F
Fireglider
PowerUser Sir Henry
- Dabei seit
- 12.12.1999
- Beiträge
- 14.335
- Reaktionspunkte
- 9
Fizzer: KaZaA ruft zum Virenkampf
P2P-User sollen Anti-Virus-Software aktivieren
Sydney/Wien (pte, 16. Mai 2003 10:41) - Sharman Networks, Betreiber des P2P-Filesharing-Netzes KaZaA http://www.kazaa.com , ruft zum Kampf gegen Viren. Anlässlich der anhaltenden Verbreitung des Computerschädlings Fizzer http://www.pte.at/pte.mc?pte=030513041 werden alle KaZaA-User aufgerufen, den in der P2P-Software enthaltenen Virenschutz zu aktivieren. Der Fizzer-Wurm verbreitet sich nicht nur per E-Mail, sondern auch über IRC (Internet Relay Chat) und eben P2P-Netze. Letzteres dürfte für den besonderen "Erfolg" von Fizzer verantwortlich sein.
In der Rangliste der aktuell meistgefundenen Computerschädlinge des international tätigen Anti-Viren-Spezialisten Ikarus http://www.ikarus-software.at hat der neue Wurm den bereits lange bekannten "Klez.H" nach über einem Jahr unangefochtener Führung von der Tabellenspitze abgelöst. Obwohl Fizzer erst seit etwa einer Woche im Umlauf ist, führt er auch schon in der Statistik für die letzten drei Wochen. Thomas Mandl von Ikarus sagt dem aktuellen Wurm noch eine große Zukunft voraus. Gegenüber pressetext.austria sagte er: "Der Peak ist wohl noch nicht erreicht. Es ist zwar schwer vorherzusagen, aber ich vermute, dass die Zahlen noch hinaufgehen werden. Fizzer ist deshalb so erfolgreich, weil er sich insbesondere bei KaZaA-Usern verbreitet. Und dort sind sich leider viele User der Problematik nicht bewusst."
So mancher Anwender dürfte den im KaZaA-Client enthaltenen Virenscanner BullGuard Lite http://www.bullguard.com nicht aktiviert haben oder die Virendefinition nicht auf dem jeweils aktuellen Stand halten. Dadurch kann sich Fizzer durch heruntergeladene Dateien einschleichen, ohne dass der Computerbenutzer etwas davon bemerkt. Befallene PCs werden wiederum als Brückenkopf zur Weiterverbreitung per E-Mail, IRC und P2P missbraucht. Entsprechend rufen sowohl Sharman Networks als auch BullGuard dazu auf, den Scanner zu aktivieren und auch die Virendefinitionen, beispielsweise über das automatische Aktualisierungsfeature, up-to-date zu halten. Auch im Ad- und Spyware-freien KaZaA lite http://www.k-lite.tk ist der kostenlose BullGuard enthalten. (Ende)
PresseTextLink
____
NTBugTraq kritisiert unzuverlässige Windows-Update-Funktion
Windows-Update-Funktion bietet mitunter wichtige Sicherheitspatches nicht an
Laut der Windows-Fehlersuche-Community NTBugTraq hat sich Microsofts Windows-Update-Funktion zumindest in den letzten Tagen als wenig vertrauenswürdig gezeigt. Nutzer, die sie aufgerufen haben, erhielten nach erfolgter Überprüfung die Meldung, dass ihr Windows auf neuestem Stand sei, obwohl kritische Updates gar nicht installiert waren oder Fehler vorlagen; damit würden Windows-Anwender in trügerischer Sicherheit gewogen.
Bereits vor einem Jahr wurde auf NTBugTraq die ausschließliche Überprüfung der Registry durch die Windows-Update-Routine sowie viele weitere Probleme kritisiert. Bisher habe Microsoft auch nach mehreren Hinweisen nicht darauf reagiert, so dass Ross Cooper von NTBugTraq Microsoft nicht mehr als vertrauenswürdig einschätzt und entsprechend skeptisch in Bezug auf die "Trustworthy Computing"-Bemühungen des Redmonder Softwareriesen ist. Die Autoupdate-Funktion hätten gerade Unternehmen wegen mangelnden Vertrauens für Microsoft bzw. Windows XP deaktiviert.
