Think different! heißt ein bekannter und beliebter Slogan von Apple. Und anders denken die Mitarbeiter in Cupertino tatsächlich. Zum ersten Mal in der Geschichte der Sicherheitskonferenz Black Hat hätte ein Mitarbeiter der Firma Apple einen Vortrag machen sollen. Doch nun wurde in letzter Sekunde abgesagt. Der Grund: Die Marketing-Abteilung hat es dem Mitarbeiter verboten.

Anstelle sich also – wie die Kollegen aus Redmond – dem Unvermeidlichen zu stellen, verbietet man lieber seinen Mitarbeiter den Mund. Ich bin ehrlich enttäuscht: Bei Apple legt man wohl mehr Wert auf den Schein als dem Sein.

Ein weiterer Apple-Vortrag wurde übrigens ebenfalls abgesagt: Ein freier Sicherheitsexperte wollte über eine soeben entdeckte Sicherheitslücke in Apples Filevault berichten. Diesen Vortrag musste er jedoch absagen, nachdem er sein Wissen an Apple weiterverkauft hatte. Denn jetzt ist ihm vertraglich der Mund verboten.

So reiht sich die Black Hat 2008 bei Apple nahtlos in die Reihe der Schande ein, dank einer gründlich verkorksten Sicherheitspolitik.

Verwandte Beiträge:

1. Apple iPhone nun endgültig geknackt?

Think different! heißt ein bekannter und beliebter Slogan von Apple. Und anders denken die Mitarbeiter in Cupertino tatsächlich. Zum ersten Mal in der Geschichte der Sicherheitskonferenz Black Hat hätte ein Mitarbeiter der Firma Apple einen Vortrag machen sollen. Doch nun wurde in letzter Sekunde abgesagt. Der Grund: Die Marketing-Abteilung hat es dem Mitarbeiter verboten.

Anstelle sich also - wie die Kollegen aus Redmond - dem Unvermeidlichen zu stellen, verbietet man lieber seinen Mitarbeiter den Mund. Ich bin ehrlich enttäuscht: Bei Apple legt man wohl mehr Wert auf den Schein als dem Sein.

Ein weiterer Apple-Vortrag wurde übrigens ebenfalls abgesagt: Ein freier Sicherheitsexperte wollte über eine soeben entdeckte Sicherheitslücke in Apples Filevault berichten. Diesen Vortrag musste er jedoch absagen, nachdem er sein Wissen an Apple weiterverkauft hatte. Denn jetzt ist ihm vertraglich der Mund verboten.

So reiht sich die Black Hat 2008 bei Apple nahtlos in die Reihe der Schande ein, dank einer gründlich verkorksten Sicherheitspolitik.

Jahre nachdem McAfee seine SiteAdvisor-Community gestartet hat, kommt nun auch Symantec mit einer eigenen Lösung: Norton Safe Web. Auch wenn der Service reichlich spät kommt, halte ich das Ganze für keine schlechte Idee. Auch das vergleichsweise übersichtliche Layout finde ich gut.

Im direkte Vergleich mit der Konkurrenz fehlen mir allerdings die Innovationen und einige Features. So enthalten beide Datenbanken nur Informationen über die Domains, nicht aber über Subdomains oder gar Unterseiten. So lässt sich zum Beispiel der 0-security-blog – der unter der Subdomain blog.chip.de geführt wird – nicht von www.chip.de unterscheiden. Ein nur scheinbar belangloses Problem.

Denkte man an andere Services wie zum Beispiel Google Pages, wird die Auswirkung dieser Nicht-Unterscheidbarkeit schon deutlicher. Während der größte Teil der Seiten (die jeweils Ihre eigene Subdomain haben) eher harmlos ist, nutzt der ein oder andere Virenautor solche Seiten gerne auch mal als Virenschleuder. So ist die Aussage "googlepages.com ist sicher" sicherlich nicht verkehrt und trotzdem kann unter malware.googlepages.com ein übler Virus versteckt sein.

