In regelmäßigen Abständen veröffentlichen verschiedene Unternehmen und Organisationen aus dem IT-Sicherheitsumfeld Statistiken, um die vermeintlich „sichersten“ oder „unsichersten“ Anwendungen auszumachen. Meistens wird dazu die Anzahl der veröffentlichten Schwachstellen ausgezählt. Aus den  Ergebnisse lassen sich dann leicht verständliche und vielfach zitierte Listen erschaffen.

Diese Fleißarbeit – das Auswerten der diversen Quellen ist eine zeitraubende Angelegenheit – mag durchaus löglich sein, die Ergebnisse sind aber oftmals leider nicht besonders aussagekräftig. Denn damit IT-Profis, Forscher und Endanwender wirklich Nutzen aus solchen Erhebungen ziehen können, müssen jede Menge Punkte miteinbezogen, ermittelt und ausgewertet werden. Diese Extra-Arbeit wird aber oftmals nicht geleistet.
 
So ist es wichtig zu wissen, wie lange die jeweils betroffenen Hersteller eigentlich benötigten, um die gemeldeten Lücken zu schließen. Selbst eine sehr niedrige Anzahl gemeldeter Bugs kann immense Gefahr für die Nutzer der betroffenen Anwendungen bedeuten, wenn die Lücken nicht schnell aus der Welt geschafft werden.
 
Auch die Quelle der Lücke ist relevant: Hat der Hersteller die Schwachstelle selbst entdeckt und hatte so genug Zeit, sie in Ruhe zu schließen? Oder wurde das Sicherheitsupdate unter Druck entwickelt, weil der Exploitcode in frei zugänglichen Internetforen kursierte und kriminelle Hacker reichlich Zeit hatten, die Lücke zu missbrauchen?
 
Außerdem sollte beim Erstellen der Bug-Statistiken in Betracht gezogen werden, wie leicht die jeweilige Lücke ausnutzbar ist. Microsoft gibt diesen „Exploitability Index“ genannten Wert bei jedem Sicherheitsupdate mit an. Denn so können IT-Profis schnell ersehen, wie wahrscheinlich und weitreichend ein Missbrauch der Schwachstelle wäre. Manche Lücken lassen sich beispielweise nur unter komplexen Umständen missbrauchen und auch nicht aus der Ferne über das Internet. Beispiele hierfür sind die noch vorhandenen Schwachstelle, die durch den Stuxnet-Wurm bekannt wurde, sowie die aktuelle Lücke im Windows-Kernel. Das Ausnutzen beider Schwachstellen setzt voraus, dass der Angreifer bereits beliebigen Code auf dem PC des Opfers ausführen kann. Er muss also zuvor schon auf anderem Weg zumindest teilweise Kontrolle über die Maschine erlangt haben.
 
Nicht außer Acht gelassen werden darf auch die Verbreitung der betreffenden Anwendungen. Eine Lücke in einem weit verbreiteten Produkt wie Microsoft Windows oder Adobe Flash hat ein anderes Gewicht als Schwachstellen in einem Browser mit nur geringem Marktanteil oder einem Instant Messenger, der nur in manchen Teilen der Welt populär ist. Natürlich müssen auch Bugs in den beiden letztgenannten Produkten behoben werden. Aber das Risiko für die weltweite Nutzergemeinde ist in diesen Fällen sicher niedriger.
 
Ein weiterer Punkt, den es zu beachten gilt: Hat das betroffene Produkt eine Möglichkeit zur automatischen Aktualisierung? Denn wenn ja, dann können Updates schnell oder sogar ohne Zutun des Nutzers verteilt werden. Fehlt ein Autoupdater, müssen die Anwender entweder selbst regelmäßig auf den Webseiten der Hersteller der von ihnen eingesetzten Software vorbei schauen. Oder sie sind auf die Dienste einer Software wie Secunia PSI angewiesen.
 
Zu guter Letzt sei noch erwähnt, dass längst nicht alle Softwarehersteller Bugs sofort nach deren Auftauchen kommunizieren. MancherAnwendungs- oder Betriebssystemlieferant schließt die Lücken, ohne dies öffentlich und im Detail zu dokumentieren. Daher bleibt eine Statistik immer lückenhaft.
 
