Im Richtlinienvorschlag 2007/0248/COD wurde Artikel 5 Abs. 3 so angepasst, dass die Browser-Einstellungen nicht mehr als Einverständniserklärung zur Speicherung von Cookies ausreichen. Der folgende Absatz war in einem früheren Entwurf noch enthalten:
“…nicht zuvor seine Einwilligung gegeben hat, wobei zu berücksichtigen ist, dass die Browser-Einstellung eine vorherige Einwilligung darstellt…”
Ein ausführlicher Bericht findet sich im INTERNET-LAW-Blog.
OAuth ermöglicht es Diensten Zugang zu einem Twitter -Account zu gewähren, ohne dass man dem Anbieter sein Passwort anvertrauen muss. Diese Erlaubnis bleibt auch bestehen, wenn man sein Passwort ändert.
Terence Eden änderte sein Twitter-Passwort, weil man ihn warnte, dass es möglicherweise kompromittiert worden sei. In seinem Blog berichtet er, dass die OAuth-Anmeldung nach wie vor funktionierte.
Das OAuth Verfahren muss man bei Twitter für das eigene Twitter-Profil freischalten. Warum ist das problematisch? Ein Angreifer, der im Besitz des Passworts ist kann sich so eine Hintertür installieren und auch nach dem Passwortwechsel weiterhin auf das Profil zugreifen.
Um dieser Gefahr zu begegnen, sollte man die OAuth Einstellungen im Twitter-Account nach dem Passwortwechsel ebenfalls überprüfen und gegebenenfalls zurücksetzen.
In 6, 5, 4, 3, 2 Tagen Morgen ist es wieder soweit und die Alpha-Version des neuen Ubuntu-Linux steht zum Download bereit. Die Version 9.10 preist sich diesmal unter dem Namen Karmic Koala an, was soviel heißt wie Karma Koala, ähnlich wie das Karma Chameleon von Culture Club. Was auch immer uns das sagen soll – es steht bestimmt irgendwo im Ubuntu-Wiki… Vielleicht wird der Karmic Koala als Feisty Fawn wiedergeboren, wenn er zu viele Bugs hat – wer weiß das schon. Eigentlich ist die Wiedergeburt in der Version 10.04 als Lucid Lynx schon beschlossene Sache und eigentlich wollte ich ja über die Security-Neuerungen schreiben:
Das Upgrade von 9.04 nach 9.10 läuft über das Kommando “update-manager -d“. Der Update-Manager sollte dann verkünden, dass eine neue Version vorliegt. Danach einfach den Bildschirmanweisungen folgen.
Es gibt jetzt ein AppArmor-Profil für den GNOME Dokumenten-Viewer. Das Profil bietet zusätzlichen Schutz vor Angriffen mit PDF- und Bild-Dateien. Wer sich ein eigenes home-Verzeichnis angelegt hat, muss dieses in /etc/apparmor.d/tunables/home eintragen. Tipps dazu gibt es hier: Adjusting Tunables
Mit Ubuntu One kommt per default eine Personal-Cloud mit auf den Desktop – wer es braucht, möge sich seine Sicherheitsanalyse dafür selbst zurechtbiegen 
Mit an Bord auch das ext4-Dateisystem, dass seine volle Funktionalität allerdings nicht via Update erreicht.
AppArmor Profile sind standardmäßig für ntpd, den Dokumentenbetrachter evince (s.o.) und libvirt aktiviert. Ein Profil für Firefox gibt es auch, es muss aber mittels: “sudo aa-enforce /etc/apparmor.d/usr.bin.firefox-3.5” aktiviert werden. Deaktiviert wird es wieder mit: “sudo apparmor_parser -R /etc/apparmor.d/usr.bin.firefox-3.5” und danach “sudo ln -s /etc/apparmor.d/usr.bin.firefox-3.5 /etc/apparmor.d/disable/usr.bin.firefox-3.5“. Voraussetzung ist natürlich, das man Firefox 3.5 nutzt. Mit dem Libvirt-Profil für Virtuelle Maschinen habe ich mich leider noch nicht befasst. Ist aber sicher interessant.
Eine Liste mit allen Profilen findet man hier: SecurityTeam/KnowledgeBase.
Die Liste der verfügbaren Funktionalitäten für die ufw wurde erneut erweitert. Damit stehen in der unkomplizierten Firewall immer mehr kompliziete Funktionalitäten zur Verfügung, weshalb man auch die Dokumentation verbessert hat…
Moderne CPUs schützen vor unerlaubter Ausführung von Code im Heap oder Stack. Das muss jedoch vom Kernel unterstützt werden. Bisher gab es das nur für 64-bit Kernels und Server-Kernels. In Ubuntu 9.10 gibt es jetzt eine Software-Emulation für 32-bit Kernels. Diese sog. non-eXecutable (NX) memory protection blockiert viele Exploits, die gezielt Heap- oder Stack-Speicherbereiche angreifen.
