Home / User-Blogs / Durch den Kopf ins Internet / Schädlicher Kot 6.0

Schädlicher Kot 6.0

Schädlicher Kot 6.0

→ Zum Blog von Christian Berg

MS Bashing macht bekanntlich Spaß, auch wenn die Hintergründe manchmal alles andere als Komisch sind. Der neueste Schildbürger Streich aus Redmond wurde von Google angezettelt.

  1. Google will raus aus dem China Markt - oder wenigstens Zensurfilter einsparen.
  2. Google nimmt die täglichen Hackerattacken aus China als Vorwand.
  3. Google entblößt dabei das eine mindesten 9 Jahre alte Sicherheitslücke im Internet Explorer verwendet wurde. (IE 6 kam 2001 am Markt)
  4. Microsoft verspricht das es die Lücke alsbald schließen wird. Aktuell kennen nur die Chinesen (und Google) den genauen Exploit. Wer kein Tibeter ist braucht keine Angst zu haben.
  5. Der Exploit landet im Netz!
  6. Das BSI und andere Einrichtungen die was von Sicherheit verstehen empfehlen alles nur nicht IE im Netz zu verwenden. Wenigsten bis die Amerikaner das richten können.
  7. Microsoft kontert mit typischen FUD, Firefox Bashing und folgenden Satz:

"The reality of the risk is minimal, even if you have IE6; you would have to go to a website running the exploit."

Zu Deutsch: "Das Risiko ist minimal, denn man muss ja eine Webseite besuchen welche diese Sicherheitslücke ausnutzt"

Woran erkennt den nun der Otto-Normal Internetbesucher eine solche Seite? Sind Totenköpfe auf der Seite? Fliegen Scheine von Rechts über den Bildschirm? Vielleicht sind schadhafte Seiten an einem Firefox Logo zu erkennen. Höchst wahrscheinlich aber gar nicht, und selbst wenn wäre es zu schon zu spät.

Die Porno Lüge

Oft wird behauptet man kann sich nur Viren einjagen wenn man Pornoseiten und andere illegale Seiten mit illegaler Software und so besucht. Ich hoffe ich hab das jetzt Naiv genug ausgedrückt. Oft genug wurde auf "normale" Seiten eingebrochen und diese so unmerklich wie möglich präpariert damit Sie andere Zwecke erfüllen.

Ich kann mir auch einen Grund vorstellen warum Google nicht so genau sagt wie es die unbekannten Hacker geschafft haben so gezielt die Accounts von tibetischen Freiheitskämpfer zu attackieren. Ich denke es gibt eine viel einfachere Methode gezielt gefährlichen Javascript Code auf die Vertrauenswürdige Seite seiner Wahl zu bekommen....

"Google AdSense"

Die Werbebanner die über Google Vermittelt werden sind entweder Flash Animationen, oder einfache HTML Seiten. Diese können auch Javascript enthalten. Ich kaufe mir also eine Werbefläche über Google auf genau dieser Seite und lege so viel Geld hin damit die Werbung gleich auf der Startseite angezeigt wird und genau in dieser Werbefläche platziere ich den Schadcode! Ob das wirklich so einfach geht steht in den Sternen. Ich kann mir gut vorstellen das die Jungs von Google alles mögliche versuchen um Popups und anderen Anmaßungen die durch ihre Werbeflächen entstehen könnten zu verhindern. Doch wo ein Wille ist, ist auch ein Weg (jedenfalls bei Javascript)

Die Empfehlung:

Eigentlich kann man keiner Website 100% vertrauen. Vor allem wenn man ein unliebsamer Zeitgenosse ist und eine eigene Meinung hat.

