Im Rahmen der DefCon präsentierten Alex Pilosov und Tony Kapela einen interessanten Beitrag zum Thema Routing Security. Der Vortrag ist als PowerPoint File verfügbar.

Wired nennt das ganze das größte Sicherheitsloch des Internets, bei Heise läuft die Schlagzeile unter dem Titel Router lügen nicht. Read the rest of this entry »

Der schottische Hacker Gary McKinnon wurde u.a. bekannt nachdem  er sich im Zeitraum 2001-2002 mehrfach Zugriff auf diverse staatliche Einrichtungen der Amerikaner verschafft hatte. Darunter zählen u.a. Netzwerke der NASA, der US Army, der Navy, Air Force und des Verteidigungsministeriums.

Lt. McKinnon geschah dies ausschließlich aus rein persönlichem Interesse. Beispielsweise wollte er Informationen über UFOs sammeln. (Ob man dies jedoch wirklich so stehen lassen will sei dahingestellt)

Da die Amerikaner bei so was offensichtlich kein Spass verstehen (warum den bloss ?) wird seit geraumer Zeit auf Auslieferung geklagt, welche auch 2007 die Zustimmung der Britischen Behörde bekam. Bis dato verweilt er jedoch noch in Britischen Gefilden.

Auf amerikaner Seite droht im eine Geldstrafe sowie langjährige Haft (bis zu 70 Jahren laut Heise) wegen des angeblich größten Militärhacks aller Zeiten.

Derzeit ist der Europäische Gerichtshof für Menschenrechte die letzte Hoffnung für McKinnon.

Nunja, bleibt zu hoffen das die Sache nicht wirklich mit einer lebenslangen Haftstrafe endet. Vielmehr sollte man sofern dies wirklich der Wahrheit entspricht Einzeltätern die es schaffen einen kompletten Sicherheits-Apperat zu umgehen anbieten konstruktiv zu helfen eben diese zu erhöhen. Es ist ja nichts neues das viele Leute aus dem Hack-Umfeld inzwischen bei großen Firmen arbeiten, letzlich hat man ja sein Talent jeweils im Vorfeld bestätigt.

Irgendwie eine sympatische Geschichte der ein trister Abschluss droht.

Links:

• via: Heise
• Heise Meldung aus dem Jahr 2002

Wie Heise gestern berichtete (beziehen sich selber widerrum auf MacWorld) kursiert aktuell eine Phishing Mail die gezielt auf MobileMe Kunden setzt.

Read the rest of this entry »

In letzter Zeit häufen sich die Meldungen von diversen Seiten dass man Safari im Alltag eigentlich aufgrund seiner Anfälligkeit nicht verweden sollte.

Da ich annehme dass viele eingefleischte Mac-User Safari immer noch als Haupt-Browser verwenden kann der Hinweis nicht verkehrt sein. Auch die BSI warnt erneut in Ihren Newslettern vor bekannten Safari-Lücken, wobei die sich wiederum auf Heise & Golem beziehen.

Links:

• Heise - US Verbrauchermagazin rät von Apples Webbrowser ab
• BSI Homepage

Wie Heise.de berichtet rollt mal wieder eine neue (ok wann passiert das eigentlich nicht) Viren-Spam-Mail-Flut durchs Web.

Im Kern handelt es sich scheinbar um kurze Mails mit einem Password im Mail-Text und einem Password-geschützen RAR im Anhang welches das eigentlich schon selbst-sprechende File Angelina_Jolie.exe beherbergt.

Die Form variiert inzwischen nun schon von der Anhang-Variante zu reinen Links zu den “netten Files”.

Im Heise-Test konnten nur einige Viren-Scanner die Schädlinge erkennen, darum sollten gerade Windows-User Aufmerksamkeit walten lassen.

Ich hab bis dato weder privat noch in der Arbeit diese Mails zu Gesicht bekommen, mal sehn wann die ersten eintrudeln.

Links:

• Heise.de - Vorsicht vor Angelina Jolie Videos

Nunja, so langsam wird es peinlich für Apple. Erst brauchen sie 3 Wochen länger wie jeder andere um sich das DNS Problem anzunehmen um es dann nichtmal richtig zu machen.

