RFID-Tags zu kompensieren. Passive RFID-Tags sind Chips, die per Funk eine eindeutige Kennung von bis 128 Bit Länge senden, wenn sie von einem Lesegerät dazu aufgefordert werden. Da die Tags nicht unbedingt eine eigene Energieversorgung benötigen, können sie praktisch überall verwendet werden. Datenschützer befürchten, dass die Chips nicht nur als Barcode-Ersatz verwendet werden, sondern auch zur allgegenwärtigen Kundenüberwachung.

In einem Aufsatz diskutieren Ari Juels und seine Kollegen von RSA Security, wie die Chips zeitweilig an der Übermittlung ihrer Kennung gehindert werden können. Dabei wollen sie ausnutzen, dass die Lesegeräte immer nur eine Kennung zurzeit einlesen können. Senden viele Tags gleichzeitig, kommt es zu einer Kollision. Der Leser teilt den einzelnen Tags dann eine Reihenfolge zu, in der sie sich zu melden haben -- die anderen bekommen in der Zwischenzeit den Befehl, Ruhe zu geben. Ein Tag-Blocker könnte ein solches Gerät also blockieren, indem er vorspiegelt, dass extrem viele Tags gleichzeitig senden.

Die Tags mit Hilfe des beispielsweise vom Auto ID Center vorgeschlagenen Kill-Kommando ganz auszuschalten lehnen die Autoren ab -- schließlich würden die Tags auch durchaus nützliche Funktionen erfüllen. Simple Störsender lehnen sie als "Vorschlaghammer-Ansatz" ebenfalls ab. (wst/c't)

HeiseLink

____


CA empfiehlt kontinuierliches Sicherheitsmanagement


MÜNCHEN (COMPUTERWOCHE) - Angesichts der Schäden, die Viren und Würmer in den vergangenen Wochen verursacht haben, appelliert Computer Associates (CA) an IT-Manager, aktiv Vorkehrungen zu treffen. Damit Sicherheitsrichtlinien und eine regelmäßige Prüfung der vorhandenen Arbeitsabläufe greifen, sei ein kontinuierliches Security-Management notwendig, das Mitarbeiter für die Sicherheitsbelange des Unternehmens sensibilisiert. Nur so ließen sich Netzwerke und wichtige Daten effektiv schützen, heißt es in einem Statement des Softwareherstellers.

"Die Technologien, um Würmer zu stoppen, existieren und viele Unternehmen haben auch in einen umfassenden Netzwerkschutz investiert", erläutert Armin Stephan, Consulting Manager bei Computer Associates in Darmstadt. Allerdings könne auch das beste Produkt nur erfolgreich dann sein, wenn PC-Nutzer das nötige Bewusstsein aufbrächten und alle Sicherheits-Tools regelmäßig aktualisierten.

Stephan empfiehlt Unternehmen, konkrete Richtlinien einzuführen und Mitarbeiter über die Hintergründe der Maßnahmen aufzuklären. Es müsse klar werden, dass die Vorkehrungen nicht als Verbote zu sehen seien, sondern das Firmennetz am Laufen halten.

Ein kritischer Punkt sei beispielsweise der Umgang mit E-Mail-Attachments. Grundsätzlich gilt: Nutzer sollten gegenüber Anhängen misstrauisch sein, die sie nicht erwarten oder deren Absender sie nicht kennen. Darüber hinaus sollen Unternehmen die Nutzung bestimmter Technologien wie Instant Messaging und File Sharing kritisch abwägen, empfiehlt der CA-Manager.

Die Schulung der Mitarbeiter dürfe sich nicht auf Rund-Mails mit Virenwarnungen der IT-Abteilungen beschränken. Erfahrungsgemäß würden diese Tipps schnell wieder vergessen, sagte Stephan. Um vorzubeugen, sei eine kontinuierliche Weiterbildung notwendig. Dies könne zum Beispiel durch Vortragsreihen im Unternehmen geschehen, die über Wirkungsweisen von Computerviren aufklären. Das sei gerade dann wichtig, wenn sich Mitarbeiter sich von zu Hause aus in das Firmennetz einwählen. Denn Privat-PCs seien meist nur schlecht geschützt. (lex)

ComputerWocheLink

:::

FBI schnappt mutmaßlichen "Blaster"-Urheber


MÜNCHEN (COMPUTERWOCHE) - Die US-Bundespolizei FBI will im Verlauf des Freitags den mutmaßlichen Autor des Internet-Wurms "W32.Blaster" (Computerwoche online berichtete) verhaften. Es handele sich um einen 18-jährigen Teenager, den ein Zeuge beim Testen des Wurms beobachtet haben will. Über die Identität des Verdächtigen schwieg sich das FBI bislang aus. Details sollen auf einer Pressekonferenz um 22:30 Uhr Mitteleuropäischer Zeit bekannt gegeben werden. (lex)


ComputerWocheLink

Störungen bei Zugriff auf Red Hat Network

Am 28. August ist das Zertifikat der Red Hat Network Certification Authority (RHN-CA) abgelaufen. Dies wird zur Server-Authentifizierung bei SSL-Verbindungen im Red Hat Network benötigt. Verbindungsversuche von up2date- und rhn_register-Clients scheitern seitdem (certificate verify failed) -- sofern nicht die aktualisierten Versionen eingespielt wurden, die das neue CA-Zertifikat enthalten.

up2date ist ein Client zum Aktualisieren von RPM-Paketen auf Red Hat Linux. Betroffen sind alle Plattformen von Red Hat Linux, Enterprise Linux 2.1 und die Advanced Workstation 2.1. Red Hat hat neue Pakete von up2date zur Verfügung gestellt und empfiehlt dringend deren Installation.

HeiseLink mit weiterführenden Links

____


BKA erzwingt Hausdurchsuchung gegen Anonymitätsdienst


AN.ON: Vorgehen des BKA nicht durch Gesetze gedeckt


Das Bundeskriminalamt (BKA) hat am vergangenen Freitag einen erneuten richterlichen Beschluss gegen das AN.ON-Projekt erwirkt. Mit diesem Beschluss des Amtsgerichts Frankfurt am Main wurde die Durchsuchung der Räume des AN.ON-Projektes an der Technischen Universität Dresden (TU) angeordnet, um für polizeiliche Ermittlungen einen Protokolldatensatz aufzufinden, der auf der Grundlage einer zwischenzeitlich außer Vollzug gesetzten richterlichen Anordnung aufgezeichnet worden war.




Am Samstag suchten Beamte des BKA die häusliche Wohnung des Direktors des Instituts für Systemarchitektur an der Fakultät Informatik auf und verlangten von ihm die Herausgabe des Protokolldatensatzes. Da nur auf diese Weise eine Durchsuchung des Instituts durch die Polizeibeamten und damit größerer Schaden für die TU Dresden abgewendet werden konnte, wurde der Datensatz herausgegeben. Nach Auffassung der Betreiber von AN.ON ist dieses Vorgehen des BKA vom Gesetz nicht gedeckt.

