Archive for the 'Security' Category

Der Computervirus wird heute 25 Jahre alt

Published by Markus Kornprobst on 10.11.2008 in Security. Comments

Heute vor 25 Jahren, am 10. November 1983 wurde der erste sich selbst fortpflanzende Computervirus erschaffen. Fred Cohen, Doktorand an der Southern California University in Los Angeles, ahnte damals schon das seine Entdeckung gefährlich ist, aber das der Virus in der Zukunft eine solche kriminelle Karriere hinlegen würde konnte er sich damals noch nicht ausmalen.
Längst sind uns die Begriffe: Viren, Würmer, Trojaner, Spyware und Phishing eingeprägt und verursachen bei vielen einen leichten Schauer über den Rücken.
Eine ganzer Industriezweig verdient sein Geld heute mit dem Schutz der Computer und ihren Daten.
Hat sich nicht schon jeder des öfteren die Frage gestellt: “Werde die Bedrohung von Computerviren nicht selbst von den Antivirus Herstellern verursacht?…

Und was macht der Erfinder Fred Cohen heute?
Er verdient heute sein Geld mit einer Beratungsfirma für “den Schutz von Informationen”.

Nagios 3.0.5 released

Published by Bernd Erk on 05.11.2008 in Nagios, Nagios 3 and Security. Comments

Trotz der Präsidentschaftswahl am gestrigen Dienstag war Ethan fleissig und hat Nagios 3.0.5 veröffentlicht. Laut Changelog bringt die neue Version vor allem Security-Bugfixes und einige Erläuterungen zu diesem Thema in der Dokumentation. Da die Schwachstelle in der cmd.cgi einem Angreifer erlauben würde, beliebigen Code auf dem Nagios System auszuführen, ist ein Update dringend angeraten.

Wie immer steht die aktuelle Version auf Sourceforge zum Download bereit.

“Barrierefrei” mit OpenVPN

Published by Bernd Erk on 12.08.2008 in Open Source and Security. Comments

Das Problem, bestimmte Netzdienste oder ganze IP-Bereiche nicht zu erreichen, ist für Journalisten bei der Olympiade zwar eine bittere Erfahrung, aber in der IT-Welt längst nichts Neues. In jeder größeren Firma verhindern die Firewalls Dienste wie Jabber, RDP, POP oder ähnliches. Dieses Problem lässt sich sehr einfach mit einem VPN-Tunnel auf den eigenen Server und dessen Nutzung für den Zugang in die weite Welt umgehen.

Bei den meisten kommerziellen VPN-Lösungen sind jedoch ebenfalls dedizierte Ports notwendig um eine solche Verbindung zu etablieren. Und damit können sie natürlich auch wieder gefiltert werden. Anders sieht das ganze bei OpenVPN aus. Ohne größere Mühen kann man den Server auf den Port 443 konfigurieren, der aufgrund des notwendigen SSL-Zugriffs meist auf den Firewalls geöffnet ist und somit eine Verbindung zum eigenen VPN-Server aufbauen. Somit ist dann auch die Nutzung entsprechender Dienste und vor allem eine sichere Übertragung möglich.

Neben diesen etwas unorthodoxen Möglichkeiten ist OpenVPN auch eine praktische Lösung, verschiedene Standorte sicher zu vernetzen oder Road Warriors mit Laptops an die Firmenzentrale anzubinden.

nmap ist ab sofort illegal

Published by Julian Hein on 29.08.2007 in Security. Comment

Am 11. August ist ein neuer Paragraph des Strafrechts in Kraft getreten, der die Herstellung von Programmen, die zum Ausspähen von Daten oder dem Eindringen in ein Computersystem genutzt werden können unter Strafe stellt. Auf den ersten Blick klingt das sinnvoll, aber auf den zweiten Blick merkt man, dass damit nicht nur die Tat, also das Eindringen oder Ausspähen, sondern schon das Herstellen des Werkzeugs unter Strafe gestellt wird. Genau diese Werkzeuge verwendet aber jeder IT Sicherheitsexperte um seine Systeme, oder die von Kunden, gegen fremde Eindringlinge zu schützen. Und die sind plötzlich illegal. Das bedeutet der rechtschaffende Administrator darf sie nicht mehr benutzen, während sich der ausländische Industriespion vermutlich wenig für die deutsche Rechtslage interessiert.

