Glorf IT

Auf mehrere Kanälen versorgt uns Microsoft aktuell mit Security-Informationen und Tools. Vor allem für Admins dürfte der "Microsoft Security Update Guide" (PDF, 2,8 MBytes) interessant sein: "Helping IT Professionals Better Understand and Maximize Microsoft Security Update Release Information, Processes, Communications, and Tools."

Parallel dazu hat Microsoft für Entwickler neue Werkzeuge für die Analyse der eigenen Software bereit gestellt: "BinScope Binary Analyzer" und "MiniFuzz File Fuzzer". Sind das scharfe Namen? Wenn Sie nur halb so gut sind wie ihre Namen, dann muss man sie unbedingt einsetzen… 😉

Die Trustworthy Computing Group von Microsoft hat Hilfsprogramme vorgestellt, die den Security Development Lifecycle (SDL – eine Kombination von Technologie, Prozessen und Anwendungsbeispielen für mehr Sicherheit) zu erweitern. Mit dem BinScope Binary Analyzer und dem MiniFuzz File Fuzzer bekommen Entwickler und Software-Tester Werkzeuge, um Sicherheitsrisiken in ihren Programmen noch vor der Veröffentlichung zu beheben. Auch steht ab sofort das Whitepaper "Manual Integration of the SDL Process Template" zum Download bereit, eine Anleitung für die Einführung des SDL Prozesses.

Hier gibt es alle Details dazu: www.microsoft.com/sdl

Gestern las ich in der Computerwoche (Nr.38 v. 4.9.2009) der Artikel "Wir wollen Kanzler werden!" (Untertitel: "Geht es nach den Webauftritten der Kandidaten, hat man da so seine Zweifel."). Darin werden die Webauftritte von den Spitzenkandidaten der Parteien bewertet, nicht nur die der Kanzlerkandidaten: Frau Merkel, Herr Steinmeier, Herr Westerwelle, Frau Künast, Herr Trittin, Herr Lafontaine, Herr Gysi (letzterer hat keine Homepage). Warum von den Parteien Bündnis90/Grüne und PDS/Linke zwei Politiker gewürdigt werden, von der CSU aber gar keiner bleibt im Dunkeln. Die größte Partei, die nicht im Bundestag vertreten ist, wird ebenfalls nicht erwähnt… Von Herrn Gysi wird sogar behauptet, er habe gar keine Homepage, ich fand sie an 6ter Position bei Google. Bei Redaktionsschluss gab es die Homepage aber laut Denic auch schon drei Jahre.

Leider werden in dem Artikel gar keine Aussagen zu den Positionen der Parteien zu IT-Themen gemacht, das war eine verschenkte Chance. Vermutlich wollten sie kurz vor den Wahlen auch noch schnell das Thema erwähnen ohne viel Aufwand rein stecken zu müssen. Ich war sehr enttäuscht von dem Artikel.
Resümee: nette Idee, die aber nicht gut umgesetzt wurde.

Ganz anders steht im Artikel der aktuellen ct "Qual bei der Wahl – Die Parteiprogramme aus der IT-Perspektive" eine ausgezeichnete Zusammenfassung der Aussagen der einzelnen Parteien. Der Artikel ist sehr lesenswert und steht dankenswerter Weise auch kostenlos im Internet zugänglich. Hier kann man sich in kurzer Zeit einen sehr guten Überblick zu den Themen rund um die IT verschaffen.

Wer es gerne ausführlicher hätte, der wird dort auch gleich bedient. Eine ausführlichere Zusammenfassung der einzelnen Programme ist ebenfalls in der Rubrik "Wahlprogramme unter der Lupe" verfügbar:

• CDU/CSU
• SPD
• Bündnis 90/Die Grünen
• FDP
• Die Linke.PDS

Danke, Heise!

Heute auf der Zugfahrt las ich in der Zeitschrift "database pro" (Ausgabe September/Oktober 2009) die Ergebnisse einer Gartner-Studie bei der 686 Unternehmen zu ihrem Einsatz von Datenbanksystemen befragt wurden. Für mich wenig überraschend gaben 70% an Oracle-Datenbanken zu nutzen, aber auch 68% nutzen den Microsoft SQL Server. Mehrfachnennungen waren offenbar erlaubt. Auch meine Firma nutzt drei DB-Systeme: SQL-Server, Oracle und DB2…

Mit etwas Abstand folgen jeweils MySQL mit 50% und DB2 mit 39%. Abgeschlagen dahinter folgen Informix, Sybase ASE/IQ und Teradata im Zehnerbereich. Die Restlichen werden nicht erwähnt. Leider wurde weder Link noch Name der Studie zur Quellenüberprüfung angegeben. Daher weiß ich nicht, um welche Unternehmen es sich handelte, wo sie "sitzen" und warum nur so wenige berücksichtigt wurden. Dennoch gebe ich das einfach mal so weiter.

