WE ARE ROOT

Ein dringendes Update sei allen Nutzern von Virenscanner-Produkten von CA empfohlen.

Wie heise Security berichtet, schließt das Update mehrere bisher unveröffentlichte Sicherheitslücken, die es ermöglichten, infizierte Dateien an dem Scanner vorbeizuschleusen.

weiterlesen…

Soso, die Finanzkrise macht selbst vor Gigangten wie Google nicht halt. Das ist zumindestens die offizielle Begründung für die Kündigung von rund 100 festangestellten Google-Mitarbeitern der Personalabteilung.

Ich persönlich denke ja, dass so mancher Manager die Finanzkrise ausnutzt, um alte Strukturen aufzubrechen und mal ein wenig “auszumisten”. Dies find ich grundsätzlich nicht schlecht, aber dann sollte man auch dazu stehen. Immer “die Finanzkrise” vorzuschieben nur um damit sämtlichen Widerspruch im Keim zu ersticken halte ich für unehrlich und ungerecht gegenüber den loyalen Mitarbeitern.

Gerade Google hatte uns doch bisher mit besonderer Arbeitsatmosphäre begeistert…

Link: Golem.de: Google entlässt Mitarbeiter

Einen verspäteten Rückblick der ganz besonderen Art liefert uns der das Online-Portal tecchannel.de. Die “besten Server-Artikel 2008” werden auf der Seite kostenlos zum Download als PDF angeboten (jeweils rechts in der Sidebar). Alternativ kann man sich auch den Beitrag online auf der Seite durchlesen.

Die Themen im Überblick:

• Test: Erste 6-Core-CPU von Intel
• Test: AMD Opteron 2384 – neue CPU-Generation Shanghai
• Profi-Virtualisierung kostenlos: VMware Server unter Linux
• Workshop: VMware Converter in der Praxis
• Microsoft Hyper-V, Herausforderer in Sachen Virtualisierung
• Workshop: XenServer 5 Installation und Konfiguration
• Green IT: Strom sparen in Serverräumen durch optimales Energiemanagement
• Virtualisierung: Ratgeber für die Migration von Servern
• So richten Sie Ubuntu Server 8.04 inklusive Webmin ein
• Mercury: Schlanker Mailserver für Windows

Wie man sieht, nimmt es TecChannel mit dem Begriff “Server” nicht ganz so genau und streut die Themen sehr über alles, was mit Servern zu tun hat. Vielleicht ist ja trotzdem (oder gerade deswegen) für jemanden etwas Interessantes dabei.

Viel Spaß beim Stöbern.

Link: TecChannel.de: Top Server-Artikel 2008

“Gerade gestern hatte ich die Adresse doch aufgerufen, warum finde ich sie nicht mehr in der History?”

“Ach ja, ich hab das ja am Notebook gemacht!”

Kommt das Dir bekannt vor? Also mir passiert das öfter, da ich zwei bis drei Systeme regelmäßig nutze. Laut Opera sollen diese Zeiten nun vorbei sein, dank Opera Link.

weiterlesen…

Die Jungs (und Mädels ?) auf dem 25. Chaos Communication Congress haben mal sich mal wieder etwas einfallen lassen: Das Defacement von Webseiten der NPD und das Hacken der damit verbundenen Datenbankserver.

Die Sprecher des CCC stellen diese Aktionen als “über die Stränge schlangendes Bürgerengagement” dar.

Ich bin ehrlich gesagt solchen Handlungen gegenüber zwiegespalten, wie folgt dargestellt mittels Engelchen und Teufelchen, die auf meiner Schulter sitzen:

weiterlesen…

Wie heise Netze berichtet, ist ein Angriff auf das SSL-Zertifikatsystem gelungen. Dieser ermöglicht es, für ein alle gängigen Browser gültiges Herausgeberzertifikat zu erstellen.

Dieses Herausgeberzertifikat ermöglicht es damit signierte, gültige SSL-Zertifikate zu erzeugen mit denen z.B. Man-in-the-Middle-Attacken für Bank-Websites und andere sicherheitskritische Anwendungen durchgeführt werden können.

Die betreffenden Forscher stellten das Demo-Zertifikat zur Verfügung, aber aus Sicherheitsgründen nur mit einem Ablaufdatum von 2004.

