datenritter blog

Eine Lücke, mit der normale User an Administrator-Rechte gelangen konnten, existiert seit 17 Jahren. Schreibt heise. Ich sag nichts mehr.

Der angeforderte Nachschlageschlüssel konnte in keinem aktiven Aktivierungskontext gefunden werden.

Ja, wirklich.

Hier haben wir mal wieder einen Fall von "hätte ich ein Backup..." Der arme Mann fragt nun per Blog und Twitter, was er tun soll:

Mindestens ein Mal im Jahr zerschießt es meinen Windows XP Rechner. Genauer gesagt ist und war es meist die Festplatte, die aus einem mir nicht nachvollziehbarem Grund ihren Geist aufgibt und mir nun jede Menge Daten, als auch nicht extern gesicherte Fotos vorenthält. Ein persönliches Drama sozusagen an dem ich natürlich selbst dran Schuld bin. Daten zu sichern war bisher nicht meine Stärke ,(

Kein Backup, und Windows macht das regelmäßig. Was soll man dazu noch sagen?

TOLD YOU SO!

Die Distribution Ubuntu dürfte mit ihrem Sinn für Benutzerfreundlichkeit wesentlich dazu beigetragen haben, dass sich der NetworkManager (Homepage), ursprünglich ein Projekt von Red Hat, durchgesetzt hat. Er konfiguriert Netzwerkschnittstellen automatisch und macht damit Linux-Notebooks eigentlich erst richtig benutzbar.

Die Idee, dass ein User die Netzwerkschnittstellen konfigurieren könnte, war der Linux-Welt lange Zeit fremd. Doch das Überall-Netz setzt sich durch und WLANs machen schnelle Wechsel erforderlich.

Zum Daemon gibt es grafische Helferlein, wie den KNetworkManager für KDE, mit denen auch Unbedarfte "mal eben schnell" den WLAN-Zugang einrichten können. Mittlerweile beherrscht er sogar VPNs.



Man versuche zum Vergleich, OpenVPN unter Windows für User ohne Administratorrechte aufzusetzen. Ein schlechter Scherz.

Dennoch ist es gut zu wissen, wie man dem NetworkManager bei Bedarf Einhalt gebietet, zum Beispiel wenn man sein VPN unabhängig eingerichtet hat. Denn der NetworkManager startet den DHCP-Client, wenn kein Server da ist, und ein auf der Konsole manuell konfiguriertes Interface setzt er schnell mal zurück.

Beispiele in der Dokumentation des Debian-Pakets erklären, welche Interfaces von NetworkManager kontrolliert werden, und welche nicht:

1.)
auto wlan0
iface wlan0 inet dhcp
-> This device is managed by NM.

1.a)
allow-hotplug eth0
iface eth0 inet dhcp
-> This device is managed by NM

2.)
auto wlan0
iface wlan0 inet dhcp
wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
-> This devices is *not* managed by NM because it has additional options.

3.)
iface wlan0 inet dhcp
-> This device is *not* managed by NM because it is not set to "auto".

4.)
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.1
-> This device is *not* managed by NM because it is configured as "static" and
has additional options.

5.)
Device is not listed in /etc/network/interfaces.
-> Device is managed by NM.

Da ein beispielsweise von OpenVPN erzeugtes TAP- oder TUN-Device normalerweise nicht in /etc/network/interfaces eingetragen ist, greift die Regel aus Beispiel 5, und der NetworkManager nimmt dem TAP-Device schnell wieder die IP weg, nachdem OpenVPN sie und die zugehörigen Netzwerk-Routen gesetzt hat.

Eine gleichzeitige manuelle Konfiguration gelingt hingegen, weil sie erst nach dem Eingriff stattfindet, und daher eine gewisse Zeit bestehen bleibt. Das Logfile von OpenVPN behauptet, alles sei ok. Die Verwirrung ist perfekt, der Administrator beißt wutentbrannt in die Tastatur.

Wenn man weiß, wie es geht, ist es einfach: Ein Eintrag iface tap0 inet manual in /etc/network/interfaces behebt das Problem. (Der NetworkManager sollte neu gestartet werden.) Das TAP-Device bleibt wie in Beispiel 3 unangetastet, das VPN funktioniert.

