Mitternachtshacking

Liest zufällig jemand die ComputerZeitung? Mir ist beim Aufräumen meines Schreibtisches zufällig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.

Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer ähnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich überlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere Lösung darstellen können.

Meine Datenbasis:

1. Die Secunia-Statistik zum VMware ESX Server 3.0

• 08.01.2008, highly critical, VMware ESX Server Multiple Security Updates, CVE-2007-4572, CVE-2007-5116, CVE-2007-5135, CVE-2007-5191, CVE-2007-5360, CVE-2007-5398
• 08.01.2008, highly critical, VMware ESX Server and VirtualCenter Multiple Security Updates, CVE-2005-2090, CVE-2006-7195, CVE-2007-0450, CVE-2007-2788
• 20.09.2007, highly critical, VMware ESX Server Multiple Security Updates, CVE-2004-0813, CVE-2006-1174, CVE-2006-3619, CVE-2006-4146, CVE-2006-4600, CVE-2007-0494, CVE-2007-1716, CVE-2007-1856, CVE-2007-2442, CVE-2007-2443, CVE-2007-2446, CVE-2007-2447, CVE-2007-2798
• 20.09.2007, moderately critical, VMWare Products Multiple Vulnerabilities, CVE-2007-0061, CVE-2007-0062, CVE-2007-0063, CVE-2007-4496, CVE-2007-4497, CVE-2007-5023, CVE-2007-5024, CVE-2007-5025, CVE-2007-5617, CVE-2007-5618, CVE-2007-5619
• 01.05.2007, moderately critical, VMware Products Multiple Vulnerabilities, CVE-2007-1069, CVE-2007-1337, CVE-2007-1744, CVE-2007-1876, CVE-2007-1877
• 05.04.2007, moderately critical, VMware ESX Server Multiple Vulnerabilities, CVE-2003-0107, CVE-2005-1704, CVE-2005-1849, CVE-2005-2096, CVE-2005-3011, CVE-2006-4810, CVE-2007-1270, CVE-2007-1271
• 30.03.2007, moderately critical, VMware ESX Server Multiple Security Updates, CVE-2006-3739, CVE-2006-3740, CVE-2006-4334, CVE-2006-4338, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-6097
• 09.01.2007, highly critical, VMWare ESX Server Multiple Vulnerabilities, CVE-2003-0386, CVE-2004-2069, CVE-2006-0225, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4339, CVE-2006-4343, CVE-2006-4924, CVE-2006-4980, CVE-2006-5051, CVE-2006-5794

Vielleicht bin ja nur ich paranoid, aber für meinen persönlichen Geschmack sind das ein paar CVEs zuviel für ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gefühl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.

2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall benötigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):

„Nachteilig wirkt sich die notwendige Komplexitätssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten möglich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“

Anders ausgedrückt, diverse früher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefaßt und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, für „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.

Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. Für den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Gerät unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole Lösung und ich bin nur zu blöd, das zu sehen?
Nachtrag: 

Und wenn ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet weiß, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim nächsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu blöd …

Hihi, entgegen der eigenen Policy hat Microsoft sich geweigert, den Entdecker der MS08-011 Lücke im Advisory namentlich zu erwähnen.

Zum Hintergrund, für IT-Security-Forscher ist es recht interessant, in solchen Advisories erwähnt zu werden, da dadurch die eigene Bekanntheit und so der Marktwert steigt. Allerdings beschränkt Microsoft die Nennung auf Forscher, die sich dem „Responsible Disclosure“ Programm von Microsoft angeschlossen haben. Daran halten sich jedoch nicht alle Unternehmen, da Microsoft sich dann gerne mal mehrere Monate Zeit lässt, eine kritische Lücke zu schließen.

Jedenfalls hat sich der Entdecker von MS08-011 an alle Prozeduren gehalten und via iDefense die Lücke an Microsoft berichtet (via iDefense weil dann kriegt man noch etwas Geld dafür). Und die Antwort:

„Unfortunately, Microsoft has refused to credit you using the name you requested.“

Tja, wenn man sich auch chujwamwdupe nennt 🙂

Ich sag ja … responsible disclosure lohnt sich nicht. Einfach den Exploit veröffentlichen und gut ist. HD Moore ist so auch bekannt geworden.

Jetzt ist Microsoft von den letzten guten Geistern verlassen worden, wenn die Meldungen auf diversen News-Portalen stimmen:

Forscher bei Microsoft hoffen, mittels „freundlicher“ Würmer Patches und Updates schneller an die Windows-Nutzer zu verteilen.

