Security

Mittlerweile hat fast jeder von uns sein Notebook auf Reisen dabei. Für den Business-Termin, für das Speichern der vielen Urlaubsfotos oder nur für die Kommunikation. Bei Einreise in die USA (und wahrscheinlich demnächst auch in andere Staaten) dürfen die Daten eines Notebooks durchsucht werden! Das ist schon seit längerem üblich und ist laut Entscheidung eines Berufungsgerichtes in den USA “mit dem Öffnen von Gepäckstücken gleichzusetzen”. Das bedeutet, dass ein Zollbeamter verlangen kann, beispielsweise Browser-Cache und Mails anzuschauen, Dateien durchzusehen oder im schlimmsten Fall das Notebook zur weiteren Untersuchung zu konfiszieren (und erst nach Stunden wieder zurück zu kommen). ...

Die guten alten Zeiten - da war alles noch einfacher. Oder doch nicht? Ich habe mal an einem größeren Shop-System programmiert - das war im Jahr 2000 - und dabei gelernt, dass man einige Dinge beachten muss: Funktionalität, Usability und … Security. Ein SQL-Server-System ist ja eine feine Sache, aber es könnte dazu benutzt werden, um “bösen” SQL-Code abzusetzen - wenn man nicht ein paar grundlegende Dinge berücksichtigt. Die Bezeichnung “SQL-Injection” bedeutet, dass Eingaben (meist durch Webformulare oder präparierte URLs) um syntaktisch korrekte SQL-Befehle erweitert werden, sodass von Außen bösartiger Code eingeschleust werden kann, der Daten ändert oder löscht. ...

Wahrscheinlich ist nur wenigen Administratoren bekannt, dass es im Microsoft TechNet eine Reihe von Informationen und Services gibt, welche über Patches, gestopfte Sicherheitslücken, Tools und Empfehlungen berichten. Das wird hiermit nachgeholt. ;-) Im Thema Sicherheit findet sich die Einstiegsseite Security Bulletin-Suche. Hier findet sich beispielsweise auch der Bulletin vom Mai 2008 - diesmal wurden drei als kritische Sicherheitslöcher und eines als mittleres Sicherheitsloch eingestuft und behoben. Empfehlenswert für System-Admins ist auch der Microsoft Security Bulletins RSS-Feed. Für Betreiber von MU, WU und WSUS finden sich in KB894199 Informationen über Änderungen dieser Dienste im Jahr 2008. ...

Es hätte eigentlich schon bis Ende April veröffentlicht werden sollen - aber nun ist es wirklich da: Das “letzte” Service-Pack für Windows XP: ServicePack 3. Grund für die Verzögerung waren Kompatibilitätsprobleme mit dem eigenen Microsoft Dynamics Produkten. Diese wurden in SP3 nun behoben. Das Whitepaper Windows XP Service Pack 3 Overview informiert über die Neuerungen. Enthalten sind u.a. Security-Patches für Web und Office-Applikationen. Es wurde die Produktaktivierung von Windows Vista und Windows Server 2003 SP2 hinzugefügt. Windows XP kann jetzt ohne Produktschlüssel installiert werden und für einen begrenzten Zeitraum laufen. Der Produktschlüssel kann dann später durch das “Genuine Advantage-Programm” eingegeben werden. ...

Für Nicht-kommerziellen-Home-Use gibt es eine Reihe von Empfehlungen für den Virenscanner avast. avast des tschechischen Software-Herstellers ALWIL besitzt eine integrierte Anti-Spyware, Anti-Rootkit und eine Selbstschutzfunktion. Das Setup ist sehr einfach und das look & feel ansprechend - sprich einen Tipp wert! avast kann bis zu 60 Tage lang getestet werden, für die private Benutzung zu Hause ist danach nur eine Online-Registrierung nötig. Siehe auch die Artikel in Vistablog und WinFuture. Hier gehts zur Download-Seite von avast Home.

