datenschutz

Sicherheitsrisiko Software

Bugs in Software spielen auch für den Datenschutz eine Rolle. Trojanische Pferde und Viren (oder eben auch Bugs, manchmal sogar Features!) können personenbezogene Daten in unbefugte Hände spielen oder - um den Begriff Datenschutz mal etwas weiter zu fassen - den Datenbestand, der personenbezogene Daten enthält gefährden.

Betroffene Programme

  • AOL Instant Messenger
    Das Programm, das eine ähnliche Funktion wie ICQ hat, weist einen schweren Bug auf. Ein 14-jähriger Schüler aus den USA hat einen Buffer-Overflow-Bug gefunden der es erlaubt, rund 1.000 Byte Code einzuschmuggeln oder den Client-Rechner zum Absturz zu bringen. Der Messenger wird auch mit dem Netscape Communicator 4.x für Win95 ausgeliefert.
    c't 6/98, Seite 94

  • Microsoft Windows 95, Windows NT, Windows for Workgroups 3.11
    So gut wie alle Windows-Versionen (alle Win95, alle WinNT, WfW je nach installiertem Protokoll-Stack) sind anfällig gegen WinNuke-Attacken. Das Senden von speziellen Paketen ("Out of Band-Packets") kann verschiedene Auswirkungen haben: Vom einfachen Kappen der Netzverbindung bis zum "Blue Screen of Death". Andere Betriebssysteme wie MacOS, OS/2 oder Unix-Derivate wie Linux sind gegen diese Angriffe unempfindlich.
    Aus der WinNuke-FAQ (übersetzt): "WinNuke sendet eine Zeichenkette (im original Scource-Code "bye") zu Deinem Netbios-Port (139) unter Verwendung von OOB (out of band data). Der Port ist bei den meisten Windows-Rechner standardmäßig geöffnet und wird für die Netzwerkerei via TCP/IP verwendet. Das Problem ist das Windows, obwohl es OOB unterstützt, nicht weiß, was es mit dem Paket anfangen soll. Windows 95 goes for the exception handler, and fails, leaving most users with a blue screen." [Ich hab' weiß nicht was ein "exception handler" ist und wie ich das übersetzen soll.]
    Was kann man dagegen tun? In Win95 kann man OOB gänzlich abschalten (mittels eines Registry-Patch). Bei WinNT sollte die Installation von des Service Pack 3 weiterhelfen. In Win3.11 hilft die Umbenennung einer Datei (was Netbios über TCP/IP verhindert). Wenn man herausfinden möchte, wer einen zu nuken versucht, braucht man einen Port-Listener der eingehende Pakete überwacht.
    Weitere Informationen:

  • Microsoft Internet-Explorer
    Mit Hilfe des Microsoft-Browsers können über das Internet bestimmte Dateien unbemerkt vom Rechner seiner Benutzer gestohlen werden.

  • PGP 5.0
    wurde von Vielen als "Erlösung" empfunden, weil es das Verschlüsseln privater E-Mails, im Vergleich zu den kommandozeilenorientierten Vorgängerversionen, offenbar vereinfacht. Beim Erscheinen von PGP 5.5, der kommerziellen "Business"- Version gab es einen regelrechten Sturm der Entrüstung: Sowohl im Quellcode von 5.0, als auch in 5.5 sei "GAK", "Gouvernmental Access To Keys" vorbereitet. Die Fakten hat Lutz Donnerhacke übersichtlich zusammengefasst und sind auf unserer Seite Sicherheitslücken in PGP5 abrufbar.

Links

  • The Internet Junkbuster-Homepage
    gibt Euch Tips, aber auch Werkzeuge in die Hand, mit deren Hilfe Ihr Euch wirksam gegen unerwünschte Gäste aus dem Internet wehren könnt und dabei guten Stil bewahrt.

  • Microsoft Security Alert - RadioActiveX
    Der Chaos Computer Club setzt sich, wie immer, kritisch mit den vielgepriesenen Neuheiten der Softwareschmiede von Bill Gates auseinander: This ActiveX control is a small program being sucked into your PC by Microsoft Internet Explorer without your knowledge and without a chance for you to do anything against it except for switching off ActiveX completely (or change your browser). Once in your system, the control (you might call it a virus) can do whatever it wants to do with your computer.
    Auf diversen Sites gibt es das sogenannte "Exploder"-Control, das anschaulich die Gefahren dieser Technologie demonstriert: IE-Nutzer haben zehn Sekunden Zeit eine Seite zu verlassen, bevor das ActiveX-Control den heimischen Rechner runterfährt. Bedenklich ist, dass diese Technik auch in Windows98 weite Verbreitung erfahren soll.

  • ActiveX
    Gnadenlos ins richtige Licht gerückt.


© 1996 - 1998, FEN - Inhaltsbereich Datenschutz. Verbesserungsvorschläge an: datenschutz@fen-net.de Letzte Änderung: 10.05.1998
FEN