Verwandte Beiträge:

1. Symantec antwortet der CHIP Community
2. Steganos Encrypted Safe 2006 ist unsicher
3. Wo die großen Namen versagen

Jahre nachdem McAfee seine SiteAdvisor-Community gestartet hat, kommt nun auch Symantec mit einer eigenen Lösung: Norton Safe Web. Auch wenn der Service reichlich spät kommt, halte ich das Ganze für keine schlechte Idee. Auch das vergleichsweise übersichtliche Layout finde ich gut.

Im direkte Vergleich mit der Konkurrenz fehlen mir allerdings die Innovationen und einige Features. So enthalten beide Datenbanken nur Informationen über die Domains, nicht aber über Subdomains oder gar Unterseiten. So lässt sich zum Beispiel der 0-security-blog - der unter der Subdomain blog.chip.de geführt wird - nicht von www.chip.de unterscheiden. Ein nur scheinbar belangloses Problem.

Denkte man an andere Services wie zum Beispiel Google Pages, wird die Auswirkung dieser Nicht-Unterscheidbarkeit schon deutlicher. Während der größte Teil der Seiten (die jeweils Ihre eigene Subdomain haben) eher harmlos ist, nutzt der ein oder andere Virenautor solche Seiten gerne auch mal als Virenschleuder. So ist die Aussage "googlepages.com ist sicher" sicherlich nicht verkehrt und trotzdem kann unter malware.googlepages.com ein übler Virus versteckt sein.

Ich liebe kreative Hacks und der SEOktoberfest-Blogeintrag von Marcus Tandler aka Mediadonis ist auf jeden Fall eine Erwähnung wert. Und als echtes Münchner Kindl und einem Büro mit Blick auf die Theresienwiese kann ich gar nicht anders als hier im Blog darüber zu berichten.

Man stelle sich folgende Aufgabe vor: Wie generiert man innerhalb von 60 Tagen eine ganze Menge Links?

Ganz einfach: Man erfindet das SEOktoberfest, schreibt von SEO-Blackhat-Legenden und anderen Ha.ckers, internationaler SEO-Prominenz und natürlich von sechs original Playboy-Playmates in Dirndl. Und damit das Ganze einen Hauch von Exklusivität bekommt, wird das Event auf 10 Teilnehmer limitiert die 5000 Euro zahlen dürfen.

Für eine Menge Links verlose man jetzt nur noch einen der Plätze unter allen Bloggern, die in Ihrem Blog über dieses Event berichten.

Wenn das mal kein Social Engineering par excellence ist. :- )

P.S.: Man kann natürlich auch NoFollow-Links setzen und die Idee ad absurdum führen. ;- )

Verwandte Beiträge:

1. Ich weiß, welche Webseite Du gestern gelesen hast

Ich liebe kreative Hacks und der SEOktoberfest-Blogeintrag von Marcus Tandler aka Mediadonis ist auf jeden Fall eine Erwähnung wert. Und als echtes Münchner Kindl und einem Büro mit Blick auf die Theresienwiese kann ich gar nicht anders als hier im Blog darüber zu berichten.

Man stelle sich folgende Aufgabe vor: Wie generiert man innerhalb von 60 Tagen eine ganze Menge Links?

Ganz einfach: Man erfindet das SEOktoberfest, schreibt von SEO-Blackhat-Legenden und anderen Ha.ckers, internationaler SEO-Prominenz und natürlich von sechs original Playboy-Playmates in Dirndl. Und damit das Ganze einen Hauch von Exklusivität bekommt, wird das Event auf 10 Teilnehmer limitiert die 5000 Euro zahlen dürfen.

Für eine Menge Links verlose man jetzt nur noch einen der Plätze unter allen Bloggern, die in Ihrem Blog über dieses Event berichten.

Wenn das mal kein Social Engineering par excellence ist. :- )

P.S.: Man kann natürlich auch NoFollow-Links setzen und die Idee ad absurdum führen. ;- )

Eine typische Taktik der Malware-Autoren ist das Packen von EXE-Dateien. So ändert sich nämlich ohne großen Mehraufwand sofort die Signatur der Datei. Webseiten die in regelmäßigen Abständen den zum Download angebotenen Trojaner austauschen sind keine Seltenheit und so kämpfen viele AntiViren-Hersteller mit einer riesigen Flut von gepackten und doch immergleichen Trojaner, Würmern und Viren.