Der Beschluss des Amtsgerichtes ist nach Auffassung der Projektpartner rechtswidrig. Da die Vollziehung der in einem vorangegangenen Beschluss des Amtsgerichts angeordneten Auskunftsverpflichtung (gem. §§ 100 g, h StPO) vom Landgericht Frankfurt am Main ausgesetzt worden war, war klargestellt, dass bis zur Entscheidung in der Hauptsache keine Herausgabepflicht für AN.ON bestand. Deshalb sei es eine rechtsmissbräuchliche Umgehung dieser Entscheidung des Landgerichts, die Herausgabe des Protokolldatensatzes mit Hilfe eines neuen Durchsuchungsbeschlusses des Amtsgerichtes zu erzwingen.

Nachdem das Landgericht vorläufig zu Gunsten von AN.ON entschieden hatte, hätte das BKA nicht auf allgemeine Herausgabe- und Beschlagnahmebestimmungen (§§ 103, 105 StPO) ausweichen dürfen, so die AN.ON-Betreiber. Die Projektpartner wollen nun auch gegen diesen Beschluss durch Einlegung von Rechtsmitteln vorgehen. Eine gerichtliche Überprüfung des Vorgehens der Beamten des BKA halten die Projektpartner für zwingend erforderlich.

GolemLink

_____


Sicherheitsloch in XFree86-Font-Bibliotheken


Der Sicherheitsexperte Blexim berichtet auf Bugtraq von Fehlern in der Verarbeitung von Zeichensätzen, die ein Font-Server an X-Server sendet. Dabei wird die Größe einiger Variablen, die der Font-Server an den X-Server übermittelt, nicht überprüft, sodass Integer Overflows provoziert werden können. Prinzipiell sind damit Buffer Overflows und Heap Overflows möglich, mit denen ein Angreifer beliebigen Code einschleusen und im Kontext des X-Servers ausführen kann.

In der Regel läuft der X-Server auf Unix-Clients mit grafischer Oberfläche, der Font-Server kann durch diesen Fehler nicht kompromittiert werden. Von dem Sicherheitsloch ist XFree86 Version 4.3.0 bis einschließlich 4.3.99.11 betroffen. In Version 4.3.99.12 ist der Fehler behoben, als Workaround empfiehlt Blexim das SUID-Bit von den XFree-Binaries zu entfernen.

Ein X-Font-Server (xfs) kann lokal und im Netz laufen und nimmt X-Servern das Vorhalten eigener Zeichensätze, sowie das Rendering ab. Ursprünglich wurde er benötigt, da XFree selbst keine True-Type-Fonts unterstützte. Seit Version XFree 4.x ist diese Funktion in den X-Server eingebaut. Aus Performancegründen kann das Font-Rendering aber immer noch von einem separaten Prozess, dem Font-Server, durchgeführt werden. Im Netzwerk läuft xfs auf dem TCP-Port 7100.

HeiseLink mit weiterführenden Links

_____

Blaster-Verbreiter angeklagt

18-jährigem drohen zehn Jahre Gefängnis

Seattle (pte, 01. Sep 2003 10:36) - Jeffrey Lee Parson ist der erste Mensch, der wegen der Verbreitung eines Wurms im Internet angeklagt worden ist. Der 18-järige US-Amerikaner, der vergangenen Freitag vom FBI festgenommen worden ist, wird beschuldigt mit seinem Wurm Blaster.B absichtlich Computer beschädigt zu haben. Im Falle einer Verurteilung muss Parson, wie Australian IT heute, Montag, berichtet, mit einer Gefängnisstrafe von bis zu zehn Jahren und einer Geldbuße von bis zu 250.000 Dollar rechnen.
http://australianit.news.com.au/articles/0,7204,7129734^15319^^nbv^,00.html

Gegenüber dem FBI habe Parson bereits gestanden, Anfang des Monats den Blaster-Wurm verändert und im Internet verbreitet zu haben. Insgesamt sollen über 500.000 Computer von verschiedenen Varianten des Wurms heimgesucht worden sein und alleine bei Microsoft soll dadurch ein Schaden von fünf bis zehn Mio. Dollar entstanden sein. Mindestens 7.000 dieser Infektionen gehen laut Staatsanwalt Paul Luehr auf Parsons Kappe.

Vorerst wurde Parson unter Hausarrest gestellt. Er darf zwar in die Schule gehen oder den Arzt besuchen, vom Internet oder jedem anderen Netzwerk muss er sich allerdings fernhalten. Die nächste Anhörung wird am 17. September in Seattle stattfinden. (Ende)


PresseTextLink

______


"Wurm-Mutationen" hohes Risiko für Datennetze

Gefahr vor allem für KMU

Stuttgart/Düsseldorf (pte, 01. Sep 2003 08:15) - Der Angriff der Internet-Würmer "LoveSan" oder "W32Blast" auf Microsoft-Betriebssysteme ist nach Einschätzung des Stuttgarter IT-Unternehmens NextiraOne noch nicht gebannt: "Beide Würmer werden uns im Internet noch einige Zeit begleiten. Es sind 'Mutationen' aufgetaucht, die leider nicht ganz so harmlos erscheinen wie ihre Vorgänger. Die 'Wurm-Mutationen' sind das Ergebnis von Hackern, die die Originalversionen verändern und als Trittbrettfahrer weiterhin eine ernstzunehmende Gefahr für Datennetze darstellen", so die Einschätzung des IT-Sicherheitsexperten Massimiliano Mandato von NextiraOne http://www.nextiraone.de.

Nach einer NextiraOne-Marktanalyse sind die Informationssysteme bei mehr als der Hälfte der Klein- und mittelständischen Unternehmen gegen Attacken von Internet-Würmern schlecht gerüstet: "Vielen Firmen mangelt es an Ressourcen und dem erforderlichen Wissen. Besonders in der Unternehmensspitze hat man sich noch nicht ausreichend mit dem Thema Datensicherheit auseinandergesetzt. Dabei sollte es den Geschäftsführern klar sein, dass ein technischer Mangel in diesem Umfeld unter Umständen auch Haftungsrisiken zur Folge haben kann", warnt Mandato.

In Betrieben gehe es häufig nach der Devise "Augen zu und durch". So lange nichts passiert, werde kein Geld investiert, um die Verwundbarkeit der Informationssysteme zu beseitigen. "Den Wert von Sicherheit erkennen Unternehmen erst dann, wenn das Kind in den Brunnen gefallen ist", so die Erfahrung des NextiraOne-Consultant. Firmen sollten sich generell einem Sicherheits-Check unterziehen - das sei ohne großen Aufwand über das Internet möglich. "In diesem sogenannten 'Security-Scan' werden Web-Server, Mail-Server oder Firewalls, die aus dem Internet erreichbar sind, auf mögliche Sicherheitslöcher hin überprüft. Diese Leistung für einen Server kostet weniger als ein neuer Standard-PC und kann ein Jahr lang unbegrenzt benutzt werden", rät Mandato.

