Sicherheit – Das Leben ist kein Ponyhof

von Georg Binder 6. July 2009 16:00

Die Zeiten, wo die Gegenseite nur “War Games” spielt und pubertierende Jugendliche sich selbst unter Beweis stellen wollen, sind vorbei. An deren Stelle sind Profis getreten… oftmals mit Naheverhältnis zur organisierten Kriminalität, die für solche unbekannten Lücken großes Interesse zeigt. Die “braven” Entdecker von Lücken, informieren zuerst den Hersteller und geben diesem Zeit, die Lücke zu schließen,… tja und die, die irgendwo dazwischen sind, posten einfach mal (für Ruhm?) ihre Exploits,..

Auf dem Blog von Gh0ul1 gibt es  z.B. eine 0-day Lücke für OpenSSL 4.3. Das ist zwar schon etwas betagt, aber dennoch oft im Einsatz, siehe zum Beispiel die Diskussion aus dem März bei einem gehackten Provider). Auf selbiger Webseite findet sich neben anderen Nettigkeiten, wie z.B. ein Exploit für phpmyadmin oder auch die Information zu einer Lücke in DirectShow: Microsoft DirectShow MPEG2TuneRequest Stack Overflow Exploit. Heise verweist heute darauf:

image

image

Quelle: Heise Security

Anders gesagt: wer Windows Vista, Windows 7 oder Windows Server 2008 (R2) hat dürfte (wieder einmal) nicht betroffen sein. Workaround ist derzeit nur, das KillBit für das verwundbare ActiveX Control zu setzen (siehe auch How to stop an ActiveX control from running in Internet Explorer).

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}] "Compatibility Flags"=dword:00000400

Offtopic: da mein Chinesisch sich darauf begrenzt, beim Bestellen auf M3 zu zeigen, hilft BING natürlich gaaaanz viel: Microsoft Translator

imageUPDATE: Micros oft hat einen KB Artikel dazu veröffentlicht: http://support.microsoft.com/kb/972890 inklusive FixIt Installer, der das manuelle BEarbeiten der Registry erspart.

In diesem Zusammenhang fällt seitens allgegenwärtigen Forentrolle wie das Amen im Gebet immer der Hinweis, man möge doch zu Apple oder einem anderen Browser wechseln. Sicherheitsexperten halten das bestensfalls für einen bemitleidenswerten Tipp.

image

Ach ja, es reicht mit Firefox auf eine Webseite zu gehen, mehr ist unter Mac nicht notwendig, um sich zu infizieren.

image

Quelle: Heise Security

image

Quelle: Heise Security

Na gut, jetzt könnte man immer noch sagen, dass das ganze gerade mal eine einzige Lücke war, die zudem an eine bestimmte Java Version gebunden war, die es auch für Windows (und alle anderen Systeme) gab. Da dort allerdings SUN den Java Support übernimmt (oder Oracle?) war die Lücke dort schnell wieder weg. Nicht so am Mac, denn da kümmert sich Apple (nicht) darum… und wenn man sicherheitsrelevante Mac-Seiten besucht,… also “wenig” gibt’s dort ja auch nicht: siehe z.B. http://www.securemac.com/

image

Apple nutzt zwar heftig OpenSource, bindet aber Patches sehr langsam ein. Einen mit Microsoft vergleichbaren SDL (Security Developement Lifecycle) gibt es nicht. Damit steht Apple ungefähr dort, wo Microsoft vor ca. 5 Jahren stand. Microsoft auf der anderen Seite hat bei vielen Dingen noch mit den Altlasten (IE, ActiveX, XP) aus dieser Zeit zu kämpfen.

Fazit
Zusammenfassend kann man sagen: Die Welt dreht sich weiter und ein System, das einfach schon einige Jahre auf dem Buckel hat, ist eben auch sicherheitstechnisch nicht mehr State-of-the-Art. Ein Internet Exploiter 6 oder auch Windows XP verursacht eben Kosten, und erhöht den Leidensdruck, vielleicht doch mal etwas moderneres einzusetzen. Damit ist allerdings (vor allem aus dem Blickwinkel “Sicherheit”) sicher nicht MacOS X gemeint, das wäre eher ein vom “Regen in die Traufe”. Ja, nicht populär die Aussage (weder für Microsoft/XP-Liebhaber, noch für Apple-Fans), aber wohl richtig.