Laut Golem.de stellt Microsoft ein nützliches Werkzeug zur Verfügung mit dem man die gleiche Webseite mal im IE6 und direkt daneben im IE8 ansehen kann. Vor ein paar Monaten nahm ich an einer Zufriedenheitsumfrage zum IE8 teil und da habe ich genau sowas gewünscht.
Naja, OK: Ich wünschte mir, dass die Versionen parallel installiert und genutzt werden können, um Webseiten auszutesten. Offenbar war ich nicht der einzige…

Offiziell heißt das Teil: "Microsoft Expression Web SuperPreview for Windows Internet Explorer" und ist 18 MBytes schwer…

Vor meinem Urlaub habe ich ein paar Maßnahmen zur "Härtung" meiner Internet-Seite durchgeführt. Unter anderem habe ich das WordPress Plugin "WP Security Scan" von Michael Torbert installiert.

Kleiner Einschub: Ich finde das sehr Plugin nützlich und kann es sehr empfehlen. Ob es sich auch langfristig bewährt, muss ich erst noch sehen.

Darin wurde moniert, dass die Datenbank-Tabellen den Standard-Namen haben. Da ich über die Gefahren von SQL-Injection hinreichend informiert bin, dachte ich mir gleich, dass es sicher gut ist, wenn die Tabellen anders heißen als erwartet. Daher benannte ich sie mit Hilfe des Plugins um. Was ich nicht bemerkte: Das von mir verwendete Theme "Tiga" hat eine SQL-Abfrage auf die Link-Kategorien hart kodiert. Daher hatte ich in den letzten Wochen keinen Blogroll mehr. Ich hätte ja erwartet, dass sich jemand darüber beschwert, aber ich glaube Ihr habt das auch nicht gemerkt, oder? 😉

Laut OptOutDay.de dürfen die Meldeämter meine Adress-Daten einfach so weiter geben:

Meldebehörden haben das Recht, persönliche Daten, wie zum Beispiel Adresse, Geburtstag, Konfession und Familienstand, an Dritte weiterzureichen, solange man sich nicht selbstständig und ausdrücklich in Schriftform dagegen ausspricht.

Das kann ich kaum glauben. Wenn das wahr ist, dann ist das schon echt stark. Da die Piratenpartei morgen am 17.9.2009 deswegen sogar einen "OptOutDay" initiiert, scheint es ja wohl zu stimmen. Leider kann ich da nicht mitmachen, aber offenbar findet es in Erlangen ohnehin nicht statt. Ich kann aber durchaus an dem Tag mal beim Erlanger Bürgeramt anrufen und nachfragen, ob das stimmt und ob ich dem auch aus der Ferne widersprechen kann. (Ich glaube das Bürgeramt ist der Nachfolger vom Einwohnermeldeamt. Aber sicher bin ich nicht.)

Wer auch nicht möchte, dass persönliche Daten weiter gegeben werden, der weiß jetzt Bescheid…

Gestern suchte ich heraus, ob sich an der Liste der Features des "SQL Servers 2008 Express with advanced services" etwas gegenüber der Version 2005 geändert hat. Natürlich kommen alle neuen Features des 2005er Express hinzu, aber mir geht es um die "erweiterten Dienste". Und da bleibt offenbar alles wie es ist.

Die erweiterten Dienste kann man in der Übersicht gut an dem Sternchen in der Spalte "Express" erkennen. Sie bietet als Mehrwert gegenüber der normalen Express-Edition folgende Features:

• enthält eine abgespeckte Fulltext-Engine: Suche in gespeicherten Texten ist möglich
• enthält einen abgespeckten Reporting Service: Reports auf lokale Daten sind möglich, Report-Manager und Report-Desiger sind enthalten
• enthält eine abgespeckte Version des Verwaltungswerkzeuges: "SQL Server Management Studio Express". Hier wurde einige Dinge eingespart die für Entwickler relevant sind, wie bspw. die Projektverwaltung und Berichte

Andere spannende Dinge, wie der Profiler, Integration-Services, SQL Server Agent oder Database Mail sind weiterhin nicht in den kostenlosen Editionen enthalten. Dazu muss man weiterhin eine höhere Edition erwerben.