Eine Schwachstelle bei allen Sicherheitskonzepten sind nach Auffassung des Düsseldorfer Unternehmensberaters Ralf Sürtenich auch Notebooks und kleine Firmenniederlassungen. "Das beste Sicherheitskonzept ist nicht stärker als die schwächste Stelle. Ein Notebook, das gesicherte Firmenzugänge (VPN) benutzt und für normale Einwahlzugänge zum Internet eingerichtet ist, macht die besten Firewall-Konzepte durchlässig", so Sürtenich. Ein weiteres, neues Gefahrenpotenzial ergäbe sich durch die zunehmende Verbreitung von drahtlosen Inhouse-Netzen (W-LAN), die häufig in den Unternehmen ohne zenrale Planung entstehen und ausgebaut werden. "Das Sicherheitsproblem muss in alle Prozesse des Unternehmens einbezogen werden. Die Technik alleine kann nur leisten, was durch Konzepte vorgegeben wird und diese wiederum müssen auf den unternehmensinternen Prozessen aufsetzen", betont Sürtenich. (Ende)
PresseTextLink

BSI warnt vor automatisierten Wurm-Warnungen

Automatisierte Warnungen von Viren-Schutzprogrammen verunsichern Anwender


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Administratoren auf, keine automatisierten Benachrichtigungen über Würmer in ihren E-Mails an die Absender zu versenden. Vor dem Hintergrund aktueller Würmer wie Sobig.F, die gefälschte Absenderadressen verwenden, führen diese Warnungen meist nur zur Verunsicherung der Anwender.

Viele Anwender erhalten gegenwärtig E-Mails mit dem Hinweis, dass sie versucht hätten, einen Wurm zu versenden. Es handelt sich dabei um Warnungen durch Viren-Schutzprogramme, die dem im From-Feld aufgeführten Absender einer E-Mail eine automatisierte Warnung zukommen lassen, falls ein Wurm entdeckt worden ist.

War diese Option in der Vergangenheit recht nützlich, da meist erst mit einer solchen Benachrichtigung der Absender erfuhr, dass er einen infizierten Rechner hat, laufen diese Warnungen heute meist in Leere. Mittlerweile fälschen Würmer sehr häufig die Absenderadresse.

Durch die nutzlos gewordenen Wurm-Warnungen würden die E-Mail-Rechner zusätzlich stark belastet und die Anwender verunsichert. Das BSI empfiehlt daher, auf die automatisierte Versendung von Warnungen durch Viren-Schutzprogramme zu verzichten.

GolemLink

____


Fehler in Mailserver Exim


Der Sicherheitsexperte Nick Cleaton berichtet auf Bugtraq von einem Heap Overflow im Unix Mail Transfer Agent (MTA) Exim ab Version 3 bis einschließlich 4.20. Provozieren kann den Heap Overflow jeder, der eine SMTP-Verbindung zum MTA aufbauen kann. Die potenzielle Schwachstelle sei laut Angabe von Cleaton und den Entwicklern von Exim, der University of Cambridge, so gut wie nicht ausnutzbar. Allerdings müsse dies nicht für alle Szenarien und alle Plattformen der Fall sein. Patches für Exim 3.36 und 4.20 sind auf den Seiten von Exim.org verfügbar. Weitere Einzelheiten über die Schwachstelle wurden nicht veröffentlicht, eine genauere Beschreibung soll aber demnächst auf der Mailing-Liste Vuln-Dev folgen.


HeiseLink mit weiterführenden Links

_____

Sobig.F lässt Antiviren-Hersteller jubeln


Marktforscher glaubt an Umsatzverdoppelung bis 2007

Framingham (pte, 03. Sep 2003 11:54) - Der Ausbruch von Sobig.F, Blaster & Co. lässt die Hersteller von Antiviren-Software jubeln. Laut einer aktuellen Studie des Marktforschers IDC http://www.idc.com werden sich die entsprechenden Umsätze innerhalb der nächsten fünf Jahre weltweit auf 4,4 Mrd. Dollar verdoppeln. Die Nachfrage wird dabei sowohl von Unternehmens- als auch von Privatkundenseite anziehen, berichtet IDC.

Bereits im Vorjahr haben sich die Hersteller von Antiviren-Software über eine Steigerung ihrer Umsätze um 31 Prozent auf 2,2 Mrd. Dollar freuen können. Dabei haben sowohl die Ausgaben von Firmen als auch die von Konsumenten angezogen, wobei die Privatuser sogar um 8,5 Prozent mehr für ihre Computersicherheit ausgegeben haben als die Unternehmen. "Während Unternehmen schon lange erkannt haben, dass Antiviren-Software nur so gut wie ihr jeweils letztes Update ist, haben nun auch Konsumenten und kleine Unternehmen die Notwendigkeit für Updates auf Subskriptions-Basis eingesehen", sagte IDC-Analyst Brian Burke.

Viren und Würmer werden nach Darstellung von IDC auch weiterhin die weit verbreitetste Bedrohung für Unternehmen sein. So sind unter 325 befragten US-Firmen ganze 82 Prozent Opfer von Computer-Attacken geworden. Davon konnte immerhin 30 Prozent nicht rechtzeitig auf die Virenattacken reagieren. Dies zeige, so IDC, dass ein Angriff, auch wenn er entdeckt werde, erheblichen Schaden verursachen könnte, wenn nicht prompt Gegenmaßnahmen eingeleitet werden. Darüber hinaus warnt der Marktforscher davor, dass Würmer und Viren zur eigenen Verbreitung zunehmend Spam-Techniken verwenden. Dabei bedienen sie sich des "Social Engineerings", um Opfer zum Öffnen verseuchter Mails zu veranlassen. (Ende)


Pressetext Link

Schwachstelle in Microsoft Access Snapshot Viewer

Microsoft meldet im Bulletin MS03-038 eine Schwachstelle im Access Snapshot Viewer, der als Standalone-Version verfügbar ist, aber auch in Access 97, 2000 und 2002 mitgeliefert wird. Der Snapshot Viewer kann Access-Datenbankinhalte ohne eine vorherige Installation von Access darstellen, wobei auch ein ActiveX-Control verwendet wird.

Der Fehler basiert auf einem Buffer Overflow bei der Überprüfung von Parametern, mit dem ein Angreifer Code auf den Stack schreiben und im Kontext des Anwenders ausführen kann. Allerdings kann ein Angriff nur webbasiert erfolgen, der Anwender muss dazu eine manipulierte Webseite besuchen. Der Snapshot Viewer wird standardmäßig nicht installiert. Microsoft hält Patches auf seinen Seiten bereit.