Mit der Blockierung, weitere Kernel-Module nach dem Booten nachzuladen, gibt es eine weitere Möglichkeit sich vor Kernel-Rootkits zu schützen.
Weitere Anwendungen wurden als Position-Independent Executables (PIE) kompiliert. PIE-Anwendungen nutzen die Address Space Layout Randomisation (ASLR) des Kernels und sind weniger anfällig für Exploits, die den Programmfluss im Speicher manipulieren.
Eine ganze Menge Neuerungen also, die das Entwicklertem ankündigt. Viel Spaß damit
Mit der Version 2.8.5 werden wichtige Sicherheitsverbesserungen der 2.9er Beta bereits für die 2.8er Reihe verfügbar gemacht. Wichtige Änderungen sind:
Die Entwickler empfehlen den Upgrade auf die neueste Version und bieten darüber hinaus ein Plugin an, dass nach Spuren eines Angriffs innerhalb der WordPress-Dateien sucht: “WordPress Exploit Scanner“
Das Trojaner-Problem ist endlich gelöst – Baden-Württemberg: “Wir können alles, außer Hochdeutsch”:
“Baden-Württemberg will als erstes Bundesland einen besonderen “Trojaner-Sensor” zum Schutz von Computern in seinem Landesverwaltungsnetz installieren. Das geht aus einem internen Bericht des Landesverfassungsschutzes zum Thema Spionageabwehr hervor. Die Software soll Attacken fremdgesteuerter Spitzelprogramme auf den Behördenrechnern entdecken und abwehren. ” Das berichtet der Spiegel in einer Vorabmeldung zur aktuellen Ausgabe.
Ich bin ja schon mal sehr gespannt, was das sein soll. Windows Defender? So wie ich den Staat kenne, ist es nahe dran. Ärgerlich, wenn der Kunde das Werbeprospekt des Verkäufers abschreibt. Die Chinesen – oder wer auch immer – werden dann eben eine der noch nicht detektierbaren Varianten einsetzen. Aktuell werden bei der Shadowserver Foundation für September bereits 10.000 unerkannte Varianten gezählt (and counting):
Ich hab es geschafft: Endlich kann ich mir die Patcherei und diesen ganzen Security-Aufwand sparen. Alles was ich jetzt noch brauche ist ein IT-Security-Schutzengel, der mit Tastatur ausgerüstet vor den Untiefen des Cyber-Space schützt. Und nett ausschauen tut er auch.
Wer jetzt hofft zu erfahren, woher ich den Engel habe, den muss ich enttäuschen. Dann kaufen sich alle nur noch diesen Engel und ich bin arbeitslos. Nein Danke
Spätestens, wenn Ihre Webseit bei Google durch das Verbreiten von Malware negativ auffällt ist klar: Ihre Webseite wurde angegriffen. Wenn das passiert wird Google Ihre User davon abhalten die Webseite zu besuchen. HP stellt nun in seinem Security-Blog eine Schritt-für-Schritt-Anleitung zur Verfügung, mit der Sie Ihre Webseite wieder in Ordnung bekommen. Die Anleitung arbeitet die folgenden Schritte ab:
Willkommen zum Nmap Tutorial. Die erste Lektion wird einfach – versprochen. Es geht ausschließlich darum das Tool kurz vorzustellen. Natürlich soll der Beitrag auch dazu animieren, öfter mal vorbeizuschaun.
Nmap ist ein Open-Source-Werkzeug zum scannen von Netzwerken und mittlerweile sogar ein ziemlich gefragter Holywood-Star. Wo im Film gehackt wird, kommt Nmap zum Einsatz: Matrix Reloaded, Das Bourne-Ultimatum oder Die Hard 4.
In Matrix Reloaded scannt Trinity die Matrix mit folgendem Kommando: nmap -v -sS -O 10.2.2.2 So erfährt sie, das der ssh-Port offen ist. Anhand der eingesetzten ssh-Version, die ihr auch von Nmap angezeigt wird, sucht sie ein passendes Exploit. Für den weiteren Angriff benutzt sie das fiktive Tool sshnuke und setzt das root-Passwort auf Z10N0101 (Sie sollten für sich selbst vielleicht ein besseres wählen). Danach deaktiviert sie mit dem Kommando disable grid nodes 21 - 48 wie gewünscht die Stromversorgung und der Film kann weitergehen.
So einfach kann das mit Nmap gehen: Ports scannen, Versionsinformationen auswerten, angreifen. Das Netz wird von Nmap-Websites überzogen und es gibt zahllose Bücher, die an Nmap heranführen und zeigen wie es geht. Was gibt es also in diesem Tutorial mehr?