Vor ein paar Monaten wurden unsere Besprechungsräume mit Thin-Clients ausgestattet, damit man nicht immer Laptops mitschleppen muss, um Bilder zu zeigen oder Protokolle schreiben zu können. Diese Geräte haben eine Mini-Lautsprecher angeschlossen, den ich mir jetzt mal näher angesehen habe: die "Yur.Beat Capsule Speaker". Das ist echt pfiffig. Eigentlich ist das Teil für den portablen Einsatz vorgesehen, es enthält einen Akku und wird per USB aufgeladen. OK, dafür ist es bauartbedingt nur Mono. Das Bild ist ungefähr in Originalgröße.

Ich finde das Teil echt praktisch. Das ist doch auch eine gute Geschenkidee für Leute, die auch im Urlaub gerne Hörspiele hören. Bei Conrad.de gibt es das Teil für knapp 17 Euro. Vielleicht gehe da in der Mittagspause mal hin…

Hier wieder ein Schätzchen aus dem letzten Jahrtausend. Leider vergaß ich wo ich das aufgegabelte.

Der Erlrouter
Wer routet so spät durch Nacht und Wind?
Es ist der Router, er routet geschwind!
Bald routet er hier, bald routet er dort
Jedoch die Pakete, sie kommen nicht fort.

Sie sammeln und drängeln sich, warten recht lange
in einer zu niedrig priorisierten Schlange.
Die Schlangen sind voll, der Router im Streß,
da meldet sich vorlaut der Routingprozeß
und ruft: "All Ihr Päckchen, Ihr sorgt Euch zu viel,
nicht der IP-Host, nein, der Weg ist das Ziel!"
Es komme gar bald einem jeden zu Gute
eine sorgsam geplante und loopfreie Route.

Des Netzes verschlungene Topologie
entwirr' ich mit Dijkstras Zeremonie.
Der Lohn, eine herrliche Routingtabelle,
dort steh'n sogar Routen zu Himmel und Hölle.

Vergiftet der Rückweg, das Blickfeld gespalten,
mit RIP wird die Welt nur zum Narren gehalten.
Doch OSPF durchsucht schnell und bequem
mein ganz und gar autonomes System.
Für kunstvolle Routen, das vergesst bitte nie,
benötigt man Kenntnis der Topologie.

Zu Überraschungs- und Managementzwecken
durchsuch' ich mit RMON die hintersten Ecken.
Kein Winkel des Netzes bleibt vor mir verborgen,
mit SNMP kann ich alles besorgen.
Wohlan nun, Ihr Päckchen, die Reise beginnt,
Mit jeder Station Eure Lebenszeit rinnt.
Doch halt, Ihr Päckchen, bevor ich's vergesse:
"Besorgt euch mit NAT eine neue Adresse!"

"Mein Router, mein Router, was wird mir so bang!
Der Weg durch das WAN ist gefährlich und lang."

"Mein Päckchen, mein Päckchen, so fürchte Dich nicht,
denn über Dich wacht eine Sicherungsschicht."

"Mein Router, mein Router, was wird mir so flau!
Dort draußen am LAN-Port, da wartet die MAU!"

"Mein Päckchen, mein Päckchen Dir droht nicht der Tod,
denn über Dich wacht ja der Manchester-Code.
Doch halte dich fern von der flammenden Mauer.
Die sorgt selbst bei mir noch für ängstliche Schauer."

"Mein Router, mein Router, wie glänzt dort voll Tücke
der schmale und schlüpfrige Weg auf der Brücke."
"Oh weh! Das Netz ist mit Broadcasts geflutet.
Ach hätt' ich doch niemals zur Brücke geroutet!

Mein Päckchen, den Kopf hoch,
Du musst nicht verzagen,
an Dich wird sich niemals ein Bitfehler wagen."
Schnell wie der Wind geht die Reise nun weiter
durch helle und funkelnde Lichtwellenleiter.

"Mein Päckchen, mein Päckchen, willst Du mit mir gehen?
Die Wunder des Frame-Relay-Netzes ansehen?"

"Mein Router, mein Router, ja hörst Du denn nicht,
was die WAN-Wolke lockend mir leise verspricht?"
"Glaub mir, mein Päckchen, im LAN,
da entgeht Dir sowieso Lebens- und Dienstqualität.
Reise nur weiter ganz ruhig und sacht
Quer durchs ATM-Netz mit FRF.8 ."