HeiseLink

___

Blaster.F-Autor in Rumänien verhaftet


MÜNCHEN (COMPUTERWOCHE) - Mithilfe der in Bukarest ansässigen Computer-Sicherheitsfirma BitDefender haben rumänische Strafverfolger den 24-jährigen Dan Dumitru Ciobanu, Absolvent der Technischen Universität von Iasi, als Autor der F-Variante des Mail-Wurms Blaster identfiziert und verhaftet. Ciobanu hatte "seinen" Wurm mit einigem rumänischen Text versehen, der zu einer Website mit seiner Adresse und Telefonnummer führte. Die Polizei beschlagte Computer in seiner Wohnung sowie am Arbeitsplatz, einem Fotolabor. Dem Hacker drohen aufgrund eines neuen rumänischen Gesetzes nun bis zu 15 Jahre Haft. (tc)

ComputerWocheLink

___







Sicherheitsleck in Visual Basic erlaubt Programmausführung

Alle Office-Applikationen und weitere Microsoft-Produkte betroffen


Wie Microsoft berichtet, existiert in Visual Basic for Applications (VBA) ein schweres Sicherheitsleck, worüber ein Angreifer beliebigen Programmcode mit den Rechten des angemeldeten Anwenders ausführen kann. Da VBA in zahlreichen Microsoft-Produkten verwendet wird, sind auch etliche Applikationen von dem Sicherheitsrisiko betroffen. Ein weiteres Sicherheitsleck enthält der Access-Viewer, worüber ein Angreifer ebenfalls Programmcode auf einem fremden System ausführen kann.

Das Sicherheitsleck in Visual Basic for Applications (VBA) tritt auf, weil die VBA-Komponente zur Überprüfung der Dokumenteigenschaften einen Fehler aufweist. Wird ein Dokument von der Host-Applikation geöffnet, tritt ein Buffer Overrun auf, worüber ein Angreifer beliebige Programme mit den Rechten des angemeldeten Nutzers ausführen kann. Microsoft stuft das Sicherheitsrisiko als hoch ein.

VBA ist Bestandteil zahlreicher Office-Applikationen von Microsoft, so dass neben etlichen Word-, Excel-, PowerPoint- und Access-Versionen auch die Programme Project, Publisher, Visio, die WorksSuite sowie etliche Business-Solutions aus dem Hause Microsoft davon betroffen sind. Wird etwa Word in Outlook als HTML-Editor eingebunden, genügt bereits das Antworten oder Weiterleiten einer E-Mail, damit ein Angreifer sich das Sicherheitsleck zu Nutze machen kann. Als weitere Angriffsvariante muss ein Angreifer den Anwender lediglich dazu bringen, eine Office-Datei zu öffnen.

Ein weiteres Sicherheitsleck betrifft den zum Lieferumfang von Access gehörenden Access-Viewer, worüber eine Datenbank für andere erstellt werden kann, die auch ohne eine Access-Installation eingesehen werden kann. Auch hier führt eine Sicherheitslücke dazu, dass ein Angreifer Programmcode mit den Rechten des angemeldeten Nutzers ausführen kann, wenn dieser das Opfer auf eine entsprechend formatierte Webseite schleust.

Microsoft bietet über ein aktuelles Security Bulletin Patches für die verschiedenen Office- und Microsoft-Applikationen gegen das VBA-Sicherheitsleck zum Download an. Für die Sicherheitslücke im Access-Viewer stehen Patches ebenfalls zum Download bereit.

GolemLink

::::


Microsoft stopft Löcher


Konzern veröffentlicht fünf Sicherheitswarnungen

Redmond (pte, 04. Sep 2003 11:45) - Microsoft http://www.microsoft.com hat gleich fünf Sicherheitswarnungen herausgegeben, die Lücken bei den Betriebssystemen bzw. der Office-Suite betreffen. Als kritisch wird dabei ein Sicherheitsloch in Visual Basis for Applications (VBA) beschrieben, durch das eine Reihe von Microsoft-Office-Versionen und seiner Komponenten und darüber hinaus auch Works und Visio betroffen sind. Microsoft empfiehlt den Usern das sofortige Einspielen eines Patches auf seiner Homepage. http://www.microsoft.com/security/security_bulletins/ms03-037.asp

Der Fehler erlaubt es Angreifern in das System einzudringen und eine Vielzahl von Aktionen auszuführen. Beispielsweise könnte der Hacker Dokumente lesen oder Programme auf dem angegriffenen Computer ausführen. Darüber hinaus hat Microsoft weitere Sicherheitslöcher beschrieben, die jedoch allesamt als weniger kritisch eingestuft werden. (Ende)
PresseText

Altes Sicherheitsloch im wu-ftp-Server in Debian Woody wieder geöffnet

Totgesagte leben länger: Debian meldet heute in einem Security Advisory eine Lücke im wu-ftp-Server, die eigentlich seit vier Jahren als beseitigt galt. wu-ftp unterstützt so genannte "Conversion Services", mit dem andere Applikationen zusätzliche Aufgaben erledigen können. Beispielsweise können vor der FTP-Übertragung mehrere Dateien in ein tar-Archiv gepackt werden. Dazu werden von wu-ftp die Dateinamen an den tar-Archiver als Kommandozeilen-Parameter gesendet.

Unter bestimmen Umständen kann ein Angreifer Dateinamen übergeben, die als Parameter interpretiert werden und zum Ausführen von beliebigen Befehlen im Kontext des Servers dienen können. Der fehlerhafte wu-ftp-Server ist in der Debian Woody Distribution (GNU/Linux 3.0) enthalten. Das Sicherheitsloch ist im Paket wu-ftp 2.6.2-3woody2 behoben. Debian empfiehlt, die aktualisierten Pakete zu installieren.

HeiseLink

_____


BSI bietet kostenlosen Web-Kurs zur IT-Sicherheit

Sicherheitskurs für kleine und mittlere Unternehmen sowie Behörden


Ab sofort bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Web-Kurs zur IT-Sicherheit kostenlos zum Download an. Der vierstündige Kurs "BSI-Schulung IT-Grundschutz" richtet sich sowohl an kleine und mittlere Unternehmen als auch an Behörden und soll einen schnellen Einstieg in den Bereich der IT-Sicherheit bieten.




Mit Hilfe des Kurses erfährt man, wie sich Sicherheitsanforderungen in einem Unternehmen oder einer Behörde definieren und umsetzen lassen. So wird die Aufdeckung und Schließung von Sicherheitslücken behandelt, wobei der Kurs auch das "IT-Grundschutzhandbuch" umfasst. Ausführliche Beschreibungen, erläuternde Grafiken und zahlreiche Beispiele sollen helfen, dem Kurs besonders leicht folgen zu können.

So behandelt der Kurs als Kernfragen, warum IT-Sicherheit wichtig ist sowie wie man ein IT-Sicherheitsmanagment oder eine IT-Strukturanalyse anfertigt. Natürlich fehlen auch Erläuterungen zur Umsetzung entsprechender Sicherheitsrichtlinien nicht. Auch dem Thema Zertifizierung nimmt sich der Kurs an. Die Steuerung des Kurses geschieht dabei bequem über einen Web-Browser.

"Mit diesem Angebot wollen wir in erster Linie kleinere und mittlere Behörden und Unternehmen ansprechen, die in das Thema IT-Sicherheit einsteigen wollen oder müssen. Oft kommt IT-Sicherheit in der Praxis vor allem aus Zeitmangel zu kurz. Deshalb möchten wir mit dem Kurs als eine Art 'Starter-Paket zur IT-Sicherheit' ein Mindestmaß an Sicherheit vermitteln", betont Michael Hange, Vizepräsident des BSI.