Der Angriff beruht auf einer erhöhten Kollisionswahrscheinlichkeit der MD5-Hashfunktion. Daher wird diese Hashfunktion auch nur noch von ca. 30% der sich im Umlauf befindenden Zertifikaten zur Absicherung des sog. Fingerprints verwendet.

Zur Überprüfung, ob die derzeit besuchte Seite von einem “angreifbaren” Zertifikat geschützt wird, existiert eine SSL-Blacklist. Diese wird von von dem Firefox Add-On SSL-Blacklist 4.0 verwendet, um den Benutzer zu warnen. Nach kurzem Test kam mir bisher noch kein problematisches Zertifikat unter. (Das Plugin meldet aber einen Fehler auf der Testseite: https://bad.codefromthe70s.org)

via: heise Netze: 25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem.

Es gibt Fehler, die darf es eigentlich nicht geben. So zum Beispiel der, der kostenlosen (immer noch ?) Antivirenlösung passierte. Durch die Erkennung eines False-Postives, also einer versehentlichen und falschen Virenerkennung, in der user32.dll wird diese in die Quarantäne geschoben und damit unbrauchbar gemacht. Danach ist ein Einloggen in das Windows-System (XP) nicht mehr möglich.

Der Fehler ist nur durch eine manuelle Wiederherstellung der Datei mittels Windows-CD zu beheben.

Peinliche Sache…

via: TecChannel.de: AVG-Update macht XP-PCs unbrauchbar

Link: Lösung von AVG | Topic #1574 / 1579

Es wurde wieder mal ein kritischer Fehler in WordPress entdeckt und die betroffene Komponente bereinigt.

Laut den Entwicklern handelt es sich um einen sehr kritischen Fehler, der im schlimmsten Fall (bei schlechter Webserverkonfiguration) zur Erlangung von root-Rechten, im anderen Fall wohl trotzdem zu soviel Rechten, um Schaden anrichten zu können, führen kann. (Uff, was für ein Satz, sorry )

Wie immer hat das Team von WPD bereits die Übersetzung durchgeführt (ist wahrscheinlich nicht einmal nötig bei diesem Fix) und stellte sowohl das komplette Paket als auch das sehr praktische Upgrade-Paket von 2.6.2 zur Verfügunung.

Vielen Dank dafür!

Links:

• WordPress 2.6.3 Sicherheitsrelease – WordPress Deutschland Blog.
• Bugreport (en): Snoopy “_httpsrequest()” Shell Command Execution Vulnerability

Bei dem Nachschauen einer Konfigurationseinstellung stieß ich auf die Nachricht, dass sich bereits vor einer Weile die Server des ixHash-Projektes geändert haben und dadurch die Hash-Abfragen bis zur Anpassung der Config nicht mehr funktionieren.

[...]

As mentioned a few weeks ago, the domains ‘nospam.login-solutions.de’
and ‘nospam.login-solutions.ag’ will reach EOL in the near future. They
are being replaced by the single DNS zone ‘generic.ixhash.net’

[...]

Auf der in der Mail (siehe Linklist) genannten URL gibt es eine aktualisierte Beispielkonfiguration für die ixhash.cf.

Links:

Wow, wow, wow! Mehr fällt mir nicht ein, wenn ich sehe, was sich die Entwickler für die neue WordPress-Version haben einfallen lassen. In dem folgenden Video ist erklärt, wie sich das Bloggen mit WordPress 2.6 anfühlen wird:

Installiert habe ich es noch nicht, aber erste Meldungen scheinen alle positiv zu sein – wie eben bei den letzten Updates auch schon.

Das Team von WordPress-Deutschland hat auch bereits die komplett eingedeutschte Version herausgebracht und somit steht einer Installation in diesem Blog nichts mehr im Weg.

Link: WordPress › Blog » WordPress 2.6

Link: WordPress Deutschland – Download DE-Version

Nachdem die Onlinedurchsuchung auf Bundesebene durch unbequeme Frage von Datenschützern und Entscheidungen einiger Gerichte bisher verhindert wurde, hat sich der Freistaat Bayern wohl gedacht, dass sie das in Ihrem “Deutschland wie es wirklich sein sollte” einfach selbst realisieren.