Um dem entgegen zu wirken, enthalten die meisten AntiViren-Tools einen Entpacker, also ein Tool, dass die Datei auspackt und dann das Ergebnis mit der Signatur-Datenbank abgleicht. Welcher Packer verwendet wurde, wird allerdings auch an Hand einer Signatur geprüft und nur wenn die Signatur richtig erkannt wurde, kann die Datei auch entpackt werden und auf Malware überprüft werden.

Es ist also kein Wunder, dass es auch dafür ein Gegentool der Malware-Autoren gibt. Eines dieser Tools heißt "PseudoSigner" und ist dafür da die Signtur einer gepackten EXE-Datei so zu verändern, dass der falsche Entpacker zum Einsatz kommt und die Datei deshalb vom AntiViren-Tool nicht entpackt werden kann. Der Screenshot zeigt den PseudoSigner.

Um solche Schädlinge trotzdem zu erkennen, hat die AntiViren-Industrie ihre ganz eigenen Tricks. Der Anti-Anti-Anti-Anti….-Trick ist ganz simpel: Der Virenscanner wartet einfach darauf, dass der Schädling sich beim Start selbst entpackt und erkennt dann die Kopie im Arbeitsspeicher. Oder aber der Virenscanner startet die Datei in einer virtuellen Umgebung und scannt die Kopie im virtuellen Arbeitsspeicher.

Wie dem auch sei: Malware-Autoren und Anti-Viren-Programmierern wird es bestimmt nicht so schnell langweilig : – )

Verwandte Beiträge:

1. BlackHat 2007: EXE-Packer austricksen
2. Die Fehler der Virenscanner (-Vergleichstests)
3. Microsoft verbessert seinen Virenscanner

Eine typische Taktik der Malware-Autoren ist das Packen von EXE-Dateien. So ändert sich nämlich ohne großen Mehraufwand sofort die Signatur der Datei. Webseiten die in regelmäßigen Abständen den zum Download angebotenen Trojaner austauschen sind keine Seltenheit und so kämpfen viele AntiViren-Hersteller mit einer riesigen Flut von gepackten und doch immergleichen Trojaner, Würmern und Viren.

Um dem entgegen zu wirken, enthalten die meisten AntiViren-Tools einen Entpacker, also ein Tool, dass die Datei auspackt und dann das Ergebnis mit der Signatur-Datenbank abgleicht. Welcher Packer verwendet wurde, wird allerdings auch an Hand einer Signatur geprüft und nur wenn die Signatur richtig erkannt wurde, kann die Datei auch entpackt werden und auf Malware überprüft werden.

Es ist also kein Wunder, dass es auch dafür ein Gegentool der Malware-Autoren gibt. Eines dieser Tools heißt "PseudoSigner" und ist dafür da die Signtur einer gepackten EXE-Datei so zu verändern, dass der falsche Entpacker zum Einsatz kommt und die Datei deshalb vom AntiViren-Tool nicht entpackt werden kann. Der Screenshot zeigt den PseudoSigner.

Um solche Schädlinge trotzdem zu erkennen, hat die AntiViren-Industrie ihre ganz eigenen Tricks. Der Anti-Anti-Anti-Anti….-Trick ist ganz simpel: Der Virenscanner wartet einfach darauf, dass der Schädling sich beim Start selbst entpackt und erkennt dann die Kopie im Arbeitsspeicher. Oder aber der Virenscanner startet die Datei in einer virtuellen Umgebung und scannt die Kopie im virtuellen Arbeitsspeicher.

Wie dem auch sei: Malware-Autoren und Anti-Viren-Programmierern wird es bestimmt nicht so schnell langweilig : - )

Vor einiger Zeit wurde bei Dot Net Perls ein interessanter Artikel über den Arbeitspeicherverbrauch von Browsern veröffentlicht. Um ein möglichst realistisches Ergebnis zu erhalten, hat der Autor eine Software mit dem Namen Memory Watcher geschrieben, die alle 3 Sekunden den Verbrauch des "Private Memory" aller Prozesse dokumentiert.

