entwickler.de

Microsofts außerplanmäßiger Patch, der wöchentliche Datenschutzskandal der Telekom und der neue Nackt-Scanner sind die Themen dieses Standpunkt Sicherheit.

Doppelt ungewöhnlich

Ein außerplanmäßiger Patch von Microsoft ist schon sehr ungewöhnlich. Das letzte Mal gab es den am 3. April 2007, damals wurde eine seit Ende März bekannte Schwachstelle im GDI behoben (siehe Standpunkt Sicherheit vom 10. April 2007). Diese sog. ".Ani-Lücke" wurde damals massiv ausgenutzt, so das Microsoft dem mit dem außerplanmäßigen Patch einen Riegel vorschieben musste. Damals wurde der außerplanmäßige Patch jedoch an einem Dienstag veröffentlicht, und wenn ich mich richtig erinnere gab es die zugehörige Ankündigung wie üblich am Freitag davor. Damit sind wir bei der zweiten Ungewöhnlichkeit des am Donnerstag veröffentlichten außerplanmäßigen Patches: Er wurde nicht an einem Dienstag veröffentlicht, und die Ankündigung kam kaum 24 Stunden vorher.

Schnell, schnell, der Wurm kommt!

Auslöser dieser Eile: Die Schwachstelle wurde bereits für gezielte Angriffe ausgenutzt und von Microsoft als 'wormable' eingeschätzt. Während Microsoft beim Veröffentlichen des Patches noch davon ausging, das die Schwachstelle von einem Wurm zur Verbreitung genutzt werden könnte, hatte Sophos bereits einen Schädling gefunden, der die Schwachstelle zwar nicht zur Verbreitung nutzt, aber immerhin von Shellcode nachgeladen wird. Noch am Donnerstag wurde im Exploit-Archiv von Milw0rm ein Exploit veröffentlicht, und inzwischen ist auch der zu erwartende Wurm aufgetaucht: Gimmiv.A ( Beschreibung von F-Secure, Analyse von Treatexperts).

Hat da wer gepennt?

An einem eine Hintertür öffnenden und Daten sammelnden Wurm ist nicht besonderes, viel interessanter finde ich die Schwachstelle an sich. Dazu erst mal ein Absatz aus einen Eintrag im Blog des Microsoft Security Response Center (MSRC):

We discovered this vulnerability as part of our research into a limited series of targeted malware attacks against Windows XP systems that we discovered about two weeks ago through our ongoing monitoring. As we investigated these attacks we found they were utilizing a new vulnerability and initiated our Software Security Incident Response Process (SSIRP). As we analyzed the vulnerability in our SSRP process, we found that this vulnerability was potentially wormable on Windows XP and older systems. Our analysis also showed that it would be possible to address this vulnerability in a way that would enable us to develop an update of appropriate quality for broad distribution quickly. Based on those two factors, we felt that it was in the best interest of customers for us to release this update before the regular November release cycle. [...]

Die Schwachstelle wurde vor 2 Wochen gefunden und war so leicht zu patchen, das angesichts der potentiellen Gefahr ein außerplanmäßiger Patch veröffentlicht wurde. Das ist erst mal eine anerkennenswerte Leistung. Aber wenn die so einfach zu patchen war - wieso war sie dann überhaupt noch da? Betroffen sind alle Versionen von Windows 2000 bis Windows Server 2008 sowie Windows 7 Pre-Beta, und dazu befindet sich die Schwachstelle in einem sensiblen Server-Dienst, in dem schon vorher Schwachstellen gefunden wurden (siehe z.B. Microsofts Security Bulletin MS06-040). Wieso wurde die Schwachstelle dann nicht schon viel früher im Rahmen der Code Audits und Sicherheitstests des 2004 eingeführten Software Development Lifecycles (SDL) gefunden? Irgend etwas scheint da ja wohl nicht so gelaufen zu sein, wie es optimal hätte laufen sollen.

Der wöchentlichen Datenschutzskandal...

... wird ihnen freundlich präsentiert von...
... der Telekom. Nachdem letzte Woche mal andere an der Reihe waren, hat sich die Telekom diese Woche mit einem neuen Skandal zurückgemeldet. Man hat schließlich für die illegale Nutzung von Telefonverbindungsdaten zur Bespitzelung von Telekom-Aufsichtsräten und Journalisten den BigBrotherAward 2008 in der Kategorie "Arbeitswelt und Kommunikation" gewonnen und daher einen Ruf zu verlieren. Einen Datenmissbrauch mit einem anderen zu bekämpfen ist schon ziemlich dreist. Aber wahrscheinlich haben sich die Verantwortlichen gedacht, bei 17 Millionen Kundendaten kommt es auf 20 Personen mehr auch nicht mehr an. Stimmt, im Vergleich zu all den großen Skandalen ist das eher ein Skandälchen als ein richtiger Skandal. Man möchte was sagen "Ach ist der niedlich!". Nach den vielen Datenschutzskandalen dürfte die Telekom zumindest gute Aussichten auf den BigBrotherAward 2009 haben. Was da wohl noch kommt?

Geht es Dr. Schäuble nicht gut?

Ich mache mir wirklich Sorgen um unseren Bundesinnenminister: Da gibt es eine schöne, neue Überwachungstechnik, die Nackt-Scanner - und unser sonst so um unsere Sicherheit besorgter Bundesinnenminister will sie nicht einsetzen. Er will die Geräte "erst dann einsetzen, wenn der menschliche Körper auf den Bildern weitgehend unkenntlich gemacht werden kann." Na, das sollte doch kein Problem sein, das dürfte sich mit ein paar kleinen Änderungen am das Bild erzeugenden Programm erledigen lassen. Aber warum testet die Bundespolizei die Scanner dann, wenn man sie doch nicht einsetzen will? Haben die zu viel Geld oder zu wenig zu tun?

Gut finde ich auch den Satz "Ich will nicht, dass die Bundespolizei in das Licht kommt, sie seien heimliche Spanner." im oben verlinkten Text. Dass das BKA in das Licht kommt, es sei ein heimlicher Schnüffler, ist dann aber wohl OK, oder warum wird der Bundestrojaner nicht auch eingestampft?

Carsten Eilers