entwickler.com

Keine Schwachstelle in Samba, eine im Internet Explorer, die Zusammenarbeit von Google und NSA und die Folgen von Blippy liefern die Themen dieses Standpunkt Sicherheit.

(K)eine Schwachstelle in Samba

'Kingcope' hat am Freitag ein Video auf YouTube veröffentlicht, das er 'Samba Remote Zero-Day Exploit' nennt. Konkret handelt es sich um einen Directory-Traversal-Angriff: Samba erlaubt SymLinks zu Verzeichnissen außerhalb eines beschreibbaren Shares. H D Moore hat für das Metasploit Framework ein Modul entwickelt, das die Schwachstelle ausnutzt, um einen Link zum Root-Filesystem anzulegen, von dem aus der Benutzer dann mit seinen Rechten auf jede beliebige Datei im Dateisystem zugreifen kann. Zum Glück sind das i.A. nur die Rechte eines normalen Benutzers, bei anonymen Zugriffen die des 'nobody'-Accounts.

Die Entwickler haben kurz darauf klar gestellt, dass es keine Schwachstelle ist, sondern "nur" eine unsichere Default-Einstellung. Mit der Einstellung

wide links = no

in der [global]-Sektion der smb.conf wird das Folgen solcher SymLinks ausgeschaltet. Das Problem entsteht, weil die ebenfalls in der Default-Einstellung aktivierte Unix-Erweiterung den Benutzern das Anlegen von SymLinks auf gemounteten Shares erlaubt. Unix-Clients folgen den Links lokal, während Windows-Clients ihnen auf dem Server folgen. Zur Lösung des Problems wird die Default-Einstellung für "wide links" auf "no" geändert und die Dokumentation angepasst. Auf der Mailingliste 'samba-technical' wird über mögliche andere Lösungen in zwei Threads diskutiert.

Wir haben also wieder einmal den Fall "Schwachstelle, die keine ist, wird für Angriffe ausgenutzt" - was vermutlich dazu führen wird, dass die Linux-Distributionen, die die unsichere Default-Einstellung übernommen haben, mit Security-Advisories auf diese Nicht-Schwachstelle reagieren.

So weit, so gut - Friede, Freude, Eierkuchen? Naja, da ist doch wohl mindestens ein faules Ei dabei: Die sichere Default-Einstellung besteht in Zukunft aus eingeschalteter Unix-Erweiterung und ausgeschalteten "wide links", und so konfigurierte Systeme sind nicht angreifbar. Aber was ist mit Systemen, die sowohl die Unix-Erweiterung als auch "wide links" benötigen? Die sind dann über diese Nicht-Schwachstelle angreifbar. Den Diskussionen auf der Mailingliste 'samba-technical' zu folge ist das wohl nicht zu ändern - aber irgendwie äußerst unschön. Noch unschöner: Diese Einstellung wird in Zukunft verboten: Ist "unix extensions = yes", lässt sich "wide links = yes" nicht mehr setzen. Keine Ahnung, ob diese Einstellung wirklich gebraucht wird, aber das sollte man doch besser gründlich prüfen, bevor nach der Veröffentlichung der nächsten Version das Geschrei los geht, weil Programme nicht mehr laufen oder sich nicht mehr konfigurieren lassen oder was auch immer.

Von Samba zu Microsoft ...

... ist es nur ein kleiner Schritt: Was Samba recht ist, sollte Microsoft doch billig sein, oder? Aktuell gibt es da die Schwachstellen im Internet Explorer, die das Herunterladen beliebiger Dateien erlauben. Als Workarounds können die Sicherheitseinstellungen für das Internet und das lokale Intranet auf "hoch" gesetzt, die Rückfrage vor dem Ausführen aktiver Inhalte eingeschaltet und der 'Network Protocol Lockdown' für Windows XP aktiviert werden. Als Workaround, wohlgemerkt, der nach der Veröffentlichung eines Patches rückgängig gemacht werden kann.

Die Sicherheitseinstellungen für das Internet auf "hoch" zu setzen, Rückfrage vor dem Ausführen aktiver Inhalte einzuschalten oder die Ausführung aktiver Inhalte ganz aus zu schalten ist ein beliebtes Mittel, um Angriffe auf Schwachstellen im Internet Explorer zu verhindern oder zumindest zu erschweren. Das passiert so oft - wie wäre es denn, wenn Microsoft das ganze auch mit einer unsicheren Default-Einstellung erklärt und mit einem der nächsten Security-Bulletins die Einstellungen entsprechend ändert? OK, das Surfen im Web wird damit etwas schwierig, aber immerhin muss dann kein IE-Nutzer mehr Angst vor Drive-by-Infektionen haben. Wer die Default-Einstellungen ändert, hat dann halt Pech gehabt und sich den Schaden selbst zu zu schreiben. Undenkbar? Klar, aber irgendwie drängt sich der Vergleich auf. Was bei Samba richtig ist, sollte doch auch für Microsoft kein Problem sein. Oder ist das bei Samba doch nicht so ganz richtig? Wie schon erwähnt: Ich habe keine Ahnung, ob die Kombination "unix extensions = yes" und "wide links = yes" wirklich irgendwo gebraucht wird. Aber eine Schwachstelle durch einer Änderung an der Default-Einstellung zu beheben, könnte ein bisschen kurz gesprungen sein.

