Im Rahmen der DefCon präsentierten Alex Pilosov und Tony Kapela einen interessanten Beitrag zum Thema Routing Security. Der Vortrag ist als PowerPoint File verfügbar.

Wired nennt das ganze das größte Sicherheitsloch des Internets, bei Heise läuft die Schlagzeile unter dem Titel Router lügen nicht. Read the rest of this entry »

Der schottische Hacker Gary McKinnon wurde u.a. bekannt nachdem  er sich im Zeitraum 2001-2002 mehrfach Zugriff auf diverse staatliche Einrichtungen der Amerikaner verschafft hatte. Darunter zählen u.a. Netzwerke der NASA, der US Army, der Navy, Air Force und des Verteidigungsministeriums.

Lt. McKinnon geschah dies ausschließlich aus rein persönlichem Interesse. Beispielsweise wollte er Informationen über UFOs sammeln. (Ob man dies jedoch wirklich so stehen lassen will sei dahingestellt)

Da die Amerikaner bei so was offensichtlich kein Spass verstehen (warum den bloss ?) wird seit geraumer Zeit auf Auslieferung geklagt, welche auch 2007 die Zustimmung der Britischen Behörde bekam. Bis dato verweilt er jedoch noch in Britischen Gefilden.

Auf amerikaner Seite droht im eine Geldstrafe sowie langjährige Haft (bis zu 70 Jahren laut Heise) wegen des angeblich größten Militärhacks aller Zeiten.

Derzeit ist der Europäische Gerichtshof für Menschenrechte die letzte Hoffnung für McKinnon.

Nunja, bleibt zu hoffen das die Sache nicht wirklich mit einer lebenslangen Haftstrafe endet. Vielmehr sollte man sofern dies wirklich der Wahrheit entspricht Einzeltätern die es schaffen einen kompletten Sicherheits-Apperat zu umgehen anbieten konstruktiv zu helfen eben diese zu erhöhen. Es ist ja nichts neues das viele Leute aus dem Hack-Umfeld inzwischen bei großen Firmen arbeiten, letzlich hat man ja sein Talent jeweils im Vorfeld bestätigt.

Irgendwie eine sympatische Geschichte der ein trister Abschluss droht.

Links:

• via: Heise
• Heise Meldung aus dem Jahr 2002

In letzter Zeit häufen sich die Meldungen von diversen Seiten dass man Safari im Alltag eigentlich aufgrund seiner Anfälligkeit nicht verweden sollte.

Da ich annehme dass viele eingefleischte Mac-User Safari immer noch als Haupt-Browser verwenden kann der Hinweis nicht verkehrt sein. Auch die BSI warnt erneut in Ihren Newslettern vor bekannten Safari-Lücken, wobei die sich wiederum auf Heise & Golem beziehen.

Links:

• Heise - US Verbrauchermagazin rät von Apples Webbrowser ab
• BSI Homepage

Nunja, so langsam wird es peinlich für Apple. Erst brauchen sie 3 Wochen länger wie jeder andere um sich das DNS Problem anzunehmen um es dann nichtmal richtig zu machen.

Read the rest of this entry »

Dass Apple gerne eigene Wege geht ist ein alter Hut. Auch dass sie sich ungern in die Karten schauen lassen und die Geheimniskrämerei vorziehen denke ich ist nichts neues.

Es bleibt jedoch die Frage:

Darf man sich das in allen Bereichen erlauben ?

Ich denke nein. Hier mal 2 kleine Beispiele.

MobileMe:

Natürlich sind in der heutigen Zeit neue Services selten fehlerfrei beim Start. Viele Firmen versuchen dies einfach mit einem fetten BETA Label zu kaschieren, was interessanterweise auch von vielen Usern bei den meist kostenfreien Angeboten geschlückt wird. Aber kann ich das gleiche bei kommerziellen Lösungen machen ? Kann man einen Service starten, welcher sich innerhalb der ersten Woche als naherzu kompletter Flop darstellt, gespickt mit technischen Problemen und Ungereimtheiten ? Noch immer vermissen MobileMe Anwender Mails, sind Dienste zum Teil gar nicht verwendbar oder stark fehlerbehaftet.

Ich denke nein. Zwar ist in  den letzten Tagen immerhin ein kleines Licht am Himmel zu sehen da Mr. Jobs himself die Idee hatte nun immerhin den aktuellen Status in regelmässigen Abständen offiziell zu announcen, aber eigentlich darf ich doch als einer der grossen im Geschäft gar nicht in so eine Situation kommen.

Nun gut, es ist nur eine Servicedienstleistung, daher vielleicht für viele User nichts wirklich essenzielles, womit wir zum zweiten, in meinen Augen noch schwerwiegenden Beispiel kommen.

DNS

Bereits im März stelle entdeckte Dan Kaminsky ein massives Sicherheitsproblem im Domain Name Service, welches inzwischen im Netz u.a. unter dem Stichwort DNS Poisoning umhergeistert.