Damit das Windows Update bei Fehlern und fehlenden Updates bzw. Patches nicht meldet, dass alles in Ordnung sei, seien folgende Dinge unabdingbar: 1. Das Systemdatum muss hinreichend akkurat sein, 2. die Internet-Explorer-Spracheinstellungen müssen gesetzt sein, könnten aber zwischendurch verschwinden. Selbst wenn dem nicht so sei, sollte man bei Problemen einfach eine zusätzliche weitere Sprache einstellen, was Probleme beheben könne. 3. Es dürfe kein Netzwerklaufwerk verbunden sein, das eine größere Kapazität besitze als die Festplatten im System, 4. bei einer Geräte-Neuinstallation müsse man darauf achten, dass man den IE nicht angewiesen hat, auf zurückgezogene Zertifikate zu überprüfen, 5. man sollte als Administrator von dem System aus prüfen, das auch aktualisiert werden soll, entweder müssten alle Systeme das gleiche OS einsetzen oder man müsste mehrere Systeme separat auf vorliegende Updates überprüfen. 6. man sollte im Windows-Update-Link HTTPS anstelle von HTTP nutzen, wenn Windows Update sagt, dass keine Patches vorliegen. Einige andere Möglichkeiten zur Problemlösung sei eine unbestimmte Wartezeit, man sollte es also in verschiedenen Abständen immer mal wieder versuchen, wenn wichtige Patches nicht angeboten werden. Erst als letzte Möglichkeit nennt Ross Cooper eine Kontaktaufnahme mit Microsoft, auch wenn er dieser nicht viel Erfolg zuspricht, da man ihm selber nie auf seine Hinweise und Fragen geantwortet habe.
GolemLink
_______
US-Behörden nehmen Spammer ins Visier
MÜNCHEN (COMPUTERWOCHE) - US-Behörden unter der Federführung der Federal Trade Commission (FTC) wollen künftig verstärkt gegen Spam und Internet-Betrügereien vorgehen. Unter dem Namen Netforce haben sich die FTC, die US-amerikanische Börsenaufsicht Security and Exchange Commission (SEC), sowie Postbehörden und verschiedene Anwälte aus mehreren US-Bundesstaaten zusammengeschlossen. 45 Klagen gegen Spammer und andere Anbieter unlauterer Offerten im World Wide Web (WWW) laufen bereits. So wurden beispielsweise in Texas mehrere Anbieter unseriöser Finanzdienstleistungen angeklagt. Sie hätten in Massenwerbe-Mails falsche Angaben zu Renditen gemacht. In New Jersey haben die Internet-Wächter das Unternehmen Alyon Technologies vor den Kadi gezerrt, weil die Firmenverantwortlichen über Dialer-Programme Internet-Nutzer ohne deren Wissen auf das eigene Netz umgeleitet und dabei oftmals unverhältnismäßig hohe Gebühren für Fernverbindungen kassiert hätten. Über tausend Anwender haben sich bereits über diese Praktiken beschwert, berichtet Mark Groman, Verbraucherschützer bei der FTC. Allerdings hielten sich die Internet-Schurken nicht an Landesgrenzen, warnt Greg Abott, Staatsanwalt aus Texas. Deshalb müsse man versuchen, auch außerhalb der USA zu wirken. So versuche Netforce mit dem Open Relay Projekt offene Netz-Server, über die Spammer ihre Massen-Mail in Umlauf bringen, abzusichern. Über 1000 dieser ungesicherten Systeme in 59 Ländern habe man bereits identifiziert und deren Betreiber aufgefordert, Sicherheitsmechanismen einzuführen. (ba)
ComputerWocheLink
_____
Mehr Sicherheit durch Open Source?
