Die DNS-Schwachstelle, ein Ausblick auf die Black Hat Konferenz und ein Kommentar zu George W. Bushs neuester Klimaschutz-Initiative sind die Themen des heutigen "Standpunkt Sicherheit".

DNS - The never-ending Story

Die DNS-Schwachstelle wird uns wohl noch einige Zeit beschäftigen. Schrieb ich im Standpunkt der vorigen Woche noch, es sei nicht sicher, ob wirklich Angriffe stattfinden, kam kurz darauf die Bestätigung, dass dem so ist. Prominentestes Opfer wurde indirekt H D Moore, einer der Entwickler der ersten Exploits. Da hätten die Angreifer sich vielleicht besser einen anderen Nameserver aussuchen sollen. So wissen wir wenigstens, dass es nicht reicht, den eigenen Nameserver zu patchen - auch alle, von denen der seine Antworten bekommt, müssen gepatcht sein. Oder um H D Moore zu zitieren:

"The lesson -- even if your own DNS servers are patched, make sure none of those systems use an upstream DNS that has not."

Eigentlich logisch, aber bisher scheint da niemand explizit drauf hingewiesen zu haben. Naja, bei der Fülle an Meldungen wäre das vielleicht sowieso untergegangen. Eigentlich ist das auch kein Problem, wenn wirklich alle ihre Nameserver patchen. Hoffentlich steht nicht irgendwo noch einer, der längst vergessen wurde, so wie der legendäre eingemauerte Netware-Server der Universität von North Carolina. Ach so: Sogar Benutzer von Mac OS X können inzwischen ihren BIND patchen, Apple hat den Patch im Rahmen des Security Update 2008-005 ausgeliefert. Etwas spät, wenn man bedenkt, wie lange die BIND-Patches inzwischen verfügbar sind, aber wie heißt es so schön: Besser spät als nie. Leider ist das erst die halbe Miete, denn der DNS-Client ist immer noch angreifbar.

Black Hat in Sicht

Nein, diesmal kein Bösewicht, sondern die gleichnamige Sicherheitskonferenz, die am 6. und 7. August in Las Vegas stattfindet. Einige Informationen über die dort zu erwartenden Vorträge wurden bereits veröffentlicht. Und auch über nicht zu hörende Vorträge gibt es natürlich Informationen. So scheint Apple's Festplattenverschlüsselung FileVault einen Fehler zu enthalten, den Apple lieber nicht auf der Black Hat präsentiert sehen möchte. Mit Hinweis auf eine Vertraulichkeitsvereinbarung zwischen Apple und dem Entdecker der Schwachstelle wurde der Vortrag abgesagt. Wenn das mal nicht nach hinten losgeht...

Wieso muss ich jetzt gerade an die DNS-Schwachstelle denken, die ja eigentlich auch erst auf der Black Hat veröffentlicht werden sollte und dann schon zwei Wochen vorher bekannt wurde? Vom Bekanntwerden der Existenz der DNS-Schwachstelle bis zur Veröffentlichung von Details hat es gute zwei Wochen gedauert, bis zur Veröffentlichung der ersten Exploits dann nicht einmal zwei Tage. Nachdem Apple jetzt so betont ungeschickt auf die Schwachstelle in FileVault hingewiesen hatte, könnte es da ähnlich aussehen.

Black Hat und das Web

Was gibt es noch? Nathan McFeters, Billy Rios, John Heasman und Rob Carter stellen einen neuen Angriff auf Webbrowser vor. Als GIF getarnte JAR-Archive werden vom Browser als Bild gerendert und von der Java Virtual Machine als Java-Applet ausgeführt. So getarnte Java-Applets, genannt GIFAR, können in jede Webanwendung eingeschleust werden, die Bilder nicht gut genug prüft. Und danach dann beliebigen Schaden anrichten, z.B. Zugangsdaten ausspähen oder Schadcode nachladen oder ... . Laut Nathan McFeters ist das nicht der einzige neue Angriff, der von ihnen vorgestellt wird.

