Er ist eingeschlagen wie eine Bombe: Der Wikiscanner (bzw. hier für die deutsche Wikipedia) Und zugegeben, auch wenn das, was er tut, eher trivial ist, so ist es doch mal wieder die Zusammenführung von existierender Information, die plötzlich eine völlig neue Sichtweise ermöglicht.
Für alle, die sich noch nicht mit dem Wikiscanner auseinandergesetzt haben: Er analysiert einfach die IPs, die bei jeder Wiki-Änderung hinterlegt werden, gegen die offiziell zugeteilten IP-Ranges und kann damit vielen Wiki-Einträgen einen "Urheber" geben. Das ist faktisch immer nur ein Unternehmensname, aber dennoch lässt der direkte Vergleich zwischen Eintrag und Unternehmen allzuoft deutliche Rückschlüsse zu. Nicht zu sprechen von kleineren Unternehmen, bei denen man eigentlich - wenn man sie kennt - fast schon die Person ausmachen kann, die hinter einer Änderung steht.
Ein einfaches Beispiel
Die deutsche Microsoft geht über MS Dublin ins Internet, im deutschen Wiki werden primär deutsche Microsofties editieren, ein kurzer Blick in den Wikiscanner und wir dürfen uns 163 Änderungen ansehen:
http://wikiscanner.virgil.gr/f_DE.php?ip2=213.199.128.0-143.255
Neben lustigen Einträgen (was ist denn nun ActiveX?? Wie lange gibt eine Kuh Milch?) mischt Microsoft natürlich auch bei den eigenen Produkten mächtig mit. Das ganze ist sehr überschaubar und birgt wenig Anlass zur Kritik, es zeigt aber die Möglichkeiten des Scanners sehr gut.
Die Konsequenzen
Sicher kann man jetzt viel über statische IP-Ranges schreiben (oder gar dem Lifetime IP-Feature von IPv6 uns seine Folgen in diesem Kontext). Mir geht es aber um etwas anderes:
Der Wikiscanner zeigt, welche Folgen lanfristige IP-Speicherung hat. In der Debatte um "Vorratesdatenspeicherung" sollte spätestens jetzt auch der letzte Anti-Terror-Schreihals aufwachen: Die Profilierung von Individuen wird perfektioniert. Es wird immer wieder zu versehentlichen Veröffentlichungen von IP-Bewegungsdaten kommen und es gibt kein Vergessen. Auch in 10 Jahren kann die eigene Jungendsünde zwar verjährt sein, aber immer noch im Netz kursieren. Und es wird Mashups geben, die auf einen Blick alle Daten zusammentragen und sehr binär über die eigene Zukunft entscheiden.
Ich werde hoffentlich bald mal Zeit finden, das ganze prototypisch in ein eigenes Mashup gegen Wiki / Foren / AOL Suchliste / Google Groups laufen zu lassen, aber ich denke es müsste schon so recht klar geworden sein: Die eigene Spur ist mit einem Log Off oder dem Schliessen des Browserfensters noch lange nicht vernichtet...
Dienstag, 28. August 2007
Freitag, 24. August 2007
Ein Jahr Anti-Virus und die Sicherheitslücken
Die Vereinfachung meiner Grundannahmen zum Thema Security läßt sich in einer provozierenden Grundthese zusammenfassen:
"Je mehr Sicherheitsprodukte installiert werden desto geringer ist die Gesamtsicherheit".
Ich werde in nächster Zeit meine These noch weiter untermauern und vor allem genauer erläutern, da sich mit Allgemeinsätzen wenig aussagen lässt. Auch ist mir klar, dass es bei den diversen Risiken im Internet eine Strategie zum Schutz der Anwender geben muss. Aber: Der unreflektierte Glaube an den Schutz durch Schutzprodukte ist ein Irr-Glaube - viel zu oft sind es genau diese Schutzprogramme, die die Einfallstore für den nächsten Angriff erst öffnen.
Eröffnen möchte ich den Ring No Security Blog vs. Security Vendors mit einem kleinen Suchergebnis auf Heise.de: Ein Jahr und seine 35 Hacker-Einladungen durch Anti-Virus-Produkte:
"Je mehr Sicherheitsprodukte installiert werden desto geringer ist die Gesamtsicherheit".