Der Wert den Windows mit dem Property "PrivateMemorySize64″ zurückliefert, entspricht dem Wert "Arbeitsspeicher (privater Arbeitssatz)" den etwa Vista im Taskmanager standardmäßig zurückliefert. Dieser Wert beschreibt den Arbeitsspeicher, den ein Prozess belegt und der nicht von anderen Prozessen genutzt werden kann. (siehe auch MSDN-Dokumentation)

Nun zu meiner Idee: Da ich derzeit nur recht begrenzt Zeit habe, sämtliche Virenscanner und Security Suiten durchzumessen, würde ich mich über Eure Unterstützung freuen. Da jeder sicherlich einen Virenscanner installiert hat und die Leserschaft dieses Blogs recht groß ist, müsste eigentlich recht schnell eine ansehnliche Sammlung an Messwerten zusammenkommen.

Als Meßzeitraum würde ich 8 Stunden (also einen Arbeitstag) vorschlagen. Und damit die Messung möglichst direkt nach dem Windowsstart losgeht, sollte das Tool über den Registry-Eintrag "Run" gestartet werden.

Die Software erlaubt den Export der Daten ins CSV-Format. Diese CSVs würde ich sammeln und dann hier im Blog veröffentlichen. Wer mag also mag, schickt mir die Datei per E-Mail an die Adresse valentin.pletzer@chip.de oder veröffentlicht die Daten in seinem eigenen Blog und gibt mir dann Bescheid.

Verwandte Beiträge:

1. Coole Sache: Arbeitsspeicher auf Eis gelegt
2. Windows knacken per Firewire
3. Peter Norton AntiVirus

Vor einiger Zeit wurde bei Dot Net Perls ein interessanter Artikel über den Arbeitspeicherverbrauch von Browsern veröffentlicht. Um ein möglichst realistisches Ergebnis zu erhalten, hat der Autor eine Software mit dem Namen Memory Watcher geschrieben, die alle 3 Sekunden den Verbrauch des "Private Memory" aller Prozesse dokumentiert.

Der Wert den Windows mit dem Property "PrivateMemorySize64″ zurückliefert, entspricht dem Wert "Arbeitsspeicher (privater Arbeitssatz)" den etwa Vista im Taskmanager standardmäßig zurückliefert. Dieser Wert beschreibt den Arbeitsspeicher, den ein Prozess belegt und der nicht von anderen Prozessen genutzt werden kann. (siehe auch MSDN-Dokumentation)

Nun zu meiner Idee: Da ich derzeit nur recht begrenzt Zeit habe, sämtliche Virenscanner und Security Suiten durchzumessen, würde ich mich über Eure Unterstützung freuen. Da jeder sicherlich einen Virenscanner installiert hat und die Leserschaft dieses Blogs recht groß ist, müsste eigentlich recht schnell eine ansehnliche Sammlung an Messwerten zusammenkommen.

Als Meßzeitraum würde ich 8 Stunden (also einen Arbeitstag) vorschlagen. Und damit die Messung möglichst direkt nach dem Windowsstart losgeht, sollte das Tool über den Registry-Eintrag "Run" gestartet werden.

Die Software erlaubt den Export der Daten ins CSV-Format. Diese CSVs würde ich sammeln und dann hier im Blog veröffentlichen. Wer mag also mag, schickt mir die Datei per E-Mail an die Adresse valentin.pletzer@chip.de oder veröffentlicht die Daten in seinem eigenen Blog und gibt mir dann Bescheid.

Frauen mit tiefen Auschnitten, die mit ihren MacBooks im Bett kuscheln und etwas über Hacking erzählen. Es gibt nichts, was es nicht gibt – vor allem bei YouTube.

Zum Start gibt es bereits zwei Folgen: In Teil eins erklärt sexy Olga wie man mit Hilfe von Fyodors Nmap eine Reihe von Informationen sammelt. Folge zwei bestreitet sexy Hackerin Tegan, die einem Skript-Kiddie eine Lektion erteilt. Weitere Videos sollen demnächst folgen und wer auf der BlackHat in Las Vegas ist, hat das zweifelhafte Vergnügen den Damen über den Weg zu laufen.

