Der Standardleitweg

Wohl jeder hat mal die Plakate oder Werbefilmchen der Kampagne Hart aber Gerecht gesehen. Die Kampagne ist nicht unumstritten, so wird suggeriert man könne als Privatmensch für jede Kleinigkeit für 5 Jahre ins Gefägnis kommen. Und als Kinogänger der am Wochenende gern mal über 10€ für die Karte bezahlt hat ist es eine wahre Freude im Vorspann erstmal als vermeintlicher Verbrecher vedächtigt zu werden.
Da ist doch die Meldung auf netpolitik.org erheiternd zu lesen, dass die Macher der Webseite zwar vermeintlich auf der moralisch Richtigen Seite stehen, aber technisch auf der ganz Dunklen. Mit einer kleinen Ergänzung zum Pfad hat man Zugriff auf das Dateisystem (des apache) und kann sich in aller Ruhe umsehen.
So weit könnte man noch drüber lachen, aber da dort u.a. auch ein access.log rumliegt ist das ganze doch eher ein Fall für den Datenschutzbeauftragten und einen großen LART.

Update 15:05: Der zuständige Websurfer hat reagiert, nun kommt ein 403.

Jeder hat bestimmt mal nen Windowsrechner gesehen mit der allgegenwärtigen Personal Firewall. Diese kleinen Dinger die einen warnen wenn ein Programm etwas böses will (Firefox will auf das Internet zugreifen!!!!!!!1elf) oder wenn ein Hacker versucht den Rechner anzugreifen (und dann bisweilen sogar das Gateway als angreifendes System melden).
Bei meinem letzten Arbeitgeber sah ich dann ganz gern die Kundenbeschwerden die als Beweis des Angriffs das inetnum-Objekt aus der RIPE-Datenbank anführten, das hatte die “Firewall” ja passend mitgeliefert. Ein wirklich schlagender Beweis, wenn auch nicht für den vorgeworfenen Angriff sondern eher für das Unwissen des Anwenders und der Sinnlosigkeit dieser Softwaregattung. Passende Links zu dem Thema gibt es in der Newsgroup de.comp.security.firewall z.B. hier.
Bisher gab es diese Software hauptsächlich für Windows, Linuxuser blieben von der Versuchung verschont und wussten es hoffentlich besser. Doch je mehr Linux ins allgemeine Bewusstsein und auf den Desktop rückt, desto normaler werden die Anwender und desto eher gibt es auch Müllsoftware.
Und nun haben die Personal Firewall auch Linux erreicht. Golem berichtet von Pandasoftwares neuerster Schöpfung, Panda DesktopSecure for Linux.
Juhu! Endlich können sich auch Linuxuser ihr Hirn an der Haustür abgeben, ob Pandasoftware entsprechende Schliessfächer im Programm hat oder man den totalen Verlust riskiert ist mir derzeit nicht bekannt.

Es sei noch angemerkt dass das Produkt auch noch eine Anti-Virenfunktion besitzt, deren Nutzen dürfte aber zumindest momentan eher gering sein, noch gibt es kaum Viren die sich unter Linux verbreiten, und darunter praktisch keine,die sich per Mail verbreiten. Von daher dürfte die PFW Funktion erstmal die entscheidende bzw. Vorstechenste sein.

Vor ein paar Tagen hatte ich mich ja über fehlendes Sicherheitsbewusstsein seitens Cisco beklagt. Heute nun berichtet Heise über eine weitere Lücke. Ciscos IP-Telefone 7920 lassen sich via SNMP auslesen und auch konfigurieren. Der SNMP-Dienst ist mit den standardcommunities (Passwörtern) public und private konfiguriert, standardmässig aktiv und genausowenig abschaltbar wie man die Passwörter ändern kann. Mit anderen Worten: wieder mal broken by design, auch wenn der Fehler mittlerweile behoben sein soll.

Da hilft es auch wenig, dass es noch weitere Telefone mit ähnlichen Fehlern gibt, kaputt ist kaputt und nur weil andere Hersteller den gleichen Fehler machen wird der Fehler nicht Richtig.

Die Hardware von Cisco hält fast das gesamt Internet am laufen. Und in unzähligen Werbespots wird die Firma nicht müde mit selbstverteidigenden Netzwerken zu werben und sich als sichere Firma zu positionieren.
Scheinbar ist das mehr Show als angenommen. Unbestritten ist, dass das IOS voller Bugs und Merkwürdigkeiten ist, auch sind die “selbstverteidigenden Netzwerke” ein feuchter Traum der Marketingfuzzies und technisch nichts besonderes. Das ist alles normal, bekannt, nicht anders zu erwarten.
Doch man kann zumindest erwarten, dass man versucht, die Produkte so gut es geht sicher zu machen. Doch in ganz offiziellen Dokumenten kann man nachlesen, dass Cisco einfach nicht sicher denkt. Eine der Produkte sind VPN-Gateways über die man mit einem speziellen Client eine verschlüsselte Verbindung z.B. ins Firmennetz aufbauen kann. Einfach nicht zu glauben und schon gar nicht zu entschuldigen ist aber folgender Absatz aus der Anleitung zur Linux- und Solarisversion des VPN-Clients:
“User profiles reside in the /etc/CiscoSystemsVPNClient/Profiles/ directory. Leave the permissions for the Profiles folder set at drwxrwxrwx. Each profile in the Profiles folder should have the follwoing permissions: -rw-rw-rw-.”
Das bedeutet, dass sowohl das Verzeichnis in dem die Profile gespeichert werden, als auch die Profile selbst für jeden im System lesend und schreibend im Zugriff sind. In diesen Profilen werden u.a. Passwörter und Keys für den Serverzugriff gespeichert und referenziert. Cisco erwartet also, dass ein System, dass mit einigem Aufwand eine verschlüsselte Verbindung aufbauen soll extrem unsicher konfiguriert wird.
Das ist einfach durch nichts zu entschuldigen, dass ist von der grundsätzlichen Planung her schon so falsch, dass es niemals hätte programmiert werden dürfen, geschweige denn auf den Markt gebracht.