Philosecurity hat einen Adware-Autoren interviewt, doch erst Bruce Schneier fällt der wesentliche Teil auf. Und mir erst jetzt der Knaller im ersten Absatz:

Yes. I should probably first speak about how adware works. Most adware targets Internet Explorer (IE) users because obviously they’re the biggest share of the market. In addition, they tend to be the less-savvy chunk of the market. If you’re using IE, then either you don’t care or you don’t know about all the vulnerabilities that IE has.

Ich übersetze mal sinngemäß: "Adware wird meistens für den Internet Explorer geschrieben, weil dessen Benutzer offensichtlich in der Überzahl sind. Außerdem haben die eher weniger Grips. Wer den Internet Explorer benutzt, dem sind die Sicherheitslücken entweder egal oder gar nicht bewusst."

Das ist ein vernichtendes Urteil von jemandem, der es wissen muss.

Schon einiger Zeit plagt ein gravierender Fehler Nutzer des Microsoft Internet Explorers, der sich allein durch Öffnen einer manipulierten Webseite mit einem Virus infiziert. Bereits seit Oktober soll der Schädling umgehen.

Heute erst wurde die Lücke von Microsoft behoben. Zu spät, wie ich finde, aber was soll man von Microsoft schon erwarten?

In den heise-Meldungen ist die Rede von einem Exploit. Die Wikipedia erklärt in einfachen Worten, was das ist:

Ein Exploit (englisch to exploit - ausnutzen) ist eine Software oder eine Sequenz von Befehlen, die spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogramms zur Erlangung von Privilegien (...) ausnutzt.

Etwas banalisierend könnte man einen Exploit also als Hälfte eines Computervirus' bezeichnen. Die andere Hälfte ist der Teil, der im infizierten Browser tätig wird.

Wird die Sicherheitslücke, die einem Exploit zugrundeliegt, erst bekannt, wenn sie bereits ausgenutzt wird, so spricht man von einem Zero-Day-Exploit. Dazu die Wikipedia:

Ein Exploit, das vor dem oder am selben Tag erscheint, an dem die Sicherheitslücke (Neudeutsch Zero-Day-Lücke) allgemein bekannt wird, nennt man Zero-Day-Exploit (0-Day-Exploit, 0day). Die Gefährlichkeit dieser Exploits rührt daher, dass zu diesem Zeitpunkt kaum ein Hersteller bzw. Entwickler in der Lage ist, die Sicherheitslücke sinnvoll und umfassend mittels eines Patches zu schließen.

Zero-Day-Exploit ist also, wie jeder leicht nachlesen kann, ein Fachbegriff.

Das hat die "Computer Bild", zu meinem Bedauern die auflagenstärkste deutsche Computerzeitschrift, bis gestern zumindest nicht verstanden:

Ein Computerschädling namens „Zero Day“ bedroht derzeit PCs. Im Moment seien allerdings nur Rechner in China betroffen, die mit dem Browser „Internet Explorer“ (IE) ausgestattet sind.

Nein, ihr Computerbild-Schreiberlinge, "Zero Day" ist nicht der Name des Schädlings!!!

Und nicht um die chinesischen Windows-Nutzer geht es, vielmehr breitete sich der Schädling anfangs über chinesische Webseiten aus. Die heise-Meldung erklärt es:

Derzeit sieht es auch so aus, als würden hauptsächlich gehackte chinesische Webseiten den Exploit enthalten. Auf einem (...) Testsystem (...) startete der Zero-Day-Exploit ein Programm namens ko[1].exe, das sofort Kontakt mit einem chinesischen Server aufnahm und begann, Rootkit-Komponenten nachzuladen.

Angesichts dieses Blödsinns bin ich versucht, von gefährlicher Verharmlosung des Fehlers im Microsoft-Browser zu sprechen.

Da sieht man mal wieder, dass "auflagenstark" nur bedeutet, dass viele Exemplare gedruckt werden, nicht aber, dass sie gelesen und verstanden werden, geschweige denn, dass die Autoren wissen, wovon sie reden.