Microsoft hat sich für mich endgültig ins Abseits geschossen. Ihr träges reagieren auf den Markt, ihr FUD das sie säen, ihre Selbstgefälligkeit, das ist alles fast im Bereich des Üblichen. Doch diese Reaktion auf eine kritische Sicherheitslücke, welche aktuell aktiv ausgenutzt wird, zeigt das die Entwickler des Internet Explorers absolut kein Verständnis von Sicherheit besitzen. Würden Sie ein Auto kaufen, wenn Sie wüsten das der Hersteller keine Ahnung hat warum Sicherheitsgurte leben retten können?

Der Umstieg auf einen anderen Browser kostet zum Glück nichts mehr. Sollte jemand der diese Zeilen liest Bekannte haben die Internet Explorer verwenden, wäre jetzt der beste Zeitpunkt ihm zu erklären das er mit 300Km/h am Daten Highway ohne Airbag, Gurt, und ABS fährt. (Gute Alternativen wären Firefox, Opera, und Chromium)

Wenn Sie dann schon am installieren und umstellen sind, löschen Sie am besten auch noch Outlook und MSN! Warum sollten die E-Mail und Chat-Programme von Microsoft "sicherer" sein als der Browser?

Persönliche Erfahrung:

Ich bin ein Mensch der Fehler verzeiht, auch wen sie viel gravierender als dieser IE Bug sind. Als ich erfuhr das mein SSH Key auf meinem Debian Server keinerlei Schutz bietet war ich schockiert und gleichzeitig begeistert wie souverän die freiwilligen Entwickler dieses fundamentale Problem binnen kürzester Zeit in den Griff bekommen haben. Wichtig ist für mich nicht wie das Problem entstanden ist - sondern wie man darauf reagiert - am besten noch bevor ich merke das ich eigentlich betroffen war. Bei Microsoft steht noch immer nicht fest ob ein ein Patch für dieses Leck außerhalb des monatlichen "Patchdays" erscheinen wird, wenn Sie dann endlich einen Fix haben. Auch dafür gibt es von mir ein sattes "Nicht Genügend".

Bookmark and Share

Kommentare
BSI warnt auch vor Outlook
Christian Berg, Mittwoch, 20. Januar 2010 15:36:54
Ein/Ausklappen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnung im Zusammenhang mit der aktuellen Sicherheitslücke im Internet Explorer erweitert. Auch bei der Verwendung von Outlook, Outlook Express, Windows Mail, Windows Live Mail, dem Hilfesystem und der Sidebar sei Vorsicht geboten.

Quelle: http://www.golem.de/1001/72521.html

Als wäre ich ein Hellseher...


Bewertung: 179 Punkte bei 5 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: BSI warnt auch vor Outlook
ARt (unangemeldet), Sonntag, 24. Januar 2010 13:43:19
Ein/Ausklappen

Ich fände es durchaus mal interessant herauszufinden, warum CaCert Zertifikate nicht von allen akzeptiert werden, und warum der Konqueror bei StartSSL Zertifikaten Schwierigkeiten macht.


Bewertung: Noch keine Bewertung abgegeben!
Den Beitrag bewerten: Gut / Schlecht
-
Re: BSI warnt auch vor Outlook
Christian Berg, Sonntag, 24. Januar 2010 14:35:00
Ein/Ausklappen

Eine kurze Eklärung findet man auf der CaCert Seite.

1.) Gibt es die Organisation noch nicht sehr lange.

2.) Hat fast kein Hersteller eine art Policy, von wem Root Zertifikate akzeptiert werden. Die Anfrage von CaCert zur Aufnahme wird daher unterschiedlich behandelt.

3.) Bei Mozilla führte die Anfrage dazu das diese sich das erste mal Gedanken über Ihre Zertifikate Politik gemacht haben. Das Ergebniss: Die Aufnahmebedingungen wurden verschärft und CaCert lässt es inzwischen bleiben.


Bewertung: 69 Punkte bei 1 Stimme.
Den Beitrag bewerten: Gut / Schlecht

1223 Hits
Wertung: 275 Punkte (16 Stimmen)

Infos zum Autor