8. Juni 2007
Huch, in WordPress 2.2 ist eine Sicherheitslücke bekannt geworden. SQL-Injection. Und einen Exploit gibt es auch schon! OMG, ich habe doch hier auch WP 2.2 im Einsatz … ach naja, betrifft ja nur angemeldete Benutzer und so viele gibt es hier gar nicht. Also egal. Das Update habe ich trotzdem kurz eingespielt.
Sicherheitslücken bei PHP-Programmen lohnt es sich eigentlich gar nicht zu kommentieren. Da gibt es jeden Tag nicht nur eine Sau, die durch das virtuelle Dorf getrieben wird. Securityfocus dokumentiert das ja ganz schön. Interessant finde ich eigentlich was ganz anderes, was typisch ist für viele Sicherheitslücken.
Die Lücke ist schon vor über einer Woche von den WordPress-Entwicklern entdeckt und behoben worden, der Patch ist auch im Trac dokumentiert. Nur haben die Entwickler nicht erkannt, dass es sich hier um eine Lücke handelt, mit der ein Angreifer die Datenbank manipulieren kann. Das sah wie ein ganz einfacher Programmierfehler aus und wird folglich behoben. Irgendjemand (in diesem Fall mit dem Pseudonym Slappter) mit einem Blick für solche Fehler hat vermutlich das Update im Trac gesehen, erkannt, dass die Lücke angreifbar ist und einen Exploit programmiert. Und da die Entwickler die Lücke für irrelevant gehalten haben, wurde niemand benachrichtigt.
Dieses Problem tritt öfter auf, vor einiger Zeit gab es einen spektakulären Fall im Linux-Kernel, potentiell sind aber natürlich alle Open Source Programme davon betroffen. Microsoft nutzt solche Argumente deshalb gerne, um für ihren angeblich so „responsible disclosure“ Prozess zu werben. Leider ist das reine Augenwischerei, wie die Advisories von eEye (eine Lücke in Microsoft Windows ist seit 227 Tagen ohne Patch, aber solange kein Exploit frei verfügbar ist, interessiert das den Hersteller offensichtlich einen Dreck) oder die Geschichte von HD Moore (im Patch für Microsoft RRAS ist nicht nur der angegebene Fehler sondern stillschweigend ein viel kritischerer Fehler behoben worden, über den der Hersteller im Advisory leider gar nichts gesagt hat, weshalb viele Firmen den Patch erst sehr spät einspielten) beweisen.
Womit wir wieder beim Thema wären. Auch wenn in diesem Fall theoretisch sogar mein eigenes Blog gefährdet gewesen ist, gefällt mir die offene Veröffentlichungspraxis von WordPress, Linux, Metasploit, Milw0rm und Co. besser als die unverantwortliche Geheimhaltungspraxis von Microsoft. Oder noch schlimmer von HP, die Sicherheitsforscher sogar verklagen wollten.
Eine kurze Übersicht der gängigen Vulnerability Scanner (alphabetische Reihenfolge, keine Wertung):
- ATK von Marc Ruef – Einziger verbliebener Open Source Scanner
- Internet Scanner von IBM/ISS – Internet Scans
- IP360 von nCircle – LAN Scans / PCI Compliance
- LANguard NSS von GFI – LAN Scans / Patchmanagement
- Nessus von Tenable Security – Internet/LAN Scans
- QualysGuard von Qualys – Internet/LAN Scans, PCI Compliance
- Retina von eEye – Internet Scans
Wen hab ich in dieser Aufstellung vergessen?
7. Juni 2007
Mitternachtshacking.de blendet bis auf weiteres rechts oben den Pagepeel (Eselsecke) vom Arbeitskreis Vorratsdatenspeicherung mit ein. Für WordPress gibt es dafür einfach und bequem ein Plugin, das man einfach ins passende Verzeichnis schiebt und aktiviert. Weiteres dazu im AK Vorrat Wiki. Da gibt es auch das Plugin zum Download.
„Dabei bewirkt die zunehmende elektronische Erfassung und Überwachung der gesamten Bevölkerung keinen verbesserten Schutz vor Kriminalität, kostet Millionen von Euro und gefährdet die Privatsphäre Unschuldiger. Wo Angst und Aktionismus regieren, bleiben gezielte und nachhaltige Maßnahmen zur Stärkung der Sicherheit ebenso auf der Strecke wie ein Angehen der wirklichen, alltäglichen Probleme der Menschen (z.B. Arbeitslosigkeit und Armut). Hinzu kommt: Wer sich ständig überwacht und beobachtet fühlt, kann sich nicht mehr unbefangen und mutig für seine Rechte und eine gerechte Gesellschaft einsetzen. Es entsteht allmählich eine unkritische Konsumgesellschaft von Menschen, die „nichts zu verbergen“ haben und dem Staat gegenüber – zur vermeintlichen Gewährleistung totaler Sicherheit – ihre Freiheitsrechte aufgeben. Eine solche Gesellschaft wollen wir nicht!“
Diesen Aufruf von „Freiheit statt Angst“ möchte ich zu 100% unterschreiben.
