Über den 'Month of ActiveX Bug' hatte ich ja am Freitag schon eine kurze Meldung geschrieben. Apropos 'Bug' – manche halten ActiveX für einen einzigen Fehler, aber darum geht es hier ja eigentlich nicht. Trotzdem möchte ich kurz erwähnen, dass ActiveX meiner Meinung nach gar nicht so schlimm ist wie sein Ruf. OK, es fehlen jegliche Sicherheitsmechanismen, aber das kann auch ein Vorteil sein. Denn so muss sich jedes Control selbst um seine Sicherheit kümmern und kann sich nicht auf ActiveX-eigene Schutzfunktionen verlassen. Gäbe es diese Funktionen, würde ein Fehler darin sofort alle Controls, die sich auf sie verlassen, verwundbar machen. So ist immer nur ein Control betroffen. Dass sich darin in letzter Zeit die Schwachstellen häufen, kann man weder ActiveX noch Microsoft vorwerfen. Ebensowenig, dass die Entwickler mancher Controls auf jegliche eigene Schutzfunktionen verzichten.

Aber zurück zum 'Month of ActiveX Bug'. Der Initiator scheint sich durch Kritiken an seinem Englisch ziemlich auf den Schwanz getreten zu fühlen und diesen jetzt einzuziehen: Ab dem 4. veröffentlicht er seine Advisories nur noch auf italienisch. Da muss ich doch gleich mal nachtreten: Sein Englisch fand ich gar nicht so schlecht – die ersten Advisories dafür um so schlechter: Programmname und -version, eine Demo und ein paar Registerinhalte. Dass es sich nicht nur um Denial-of-Service-Schwachstellen handelt, sondern auch die Ausführung eingeschleusten Codes möglich ist, hat dann Secunia herausgefunden.

Rumspielen bis ein Programm abstürzt und dann die Debugger-Ausgaben abschreiben – das kann mein 12-jähriger Neffe auch. Für ein vernünftiges Advisory ist doch ein bisschen mehr nötig. Inzwischen gibt es ein Advisory mit etwas mehr Informationen – die Frage ist jetzt nur, wie zuverlässig der Autor ist. Ich werde erst einmal abwarten, wie sich die Sache entwickelt, bevor ich die Schwachstellen in meine Datenbank aufnehme und in 'Security aktuell' veröffentliche. Außerdem nehme ich eigentlich sowieso nur Schwachstellen auf, zu denen es deutsche oder englische Advisories gibt. Zur Not gibt es zwar den Babelfish, aber das wäre dann wirklich eine absolute Notlösung.

Schwachstellen gehen...
Am Dienstag ist es wieder soweit: Microsoft hat Patchday. Angekündigt wurden

• zwei Security Bulletins für Windows, darunter mindestens ein kritisches,
• drei Security Bulletins für Office, darunter mindestens ein kritisches,
• ein kritisches Security Bulletin für Exchange und
• ein kritisches Security Bulletin für CAPICOM und BizTalk.

Der fast schon übliche Blick auf die Übersicht des Internet Storm Centers zeigt eine kritische Lücke in Word und in Windows. Die dürften dann ab Mittwoch hoffentlich der Vergangenheit angehören. Und am Donnerstag ist dann wieder 0-Day-Day...

Social Engineering kommt...
Schon im Standpunkt vom 2. Januar hatte ich geschrieben, dass ich Social Engineering für eine der kommenden Bedrohungen halte. Im aktuellen Halbjahresbericht 2006/II (PDF) der Schweizer Melde- und Analysestelle Informationssicherung MELANI wird dies in einem Schwerpunkt bestätigt. Einen Punkt möchte ich in diesem Zusammenhang besonders hervorheben: Leute, achtet darauf, wem ihr welche Informationen gebt. Und zwar nicht nur direkt, auch indirekt. Social Networks sind ja ganz nett – liefern möglichen Angreifern aber auch einen Haufen nützlicher Informationen. Wenn ich weiß, wer mit wem in Kontakt steht, kann ich mich relativ problemlos als einer dieser Kontakte ausgeben. Die nötigen Hintergrundinfos liefern mir die Profile gleich mit. Bei engen Kontakten wird ein solcher Social Engineering-Angriff (hoffentlich) scheitern. Aber es bleiben meist genug flüchtige Bekanntschaften übrig, bei denen ein Angriff erfolgreich ist. Wer würde schon einem alten Mitschüler misstrauen, der zufällig gerade in der IT-Abteilung desselben Betriebs oder beim ISP zu arbeiten angefangen hat und nach dem Passwort für den Mailserver fragt? Ach ja, vielleicht könnte man ja nach der Arbeit zusammen einen Tee trinken? Ist Earl Grey immer noch der Lieblingstee? Jetzt ist leider keine Zeit zum plauschen, die viele Arbeit... und das Passwort...? Das klingt so weit hergeholt, da fällt doch keiner drauf rein? Sicher?

Und einen Abschnitt im Bericht sollte sich Herr Schäuble mal durchlesen: 5.4, Terrorismus. Besonders den letzten grauen Kasten: Diese hinterhältigen Terroristen wollen doch tatsächlich sicher im Internet kommunizieren. Sauerei, die können doch nicht einfach ihre Daten verschlüsseln, da laufen ja die ganzen Schnüffeleien ins Leere. Obwohl... wenn ich es mir richtig überlege, ist es vielleicht besser, Herr Schäuble liest das nicht. Wer weiß, auf welche Ideen er dann kommt. Vielleicht ein Krypto-Verbot? Der Herr bringt es fertig und dreht die Zeit um 12 Jahre zurück.

Carsten Eilers