Deswegen:

  • Updates. Updates. Updates. Automatisch. Wenn der Hersteller etwas herausbringt, dann soll man das Zeitnahe einspielen. Das gilt für Firmen (die u.U. Patches vorab testen) aber ohne Ausnahme für Privatuser.
  • Das gilt für alle Systeme. Aktuell ist z.B. für BSD und Konsorten OpenSSH 5.2. Wenn man 4.3 einsetzt, … Apple hat ein schönes Logo, es befreit aber nicht von den Notwendigkeiten aller anderen Betriebssysteme.
  • Wenn der Hersteller keine Updates liefert, dann gehört er getreten. Egal ob der Hersteller in Redmond oder Cupertino sitzt.

Für Firmen: schon mal den AppLocker (Windows 7) angeschaut? Da wird es ein Trojaner wieder mal um einiges schwerer haben,…

Tags:  Feed Tag,  Feed Tag,  Feed Tag

Allgemein

 

Comments (18) -

>

7/6/2009 4:39:02 PM #

Adalbert

Ah ja, was denkst Du bzw. Microsoft zu diesem Thema:

www.heise.de/.../138271

Wäre doch echt toll?

Adalbert Österreich | Reply

>
>

7/6/2009 4:50:40 PM #

admin

Na klar wär das toll, und aus Usersicht oder Administratorensicht nur begrüßenswert. Alles gepatcht über Windows Update oder WSUS... herrlich!

Aber ich verstehe, warum Microsoft das nicht unbedingt gerne machen will. Der Rattenschwanz an rechtlichen und technischen Problemen, den das mit sich ziehen würde, ist definitiv heftig. Es gibt für System Center Configuration Manager eine möglichkeit, zumindest Adobe und Citrix mit einzubinden, siehe: technet.microsoft.com/.../bb892875.aspx

Georg Binder Österreich | Reply

>

7/6/2009 4:43:22 PM #

Grogoth

Jojo, JavaVM und ActiveX... sind eh immer die gleichen Kindaten.

Grogoth Österreich | Reply

>
>

7/6/2009 4:52:01 PM #

admin

Flash, Acrobat,.. das Nette an diesen Sachen: OS unabhängig. Ein Vista oder Windows 7 zu hacken, ist mitunter schon recht schwer. Aber wozu auch, wenn man einfach Flash attackiert,...

Georg Binder Österreich | Reply

>
>
>

7/6/2009 5:10:44 PM #

bele

Es gibt definitiv mehr als nur flash um in ein System einzudringen ... Aber es stimmt schon, die neuen Windowssysteme sind resistenter.

bele Österreich | Reply

>
>
>
>

7/6/2009 5:14:07 PM #

admin

Ja, ich meinte ja nur exemplarisch. Flash steht für eine bestimmte Art von programm: nämlich für solche, die unabhängig vom OS auf nahezu jeder Client-Installation zu finden sind.

Das erleichtert das Schreiben von Exploit-Code, denn letztlich kann der Bösewicht z.B. versuchen den patch für Windows zu dekompilieren umd die Lücke auf MacOS X auszuprobieren (genau das ist ja passiert mit der oben zitierten Mac drive-by Geschichte).

Georg Binder Österreich | Reply

>
>
>

7/6/2009 5:21:17 PM #

bele

Also ich mag mein XP und so ein großes Problem hat man damit ja auch nicht, auch wenn es wohl am einfachsten ist in ein XP einzudringen. Nicht destotrotz bleibe ich erstmal beim XP. Wenn sich DX 11 dann lohnen sollte, kaufe ich mir eine neue Graka. Allerdings ob ich in Zukunft mir neuere Spiele kaufen werde, ist fraglich. Da bekommt man nur noch mehr Gängelei ... also ist XP dann doch Endstation. Traurig ist das und es nichtmal die Schuld von Microsoft.