Read the rest of this entry »

… ja auch Apple hat es letzlich geschafft und das bekannte DNS Problem (hier verbloggt) als patchwürdig eingestuft. Das gestern erschienene Security Update 2008-005 enthält Aktualisierungen für die folgenden Bereiche:

• Open Scripting Architecture
• BIND (!!!!)
• CarbonCore
• CoreGraphics
• Data Detectors Engine
• Disk Utility
• OpenLDAP
• OpenSSL
• PHP
• QuickLook
• rsync

Konnte bis dato keine Probleme auf meinem Macbook Pro erkennen, was aber nach nur wenigen Betriebsstunden sicherlich keine Messlatte ist. Das Update erfordert mal wieder einen Neustart, aber nunja.

Mehr Infos dazu wie immer direkt bei Apple.

Links:

• Apple Security Update 2008-005
• Apple Security Updates (allgemein)
• Apple Downloads
• TidBITS über das Update (englisch)

Dass Apple gerne eigene Wege geht ist ein alter Hut. Auch dass sie sich ungern in die Karten schauen lassen und die Geheimniskrämerei vorziehen denke ich ist nichts neues.

Es bleibt jedoch die Frage:

Darf man sich das in allen Bereichen erlauben ?

Ich denke nein. Hier mal 2 kleine Beispiele.

MobileMe:

Natürlich sind in der heutigen Zeit neue Services selten fehlerfrei beim Start. Viele Firmen versuchen dies einfach mit einem fetten BETA Label zu kaschieren, was interessanterweise auch von vielen Usern bei den meist kostenfreien Angeboten geschlückt wird. Aber kann ich das gleiche bei kommerziellen Lösungen machen ? Kann man einen Service starten, welcher sich innerhalb der ersten Woche als naherzu kompletter Flop darstellt, gespickt mit technischen Problemen und Ungereimtheiten ? Noch immer vermissen MobileMe Anwender Mails, sind Dienste zum Teil gar nicht verwendbar oder stark fehlerbehaftet.

Ich denke nein. Zwar ist in  den letzten Tagen immerhin ein kleines Licht am Himmel zu sehen da Mr. Jobs himself die Idee hatte nun immerhin den aktuellen Status in regelmässigen Abständen offiziell zu announcen, aber eigentlich darf ich doch als einer der grossen im Geschäft gar nicht in so eine Situation kommen.

Nun gut, es ist nur eine Servicedienstleistung, daher vielleicht für viele User nichts wirklich essenzielles, womit wir zum zweiten, in meinen Augen noch schwerwiegenden Beispiel kommen.

DNS

Bereits im März stelle entdeckte Dan Kaminsky ein massives Sicherheitsproblem im Domain Name Service, welches inzwischen im Netz u.a. unter dem Stichwort DNS Poisoning umhergeistert.

Letzlich ist es möglich beliebige Zugriffe im Internet auf andere Rechner umzuleiten. Wer mehr zu diesem Thema lesen will wird im Netz förmlich überflutet mit Artikeln zu diesem Thema.

Mir geht es hier primär um den Umgang mit dieser Problematik von Seiten Apple.

Nachdem Dan Kaminskydas Problem erkannte kontaktierte er alle relevanten Hersteller (u.a. Microsoft, Apple, Linux-Distributoren etc..) um in einer gemeinsamen Aktion möglichst zielgerichtet das Problem anzugehen. Macht vom Ablauf absolut Sinn, da man es somit allen ermöglicht die notwendigen Schritte anzugehen, bevor die ersten grossen Angriffswellen auf die Anwender zurollen.

Monate später (8. Juli) war es dann soweit und man veröffentlichte die notwendigen Patches um zumindest im Ansatz das Problem in den Griff zu kriegen, nur leider war von Seiten Apple offensichtlich nichts zu hören.

Warum ? Ist man wieder so sehr von sich selber überzeugt dass man einen eigene Weg gehen muss ? Ist man einfach nicht mehr in der Lage aufgrund laufender Produkt & Service-Launches auch noch am Rande auftretenden Problem mit den vorhandenen Ressourcen anzugehen ? Wenn ja, stellt mehr Entwickler ein, oder definiert die Prioritäten um wenn notwendig.