Die Antwort auf solche Ideen kann nur lauten: Ja spinnt ihr Idioten bei Microsoft denn jetzt komplett? Klar, auf den ersten Blick erscheint die Idee super … die Würmer erkennen automatisch Sicherheitslücken, dringen in den Rechner ein und schließen dann diese Lücke. Der Rechner ist damit sicher und vor weiteren Wurminfektionen geschützt. Auf den zweiten Blick ist das jedoch eine ganz dumme Idee:

1. Wie soll der Wurm erkennen, warum der Rechner die Lücke noch enthält? Vielleicht hat der Administrator bewusst darauf verzichtet, ein Update zu installieren, weil sonst wichtige geschäftskritische Software nicht mehr funktioniert. Das kommt bei Microsoft Updates bekanntlich öfter vor.
2. Was ist, wenn das Update ein Reboot erfordert. Bei Rechnern die Produktionsanlagen steuern darf man nicht einfach neu starten. Das kann von einfachen Produktionsausfällen zu richtig teuren Schäden führen, wenn die Verfügbarkeit nicht erhalten bleibt.
3. Gerade in Produktionsanlagen darf man Updates nicht einfach so installieren. Oft ist eine Freigabe des Herstellers der Produktionsanlagensteuerung notwendig. Ich kenne beispielsweise einen Hersteller, der schriftlich mit drei Unterschriften wichtiger Direktoren bestätigt hat, dass keinerlei ungenehmigte Updates einzuspielen sind, da ansonsten sämtliche Wartungsverträge nichtig wären.
4. Wenn ich solche Änderungen nicht möchte, steht dann lapidar in der EULA, dass Microsoft mir das aufspielen darf? Selbst wenn, spätestens wenn irgendwas dann nicht mehr funktioniert ist das rechtlich garantiert ein Verstoß gegen § 303b StGB (Datensabotage) und würde bei meinen wichtigen Rechnern mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Ich würde mich auch sofort einer Sammelklage in den USA anschließen.
5. Von Folgeschäden, wenn Hacker den Wurm kapern oder unerwünschtem zusätzlichen Netzwerkverkehr will ich gar nicht reden.

Kurz und gut, die Idee ist so wahnsinnig dumm, idiotisch, blöd und hirnrissig (mir fallen leider keine weiteren Superlative mehr ein), dass der verantwortliche Manager ausgepeitscht, gevierteilt, erhängt und ersäuft gehört.

Ich frage mich eigentlich nur, wie kommt ein (hoffentlich) vernünftig denkender Wissenschaftler auf so eine schwachsinnige Idee? Sind die Jungs in der Forschungsabteilung soweit in ihrem Elfenbeinturm vergraben, dass sie nicht mehr mitkriegen, was draußen in der Welt so passiert? Oder ist Microsoft inzwischen so arrogant geworden, dass sie am besten wissen was gut für die Kunden ist und notfalls per Wurm zwangsweise Updates (z.B. den Genuine Advantage Notification Spam) aufs Auge drücken wollen? Oder haben sie den Ärger unerwünschter Änderungen nicht mitbekommen?

Ich sehe schon, der Umstieg auf Linux wird langsam unvermeidbar.

(via hier, hier und hier und die Kritiker formieren sich hier).

Nachtrag:

Sehr lesenswert ist in diesem Zusammenhang der Artikel „Are Good Viruses Still a Bad Idea?“ von Vesselin Bontchev, der alle wichtigen Kritikpunkte anschaulich zusammenfasst.

Manchmal kommen Administratoren auf lustige Ideen. Das fällt oft jahrelang nicht auf aber wenn irgendwann mal jemand mit Ahnung sich die Sache ankuckt, dann kann man gelegentlich nur noch den Kopf schütteln.

In einem Unternehmen kann von jedem Rechner aus ohne Proxy direkt im Internet gesurft werden. Auf der Firewall befindet sich ein Virenscanner der die heruntergeladenen Dateien prüft und Schadprogramme herausfiltert. Ein URL-Blocker oder so wird nicht eingesetzt. So weit so gut. (Nein, ich will jetzt keine Diskussion anzetteln, ob ein URL-Blocker notwendig und zweckführend ist.) Allerdings soll nicht jeder Mitarbeiter Internet-Zugang bekommen. Was tun?

