Hier gibt es netten Lesestoff über Computerviren und ihre Verbreitung. Ich habe einmal versucht, mich damit auseinanderzusetzen, ohne dabei Microsoft zu verreissen.
Viel Spass beim Lesen!
PCPO
Klatsch, Fakten, News, Betas 5.087 Themen, 27.850 Beiträge
Grossadministrator 
pco „ Tu doch bitte nicht so, als ob nur Windows von Viren betroffen sei. Habe ich...“
Apple schließt Sicherheitslücken mit Mac OS X Server 10.2.4
[Apple/Macintosh] (http://www.macnews.de/?4978) In einem technischen Artikel unter [http://docs.info.apple.com/article.html?artnum=61798] listet Apple die Sicherheits-Updates von Mac OS X Server 10.2.4 im Detail auf.
Lücken wurden in den Bereichen AFP, Samba, Sendmail und Classic-Umgebung geschlossen. Im Artikel sind auch andere Sicherheits-Updates von Apple beschrieben. :: [dre].
http://www.wdr.de/themen/computer/hardware/i_mac/sicherheit.jhtml?rubrikenstyle=computer
Mac-Welt zunehmend gefährdet
Fachleute warnen: Das Sicherheitsrisiko für Apple-Benutzer wächst
heise.de:
Apple stopft Sicherheitslücken
Apple hat nun zwei Fixes freigegeben, die kürzlich gemeldete Sicherheitslücken beheben sollen. Das Security Update 10-19-01 stopft das Loch in Mac OS X, durch das sich ein Nutzer an einer lokalen Maschine root-Rechte an an der Autorisierungsabfrage des Systems vorbei verschaffen konnte.
Also soviel zu sicherem MAC-OS, das habe ich in 3 Sekunden gefunden. Und Linux ist auch nicht besser. Aber im Unterschied zu Windows will das keiner wahrhaben, die Legenden vom ja ach so sicheren und unangreifbaren (weil nur mit Benutzerrechten arbeitendem Anwender) Linux (nur dumm, das die Lücken als erstes den Root-Zugang aktivieren) oder dem absolut sicheren MAC-OS sind unausrottbar.
Fast alle Linux-Installationen unsicher
http://www.tecchannel.de/news/20020312/thema20020312-6952.html
12.03.2002 18:51:52
Eine Sicherheitslücke in der Linux-Library "Zlib" betrifft fast alle existierenden Linux-Installationen, meinen amerikanische Sicherheitsexperten. Zlib ist für das Entpacken von Dateien zuständig.
Wie die Computerwoche berichtet, greifen verschiedene Compiler und Entwicklungstools auf die Bibliotheksdatei zu, aber auch der Webbrowser von Mozilla oder "X11", das Basissystem zur Darstellung grafischer Benutzerführungen. Der Fehler verursacht einen Speicherüberlauf, den Angreifer dazu ausnutzen können, um unberechtigten Zugriff auf betroffene Rechner zu erlangen, erklärt Mark Cox, Leiter der Forschungsabteilung von Red Hat. Der Linux-Distributor hat bereits einen Patch bereitgestellt, ebenso wie Suse.
Bislang sei die Lücke noch nicht von Hackern entdeckt worden, so Dave Wreski, Chef der Opensource-Sicherheitsfirma Guardian Digital. Er empfiehlt Linux-Anwendern jedoch, verfügbare Patches möglichst schnell einzuspielen, da mit Angriffen auf die verwundbaren Systeme schon bald zu rechnen sei. (Computerwoche/ala)
Rootkits: Angriff auf Linux
Wenn Cracker sich unbefugt Zugang zu Systemen verschaffen, geht man im allgemeinen davon aus, dass sie auf dem System auch Spuren hinterlassen. Doch mit installiertem Rootkit fehlen genau diese Anzeichen. Im Worst-Case-Szenario missbraucht ein Hacker ein Produktionssystem wochenlang für kriminelle Zwecke. Rootkits zählen mittlerweile zur Standardausstattung eines jeden Crackers: Diese Programme haben den Zweck, dem Eindringling den Zugriff auf das kompromittierte System so lange wie möglich zu erhalten, ohne das es dem Systemadministrator auffällt. Einige Rootkits sind mittlerweile sowohl weit verbreitet als auch leicht zu bedienen, wie zum Beispiel t0rnkit.
Es gibt grundsätzlich 2 unterschiedliche Ansätze für Rootkits, die Systemintegrität zu untergraben: Ältere und harmlosere Rootkits ersetzen beziehungsweise verändern Systembefehle und Sicherheitsprogramme, während die modernen Varianten direkt den Kernel manipulieren, indem sie Systemcalls wie open() oder read() einsetzen.
Ein Beispiel für die erste Variante ist t0rnkit, ein weit verbreitetes Rootkit für Unix und Linux. Es ersetzt unter anderem die Programme du, find, ifconfig, login, netstat, ps, sz und top. Ruft der Systemadministrator diese Befehle auf, zeigen sie die normalen Informationen an – außer denen, die über eine versteckte Konfigurationsdatei (z. B. /dev/.hidden/psconf) ausgeklammert sind. Andere Befehle wie login ersetzt t0rnkit durch Varianten des Befehls, die bei Verbindungen von bestimmten IP-Adressen kein Passwort mehr verlangen, und dem Eindringling Root-Rechte gewähren, aber nichts in Log-Dateien schreiben.