Update: Torsten Feld formuliert es so:

Schon doof, wenn man sich dümmer macht, als man sowieso schon ist...

Update: Mittlerweile hat die "Computer Bild" den Artikel überarbeitet. Vermutlich war ihnen die Erwähnung bei fefe zu peinlich.

Die Bahn ist ein Großkonzern, also bezieht sie auch ihre Betriebssysteme von Großkonzernen. Und da auch die Fahrkartenautomaten mit Windows laufen, glaube ich die folgende Geschichte ungeprüft:

Zur Zeit sitze ich im ICE 26 (...) und es geht nicht weiter weil — und jetzt haltet Euch fest — der Zug wegen einer Allgemeinen Schutzverletzung resettet werden muß. Das Hochfahren des Zuges dauert eine halbe Stunde. Ich fahre nie wieder Bahn. Lieber Gott, mach daß das nicht wahr ist und der ICE nicht mit Windows als Betriebssystem fährt (...)

Amen.

MSIs oberster Verkäufer Andy Tung erklärt in einem Interview:

Our internal research has shown that the return of netbooks is higher than regular notebooks, but the main cause of that is Linux. People would love to pay $299 or $399 but they don’t know what they get until they open the box. They start playing around with Linux and start realizing that it’s not what they are used to. They don’t want to spend time to learn it so they bring it back to the store. The return rate is at least four times higher for Linux netbooks than Windows XP netbooks.

Das Netbook MSI Wind kommt mit einem SuSe-Linux. Mit Kubuntu oder Debian wären die Zahlen vielleicht anders, aber das ist Spekulation. Oder Wunschdenken. Oder beides.

An der Benutzerfreundlichkeit liegt es jedenfalls nicht. Immer wieder trifft man auf Zeitgenossen, die behaupten, Windows sei "Standard" und Linux sei "nicht benutzerfreundlich genug". Beides ist falsch. Offensichtlich muss noch mehr für die Bildung der Menschheit getan werden. Dann würden sie vielleicht die Vorzüge eines Systems erkennen, das sie nicht einengt, das ehrlich zu ihnen ist und alle Informationen hergibt, die man benötigen könnte, das ihnen die Kontrolle über ihre Hardware nicht nimmt, und das ihnen nicht zuletzt die Wahl lässt, mit welcher Oberfläche sie arbeiten möchten.

Und das selbstverständlich auch einfach zu bedienen ist — außer natürlich, man redet sich ein, einfach sei das, was man gewohnt ist. (Es ist lediglich einfach bei Gewohntem zu bleiben.)

Tung sagt daher auch ganz richtig: Linux ist nicht, woran die Menschen gewöhnt sind.

Aus Sicht eines professionellen Anwenders ist das erstaunlich, denn ein KDE zum Beispiel ist genauso zu bedienen wie die Windows-Oberfläche. Aber es sind die vielen kleinen Details, von denen Menschen sich verwirren lassen, weil ihnen das abstrakte Basiswissen nicht vermittelt wurde.

Sie wurden an Windows herangeführt, wie Wanderer, denen man einen einzigen Weg erklärt hat, nicht aber, dass es viele Wege gibt, die alle in einer Landkarte beschrieben stehen. Und so treten sie täglich den selben eintönigen Marsch an, während sie sich einreden, sie würden "einfach nur arbeiten".

Hier gibt es die E-Mail einer amerikanischen Lehrerin, die so gar nichts verstanden hat über Linux, Microsoft und den ganzen Rest. Auch wenn die Mail und die Antwort darauf amerikanisch überemotionalisiert sind, sind sie beide absolut lesenswert. Der Blogger trifft mit seiner Antwort zumindest den Ton, der der E-Mail der Lehrerin angemessen ist.

Denn in ihrem Wahn glaubt sie, dass es keine kostenlose Software geben könne:

No software is free and spreading that misconception is harmful.

Sie hat sich von der freien Welt abgewandt:

I along with many others tried Linux during college and I assure you, the claims you make are grossly over-stated and hinge on falsehoods.