"Mein Router, mein Router, man hat mich verführt,
zerlegt, verschaltet und rekombiniert!"
"Mein Päckchen, das macht nichts, nun sparen wir viel,
ein VPN-Tunnel, der bringt Dich ans Ziel.
DiffSERV und TOS-Feld, merk' Dir die Worte,
die öffnen zu jedem Router die Pforte."

Finster der Tunnel, die Bandbreite knapp,
wie schön war die Backplane im eigenen Hub.
Am Ende des Tunnels: Das Päckchen ist weg,
vernichtet vom Cyclic Redundancy Check.

Frisch aus dem Urlaub zurück überraschte mich bei Heise die Nachricht, dass eine mir bisher unbekannte Firma ein Sicherheitsproblem am Microsoft SQL-Server entdeckt und veröffentlicht habe. Sie meldeten das Problem Ende 2008 an Microsoft und die signalisierten, dass das aus deren Sicht keine relevante Lücke sei und nicht behoben wird. Sentrigo schrieb daraufhin ein Tool, dass diese Lücke ausnutzt um sie zu beheben. Dazu muss man das Tool aber regelmäßig immer wieder aufrufen. Erst heute kam ich dazu mal die Hintergründe zu recherchieren.

Welche Tragweite hat das Problem?
Hat jemand Windows-Admin-Rechte an dem Computer auf dem der SQL-Server läuft, dann kann der Windows-Admin die Passwörter der angemeldeten Benutzer im Klartext lesen, weil sie in einer internen Tabelle pro Datenbank-Verbindung gespeichert werden. Das betrifft alle aktuellen Systeme: SQL Server 2000, SQL Server 2005 und SQL Server 2008 (die Betas von R2 daher vermutlich auch).

Während in der Login-Tabelle nur der Hash des Passwortes gespeichert ist, werden die Informationen zu angemeldeten Benutzern unverschlüsselt im Hauptspeicher gehalten. Ein Administrator kann nun mit geeigneten Werkzeugen, z.B. OllyDbg, den Hauptspeicher nach den Passwörtern durchsuchen. Sentrigo hat nun das kostenlose Werkzeug Passwordizer gebaut, dass diese Passwörter findet und mit Schrott überschreibt. Hier ein Beispiel:

C:\WINDOWS>E:\temp\Passwordizer\passwordizer\x86\passwordizer.exe 2212
Process is 32bit
DATA section found at 27cf000
Exe name is C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
MSSQL Server version is 90000 10820000
Scanning for sessions table (Can take up to several minutes)
Session table found at 27e6fe8
Getting user passwords for MSSQL Server 2005
Session id: 51
Username: sa
Password: k******9
Password cleared from memory

Sentrigo Passwordizer process completed successfully
1 passwords removed from memory

Im Output steht eigentlich alles was man wissen muss, insbesondere die Adresse an der die Informationen gefunden werden können. Natürlich ist die bei jedem Start anders, aber damit kann man sich das Problem mal aus der nächsten Nähe ansehen, weil man ja jetzt genau weiß wo man suchen muss.

Aber auch remote kann man die Passwörter lesen, wenn man am SQL-Server SysAdmin-Rechte hat. Das geht aber nur am SQL-Server 2000 und 2005, ab 2008er wurde laut Heise.de der dazu nötige DBCC-Befehl aus anderen Gründen entfernt. Im Securosis Blog verrät ein Sentrigo-Mitarbeiter, dass man "DBCC BYTES" dazu verwenden kann. Das ist aber kein großes Geheimnis, denn nur DBCC Bytes ist im SQL Server 2008 nicht mehr vorhanden, alle anderen gibt es dort weiterhin.

Meine Einschätzung: Ich sehe keine realistische Gefahr für die SQL-Server-Kunden, aber Microsoft hat einen peinlichen PR-Gau erlebt.

Warum? Die Sicherheitslücke ist schon sehr exotisch. Man muss schon zuerst mal Windows-Admin oder wenigstens SQL-Server-SysAdmin sein, um die Lücke ausnutzen zu können. Und dann sieht man nur die Passwörter derjenigen die sich aktuell über SQL-Authentifizierung angemeldet haben. Wenn man die von Microsoft empfohlene Windows-Authentifizierung verwendet, sieht man gar nichts. Was kann der Windows-Admin, der immer auch zugleich SysAdmin ist, mit den SQL-Server-Passwörtern anfangen? Gute Frage. Er darf alles tun, was er ohnehin schon als SysAdmin darf: sich als dieser Benutzer ausgeben und am SQL-Server Dinge in dessen Namen tun.