Jeremiah Grossman und Arian Evans beschreiben, wie 'Business Logic Flaws', also z.B. eine fehlende Authentifizierung vor dem Zugriff auf sensitive Informationen oder gefährliche Aktionen, zum Profit des Angreifers ausgenutzt werden können. Jeremiah Grossman hat bereits ein Paper (PDF) mit den sieben häufigsten Schwachstellen veröffentlicht.

Justin Clarke informiert über die sich seit dem Frühjahr verbreitenden SQL-Würmer, über die bereits massenhaft Websites mit Schadcode infiziert wurden.

Black Hat und die Schnüffler

Herr Dr. Schäuble dürfte sich besonders für einen Vortrag von Lukas Grunwald interessieren: 'Hacking and Injecting Federal Trojans'. Natürlich kann der ISP 'on the fly' Schadcode in die Verbindung einschleusen, aber welcher Terrorist wäre so dämlich, seine Anschlagspläne auf einen mit dem Internet verbundenen Rechner zu speichern? Ja, ich weiß, Deutschland sucht den Super-Depp, oder so ähnlich. Passend dazu berichtet Eric Filiol über Angriffe auf nicht mit dem Netzwerk verbundene Rechner.

So viel erst einmal zur Black Hat. Ach ja: Dan Kaminsky wird die DNS-Schwachstelle vorstellen. Ich bin gespannt, ob wirklich schon alles bekannt ist oder ob es da noch mehr Angriffspunkte gibt als bisher bekannt geworden sind.

Missverstandener Mr. Bush

Es wird immer geklagt, George W. Bush würde nichts gegen die Klimakatastrophe unternehmen. Jetzt tut er endlich was, und das ist den Leuten auch wieder nicht recht. Ja, was denn nun? Ist es etwa keine super Idee, auf all die im Internetzeitalter völlig unnötigen Geschäftsreisen mit dem Flugzeug zu verzichten? Warum sollen die Manager im Flieger über den Atlantik jetten, unnötig Kraftstoff verbrauchen und die Umwelt verpesten, wenn das Ganze doch auch klimaschonend über eine Telefon- und Videokonferenz abgewickelt werden kann?

Und da die wenigsten Menschen auf rationale Argumente hören, geht Präsident Bush eben einen anderen Weg. Statt zu bitten "Bitte verzichten Sie auf unnötige Flüge, nutzen Sie moderne Kommunikationsmittel" versucht er es mit sanften Druck. Seine Idee: Niemand wird mehr Geschäftsreisen in die USA unternehmen, wenn der Zoll bei der Einreise das Notebook mit den vertraulichen Geschäftsunterlagen durchsucht und die Daten kopiert, siehe die 'Customs policy' (PDF). Wirklich eine sehr gute Idee, da hat er vollkommen recht! Und damit erst gar keiner auf die Idee kommt, die Daten einfach auszudrucken und damit zu fliegen, was durch das höhere Gewicht zu einer noch größeren Umweltbelastung führen würde, werden natürlich auch Ausdrucke, Bücher usw. untersucht und bei Interesse, Bedarf, Lust oder Laune des Zollbeamten beschlagnahmt.

Ein wirklich sehr geschickter Schachzug, unnötige Geschäftsreisen zu verhindern. Und was erntet Präsident Bush für diesen löblichen Einsatz gegen die Klimakatastrophe, der vollkommen missverstanden wird? Nichts als Beschwerden und Häme. Dabei sind das doch die USA, das Land der unbegrenzten Möglichkeiten. Und als was werden sie verunglimpft? Als PSA, die Paranoiden Staaten von Amerika, das Land mit der unbegrenzten Überwachung. Das ist doch nun wirklich übertrieben. Oder überwacht da etwa jemand den Präsidenten? Na also, alles übertrieben und falsch verstanden. Und sie wollen doch nur unser Bestes - unsere Daten.

Ach so: Nicht in die USA reisen, nutzt vielleicht dem Klima, schützt aber nicht vor der dortigen Datensammelwut. Denn die wurde bereits erfolgreich exportiert, und die gesammelten Daten werden von unseren Innenpolitikern liebend gerne in die USA exportiert...

Carsten Eilers