Deep Impact: Was Sie schon immer über Ihre Security Updates wissen wollten Tuesday, January 1, 2008 2:20 PM Martina Grom Rechtzeitig vor dem Jahreswechsel wurde ein neues Blog von Microsoft ins Leben gerufen, in dem jetzt mehr Hintergrundinformationen zu Patches veröffentlicht werden. Die bisher üblichen Hinweise zu den Patches bleiben natürlich erhalten und werden durch das neue Angebot ergänzt. Titel des Blogs ist Security Vulnerability Research & Defense. Immerhin gibt es im Dezember bereits 2 (Beispiel)Einträge zu aktuellen Security-Bulletins. Das Team hat vor, jeden monatlichen Patchday zu posten. Ziel dieser Informationen ist, den fleißigen Windows-Update-Benutzern detaillierte technische Informationen zu geben. Ein weiterer Schritt in die richtige Richtung, denke ich. Natürlich gibt es Pro und Contras dazu. Um gleich einmal auf die Contras einzugehen: ja, es kann jetzt die Möglichkeit bestehen, dass durch die detaillierteren Informationen Hacker und andere böse böse Zeitgenossen auf die Idee kommen, noch schneller Schadcode zu entwerfen. Ungepatchte Systeme sind damit eventuell noch schneller angreifbar als bisher. Ein paar Zahlen gefällig? Allein im 1. Halbjahr 2007 wurden 3.400 Softwareschwachstellen entdeckt - verteilt über die gesamte IT-Industrie. Als Pro steht dagegen, dass mehr Informationen nicht schaden und damit auch das Sicherheitsbewusstsein weiterhin gestärkt wird. Da wir gerade beim Thema sind: immer wieder wert, kurz vorbei zu schauen:Technet Sicherheits ToolsTechnet Sicherheits ArtikelTechnet Sicherheits Webcasts. Für jene, die an den aktuellen Analysen zur IT-Sicherheit interessiert sind, hier der Link zum derzeit aktuellen Bericht. Beitrag von Martina Grom Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
So schaut Phishing aus Thursday, November 22, 2007 7:10 PM Toni Pohl Und immer wieder kommen sie, die Phishing-E-Mails. Eigentlich zaubert eine solche E-Mail meist ein breites Schmunzeln auf mein Gesicht... Aber in Wirklichkeit gibt es wohl genügend Anwender, die darauf reinfallen. Also, um es klarzustellen: Es handelt sich um kriminelle Elemente (frei nach einem Song in Müllers Büro). Solche E-Mails sofort löschen - auf keinen Fall Links anklicken! Keine Bank fragt per E-Mail Kontodaten oder Aktualisierungen ab!! Ein ganz freches , aktuelles Beispiel sieht so aus: Von: <IrgendeineBANK> [rechnungen-83981062099116ib@<IrgendeineBANK>.de]Gesendet: Donnerstag, 22. November 2007 18:43An: **********Betreff: obligatorisch zu lesen [nachrichtenzahl: ja375836226703y] Sehr geehrter Kunde, sehr geehrte Kundin, Die Technische Abteilung der <IrgendeineBANK> führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.http://<IrgendeineBANK>.de/kundendienst/anfang.cgi?id=780382890142464722280878838112 069450803120433874879964Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.=================================================© <IrgendeineBANK>.de 2007. Alle Rechte vorbehalten. (Keine Sorge, diese E-Mail ist entschärft und der Link führt nirgendwo hin ;-) Also: Ein wachsames Auge auf E-Mails haben und keinesfalls anklicken. Sofort löschen! General | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Greylisting - wenn Exchange 2003 Mails zu spät zustellt Tuesday, November 20, 2007 8:29 PM Martina Grom Unter Greylisting versteht man, vereinfacht erklärt, ein Verfahren, wie man als Mailserveradministrator versucht, dem Spamaufkommen dadurch entgegenzuwirken, indem man davon ausgeht, dass böse "Spammer" nur einmal eine Mail an eine Mailadresse senden und bei