Auf dem BSI-Kongress in Bonn diskutierten heute Experten darüber, ob Open Source für mehr IT-Sicherheit sorge. Magnus Harlander von der Sicherheits-Firma GeNUA bezeichnete die Behauptung "Open Source ist unsicher" als "Unfug". Andererseits bedeute "Open-Source-Software", dass sie nicht nur "open for read", sondern auch "open for write" sei. Die Transparenz von Open-Source sei eine Option für mehr Sicherheit, aber keine Gewissheit.
Harlander wies darauf hin, dass es sichere Software nur durch "institutionalisierte Review-Prozesse" geben könne: Man müsse Software während der Produktion und des Roll-Out testen und dokumentieren. Ein kontrolliertes Change-Management sei ebenfalls nötig. Roman Drahtmüller von Linux-Distributor SuSe pflichtete Harlander darin bei, meinte jedoch: "Sie können 25 Leute eine Open-Source-Software prüfen lassen, doch auch sie können Fehler übersehen."
Harlander wies darauf hin, dass es auch bei Open-Source-Software Hintertüren gebe. So habe es Jahre gedauert, eine "gezielt platzierte Hintertür" in dem weltweit verbreiteten WU-FTP zu finden. Auch bei Open SSL wurden erst jetzt schwerwiegende Programmierfehler bei einer Prüfung gefunden. Open Source sei deshalb kein Garant dafür, dass es keine Hintertüren gebe. Kommerzielle Anbieter von proprietärer Software könnten schließlich ihren Kunden oder auch einer externen Instanz den Code für Prüfungsverfahren zur Verfügung stellen. Würden dann Hintertüren auffliegen, hätte dies "ernste Konsequenzen".
Drahtmüller erinnerte daran, dass die "Absicht" beim Erstellen von Hintertüren entscheidend sei: Wurden sie vom Hersteller selbst, von Programmierern oder von Eindringlinen eingebracht? So brachen etwa Cracker in ein offenbar nur unzureichend gesichertes Open-Source-Entwicklerportal ein und hinterließen Hintertüren bei Open SSL, Sendmail und einem FTP-Demon, die jedoch rasch entdeckt wurden.
"In den vergangenen drei Jahren wurden sämtliche Hintertüren binnen 18 Stunden mit Hilfe eines MD5-Prüfsummenvergleichs entdeckt", behauptete Roman Drahtmüller. Sein Unternehmen könne binnen zwei Minuten auf diese Weise sämtliche SuSe-Versionen prüfen. Ob die Software auf dem Distributionsweg verändert wurde, könnten Nutzer selbst feststellen: Sie könnten aus dem Sourcecode dieselben Binär-Pakete herstellen wie der Hersteller selbst. SuSe unterschreibe zudem jedes Paket kryptografisch. Auch die Programmierer würden inzwischen auch zunehmend ihre Werke kryptografisch signieren.
Der Distributor hat kürzlich seinen Suse Linux Enterprise Server zur Prüfung bei der BSI-Zertifizierungsstelle angemeldet. Damit wolle er eine Brücke schlagen zwischen der Behauptung "Wir wissen was drin ist" und der Tatsache "Wir haben es nicht geschrieben", sagte Drahtmüller. Zum Thema Haftung will sich Drahtmüller erst im Juli auf dem Linux-Tag in Karlsruhe äußern. (Christiane Schulzki-Haddouti) / (anw/c't)
HeiseLink
______
Routing-Tabellen unter Linux anfällig für Denial-of-Service-Attacken (Update)
Nutzt ein Angreifer die gefundene Schwachstelle aus, reichen 400 IP-Pakete pro Sekunde, um ein Linux-System zum Stillstand zu bringen. Eine bereits im Februar veröffentliche Studie zu Low-Bandwidth-Denial-of-Service-Attacken weist auf die Gefahr hin, mit wenig Bandbreite in kurzer Zeit Server zu crashen.
