Sicherheitsrisiko
Software
Bugs in Software spielen auch für den Datenschutz eine Rolle. Trojanische
Pferde und Viren (oder eben auch Bugs, manchmal sogar Features!) können
personenbezogene Daten in unbefugte Hände spielen oder - um den Begriff
Datenschutz mal etwas weiter zu fassen - den Datenbestand, der personenbezogene
Daten enthält gefährden.
Betroffene Programme
- AOL Instant Messenger
Das Programm, das eine ähnliche Funktion wie ICQ hat, weist einen schweren Bug auf.
Ein 14-jähriger Schüler aus den USA hat einen Buffer-Overflow-Bug gefunden der
es erlaubt, rund 1.000 Byte Code einzuschmuggeln oder den Client-Rechner zum Absturz zu
bringen. Der Messenger wird auch mit dem Netscape Communicator 4.x für Win95
ausgeliefert.
c't 6/98, Seite 94
- Microsoft Windows 95, Windows NT, Windows for Workgroups 3.11
So gut wie alle Windows-Versionen (alle Win95, alle WinNT, WfW je nach installiertem
Protokoll-Stack) sind anfällig gegen WinNuke-Attacken. Das Senden von speziellen
Paketen ("Out of Band-Packets") kann verschiedene Auswirkungen haben: Vom einfachen
Kappen der Netzverbindung bis zum "Blue Screen of Death". Andere Betriebssysteme wie
MacOS, OS/2 oder Unix-Derivate wie Linux sind gegen diese Angriffe unempfindlich.
Aus der WinNuke-FAQ (übersetzt):
"WinNuke sendet eine Zeichenkette (im original Scource-Code "bye") zu Deinem Netbios-Port
(139) unter Verwendung von OOB (out of band data). Der Port ist bei den meisten
Windows-Rechner standardmäßig geöffnet und wird für die Netzwerkerei
via TCP/IP verwendet. Das Problem ist das Windows, obwohl es OOB unterstützt,
nicht weiß, was es mit dem Paket anfangen soll. Windows 95 goes for the exception
handler, and fails, leaving most users with a blue screen." [Ich hab' weiß nicht
was ein "exception handler" ist und wie ich das übersetzen soll.]
Was kann man dagegen tun? In Win95 kann man OOB gänzlich abschalten (mittels
eines Registry-Patch). Bei WinNT sollte die Installation von des Service Pack 3
weiterhelfen. In Win3.11 hilft die Umbenennung einer Datei (was Netbios über TCP/IP
verhindert). Wenn man herausfinden möchte, wer einen zu nuken versucht, braucht man
einen Port-Listener der eingehende Pakete überwacht.
Weitere Informationen:
- Microsoft Internet-Explorer
Mit Hilfe des Microsoft-Browsers können über das Internet
bestimmte Dateien unbemerkt vom Rechner seiner Benutzer
gestohlen werden.
- PGP 5.0
wurde von Vielen als "Erlösung" empfunden, weil
es das Verschlüsseln privater E-Mails, im Vergleich zu den
kommandozeilenorientierten Vorgängerversionen, offenbar vereinfacht.
Beim Erscheinen von PGP 5.5, der kommerziellen
"Business"- Version gab es einen regelrechten Sturm der
Entrüstung: Sowohl im Quellcode von 5.0, als auch in 5.5 sei
"GAK", "Gouvernmental Access To Keys" vorbereitet.
Die Fakten hat Lutz Donnerhacke übersichtlich zusammengefasst und
sind auf unserer Seite Sicherheitslücken in PGP5
abrufbar.
Links
- The Internet Junkbuster-Homepage
gibt Euch Tips, aber auch Werkzeuge in die Hand, mit deren Hilfe Ihr Euch
wirksam gegen unerwünschte Gäste aus dem Internet wehren
könnt und dabei guten Stil bewahrt.
- Microsoft Security
Alert - RadioActiveX
Der Chaos Computer Club setzt sich, wie immer, kritisch mit den
vielgepriesenen Neuheiten der Softwareschmiede von Bill Gates auseinander:
This ActiveX control is a small program being sucked into your PC by
Microsoft Internet Explorer without your knowledge and without a chance
for you to do anything against it except for switching off ActiveX completely
(or change your browser). Once in your system, the control (you might call it
a virus) can do whatever it wants to do with your computer.
Auf diversen Sites gibt es das sogenannte "Exploder"-Control, das anschaulich
die Gefahren dieser Technologie demonstriert: IE-Nutzer haben zehn Sekunden
Zeit eine Seite zu verlassen, bevor das ActiveX-Control den heimischen Rechner
runterfährt. Bedenklich ist, dass diese Technik auch in Windows98 weite
Verbreitung erfahren soll.
- ActiveX
Gnadenlos ins richtige Licht gerückt.
|