Ein sicheres Internet ist für unsere Kunden und Partner ein wichtiges Thema. Und auch für Microsoft ist Sicher im Internet ein wichtiges Thema. Deshalb sind wir nun schon seit fünf Jahren Partner und Hauptsponsor der SaferInternet Initiative in Österreich.
Den diesjährigen SaferInternet Tag unterstützt Microsoft in ganz Europa. Aus 25 Niederlassungen werden 650 Mitarbeiter in den nächsten Tagen ca. 50.000 Schüler, Lehrer und Eltern zum Thema Sicher im Internet ausbilden. Und auch in Österreich finden heute am SaferInternet Tag Workshops für Lehrer und Schüler statt.
Laut dem Austrian Internet Monitor nutzen schon rund drei Viertel aller Österreicher das Internet. In der Gruppe der unter 30-Jährigen ist überhaupt schon fast jeder online. Das Internet ist in dieser Altersgruppe schon zum tag-täglichen Begleiter geworden.
Gerade weil junge Menschen so aktiv im Internet sind, ist es besonders wichtig, sie bereits früh über Gefahren und den Schutz der Privatsphäre aufzuklären. Ein paar Zahlen verdeutlichen das:
Eine Studie unter 15.000 Personen in 11 europäischen Ländern zeigt, dass knapp 80% der Teenager soziale Netzwerke sehr aktiv nutzen. Gleichzeitig existieren aber auch große Wissensmängel zum Thema Onlinesicherheit und Schutz der Privatsphäre:
So sind knapp zwei Drittel aller Teenager schon online von fremden Personen kontaktiert worden. Das erschreckende daran: Fast die Hälfte der so angesprochenen Kinder hat dann auch wirklich geantwortet!
Über 40% der Kinder glauben auch, dass es absolut sicher ist persönliche Daten in sozialen Netzwerken anderen Teilnehmern mitzuteilen. Und knapp 20% der Kinder erlauben sämtlichen Internet Benutzern den Zugriff auf Ihre persönlichen Daten.
Gerade einmal ein Drittel der Eltern hingegen kontrollieren überhaupt was Ihre Kinder im Internet machen. Dabei gäbe es genug Werkzeuge dafür. Mit den kostenlosen Microsoft Familien Schutz Einstellungen können Eltern z.B. festlegen welche Webseiten besucht werden dürfen, und welche nicht. Oder auch mit welchen Online Kontakten Ihre Kinder kommunizieren dürfen.
Es gehören also sowohl die Kinder, als auch die Eltern ausgebildet!
Daher haben wir gemeinsam mit unseren Partnern diese Schulunterlage: “Erst denken, dann klicken – Schutz der Privatsphäre im Internet” entwickelt. Damit wollen wir junge Menschen genau dort ansprechen soll, wo sie tagtäglich mit dem Internet konfrontiert werden – nämlich in den Schulen und im Unterricht.
Das Unterrichtsmaterial richtet sich an Lehrende, Schüler und deren Eltern. Je früher nämlich Jugendliche Kompetenzen im Umgang mit dem Internet erlernen, desto eher sind sie sich über die Gefahren bewusst. So können sie von vornherein ungewollte Spuren im World Wide Web vermeiden.
Denn das Internet vergisst nicht!
Jeder Mensch hinterlässt seine digitalen Spuren im Netz. Ob bewusst oder unbewusst. Egal ob es sich dabei um allzu freizügige Fotos, Videos oder sonstige – anfänglich unterschätzte – Beiträge auf Facebook, Twitter & Co. handelt.
Die neue Schulunterlage, das auf Grund der Initiative von Microsoft Österreich entwickelt wurde, gibt zahlreiche praktische Anregungen, wie Jugendliche die eigene Privatsphäre besser schützen können. Zudem fördert es die kritische Reflexion der eigenen Internetnutzung. Und das ohne dabei gleich den Spaß und die Freude am World Wide Web zu verderben.
Denn für die Erhöhung der Sicherheit ist auch eine Verbesserung der Medienkompetenz wichtig. Wie im realen Leben müssen die Benutzer auch online lernen mögliche Gefahren zu erkennen und angemessen darauf zu reagieren.