Auf mich wirkt es wie pure Arroganz die man in der Vergangenheit schon öfter beobachten konnte. Es ist inzwischen kein unbekannter Faktor mehr dass sich Apple zum stopfen bekannter Lücken einfach zuviel Zeit läßt (auch oder gerade im Vergleich zu Konkurrenten die man gerne belächelt).

Security muss in meinen Augen vor sonstigen Dienstleistungen stehen sonst verlieren zumindest IT Verantwortliche das Vertrauen. Und diese sind in meine Augen eine kritische Gruppe die bei Zufriedenheit von sich aus Werbung für eine Firma und deren Produkte betreiben können, oder eben auch Anti-Werbung.

Heise geht soweit jedem Admin zu empfehlen jeden Mac OS X basierten Nameserver ausser Betrieb zu nehmen, bis die Lücke gestopft wurde.

Ich bin froh dass wir inzwischen bei der Arbeit trotz aller Liebe zu Apple Produkten den Weg gehen Serverdienste auf Linux-System umzuziehen. Das Projekt läuft seit einigen Tagen / Wochen und läßt sich sehr gut an. Wir benötigen weniger Resourcen und das ganze wird sogar einfacher in der Handhabung (aus meiner Sicht)

Fazit:

Manchmal ist weniger mehr und manchmal sollte man sich auf die wesentlichen Sachen fokusieren. Sicherheit zählt für mich in diese Kategorie. Also liebe Jungs aus Cupertino, bewegt eure Ärsche und macht was, dann verliert ihr auch nicht jegliches Vertrauen in der Branche.

Links:

• Apple MobileMe Status
• Heise.de über verlorene Mails bei Mobile Me
• Heise.de über den fehlenden DNS Patch von Apple
• Heise.de über die ersten Nameserver Angriffe
• TidBits.com - Apple fails to patch critical exploited DNS flaw

If you want to keep track of specific parts of Mac OS X’s development you might want to take a look at the Apple Mailinglists.

The only list i am subscribed too at the moment is “security-annouce” which is responsible for product security notifications and announcements from Apple Inc.

Preview:

Links:

• Apple Mailinglists Overview

Mac OS X comes with an update service called Software Update.

Basicly its a nice feature which keep tracks on all Updates released by Apple Inc. for its software. This means it will cover the Operating System itself and the software shipped or offered by Apple.

Unfortunaly there is no real paket management like linux users love to have, but thats another story and this should not end in a rant

In some cases you want to ignore a specific update or an application from being updated so lets take a look how we can handle that with Mac OS X.

How to define an update to be ignored using Software Update:

You have to start Software Update and if the result list shows up, select the item you want to ignore. Navigate to Update in your menubar and select Ignore Update.

Well this is pretty easy, but maybe you selected the wrong update or just want to reset your ignore list whyever. It’s possible but not really good implemented from feature aspect … why ? Because you can only reset all Ignored Updates, not a specific one. Again a whyever….

How to reset Ignored Updates:

Start Software Update, navigate to Software Update in your menubar and select Reset Ignored Updates.

I would like to have a real paket management but that’s far away from reality, so we have to live with SoftwareUpdate how it is right now.

Personaly i would not work with ignoring updates in general as i prefer keeping my applications and operating system in touch with latest releases (which takes long enough with Mac OS X), but well if you need it ….do it =)

A final note for the command line lovers: Software Update is available as cli command too. You should start with a quick:

man softwareupdate

in Terminal.app, which will output something like that (10.5.4 here)

NAME
softwareupdate — system software update tool

SYNOPSIS
softwareupdate command [args ...]

DESCRIPTION
Software Update checks for new and updated versions of your software based on information about your
computer and current software.

Invoke softwareupdate by specifying a command followed by zero or more args.

The following modes are available:

-l | –list
List all available updates.

-d | –download

-i | –install
Each update specified by args is downloaded and unarchived, and also installed.  The
install flag requires root.  args can be one of the following:

item …    One or more update names.

-a | –all  All appropriate updates.

-r | –req  All required updates.

–ignore …
Manages the per-user list of ignored updates.

–reset-ignored
Clears the list of all ignored updates.

–schedule  Manages the per-user scheduler preferences.  args should be one of the following words:

on | off    Enable or disable automatic checking.

-h | –help
Print command usage.

I hope this short article helped.

Links:

• Wikipedia about Apple Software Update
• Apple Inc. about Software Update
• Apple Inc. about updating your software