einem falschen Antwortcode weiterziehen. Die Implementierung ist einfach und senkt natürlich auch den Traffic auf dem Mailserver. Unter Exchange 2003 kann es aber in seltenen Fällen zu Problemen beim Versand an Mailserver führen, die Spamabwehr mittels Greylisting betrieben. Hier kann es dazu kommen, dass die Mail, die von Exchange nicht zugestellt werden kann, einfach in der Messagequeue "verschwindet" und erst bei einem Neustart des SMTP-Services zugestellt wird. Peinlich, wenn der Server brav monatelang läuft und dann plötzlich Mails versendet werden, die schon etwas älter sind. Greylisting kann man auch für Exchange verwenden - alle Infos dazu und zum Verfahren finden Sie hier. Was tun, wenn oben beschriebenes Verhalten auftritt. Unser Kollege, Daniel Melanchthon hat bereits vor einiger Zeit Lösungsvorschläge in seinem Blog gepostet: Probleme mit Greylisting Die in seinem Blog geposteten Workarounds funktionieren gut. Mittlerweile gibt es jedoch auch einen Knowledgebaseartikel mit der Nummer 934709 und hier kann man sich auch einen Hotfix bestellen, wenn das Problem den eigenen Exchange Server trifft. Die gute Nachricht ist übrigens: Unter Exchange 2007 gibt es dieses Problem nicht. Da mir Antispam Methoden ein großes Anliegen sind, werde ich in weiterer Folge auch baldigst über Exchange Hosted Filtering berichten, ein tolles Mittel um Spam den Garaus zu machen! Beitrag von Martina Grom Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Code selbst signieren - Teil 2 (Das Zertifikat) Tuesday, August 28, 2007 8:05 AM Toni Pohl In Teil Eins wurde ein Sidebar Gadget als Vorbereitung für das Signieren vom simplen ZIP-Format in eine CAB-Datei gepackt. Teil Zwei beschreibt nun, wie Sie (beliebigen) Programmcode selbst mit einem Zertifikat versehen können. Nun, haben Sie ein eigenes digitales Zertifikat? Wenn ja: fein. Wenn nein: auch gut. Dann erstellen wir uns einfach ein eigenes Zertifikat! Variante 1: Selbsterstelltes Zertifikat erzeugen und verwenden Wir benötigen das Tool makercert. Das Tools ist Bestandteil von Microsoft Visual Studio 2005 Platform SDK und im Verzeichnis C:\Program Files\Microsoft Visual Studio 8\SDK\v2.0\Bin zu finden. Makecert erstellt ein X.509-Zertifikat mit öffentlichem und privatem Schlüssel - allerdings nur zu Testzwecken. Innerhalb Ihrer Firma wäre das aber wahrscheinlich schon ausreichend. Wenn Sie kein Visual Studio 2005 installiert haben, können Sie alternativ das Microsoft® .NET Framework Software Development Kit (SDK) version 1.1 herunterladen und das Tool von hier verwenden (Hinweis: im Internet Explorer Administration Kit Download sind diese Tools _nicht_ mehr vorhanden). cd C:\Program Files\Microsoft Visual Studio 8\SDK\v2.0\Bin makecert -sv "C:\Projekte\VistaGadgets\Deploy\pwdgen.pvk" -n "CN=www.atwork.at" C:\Projekte\VistaGadgets\Deploy\pwdgen.cer Passen Sie Pfad und Dateiname sowie den common name an. Damit werden der öffentliche Schlüssel .cer und der private Schlüssel .pvk erzeugt. Diese werden später benötigt. Variante 2: Eigenes öffentliches Zertifikat verwenden Wenn Sie - so wie ich - ein digitales Zertfikat besitzen, bereiten Sie Ihre Hardware vor (in meinem Fall ein persönliches Zertifikat von a-trust: USB-Kartenleser anschließen, Chipkarte einlegen, a.sign-Client _nicht_ öffnen weil sonst das Kartensystem in Verbindung mit dem folgenden, gleichzeitigen Zugriff verwirrt ist... etc). Weiter mit dem Signieren... Benötigt wird signtool.exe (welches ab 2003 die Vorgängerversion signcode.exe ersetzt), ebenfalls aus dem Microsoft