Ich bin überzeugt, dass wir mit diesem Schulpaket einen wesentlichen Beitrag zur sicheren Internutzung unserer Kinder geleistet haben. Nun fordern wir Lehrer und Eltern auf von dieser Lernunterlage regen Gebrauch zu machen. Zum Wohle unserer Kinder und Jugendlichen.
Update: Tut mir leid für den 404er. Links auf die Unterlage sollten nun wieder funktionieren.
Morgen, am 9. Februar findet – bereits zum 7. Mal – der Safer Internet Day statt. Dieser europaweite Aktionstag soll zu einer gestärkten Bewusstseinsbildung über das eigene Verhalten im Internet beitragen. Unter dem Motto „Think before you post!“ rückt heuer das Thema Schutz der Privatsphäre im Internet in den Mittelpunkt.
Dazu veröffentlichen wir die neue Schulunterlage „Erst denken, dann klicken – Schutz der Privatsphäre im Internet“. Diese wurde auf Initiative von Microsoft Österreich, und in Kooperation mit Saferinternet.at und anderen Partnern entwickelt. Das kostenlos zur Verfügung gestellte Material richtet sich an Schüler, Lehrende und Eltern.
Immerhin nutzen bereits rund drei Viertel aller Österreicher das Internet. In der Gruppe der unter 30-Jährigen ist nahezu jeder online (siehe: Austrian Internet Monitor, 3. Quartal 2009). Gerade weil junge Menschen so aktiv im Internet sind, ist es besonders wichtig, sie bereits früh über Gefahren und den Schutz der Privatsphäre aufzuklären. Daher haben wir gemeinsam mit unseren Partnern dieses Unterrichtsmaterial entwickelt. Es soll junge Menschen genau dort ansprechen wo sie selbst tagtäglich mit dem Internet konfrontiert werden – nämlich in den Schulen.
„Das Internet vergisst nichts…“
„Das Internet vergisst nichts“, sagt auch Bernhard Jungwirth, der Sprecher von Saferinternet.at. „Jeder Mensch hinterlässt – ob bewusst oder unbewusst – seine digitalen Spuren im Netz. Daher danken wir Microsoft für die Initiative und die Unterstützung bei der neuen Broschüre, die zahlreiche praktische Tipps bietet, wie Jugendliche ihre Privatsphäre besser schützen können – ohne dabei gleich den Spaß und die Freude im Umgang mit Sozialen Netzwerken zu verlieren.“
Die Unterlagen wurden auf Initiative von Microsoft Österreich, in Kooperation mit Saferinternet.at, dem Bundesministerium für Unterricht, Kunst und Kultur und der Datenschutzkommission erstellt. Sie können sowohl aus meinem Skydrive Ordner "Sicher-im-Internet", als auch in Zukunft unter folgendem Link heruntergeladen werden: http://www.saferinternet.at/broschuerenservice/.
Das Unterrichtsmaterial richtet sich an Lehrende, Schüler und deren Eltern. Je früher Jugendliche Kompetenzen im Umgang mit dem Internet erlernen, desto eher sind sie sich über die Gefahren bewusst und können ungewollte Spuren im World Wide Web vermeiden. Egal ob allzu freizügige Fotos, Videos oder sonstige – anfänglich unterschätzte – Beiträge auf Facebook, Twitter & Co.
Zusätzlich zu diesen neuen Unterlagen haben wir schon in der Vergangenheit zahlreiche weiterführende Informationsmaterialien rund um das Thema Sicherheit im Internet und Schutz der Privatsphäre erstellt. Details finden sich unter www.sicher-im-internet.at und am Sicherheits Portal für Konsumenten unter http://www.microsoft.com/austria/protect.
Für den technischen Schutz können Anwender mit den „Microsoft Security Essentials“ einen einfachen, zuverlässigen und kostenlosen PC-Schutz nutzen. Die Sicherheitslösung kann über www.microsoft.com/Security_Essentials bezogen werden und schützt PCs so vor Viren, Spyware, Trojanern und anderen schädlichen Programmen. Denn auch das gehört dazu.