Das BSI bietet den Web-Kurs "BSI-Schulung IT-Grundschutz" ab sofort kostenlos zum Download unter www.bsi.bund.de/gshb/webkurs/index.htm an. Ab Mitte Oktober 2003 soll der Web-Kurs auch auf einer CD-ROM vom BSI angeboten werden, die das komplette Internet-Angebot des BSI umfasst.

GolemLink

Popup-Reklametrojaner in USA legal

Die Abdeckung von Firmen-Webseiten durch Popup-Fenster mit Reklame für Konkurrenten stellt weder eine Copyright-Verletzung noch einen unlauteren Wettbewerb dar. Das entschied nach US-Medienberichten US-Bezirksrichters Gerald Bruce Lee. Mit seinem Urteil untermauerte Lee eine vorläufige Entscheidung von Anfang Juli.

In dem Rechtsstreit hatte das Transport- und Lagerunternehmen U-Haul Klage gegen den Softwarehersteller WhenU eingereicht, weil sein Webauftritt wiederholt durch Popup-Fenster mit Werbung von Konkurrenzunternehmen durch den von WhenU hergestellten Reklametrojaner SaveNow verdeckt wurden.

Richter Lee entschied nun laut Wall Street Journal, dass diese Praxis nicht gegen das Urheberrecht oder Wettbewerbsrecht untersagt sei. Auch wenn sich "normale Computernutzer" wie er manchmal fragen würden, womit sie die "Strafe der Besetzung ihres Bildschirms" durch Online-Werbung verdient hätten, liege es in Verantwortung jedes Einzelnen, ob er die Software von WhenU verwende.

Der Richterspruch dürfte den zu Grunde liegenden Streit zum Präzedenzfall erheben.In einem ähnlichen Gerichtsverfahren waren schon im vergangenen Jahr zehn US-Verlage dem Reklamevermittler Gator juristisch zu Leibe gerückt, weil dessen Hintergrundsoftware die Werbung der Verlags-Sponsoren mit Konkurrenzanzeigen übertünchte. In diesem gleichfalls in Virginia verhandelten Rechtsstreit hat der zuständige Richter Claude Hilton das Verfahren eingeleitet und zugleich Gator mit der einstweiligen Verfügung belegt, die klagenden Verlage vor Popup-Reklame zu verschonen. Zum Prozess kam es dann aber doch nicht, weil sich die Widersacher außergerichtlich einigten. (wst/c't)

HeiseLink
_____


Schweizer Polizei schnüffelt Verdächtige mit Trojanern aus


Mit "Software-Wanzen" und Trojanern schnüffeln Schweizer Ermittler die Computer von Tatverdächtigen aus. Die Neue Zürcher Zeitung berichtet, die Eidgenossen folgten damit neuerdings dem Vorbild des FBI, die schon seit einiger Zeit Überwachungssoftware beispielsweise per E-Mail einschleusen. Dazu hätten Schweizer Ermittler vor zwei Jahren erste Versuche gestartet. Inzwischen sei die Methode auch in einigen Strafverfahren angewandt worden, zitiert die NZZ am Sonntag einen Spezialisten für Internetkriminalität. Dabei werde der Mailverkehr eines Verdächtigen überwacht oder eine Datei von dessen Computer kopiert.

Auch wenn bisher schon Beweise für eine Straftat erbracht wurden oder Tatverdächtige entlastet werden konnten, gebe es noch keinen Nachweis, dass die Überwachungsmethoden vor Gericht anerkannt würden. Es sei unklar, auf welche gesetzliche Grundlage sich die Ermittler berufen. Doch dazu wollten sich alle von der NZZ am Sonntag angefragten Strafverfolgungsstellen nicht äußern.

Das sei auch nicht verwunderlich. In dem Bericht heißt es, Rechtsexperten finden die elektronische Überwachung zumindest sehr problematisch. Wenn sich Ermittler etwa verdeckt eine Datei verschafften, sei im Unterschied zu einer normalen Beschlagnahmung der Verdächtige nicht informiert. Der Verdächtige könne also nicht die Versiegelung des Beweismaterials verlangen oder versuchen, die Beschlagnahmung per Antrag für ungültig erklären zu lassen. Andere Juristen meinen, E-Mails dürften abgefangen werden, wenn der Präsident der Anklagekammer dies bewillige.

Eine Diskussion um entsprechende Gesetzesänderungen findet in der Schweiz nicht statt, heißt es. Einige Juristen vermuten, dies sei so, weil manche Strafverfolger befürchten, das Schweizer Parlament könne die verdeckte Beschaffung elektronischer Beweise ganz verbieten. Christian Schwarzenegger, Strafrechtsprofessor der Universität Zürich, meinte gegenüber der Zeitung, die Strafverfolger würden das Recht für ihre Zwecke zurechtbiegen. In Deutschland würde so etwas Proteste hervorrufen. (anw/c't)


Heise Link

___


Sicherheits-Patch für Internet Explorer bleibt wirkungslos

Vermeintlich behobenes Sicherheitsleck weiterhin von Angreifern nutzbar


Wie ein Beitrag auf der Sicherheits-Mailingliste Full-Disclosure berichtet, weist der Ende August 2003 bereitgestellte Patch für den Internet Explorer einen Fehler auf, so dass das vermeintlich gestopfte Sicherheitsleck weiterhin von Angreifern ausgenutzt werden kann. Die Sicherheitslücke betrifft den Internet Explorer in den Versionen 5.01, 5.5 und 6.0.

Das Sicherheitsloch erlaubt es einem Angreifer, beliebigen Programmcode auf ein anderes System zu laden und diesen mit den Rechten des angemeldeten Nutzers auszuführen. Ein Fehler im Internet Explorer sorgt dafür, dass der Browser einen von einem Web-Server stammenden Object-Typ falsch erkennt und einem Angreifer so über eine speziell formatierte HTML-Seite das Einschleusen von beliebigem Programmcode erlaubt.

Die Sicherheitslücke kann neben der Bereitstellung als Webseite auch über eine HTML-Mail ausgenutzt werden, da viele Mail-Clients die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails verwenden. Dann genügt die Ansicht einer entsprechend formatierten E-Mail, um Opfer einer solchen Attacke zu werden.

Derzeit bietet Microsoft keinen Patch für den Internet Explorer 5.01, 5.5 und 6.0 zur Abhilfe des Problems an, obgleich nach Angaben der Entdecker der Schwachstelle der Hersteller bereits informiert wurde. Bis dahin empfiehlt der Autor von Full-Disclosure die Deaktivierung von Active Scripting im Internet Explorer.