Der Fehler basiert auf der Behandlung neuer Routen und wie sie in den Routing-Cache einsortiert werden. Um schnell herauszufinden, über welche Schnittstelle ein Antwortpaket zu verschicken ist, führt der Kernel so genannte Hash-Tabellen. In diesen lassen sich einzelne Einträge über Schlüssel schnell nachschlagen. Das bringt aber nur dann etwas, wenn die Einträge einigermaßen gleich über alle Schlüssel verteilt sind. Erhält der Linux-Kernel nun Pakete mit speziell gefälschten Quelladressen, sortiert er (fast) alle Einträge unter einem Schlüssel ein (table collision). Dies führt nach Angaben von Red Hat zu einer hohen CPU-Last, bis hin zum Stillstand des Systems. Da unter Linux nicht nur Router mit solchen Hash-Tabellen arbeiten, sind auch Server oder Desktops mit Netzwerkverbindung betroffen. Bisher ist uns kein öffentlicher Exploit zu diesem Angriff bekannt. Sollte ein solcher auftauchen, besteht die Gefahr, dass Skript-Kiddies versuchen, in großem Stil Linux-Rechner lahmzulegen,
Frühere Distributed-Denial-of-Service-Attacken gegen Webportale brachten diese durch die extrem hohe Anzahl von Verbindungen zum Stillstand. 400 Pakete pro Sekunden lassen sich mit einer Modemverbindung leicht bewerkstelligen. Als Betroffener kann man sich gegen solche Angriffe eigentlich nur durch einen entsprechenden Kernel-Patch schützen.
Langfristig ist zu hoffen, dass die Provider etwas gegen Angriffe mit gefälschten IP-Quelladressen unternehmen. Sie können dazu auf ihrem Einwahl-Routern beziehungsweise an den Übergängen zu anderen Netzen Pakete verwerfen, die dort nichts zu suchen haben, weil sie zum Beispiel nicht aus ihrem Netz stammen. Das machen zwar bereits einzelne Provider, wirkliche Abhilfe schafft das aber erst, wenn es flächendeckend praktiziert wird.
Alle auf dem 2.4-Kernel basierenden Linux-Distributionen dürften von dem Bug betroffen sein. Red Hat stellt bereits einen Patch zur Behebung des Fehlers zur Verfügung. (dab/c't)
HeiseLink
P2P-User sollen Anti-Virus-Software aktivieren
Sydney/Wien (pte, 16. Mai 2003 10:41) - Sharman Networks, Betreiber des P2P-Filesharing-Netzes KaZaA http://www.kazaa.com , ruft zum Kampf gegen Viren. Anlässlich der anhaltenden Verbreitung des Computerschädlings Fizzer http://www.pte.at/pte.mc?pte=030513041 werden alle KaZaA-User aufgerufen, den in der P2P-Software enthaltenen Virenschutz zu aktivieren. Der Fizzer-Wurm verbreitet sich nicht nur per E-Mail, sondern auch über IRC (Internet Relay Chat) und eben P2P-Netze. Letzteres dürfte für den besonderen "Erfolg" von Fizzer verantwortlich sein.
In der Rangliste der aktuell meistgefundenen Computerschädlinge des international tätigen Anti-Viren-Spezialisten Ikarus http://www.ikarus-software.at hat der neue Wurm den bereits lange bekannten "Klez.H" nach über einem Jahr unangefochtener Führung von der Tabellenspitze abgelöst. Obwohl Fizzer erst seit etwa einer Woche im Umlauf ist, führt er auch schon in der Statistik für die letzten drei Wochen. Thomas Mandl von Ikarus sagt dem aktuellen Wurm noch eine große Zukunft voraus. Gegenüber pressetext.austria sagte er: "Der Peak ist wohl noch nicht erreicht. Es ist zwar schwer vorherzusagen, aber ich vermute, dass die Zahlen noch hinaufgehen werden. Fizzer ist deshalb so erfolgreich, weil er sich insbesondere bei KaZaA-Usern verbreitet. Und dort sind sich leider viele User der Problematik nicht bewusst."