Nun aber viel Spaß mit der neuen Unterlage „Erst denken, dann klicken – Schutz der Privatsphäre im Internet“
Wer wissen will, was Cloud Computing in nächster Zukunft bewirken kann, ist hier goldrichtig. Heute Dienstag, den 26. Januar, wird Brad Smith, Senior Vice President bei Microsoft, eine Rede zu diesem Thema in Brüssel halten.
“Technology Leadership In the 21st Century: How Cloud Computing Will Change Our World” wird von 12:30 bis 13:30 auch live über das Internet übertragen werden.
Und wer sich vor dem Livestream schon mal einlesen möchte, dem sei die folgende Lektüre empfohlen: Building Confidence in the Cloud: A Proposal for Industry and Government Action for Europe to Reap the Benefits of Cloud Computing.
Dieses Paper wurde vor kurzem beim Brookings Institution Forum vorgestellt. Die Aufzeichnung der Präsentation kann man auf der Webseite: Building Confidence in Cloud Computing - Cloud Computing in Business and Society abrufen.
Wer sich also zum Thema Cloud Computing und Microsoft laufend informieren möchte, sollte sich diesen Link in seinen Favorites abspeichern: www.microsoft.com/news/cloudcomputing-policy/
Die Sicherheit unserer Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um Sie beim sicheren Betreiben Ihrer IT-Infrastruktur optimal zu unterstützen, hat Microsoft eine außerplanmäßige Sicherheitsaktualisierung veröffentlichet. Diese schützt alle unterstützten Versionen von Microsoft Internet Explorer vor den damit verbundenen HTML Attacken.
Solche außerplanmäßigen Sicherheitsaktualisierungen werden von uns nur aus wichtigen Gründen veröffentlicht, und sollten daher umgehend installiert werden. Diese Information soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen bzw. auf Ihrem Privat Computer möglichst rasch zum Einsatz zu bringen.
Durch die Installation dieser Sicherheits-Aktualisierung sind unsere Kunden gegen die bekannten Attacken, wie sie jüngst breit gemeldet wurden, geschützt. Für unsere Kunden, die die automatische Aktualisierung in Windows aktiviert haben, wird die Aktualisierung selbsttätig bei Verfügbarkeit eingespielt und installiert. Sie können Ihren Computer aber auch ganz einfach manuell über Microsoft Update oder Unternehmens-Lösungen wie Windows Server Update Services (engl.) oder System Center Configuration Manager 2007 aktualisieren.
Um sich auch in Zukunft gut zu schützen, installieren Sie am besten zusätzlich auch den Internet Explorer 8. Immerhin waren Benutzer des Internet Explorer 8 vor den gegenwärtig verwendeten Angriffen gut geschützt. Dieser verfügt nämlich über erweiterte Sicherheitsfunktionen.
Internet Explorer 8 enthält weitreichende Sicherheitsmechanismen wie Data Execution Prevention (DEP) und den geschützten Modus (protected mode). Diese erweiterten Sicherheitsfunktionen haben die derzeit benutzten Angriffe unwirksam gemacht, und werden auch in der Zukunft bedeutend besseren Schutz anbieten, als alte Browser Versionen.
Auch nach Einspielen der Sicherheits-Aktualisierung empfehlen wir als zusätzlichen Schutz die Überprüfung der eigenen PC Sicherheit wie aktive Firewall, aktuelle Antivirus Lösung und regelmäßige Software Aktualisierungen. Benutzern von älteren Versionen des Internet Explorers empfehlen wir darüber hinaus dringend den Umstieg auf Internet Explorer 8. So sind Computer Benutzer auch in Zukunft gut geschützt.
Um auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Technical Security Notifications“ abonnieren.