GolemLink

SCO vs. Linux: McBride warnt die Open-Source-Gemeinde


SGI als Gegner unter den "Großkopferten" nimmt SCO im Streit um angeblich aus Unix System V geklauten Code in Linux als Ersten nach IBM ins Visier. Aber zuvor sind erst einmal die Entwickler und die Fans des Open-Source-Systems mit einer Warnung dran. Darl McBride, Chef des Unix-Hauses, macht in einem "offenen Brief an die Open-Source-Community" die Linux-Unterstützer für die jüngste Denial-of-Service-Attacke auf SCOs Webserver verantwortlich. Diejenigen, die Open-Source-Software unterstützten, müssten einen besseren Job bei ihrer eigenen Kontrolle als Entwickler und Aktivisten machen, forderte McBride. Die Open-Source-Verfechter seien in Gefahr, ihrer eigenen Sache zu schaden, wenn sie sich nicht gegenseitig besser kontrollierten, um solche Aktionen wie DoS-Angriffe zu verhindern und zu bestrafen. Bereits der Open-Source-Advokat Eric S. Raymond hatte sich in einem Aufruf, solche Angriffe zu unterlassen, für manche Mitglieder der Community etwas arg weit aus dem Fenster gelehnt. Anzeige


Der SCO-Chef meint, mit der Klage gegen IBM habe SCO einige in der Open-Source-Community verärgert, da man auf Probleme mit dem geistigen Eigentum hingewiesen habe, die im gegenwärtigen Linux-Entwicklungsprozess existierten. Die Debatte um Open Source sei aber nützlich, sie biete langfristige Vorteile, da dadurch ein neues Business-Modell untersucht werde, bevor man in großem Maßstab einsetze. Aber, meint McBride nun nach den DoS-Angriffen: "Wir können keine Situation haben, in der Firmen eine Computer-Attacke befürchten müssen, wenn sie eine Business- oder Rechtsposition einnehmen, die die Open-Source-Community verärgert."

Nach der Warnung an die Open-Source-Gemeinde geht es dann aber auch für SGI ans Eingemachte: McBride bestätigt in dem Brief, dass SGI das mögliche nächste Ziel bei der Ausdehnung des Rechtsstreits um Unix-Code in Linux ist. Der SCO-Chef hatte dies bereits Mitte August im Interview mit c't angedeutet, nun wird er konkret: Kommentare des Open-Source-Protagonisten Bruce Perens würden bestätigen, dass Code von SCOs Unix System V in Linux-Software eingebaut wurde, die der Cluster- und Supercomputer-Spezialist SGI vertrieben habe -- Perens sieht dies allerdings deutlich anders, da er davon ausgeht, der betroffene Code sei entweder viel früher entstanden oder rechtmäßig kopiert worden. McBride jedoch hält fest, dass die von SCO inkriminierten Kopien illegal und nicht aus Versehen geschehen seien. "Dies ist eine eindeutige Verletzung von SGIs Vertrag und Copyright-Verpflichtungen gegenüber SCO." Man sei aber in Verhandlungen mit SGI über die Angelegenheit.

Der Vorfall bei SGI sei aber nur ein symptomatisches Beispiel für größere Probleme beim Entwicklungsprozess von Open Source, meint McBride: Perens habe zugegeben, dass es einen "Fehler im Linux-Entwickler-Prozess" gebe. Ohne angemessene Mechanismen, die die Integrität des von einzelnen Linux-Entwicklern beigetragenen Codes garantierten, beruhe die ganze Software auf einer sehr unsicheren legalen Basis. Dies würde bei den Entscheidungsträgern in den Firmen kaum sehr vertrauensbildend wirken, betonte McBride. "Die Ursprünge des geistigen Eigentums von Linux sind offensichtlich fehlerhaft." Open Source sei an einem kritischen Punkt angelangt: Die Community habe ihre Wurzeln in "Idealen der Gegenkultur -- Hacker gegen das Big Business". Aber nun müsse die Community Software für die amerikanische Firmen aus dem Mainstream entwickeln -- und daher müsse man auch die Regeln und Verfahren befolgen, die die Mainstream-Gesellschaft regieren. "Diese Kunden entscheiden das Schicksal von Open Source -- nicht SCO, nicht IBM, und nicht Open-Source-Führer", wirft sich McBride in die Brust.

Während SCO also eine neue juristische Front eröffnet und versucht, Probleme im Open-Source-Entwicklungsprozess zu thematisieren, wendet sich Richard Seibt, Chef des deutschen Linux-Distributors SuSE, gegen die Forderungen der Firma: Die Lizenzforderungen von SCO entbehrten nach Kenntnisstand von SuSE jeder Grundlage, schreibt Seibt an "sehr geehrte Linux-Anwender, sehr geehrte SuSE-Partner". Tatsache sei, dass "SCO trotz vielfältiger Aufforderung bislang noch keinen schlüssigen Beweis für ihre Behauptungen erbracht hat. Stattdessen wurde The SCO Group GmbH in Deutschland mit Blick auf diese Äußerungen von verschiedenen Seiten abgemahnt." Dies habe bis zur Verhängung eines Ordnungsgeldes geführt. SuSE werde die Klage des US-Linux-Distributors Red Hat, die zu einer "raschen Beendigung der öffentlich geäußerten Forderungen seitens SCO auch in den USA" führen sollen, nach Kräften unterstützen, betonte Seibt: "Wir sind davon überzeugt, dass SCOs Behauptungen auch vor den amerikanischen Gerichten keinen Bestand haben werden. Linux-Entwickler, -Anbieter und -Anwender werden mit gestärkter Rechtssicherheit aus dieser Auseinandersetzung hervorgehen."

Derweil hat sich auch der österreichische Verein zur Förderung freier Software erneut in die Auseinandersetzung eingeschaltet. In einem anwaltlichen Schreiben will der FFS SCO Deutschland verbieten, die so genannte Antidot-Lizenz für Linux-Anwender zu vertreiben. Ausgangspunkt der Aktion ist die Tatsache, dass SCO in Österreich etwa unter www.caldera.at/scosource/ die Intellectual Property License for Linux vertreibt. Mit dieser Lizenz sollen sich Linux-Anwender nach Ansicht von SCO das Recht auf die Nutzung des geistigen Eigentums von SCO im Linux-Kernel 2.4 und spätere Versionen erwerben. Die Bewerbung dieser Lizenz hält der FFS für rechtswidrig, da Gerichte bereits die hinter den Forderungen stehenden Aussagen untersagt hätten.

HeiseLink mit weiterführenden Linkz


____


Experten: IE-Patch stopft Sicherheitsloch nur teilweise

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten haben herausgefunden, dass ein von Microsoft Ende August veröffentlichter Patch gegen eine "Object Data Vulnerability" im Internet Explorer ab Version 5.01 das behoben geglaubte Sicherheitsloch nur teilweise stopft. In einer prominenten Security-Diskussionsgruppe wurde über das vergangene Wochenende Beispiel-Code veröffentlicht, der zeigt, dass auch ein gepatchter Microsoft-Browser sich immer noch über Web-Seiten angreifen lässt, die dynamisch beispielsweise per Javascript erzeugt werden. Ein Sprecher des Softwarekonzerns bestätigte, dass Microsoft entsprechenden Berichten derzeit nachgehe. Der Hersteller empfiehlt Anwendern aber auch weiterhin die Installation des bisherigen Patches. (tc)


ComputerWocheLink Hatten wir zwar gestern schon...aber manche sind halt langsamer...