Visual Studio 2005 Platform SDK. cd C:\Program Files\Microsoft Visual Studio 8\SDK\v2.0\Bin signtool signwizard Nach Willkommen-Dialog und Auswahl des zu signierenden Programmfiles (in unserem Beispiel: C:\Projekte\VistaGadgets\Deploy\pwdgen.gadget = die erstellte CAB-Datei). Wählen Sie Benutzerdefiniert. Wählen Sie bei eigenem Zertifikat "Aus Speicher wählen" - soferne Sie ihr Zertifikat bereits einmal zum Zertifikatspeicher hinzugefügt haben - was empfehlenswert ist :-) Wenn Sie zuvor mit makecert ein eigenes (Test-)Zertifikat erstellt haben, verwenden Sie "Aus Datei wählen" und geben in den folgenden Schritten die Dateien .cer und .pvk an! Wählen Sie dann "Priv. Schlüssel auf Datenträger". Wählen Sie das Zertifikat. Nun weiter. Bestätigen Sie mit Weiter. Auswahl der Verschlüsselung - wahlweise. Und weiter. Eingabe der eigenen Informationen. Wenn gewünscht, einen Timestamp zum Zeitpunkt der Signierung hinzufügen, z.B.: http://timestamp.verisign.com/scripts/timstamp.dll Und Fertigstellen. Das war das SignTool. Wenn Sie das Zertifikat auf einen Kartenleser haben, folgt nun die Eingabe der PIN. Und wenn alles ok gegangen ist die Erfolgsmeldung. Das wars! Die signierte Datei pwdgen.gadget sollte nun um ein paar KB größer als zuvor sein. Kontrollieren Sie die Datei-Eigenschaften - hier findet sich nun eine neue Registerkarte "Digitale Signatur". Schaut soweit gut aus. Nun die Kontrolle: Starten der Anwendung - in unserem Fall mit Doppelklick auf pwdgen.gadget: Die zu installierende Software besitzt nun einen Herausgeber und einen Vertrauensgrad - in meinem Fall leider "nur" gelb, da a-trust anscheinend standardmäßig leider nicht von Root weg vertraut wird. Grün wirds, wenn der ganzen Vertrauenskette vertraut wird. Damit ist sichergestellt, dass die Anwendung vom angegebenen Hersteller stammt und unverändert ist. Anwender erhalten somit Sicherheit über die zu installierende Software - zum Beispiel, dass sie von der eigenen IT ausgerollt und geprüft wurde. Es gibt natürlich weitere Methoden, Software selbst zu signieren. Mit SignTool und dem eingebauten Wizard ist dies allerdings recht einfach und zweckmäßig. ...Nie wieder Software von unbekannten Herausgebern installieren! :-) Beitrag von Toni Pohl Developer | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
Code selbst signieren - Teil 1 (Beispiel: Gadgets verpacken) Monday, August 27, 2007 11:25 PM Toni Pohl Programm-Code kann selbst mit einem Zertifikat versehen werden um den Herausgeber zu verifizieren. Im ersten Teil dieses Beitrags erfahren Sie anhand eines Sidebar Gadgets, wie dieses vorbereitet werden kann und Sie erfahren Wissenswertes über die Gadget-Technologie. Viele von uns verwenden sie bereits täglich und wollen sie nicht mehr missen: die Windows Vista Sidebar Gadgets. Nützliche kleine Tools, um rasch Informationen in den verschiedensten Bereichen zu erhalten, sei es den Wetterbericht, Aktienkurse, die Rechnerauslastung, Outlook-Infos oder RSS-Feeds. Sidebare Gadgets können relativ einfach erstellt werden und sind in Wahrheit nichts anderes als gezippte Dateien mit der Endung .gadget. (Probieren Sie es aus: Benennen Sie eine heruntergeladene Datei von .gadget in .zip um und entpacken Sie das Zip - voila.)Beim Ausführen einer *.gadget-Datei wird diese in das eigene Application Directory entpackt: C:\Users\<username>\AppData\Local\Microsoft\Windows Sidebar\Gadgets\<gadgetname> Eine Manifest-Datei gadget.xml beschreibt das Gadget, die Funktionalität besteht im Wesentlichen meist aus HTML-Seiten, Javascript