Die Lösung, auf die die Administratoren gekommen sind, ist eigentlich extrem clever. Aber nur eigentlich. Per Windows Gruppenrichtlinie erhalten Benutzer einer speziellen Gruppe einen falschen Proxy in den Internet Explorer eingetragen und die Berechtigung entzogen, den Proxy zu ändern. Bei Versuchen ins Internet zu kommen gibt es dann jedesmal einen Timeout, weil der Proxy nicht existiert und daher auch nicht antworten kann.

Leider funktionierte dieses Sicherheitsmodell nur, bis ich meinen USB-Stick mit Firefox Portable herausholte, in den Rechner steckte und mittels Alternativbrowser gemütlich im Internet surfen konnte. (Alternativ kann man auch den PrivacyDongle von Foebud kaufen).

Jetzt wird über die Anschaffung eines ISA-Servers nachgedacht.

Ich hab’s nicht früher gesehen und eigentlich ist die Antwort von Fyodor auf den 24C3-Vortrag von Fabs schon einen Monat alt, trotzdem muss das noch hier ins Blog rein.

Fyodor beschwert sich (meines Erachtens zurecht) ein wenig über das Nmap-Bashing und kritisiert die Methodik von Fabs. Im Detail hält er Portbunny für zu aggressiv wenn innerhalb von 15 Sekunden ein kompletter Rechner gescannt wird (das sind 4369 SYN-Pakete in einer Sekunde und nach meiner Erfahrung schießt man damit einige Systeme wie z.B. SPS recht schnell aus dem Netz). Außerdem vermisst er wichtige Angaben, z.B. mit welchen Parametern Nmap aufgerufen wurde (ich vermute ja die Standardoptionen) und welche Nmap-Version verwendet wurde (vermutlich die aktuelle). Ein anderes Problem ist die Korrektheit der Scanergebnisse. Nmap verwendet einige Gedanken darauf, möglicherweise verlorene Pakete neu zu senden. Das vermisst Fyodor bei Portbunny.

Was mir am meisten Kopfschmerzen bei einem Scanner wie Portbunny bereitet ist jedoch, den Scanner komplett im Kernel laufen zu lassen. Fyodor spricht von „bloated Kernel“, ich persönlich mache mir mehr sorgen um die Stabilität. Einen Prozess kann ich einfach abschießen, kill -9 und Ruhe ist.

Interessant ist, dass es kaum neutrale Statistiken und Auswertungen zur Qualität von Portscannern gibt. Das einzige, das ich gefunden habe und das auch Fyodor erwähnt ist die Analyse von Computerdefense. Hier werden Nmap, Unicornscan und Portbunny gegenübergestellt und Nmap schneidet in allen Kategorien eigentlich überzeugend gut ab. Seine Zusammenfassung bestätigt die nackten Zahlen.

Ach ja, etwas das Portbunny besser macht als Nmap hat Fyodor dann doch noch gefunden: für Portbunny kann man bereits T-Shirts kaufen.

Nachtrag:

Hier ist noch ein Test, da hat Nmap auch mal verloren.

Falls ihr hier zufällig The Register lest, dann kennt ihr den Artikel über die Laptop-Auktion schon. Falls nicht, hier der Text:

„DIFFERENT WAYS YOU CAN STEAL THIS LAPTOP OFF ME:

PAYPAL: Paypal is currently ebays preferred method of stealing high value electrical items off sellers. There are a number of various ways you can use to steal this laptop using paypal.

1: A Fake “Item Not Received” (I.N.R) Claim – All you simply have to do here is purchase my item using an unverified paypal account. Then when you receive the laptop, simply claim that you didn’t receive it at your registered (credit card) and paypal will give you all your money back !

2: A Fake “Item Significantly Not As Described” (S.N.A.D) This is a great way to steal items off sellers. Simply start a dispute after you get the laptop making up some lie about the item being damaged etc – You could use Photoshop to make up fake pictures of damage. Paypal will ask you to send the item back to me, but don’t bother – they never enforce that on buyers and after a short wait you will get all your money back and you will still have the laptop.

3: A fake “Unauthorised Use” Claim – This is a super way of stealing items on ebay and is widely used. Simply claim that someone hijacked your account (paypal & ebay) and that you didn’t order the laptop. Then in conjunction with a fake I.N.R claim you can simply steal the laptop and of course, get your money back.