Und behauptet sogar, dass Linux gar Kinder behindern würde:

I admire your attempts in getting computers in the hands of disadvantaged people but putting linux on these machines is holding our kids back.

Damit nicht genug, sie glaubt an die Gutmütigkeit Microsofts:

I am sure if you contacted Microsoft, they would be more than happy to supply you with copies of an older verison [sic] of Windows

Wow. Was ist nur geschehen, dass diese arme Frau derart radikalisiert wurde? Hat man sie gezwungen, Emacs zu benutzen oder in LISP zu programmieren? Wurde sie von einem religösen Verführer einer Sekte, einem "Rattenfänger", brutal indoktriniert und "umgedreht", um als menschliche Waffe gegen ihre eigene freiheitliche Kultur missbraucht werden zu können? Und wie wird die amerikanische Öffentlichkeit mit diesem dreisten Anschlag auf das Gemeinwesen umgehen? Ist die Sekte der Microsoft-Jünger, die mit einem Drogencocktail aus bunten Bildern und vorgetäuschter Benutzerfreundlichkeit abhängig gemacht wurden, und die nun um jedes noch so kleine Feature betteln, vielleicht größer und gefährlicher als angenommen? Droht die Gefahr euch in Europa? Die Innenminister sollten handeln!

Ich habe heute eine Phishing-Mail erhalten, die mich auf eine gefälschte PayPal-Seite lotsen möchte. In der HTML-Mail befindet sich ein Link auf die Seite http://0xded6d8a1/www.paypal.com/... /index.htm.

Der Link zeigt offensichtlich nicht auf "www.paypal.com" sondern auf den Server mit der Adresse "0xded6d8a1". Durch die hexadezimale Darstellung der IP-Adresse und die fehlende Endung (Top-Level-Domain) fällt einem Unbedarften das aber möglicherweise nicht auf. Das ist besonders wahrscheinlich, wenn die URL unverändert in der Adresszeile des Browsers angezeigt wird.

Man kann von den Benutzern erwarten, dass sie Top-Level-Domains und IP-Adressen in Dezimaldarstellung erkennen. Aber mir fällt kein Grund ein, warum ein Link mit als Hexadezimalzahl getarnter Adresse funktionieren müsste.

Tut er aber. Der Browser Konqueror (Version 3.5.9) fällt jedenfalls auf die Hex-Adresse herein. Der Microsoft Internet Explorer ebenfalls, er wandelt den Hexcode allerdings in die Dezimalform der Adresse um, schreibt also http://222.214.216.161/...

(Anmerkung: Dieser Trick funktioniert in der Regel nicht, wenn man einen Proxy-Server benutzt, da die die IPs normalerweise im "richtigen" Format verlangen.)

Selbst wenn der Browser die Adresse nicht umsetzt — so wie mein Iceweasel 3.0.3 (die Debian-Version des Firefox) — sondern den Hexcode als Domainnamen interpretiert, so versucht er möglicherweise, eine funktionierende Domain zu erraten. (Sogenanntes Domain Guessing.) In diesem Fall käme dann http://www.0xded6d8a1.com/www.paypal.com/... dabei heraus, was Betrüger ebenfalls ausnutzen könnten, aber deutlich auffälliger ist, da der erste Teil der URL dann durch seine Endung .com auffällt.

Das Problem scheint nicht wirklich neu zu sein. Diverse Möglichkeiten IP-Adressen zu verschleiern, sind auf der Seite pc-help.org/obscure erklärt. Auf der Seite wird auch auf eine "Dotless-IP-Address"-Sicherheitslücke älterer Versionen des Internet Explorers hingewiesen. Allerdings bestand der Fehler damals "nur" darin, dass der IE verschleierte IPs als im lokalen Netzwerk angesiedelt betrachtete und entsprechend falsche Sicherheitseinstellungen anwandte. (Irgendwie typisch.)

Die verschleierten IP-Adressen an sich scheint hingegen niemand als Problem anzusehen, was Phisher nach Belieben ausnutzen.