bele Österreich | Reply

>

7/6/2009 5:22:32 PM #

bele

Also ich mag mein XP und so ein großes Problem hat man damit ja auch nicht, auch wenn es wohl am einfachsten ist in ein XP einzudringen. Nicht destotrotz bleibe ich erstmal beim XP. Wenn sich DX 11 dann lohnen sollte, kaufe ich mir eine neue Graka. Allerdings ob ich in Zukunft mir neuere Spiele kaufen werde, ist fraglich. Da bekommt man nur noch mehr Gängelei ... also ist XP dann doch Endstation. Traurig ist das und es nichtmal die Schuld von Microsoft.

bele Österreich | Reply

>
>

7/6/2009 5:35:03 PM #

admin

Bei DirectX bremsen die Konsolen. Solange es keine XBox mit DirectX 11 gibt, wird sich der Anteil der Spiele auf der PC Plattform auch in überschaubare Grenzen halten.

und zur Gängelei: wollte mir Anno 1404 kaufen. Nachdem ich aber in den Foren wieder mal über den Rootkit-ähnlichen Kopierschutz gelesen habe,.. verzichte. Hab auch so genug zu tun.

Georg Binder Österreich | Reply

>
>
>

7/6/2009 7:07:03 PM #

Grogoth

ot: ein kumpel von mir hat sich anno 1404 über steam gekauft und zockt es tagtäglich mit begeisterung Smile vielleicht solltest es dir nochmal überlegen...

Grogoth Österreich | Reply

>
>
>
>

7/6/2009 7:14:41 PM #

admin

An Steam hatte ich gar nicht gedacht, gute Idee. Aber irgendwie lese ich da nirgends, ob ich das dann auch oflline spielen kann. Die ANleitungen Spiele per Steam offline zu spielen,... aber danke für den Tipp!

Georg Binder Österreich | Reply

>
>
>
>
>

7/6/2009 7:17:25 PM #

admin

So, ich lade mir mal das Demo runter, mal schauen, ob der Laptop das Game überhaupt verträgt. Und Windows 7.

Georg Binder Österreich | Reply

>
>
>
>
>
>

7/7/2009 12:33:51 AM #

Grogoth

Na, scheint ja fesselnd genug zu sein ;) .. ich glaub aber der kopierschutz ist dennoch dabei (steht aber denk ich eh auf der "store" seite des entsprechenden spiels vermerkt)

Grogoth Österreich | Reply

>

7/6/2009 10:54:08 PM #

Georg Tsamis

"Internet Exploiter 6" ist aber schon ein geiler Vertippsler Smile

Georg Tsamis Österreich | Reply

>

7/7/2009 10:11:59 AM #

StefanKraft

Da AppLocker nur in Enterprise/Ultimate 7 enthalten ist, sollte ein kleiner Hinweis auf die Software Restriction Policy nicht fehlen: www.uni-rostock.de/.../SoftRestrict.shtml
http://www.mechbgon.com/srp/

Diese ist - zugegebenermaßen - nicht so flexibel wie der Nachfolger AppLocker, aber um Bedrohungen aller Art das Leben schwer zu machen wohl genausogut. Und sie gibt es schon für Windows Professional und Windows Vista (ab Business, glaube ich). (Unter 7 hat die Einrichtung von SRP - es ist noch vorhanden - bei mir nicht so recht geklappt, der Explorer startete nicht mehr und ans Einloggen war nach einem Neustart nicht zu denken. Das Abschalten der SRP, nachdem ich sie eingeschaltet hatte und die ersten Probleme auftraten, hat anscheinend nicht richtig funktioniert. Ich weiss nicht, was schief gelaufen ist oder ob es ein vorläufiger Bug war, aber da der Rechner sowieso erst relativ frisch installiert war, habe ich dann einfach 7 neu aufgesetzt. Wobei es ein Start im abgesicherten Modus wohl auch getan hätte...)

