Inhalte überspringen »
Alle Topthemen
Donnerstag, 18. Juni 2009
About Security #209: Schwachstellen-Suche: Webserver untersuchen
Was macht man, wenn im eingesetzten Webserver oder anderen für den
Betrieb der Webanwendung benötigten Komponenten eine Schwachstelle
entdeckt wird? Erst mal muss man selbst davon erfahren, und das am besten,
bevor es zu einem Angriff auf den eigenen Server gekommen ist. Wo man
entsprechende Informationen finden, wurde in About Security
#208
beschrieben.
Schwachstelle …
Donnerstag, 11. Juni 2009
About Security #208: Schwachstellen-Suche: Webserver schützen
Die in About Security
#207
beschriebenen Angriffe sind ein aktuelles Beispiel, wie ein Angreifer eine
gerade erst entdeckte Schwachstelle ausnutzen kann, bevor sie beim Opfer
überhaupt bekannt ist.
Verstecken als Gegenmaßnahme?
Wie schützt man sich vor Angriffen auf solche Schwachstellen? Im
Prinzip klingt das unmöglich - wie soll man sich vor etwas
schützen, das man gar nicht kennt? …
Mittwoch, 10. Juni 2009
Patchday: Microsoft schließt 31 Schwachstellen, Adobe 7
Am Juni-Patchday hat Microsoft wie angekündigt insgesamt 10 Security-Bulletins veröffentlicht, die insgesamt 35 Schwachstellen
beheben, darunter 26 zuvor nicht bekannte.
Ein
Eintrag
im Blog des Microsoft Security Response Center (MSRC) weist darauf hin, das
die aktuell für Angriffe ausgenutzte
DirectX-Schwachstelle
noch nicht
behoben werden konnte, da die Qualitätssicherung noch nicht mit den Patches
zufrieden ist. Der Eintrag enthält auch …
Donnerstag, 4. Juni 2009
About Security #207: Schwachstellen-Suche: Webserver angreifen
Nachdem der Webserver wie in About Security
#206
beschrieben mit ausreichender Sicherheit identifiziert wurde, können
darin vorhandene Schwachstellen ausgenutzt werden.
Bekannte Schwachstellen finden
Um bekannte Schwachstellen in einem bestimmten Programm zu finden, gibt es
eine ganze Reihe von Möglichkeiten. So werden Schwachstellen von
mehreren Organisationen und Unternehmen in Datenbanken gesammelt, z.B. in
der Open Source Vulnerability Database
osvdb
oder von …
Donnerstag, 28. Mai 2009
About Security #206: Schwachstellen-Suche: Webserver identifizieren
Angriffe auf den Webserver und die Suche nach dafür ausnutzbaren
Schwachstellen sind das Thema dieser und der kommenden Folgen. So, wie eine
normale Anwendung auf das Betriebssystem und seine Funktionen angewiesen
ist, ist eine Webanwendung auf den Webserver angewiesen. Ein Angreifer, der
die Kontrolle über den Webserver erlangt, kann danach auch die
Webanwendung kompromittieren.
Angriffe auf Webserver …
Freitag, 22. Mai 2009
Rückblick: Delphi Live! 2009
Vom 13. Bis 16. Mai hat in San Jose, USA, nach etlichen Jahren wieder eine Konferenz für Delphi-Entwickler unter direkter Beteiligung des Herstellers der legendären Software-Entwicklungsumgebung statt gefunden. Anders als bei den bekannten BorCon-Veranstaltungen (die letzte fand 2004 statt) hat CodeGear die Konferenz nicht selber ausgerichtet, sondern S&S Media (der US-amerikanische …
Donnerstag, 21. Mai 2009
About Security #205: Schwachstellen-Suche: Shared Environments (3)
Bei der Suche nach Schwachstellen in Shared Environments muss man zwei
Bereiche berüchsichtigen: Zum einen Schwachstellen in den vorhandenen
Webanwendungen, die einen Angriff auf das gesamte Shared Environment
erlauben. Dabei geht man genau so vor, wie bei der Suche nach
Schwachstellen in einzeln gehosteten Webanwendungen. Zum anderen muss man
nach Schwachstellen im Shared Environment selbst suchen.