Ich werde in nächster Zeit meine These noch weiter untermauern und vor allem genauer erläutern, da sich mit Allgemeinsätzen wenig aussagen lässt. Auch ist mir klar, dass es bei den diversen Risiken im Internet eine Strategie zum Schutz der Anwender geben muss. Aber: Der unreflektierte Glaube an den Schutz durch Schutzprodukte ist ein Irr-Glaube - viel zu oft sind es genau diese Schutzprogramme, die die Einfallstore für den nächsten Angriff erst öffnen.
Eröffnen möchte ich den Ring No Security Blog vs. Security Vendors mit einem kleinen Suchergebnis auf Heise.de: Ein Jahr und seine 35 Hacker-Einladungen durch Anti-Virus-Produkte:
- Mehrere Sicherheitslücken in Trend-Micro-Produkten
(22.08.2007, dmk)
In mehreren Sicherheitsprodukten von Trend Micro können Schwachstellen dazu führen, dass Angreifer fremden Code auf betroffene Systeme schleusen. Betroffen sind sowohl Unternehmens- als auch Privatanwender-Lösungen.
- Kritische Lücke in Norton Antivirus und Internet Security
(10.08.2007, dab)
Fehlerhafte ActiveX-Controls ermöglichen Angreifern, einen PC unter ihre Kontrolle zu bekommen. Dazu genügt der Besuch einer infizierten Webseite. Updates stehen zur Verfügung.
- Unsichere Dateirechte in Panda Antivirus
(08.08.2007, dmk)
Durch unsichere Rechtevergabe auf die Verzeichnisse und Dateien von Panda Antivirus können Angreifer ihre Rechte auf dem Rechner ausweiten. Abhilfe ist laut Panda aber in Sicht.
- CA patcht Schwachstellen in zahlreichen Produkten
(25.07.2007, dab)
Unter anderem schließt der Hersteller eine kritische Lücke in eTrust Intrusion Detection 3.0 und DoS-Lücken in den Parsern seiner Virenscanner.
- Sicherheitslöcher in Antivirus-Produkten von Norman
(23.07.2007, dab)
Durch mehrere Schwachstellen können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. Die kritischen Lücken sind noch nicht gepatcht.
- Lücken in Panda Antivirus und NOD32
(21.07.2007, dab)
Schwachstellen in NOD32 und Panda Antivirus ermöglichen einem Angreifer, einen Scanner zum Absturz zu bringen oder sogar eigenen Code in den Rechner eines Opfers zu schleusen und zu starten.
- Pufferüberlauf in CAs Alarmierungsdienst
(18.07.2007, dmk)
CA liefert mit mehreren Produkten einen Alert Notification Server aus, der im lokalen Netz erreichbar ist und in dem Schwachstellen dazu führen, dass Angreifer Schadcode ausführen können.
- Sicherheitslecks in Antivirensoftware
(13.07.2007, dmk)
In ClamAV und AVG können Sicherheitslücken zu einem Denial-of-Service führen oder Anwendern die Ausweitung ihrer Rechte ermöglichen. Microsoft startet derweil eine Betaphase für OneCare 2.0.
- Mehrere Schwachstellen in Symantec-Produkten [Update]
(12.07.2007, dmk)
In Produkten von Symantec wurden mehrere Sicherheitslücken entdeckt, durch die lokale Anwender ihre Rechte ausweiten, Angreifer aus dem Netz einen Denial-of-Service auslösen oder fremden Code ausführen können.
- DoS-Lücke in Kaspersky-Treiber
(18.06.2007, dmk)
Ein Treiber aus Kasperskys Antivirenprodukten klinkt sich in Systemfunktionen ein. Durch fehlerhafte Überprüfungen von daran übergebenen Parametern können Angreifer den Rechner zum Absturz bringen.
- CA patcht zwei kritische Lücken in zahlreichen Produkten
(06.06.2007, dab)
Zwei Fehler bei der Verarbeitung von CAB-Archiven können zum Absturz führen oder einem Angreifer die Gelegenheit geben, ein System zu kompromittieren.