Letzlich ist es möglich beliebige Zugriffe im Internet auf andere Rechner umzuleiten. Wer mehr zu diesem Thema lesen will wird im Netz förmlich überflutet mit Artikeln zu diesem Thema.

Mir geht es hier primär um den Umgang mit dieser Problematik von Seiten Apple.

Nachdem Dan Kaminskydas Problem erkannte kontaktierte er alle relevanten Hersteller (u.a. Microsoft, Apple, Linux-Distributoren etc..) um in einer gemeinsamen Aktion möglichst zielgerichtet das Problem anzugehen. Macht vom Ablauf absolut Sinn, da man es somit allen ermöglicht die notwendigen Schritte anzugehen, bevor die ersten grossen Angriffswellen auf die Anwender zurollen.

Monate später (8. Juli) war es dann soweit und man veröffentlichte die notwendigen Patches um zumindest im Ansatz das Problem in den Griff zu kriegen, nur leider war von Seiten Apple offensichtlich nichts zu hören.

Warum ? Ist man wieder so sehr von sich selber überzeugt dass man einen eigene Weg gehen muss ? Ist man einfach nicht mehr in der Lage aufgrund laufender Produkt & Service-Launches auch noch am Rande auftretenden Problem mit den vorhandenen Ressourcen anzugehen ? Wenn ja, stellt mehr Entwickler ein, oder definiert die Prioritäten um wenn notwendig.

Auf mich wirkt es wie pure Arroganz die man in der Vergangenheit schon öfter beobachten konnte. Es ist inzwischen kein unbekannter Faktor mehr dass sich Apple zum stopfen bekannter Lücken einfach zuviel Zeit läßt (auch oder gerade im Vergleich zu Konkurrenten die man gerne belächelt).

Security muss in meinen Augen vor sonstigen Dienstleistungen stehen sonst verlieren zumindest IT Verantwortliche das Vertrauen. Und diese sind in meine Augen eine kritische Gruppe die bei Zufriedenheit von sich aus Werbung für eine Firma und deren Produkte betreiben können, oder eben auch Anti-Werbung.

Heise geht soweit jedem Admin zu empfehlen jeden Mac OS X basierten Nameserver ausser Betrieb zu nehmen, bis die Lücke gestopft wurde.

Ich bin froh dass wir inzwischen bei der Arbeit trotz aller Liebe zu Apple Produkten den Weg gehen Serverdienste auf Linux-System umzuziehen. Das Projekt läuft seit einigen Tagen / Wochen und läßt sich sehr gut an. Wir benötigen weniger Resourcen und das ganze wird sogar einfacher in der Handhabung (aus meiner Sicht)

Fazit:

Manchmal ist weniger mehr und manchmal sollte man sich auf die wesentlichen Sachen fokusieren. Sicherheit zählt für mich in diese Kategorie. Also liebe Jungs aus Cupertino, bewegt eure Ärsche und macht was, dann verliert ihr auch nicht jegliches Vertrauen in der Branche.

Links:

• Apple MobileMe Status
• Heise.de über verlorene Mails bei Mobile Me
• Heise.de über den fehlenden DNS Patch von Apple
• Heise.de über die ersten Nameserver Angriffe
• TidBits.com - Apple fails to patch critical exploited DNS flaw

Apple released 10.5.4 yesterday.

According to the docs it looks like an update without new function but focusing on solving known problems.

Quote from the Apple docs:

General

• Includes recent Apple security updates.
• Resolves an issue with saving and reopening Adobe Creative Suite 3 files on a remote server.
• Includes additional RAW image support for several cameras.
• Addresses an issue that may result in a partially installed X11 application.
• Improves L2TP VPN client reliability.

AirPort

• Addresses AirPort reliability issues with 5GHz networks.
• Addresses AirPort issues that may result in slower performance in Logic Studio or MainStage.

iCal

• Improves overall iCal reliability for meeting requests, cancellation notices, delegation, and syncing with iPhone.
• Resolves an issue that prevents deleting an iCal event without notifying the creator.
• Addresses an issue in which events in all calendars affect availability.  A checkbox now enables information-only calendars to be transparent from free/busy lookups.
• Resolves a UI issue preventing delegated calendars from showing up as a separate window.
• Addresses an issue with copying and pasting attendees from one event to another.
• Resolves an issue in which iCal may not delete events after a specified time interval, even when set to do so in iCal preferences.
• Addresses an issue in which To Dos cannot be marked private.

Safari

• Addresses a potential performance issue when loading secure web pages.
• Resolves issues that may be encountered when accessing secure web pages with client certificates that reside on a smart card.

Spaces and Exposé

• Addresses an issue in which switching from a space with a Finder window keeps the Finder as the active application instead of the application residing in the destination space.
• Fixes an issue in which dragging an application from the list of application assignments in Spaces System Preferences does not assign the application to the desired space.
• Resolves an Exposé issue that may result in only a subset of windows being shown.