So wurde mit der Mehrheit der CSU (hach, Diktatur ist manchmal schon ziemlich praktisch… ) entschieden, dass das Polizeigesetz dahingehend geändert wird, dass es der Polizei unter bestimmten Bedingungen nunmehr möglich ist, in Wohnungen einzudringen, um Daten zu sicher oder auch zu löschen(!).

Dabei ist es ausdrücklich erlaubt – sofern es technisch begründbar ist – dass dabei Daten unbeteiligter Dritter sichergestellt werden.

Dieser Vorstoß – in meiner Wahrnehmung typisch für Bayern – ist sozusagen der Versuch zu beweisen, dass es “ja gar nicht so schlimm sei” und die Angst der Bevölkerung vor einem Polizeitstaat unbegründet ist. Wird dieses Gesetz so Bestand haben, ist damit eine Begründung mehr geschaffen worden, die der bundesweiten Einführung behilflich sein kann.

Ich persönlich hätte nichts gegen die erfolgreiche Aufdeckung eines bevorstehenden Terroranschlags. Aber: Durch die Durchsetzung dieser Rechte von Staatsseite aus, sozusagen das Recht auf präventive Grundrechtsaussetzung, wird eine Situation geschaffen, in der der allgemeine Bürger sich über seine Freiheit und Privatssphäre nicht mehr sicher sein kann. Die “Mehr Kontrolle für den Staat”-Fraktion nutzt einfach die Gunst der Stunde (welche seit 9/11 läuft), um ihre Macht- und Kontrollfantasien auszuleben.

Ich möchte nicht in einem Staat leben, wo die Behörden unter dem Vorwand (?)  der Sicherung meiner Rechte mir meine Rechte verweigern. Das kann nicht der richtige Weg sein. Aber zu dem Thema allgemein etwas später mehr…

Link: Bayern regelt Onlinedurchsuchung selbst – Golem.de

Hm, der “Download Day” ist da und nun ist der 17. Juni 2008 für uns Europäer schon halb vorbei, aber FF3 lässt noch auf sich warten.

Die Weltrekordseite fordert noch immer Versprechen und die offizielle Seite von Mozilla bietet noch immer FF2 als neueste Version an.

Mit dieser Organisation wird es wohl schwer den erstrebten Weltrekord zu erzielen.

Links:

• Offizielle “Weltrekord”-Seite
• Deutsche Mozilla-Seite

Verspreche auch Du Mozilla, dass Du am – noch nicht feststehenden – “Download Day” die finale Version von Firefox 3.0 herunterlädst und damit hilfst, einen Weltrekord aufzustellen.

Via Mail wirst Du – soweit gewünscht – informiert, sobald der Termin feststeht. Derzeit sind noch weniger als 200.000 Versprechen gegeben worden – eindeutig zu wenig!

Also, worauf wartest Du noch?

Link: Spread Firefox | “Download Day” 2008

Interessante (etwas angestaubte) News tauchten beim Querlesen meiner RSS-Feeds auf: Pro-Tibet-Gruppen wurden mit Trojaner bzw. Keyloggern überschwemmt, in dem Ihnen Sympathisierungsschreiben zugeschickt worden sind.

Natürlich kann dies nur eine allgemein orientierte Hacker-Gruppe gewesen sein, allerdings gerade im Zusammenhang mit den Keyloggern sollte schon der Gedanke erlaubt sein, ob die auch sonst sehr an der Oposition interessierte Obrigkeit in China hier vielleicht ihr Finger im Spiel hat bzw. hatte.

Ist das nun also der Beginn des Cyberwars? Vielleicht hat dieser auch schon lange begonnen, nur wie so vieles unerkannt hinter verschlossenen Türen ohne Medienecho?

Mir persönlich gefällt der Gedanke überhaupt nicht, dass das Netz auf diese Woche mißbraucht wird. Als die wikipedia im letzten US-Präsidentschaftswahlkampf durch Lügen und Denunzierung verunstaltet und im Wert gemindert wurde, ahnte man schon, dass dies nicht das Ende sein wird. Aber wenn nun wirklich staatlich finanzierte Hacker politische Gegner angreifen, dann ist das Netz noch ein Wenig unsicherere geworden, denn statt zielloser Streuangriffe sind nun plötzlich ganz zielgerichtete Attacken an der Tagesordnung.

Da kann man nur hoffen, nicht zum politischen Gegner zu werden… sehr bedenklich das alles.