Untersuchung …
Donnerstag, 14. Mai 2009
About Security #204: Schwachstellen-Suche: Shared Environments (2)
Für Schwachstelle in und Angriffe auf bzw. durch Anwendungen, die die
gleiche Infrastruktur nutzen, gibt es eine Reihe von Möglichkeiten. Im
Gegensatz zu einzeln gehosteten Anwendungen stellen nicht nur externe
Angreifer, sondern auch böswillige Mitbenutzer eine potentielle Gefahr
dar.
Hintertür durch die Vordertür
In Shared-Hosting-Umgebungen gibt es ein grundsätzliches Problem, das
bei einzeln gehosteten Anwendungen nicht auftritt: Die …
Mittwoch, 13. Mai 2009
Microsoft Patchday: 14 auf einen Streich
Am Mai-Patchday hat Microsoft wie
angekündigt
ein als kritisch eingestuftes Security-Bulletin zu PowerPoint
veröffentlicht:
Das Bulletin
MS09-017
behebt auf einen Schlag 14 Schwachstellen, die alle die Ausführung
beliebigen Codes erlauben. Zum Vergleich: Am
April-Patchday
waren es 23 Schwachstellen, aber dafür wurden 8 Bulletins benötigt.
Kritisch für PowerPoint 2000 SP3
Das Bulletin wird für PowerPoint 2000 SP3 als kritisch eingestuft,
für …
Donnerstag, 7. Mai 2009
About Security #203: Schwachstellen-Suche: Shared Environments
In Umgebungen, in denen verschiedene Anwendungen die gleiche Infrastruktur
nutzen, können Schwachstellen in bzw. Angriffe auf eine der
Anwendungen entweder zur Kompromittierung der Infrastruktur und/oder aller
anderen Anwendungen führen. Typische Fälle solcher Umgebungen
sind das Shared Hosting und Application Service Provider.
Unabhängig davon, ob eine Website auf einem eigenen Server bei einem
Colocation-Provider, im Rahmen von Shared …
Donnerstag, 30. April 2009
About Security #202: Schwachstellen-Suche: Schichtenarchitekturen angreifen
Außer der Ausnutzung von Vertrauensbeziehungen gibt es in
Schichtenarchitekturen für Webanwendungen zwei weitere mögliche
Angriffe: Über eine Schwachstelle in einer Schicht können
Schutzmaßnahmen einer anderen unterlaufen werden, oder nach der der
Kompromittierung einer Schicht erfolgen interne Angriffe auf die anderen
Schichten. Beide Fälle werden im folgenden beschrieben.
Angriffe durch andere Schichten
Sind die verschiedenen Schichten nicht ausreichend getrennt, …
Donnerstag, 23. April 2009
About Security #201: Schwachstellen-Suche: Vertrauensbeziehungen ausnutzen
Angriffe auf die Architektur der Webanwendung werden bei deren Untersuchung
auf Schwachstellen oft übersehen, obwohl sie eine nicht zu
unterschätzende Gefahr darstellen.
Bei Anwendungen, die aus mehreren Schichten bestehen, können
Schwachstellen in einer bzw. Angriffe auf eine Schicht sehr schnell zur
Kompromittierung des Gesamtsystems führen. In Umgebungen, in denen
verschiedene Anwendung die gleiche Infrastruktur nutzen, können
Schwachstellen in …
Donnerstag, 16. April 2009
About Security #200: Ein Rückblick auf 4 Jahre IT-Sicherheit
Dies ist die 200. Folge "About Security", dazu kommen jeweils vier nicht
nummerierte Weihnachts-Special und CeBIT-Berichte. Damit handelt es sich um
ein doppeltes Jubiläum: Die Serie wird gleichzeitig 4 Jahre alt, #1
erschien am 14.4.2005. 4 Jahre - das ist im IT-Bereich eine halbe Ewigkeit.
Da lohnt es sich, mal einen Blick auf die Entwicklungen …
Mittwoch, 15. April 2009
Microsoft Patchday schließt 23 Schwachstellen
Am April-Patchday hat Microsoft wie
angekündigt
fünf als kritisch, zwei als wichtig und ein als moderat eingestuftes Security-Bulletin
veröffentlicht,
die insgesamt 23 Schwachstellen schließen. In Microsofts Security Resarch &
Defense Blog wurde eine Übersicht über die Dringlichkeit der Patches
veröffentlicht.
