Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Unbreakable


Unbreakable? Wohl eher nicht. Nicht, das das nicht von vornherein klar gewesen wäre...

but five of the bugs can be "exploited over a network without the need for a username and password,"

Soviel zu Oracle.


Falsche Positive beim BitDefender


Letzten Donnerstag meldete ein Kunde, das die bei ihm eingesetzte Antivirus-Software BitDefender einen Virus im bei von uns heruntergeladenen Setup der Baustatikprogramme gefunden hätte. Sowas halte ich im großen und ganzen für ausgeschlossen: Die Programme selbst werden auf einem Rechner mit aktuellem Antivirus-Paket hergestellt und durchlaufen im Zuge der Produktion einen weiteren Antivirus-Test mit einem anderen Programm (das im 60-Minuten Takt aktualisiert wird). Die Produktion des eigentlichen "setup.exe" finden dann auf einer virtuellen Maschine statt, die über kein Netzwerk von außen erreichbar ist, und die zu keinem anderen Zweck als für die Produktion des Setups verwendet wird.

Auf Basis dieser Aussage löste der Kunde dann am Donnerstag Nachmittag eine Nachfrage bei BitDefender aus. Damit man dort der Sache nachgehen konnte, stellte ich noch eine Kopie des bemängelten Setups zur Verfügung. Was mich sehr positiv überraschte war dann die sehr zügige Reaktion: Keine 24 Stunden später gab es zum einen eine Entwarnung von BitDefender per eMail an den Kunden und uns - und ein Hinweis darauf, das es auch bereits eine aktualisierte Version des BitDefenders zum download gäbe, der diese "Falsche Fehlermeldung" nicht länger produziert.

Wenn sonst jemand ähnliche Erfahrungen mit anderen Antivirus-Herstellern gemacht hat, dann würde mich interessieren, wie reaktionsfreudig man dort bei solchen falschen Positiven war. Hatten Sie schon mal so einen Fall ?


Leute gibts


Zum Beispiel der Mensch neben mir auf dem Rückflug Düsseldorf -> München. Er hatte auf den 50 Minuten Flug genau 2 Beschäftigungen: Nacktfotos diverser Damen aus einem Magazin bewundern und per Handy SMS abholen. Beide natürlich sehr verstohlen. So verstohlen das eben geht, wenn man Sitz an Sitz sitzt und das Heft A4 Format hat. Als er dann mit den SMS anfing, fing ich an mir Gedanken zu machen: Sagt ich nun was, oder glaube ich weiterhin daran, das das Handy-Verbot in Fliegern in Wirklichkeit keine Sicherheitsgeschichte ist, sondern in Wirklichkein nur eine Lärmbelästigungs-Vermeidungsregel. Ich habe dann nichts gesagt, und der Flieger kam heil runter.

Beweist natürlich gar nichts.


Windows Vista: Was ist der "Protected Mode"


Unter Vista läuft der Internet Explorer 7 im Protected Mode - und das ist eine gute Sache, die von Microsoft leider ein bisschen zu wenig beschrieben wurde. Es gibt zwar die technische Referenz, die richtet sich aber in erster Linie an Softwareentwickler. Normale Anwender bleiben da ein bisschen außen vor. Darum will ich hier einmal versuchen, die Sache auch für Menschen begreifbar zu machen, die selbst keine Software programmieren.

Der Protected Mode des IE7 ist nur unter Windows Vista verfügbar, weil er vom UAC abhängig ist, und selbiges gibt es nur unter Vista. (Ja schon klar: Einige Leute beschweren sich über die Prompts die UAC auslöst - gehäuft treten die aber nur beim ersten installieren des Rechners auf, also wenn man viel Software installiert. Im Normalbetrieb sind UAC - Prompts eher die Ausnahme und stören zumindest mich überhaupt nicht.). Mit anderen Worten: Vernünftig bleiben, und UAC nicht abschalten.

Im wesentlichen geht es beim Protected Mode darum, das der Browser mit Hilfe von UAC in einem Sicherheitskontext läuft, bei dem er nicht mehr ins Dateisystem schreiben kann. Gelingt einem Angreifer also ein Angriff - egal ob gegen den Browser oder gegen irgendeines der diversen Browser-AddOns - kann er, anders als bei XP, keine Dateien auf der Festplatte verändern oder anlegen. Die Angriffsfläche ist also deutlich geringer und der Angreifer kann wesentlich weniger Schaden anrichten, als das ohne Protected Mode der Fall ist.

Der Protected Mode ist also eine zusätzliche Schutzschicht, mit deren Hilfe dem Prozess der darin läuft, Rechte "künstlich" weggenommen werden - und das wiederum erschwert Angriffe über diesen Prozess. Der Protected Mode ist dabei keine Betriebsart die auf den Internet Explorer beschränkt sein muss - auch andere Anwendungen können diese Modus nutzen. (FireFox 3 wird das auch wohl irgendwann tun...)

 


Apophänie


Die Freundin eines Freundes wollte ihren Laptop mit Hilfe seines WLANs mit dem Internet verbinden. Das klappte aber nicht so recht, und nach einigem rumfummeln und -suchen wurden die beiden dann (scheinbar) irgendwann fündig: Im WLAN-Router gab es offenbar einen MAC-Filter. Die Reaktion war klar: "Unerhört! Jetzt zahlt Microsoft schon an Hardware-Hersteller, damit die sich aktiv drum kümmern, Apple-Kunden das leben schwerer zu machen."

Nun - ganz so ist es natürlich nicht. Eigentlich nicht mal zum teil. Sehr vereinfacht gesagt ist die MAC-Adresse eine eindeutige Nummer, die eine bestimmte Netzwerkkarte hat. Jede Netzwerkkarte hat eine andere. Mit einem MAC-Filter kann man also bestimmte Computer (bzw. Netzwerkkarten) in ein Netzwerk lassen und andere aussperren. Hat absolut nichts mit Microsoft zu tun - und auch nichts mit Apple.


Neues Sicherheitstool: Haute Secure im öffentlichen Beta


Kann ich empfehlen: Haute Secure - läuft unter XP (32 bit) und Vista (32 und 64 bit). Allerdins gibts die Vista 64 Variante nicht über das automatische download: Wenn man die will, muss man erst einen (kostenlosen) Account anlegen und sich damit anmelden: Danach kommt man in den Download-Bereich, und da gibts dann einen extra Link für Vista 64.


Gestern: Jeff Jones in München


Das habe ich mir natürlich angesehen und angehört - allerdings: Jeff hatte eigentlich auch nicht mehr zu berichten, als auch in seinen Blogs (technet) (csoonline) zu finden ist.

Nächste Woche wird es dann wohl interessanter: Jeff wird dann den Vista 180 Days Vulnerabilities Report veröffentlichen.


Rootkits - und Schutz davor


Interessant: Das VRootkit ist ein Rootkit, mit dem man wohl auch Windows Vista angreifen kann. Dazu muss der angegriffene Rechner mit dem Kit einmal gebootet werden. Der Angriff geht also so: CD mit VRootkit einlegen und System neu booten.

Der Angriff funktioniert allerdings nur, wenn beim angegriffenen Vista der Bitlocker nicht eingesetzt wird: Ein Bitlocker im TPM Modus verhindert den Erfolg des Angriffs. Mehr dazu bei Robert Hensing.