Link: Trojaner-Angriffe auf Pro-Tibet-Gruppen @ heise Security

Heute wurde mit gut zwei Wochen Verzögerung die neue WordPress Version veröffentlicht. Die Version 2.4 wird übersprungen und daher heißt die akutelle Version nun 2.5.

Beim Lesen der release news wird einem ganz schwindelig, denn das Team war offensichtlich sehr fleißig. So wurden viele Veränderungen am Backend vorgenommen, die die Produktivität und Sicherheit erhöhen werden. Ich persönlich werde schnellstmöglich die neue Version installieren und dann einen Praxisbericht abgeben.

Bis dahin versucht es selbst oder lest Euch die viiiielen Neuerungen durch. Eine – nämlich die ShortCodes – hatte ich ja bereits gepostet.

Infos: WordPress 2.5 @ WordPress-Blog

Beim Browsen durchs Netz fiel mir ein Artikel auf, der eine sehr gute Einführung in eine neue WordPress-Funktion namens “ShortCodes” gibt. Die Funktion wird anscheinend in dem neuen Release von WordPress 2.5 unterstützt werden.

Das Ziel dieses Features wird sein, BBCode-artige Tags definieren zu können, die durch eine Callback-Funktion dann abgearbeitet werden. Dies funktioniert offensichtlich mit und ohne Parameter sowie mit Inhalt zwischen den Tags.

Diese Idee könnte das Schreiben von Inhalt verändernden WordPress-Plugins stark erleichtern. Wenn die Zeit gekommen ist, werde ich mich dem mal weiter annehmen.

Mehr Infos und Beispiele: WordPress 2.5 ShortCodes API Overview « planetOzh

Gerade erreichte mich eine Mail vom Rechtsanwalt Starostik, der die Verfassungsbeschwerde zur Vorratsdatenspeicherung bei Bundesverfassungsgericht einreichte.

“Insgesamt hat diese Verfassungsbeschwerde damit 34.451 Beschwerdeführer.”

Das klingt doch schon mal ganz gut und lässt hoffen, dass diese Masse an Leuten genügend Gehör geschenkt wird.

Das ganze Infoschreiben mit vielen interessanten Details gibt es hier…

weiterlesen…

Laut heise.de arbeiten Forscher von Microsoft an einer neuen, effektiveren Methode zur Verbreitung von Windows-Updates.

Die Idee ist, einen Wurm auszusetzen, der “infizierte” Systeme updated und sich dann in Richtung der nächsten Clients aufmacht.

Auch wenn diese Idee dem Bittorrent-Mechanismus gleichkommt und sicherlich auch die Last von Microsoft-Servern nehmen würde, kann ich mich mit damit nicht wirklich anfreunden. Schon allein die Vorstellung, dass ein Hersteller eines von mir erworbenen Softwareproduktes ungefragt meinen Rechner über eine mehr oder weniger bekannte Sicherheitslücke infiltriert behagt mir gar nicht – mal ganz abgesehen von dem Straftatbestand der Computermanipulation.

Weiterhin ist es auch im Hinblick auf den “Bundestrojaner” interessant, dass Microsoft diese Verbereitungsmethode für möglich und effektiv hält. Sind unsere Systeme doch nicht so sicher wie wir glauben?

Mehr Infos hier: Wurm statt Windows-Update – heise Security

Wieder mal ist ein kleiner Sicherheitsrelease von WordPress erschienen und hier aktiviert worden. Upgrade mittels DE-Upgradepack verliefproblemlos.

Weitere Infos wie immer im WordPress Deutschland Blog.

Wie TecChannel.de berichtet wurde ein RootKit entdeckt, welches sich auf einem Vista-System als Virus im MasterBootRecord einnistete. Es war zwar nur begrenzt lauffähig, zeigt aber die Machbarkeit.

Das Gefährliche an dieser Art Schädling ist, dass das System des Nutzers beim Start in eine virtuelle Umgebung verschoben wird und somit sämtliche Hardware-Aufrufe (z.B. Virencheck auf der HDD) durch die Abstraktionsschicht des Viruses gesendet werden müssen. Der Virus hat also viel größere Chancen, sich versteckt zu halten.

Link:

Comeback der Bootsektor-Viren @ TecChannel.de