14. Oktober 2008

Die gelbe Gefahr gewinnt!

Category: Hacking,Internet,Produkte — Christian @ 23:23

Nein, nicht die Chinesen bei Olympia sondern Symantec. Und nicht den Guinness-Rekord für den langsamsten Virenscanner der Welt 🙂 sondern den Secunia-Ehrenpreis für die meisten erkannten Exploits durch die Norton Internet Security Suite. Immerhin 20% der Secunia-Exploits werden erkannt, im Gegensatz zu so etwa 2-3% bei den Mitbewerbern. Details zum Test hat Secunia hier im PDF aufgeführt.

Man kann jetzt darüber streiten wie die Ergebnisse zustande gekommen sind. Beispielsweise, ob Symantec die Exploits bereits kannte und die Suite darauf optimiert hat. Das finde ich aber eigentlich uninteressant.

Die Kernfrage ist eigentlich: Ist so eine Endkundensuite die richtige Stelle um Exploits zu erkennen und zu verhindern?

Natürlich ist es für die Anwender hilfreich, wenn bestimmte Angriffe auf das ungepatchte System so verhindert werden. Andererseits wird es niemals eine Suite geben, die eine große Anzahl an Exploits zuverlässig erkennen kann, da die Exploits immer wieder variiert oder neu entwickelt und verändert werden. Die Gefahr die ich sehe ist, dass sich Anwender auf den scheinbar so tollen Schutz dieser Software verlassen und dabei das Patchen und Aktualisieren der Software vernachlässigen. Der beste Schutz vor Exploits ist jedoch immer noch eine aktuelle, gepatchte Software ohne Lücke.

Aus dieser Überlegung heraus wäre mir z.B. eine Internet Security Suite die mich auf veraltete und nicht gepatchte Software hinweist wertvoller. Ein Virenscanner der sowieso alle gelesenen Dateien prüft sollte leicht in der Lage sein, so einen Check mal eben mitdurchzuführen. Mich erstaunt immer wieder, wie viele alte und nicht mehr benötigte Softwarepakete wie z.B. uralte Java-Installationen auf meinen Rechnern sind. Der Secunia Personal Software Inspector gehört beispielsweise in die Kategorie von Software auf die ich auf meinen Rechnern nicht mehr verzichten möchte. Gleichzeitig werden die Anwender sensibilisiert und passen vielleicht besser auf, dass die auf ihren Systemen installierte Software halbwegs aktuell gehalten wird.

(via Heise)

MIB-Suche

Category: Hacking — Christian @ 00:40

Ich suche eine MIB-Definition für folgende OIDs:

  • .1.3.6.1.4.1.11.2.14.4.5.1.2.1
  • .1.3.6.1.4.1.11.2.14.4.5.1.2.2
  • .1.3.6.1.4.1.11.2.14.4.5.1.2.3

Auf jeden Fall von einem HP J4813A ProCurve Switch 2524. Möglicherweise die icfSecurityMib aber in den MIBs die ich habe finde ich nichts (HP-ICF-SECURITY und HP-ICF-OID). Ich habe so den Verdacht, dass da bei einem HP ProCurve Switch ein paar Passwörter drinstehen könnten. Die erste OID hat bei mir den Wert „public“, das sieht aus wie der SNMP Community String. Die zweite OID enthält „cru3sl1“, die dritte „b@mbix“. Sieht verdächtig aus nach Passwörtern.

Gefunden habe ich die Werte bei einem Security-Scan. Die Geräte haben sich am Foundstone SNMP-Scanner wie folgt identifiziert:

    10.xx.xx.xx,161,“public“,“HP J4813A ProCurve Switch 2524, revision F.05.17, ROM F.02.01  (/sw/code/build/info(s02))“

Die OIDs habe ich mit einem SNMP-Walk mit dem iReasoning MIB-Browser gefunden aber leider keine Beschreibung dafür. Für Hilfe gebe ich auf dem nächsten Chaos Computer Congress ein Bier aus 🙂