_____



Wau Holland Stiftung gegründet - Aufruf zu "Datenspenden"


WHS-Projekt "Die Lese-Maschine" soll lebendige Enzyklopädie schaffen


Mit der im September 2003 als gemeinnützig anerkannten Wau Holland Stiftung (WHS) soll das Lebenswerk ihres 2001 verstorbenen Namensgebers durch geeignete archivarische Aufbereitung der Öffentlichkeit zur Verfügung gestellt und Möglichkeiten geschaffen werden, diese Gedanken in die Praxis einzubringen und Projekte weiterzuführen. Wau Holland war deutscher Journalist, Computer-Aktivist, Philosoph, Gründungsmitglied und Alterspräsident des Chaos Computer Clubs (CCC).




Die WHS Stiftung mit Hauptsitz Berlin ist formal eigenständig und wurde gegründet von Günter Holland-Moritz, Wau's Vater, Menschen aus dem Chaos Computer Club (CCC) und solchen, die Holland nahe standen. Bereits vorbereitet wurde die Gründung der WHS auf dem 18. Chaos Communication Congress im Dezember 2001, zu diesem Zeitpunkt fehlte allerdings noch etwas Gründungskapital. Erstmals öffentlich präsentieren will sich die WHS nun unter dem Motto "Stiftet Daten!" am 13. September 2003 auf dem Stiftungstag im Roten Rathaus in Berlin.

Der ebenfalls zum erstem Mal stattfindende Berliner Stiftungstag soll den Kontakt zwischen den Mitgliedern bestehender Stiftungen fördern, zur Gründung neuer Stiftungen ermutigen und damit das bürgerschaftliche Engagement anregen. Auf dem Stiftungstag werden Vertreter von Stiftungen zur Information und zum Austausch zusammentreffen, gleichzeitig wird aber auch gegenseitiger Dialog mit den Bürgern, den Medien und Vertretern der Politik gesucht.

Außer dem Unterhalt des Archivs will sich die Wau Holland Stiftung einsetzen für weltweite Informationsfreiheit, Recht auf Bildung sowie die Förderung von Zivilcourage mit elektronischen Mitteln. Förderungswürdig seien beispielsweise Jugendarbeit, Erwachsenenbildung, Berufsbildung im weitesten Sinne, Kurzschrift für Computer und Weiteres, heißt es in einer Mitteilung zur Gründung des WHS. Aktuelle WHS-Projekte sind eine Computerschule für kriegsbehinderte Kinder (Kosovo), "Die Lese-Maschine" (interaktive Enzyklopädie), eine Buchveröffentlichung über Wau Holland vom Piper Verlag und eine Sonderausstellung "Datengarten" im Nixdorf Museum (künstlerische Leitung: Medien-Künstlerin Rena Tangens, FoeBud e.V.).

Für das Projekt "Die Lese-Maschine" wird mit dem WHS erstmals eine Stiftung zum Datenspenden aufrufen. Diese interaktive Enzyklopädie soll Menschen das Filtern von Informationen lernen sowie lehren helfen und somit Medienkompetenz schaffen. Zu den Leistungen der Lese-Maschine zählen: Weltwissen so aktuell und gesichert wie möglich vorhalten, Fragen unterstützen, große Textmengen nach eigenen Aspekten vergleichen können, Vernetzungsgrad und "Wissenschaftlichkeit" anzeigen, Tendenzen aufzeigen, Zitate und Floskeln erkennen und zuordnen, feststellen was neu oder noch aktuell ist, Bekanntheit neuer Ansätze und die Veröffentlichungsbreite ermitteln, Medienprofile sowie Einfluss von Presse und Politik profilieren. Profitieren sollen davon Bürger, Schüler, Eltern und Lehrer, Bibliotheken (Uni-Bibliotheken entwickeln derzeit komplexe Filterverfahren), die institutionalisierte Öffentlichkeit, Rechercheure, Archivare, Sekundärwissenschaften, Journalisten, Historiker, Soziologen, Studierende und die maschinenlesbare Regierung.

Die von zwei jungen Programmierern geschaffene Lese-Maschine kombiniert Sprachanalyse-Programme mit Internet-Techniken zu einem Bayes-basierten Enzyklopädie-Programm, welches "immer klüger wird und macht", so die WHS. Allerdings brauche die Lesemaschine mehr Daten und sei auf rege Teilnahme der Nutzer angewiesen, da es nicht nur darauf ankomme, dass gelistet wird, was die offiziellen Quellen sagen, sondern was der Nutzer fragt oder kommentiert. "Die Leser eines Buches wissen in der Summe mehr als der Schreiber", so die Vision des Projekts. Die Form der Frage, das Sammeln ähnlicher Fragen eigne sich zur Vernetzung, Vertiefung, Handlung und mache Bürger zu einem aktiven Mitglied der Gemeinschaft und verankert sie vermehrt im kulturellen Leben. Der größte kulturschaffende Faktor sei Kommunikation.

Näheres zur Stiftung und den Projekten findet sich unter www.wauland.de.

GolemLink

Websperren in Pennsylvania ausgesetzt

Der US-Bundesstaat Pennsylvania muss seine geheimen Websperren gegen Kinderpornografie aussetzen. Justizminister Mike Fisher hat zugestimmt, die bisherige umstrittene Praxis einzustellen, bis ein Bundesrichter entschieden hat, ob die Regelung gegen die US-Verfassung verstößt.

Das Center for Democracy and Technology (CDT) hatte zusammen mit der American Civil Liberties Union (ACLU) und einem Internet-Provider gegen das Vorgehen der Behörde geklagt. Sie bemängelten, dass auch viele Seiten von den Sperren betroffen seien, die überhaupt nichts mit Kinderpornografie zu tun haben, aber unter der gleichen IP-Adresse zu erreichen sind. Wie viele Seiten genau betroffen sind, ist unklar: Die Behörde verweigert die Auskunft über die gesperrten Adressen. Hosting-Provider und Eigentümer der inkriminierten Webseiten werden bisher von der Generalstaatsanwaltschaft nicht kontaktiert. Sie haben damit auch keine Chance, sich gerichtlich gegen die Maßnahme zu wehren oder die beanstandeten Inhalte zu löschen.

Die Behörde hat in den vergangenen anderthalb Jahren informelle Sperrungsverfügungen gegen mehr als 700 verschiedene Seiten an die im Bundesstaat ansässigen Provider verschickt. Die mussten daraufhin innerhalb von fünf Tagen die IP-Adressen der bemängelten Seiten für alle Kunden in Pennsylvania sperren, andernfalls drohten Geld- und Haftstrafen. Der Provider WorldCom hatte sich zunächst geweigert, wurde aber von einem Gericht zur Einhaltung der Anordnung gezwungen.