und einigen Images. Soweit so gut. Die meisten Gadgets besitzen allerdings keinen Hinweis über den Herausgeber der Software - smybolisiert mit dem roten Schild. Ist ein zu installierendes Gadget wirklich vertrauenswürdig? Wer hat es programmiert und wie können wir sicherstellen, dass es sich um nicht um schädlichen Code handelt? Nun, zu schädlichem Code muss gesagt werden, dass Gadgets in einem eigenen geschützten Bereich laufen und nur zu bestimmten Teilen des Rechners Zugriff erhalten - hier besteht im Regelfall keine Sorge, dass ein Gadget wirklich "Böses" ausführen kann - dennoch sollten Entwickler einige Richtlinien beachten. Wir gehen davon aus, dass Sie den Code, welchen Sie verteilen wollen, sicher ist. :-) Aber wie kann nun die Installationsquelle "sicher" gemacht werden, damit die Anwender auf die Identität des Herausgebers vertrauen können? Wenn Sie Entwickler eines Gadgets oder IT-Pro mit dem Ziel einer sicheren Verteilung sind, benötigen Sie ein Zertifikat. Keine Sorge, wenn Sie kein "offizielles" Zertifikat besitzen, das können Sie sich auch einfach selbst erstellen. Gadgets werden im Regelfall als einfache Zip-Dateien geliefert. Schritt eins ist, statt eines Zip-Files ein .CAB-File (=Microsoft Cabinet File, ein gepacktes Archiv zur Software-Verteilung) zu erstellen. Warum? Weil .CAB-Dateien signiert werden können! Dazu benötigen wir das Microsoft Cabinet Software Development Kit. Ein Hinweis, worüber auch ich anfangs gestolpert bin: CAB-Dateien können nicht mit Visual Studio erzeugt werden, weil Visual Studio in CAB-Projekten keine Verzeichnisstruktur speichern kann - diese wird für Gadgets aber benötigt. Daher empfiehlt sich der Einsatz des Microsoft Cabinet SDK! Laden Sie Cabsdk.exe herunter und entpacken diese Datei in ein temporäres Verzeichnis. Die extrahierten Dateien werden in einen allgemeinen Folder kopiert, damit die Tools im PATH gefunden werden können (wenn Sie Visual Studio 2005 installiert haben, empfiehlt sich das Verzeichnis C:\Program Files\Microsoft Visual Studio 8\VC\bin). Nun das Visual Studio 2005 Command Prompt starten und in das Verzeichnis des Gadgets navigieren. Nun wird das Gadget in eine neue .CAB-Datei gepackt: cabarc -p -r N pwdgen.gadget * Ersetzen Sie "pwdgen.gadget" durch den gewünschten Gadget-Namen.-p behält die Verzeichnis-Struktur, -r steht für rekursiv und N für ein neues Archiv. Als Ergebnis erhalten Sie eine neue Datei pwdgen.gadget. Es handelt sich hierbei um eine gepackte Datei vom Typ CAB, welche signiert werden kann - aber nicht muss. Das Gadget kann nun (genauso wie auch .gadgets vom Typ Zip) verteilt werden. Damit wäre der erste Schritt - das Packen des Gadgets - erfüllt. In Teil Zwei sehen wir uns an, wie wir das CAB-Gadget (oder beliebigen anderen Code) mit einem eigenen Zertifikat versehen können! Beitrag von Toni Pohl Developer | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
Das Zertifikat ist abgelaufen! - Das Zertifikat ist abgelaufen? Friday, August 17, 2007 2:00 PM Martina Grom Wer kennt es nicht: gaaanz dringend noch eine Kleinigkeit im System machen - schnell remote anmelden, alles erledigen, fertig. Denkste. Schadenfroh meldet sich ein abgelaufenes Zertifikat, welches die Verbindung sicherstellt - tja, das wars dann wohl mit "ich brauche nur noch 5 Minuten". Um solche unliebsamen Dinge zu vermeiden, hat Microsoft jetzt seine PKI-Dienste mit einem Tool aufgewertet: Identity Lifecycle Manager (ILM). Zertifikatverwaltung, Identitätsbereitsstellung und die Verwaltungsfunktionen des Identity Integration