- Mehrere Sicherheitslücken in F-Secure
(30.05.2007, dmk)
Durch Schwachstellen in den Antivirenprodukten von F-Secure können bösartige Individuen mit präparierten Archiven oder ausführbaren Dateien fremden Code ausführen oder einen Denial-of-Service provozieren.
- Avast führt Code aus CAB-Dateien aus
(24.05.2007, dmk)
Der Virenscanner Avast von Alwil ließ sich mit manipulierten CAB-Dateien beliebigen Programmcode unterschieben.
- NOD32 führt Schadcode aus
(23.05.2007, cr)
Der Antivirus-Hersteller Eset behebt zwei Schwachstellen in seinem Scanner, die unter Umständen Angreifern lokal und übers Netz die Pforten öffnen.
- Sicherheitslücke in Symantec-ActiveX-Modul
(10.05.2007, dmk)
Ein von Norton-Produkten installiertes ActiveX-Modul kann durch einen Design-Fehler dazu führen, dass weitere, eigentlich für den Browser gesperrte ActiveX-Module geladen und Sicherheitslücken darin ausgenutzt werden.
- Mehrere CA-Produkte für Unternehmen ermöglichen Codeschmuggel
(10.05.2007, dmk)
CA hat eine Sicherheitsmeldung veröffentlicht, die Fehler in den Produkten für Unternehmen beschreibt. Angreifer können die Lücken zum Einschmuggeln beliebigen Programmcodes ausnutzen.
- Kaspersky stopft kritische Lücken in Antiviren-Produkten [Update]
(05.04.2007, dab)
Ein Maintenance Pack 2 löscht unter anderem ActiveX-Controls, mit dem sich beliebige Dateien vom System eines Opfers herunterladen lassen.
- Fehler in Trend Micros Virenscanner bringt Windows zum Stillstand
(16.03.2007, dab)
Eine Division durch Null beim Scannen präparierter Dateien führt zum Bluescreen of Death.
- Kaspersky-DoS durch manipulierte UPX-Dateien
(03.03.2007, dmk)
Präparierte UPX-Dateien können dazu führen, dass nicht aktualisierte Versionen der Virenscanner von Kaspersky in eine Endlosschleife geraten.
- Symantecs Controls für Online-Support waren Einfallstor für Angreifer
(23.02.2007, dab)
Über fehlerhafte Active-Controls in Norton AntiVirus 2006, Norton Internet Security 2006 und Norton System Works 2006, konnte ein Angreifer einen Windows-PC unter seine Kontroller bringen.
- Sicherheitslecks in Virenscannern
(08.02.2007, dmk)
In Trend Micros Virenscannern können bösartige Individuen beliebigen Code einschleusen. Avast für Server fragt nicht immer nach dem eingestellten Passwort.
- Sophos beseitigt Lücken in Anti-Virus
(09.12.2006, ju)
In den letzten zwei Wochen verteilte Sophos Updates, die eine Reihe von Lücken in ihren Anti-Virus-Produkten beseitigen. Diese hätten sich durch speziell präparierte E-Mails ausnutzen lassen, um Schadcode einzuschleusen.
- Lücke in NOD32 ermöglichte Code-Ausführung
(20.12.2006, dmk)
Der Virenscanner NOD32 von Eset hatte ein Schwachstelle, durch die Angreifer mit manipulierten Word-Dokumenten einen auftretenden Pufferüberlauf zum Einschleusen von beliebiger Software ausnutzen konnten.
- Lücke in Viren-Scannern von BitDefender gestopft
(18.12.2006, dab)
BitDefender verteilte den Patch über das automatische Update bereits im August. Anders als aktuell bei Symantec-Produkten dürften daher kaum noch verwundbare Systeme anzutreffen sein.
- Yellow Worm verbreitet sich über Lücke in Symantecs Virenscannern
(17.12.2006, dab)
eEye warnt vor "Yellow Worm", auch das ISC stellt erhebliche Portscans auf den Symantec Client Port 2967 fest. Symantec will zunächst keinen Unterschied zum Hintergrundrauschen festgestellt haben.