So mancher Anwender dürfte den im KaZaA-Client enthaltenen Virenscanner BullGuard Lite http://www.bullguard.com nicht aktiviert haben oder die Virendefinition nicht auf dem jeweils aktuellen Stand halten. Dadurch kann sich Fizzer durch heruntergeladene Dateien einschleichen, ohne dass der Computerbenutzer etwas davon bemerkt. Befallene PCs werden wiederum als Brückenkopf zur Weiterverbreitung per E-Mail, IRC und P2P missbraucht. Entsprechend rufen sowohl Sharman Networks als auch BullGuard dazu auf, den Scanner zu aktivieren und auch die Virendefinitionen, beispielsweise über das automatische Aktualisierungsfeature, up-to-date zu halten. Auch im Ad- und Spyware-freien KaZaA lite http://www.k-lite.tk ist der kostenlose BullGuard enthalten. (Ende)
PresseTextLink
____
NTBugTraq kritisiert unzuverlässige Windows-Update-Funktion
Windows-Update-Funktion bietet mitunter wichtige Sicherheitspatches nicht an
Laut der Windows-Fehlersuche-Community NTBugTraq hat sich Microsofts Windows-Update-Funktion zumindest in den letzten Tagen als wenig vertrauenswürdig gezeigt. Nutzer, die sie aufgerufen haben, erhielten nach erfolgter Überprüfung die Meldung, dass ihr Windows auf neuestem Stand sei, obwohl kritische Updates gar nicht installiert waren oder Fehler vorlagen; damit würden Windows-Anwender in trügerischer Sicherheit gewogen.
Bereits vor einem Jahr wurde auf NTBugTraq die ausschließliche Überprüfung der Registry durch die Windows-Update-Routine sowie viele weitere Probleme kritisiert. Bisher habe Microsoft auch nach mehreren Hinweisen nicht darauf reagiert, so dass Ross Cooper von NTBugTraq Microsoft nicht mehr als vertrauenswürdig einschätzt und entsprechend skeptisch in Bezug auf die "Trustworthy Computing"-Bemühungen des Redmonder Softwareriesen ist. Die Autoupdate-Funktion hätten gerade Unternehmen wegen mangelnden Vertrauens für Microsoft bzw. Windows XP deaktiviert.
Damit das Windows Update bei Fehlern und fehlenden Updates bzw. Patches nicht meldet, dass alles in Ordnung sei, seien folgende Dinge unabdingbar: 1. Das Systemdatum muss hinreichend akkurat sein, 2. die Internet-Explorer-Spracheinstellungen müssen gesetzt sein, könnten aber zwischendurch verschwinden. Selbst wenn dem nicht so sei, sollte man bei Problemen einfach eine zusätzliche weitere Sprache einstellen, was Probleme beheben könne. 3. Es dürfe kein Netzwerklaufwerk verbunden sein, das eine größere Kapazität besitze als die Festplatten im System, 4. bei einer Geräte-Neuinstallation müsse man darauf achten, dass man den IE nicht angewiesen hat, auf zurückgezogene Zertifikate zu überprüfen, 5. man sollte als Administrator von dem System aus prüfen, das auch aktualisiert werden soll, entweder müssten alle Systeme das gleiche OS einsetzen oder man müsste mehrere Systeme separat auf vorliegende Updates überprüfen. 6. man sollte im Windows-Update-Link HTTPS anstelle von HTTP nutzen, wenn Windows Update sagt, dass keine Patches vorliegen. Einige andere Möglichkeiten zur Problemlösung sei eine unbestimmte Wartezeit, man sollte es also in verschiedenen Abständen immer mal wieder versuchen, wenn wichtige Patches nicht angeboten werden. Erst als letzte Möglichkeit nennt Ross Cooper eine Kontaktaufnahme mit Microsoft, auch wenn er dieser nicht viel Erfolg zuspricht, da man ihm selber nie auf seine Hinweise und Fragen geantwortet habe.