MS09-009 - 2 Schwachstellen in Excel
Das als kritisch eingestufte Security Bulletin
MS09-009
betrifft Microsoft Excel: Je eine bisher …
Dienstag, 14. April 2009
Conficker wird aktiv - ein Grund zur Panik?
Die bis dahin aktuelle Variante des RPC-Wurms Conficker/Downadup hat am 7. April
begonnen, Code nachzuladen. Laut einem Bericht von
Trend Micro
wird die Peer-to-Peer-Funktion genutzt, um eine neue Variante des Wurms
nachzuladen, der von Trend Micro als
WORM_DOWNAD.E
bezeichnet wird.
Die neue Variante
Laut
Trend Micro
und
F-Secure
wird sich die neue Variante am 3. Mai selbst deaktivieren. Bis dahin
versucht sie, …
Donnerstag, 9. April 2009
About Security #199: Schwachstellen-Suche: Formatstrings
Eine Formatstring-Schwachstelle entsteht, wenn Benutzereingaben
ungeprüft und ungefiltert an bestimmte C-Funktionen wie z.B.
printf() übergeben werden, die formatierten Text ausgeben
können. Diese Funktionen akzeptieren eine unterschiedliche Anzahl von
Parametern, die aus verschiedenen Datentypen wie Zahlen oder Strings
bestehen können. Der gleichzeitig übergebene Formatstring
spezifiziert, welche Daten in den Variablen enthalten sind und in welchem
Format sie dargestellt werden …
Dienstag, 31. März 2009
Open Cloud Manifesto: Auf der Suche nach den Standards für die Wolke
Eine Gruppe von über 70 Unternehmen ist mit einem Open
Cloud Manifesto an die Öffentlichkeit getreten. Das Manifest
versteht
sich nicht als Definition einer Cloud-Infrastruktur, sondern
möchte vielmehr eine Debatte anstoßen, heißt es darin. Das 7-seitige
Papier versucht
eine Annäherung an den Begriff Cloud Computing überhaupt, untersucht
die Herausforderungen und Probleme und beschreibt eine Reihe von
Prinzipien, denen sich die …
Donnerstag, 26. März 2009
About Security #197: Schwachstellen-Suche: Pufferüberläufe verhindern
In About Security
#196
wurden die Testeingaben für die Suche nach
Pufferüberlauf-Schwachstellen beschrieben, in dieser Folge erfahren
Sie, worauf Sie bei der Auswertung der Ausgaben achten müssen und wie
Angriffe über Pufferüberlauf-Schwachstellen verhindert werden
können.
Pufferüberlauf-Schwachstellen finden
Nach jeder präparierten Eingabe wird die Ausgabe der Webanwendung auf
auffällige Zeichen hin überprüft. Da der Pufferüberlauf
meist erst gegen Ende der Verarbeitungskette …
Freitag, 20. März 2009
Internet Explorer 8 verfügbar
Version 8 des Microsoft-Browsers Internet Explorer steht zum Download zur Verfügung.
Zu den herausragenden Neuerungen des IE8 gehört das Anzeigen von Webseiten, die an "alte" Browser-Versionen angepasst sind. Ein einzelner Klick auf den "Kompabilitäts-Ansicht"-Button genügt, damit verzerrte Texte und Bilder korrekt dargestellt werden.
Mit "Schnellinfos" gelangen Anwender per Klick auf die rechte Maustaste …
Donnerstag, 19. März 2009
Risiken durch Manipulation per Social-Engineering
Die GUUG-Konferenz 2009 ist zu Ende gegangen. Das Frühjahrsgespräch der German Unix User Group (GUUG) e.V. findet einmal im Jahr statt und richtet sich an Profis, die in den Bereichen Unix, Netze und IT-Sicherheit tätig sind. Unter einer Reihe von Vorträgen wurden u.a. die Ausführungen von Stefan Schumacher zum Thema "Psychologische …