Interessanterweise haben alle Programme bei t0rnkit eine Größe von 31336 Byte. Ein t0rnkit-versuchtes System findet ein fähiger Systemadministrator natürlich schnell; die geänderten Dateigrößen springen beinahe ins Auge.
Das ebenfalls weit verbreitete adore läst sich schon nicht mehr so einfach entdecken. Es tarnt sich als ladbares Kernel-Modul (LKM) und ersetzt dabei Systemaufrufe wie open() und ändert damit das Verhalten von Programmen, ohne diese selbst auszutauschen.
Adore und andere LKM-Rootkits funktionieren natürlich nur dann, wenn der Kernel für dynamische Moduleinbindung kompiliert ist und lässt sich so durch Entfernen der Module auch relativ einfach wieder loswerden.
Aber auch mit einem statischen Kernel ist man gegen Rootkits nicht gefeit: Das Kernel Intrusion System (KIS) von optyx dürfte momentan eines der gefährlichsten und modernsten Programme zur Untergrabung der Systemintegrität sein: Anstatt eigene, manipulierte Kernel-Funktionen bereitzustellen, schreibt es schlicht direkt in den RAM-Speicher des Systems und modifiziert so die Ausgabe von Programmen. Hiergegen kann sich der Administrator mit Boardmitteln von Linux nicht mehr verteidigen, da der Schreibzugriff auf /dev/kmem fester Bestandteil des Kernels ist. Es gibt zwar auch dafür Abhilfen( www.grsecurity.net) , allerdings sollte man die Dokumentation vorher sorgfältig lesen, da es vorkommen kann, das nach dem Patch das System nicht mehr einwandfrei funktioniert.
Wer ist betroffen?
Prinzipiell besteht für alle Betriebssysteme die Gefahr, durch ein Rootkit verseucht zu werden. Die meisten Rootkits gibt es heutzutage de facto für Linux, das allgemein wenig Schutz gegen Manipulationen vom Root-Account bietet. Aber auch für Solaris oder BSD gibt es mittlerweile funktionierende Rootkits. Auch Windows NT/XP bleiben nicht verschont. Allerdings spielen Windows-Rootkits bislang eine eher untergeordnete Rolle.
Maßnahmen
Ein einfache Strategie, um unbefugte Änderungen ausfindig zu machen, ist die Aufzeichnung von kryptografischen Checksummen auf einem Nur-Lese-Datenträger wie CD-ROM. Leider verlassen sich die Prüfprogramme auf die (vom Rootkit manipulierten) Betriebssystemaufrufe. Eine minimalistische Maßnahem wäre es, keine reiber oder featurs des Kernels als Module zu übersetzen und den Modul-Support im Kernle völlig zu deaktivieren. Diese Maßnahme macht das Einfügen JEGLICHER Kernel-Module unmöglich, mit allen anderen damit verbundenen Nachteilen.
Im Mail Transfer Agent (MTA) von Sendmail hat Internet Security Systems (ISS) einen gefährlichen Buffer Overflow entdeckt. Die Schwachstelle erlaubt Angreifern, ohne spezifische Kenntnisse des Ziel-Systems Root-Rechte auf den Mail-Servern zu erlangen. 50 bis 75 Prozent des gesamten E-Mail-Verkehrs im Internet werden über Sendmail abgewickelt. Betroffen sind laut ISS alle kommerziellen Versionen sowie die Open-Source-Varianten von 5.79 bis 8.12.7. In einem Webinar erläutern die ISS-Experten der X-Force, wie und wann sie die Lücke entdeckt haben, stellen Analysen für potenziell betroffene Systeme vor und geben Schutzstrategien an die Hand. Informationen dazu stehen auf der ISS-Webseite unter http://www.iss.net/issEn/delivery/prdetail.jsp?type=&oid=21961 zur Verfügung.
Intrusion Detection System hat selbst ein Security-Leck
Auf einen weiteren Buffer Overflow sind die Spezialisten der X-Force beim Open Source Intrusion Detection System (IDS) Snort gestoßen. Angreifer können demnach beliebigen Code auf einem Sensor ausführen. Betroffen sind die Versionen 1.8 bis einschließlich der aktuellen (Stand: 3. März 2003).
Sicherheitslücke in Linux-DHCP-Routinen
DHCP, die dynamische Verwaltung von IP-Nummern in Netzwerken, ist unter anderem in den Linux-Distributionen von BSD, SuSE, Red Hat und Debian unsicher.
20.01.2003 - Das Internet Software Consortium (ISC) hat bei einem Test seiner Software mehrere Sicherheitslücken im DHCP-Daemon entdeckt. Weil dieser in verschiedenen Linux-Distributionen verwendet wird, sind all diese Linux-Varianten angreifbar.
Durch Ausnutzung der Lücken ist es Angreifern möglich, jeden beliebigen Code unter der Benutzerkennung auszuführen, unter welcher dhcpd läuft – dies ist in der Regel „root“, der alles darf..
Systeme mit ISC DHCPD ab Version 3.0 bis Version 3.0.1RC10 sind davon betroffen. Die Fehlerbehandlungsroutine der minires-Bibliothek, die vom Unix-Tool NSUPDATE genutzt wird, um dynamische Aktualisierungen des DNS-Systems durchzuführen, ist der eigentliche Knackpunkt.
Die Installation eines Patches, der bei der Sicherheitsorganisation CERT verfügbar ist, schafft ebenso Abhilfe wie ein Update auf ISC DHCPD 3.0pl2 oder 3.0.1RC11. (mk)
http://www.vnunet.de/pc-pro/news_facts/detail.asp?ArticleID=6621
usw usw usw