Ein Sprecher der Generalstaatsanwaltschaft kündigte an, auch weiterhin mit Sperren gegen Kinderpornografie vorgehen zu wollen. Allerdings werde man jetzt erst einen Gerichtsbeschluss einholen und die Anwälte des ACLU benachrichtigen, damit diese die Rechtmäßigkeit der Sperren überprüfen können. Die Bürgerrechtler bezweifeln generell den Sinn der Blockaden. "Das Webblockaden-Gesetz in Pennsylvania richtet wenig gegen Kinderpornografie aus, verstößt aber in großem Ausmaß gegen den ersten Verfassungszusatz", sagt CDT-Vorstand Alan Davidson. Anstatt die Kinderpornografie schlichtweg zu verstecken, sollten die Gesetzeshüter das Problem an der Quelle anfassen und die Kriminellen verfolgen, die Kinderpornografie herstellen und verbreiten. (Torsten Kleinz) / (anw/c't)


HeiseLink

Vertrieb von Anleitung zur Virus-Programmierung in der Schweiz strafbar

Der Vertrieb eines Datenträgers, der Instruktionen und Hinweise zum Schreiben von Viren enthält, ist in der Schweiz strafbar. Das hat das Schweizer Bundesgericht nach einem Bericht der Neuen Zürcher Zeitung (NZZ) entschieden. Das Bundesgericht wies die Klage eines Mannes ab, der von früheren Instanzen zu zwei Monaten Haft auf Bewährung und 5000 Franken Geldstrafe verurteilt worden war.

Der Mann hatte 1996 über 3000 CDs der US-amerikanischen Group 42 importiert, um diese in Europa zu verkaufen. Die Gruppe machte sich Anfang der 90er-Jahre einen Namen in der Hackerszene und verbreitete ihr Wissen über Viren, trojanische Pferde und das Knacken von Passwörtern im Internet und auf CD-ROM.

Allerdings bot sich dem Importeur wenig Gelegenheit, die Silberlinge an den Mann zu bringen, da ein Mitarbeiter des Bundesamtes für Informatik Anzeige wegen "Datenbeschädigung" gegen den Importeur erstattete. Der Angeklagte, der für mehrere Banken und Telekommunikationsunternehmen als Sicherheitsberater arbeitete, war sich hingegen keiner Schuld bewusst.

Das Bezirksgericht Zürich sprach ihn laut NZZ am 20. Juli 2000 der "gewerbsmäßigen Datenbeschädigung" schuldig und verurteilte ihn zu einer Buße von 300 Franken. Am 22. Februar 2001 bestätigte das Obergericht des Kantons Zürich den Schuldspruch, sprach eine "bedingte Gefängnisstrafe" von zwei Monaten aus und verhängte eine Geldbuße von 5000 Franken.

In zwei weiteren Instanzen wurde das Urteil zunächst aufgehoben, dann aber erneut bestätigt. Das Schweizer Bundesgericht wies nun eine Beschwerde gegen dieses Urteil ab. Entgegen der Auffassung des Beschwerdeführers brauche die Anleitung "nicht alle zur Herstellung eines datenschädigenden Programms nötigen Schritte" abzudecken. Es genüge, wenn Informationen "zu wesentlichen Herstellungsvorgängen" abgegeben würden, so das Bundesgericht. (wst/c't)


HeiseLink


___


Steganos mit neuer Version der Security Suite


Kleine Veränderungen der Sicherheits-Software


Steganos aktualisiert die Security Suite für Windows und will die Version 6 noch im September 2003 in den Handel bringen. In der Programmsammlung wurden die Komponenten Safe, InternetSpurenVernichter und der Daten-Shredder aktualisiert. Bei der Wahl von Kennwörtern hilft jetzt ein Wörterbuch dabei, allzu leichte Wortkonstruktionen zu verhindern.

Die Security Suite 6 enthält eine aktualisierte Safe-Applikation, die maximal 128 GByte Daten auf bis zu vier Laufwerken verschlüsseln kann. Durch eine Echtzeitverschlüsselung sollen sich sensitive Daten vor fremden Blicken schützen lassen. Für den Transport sensitiver Daten steht der Portable Safe parat, der selbstentschlüsselnde Archive erstellt, die sich dann auf anderen Rechnern nach Eingabe des richtigen Kennwortes entschlüsseln lassen.

Der InternetSpurenVernichter 6.5 beseitigt temporäre Daten von verschiedenen Applikationen wie etwa Browsern, Media-Playern, KaZaA, der Google Toolbar, ICQ oder dem Acrobat Reader. Zudem wurde in die Software ein Popup-Blocker implementiert, und das Bereinigen von Meldungen des Windows-Nachrichtendienstes wird ebenfalls unterstützt. Der Datei-Shredder unterstützt bei der Datenlöschung die Gutmann-Methode mit 35-facher Überschreibung unerwünschter Daten.

Bei der Wahl von Kennwörtern hilft ein Wörterbuch, das die Verwendung unsicherer, gebräuchlicher Passwörter verhindern soll. Dafür werden Kennwörter mit rund einer halben Million Einträgen aus Lexika, Namenslisten, in Film und Fernsehen erwähnten Passwörtern, geografischen Begriffen und PC-Fachwörtern verglichen. Sollte sich das gewählte Passwort darin finden, wird der Nutzer vor der Verwendung gewarnt.

Steganos bietet die Security Suite 6 für die Windows-Plattform als Download und als CD-ROM-Version an. Die Download-Ausführung soll ab sofort zum Preis von 49,95 Euro erhältlich sein. Auf CD-ROM kostet die Software 59,95 Euro und soll Mitte September 2003 in den Regalen stehen. Ein Upgrade gibt es für 39,95 Euro.

GolemLink

___


Wieder Sicherheitslücke bei Microsoft


Leck im RPC

Redmond (pte, 11. Sep 2003 09:30) - Microsoft hat erneut vor einer Sicherheitslücke gewarnt, die im entsprechenden Bulletin als kritisch eingestuft wird. Dabei geht es konkret um ein Sicherheitsleck im RPC, das es einem Angreifer erlaubt, einen beliebigen Programmcode auf einem fremden System auszuführen, um die Steuerung des Computers zu übernehmen. Der auf der Homepage bereit gestellte Patch solle sofort eingespielt werden, teilte der Konzern weiter mit.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp

Das Sicherheitsleck kommt in den Versionen Windows NT Workstation 4.0, NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP und Windows Server 2003 vor. Nicht betroffen ist Windows Millennium Edition. Mit dem eingespielten Patch können drei neue Lücken behoben werden, gab der Konzern bekannt. Der Patch ersetzt darüber hinaus die im Sicherheitsbulletin Nr. 26 angeführten Maßnahmen. RPC (Remote Procedure Call) ist ein Kommunikations-Protokoll, das vom Windows-Betriebssystem verwendet wird. Es handelt sich dabei um die selbe Schnittstelle, die der im August aufgetauchte Blaster-Wurm für seine Attacken benutzt hat. pte berichtete: http://www.pte.at/pte.mc?pte=030812017 (Ende)


PresseTextLink