Servers werden in diesem Produkt vereint. Der ILM-CM Manager (in Langform: Identity Lifecycle Manager Certificate Management) erfordert für die Installation SQL Server und Active Directory. Die Installation erfolgt Assistenten-gestützt - mit einigen Vorbereitungsschritten: Schemaerweiterung .net Framework 2.0 SQL Server IIS SMTP ... Die Verwaltung erfolgt danach über eine Weboberfläche. Eine tolle Anleitung und Kurzvorstellung des Tools finden Sie hier: Ein leistungsfähiges neues Tool für die Zertifikatsverwaltung Englische Produktinfoseite Englische Technet Infos Weitere Infos zur Identitätsverwaltung:Englische Identity Solution Seite MIIS Ressource Tool Kit Erstellen eines einstufigen Bereitstellungsworkflows Identitäts- und Zugriffsverwaltung: Einfacheres einmaliges Anmelden mittels ADFS Beitrag von Martina Grom Microsoft | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
MMPC = Mehr zum Thema Sicherheit Thursday, August 16, 2007 10:25 PM Toni Pohl Es gibt Themen, da können IT-Pros gar nicht gut genug informiert werden. Dazu gehört zweifelsohne das Thema Sicherheit. Oft wissen IT-Abteilungen erst nach Attacken, Hacks und Missbrauch, wie sie auf solche Vorfälle reagieren können und versuchen nachher, Löcher zu stopfen und ihre Infrastruktur sicherer zu machen. Genau diesem Thema nimmt sich Microsoft mit einem neuen Online-Werkzeug an: Microsoft Malware Protection Center (MMPC). Das MMPC ist ein Web-Portal, welches über "Threat Research and Response" (also Bedrohung, Analyse und Reaktion) informiert und es sich zum Ziel macht, die eigene IT vorher zu überprüfen, und Schwachstellen und Störungen zu minimieren. Das Portal zeigt die aktuellsten und häufigsten Bedrohungen in den verschiedenen Bereichen wie Desktop, E-Mail, Adware/Spyware. Ein durchsuchbares Lexikon liefert Informationen über Viren und Exploits. So bringt die Suche nach "pdf attachment" über das derzeit recht aktuelle Spaming mit PDF-Dateien 434 Ergebnisse und auch brauchbare Hinweise, wie die Schädlinge in den einzelnen Antivirus-Programmen heißen, beispielsweise: Win32/BagzWORM_BAGZ.GEN (Trend Micro) W32/Bagz.gen@MM (McAfee) W32.Bagz@mm (Symantec) Vom MMPC können auch die aktuellsten Updates (Latest Definition Updates) für Windows Defender und Microsoft Forefront Client Security downgeloadet werden. Im Tools-Bereich sind Programme verlinkt sowie Links zu Security-Blogs: Vom kostenlosen Windows Defender bis hin zum umfassenden Schutz mit Microsoft Forefront. Es können auch verdächtige oder infizierte Files (bis 10MB) an Microsoft zur Untersuchung gesendet werden - nun kann man Viren an Microsoft schicken! :-) Das Portal präsentiert sich zeitgemäß und funktionell. Ein Link führt direkt zum Microsoft Security Intelligence Report (der Report Juli bis Dezember 2006 ist übrigens wirklich interessant und hier ladbar). Unsere Kollegen vom Ready Blog Austria haben auch bereits Ende Juli in ihrem Beitrag über MMPC berichtet, aber man kann Security ja bekanntlich gar nicht oft genug an den Mann bringen! Tipp: Melden Sie sich gleich für den monatlichen Security Newsletter an! Der Newsletter enthält Security Bulletins, Update-Infos, Webcasts-Links und vieles mehr zum Thema Sicherheit. Den letzten Newsletter können Sie übrigens hier online ansehen. MMPC ist ein guter Start, sich intensiver mit dem Thema Sicherheit in Ihrer IT-Infrstruktur zu befassen und bietet dazu eine Fülle an Links und Informationen. Auf Ihre sichere IT! Beitrag von Toni Pohl Microsoft | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr