Security

WLAN hebelt in vielen Unternehmen etablierte Sicherheitsniveaus aus. Eine Mehrzahl der größeren deutschen Unternehmen nutzt bereits die WLAN-Technologie oder plant deren Einsatz. Aber nur eine Minderheit ist sich über die Sicherheitsrisiken im Klaren. Nicht einmal die Hälfte der Unternehmen, die WLAN einsetzen, sorgt für einen ausreichenden Schutz des Funknetzes. Das sind Ergebnisse der Studie "WLAN - ein Paradies für Hacker?" der Ernst & Young IT-Security GmbH. Basis der Studie ist eine repräsentative Umfrage unter deutschen Unternehmen. Zusätzlich wurden Unternehmens-Funknetze in sieben deutschen Großstädten untersucht.

Verbraucher erhalten Auskunftsrecht zu 0190er-/0900er- Mehrwertdiensterufnummern. Das Bundeskabinett hat in seiner heutigen Sitzung den Gesetzentwurf zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern beschlossen. Der Gesetzentwurf soll Transparenz bei Angeboten von 0190er- und 0900er-Mehrwertdiensterufnummern schaffen und dem Verbraucher eine bessere Handhabe geben, gegen den Missbrauch dieser Nummern vorzugehen.

Backup auch größerer Datenmengen auf einem Datenträger. Imation hat mit der Auslieferung von LTO-(Linear-Tape-Open-)Ultrium-Generation-2-Bändern für Backupsysteme begonnen. Die Black Watch genannten Cartridges besitzen eine Kapazität von 400 GByte bei einem typischen Kompressionsverhältnis von 2:1 und einer nativen Kapazität von 200 GByte.

Aktualisierter SETI@home-Client behebt mehrere Sicherheitslecks. Das SETI@home-Projekt stellt ab sofort einen aktualisierten Client zum Download zur Verfügung, der zahlreiche Sicherheitslücken in der Software beseitigen soll. Das Projekt SETI@home an der Universität Berkeley nutzt die Rechenkapazitäten der an das Internet angeschlossenen Rechner, um außerirdische Lebensformen aufzuspüren.

Kaum grafische Unterschiede zur Xbox-Version. Nachdem das Stealth-Action-Spiel Splinter Cell bereits PC- und Xbox-Spieler in Verzückung setzt, können nun auch PlayStation-2-Besitzer mit Sam Fischer auf Schleichjagd gehen. Überraschenderweise müssen dabei noch nicht mal große Abstriche gegenüber der Xbox-Fassung gemacht werden.

Venen-Muster zur Identifizierung nun auch ohne "Handauflegen" möglich. Im Herbst 2002 hatte Fujitsu die Entwicklung eines biometrischen Systems zur Personen-Identifizierung mittels Handflächenerkennung angekündigt. Ein Maus-Prototyp mit Infrarotleuchte und Bildsensor ermittelte dabei anhand der Venen-Muster der aufgelegten Hand, ob es sich um einen autorisierten Nutzer handelt - nun will Fujitsu die Technik so weiterentwickelt haben, dass sie auch ohne physischen Kontakt funktioniert.

RSA SecurID 6100 USB Token: Authentifizierung mit Zertifikats-Management. RSA Security führt mit RSA SecurID 6100 USB Token ein weiteres Authentifikationsprodukt ein. Der kleine USB-Stecker vereint eine Zwei-Faktor-Authentifizierung mit einer Smartcard-Lösung und ermöglicht so eine Identifikation des Anwenders. Die USB-Token-Lösung unterscheidet sich von einer traditionellen Smartcard-Lösungen: Der USB-Token von RSA Security benötigt kein Smartcard-Lesegerät und wird damit für Unternehmen kostengünstiger und für den Anwender benutzerfreundlicher.

Umweltschutz durch Online-Rechnung. Nach Angaben der Deutschen Telekom nutzen bereits zwei Millionen Kunden die Rechnung Online. Diese neue Rechnungsart informiert den Kunden per E-Mail, sobald die aktuelle Rechnung auf dem Server der Deutschen Telekom bereitliegt, auf Wunsch wird die komplette Rechnung auch per E-Mail verschickt.

Ziel: Externe und vernetzte Storage-Lösungen jetzt aus einer Hand. Adaptec will das irische Unternehmen Eurologic Systems, einen Anbieter für externe und vernetzte Speicherlösungen, übernehmen. Mit dieser Akquisition will Adaptec seine Position im Markt für direct-attached Server Storage weiter ausbauen und komplette, End-to-End-Netzwerk-Storage-Lösungen sowohl auf Block- als auch auf File-Basis anbieten.

Spiel ist derzeit für viertes Quartal 2003 angekündigt. Groß war der Aufschrei in der nicht gerade kleinen Starcraft-Fangemeinde, als bekannt wurde, dass Entwickler Blizzard den nächsten Starcraft-Titel exklusiv für Konsolen entwickeln wird. Schließlich betritt Blizzard damit neues Terrain - bisher war die bevorzugte Plattform der unter anderem für Diablo, Warcraft und eben Starcraft verantwortlichen Entwickler der PC. Starcraft Ghost ist allerdings auch alles andere als eine bloße Übertragung des erfolgreichen Strategietitels von PC auf Konsole.

Hacker finden Sicherheitsleck in EA-Spiel. Anscheinend ist es einem findigen Hacker gelungen, Linux auch ohne Modchip auf einer Xbox-Konsole zum Laufen zu bringen. Hierzu nutzen sie ein Sicherheitsleck im James-Bond-Xbox-Spiel "007 - Agent Under Fire".

Neue Version 8.12.9 behebt den Fehler. Bereits zum zweiten Mal innerhalb eines Monats wurde jetzt eine kritische Sicherheitslücke in Sendmail bekannt. Diese lässt sich zu Denial-of-Service-Attacken nutzen, aber verschafft auch Angreifern die Möglichkeit, Befehle unter dem User-Account, unter dem Sendmail läuft, auszuführen - typischerweise root.

US-Bundesstaaten planen Verschärfung des DMCA. In einem Kommentar weist der Informatik-Professor Edward W. Felten auf Gefahren hin, die eine geplante Verschärfung des Digital Millennium Copyright Act (DMCA) mit sich bringen könnte. Durch die in den Entwürfen einiger US-Bundesstaaten vorgesehenen Regelungen würde die Nutzung von Firewalls als auch die Verschlüsselung des E-Mail-Verkehrs illegal.

Weiterhin nur der Web-Installer verfügbar. Microsoft hat seine insbesondere von Spielen genutzte Multimedia-Schnittstelle DirectX 9.0a nun offiziell auf der DirectX-Website angekündigt. Damit ist auch der Download des DirectX-9.0a-Web-Installers wieder möglich, der bereits vor der offiziellen Ankündigung auf dem offiziellen Download-Server zu finden war, aber dann von Microsoft kurzzeitig entfernt wurde.

Microsoft kann keinen Bugfix für Windows NT 4.0 anbieten. In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke im RPC-Protokoll von Windows NT 4.0, 2000 und XP. Ein Angreifer kann darüber die Funktionstüchtigkeit des Dienstes torpedieren. Während Microsoft einen Patch für Windows 2000 und XP anbietet, sieht sich der Hersteller außer Stande, auch einen Patch für das ebenfalls betroffene Windows NT 4.0 anzubieten.

Microsoft nimmt DirectX-Update (vorerst?) aus dem Netz. Nachdem DirectX 9.0a vor kurzem als Web-Installer auf Microsofts Download-Server auftauchte, ist er nun wieder verschwunden. Zudem verweigert der Web-Installer nun seinen Dienst, wenn man ihn denn schon heruntergeladen, aber noch nicht ausgeführt hatte.

Nagravision soll Schwarzseher aussperren. Der Pay-TV-Sender Premiere hat sich für Nagravision als neues Verschlüsselungssystem entschieden. Das vom Schweizer Softwarehaus Kudelski speziell für Premiere weiterentwickelte Verschlüsselungssystem soll im Herbst 2003 eingeführt werden.

Patch behebt Probleme mit Samba-Server und OpenSSL. Apple bietet ab sofort ein Sicherheits-Update für MacOS X 10.2.4 an, das ein kürzlich bekannt gewordenes Sicherheitsleck im zum Lieferumfang gehörenden Samba-Server beheben soll. Außerdem enthält der Patch eine aktualisierte Version von OpenSSL.

Erstes Update für DirectX 9 behebt Fehler. Nachdem Microsoft im Dezember 2002 die Version 9.0 der DirectX-API veröffentlichte, gibt es nun das erste Update. DirectX 9.0a steht ab sofort zum Download für Windows 98/ME und Windows 2000/XP zur Verfügung.

Opera 6.06b bereinigt Sicherheitslücke bei langen Dateinamen. Opera bietet ab sofort ein Sicherheits-Update für Opera 6.x zum Download an. Mit Opera 6.06b wird ein Sicherheitsleck bei der Nutzung langer Dateinamen während eines Downloads behoben.

Festplatten formatieren reicht nicht. Firmen, Behörden und Gerichte freuen sich über die Einnahmen, die sie aus dem Verkauf ausrangierter PCs erzielen können. Es liegt allerdings nicht zuletzt im eigenen Interesse der verkaufenden Stelle, alle auf der Festplatte gespeicherten Daten vor Abgabe der Computer zu löschen. Doch das gelingt nicht immer.

NGSSoftware: Sicherheitsleck in Windows 2000 auch ohne IIS 5.0 nutzbar. Die am 18. März 2003 vermeldete Sicherheitslücke in Windows 2000 macht Microsoft erneut Schwierigkeiten. Nachdem der Patch auf bestimmten Systemen mit Windows 2000 und installiertem Service Pack 2 das System unbrauchbar machte, äußern Experten nun Zweifel an den Microsoft-Einstufungen zu den Gefahren des Sicherheitslecks.

Neue Version kommt mit KDE 3.1 und Evolution 1.2.1. Nachdem bereits auf der CeBIT die direkt von CD laufende Linux-Distribution Knoppix in der Version 3.2 verteilt wurde, steht sie nun auch zum Download bereit. Knoppix 3.2 wartet mit aktualisierten Softwarepaketen auf, bringt aber auch einige neue Funktionen mit.

Tipps zur Umgehung von Kopierschutz-Sperren. Mittlerweile versieht fast jedes Plattenlabel seine Audio-CDs mit einem Kopierschutz. Solche normwidrigen "Un-CDs", die sich in vielen Playern nicht abspielen lassen, sind oft nicht einmal hinreichend gekennzeichnet. Eines sind sie aber auf keinen Fall: Audio-CD-konform. Die c't startet jetzt eine Online-Datenbank, um Informationen über Musik-CDs mit Abspielsperren zu sammeln.

Technologie ermöglicht auch Integration von Informationen. Laut einem Bericht des Online-Magazins Cnet hat das amerikanische Unternehmen SunnComm Technologies eine neue Kopierschutztechnologie lizenziert, die direkt in Musikstücke integriert wird. Selbst wenn man digitale Songs auf ein analoges Medium überspielt oder Lieder aus dem Radio aufnimmt, soll der Schutz erhalten bleiben.

Systeme mit Service Pack 2 für Windows 2000 anfällig für Schwierigkeiten. In einem NTBugtraq-Artikel berichtet Russ Cooper über einige Probleme bei der Installation des Anfang dieser Woche (18. März 2003) erschienenen Patches für Windows 2000. So soll es Schwierigkeiten auf manchen Systemen geben, die bislang nur mit dem Service Pack 2 von Windows 2000 ausgerüstet sind. Hier soll die Einspielung des Service Packs 3 für Windows 2000 Abhilfe schaffen.

100-MBit/s-Firewall und 50-MBit/s-VPN-Durchsatz. WatchGuard hat mit der Firebox V60L ein neues Gerät der Firewall/VPN-Familie Firebox Vclass angekündigt. Die Firebox V60L basiert auf der ASIC-Architektur von WatchGuard und liefert eine 100-MBit/s-Firewall-Performance sowie 50 MBit/s 3DES VPN-Durchsatz in einem Ein-Höheneinheit-Gerät.

CDT-Studie deckt auf, wie Spam-Versender an E-Mail-Adressen gelangen. Eine Studie des Center for Democracy and Technology (CDT) erläutert, über welche Wege Spam-Versender E-Mail-Adressen sammeln. Eine besonders hohe Spam-Gefährdung besteht demnach, wenn E-Mail-Adressen auf offiziell erreichbaren Webseiten erscheinen, gefolgt vom Schreiben in Newsgroups oder auf Forenseiten. Die Leute von CDT geben zudem Hinweise, wie man die Spam-Flut verhindern oder zumindest verringern kann.

Active-Scripting-Leck erlaubt die Ausführung von Programmcode. In einem aktuellen Security Bulletin berichtet Microsoft über eine Sicherheitslücke der Scripting Engine von Active Scripting, die als Bestandteil des Internet Explorers in zahlreichen Windows-Versionen zum Einsatz kommt. Das Sicherheitsloch erlaubt einem Angreifer die Ausführung beliebigen Programmcodes. Microsoft stuft das Sicherheitsrisiko dieses Programmfehlers als kritisch ein.

Controller sollen sowohl Serial-Attached SCSI als auch Serial ATA unterstützen. Adaptec konnte jetzt erstmals ein SCSI-Signal von einem RAID-Controller-Prototypen über serielle Verkabelung auf vier Festplatten und wieder zurück übertragen. Adaptec will die serienmäßige Produktion der ersten Serial-Attached-SCSI-(SAS-)Chips und -Controller in Kürze beginnen. SAS soll Leistung, Skalierbarkeit, Flexibilität und Datenschutz verbessern und die Geräte zudem deutlich kleiner machen.

PalmSource kooperiert mit Spontaneous Technology (SponTec). Auf der CTIA Wireless 2003 Ausstellung in New Orleans kündigte PalmSource, der Entwickler von PalmOS, eine Zusammenarbeit mit Spontaneous Technology (SponTec) an, um gemeinsam die Virtual Private Network Software von SponTec in den HotSync-Manager zu integrieren.

"Remote Exploit" angeblich nicht möglich. Eine Sicherheitslücke im Linux-Kernel erlaubt es lokalen Angreifern, Root-Rechte auf verwundbaren Systemen zu erlangen. Patches für die aktuellen stabilen Kernel-Serien stehen bereit.

IBM im Kreuzfeuer der Kritik. Unter dem Motto "TCPA - Whom do we have to trust today?" wurden im Rahmen des CCCeBIT-Treffens Forderungen des Chaos Computer Clubs in Bezug auf "trusted computing" an die IBM-Entwickler übergeben. Der CCC möchte damit in eine Diskussion über Sinn und Zweck von Trusted-computing-Konzepten und speziell des kommenden TCPA-Systems einsteigen.

Patch für die von Microsoft als kritisch eingestufte Sicherheitslücke erhältlich. In der WebDAV-Implementierung von Windows 2000 steckt ein Sicherheitsleck, worüber ein Angreifer auf einen damit verbundenen Internet Information Server (IIS) 5.0 zugreifen kann. Die Sicherheitslücke erlaubt die Ausführung beliebigen Programmcodes auf dem Server, so dass ein Angreifer weitreichende Kontrolle über das System erlangt. Microsoft bietet mittlerweile einen entsprechenden Patch zur Abhilfe an; das Sicherheitsrisiko durch den Programmfehler stuft Microsoft als kritisch ein.