Im echten Leben käme doch auch keiner auf die Idee das Herstellen eines Dietrichs oder eines Glasschneiders zu verbieten. Solange man damit seine eigene Tür aufmacht oder die eigene Fensterscheibe mit einem Muster verschönert, ist das natürlich nicht verboten. Erst wenn man anfängt an fremden Schlößern zu üben wirds illegal. Im konkreten Fall ist aber wirklich das Werkzeug, unabhängig von einer Handlung kriminalisiert worden:

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Auch wenn man in den Ministerien in Berlin immer behauptet, man würde auf die Verbände hören oder wäre sogar an deren Meinungen interessiert, scheint das diesmal nicht so gewesen zu sein. Den schon im Voraus haben alle, die sich mit soetwas auskennen gegen das Gesetze protestiert: Der Bundesverband Informationswirtschaft (Bitkom), der Verband der Internetwirtschaft (eco), die Gesellschaft für Informatik und sogar viele Rechtsexperten. Im Prinzip hätte eine lediglich minimale Konkretisierung der Vorschrift gereicht. Interessiert hats aber niemanden. Zwar hat der Rechtsauschuss des Deutschen Bundestag in seinem Protokoll angemerkt:

“Der Gesetzgeber werde die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handelten, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, werde auf solche Entwicklungen zeitnah reagiert werden müssen.”

Verlassen würde ich mich darauf aber nicht. Schliesslich hat es der gleiche Gesetzgeber auch in anderen Fällen nicht geschafft, die von ihm verschuldeten Fehler überhaupt, geschweige denn zeitnah zu beseitigen. Als Beispiel sei hier die Widerrufsbelehrung des Fernabsatzgesetzes genannt. In den Anlagen dieses Gesetzes findet sich ein Beispiel für eine solche Widerrufsbelehrung. Wer die verwendet, kassiert aber über kurz oder lang die Abmahnung eines Wettbewerbers, denn sie enthält einen Fehler. Und dieser Fehler wurde bis heute nicht in Ordnung gebracht. Interessant, wie sich hier ein Phänomen aus der IT wiederholt: Man wirft einfach halbfertige Betaversionen von Software oder neuerdings auch Gesetzen auf den Markt und schaut dann was passiert. Wenn es ganz schlecht läuft, kann man ja immer noch ein paar Patches oder Gesetzkorrekturen nachreichen. Aber Sie haben nur Anspruch auf eine Fehlerkorrektur, wenn Sie auch einen Wartungsvertrag und eine Rechtschutzversicherung abgeschlossen haben.

1&1 Root-Server durch Confixx Schwachstelle gehackt

Published by Julian Hein on 02.08.2007 in Security. Comments

Heise berichtete, dass bei 1&1 Root-Server durch eine Schwachstelle in der Management Software Confixx geknackt und für DDOS Attacken verwendet wurden. Da 1&1 schon vor einiger Zeit den Support für Confixx eingestellt und die User auch darauf hingewiesen hat, müssen die Besitzer der Server auch die Folgekosten übernehmen. Neben der Neuinstallation, können das vor allem immense Traffickosten sein.

Viele Leute verkennen immer wieder, dass der Betrieb eines Root Servers, eine ganze Menge Verantwortung mit sich bringt und dazugehört eben auch die Software immer auf dem neuesten Stand zu halten und bei bekannten Schwachstellen sofort die entsprechenden Updates einzuspielen. Genau dieser Punkt macht auch den großen Preisuntersschied zwischen einem Root-Server, bei dem man alles selber machen muss und einem Managed-Server, bei dem der Provider diese Arbeit übernimmt. Leider hat man bei den großen Anbieter auf einem Managed-Server auch keinen root Login mehr und kann auch keine eigene Software mehr installieren. Die Königsklasse ist also ein Server, den der Provider managed und man selbst einen root Zugang hat. Da das eine Menge Arbeit und Abstimmungsaufwand verursacht, ist das natürlich nicht in der Preisregion eines 1&1 Servers zu machen. Dafür ist es sicherer und individueller.