4: A Stolen Credit card – Of course, ebay make no real attempt to vet any of its buyers, so hey, just register a new ebay account using fake ID information and link it to a paypal account set up with a stolen credit card – and hey presto – A free laptop.

WESTERN UNION

Although officially banned on ebay, fake western union payments are the preferred way for Nigerian Scammers to steal high value electrical items. Simply email me (using pigeon English) telling me that you would like to buy this item using Western Union – Tell me that you would be happy to pay over the odds for the laptop and that it is a present for your mother in law. Then send me a fake western union payment notification and I send you the laptop – Perfect. This method of stealing items off sellers is very widely used on ebay and of course, as ebay do not properly verify buyers its easy to do. Make sure you use Pigeon English as I am really really stupid and it’s bound to fool me.

MUGGING

If you are a traditionalist like me you may prefer a good old mugging. Simply offer to meet me on some dodgy housing estate somewhere and have a load of you mates hiding behind a hedge with a few iron bars. Again, offer to pay me over the odds as there is nothing better than using a sellers greed to bait them into a scam. I would be grateful if you could avoid killing me as this will cause bad publicity for ebay which would be terrible.

GENUINE BUYERS

In the unlikely event that you are actually a genuine buyer then you really should be shopping in a real shop and not this scammers paradise. However this laptop does really exist and is really for sale. You can email me or skype me with suggestions on how we may actually transact this item to both our satisfaction – with both our safety in mind. Don’t even think of buying it using paypal. I’ve only listed it as accepted because ebay run a protection racket that means I have to accept it. If you do pay by paypal I will simply refund your payment and give you a nice new shiny NEG.

FEEDBACK BLACKMAIL

Of course you will no doubt be aware that from May onwards you will be able to blackmail sellers into giving you free P&P / discounts etc. You will be able to give them neg feedback and they will not be able to give you any.. I regret to advise you that because this rule does not come in until May this option of scamming me is not open to you yet.

AUCTION WRECKING

I would grateful if some sad failed traffic warden could report this auction for two reasons

1: Ebay will see this listing and will hopefully close my account, saving me a 180 days wait to do it myself.

2: You will save me listing fees, making this a free advert.

Happy Bidding!

Dem ist meines Erachtens nichts mehr hinzuzufügen.

Die Webseite des indischen SmartCOP Antiviren-Herstellers AVsoft Technologies wurde kompromittiert um Schadprogramme zu verteilen. Sehr schön. Ich warte ja immer noch auf kompromittierte Microsoft-Updates.

(via The Register und Full-Disclosure)

Das Anmelden hier und da und dort auf diversen Portalen im Internet ist manchmal eine mühsame Angelegenheit. Da gibt es die einen, z.B. Hotmail, Yahoo Mail aber auch diverse Kommentarfunktionen von Blogs, die mit Captchas arbeiten. Captcha ist die Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“, auf Deutsch etwa „Vollautomatischer, öffentlicher Turingtest um Computer und Menschen unterscheiden zu können“. Ein Turingtest ist wiederum ein Test der der von Alan Turing aufgeworfenen Frage nachgeht, ob Computer intelligent sein können. Vereinfacht unterhält sich dabei ein Mensch mit einem Computer und wenn die Maschine nicht als Maschine identifiziert werden kann, dann ist der Computer intelligent genug. Die Idee eines Captchas ist also, anhand irgendeines Rätsels automatisiert unterscheiden zu können, ob sich am anderen Ende eines Webinterfaces tatsächlich ein Mensch oder eine Programmroutine befindet. In der Praxis ist der Turingtest eigentlich nicht aussagekräftig aber egal.[*] Und Alan Turing kennen wir, denn das war der geniale Mathematiker, der viele Grundlagen der Computertechnik geschaffen sowie im 2. Weltkrieg die deutsche Enigma geknackt hat.

Zurück zu den Captchas. Hotmail, Yahoo Mail und Co. erlauben es echten Menschen, sich dort anzumelden und eine beliebige Mailadresse zu generieren. Außerdem werden solche Mails von vielen Mailservern angenommen und nicht pauschal verworfen, da sehr viele Leute solche Adressen haben. Für Spammer ist das sehr sehr interessant. Über so große Mailer kann man in kurzer Zeit eine Vielzahl von Spam verschicken wenn man einen Mailaccount hat. Der wird zwar relativ schnell wieder geschlossen, aber dann macht man eben den nächsten auf. Nur dumm, dass die Captchas das verhindern sollen.