SRP ist natürlich witzlos, wenn man standardmäßig als voller Administrator (nicht zu verwechseln mit dem "eingeschränkten Admin" mit UAC wie unter Vista / 7) arbeitet. SuRun ( http://kay-bruns.de/wp/software/surun/ ) ist eine Lösung wie MachMichAdmin von der c't, aber um einiges komfortabler und mit einigen netten Extras. Das Programm erlaubt - grob gesagt - einzelne Prozesse mit erhöhten Rechten im Benutzerkontext zu starten. Dabei erfolgt wie bei UAC die Abfrage über einen sicheren Desktop. Für XP ist das Programm m.E. fast schon ein Muss (obwohl es runas auch tut, aber eben nicht so komfortabel und sicher), und auch Vista-Benutzer können davon profitieren, indem sie als echter Standard-Benutzer arbeiten, d.h. es als Ergänzung zu UAC verwenden ( http://forum.kay-bruns.de/thread/112 ). Ich habe es unter Vista nicht ausprobiert (die Anpassung an 7 ist noch im Gange), aber man kann wohl z.B. auch dort die Systemsteuerung mit erhöhten Rechten starten und Einstellungen ohne UAC-Abfragen vornehmen. Wie immer aber gilt: Man sollte zur Sicherheit immer ein zusätzliches Adminkonto haben, falls etwas schiefgeht und beim Einrichten vorsichtig sein.

Schließlich dann doch eine Schelte an MS: UAC ist letztlich nicht als echte Sicherheitssperre gedacht, sondern als "security feature," einverstanden. Trotzdem sollte man es nicht unnötig löchrig machen, wie es Rafael Rivera ( www.withinwindows.com/.../ ) und Long Zheng ( www.istartedsomething.com/.../ ) beschreiben. Als Abhilfe reicht es aus, UAC wieder auf den Vista-Level zu stellen.

StefanKraft Deutschland | Reply

>
>

7/7/2009 10:17:44 AM #

admin

Schön geschrieben, danke! Ich habe in der Zwischenzeit einen Artikel zu Applocker geschrieben, wo ich die SRP zumindest erwähne, siehe www.windowsblog.at/.../...-Security-AppLocker.aspx

Georg Binder Österreich | Reply

>
>

7/8/2009 10:38:19 PM #

MagicAndre1981

Hallo Stefan,

das ist der Irrglaube mit der UAC. Man ist da kein "eingeschränkter" Admin. Beim Login bekommen Nutzer der Admingruppe 2 Security Tokens. Die Shell und alle Programme werden mit dem Token gestartet, der die Rechte darstellt, die du als Nutzer mit einem Standardnutzerkonto unter 2000/XP hast.

DU BIST ALSO STANDARDNUTZER, KEIN ADMIN!

Zudem kannst du einfach durch bestätigen des UAC Prompts Programme mit Adminrechten ausführen.

Mit der UAC kombiniert Vista 2 Konten in einem, das lästige Ummelden zw einem Standardnutzer- und Adminkonto fällt weg.


Das ist cool! Nur verstehen dass 99,999999% der Vista Basher nicht, weil sie keine entspechende Bildung haben und nicht bereit sind zu lernen.

MagicAndre1981 Deutschland | Reply

>

7/10/2009 9:18:18 AM #

bele

Schöner Beitrag zum Thema, schnelles Patches... Ein Jahr nach bekanntwerden der Sicherheitslücke im IE kommt nun der Patch via Patchday.

http://winfuture.de/news,48368.html

Apple scheint nicht immer der langsamste zu sein ;)

bele Österreich | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies

Developer Events

App für Windows 8, Windows Phone oder/und Azure? Diese Events zeigen Dir, wie es geht:

 

 

Mehr Information

Menü

Home
Über WindowsBlog.at
Archiv
Abonnieren Feed
Kontakt
Twitter

Follow Me

Dieser Blog wird von Microsoft Österreich unterstützt. Der Inhalt ist jedoch die Privatmeinung des Bloggers.

Although this blog is supported by Microsoft Austria, the content represents the personal opinion of the blogger.

WindowsBlog App

Windowsblog News gleich auf Windows 8 lesen: mit der WindowsBlog Neuigkeiten App finden Sie News aus dem WindowsBlog, WinforPro und Dr. Windows übersichtlich in einer App zusammen gefasst.

 

RecentComments

Comment RSS

Month List