Zieht man all diese relevanten Faktoren in Betracht, wird schnell klar, wie aufwändig eine wirklich aussagekräftige Bug-Statistik ist. Ich jedenfalls habe größten Respekt vor dem, der sich an ein solches Unterfangen wagt. Bis dahin werde ich auch weiterhin mit Interesse die diversen Reports studieren, die von den jeweiligen Sicherheitsexperten erstellt werden. Wobei ich die Resultate immer mit einer gesunden Portion Skepsis betrachten werde.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Ok viele Worte macht der Kollege in diesem Video nicht .-) aber manchmal sind die Informationen einfach wichtiger als der Rahmen: dort wird SuperPreview als Feature von Expression Web einfach mal in Aktion gezeigt. SuperPreview ermöglicht das Betrachten einer Webseite in verschiedenen Browsern gleichzeitig, die Anzeige ist nebeneinander aber auch überlagert möglich.

Aber nun will nicht weitere Worte verlieren. Schauen Sie doch einfach selbst. 

So können etwaige Darstellungsfehler sofort erkannt und mit Hilfe der DOM-View auch die Stelle im Code ermittelt werden, an welcher das Problem vorliegt. So ist das Anpassen von Darstellungsfehlern einfach und schnell möglich, noch bevor man die Seite auf dem Server bereit stellt. Nativ unterstützt SuperPreview IE6, 7, 8, und den Kompatibilitätsmodus von IE8 sowie FireFox 3.0, 3.5 und 3.6. Über die neue Remotebrowserfunktion kann neben Safari 4 und 5 für Macintosh auch die IE9 Beta getestet werden.

Lars Schmoldt

Der Sicherheitsforscher Nart Villeneuve hat eine umfassende Analyse der Schadsoftware Koobface angefertigt und als PDF-Datei zum Download gestellt. Koobface – der Name ist ein Anagramm von „Facebook“ – verbreitet sich hauptsächlich in Sozialen Netzwerken und infiziert dem Report zufolge an einzelnen Tagen zwischen 1900 und zirka 4000 neuen PCs.
 
Verbreitet wird die Schadsoftware über die innerhalb Facebooks massenhaft auftauchenden, sensationsheischenden Nachrichten, die auf vermeintlich skandalöse Videos verweisen. Der Link in den Nachrichten oder Pinnwand-Postings zeigt aber nicht auf einen Clip, sondern führt zur Infektion des Opfer-PCs. Zumeist wird dem Anwender vorgegaukelt, dass ihm zum Betrachten des Videos noch ein Codec oder ein Update für Adobe Flash fehlt. De facto sind die nachgeladenen Dateien aber die Schadsoftware – ein bereits seit Jahren verwendeter Trick, der offenbar immer noch funktioniert.
 
Die Koobface-Macher unterhalten eine große Menge an gefälschten Nutzerkonten in den verschiedensten Online-Diensten, um die Spam-Nachrichten verteilen zu können. Alleine knapp 22.000 Facebook-Konten, von denen ungefähr 3000 mit legitimen Nutzern befreundet sind. Auf diese Weise ist die Malware-Gang mit über 900.000 Anwendern des Sozialen Netzes in Kontakt.
 
Wie die Analyse weiter aufzeigt, lädt Koobface in Abhängigkeit von der Geolokation des infizierten PCs verschiedene weitere Komponenten herunter. In den USA befindliche PCs werden beispielsweise mit einer gefälschten Antiviren-Software bedacht. Außerdem lässt die Schadsoftware Fenster auf dem Bildschirm der infizierten Computer auftauchen, die den Anwender zur Eingabe eines CAPTCHAs nötigen. Andernfalls würde der Computer herunter gefahren. Das CAPTCHA stammt von einem legitimen Web-Dienst wie zum Beispiel Google, bei dem das Botnet in diesem Moment gerade ein neues Konto anlegen will.
 
Der eigentliche Zweck des Botnets ist es, Geld zu verdienen. Die Hintermänner nutzen die infizierten PCs zum Beispiel für Klickbetrug: Die Schadsoftware schleust Links oder Werbebanner in den Browser ein und verleitet den Anwender dazu, darauf zu klicken. Pro Klick bekommen die Koobface-Macher Geld (Pay per Click). Ähnlich funktioniert das Pay-per-Install-Modell. Hier werden die Cyber-Kriminellen von anderen Gaunern pro Software entlohnt, die erfolgreich auf den Opfer-PCs installiert wurde. Zumeist dürfte es sich hierbei um gefälschte Antiviren-Software handeln.
 