Die Gefahr besteht also lediglich darin, dass der Anwender SQL-Authentifizierung nutzt und das gleiche Passwort auch für sein Online-Banking, E-Bay oder dergleichen verwendet. Das könnte ein krimineller Windows-Admininistrator mal ausprobieren und ggf. dann tun was er möchte. Die Lücke ist in meinen Augen eher eine Kleinigkeit, da Administratoren auch auf viel einfachere Weise die Passwörter Ihrer Kollegen ausspähen könnten. Dennoch ist es natürlich eine Lücke und eine peinliche noch dazu.

Aber für die bisher weitgehend unbekannte Firma Sentrigo war das der PR-Boost schlechthin. Sie haben Microsoft so richtig vorgeführt, weil Microsoft danach schrie. Natürlich hätte Microsoft das ernst nehmen müssen. Man speichert einfach keine Passwörter im Klartext. Warum auch? Ich habe keine Ahnung wie aufwändig die Behebung gewesen wäre, aber da nun mal alle Mitarbeiter mit dem R2 beschäftigt waren, blieb für solche Dinge wohl keine Zeit mehr. Und damit hat sich Microsoft so richtig blamiert.

Vermutlich werden sie es nun doch beheben müssen, sonst müssen sie sich immer vorwerfen lassen, dass sie eine nicht behobene Sicherheitslücke haben. Und diese Diskussionen mag doch keine Firma gerne… 😉

Update 16.9.2009:

• Ja, es geht mittels DBCC BYTES, das wurde schon im Frühjahr im Vortrag "SQL SERVER Anti-Forensics" von Cesar Cerrudo (Folie 18) veröffentlicht.
• Heute bekam ich eine Mail von Firma Sentrigo, die sich für den Download des Tools "Passwordizer" bedankte und fragte an welchen Lösungen von ihnen ich denn Interesse hätte. Hallo? Am Passwordizer natürlich. Ich bereue bei der Angabe der persönlichen Daten ehrlich gewesen zu sein…

Wie ich heute bei golem.de las gibt es nun die Version 7.50 des Werkzeugs Total Commander. Der Update ist wie immer kostenlos. Wer es noch nicht hat, sollte mal einen Blick darauf riskieren, ich setze ich sehr gerne ein. Besonders gut gefällt mir an der neuen Version, dass man nun auch auf den Pfad klicken kann um das Verzeichnis zu wechseln. Auch bisher konnte man da schon tippen, aber man musste erst hinklicken und tippen. Jetzt reicht ein Klicken, so ist es recht bequem.

Gestern fragte mich mein Ex-Kollege Robert nach einem Witz, der im Jahre 2001 mal in unserer Firma kursierte. Ich fand ihn tatsächlich noch in meiner Kollektion. Vielleicht gibt es ein paar Leser, die ihn noch nicht kennen:

Programmer to Team Leader:
"We can't do this proposed project. **CAN NOT**. It will involve a Major design change and no one in our team knows the design of this legacy system. And above that, nobody in our company knows the language in which this application has been written. So even if somebody wants to work on it, they can't. If you ask my personal opinion, the company should never take these type of projects"

Team Leader to Project Manager:
"This project will involve a design change. Currently, we don't have any staff who has experience in this type of work. Also, the language is unfamiliar to us, so we will have to arrange for some training if we take this project. In my personal opinion, we are not ready to take on a project of this nature."

Project Manager to 1st Level Manager:
"This project involves a design change in the system and we don't have much experience in that area. Also, not many people in our company are appropriately trained for it. In my personal opinion, we might be able to do the project but we would need more time than usual to complete it."

1st Level Manager to Senior Level Manager:
"This project involves design re-engineering. We have some people who have worked in this area and others who know the implementation language. So they can train other people. In my personal opinion we should take this project, but with caution."

Senior Level Manager to CEO:
"This project will demonstrate to the industry our capabilities in remodelling the design of a complete legacy system. We have all the necessary skills and people to execute this project successfully. Some people have already given in-house training in this area to other staff members. In my personal opinion, we should not let this project slip by us under any circumstances."

CEO to Client:
"This is the type of project in which our company specializes. We have executed many projects of the same nature for many large clients. Trust me when I say that we are the most competent firm in the industry for doing this kind of work. It is my personal opinion that we can execute this project successfully and well within the given time frame."