GolemLink
_______
US-Behörden nehmen Spammer ins Visier
MÜNCHEN (COMPUTERWOCHE) - US-Behörden unter der Federführung der Federal Trade Commission (FTC) wollen künftig verstärkt gegen Spam und Internet-Betrügereien vorgehen. Unter dem Namen Netforce haben sich die FTC, die US-amerikanische Börsenaufsicht Security and Exchange Commission (SEC), sowie Postbehörden und verschiedene Anwälte aus mehreren US-Bundesstaaten zusammengeschlossen. 45 Klagen gegen Spammer und andere Anbieter unlauterer Offerten im World Wide Web (WWW) laufen bereits. So wurden beispielsweise in Texas mehrere Anbieter unseriöser Finanzdienstleistungen angeklagt. Sie hätten in Massenwerbe-Mails falsche Angaben zu Renditen gemacht. In New Jersey haben die Internet-Wächter das Unternehmen Alyon Technologies vor den Kadi gezerrt, weil die Firmenverantwortlichen über Dialer-Programme Internet-Nutzer ohne deren Wissen auf das eigene Netz umgeleitet und dabei oftmals unverhältnismäßig hohe Gebühren für Fernverbindungen kassiert hätten. Über tausend Anwender haben sich bereits über diese Praktiken beschwert, berichtet Mark Groman, Verbraucherschützer bei der FTC. Allerdings hielten sich die Internet-Schurken nicht an Landesgrenzen, warnt Greg Abott, Staatsanwalt aus Texas. Deshalb müsse man versuchen, auch außerhalb der USA zu wirken. So versuche Netforce mit dem Open Relay Projekt offene Netz-Server, über die Spammer ihre Massen-Mail in Umlauf bringen, abzusichern. Über 1000 dieser ungesicherten Systeme in 59 Ländern habe man bereits identifiziert und deren Betreiber aufgefordert, Sicherheitsmechanismen einzuführen. (ba)
ComputerWocheLink
_____
Mehr Sicherheit durch Open Source?
Auf dem BSI-Kongress in Bonn diskutierten heute Experten darüber, ob Open Source für mehr IT-Sicherheit sorge. Magnus Harlander von der Sicherheits-Firma GeNUA bezeichnete die Behauptung "Open Source ist unsicher" als "Unfug". Andererseits bedeute "Open-Source-Software", dass sie nicht nur "open for read", sondern auch "open for write" sei. Die Transparenz von Open-Source sei eine Option für mehr Sicherheit, aber keine Gewissheit.
Harlander wies darauf hin, dass es sichere Software nur durch "institutionalisierte Review-Prozesse" geben könne: Man müsse Software während der Produktion und des Roll-Out testen und dokumentieren. Ein kontrolliertes Change-Management sei ebenfalls nötig. Roman Drahtmüller von Linux-Distributor SuSe pflichtete Harlander darin bei, meinte jedoch: "Sie können 25 Leute eine Open-Source-Software prüfen lassen, doch auch sie können Fehler übersehen."
Harlander wies darauf hin, dass es auch bei Open-Source-Software Hintertüren gebe. So habe es Jahre gedauert, eine "gezielt platzierte Hintertür" in dem weltweit verbreiteten WU-FTP zu finden. Auch bei Open SSL wurden erst jetzt schwerwiegende Programmierfehler bei einer Prüfung gefunden. Open Source sei deshalb kein Garant dafür, dass es keine Hintertüren gebe. Kommerzielle Anbieter von proprietärer Software könnten schließlich ihren Kunden oder auch einer externen Instanz den Code für Prüfungsverfahren zur Verfügung stellen. Würden dann Hintertüren auffliegen, hätte dies "ernste Konsequenzen".
Drahtmüller erinnerte daran, dass die "Absicht" beim Erstellen von Hintertüren entscheidend sei: Wurden sie vom Hersteller selbst, von Programmierern oder von Eindringlinen eingebracht? So brachen etwa Cracker in ein offenbar nur unzureichend gesichertes Open-Source-Entwicklerportal ein und hinterließen Hintertüren bei Open SSL, Sendmail und einem FTP-Demon, die jedoch rasch entdeckt wurden.