Neue Version Samba 2.2.8 erschienen. Im Hauptmodul von Samba, smbd, wurde jetzt eine Sicherheitslücke entdeckt, die es einem externen Angreifer erlaubt, Super-User-Recht (Root-Rechte) auf einem entsprechenden Server zu erlangen. Das Problem existiert in allen Samba-Versionen von 2.0.x bis einschließlich 2.2.7a.

VirusScan Enterprise 7.0 und ePolicy Orchestrator. Network Associates bringt mit VirusScan Enterprise 7.0 und dem ePolicy Orchestrator 3.0 (ePO) neue Produkte für den Unternehmensbereich. VirusScan Enterprise 7.0 ist eine Anti-Virenlösung, während ePO eine zentrale Management-Konsole für die Verwaltung von Antivirus-Policys in Unternehmensnetzen darstellt.

Worm_CODE RED.F frisst sich durchs Netz. Antiviren-Forscher haben vor dem Wurm CODE RED.F gewarnt, der ähnlich wie andere Varianten von CodeRed eine durch einen Buffer-Overflow verursachte Verwundbarkeit des Microsoft IIS (Internet Information Server) ausnutzt. Dies kann einem Angreifer erweiterte Rechte über das befallene System verschaffen. Der Wurm hinterlässt auf einem infizierten Web-Server ein Backdoor-Programm.

Kriminalitätsbekämpfung auf eidgenössische Art. Die große Kammer des Schweizer Parlaments hat mit 124 gegen 27 Stimmen ein Verbot von den bislang in der Schweiz anonym kaufbaren Prepaid-Handy-SIM-Karten beschlossen. Die bisherige Praxis erlaubte es, entsprechend aktivierte Karten an jedem Kiosk kaufen zu können, ohne dass man dabei seinen Namen und seine Adresse angeben musste.

Neue Technologie soll Sicherheitslücke in Unternehmensnetzen schließen. Die webwasher AG stellt auf der CeBIT 2003 eine Lösung vor, die die Filterung von SSL-verschlüsseltem Web-Verkehr ermöglicht. Damit will das Unternehmen die "zurzeit größte Sicherheitslücke in den Netzen von Unternehmen und Behörden" schließen.

Bundesweite Komplettlösungen für VPN und VoIP. Telefónica Deutschland will bundesweit Lösungen im Bereich Access, Hosting, Sicherheitslösungen, MultiProtocol-Label-Switching-VPNs und Telefonlösungen auf IP-Basis für jede Unternehmensgröße anbieten. Das Netzwerk sei als erstes in Europa von Cisco zertifiziert worden und komplett Voice-over-IP-fähig.

Keine neuen Funktionen für den Linux-Browser. Ab sofort bietet Opera die Linux-Version des norwegischen Browsers in der Version 6.12 zum Download an. Damit sollen einige Programmfehler behoben werden. Neue Funktionen bietet die aktuelle Version nicht.

Verkäufer-Daten unsicher gelagert. Nach Angaben von Axel Gronen, der eine informative Seite über Wortfilter bei eBay unterhält, können durch eine Sicherheitslücke beim Online-Auktionsveranstalter eBay hinterlegte Kontodaten von Verkäufern von Unbefugten eingesehen werden.

Für Entry-Level-Server-Hersteller und Endkunden. Sony hat die Erweiterung des AIT-Produktportfolios (Advanced Intelligent Tape) angekündigt und zwei neue Bandlaufwerke mit ATAPI-Schnittstelle vorgestellt. Mit den neuen Laufwerken sollen Hersteller von Servern der Einstiegsklasse und Endkunden ihre Daten sichern können. Im letzten Jahr wurden bereits AIT-1-Laufwerke mit ATAPI-Schnittstelle vorgestellt.