Yeah, endlich hat es sich rumgesprochen: Intrusion Detection Systeme sind meistens rausgeworfenes Geld.

“Intrusion Detection ist tot”, erklärte John Pescatore, Vice-President Internet Security auf der diesjährigen RSA-Conference in San Francisco. In das gleiche Horn stößt Mike Rasmussen, Analyst bei Forrester Research: “IDS hat auf breiter Front versagt.” Der Spezialist hat “viele verschiedene Systeme eingesetzt, und ungefähr 75 Prozent davon sind unbrauchbar.” Schreibt die Computerwoche.

Man versucht zwar gleich die nächste Sau durchs Dorf zu treiben, die sich IPS (Intrusion Prevention System) nennt und zusätzlich zum IDS Aktionen auslösen kann, wenn Verdächtiges passiert. Meiner Meinung ist sowas aber eher noch gefährlicher, weil es hier passieren kann das ein False-Positive wichtige Teile der Infrastruktur lahmlegt.

Denn das Hauptproblem von IDS und IPS: Sie sind Saudumm. Dies versucht man durch zwei Ansätze zu kompensieren: Indem zum einen definiert wird, was ein Angriff ist oder durch eine Lernphase ein Normalzustand ermittelt wird. Beides ist nicht praktikabel, denn der Admin ertrinkt zuerst in Fehl-Alarmen. Nach einer gewissen Zeit wird das System dann meist ignoriert oder so eingestellt das es nicht mehr effektiv arbeitet.

IDS machen nur in übersichtlichen Umgebungen, wie z.B. einer DMZ Sinn. Dort bekommt man ziemlich schnell ein Gefühl dafür, was normal ist und was nicht. In einem LAN sorgt ein IDS nur für lange Projektzeiten und eine langfristige Einnahmequelle für den Dienstleiter, denn dort gibt es keinen Normalzustand, es lebt quasi. Als IDS-Admin müsste man vor jeder Veränderung (dies könnte schon ein harmloser Windows-Patch sein) informiert werden, damit man auf evtl. Alarme vorbereitet ist.

Wer es denn unbedingt einmal versuchen will sollte sich Snort anschauen, um zu sehen was ihn erwartet.

Heise hat mittlerweile das 2.Update ihres OpenSSH-Artikels herausgebracht und jede Version lässt einen mehr erschaudern. Da heisst es unter anderen:

Mit dem Exploit sei es möglich, ohne Zugriff auf ein User-Account alle OpenSSH-Versionen älter als 3.7 zu kompromittieren. Betroffen davon seien sowohl die OpenBSD- als auch die Portable-Versionen.

Zusammen mit dem noch immer weit vertreiteten ptrace-Bug hat man einen schönen Root-Exploit.

Ich habe gestern abend einen Haufen Rechner upgedatet und musste dann heute morgen feststellen, das ich das Ganze nochmal tun darf.

Das Heise-Original

Die Suche nach Bezahl-Content treibt doch manchmal seltsame Blüten. Das man mit Nachrichten im Internet kein Geld verdienen kann, hat sich ja langsam bei den BWLern dieser Welt rumgesprochen, also versucht man andere Geldquellen für die eigenen Premium-Inhalte zu generieren. Die PC-Welt versucht es mit Sicherheit.

In einen kleinen Teaser werden die Nutzer phpMyChat auf eine Sicherheitslücke aufmerksam gemacht und ein wenig weiter unten steht dann:

PC-WELT verrät Ihnen hier , wie die Sicherheitslücke konkret aussieht. Aber wir sagen Ihnen auch, wie Administratoren die Lücke schließen können. Dieses Angebot steht exklusiv unseren Premium-Lesern zur Verfügung.

Dieses ‘Geschäftsmodell’ sollte sich vielleicht Microsoft genauer anschauen, um auch in Zukunft genügend Umsatz zu generieren – Sicherheitslücken gibt es dort bekanntlich genug.

Nico schreibt im Couchblog, das der/die W32 Programmierer doch recht Unprofessionell gewesen wären und hat auch gleich die üblichen Verdächtigen benannt :)

Ich finde es viel intressanter, das bei eigentlich allen gefährlich erscheinenden Viren in der letzen Zeit, die ‘zweite Stufe’ versagt hat. Für mich eher ein Zeichen, das jemand dahintersteckt der ziemlich genau weiss was er tut – viel Wirbel erzeugen und keinen wirklich grossen Schaden anrichten.

Man könnte natürlich meinen, das z.B. Symantec hinter sowas stecken könnte, ich denke aber das es reicht Aktien von denen zu haben um von solchen Dingen zu profitieren.

Es ist immer wieder spannend zu sehen wie überrascht Menschen sein können. Heute nun schlägt die Welle des W32.Blaster Wurms über uns zusammen und jederman ist erstaunt und verblüfft. Dabei ist das Advisory von Microsoft schon fast einen Monat alt und Patche über WindowsUpdate verfügbar. Man hatte also genug Zeit die Patche einzuspielen, welche man nichteinmal suchen muss, da die Liste mit erforderlichen Patche von WindowsUpdate zusammengestellt wird. Für den geplagten Admin bietet MS schon länger den System Update Server an, der die Patche im Netz verteilt. Nur herunterladen muss man sie noch, aber auch das überfordert anscheinend zu viele.