"In den vergangenen drei Jahren wurden sämtliche Hintertüren binnen 18 Stunden mit Hilfe eines MD5-Prüfsummenvergleichs entdeckt", behauptete Roman Drahtmüller. Sein Unternehmen könne binnen zwei Minuten auf diese Weise sämtliche SuSe-Versionen prüfen. Ob die Software auf dem Distributionsweg verändert wurde, könnten Nutzer selbst feststellen: Sie könnten aus dem Sourcecode dieselben Binär-Pakete herstellen wie der Hersteller selbst. SuSe unterschreibe zudem jedes Paket kryptografisch. Auch die Programmierer würden inzwischen auch zunehmend ihre Werke kryptografisch signieren.
Der Distributor hat kürzlich seinen Suse Linux Enterprise Server zur Prüfung bei der BSI-Zertifizierungsstelle angemeldet. Damit wolle er eine Brücke schlagen zwischen der Behauptung "Wir wissen was drin ist" und der Tatsache "Wir haben es nicht geschrieben", sagte Drahtmüller. Zum Thema Haftung will sich Drahtmüller erst im Juli auf dem Linux-Tag in Karlsruhe äußern. (Christiane Schulzki-Haddouti) / (anw/c't)
HeiseLink
______
Routing-Tabellen unter Linux anfällig für Denial-of-Service-Attacken (Update)
Nutzt ein Angreifer die gefundene Schwachstelle aus, reichen 400 IP-Pakete pro Sekunde, um ein Linux-System zum Stillstand zu bringen. Eine bereits im Februar veröffentliche Studie zu Low-Bandwidth-Denial-of-Service-Attacken weist auf die Gefahr hin, mit wenig Bandbreite in kurzer Zeit Server zu crashen.
Der Fehler basiert auf der Behandlung neuer Routen und wie sie in den Routing-Cache einsortiert werden. Um schnell herauszufinden, über welche Schnittstelle ein Antwortpaket zu verschicken ist, führt der Kernel so genannte Hash-Tabellen. In diesen lassen sich einzelne Einträge über Schlüssel schnell nachschlagen. Das bringt aber nur dann etwas, wenn die Einträge einigermaßen gleich über alle Schlüssel verteilt sind. Erhält der Linux-Kernel nun Pakete mit speziell gefälschten Quelladressen, sortiert er (fast) alle Einträge unter einem Schlüssel ein (table collision). Dies führt nach Angaben von Red Hat zu einer hohen CPU-Last, bis hin zum Stillstand des Systems. Da unter Linux nicht nur Router mit solchen Hash-Tabellen arbeiten, sind auch Server oder Desktops mit Netzwerkverbindung betroffen. Bisher ist uns kein öffentlicher Exploit zu diesem Angriff bekannt. Sollte ein solcher auftauchen, besteht die Gefahr, dass Skript-Kiddies versuchen, in großem Stil Linux-Rechner lahmzulegen,
Frühere Distributed-Denial-of-Service-Attacken gegen Webportale brachten diese durch die extrem hohe Anzahl von Verbindungen zum Stillstand. 400 Pakete pro Sekunden lassen sich mit einer Modemverbindung leicht bewerkstelligen. Als Betroffener kann man sich gegen solche Angriffe eigentlich nur durch einen entsprechenden Kernel-Patch schützen.
Langfristig ist zu hoffen, dass die Provider etwas gegen Angriffe mit gefälschten IP-Quelladressen unternehmen. Sie können dazu auf ihrem Einwahl-Routern beziehungsweise an den Übergängen zu anderen Netzen Pakete verwerfen, die dort nichts zu suchen haben, weil sie zum Beispiel nicht aus ihrem Netz stammen. Das machen zwar bereits einzelne Provider, wirkliche Abhilfe schafft das aber erst, wenn es flächendeckend praktiziert wird.
Alle auf dem 2.4-Kernel basierenden Linux-Distributionen dürften von dem Bug betroffen sein. Red Hat stellt bereits einen Patch zur Behebung des Fehlers zur Verfügung. (dab/c't)
HeiseLink