Weitere, laufend aktualisierte, Informationen finden Sie auch auf dem Blog des Österreichischen Sicherheitssprechers von Microsoft Österreich: Gerhard´s Marktbeobachtungen
Mit freundlichen Grüßen,
Gerhard Göschl
Manager strategisches Marketing und Sicherheits-Sprecher
Microsoft Österreich GmbH
Wie schon gestern geschrieben ist die Sicherheit unserer Kunden und Partner für Microsoft ein vordringliches Anliegen. Unsere Sicherheitsteams haben in den vergangenen Tagen mit Hochdruck an einer Aktualisierung gearbeitet. Jetzt hat diese geplante Aktualisierung die nötigen Qualitätskriterien für eine breite Verfügbarkeit erfüllt. Wir werden diese Sicherheitsaktualisierung daher heute abend freigeben und verfügbar machen.
Ab wann wird diese außerplanmäßigen Sicherheitsaktualisierungen genau verfügbar sein?
Um Sie beim sicheren Betreiben Ihrer IT-Infrastruktur optimal zu unterstützen, wird Microsoft heute Abend, gegen 19:00, eine außerplanmäßige Sicherheitsaktualisierung veröffentlichen. Diese wird alle unterstützten Versionen von Microsoft Internet Explorer vor den damit verbundenen HTML Attacken schützen.
Warum sollten Sie diese außerplanmäßigen Sicherheitsaktualisierungen installieren?
Solche außerplanmäßigen Sicherheitsaktualisierungen werden von uns nur aus wichtigen Gründen veröffentlicht, und sollten daher umgehend installiert werden. Diese Vorabinformation soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen bzw. auf Ihrem Privat Computer möglichst rasch zum Einsatz zu bringen.
Was bewirkt diese außerplanmäßigen Sicherheitsaktualisierungen?
Durch die Installation dieser Sicherheits-Aktualisierung sind unsere Kunden gegen die bekannten Attacken, wie sie jüngst breit gemeldet wurden, geschützt.
Wie komme ich zu dieser außerplanmäßigen Sicherheitsaktualisierungen?
Für unsere Kunden, die die automatische Aktualisierung in Windows aktiviert haben, wird die Aktualisierung selbsttätig bei Verfügbarkeit eingespielt und installiert.
Abgesehen davon gibt es auch noch die folgenden Möglichkeiten:
Wie kann ich mich denn bestmöglich schützen?
Um sich in der Zwischenzeit, aber auch in Zukunft gut zu schützen, installieren Sie am besten den Internet Exlorer 8. Immerhin sind Benutzer des Internet Explorer 8 vor den gegenwärtig verwendeten Angriffen nach wie vor geschützt. Dieser verfügt nämlich über erweiterte Sicherheitsfunktionen. Internet Explorer 8 enthält weitreichende Sicherheitsmechanismen wie Data Execution Prevention (DEP) und den geschützten Modus (protected mode). Diese erweiterte Sicherheitsfunktionen machen die derzeit benutzten Angriffe unwirksam, und werden auch in der Zukunft bedeutend besseren Schutz anbieten, als alte Browser Versionen.
Gibt es weitere Tipps und Tricks um meine “Sicherheit im Internet” zu steigern?
Bis zur aktuellen Verfügbarkeit des Updates raten wir unseren Kunden zudem weiterhin zu erhöhter Aufmerksamkeit bei Links zu eventuell nicht vertrauenswürdigen Webseiten. Als zusätzlichen Schutz empfehlen wir die Überprüfung der eigenen PC Sicherheit wie aktive Firewall, aktuelle Antivirus Lösung und regelmäßige Software Aktualisierungen. Benutzern von älteren Versionen des Internet Explorers empfehlen wir darüber hinaus dringend den Umstieg auf Internet Exlorer 8. So sind Computer Benutzer auch in Zukunft gut geschützt.
Wie komme ich in Zukunft rasch und verläßlich zu solchen Informationen?
Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden, und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Technical Security Notifications“ abonnieren.