Weitere Informationen findet Ihr auf der Webseite sexyhacking.com

Verwandte Beiträge:

1. Google, YouTube, Orkut und die Privatssphäre
2. Russische Warez und chinesische Exploits
3. Falsche YouTube-Seite verteilt Trojaner

Frauen mit tiefen Auschnitten, die mit ihren MacBooks im Bett kuscheln und etwas über Hacking erzählen. Es gibt nichts, was es nicht gibt - vor allem bei YouTube.

Zum Start gibt es bereits zwei Folgen: In Teil eins erklärt sexy Olga wie man mit Hilfe von Foydors Nmap eine Reihe von Informationen sammelt. Folge zwei bestreitet sexy Hackerin Tegan, die einem Skript-Kiddie eine Lektion erteilt. Weitere Videos sollen demnächst folgen und wer auf der BlackHat in Las Vegas ist, hat das zweifelhafte Vergnügen den Damen über den Weg zu laufen.

Weitere Informationen findet Ihr auf der Webseite sexyhacking.com

Kaum ist die eine Aktion vorbei, beginnt schon die nächste hier im Blog. Dieses Mal hat sich die Firma ESET Software LLC (die Macher von NOD32) bereit erklärt sich hier im Blog euren Fragen zu stellen.

Über die nächsten Tage können hier unter diesem Beitrag Fragen gestellt werden, die ich dann gesammelt an die Experten weiterleiten werden. Alle Fragen rund um Viren, Trojaner und Co, sowie jeglichen Feedback zu den Programmen von ESET sind herzlichst willkommen.

Die Fragen werden dann von niemanden geringeren als Andrew J. Lee (Direktor Technologie/Entwicklung) beantwortet. Hier noch ein paar Infos zu seiner Person:

Andrew J. Lee, Direktor Technologie/Entwicklung

Nach leitenden Funktionen in verschiedenen Unternehmen, studierte er Elektrotechnik und Software-Design. Während dieser Zeit war er in einem Unternehmen, das Magnetspulen herstellte, für die Wartung und Programmierung der Maschinen verantwortlich. Nach Abschluss des Studiums organisierte er den 24-Stunden-Betrieb eines Unternehmens, das Computer-Hardware-Komponenten herstellte.

Im Jahr 1997 begann er eine Tätigkeit zunächst als IT-Techniker in einer Öffentlichen Verwaltung und wurde schließlich Systemadministrator eines großen Unternehmensnetzwerks und erwarb seine Qualifikationen zum MCP. Während dieser Zeit interessierte er sich zunehmend für Anti-Virus-Systeme, so dass er Technischer Direktor mit Verantwortung für die gesamte Anti-Viren- Abwehr und IT-Sicherheit wurde und umfangreiche tiefgründige Kenntnisse im Virenschutz erwerben konnte.

Im Jahr 2004 schloss er sich dem Eset-Team an. Seine Hauptaufgabe besteht in der Entwicklung von Sicherheitslösungen für Unternehmen.

Verwandte Beiträge:

1. Eure Fragen an Agnitum (Outpost Firewall)
2. Eure Fragen an die Experten von Symantec
3. Eure Fragen an Agnitum (Outpost)

Die Natur macht es vor, der Mensch macht es nach. Mit Spielen lernt man immer noch am besten – auch den Umgang mit den Gefahren im Internet. Ein interessantes Projekt der Ludwig-Maximilians-Universität (LMU) in München und Microsoft setzt genau diese Idee um.

IRBI (der Internet-Risk-Behaviour-Index) ist eine adaptive Lernumgebung oder einfach gesagt: Ein Flash das einen Laptop simuliert, der an das Internet angeschlossen ist. Der Simulator zeigt dem Benutzer typische gefährliche Situtationen im Internet, die es dann zu bewältigen gilt. Für jede falsche Entscheidung gibt es ein unmittelbares Feedback (Punkteabzug), so dass das richtige Verhalten trainiert wird.

Ich werde das Ding auf jeden Fall mal testen. Bin echt gespannt wie realistisch die Situationen wirklich dargestellt werden.