Google, Geheimdienst, NSA - Zufälliges Zusammentreffen passender Schlagworte

"Bundesverbraucherschutzministerin Ilse Aigner wirft Google millionenfache Verletzung der Privatsphäre vor und will gegen Google Street View gesetzlich vorgehen." - so die Einführung eines Artikels auf Focus Online mit dem schönen Titel „Kein Geheimdienst würde so ungeniert auf Bilderjagd gehen“. Natürlich würde kein Geheimdienst so öffentlich vorgehen, schließlich heißt der ja nicht umsonst Geheimdienst. Aber so ungeniert... was ist denn mit den zigtausenden Überwachungskameras auf öffentlichen Plätzen, in Bussen und Bahnen und sonst noch überall? OK, die werden nicht vom Bundesnachrichtendienst oder einem anderen deutschen Geheimdienst betrieben, aber ich glaube nicht, dass die irgend welche Skrupel haben, bei Bedarf auf diese Daten zuzugreifen. Wann geht die Bundesverbraucherschutzministerin dann dagegen vor? Oder zumindest gegen die ebenfalls Überhand nehmenden Überwachungskameras in Geschäften, die teilweise ja sogar intime Daten in die Weltgeschichte senden?

Frau Aigner fragt auch „Ich möchte wissen, wer hat eigentlich die Kontrolle über die Daten?“. Ich glaube, da kann ich ihr helfen: Der US-Geheimdienst, genauer die National Security Agency, die Google bei der Aufklärung der vermutlich von China ausgehenden Cyber-Angriffe und vor allem bei der Verhinderung zukünftiger Angriffe helfen soll. Oder wie es Bruce Schneier zusammenfasst: "World's Largest Data Collector Teams Up With Word's Largest Data Collector". Die Beschreibung der Zusammenarbeit liest sich interessant. Für keine der darin beschriebenen Aufgaben würde ich die NSA anheuern, dafür gibt es mit Sicherheit genug Unternehmen, die sich damit besser auskennen als die NSA und nicht deren zweifelhaften Ruf haben. Das einzige, was für die NSA spricht: Falls Google Windows Vista eingesetzt hat, ist die NSA vielleicht für die ausgenutzten Schwachstellen mit verantwortlich - immerhin hat man ja an der Absicherung von Vista mitgearbeitet.

Andererseits ist das immerhin die Behörde, die sowohl für die Sicherstellung der Kommunikation als auch für deren Abhören zuständig ist. Ein Kunstreiter, der mit einem Fuss auf dem Sattel eines weißen Pferds und mit dem anderen auf dem eines schwarzen Pferds seht, macht sicher eine gute Figur. Aber wenn die Pferde auseinander galoppieren, muss er sich für eines entscheiden. Ich weiß nicht, für was sich die NSA entscheidet, aber getreu dem Motto "Im Zweifel gegen die Schnüffler" würde ich aufs Abhören tippen. Wenn die NSA-Mitarbeiter Schwachstellen in Googles Systemen finden - verraten sie die dann alle, oder heben sie sich ein paar für "schlechte Zeiten" auf, denn man weiß ja nie, wann man selbst mal bei Google schnüffeln möchte?

Twitter, Blippy - wann kommt Shitty?

Twitter kennen wir wohl alle, Blippy ist eine Art "Twitter für Kassenbons", dort posten digitale Exhibitionisten ihre letzten Einkäufe. Dancho Danchev fragt "Does Blippy really pose a security risk?" und denkt dabei vor allem an die Nutzung der dort veröffentlichten Informationen für gezielte Phishing-Angriffe. Ich finde, das liest sich eher wie eine Einkaufsliste für Einbrecher und Diebe, die erfahren da aus erster Hand, wo es was zu holen gibt. In die Welt rausposaunen, was man gerade gekauft hat - sonst gehts gut? Na, dann ist ja alles in Ordnung. Was kommt als nächstes? Shitty, damit jeder live berichten kann, wenn er die Verdauung der zuvor bei Blippy gemeldeten Currywurst abgeschlossen hat?