Erfreulicherweise zeigt die Analyse auch auf, wie dem Botnet beizukommen ist. Der Autor der Analyse will die gesammelten Informationen nutzen, um eine konzertierte Aktion aller Beteiligten und Betroffenen zu erreichen. Denn nur so lässt sich der vielköpfigen Hydra beikommen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Reinschauen lohnt. Deshalb sollten Sie sich diese 3 Termine schon heute vormerken. In der kommenden Woche veranstalten wir wieder TechNet Live-Webcasts zu

• Windows Server 2008 R2 SP1: Dynamic Memory Deep Dive (Level 400) am 26. November
• SQL Server "Denali": Ein erster Überblick (Level 200) am 2. Dezember
• Windows Server 2008 R2 SP1: RemoteFX Deep Dive (Level 400) am 3. Dezember

Als Referenten stehen die Microsoft Technical Evangelists Ralf Schnell und Steffen Krause Rede und Antwort.

Lars Schmoldt

Heute morgen bin ich bei tecchannel.de auf drei interessante Artikel zum Internet Explorer gestoßen, die ich Ihnen natürlich nicht vorenthalten will. In IE9 - Eigene Jumplist-Einträge zu Webseiten erstellen beschreibt der Autor Moritz Jäger nicht nur, wie sich einzelne Webseiten unter Windows 7 in der Taskleiste ablegen lassen, sondern auch dass sich mit ein wenig HTML-Kenntnissen genau jene Jumplist-Einträge nahezu beliebig anpassen und erweitern lassen.

Mit den neuen Funktionen im Internet Explorer 9 (IE9) beschäftigt sich Moritz Jäger dann in diesem Überblicksartikel. Last but not least und einer meiner Favoriten wenn es um Tipps rund um den Internet Explorer 8 geht, ist seine Schritt-für Schritt-Anleitung zu Internet Explorer immer im InPrivate-Modus starten.

Als Microsoftie freut es mich natürlich, wenn sich freie Autoren mit unserem Webbrowser befassen. Ein Blick über den Tellerrand lohnt schließlich immer. Nicht außer Acht lasse ich natürlich unsere Microsoft-internen Blogs, die - ebenfalls weit entfernt von dem üblichen Marketing - eine gute Quelle für technische Erläuterungen sowie Tipps und Tricks sind

• Daniel Melanchthon schreibt über Internet Explorer auf dem beliebten Windows 7-Blog
• Hier bloggt darüber hinaus der Internet Explorer Support Team

Lars Schmoldt

Daran haben auch schon im vergangenen Jahr viele TechNet-User viel Spaß gehabt. Jeder Tag ein schlauer Tipp, also einer, der sie wirklich beruflich weiter bringt. An dieser Stelle werde ich noch bis in den Dezember hinein Links zu IT-Adventskalendern publizieren. Sie müssen mir nur sagen welche? Ob als Kommentar zu diesem Blog (keine Sorge: es funktioniert wirklich. Ich muss Kommentare nur händisch freigeben) oder über das Kontaktformular. Immer her damit!

Den Anfang macht heute die Ankündigung von faq-o-matic.net jeden Tag neue Tipps und Tricks zu Active Directory zu posten. Alternativ kann man ihnen auch auf Twitter folgen. Der Hashtag lautet #fomAdv

Lars Schmoldt

Microsoft stellt ab sofort eine Reihe neuer Gratis-Tools bereit, die IT-Profis in Verbindung mit dem Security Compliance Manager das Leben erleichtern: Zwei neue Security Baselines (Windows Server 2008 R2 und Office 2010) sowie zwei Setting Packs (Windows 7 und Internet Explorer 8). Gemeinsam mit dem Security Compliance Manager können Unternehmen die Security- und Compliance-Anforderungen für die meistgenutzten Microsoft-Produkte effizient verwalten.