Verwandte Beiträge:

1. Neuer Bug im Internet Explorer?
2. Der Internet Explorer patzt auch bei Javascripts
3. Tipp #7: Browser-Passwörter knacken

Weder Virenscanner noch Anti-Spam. Laut einer Umfrage im Auftrag der BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien) nutzen zwar 79 Prozent aller Deutschen einen Computer, doch immerhin ein Zehntel ist ungeschützt im Netz unterwegs. Es ist also nicht weiter verwunderlich, dass fast 4 Millionen PC-User angeben schon einmal Opfer von Internet-Kriminalität geworden zu sein.

Ich vermute mal, dass viele User gar nicht in der Lage sind sich selbst mit Sicherheitssoftware auszustatten und diese auch fachgerecht zu pflegen. Ich für meinen Teil kümmere mich noch um drei weitere PCs aus der Familie. Wie ist das bei euch?

Verwandte Beiträge:

1. Firefox 3: Rund 1 Millionen Deutsche sind unsicher
2. Die Gewinner des großen Security-Checks
3. Die Fehler der Virenscanner (-Vergleichstests)

Bei der Frage-Aktion letzte Woche gab es noch einen Nachzügler. Bubu würde gerne wissen: War der Herr mit Brille auf den alten Norton Produkten der echte Peter Norton, welcher den legendären Norton Commander programmiert hat?

Stefan Wesche von Symantec hat mir auch gleich noch die Antwort geschickt: Ja, das war der echte Peter Norton. (Der Vollständigkeit halber, habe ich den alten Packshot in diesen Blog-Beitrag gepackt.)

Verwandte Beiträge:

1. Eure Fragen an die Experten von Symantec
2. Symantec startet "Norton Safe Web"
3. Norton Internet Security 2008 kommt doch

Vor einer rund Woche habe ich angekündigt, dass Ihr Fragen an Symantec stellen könnt. Nun wird es Zeit für die Antworten. Candid Wuest und Stefan Wesche sind sämtliche Fragen durchgegangen und haben mir für Euch die Antworten übermittelt.

(more…)

Bereits Ende 2006 hat Microsoft einen Patent-Antrag auf die Technik des "dynamischen Aktualisierens von Firewall-Parametern" (dynamic updating of firewall parameters) gestellt. Dieses Patent ist nun am 19. Juni bestätigt worden.

(more…)

Die Sicherheits-Software von Symantec ist ein spannendes Thema. Auf vielen Rechner installiert, heiß diskutiert und immer wieder gut getestet. Deshalb freue ich mich besonders darüber, dass ich gleich zwei Experten von Symantec für Fragen und Antworten aus diesem Blog gewinnen konnte. Über die nächsten Tage können  hier unter diesem Beitrag Fragen gestellt werden, die ich dann gesammelt an die Experten weiterleiten werden. Alle Fragen rund um Viren, Trojaner und Co, sowie jeglichen Feedback zu den Sicherheitsprodukten von Symantec sind herzlichst willkommen.

Hier noch einige Informationen zu den Experten:

(more…)

Seit gestern gibt es Version 3 von Firefox und rund eine Millionen User haben ihn schon.  Warum ist das interessant? Man wollte gestern einen Weltrekord aufstellen: Die meisten Downloads innerhalb von 24 Stunden. Der Weltrekordversuch ist bestimmt auch gelungen. Denn sobald die Jury des Guinness Buch der Rekorde die rund 8 Millionen Downloads weltweit (nicht ganz 1 Millionen in Deutschland) bestätigt haben, steht der Rekord fest. Es gibt nämlich noch keinen Titelverteidiger.

So sehr ich mich über die hohe Verbreitung meines Lieblingsbrowsers auch freue: Eine Kehrseite hat die Medallie schon jetzt. Denn laut der Tipping Point Zero Day Initiative (ZDI) gibt es bereits die erste Sicherheitslücke im Firefox 3. Schafft der Angreifer den Exploit erfolgreich zu platzieren, kann er den Firefox-Prozess (und damit alle Rechte im System) übernehmen. Unter Windows XP würde das wohl in den meisten Fällen Administrator-Rechte heißen.

Mich würde interessieren: Seid Ihr bereits umgestiegen? Wenn ja: Wie schützt Ihr Euch?