Wie bereits im Artikel über Greylisting und seine Auswirkungen auf manche Exchange 2003 Systeme angekündigt, hier ein paar nützliche Informationen zu einem neuen Service, welches von Microsoft angeboten wird: Exchange Hosted Filtering. Spam und seine Vermeidung gehört mittlerweile zu einem Lieblingsthema von mir. Mit Erstaunen stelle ich immer wieder fest, wie abhängig wir uns vom Medium E-Mail machen und dabei in Kauf nehmen, dass unsere E-Mails nicht ankommen, in einem Schwall von Junk in einem Spamordner versinken, wir täglich viel Zeit damit verbringen, Mails auszusortieren, unsere Handys mit Push E-Mail Funktionen verwenden um nur ja nix zu verpassen. ...

Rechtzeitig vor dem Jahreswechsel wurde ein neues Blog von Microsoft ins Leben gerufen, in dem jetzt mehr Hintergrundinformationen zu Patches veröffentlicht werden. Die bisher üblichen Hinweise zu den Patches bleiben natürlich erhalten und werden durch das neue Angebot ergänzt. Titel des Blogs ist Security Vulnerability Research & Defense. Immerhin gibt es im Dezember bereits 2 (Beispiel)Einträge zu aktuellen Security-Bulletins. Das Team hat vor, jeden monatlichen Patchday zu posten. Ziel dieser Informationen ist, den fleißigen Windows-Update-Benutzern detaillierte technische Informationen zu geben. ...

Und immer wieder kommen sie, die Phishing-E-Mails. Eigentlich zaubert eine solche E-Mail meist ein breites Schmunzeln auf mein Gesicht… Aber in Wirklichkeit gibt es wohl genügend Anwender, die darauf reinfallen. Also, um es klarzustellen: Es handelt sich um kriminelle Elemente (frei nach einem Song in Müllers Büro). Solche E-Mails sofort löschen - auf keinen Fall Links anklicken! Keine Bank fragt per E-Mail Kontodaten oder Aktualisierungen ab!! Ein ganz freches, aktuelles Beispiel sieht so aus: ...

Unter Greylisting versteht man, vereinfacht erklärt, ein Verfahren, wie man als Mailserveradministrator versucht, dem Spamaufkommen dadurch entgegenzuwirken, indem man davon ausgeht, dass böse “Spammer” nur einmal eine Mail an eine Mailadresse senden und bei einem falschen Antwortcode weiterziehen. Die Implementierung ist einfach und senkt natürlich auch den Traffic auf dem Mailserver. Unter Exchange 2003 kann es aber in seltenen Fällen zu Problemen beim Versand an Mailserver führen, die Spamabwehr mittels Greylisting betrieben. Hier kann es dazu kommen, dass die Mail, die von Exchange nicht zugestellt werden kann, einfach in der Messagequeue “verschwindet” und erst bei einem Neustart des SMTP-Services zugestellt wird. Peinlich, wenn der Server brav monatelang läuft und dann plötzlich Mails versendet werden, die schon etwas älter sind. ...

In Teil Eins wurde ein Sidebar Gadget als Vorbereitung für das Signieren vom simplen ZIP-Format in eine CAB-Datei gepackt. Teil Zwei beschreibt nun, wie Sie (beliebigen) Programmcode selbst mit einem Zertifikat versehen können. Nun, haben Sie ein eigenes digitales Zertifikat? Wenn ja: fein. Wenn nein: auch gut. Dann erstellen wir uns einfach ein eigenes Zertifikat! Variante 1: Selbsterstelltes Zertifikat erzeugen und verwenden Wir benötigen das Tool makercert. Das Tools ist Bestandteil von Microsoft Visual Studio 2005 Platform SDK und im Verzeichnis C:\Program Files\Microsoft Visual Studio 8\SDK\v2.0\Bin zu finden. Makecert erstellt ein X.509-Zertifikat mit öffentlichem und privatem Schlüssel - allerdings nur zu Testzwecken. Innerhalb Ihrer Firma wäre das aber wahrscheinlich schon ausreichend. ...