In Kombination mit dem Security Compliance Manager und bewährten Praxistipps helfen Ihnen die Baselines beim Planen, Verbreiten und Überwachen von Sicherheitsmaßnahmen für Maschinen, auf denen Windows Server 2008 R2 oder Office 2010 installiert ist. Die SecurityBaselines basieren auf von Microsoft empfohlenen Lösungen, damit Sie Ihre derzeitigen Sicherheitsprobleme angehen können.
 
Mit den Settings Packs definieren Sie individuelle Sicherheitsregelungen, die über den durch die Security Baselines vorgegebenen Rahmen hinaus gehen. IT-Profis können somit maßgenschneiderte Richtlinien erstellen und so die Sicherheit von Windows 7 und Internet Explorer 8 erhöhen. Die Settings Packs sind gleichzeitig Bestandteil der Security Baselines. 
 
Der Security Compliance Manager spielt zusammen mit dem Microsoft Assessment and Planing Toolkit (MAP) und dem Microsoft DeploymentToolkit (MDT). Mehr Details hierzu finden Sie hier http://technet.microsoft.com/en-us/solutionaccelerators/default.aspx.
 
Den Security Compliance Manager selbst finden Sie zum Download im Microsoft Download Center.
Wer bereits mit dem Tool arbeitet, kann die neuen Security Baselines und Settings Packs abrufen, indem er auf den Menüpunkt Tools klickt und dort den Eintrag Check for Baselines auswählt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Fingerabdruckleser sind ein bewährtes Verfahren, wenn es um das Anmelden am Betriebssystem oder das Entschlüsseln von Daten geht. Das in Regensburg ansässige Unternehmen Psylock setzt bei seinem Loginverfahren zwar ebenfalls auf Biometrie und auch die Finger haben etwas damit zu tun. Aber die Finger tippen einen ganzen Satz, anstatt über den Leser zu streichen. Denn Psylock erkennt den Anwender anhand seines Tippverhaltens. Also daran, wie lange er eine Taste herunterdrückt, die Fingerfertigkeit beim Finden der Tasten oder in welchem Rhythmus die Tastengedrückt werden.
 
Dabei spielt es keine Rolle, welchen Satz der Nutzer eintippt – es geht lediglich um das Tippprofil. Der einzugebende Satz kann also auch von der jeweiligen Anwendung – etwa einer Web-Applikation – vorgegeben und im Login-Fenster angezeigt werden. Das Vergessen des Passwortes ist damit Geschichte.
 
Warum ich Psylock hier im Blog erwähne? Weil ich die Technik für bemerkenswert und ausgesprochen nützlich halte. Insbesondere der Wegfall von IT-Supportstunden, die aufgrund von vergessenen Kennworten notwendig werden, ist ein Segen für jedes Unternehmen. Zudem ist das Verfahren sicherer als eine rein auf Nutzernamen und Passwort basierende Absicherung. Die Tippbiometrie lässt sich auch mit einem weiteren Faktor wie einem Token oder einem Zertifikat kombineren.
 
Psylock integriert sich auf Wunsch auch in Windows XP und ersetzt in diesem Fall die systemeigene GINA (Graphical identification and authentication), also die Windows-Komponente, die nach Druck von Strg, Alt und Ent Benutzernamen und Passwort entgegen nimmt. Laut Psylock sollen Varianten für Windows Vista und Windows 7 in Zukunft ebenfalls bereit stehen.
 
Basis der Profilerkennung ist ein vorheriges Training: Der Nutzer muss einen vorgegebenen Satz neunmal abtippen. Schreibfehler müssen nicht korrigiert werden, sie gehören zum Profil. Später gleicht das System dann das Tippverhalten beim Schreiben eines beliebigen anderen Satzes mit den hinterlegten Daten ab.
 
Ändert sich das Tippverhalten, beispielsweise durch eine Verletzung oder eine andere Tastatur [Update: siehe Kommentar unten von Psylock], muss erneut trainiert werden. Das kann unter Umständen problematisch sein, so dass immer ein zweiter Anmeldeweg bereit stehen sollte. Mit Bildschirmtastaturen wie der des Apple iPad oder den von Smartphones eingeblendeten Versionen kommt Psylock nicht zurecht: hier kann das System die Dauer des Tastendrucks mangels Tastenhub nicht messen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Am 4. und 5. Dezember 2010 findet bereits zum dritten Mal der weltweite Programmierwettbewerb "Random Hack of Kindness" statt. Unter dem Motto "Hacking for Humanity" treffen sich dabei Entwickler zu einem Programmiermarathon, bei dem Anwendungen erstellt werden sollen, die in Krisensituationen helfen, oder der Prävention und dem Schutz dienen.