Links:

• Apple Inc. - About the Mac OS X 10.5.4. update

Description:

iVPN is an application that makes use of the standards based PPTP VPN server installed with Mac OS X. This VPN server is usually only available on Mac OS X Server and configured through the Server Admin application. iVPN makes it possible to use the same server utility on the client version of Mac OS X.

All you have to do to set it up is to enter the user name and password that you want your VPN clients to use, the IP address range you want to give to your clients and then click start server. iVPN will handle all the other settings and start the VPN server.

iVPN is the GUI that Apple left out.

Links:

• iVPN by MacServe.org.uk

Description:

iSSH is a front-end application to the command line application “ssh”. It provides a quick and easy way to start an SSH connection to a remote computer. You may be asking, “What’s the point of running SSH without an interactive command prompt (Terminal)?” Well, running SSH in the background will not supply a prompt, but, it will forward ports. This is the main purpose of iSSH. You can set two options with iSSH; which ports to forward to the remote computer, or, to start an SSH SOCKS proxy. The first could be used to forward a VNC connection over SSH and the latter could be used to bypass your work’s website filters! Either way, it provides a simple way to start an SSH connection for those who are afraid of the Terminal or just don’t need it.

Apple has released a Mac OS X Leopard Security Guide with about 250 pages. The targetgroup are experienced Mac OS Users so if you have never worked with Terminal / ClI it might be not your thing.

Overview:

Chapter 1, “Introduction to Mac OS X Security Architecture,” explains the infrastructure of Mac OS X. It also discusses the layers of security in Mac OS X.
Chapter 2, “Installing Mac OS X,” describes how to securely install Mac OS X. The chapter also discusses how to securely install software updates and explains permissions and how to repair them.
Chapter 3, “Protecting System Hardware,” explains how to physically protect your hardware from attacks. This chapter also tells you how to secure settings that affect users of the computer.
Chapter 4, “Securing Global System Settings,” describes how to secure global system settings such as firmware and Mac OS X startup. There is also information on setting up system logs to monitor system activity.
Chapter 5, “Securing Accounts,” describes the types of user accounts and how to securely configure an account. This includes securing the system administrator account, using Open Directory, and using strong authentication.
Chapter 6, “Securing System Preferences,” describes recommended settings to secure Mac OS X system preferences.
Chapter 7, “Securing Data and Using Encryption,” describes how to encrypt data and how to use Secure Erase to verify that old data is completely removed.
Chapter 8, “Securing System Swap and Hibernation Storage,” describes how to secure your system swap and hibernation space of sensitive information.
Chapter 9, “Avoiding Multiple Simultaneous Account Access,” describes how to avoid fast user switching and local account access to the computer.
Chapter 10, “Ensuring Data Integrity with Backups,” describes the Time Machine architecture and how to securely backup and restore your computer and data.
Chapter 11, “Information Assurance with Applications,” describes how to protect your data while using Apple applications.
Chapter 12, “Information Assurance with Services,” describes how to secure your computer services. It also describes how to protect the computer by securely configuring services.

Links:

• Apple Inc.
• Mac OS X Leopard Security Guide

Macworld.com offers a good article about several ways how to handle lockscreen aspects in Mac OS X.

Quote:

If you work with any kind of sensitive material—from trade secrets to love letters—you’ve probably wished for a way to block access to your Mac the minute you stand up. There are many ways to do this, from the obvious to the obscure. I’ll cover all the methods I know to accomplish this trick. For most of these methods to work, you need to require a password when your Mac wakes from sleep or screensaver mode. To do this, open System Preferences, go to the Security pane, and select the Require Password to Wake This Computer From Sleep or Screen Saver option. Now you’re ready.

A simple way to protect your files when you walk away from your computer is to hit Shift-Command-Option-Q to do a fast logout of your user. Your Mac will go back to the login screen. However, there’s a huge downside to this method—all of your currently-open documents will close, and any running applications will quit prior to the logout. Clearly there must be better alternatives, and there are.

You could also put the computer to sleep. Go to the Apple menu and select Sleep or, if you’re using a laptop, press the power button and choose Sleep from the pop-up dialog. (Note: This is an edit from the originally posted version, where I said to hold the power button down; if you do that long enough, you’ll turn the computer off.) Of course, it takes a bit of time to put a Mac to sleep and to wake it up. You may also have remote users connected to the machine, or some lengthy program running that you’d rather not interrupt. In those cases, this isn’t the ideal solution.

A relatively quick method of locking your Mac—while still leaving your programs running—is to activate the screen saver using a hot corner . To do this, open the Desktop & Screen Saver System Preferences panel, activate the Screen Saver tab, and click the Hot Corners button. Decide which corner of your screen you’d like to use, then click the corresponding pop-up menu and select Start Screen Saver. Now when it’s time to walk away, just fling your mouse into that corner of the screen, and you’ll trigger the screen saver.

Links:
Macworld-Article