Ich werde alle Beispiele aus Sicht des Verteidigers betrachten und kommentieren. Es geht also weniger um den Scan, sondern darum, wie es mit dem durchgeführten Scan weitergegangen wäre und was das für Auswirkungen gehabt hätte. Und: Was wäre zu tun gewesen, um den Angriff zu vereiteln. Welche Websites helfen dabei? Trinitys Angriff wäre mit einer anderen ssh-Version nicht möglich gewesen. Was aber, wenn es kein aktuelles Update gibt? Woher bekommt man Workarounds für noch nicht geschlossene Sicherheitslücken und wie schützt man sich?
Die vom IPS-Anbieter TippingPoint gegründete Zero Day Initiative (ZDI) ist ein Programm zum Handel mit Schwachstellen. Die Schwachstellen fließen dann einerseits in die IPS-Produkte von TippingPoint ein und sie werden darüberhinaus veröffentlicht. Das ZDI verfolgt dabei den Weg des verantwortungsvollen Veröffentlichens. Die älteste angekündigte, aber noch nicht veröffentlichte Schwachstelle ist daher auch vom Oktober 2006 (ZDI-CAN-105).
Den Hackern, die sich beteiligen winken attraktive Kaufangebote und Boni bis zu 20.000$. Als Beispiel für eine Schwachstelle wird auf der Webseite der Betrag von 5.000$ genannt. Wenn Sie der ZDI also 10 Schwachstellen dieser Art verkaufen bringt Ihnen das 50.000$ an Einmalzahlungen und am Jahresende einen Bonus von 20.000$. Das deckt sich in etwa mit den Angaben, die ich für einen White-Hat in meinem Beitrag Ihr Berufseinstieg als Hacker (644.000$ Jahresgehalt) zitiert habe. Der Beitrag geht jedoch pro Jahr von 25 verwertbaren Exploits aus; die ZDI spricht von Schwachstellen. Also sollten pro Jahr mindestens 145.000$ zu erlösen sein. Im Folgejahr bietet die ZDI dann einen Bonus von 25%: Das ergibt 176.250$ Jahresgehalt inklusive Jahresendbonus.
Auf Seclists.org wird ein Proof-of-Concept vorgestellt, mit dem sich das Passwort des admin-Kontos jedes WordPress-Blogs zurücksetzen lässt, ohne dass zuvor eine Bestätigungs-Mail mit Confirmation-Link versendet wird. Das ist erst mal nicht schlimm, weil das Passwort per Mail an die hinterlegte E-Mail-Adresse versendet wird – mindestens ist es ärgerlich. WordPress.org bietet ein Workaround für die Schwachstelle an. In der Datei wp-login.php im Wurzelverzeichnis der WordPress-Installation muss Zeile 190 wie folgt modifiziert werden:
190 alt: if ( empty( $key ) )
190 neu: if ( empty( $key ) || is_array( $key ) )
Was das ändert sehen Sie auf dem Bild. Sie bekommen eine Fehlermeldung mit dem üblichen Dialog zum zurücksetzen eines User-Acounts – das admin-Passwort bleibt unberührt.
Update 12.08.2009:
WordPress 2.8.4 steht auf http://wordpress.org/ zum Download bereit.
Ps(i)²™ und Sebastian Klipper (CISSP®, T.I.S.P.®) stehen für exzellentes Know-how und innovative Security- Management- Lösungen. Der Verfasser zahlreicher Fachartikel und Bücher arbeitet in Berlin als Unternehmensberater und Autor. Lernen Sie ihn bei einem seiner Vorträge persönlich kennen oder nutzen Sie eine der weiteren Kontaktmöglichkeiten.
Sie benötigen Unterstützung bei der Anwendung der Normenreihe ISO/IEC 27000? Oder möchten Sie in Ihrem Unternehmen lieber die BSI Standards anwenden?
Holen Sie sich das Know-how des "Klipper on Security"- Autors in Ihr nächstes Projekt. Erfahren Sie mehr über ψ² Security Consulting: ψ² = Ps(i)²
Von Sebastian Klipper
"Konfliktmanagement für Sicherheitsprofis"
Auswege aus der Buhmann-Falle für IT-Sicherheitsbeauftragte, Datenschützer und Co.
2010, Vieweg+Teubner-Verlag
Von Sebastian Klipper
"Information Security Risk Management"
Risikomanagement mit ISO/IEC 27001, 27005 und ISO/IEC 31010
2010, Vieweg+Teubner-Verlag
Ab 2011:
5 Themen für die Titelseiten von HAKIN9 und <kes>.