Die Lösungen sollen zum Beispiel dabei unterstützen, Notfallsituationen unter anderem durch Naturkatastrophen, Terrorismus oder Pandemien besser zu überstehen, Schäden zu begrenzen und Hilfe effektiver leisten zu können. Die Anwendungen können sowohl für Bürger oder Betroffene als auch für Spender, Hilfeleistende, Hilfsorganisationen oder andere Akteure nützlich sein.

Die zu bearbeitenden Probleme und Aufgaben werden zuvor von einer Expertengruppe definiert und dann bei den jeweiligen Events in Angriff genommen. Gegründet wurde diese Initiative 2009 von der Weltbank, NASA, Google, Yahoo! und Microsoft.

Neben weltweiten Metropolen wie Bangalore, Bogota, Jakarta, Nairobi, New York, Sao Paulo oder Toronto werden im Dezember auch erstmals zwei europäische Städte Teil des Programmierevents sein: Neben dem dänischen Aarhus wird auch die deutsche Hauptstadt Berlin Gastgeber für über 100 engagierte Entwickler sein.

Interessierte Programmierer sind herzlich dazu eingeladen, sich anzumelden und ihr Fachwissen bei der Veranstaltung im Betahaus in Berlin für die gemeinnützigen Projekte einzubringen. Microsoft Deutschland unterstützt als Sponsor die Berliner Veranstaltung unter anderem mit einer Xbox plus Kinect als einen Preis für die Gewinner.

Knapp zwei Wochen nachdem Microsoft neue Funktionen seines Cloud-Betriebssystems Windows Azure vorgestellt hat,präsentiert Microsoft auf der TechEd Europe seine neue Lösung für die "Private Cloud", die das Hyper-V Cloud-Programm und das System Center integriert. Gemeinsam mit Dell, Fujitsu, Hitachi, HP, IBM und NEC entwickelt Microsoft zukünftig vorgefertigte Cloud-Infrastrukturen und -Services auf Basis der Microsoft Windows Server Plattform, die Private Clouds in Unternehmen unterstützen. In Berlin zeigen Microsoft und HP mit der "HP Cloud Foundation für Hyper-V" zudem das erste Ergebnis der gemeinsamen Cloud-Kooperation.

Microsofts Windows Server Hyper-V stellt bereits umfassende Virtualisierungs- und Management-Funktionen bereit. Microsoft System Center wiederum enthält alle Komponenten die Unternehmen benötigen, um eine Private Cloud aufzubauen. Diese erfolgreichen Server-Lösungen fließen nun in das neue   Hyper-V Cloud-Programm ein. Gemeinsam mit seinen Partnern Dell, Fujitsu, Hitachi, HP, IBM und NEC wird Microsoft zukünftig Anwendungen entwickeln, die die Umsetzung von Privat Clouds in Unternehmen unterstützen. Dazu zählen Virtualisierungs-, Storage-, Networking- und Management-Lösungen.

Mit dem System Center bietet Microsoft Verwaltungs- und Management-Lösungen mit der IT-Experten physische und virtuelle IT-Umgebungen über Rechenzentren, Clientcomputer und Geräte hinweg steuern und administrieren können. Integriert in die Privat Cloud Lösung erhalten Anwender ein Werkzeug,das für mehr Produktivität und Effektivität ihrer IT-Infrastruktur sorgt. Anwender können die Auslastung ihrer Netzwerk- und Storage-Ressourcen gezielt planen, bündeln und steuern - wesentliche Faktoren, die zu mehr Sicherheit und Effizienz in der Private Cloud führen.

Was Microsoft als erste gemeinsame Cloud-Anwendung in Berlin präsentiert hat, welche weiteren Elemente das Hyper-V Cloud Programm enthält und weiterführende Links finden Sie in dieser Pressemitteilung