Vollkommen offtopic, aber der Beitrag auf dem Behindertenparkplatz enthüllt zu schön, wie heute offensichtlich die meisten Journalisten arbeiten: „Ich warte auf die Agentur“.
Ach ja, das sollte man in der IT-Sicherheit auch einführen … „Was? Die Firewall konfigurieren? Ich warte auf den Hacker!“ 🙂
Die Jungs von Microsoft kapierens einfach nicht. Oder sie haben es kapiert, aber es ist ihnen egal weil sie sich das leisten können und für diesen Laden eh nur die Kohle zählt.
Microsoft bietet sein Visual Studio Express kostenlos an, um die Entwickler möglichst einfach dazu zubringen, für Windows Anwendungen zu entwickeln. Ein Engländer, Jamie Cansdale, hat dieses free-as-in-beer Visual Studio Express jetzt um ein paar Versionen erweitert, die Microsoft nur in der sauteuren Pro-Version sehen möchte. Es gab dann ein paar Diskussionen zum hin oder her und inzwischen hat Microsoft die übliche Armada von Rechtsanwälten losgelassen.
Wer jetzt Recht hat ist eigentlich egal. Möglicherweise gestatten es die vielen Seiten der Express-Lizenzbedingung wirklich nicht, die Software um Module zu erweitern. Nur wer versteht schon so eine Lizenz komplett, ohne vorher Vertragsrecht studiert zu haben? Möglicherweise wäre die Erweiterung auch komplett legal und Microsoft fürchtet nur um den Verkauf der teuren Pro-Version. Das alles ist im Grunde egal, die spannenden Fragen werden im Microsoft-eigenen Blog gestellt:
„Is it safe for me as a developer without a large legal department to work with Microsoft technology? (It will cost a lot more then I am paid in a month just to get a legal person to explain to me what one of the Microsoft licences means.)“
„This is an example of why I would not donate my time or effort as a developer to working on Microsoft products, let alone extending them and supporting the Microsoft developer community with free tools.“
„This is why open source is so much better. Nobody is going to sue you for developing a plug in for eclipse or netbeans or jedit.“
„The answer is clear. Abandon Microsoft and move to better technology without all the stupid legal encumbrance.“
Und bei der Gelegenheit möchte ich gleich noch auf diesen Beitrag von Fefe verlinken: Please do not port software to Windows.
Das Check Point Buch ist jetzt bei Amazon aufgetaucht:
Check Point VPN-1 Power
Yasushi Kono
1024 Seiten
Galileo Press, Juli 2007
ISBN: 3898428974
ISBN-13: 978-3898428972
Ich weiß jetzt nicht genau, wieso Amazon da meine Bewertung aus dem Blog geklaut hat, mich hat jedenfalls niemand gefragt. Ist aber eigentlich auch egal, ich würde meine Texte auch unter CC-BY-NC oder so freigeben. Nur richtig verlinken hätten die Jungs schon können. Jedenfalls ist es dem Mitbewerber (Danke, Matthias) bereits aufgefallen 🙂
Disclaimer: Ich habe das Buch korrekturgelesen und das Geleitwort geschrieben und Yasushi ist ein recht guter Freund von mir. Das war’s aber auch schon, ich verdiene nichts daran.
Ach ja, denkt bitte daran: Der Buchhändler um die Ecke kriegt das Buch genauso schnell her wie Amazon, es kostet genau das gleiche und ihr tut was gutes für Euer Stadtviertel. Die Buchhandlungen sterben bekanntlich zuerst und die Sonnenstudios und Dönerbuden bleiben übrig.
6. Juni 2007
Heise berichtet, dass der Bundestag die bisher verwendeten TAN-Listen zum Remote-Zugriff auf interne Daten abschafft und dafür Einmalpasswörter verwendet:
Nach einer erfolgreichen Testphase kommt das SecOVID-System des Wormser IT-Security-Anbieters Kobil Systems zum Einsatz.
Das Kobil SecOVID ist meines Erachtens ganz nett, hat aber einen nicht zu unterschätzenden Nachteil. Die Einmalpasswörter werden nur eventsynchronisiert und nicht zeitsynchronisiert.
Zeitsynchronisiert bedeutet in diesem Zusammenhang, dass ein Passwort nur einmal gültig ist, und das zusätzlich auch nur zu einem bestimmten Zeitpunkt. Also meinetwegen nur von 13:45:00 bis 13:45:59. Wenn sich nun jemand das Passwort aneignet, beispielsweise bei einem Blick auf das Display oder bei einer kleinen Vorführung („ui, wie funktioniert denn das?“) kann der Angreifer dieses Einmalpasswort auch nur zu diesem Zeitpunkt verwenden, müsste also sehr schnell sein mit dem Ausnutzen der Lücke. Die Produkte von RSA oder Vasco bieten so eine Zeitsynchronisation.