Windows ist sicherlich buggy as hell, aber wer jetzt rumjault hat nur gezeigt, das er in der letzten Zeit tief geschlafen hat.

So, genug der Publikumsbeschimpfung.

Die neue Heise-Abteilung Heisec hat einen intressanten Kommentar zum Thema Programmiersprachen:

Warnungen über Sicherheitslöcher gibt es täglich, mittlerweile so viele, dass jeder nur noch schauen kann, ob seine eigenen Systeme betroffen sind. Kern des Problems ist fast immer die Programmiersprache C/C++, die — falsch angewendet — zu sicherheitskritischen Problemen führt.

Und weiter unten: Andere Sprachen sind da weit robuster: Java und ADA zum Beispiel kennen keine Pufferüberläufe oder Zeiger, die überall hinzeigen, nur nicht dorthin wo sie sollen.

Dann sollten wir Linus davon überzeugen, das er auf Java oder ADA umsteigen sollte.

Die Wahrscheinlichkeit bei einer Diskussion über Sendmail einen Troll anzufreffen, der behauptet Sendmail wäre nicht sicher und man sollte etwas anderes benutzen, geht gegen 1. Die Argumentation lässt sich kurz zusammenfassen: Es wurden schon viele Fehler in Sendmail gefunden und daher wäre es unsicher.

Dies ist natürlich genauso Richtig wie Falsch. Klar wurden in der Vergangenheit Sicherheitslücken in Sendmail gefunden und genauso wurden sie umgehend wieder geschlossen, also wo ist das Problem? Nur weil eine Software Lücken hatte ist sie nicht per se unsicher, denn würde man dieser Argumentations-Linie folgen dürfte heutzutage kein Mensch mehr OpenSSH benutzen, dessen Sicherheits-Seite sich recht gruselig liest. Auch zeigt das Sicherheitslücken gefunden werden, das sich Leute aktiv mit dem Source-Code auseinandersetzen.

Sendmail war für mich der Grund mich überhaupt mit Linux zu beschäftigen und ich habe bis heute noch nie grössere Probleme damit gehabt. Ganz im Gegenteil bietet mir Sendmail eine Unmenge an Features, die ich bei anderen MTA garnicht erst finde oder erst mühsam patchen muss.

So, genug der Lobhudelei

Ich bin bei PC-Welt über einen Personal-Firewall Test gestolpert, den ich eigentlich ganz lesen wollte um zu schauen ob sich in dem Bereich etwas getan hat. Leider konnte ich den Browser schon nach 4 Klicks wieder zu machen, da in den Test-Kriterien steht:

Dabei prüfen wir, wie gut sich eine Firewall gegen Deaktivierungs-, Lösch- und Manipulationsversuche wehren kann.

Und 3 Klicks weiter lese ich: Look ‘n’ Stop Lite 1.04 Beta konnte sich immerhin gegen Löschen und Deaktivieren schützen. Alle anderen Tools versagten beim Selbstschutz kläglich und ließen nach ihrer Manipulation den PC schutzlos zurück.

Entzückend! Da hat man vielleicht so eine Software für teuer Geld und ein Klick in die Vorschau von Outlook deaktiviert sie wieder.

Die Konfigurations-Dateien von Blog-Systemen liegen oftmals in Verzeichnissen auf die der Webserver Zugriff hat und da der Webserver keinerlei Ahnung hat wie wichtig diese Datei ist würde er sie bei einem direkten Zugriff (z.B. http://foobar.baz/blog/config.inc) ganz normal ausliefern. Das ist natürlich keine schöne Sache, weil dort evtl. wichtige Dinge wie Username und Passwort für die Datenbank drinstehen.

Bei PHP-basierten Systemen behilft man sich meistens indem man die entsprechenden Dateien ein .php anhängt (config.inc.php) und entsprechend die Software ändert. Damit wird die Datei bei einem Aufruf durch den PHP-Parser geschickt und man erhält eine leere Seite zurück. Den gleichen Effekt hat es, wenn man

AddType application/x-httpd-php .inc

in die .htaccess im Server-Root oder httpd.conf schreibt. Nun könnte es natürlich vorkommen das die Vorsichts-Massnahmen versagen oder bei anderen Systemen nichts bringen, wie z.B. MovableType das auf Perl basiert. Hier könnte eine .htaccess z.B. so aussehen:

<FilesMatch “.*\.(inc|cfg|pm)$>
order deny,allow
deny from all
</FilesMatch>

Anschließend erhält man nur noch ein Access Denied bei Zugriff Dateien mit den Endungen .inc, .cfg oder .pm.

Es sind einige Sicherheitslücken in Wordpress entdeckt worden, siehe Kernelpanic.org. Diese Lücken sind aber bereits in Version 0.71 geschlossen worden.