Dafür werden die Spammer immer kreativer. Es gib inzwischen eine Vielzahl von Programmen, die Captchas automatisch mittels OCR und diversen Algorithmen erkennen können. Die Seite PWNtcha gibt einen guten Überblick des aktuellen Stands. Die meisten auch für Menschen relativ leicht lesbaren Captchas sind längst berechenbar und die, die nicht berechenbar sind, kriegen die meisten Menschen auch nicht auf die Reihe. Von Barrierefreiheit will ich gar nicht erst reden.

The Register berichtet zur Zeit von einem Trojaner, der sich auf Windows-Systemen einnistet und versucht, einen Windows Live Account anzulegen. Das Captcha wird an einen von den Spammern kontrollierten Server geschickt, dort berechnet und der nötige Eingabetext zurückgeschickt. So werden die Live Accounts unauffällig von vielen verschiedenen IP-Adressen angelegt. Klug ist auch, den Algorithmus zum Captcha-Dekodieren nicht in den Trojaner einzubauen, die Captchas könnten sonst zu leicht angepasst werden.

Eine andere Variante ist bei Golem zu finden. Dort haben die Spammer ein Strip-Programm geschrieben, das die Captchas lädt, den gierig lechzenden Spanner an der Tastatur das Captcha dekodieren lässt und anschließend damit einen Spamaccount erzeugt. Sehr cool, so etwas.

Alles in allem bieten Captchas daher längst nicht mehr den benötigten Schutz und nerven statt dessen immer mehr die Anwender, die Captchas oft erst nach dem dritten oder vierten Versuch richtig entziffern können.

Über den Unsinn von Rechenaufgaben schreibe ich nicht schon wieder.

[*] In der Praxis fallen Menschen sogar auf die dümmsten automatisierten Programme wie Eliza herein. Ich erinnere mich dunkel an ein automatisches Chatprogramm, dass Leute sogar dazu gebracht hat, persönliche Daten bis hin zu Kreditkartennummern und Kontodaten herauszurücken. Es gibt zwar keinen Computer der intelligenter als alle Menschen sind, aber es gibt immer einen Menschen der noch dümmer als ein Computer ist.

Ich geh jetzt Blade Runner kucken, da kommt auch so eine Art Turingtest zur Identifizierung der Replikanten vor 🙂

Wo Rauch ist, ist auch Feuer, heißt es im Volksmund. Manchmal dient viel Rauch aber möglicherweise auch dazu, vom eigentlichen Feuer abzulenken. Bei den zerstörten Seekabel im Nahen Osten wäre das zumindest theoretisch denkbar.

Inzwischen sind anscheinend schon sechs Kabel beschädigt:

• Das SeaMeWe-4 South East Asia-Middle East-Western Europe-4 nahe Penang Malaysia
• Das FLAG Europe-Asia bei Alexandria
• Das FLAG ab der Küste von Dubai
• Das FALCON bei Bandar Abbas Iran
• Das SeaMeWe-4 ebenfalls Alexandria
• Das Kabel zwischen Qatar und United Arab Emirates von Qtel

Die Ägyptische Regierung hat zumindest in einem Fall behauptet, das könnte nicht durch ein Schiff passiert sein, in einem anderen Fall wurde ein tonnenschwerer Anker geborgen, der direkt auf dem Kabel lag und es durchtrennt hat. Nur, wie leicht und oft verliert ein Schiff so einen Anker?

Nehmen wir einmal an, ich wäre daran interessiert, den kompletten Datenverkehr abzuhören, der über diese Kabel übertragen wird. Und nehmen wir einmal an, ich würde auch über geeignete Technologien (wie z.B. ein U-Boot) verfügen, um an die Kabel heranzukommen. Dann wäre es doch sicher interessant, in so ein Glasfaserkabel eine Abhöreinrichtung einzubauen.

Leider werden solche wichtigen Datenleitungen gut überwacht. Das Auftrennen einer solchen Faser mit Einbringen eines Spleiß und anschließendem wieder Verkleben führt naturgemäß zu einer Unterbrechung die sofort vom Betreiber bemerkt wird. Mit verschiedenen Techniken kann man die Entfernung zum Kabelbruch bestimmen und weiß, wo man nachsehen muss.