Eventsynchronisiert bedeutet, dass bei bestimmten Ereignissen jeweils ein neues Einmalpasswort erzeugt wird. Bei Kobil passiert das per Knopfdruck auf das SecOVID-Token. Dieses Einmalpasswort kann dann zwar nur einmal verwendet werden, bleibt jedoch so lange gültig, bis dieses oder ein später erzeugtes Passwort verwendet wurde. Der Angreifer kann sich das Token also vorführen lassen, merkt sich das Passwort und hat dann zumindest theoretisch bis zur nächsten Einwahl des berechtigten Benutzers Zeit, sich mit diesem Einmalpasswort anzumelden. Noch schlimmer, man könnte10 mal auf den Knopf drücken und sich die 10 Passwörter aufschreiben. Schon braucht man das Token nicht mehr sondern hat eine handliche Liste auf Papier, die man auch bequem kopieren kann.
Die einzige Beschränkung dabei ist, dass Kobil standardmäßig nur 10 ungenutzte Einmalpasswörter erlaubt. Wenn man also 11 mal auf das Knöpfchen drückt, ist das dann erzeugte Passwort erst gültig, wenn vorher eines verwendet wurde. Ich fürchte nur, das hat die Bundestagsverwaltung aufgebohrt, da der Spieltrieb der Abgeordneten ja bekannt ist.
Ich vermute, der Hauptgrund sich für Kobil zu entscheiden war, es ist erstens ein deutscher Anbieter und zweitens die billigste Lösung. Ach ja, und wenn das T-Systems eingerichtet hat, dann ist alles klar, weil die Telekom der wichtigste Vertriebspartner für Kobil ist.
Sehr schön … endlich mal wieder eine interessante IIS-Lücke 🙂
Auf einem Microsoft IIS 5.x auf Windows 2000 kann die Authentisierung mittels hit-highlight (webhits.dll ist der Übeltäter) umgangen werden:
Cause:
Hit-highlighting with Webhits.dll only relies on the Microsoft Windows NT Access Control List (ACL) configuration. It does not rely on non-ACL based security mechanisms such as the following:
- The Microsoft Internet Information Services (IIS) authentication configuration
- NTLM authentication
- Basic authentication
- IP address restrictions on files within the Webroot
Jede andere Firma, die sowas verbockt würde vermutlich ein „mea culpa“ schreiben und schleunigst einen Patch, Hotfix, Update oder was auch immer veröffentlichen. Nicht so Microsoft.
Status:
This behavior is by design.
Cool.
Ach ja, ein Upgrade auf IIS 6 und Windows 2003 behebt das Problem wohl.
Nachtrag: Milw0rm hat auch schon einen netten Exploit.
5. Juni 2007
Eine wichtige Information in Communities ist ja, wer kennt wen, wer kommuniziert mit wem und wer macht was und wie beeinflußt das alle anderen. Dabei spielt es keine große Rolle ob das für Studenten (z.B. StudiVZ, der Link musste sein, also Finger weg davon) oder für große Kinder (z.B. Xing) ist.
Was bei Communities funktioniert, scheint per E-Mail in Unternehmen genauso zu funktionieren. Bei ZDnet gibt es einen schon älteren Artikel von 2003 zum Thema Email flow can show company power structure. Eigentlich eine interessante Idee. Man kuckt, wer wie wann an wen E-Mails schickt und kann daraus schließen wer in der Firma wirklich das Sagen hat. Beispielsweise die Chefsekretärin.
Vielleicht sollte man sich damit mehr beschäftigen. Wenn irgendwann vielleicht mal ein größerer Teil der Mails verschlüsselt ist, wird das Abhören, neudeutsch „Lawful Interception“ relativ wertlos. Dafür wird die Information wer mit wem kommuniziert um so interessanter und erlaubt oft sogar nachträglich Rückschlüsse auf den Inhalt der Kommunikation.
Und wenn nun jemand fragt, warum ich dieses alte Thema rauskrame … weil ich gerade eben über diese Seite gestoßen bin, auf der die E-Mail Kommunikation der Pleite gegangenen Enron zum Download angeboten wird.
4. Juni 2007
Wikipedia definiert Van-Eck-Phreaking als „eine Technik zur elektronischen Spionage, bei der unbeabsichtigte elektromagnetische Abstrahlungen empfangen werden“.
Die Neufassung des StGB § 202b Abfangen von Daten verbietet ausdrücklich auch das Abfangen von Daten „aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage“.
Ich frage mich ja, wie relevant ist das eigentlich in der Praxis? Also nicht der tolle Laboraufbau, wo man auf Monitor 2 ganz flimmrig sieht, was auf Monitor 1 passiert sondern so richtig real. Kann man aus einem Lieferwagen vor der Bank tatsächlich erkennen, was in der Bank auf dem Monitor steht? Aufklärung wäre erwünscht.