- E-Mail-Scanner patzen bei MIME-kodierten Anhängen
(07.12.2006, dab)
Hendrik Weimer hat einen Fehlerbericht veröffentlicht, in dem er eine Methode beschreibt, wie sich Schädlinge in Mailanhängen an Virenscannern vorbeischmuggeln lassen.
- Kritische Sicherheitslücken in AVG geschlossen
(13.11.2006, dmk)
Hinter dem Changelog-Eintrag "Anfälligkeiten in der Archiv- und Dateiverarbeitungs-Engine behoben", den Grisoft bereits vor mehreren Wochen zu einem AVG-Update herausgegeben hat, verbergen sich einige kritische Sicherheitslücken.
- Trojaner benutzt Virenscanner
(21.10.2006, bbe)
Ein Trojaner namens SpamThru bekämpft seine Malware-Kollegen mit Hilfe eines Virenscanners.
- AV-Scanner Dr.Web führt Schadcode aus
(20.09.2006, cr)
Durch manipulierte LHA-Archive kommt es zu einem Pufferüberlauf auf dem Heap, durch den Angreifer unter Umständen die vollständige Kontrolle über den PC übernehmen können.
- Format-String-Schwachstelle in Symantecs AntiVirus Corporate Edition (19.09.2006, dab)
Lokal angemeldete Anwender mit eingeschränkten Nutzerrechten können die Lücke ausnutzen, um eigene Programme mit Systemrechten zu starten. Prinzipiell könnten auch eingedrungene Schädlinge so an Systemrechte gelangen und den Virenschutz aushebeln.
- Rechteausweitung in Symantecs Firmen-Antivirus
(14.09.2006, dmk)
Symantecs Antivirenlösungen für Unternehmensnetze erlauben lokalen Nutzern, ihre Rechte auszuweiten.
- Avast-Virenscanner anfällig für Codeschmuggel
(11.09.2006, dmk)
Durch Avast-Virenscanner können Angreifer mit manipulierten LHA-Archiven beliebigen Programmcode einschleusen.
- Panne bei CA-Antivirus legte Windows 2003 lahm
(06.09.2006, ju)
Ein fehlerhaftes Signatur-Update des CA-Virenscanners eTrust erkannte die System-Datei lsass.exe auf Windows-2003-Server-Systemen als Schädling und löschte sie kurzerhand.
- ClamAV führt UPX-komprimierte .EXEs aus
(08.08.2006, dmk)
In ClamAV kann beim Entpacken von UPX-komprimierten Programmen ein Pufferüberlauf auftreten. Dadurch könnten Angreifer mit manipulierten Dateien beliebigen Code einschleusen und ausführen.
- Sicherheitsleck im Online-Virenscanner von CA erlaubt Codeausführung
(07.08.2006, dmk)
Durch Schwachstellen in den eingesetzten Active-X-Modulen könnten Angreifer auf Systemen Schadcode einschleusen, die den Online-Virenscan von Computer Associates genutzt haben.
No Security?
Hallo,
mein Name ist Jan Peterson und ich arbeite seit vielen Jahren in der IT - genauer gesagt im Bereich IT-Sicherheit. Speziell Verschlüsselung, Signatur und Zertifikatsmanagement und all die Facetten dieser Technologien gehören zu meinem täglichen Kampf und mir begegnet dabei soviel Nonsens, dass ich mich jetzt entschlossen habe in einem Blog die ganze "Security by Obscurity" dieser Branche zu sammeln. Dabei soll aber auch das Thema Anti-Virus, Intrusion-Detection, Personal Firewall etc. nicht zu kurz kommen.
Viel Spass,
Jan
mein Name ist Jan Peterson und ich arbeite seit vielen Jahren in der IT - genauer gesagt im Bereich IT-Sicherheit. Speziell Verschlüsselung, Signatur und Zertifikatsmanagement und all die Facetten dieser Technologien gehören zu meinem täglichen Kampf und mir begegnet dabei soviel Nonsens, dass ich mich jetzt entschlossen habe in einem Blog die ganze "Security by Obscurity" dieser Branche zu sammeln. Dabei soll aber auch das Thema Anti-Virus, Intrusion-Detection, Personal Firewall etc. nicht zu kurz kommen.
Viel Spass,
Jan
Abonnieren
Posts (Atom)