Was aber, wenn das Kabel sowieso schon defekt ist und man auch weiß, wo die defekte Stelle ist? Niemand überwacht dann noch das Kabel. Nichts einfacher also, als an einer Stelle das Unterseekabel bewusst mit einem Anker den man „zufällig“ verliert zu zerstören und dann an einer ganz anderen Stelle mit einem U-Boot geschickt die Abhöreinrichtungen einzubringen. Das wäre nichts neues, die Engländer haben vergleichbares bereits im 1. Weltkrieg gebracht. Die USA verfügen mit der Jimmy Carter, einem Spezial-U-Boot, sogar über die benötigten Schiffe, eine Trockenkammer auf dem Meeresgrund abzusetzen um an einem Unterseekabel zu arbeiten.

Wenn die USA also demnächst mit ganz neuen Erkenntnissen über den Iran oder  Saudi Arabien oder Bin Laden auftrumpfen und sich niemand erklären kann, wie sie an diese Informationen gekommen sind … dann denkt an diesen Artikel 🙂

Quellen und Ideen:

• Schall und Rauch: Weitere Kabel wurden durchtrennt
• The Galloping Beaver: Where is the USS Jimmy Carter?
• ABC News: Ships did not cut Internet cables: Egypt
• ZDNet: Spy agency taps into undersea cable

Bildnachweis: Wikipedia

Nachtrag:

Ich vergaß zu erwähnen: Bielefeld gibt es nicht.

Von der Ersten Allgemeinen Verunsicherung gibt es das schöne Lied „Banküberfall“ (köstlich: die englische Fassung mit Ba-Ba-Bankrobbery) mit der ach so treffenden Zeile:

Das Böse ist immer und überall!

Inzwischen trifft es vermehrt seriöse Webseiten, die von irgendeiner dritten Seite Inhalte, beispielsweise Werbebanner einblenden. Eigentlich ist das Thema nicht neu, die erste große Runde machte das Problem 2004 durch die Firma Falk eSolutions. Inzwischen werden gezielt bösartige Werbebanner eingeblendet. Entweder, um nur Nagware auf die Rechner der Nutzer zu bringen wie Heise berichtet oder, was eher wahrscheinlich ist, um die aktuellen Sicherheitslücken in diversen Webbrowsern, in Quicktime oder Java auszunutzen und Schadprogramme direkt auf dem Rechner zu installieren. Selbst Microsoft Expedia war davon betroffen.

Interessant ist die Reaktion der diversen Computerzeitungen. Mit konkreten Hilfestellungen hält sich beispielsweise Heise sehr sehr vornehm zurück. Die britische The Register empfiehlt den Lesern immerhin, Firefox zusammen mit NoScript einzusetzen. Der Grund ist klar. Idealen Schutz bringt erst die Kombination aus Firefox, NoScript und Adblock/Adblock Plus, am besten noch kombiniert mit einer restriktiven Hosts-Datei. Werbebanner die gar nicht erst geladen werden, können nämlich keinen Schaden anrichten und außerdem lädt die Seite deutlich schneller, wenn nicht von diversen anderen Servern irgendwas dazugeladen werden muss. Das Problem dabei, solche Hinweise würden das werbefinanzierte Geschäftsmodell vieler Webseiten zerstören.

Ich persönlich halte solche Drive-by-Schadprogramme für viel gefährlicher als Sicherheitslücken im Internet Explorer oder Klickbetrug bei Google-Ads. Wenn erstmal dem normale Internetsurfer bewusst wird, welche Gefahr durch Werbebanner auf eigentlich harmlosen und seriösen Seiten entstehen kann, dann ist das Geschäftsmodell „werbefinanzierte Webseite“ tot. Und das wäre meines Erachtens schade.

Lösungsansätze?

Nun ja, eigentlich sehe ich nur wenige. Am besten wäre es, zurück zu (relativ) statischer Werbung zu kommen. JPGs und GIFs kann man relativ einfach kontrollieren und richten nur wenig Schaden an. Inzwischen dominieren aber Javascript-aufgemotzte Layer-Ads und Flash-Movies den Werbemarkt und diese Entwicklung lässt sich kaum zurückdrehen. Den Anbietern von werbefinanzierten Seiten bleibt nur, sich den Werbeanbieter genau anzusehen und jede veröffentlichte Werbung bei der Freischaltung und regelmäßig zu kontrollieren. Da jedoch auch das keine 100%ige Garantie gibt rate ich persönlich ja dazu, sich selbst zu schützen. Und das geht anscheinend nur in der Kombination Firefox + NoScript + Adblock/Adblock Plus.