Gerhard Göschl (Gerhard.Goeschl@Microsoft.com)
Manager strategisches Marketing und Sicherheits-Sprecher
Microsoft Österreich GmbH
Die Sicherheit unserer Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um diese beim sicheren Betreiben Ihrer IT-Infrastruktur optimal zu unterstützen, wird Microsoft demnächst [Update 20.01.2010, 19:30] am Donnerstag, den 21.01. gegen 19:00 eine außerplanmäßige Sicherheitsaktualisierung veröffentlichen. Diese wird alle unterstützten Versionen von Microsoft Internet Explorer ab der Version 6 betreffen.
[Update 21.01.2010] Siehe dazu auch: AUSSERPLANMÄSSIGE SICHERHEITS-AKTUALISIERUNG – Januar 2010 – ab heute Abend verfügbar
Am 16. Januar 2010 hat Microsoft eine neue Version des Security Advisory 979352 veröffentlicht. Darin hat Microsoft seine Kunden darüber informiert, dass schädlicher Programmcode in die Öffentlichkeit gelangt ist. Durch diesen neuen Programmcode kann die aktuelle Verwundbarkeit des Internet Explorer 6 ausgenützt werden. Das Advisory enthält auch detaillierte Informationen, welche Versionen des Internet Explorers betroffen sind und was Microsoft Kunden in der Zwischenzeit tun können, um sich bis zur Verfügarkeit der Sicherheitsaktualisierung vor Angriffen zu schützen.
Trotz teilweise anderlautender Meldungen:
Die gegenwärtig verwendeten Angriffe haben aktuell keine Auswirkung auf Benutzer des Internet Explorer 8!
Internet Explorer 8 enthält weitreichende Sicherheitsmechanismen wie Data Execution Protection (DEP) und den geschützten Modus (protected mode), die die derzeit verwendeten Angriffe unwirksam machen. Durch diese erweiterten Sicherheitsfunktionen im Internet Explorer 8 sind Benutzer des Internet Explorer 8 nach Microsoft Kenntnis derzeit sicher.
Zudem sehen wir derzeit ganz generell nur sehr wenige Angriffe. Diese sind dann meistens zielgerichtete Angriffe und funktionieren auch nur gegen Internet Explorer 6. Zugleich machen sich diese Angriffe auch die Sicherheitslücken anderer Programme wie zum Beispiel Adobe Acrobat Reader zu Nutzen.
Microsoft Sicherheitsteams arbeiten seit geraumer Zeit mit Hochdruck an einer solchen Aktualisierung. Sobald diese geplante Aktualisierung die nötigen Qualitätskriterien für eine breite Verfügbarkeit erfüllt, wird Microsoft diese zum frühestmöglichen Zeitpunkt freigeben und verfügbar machen.
Microsoft Kunden raten wir weiterhin zu erhöhter Aufmerksamkeit bei Links zu eventuell nicht vertrauenswürdigen Webseiten. Als zusätzlichen Schutz empfiehlt Microsoft die Überprüfung der eigenen PC Sicherheit wie aktive Firewall, aktuelle Antivirus Lösung und regelmäßige Software Aktualisierungen. Benutzern von älteren Versionen des Internet Explorers empfiehlt Microsoft dringend den Umstieg auf Internet Explorer 8.
Solche außerplanmäßigen Sicherheitsaktualisierungen werden von uns nur aus wichtigen Gründen veröffentlicht, und sollten daher umgehend installiert werden. Diese Vorabinformation soll Ihnen helfen die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen bzw. auf Ihrem Privat Computer möglichst rasch zum Einsatz zu bringen.
Folgende Informationen stehen derzeit zur Verfügung (in englisch):
Vorabinformationen:
Weitere Detailinformationen:
Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden, und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen können Sie die „Microsoft Technical Security Notifications“ abonnieren: http://www.microsoft.com/technet/security/bulletin/notify.mspx
Gerhard Göschl (Gerhard.Goeschl@Microsoft.com)
Manager strategisches Marketing und Sicherheits-Sprecher
Microsoft Österreich GmbH
Mit Microsoft Office 2003 kam vor knapp sieben Jahren eine Office Version auf den Markt, die eine interessante neue Funktionalität bot: Office 2003 konnte ab sofort zusammen mit einem Windows Server 2003 Dokumente verschlüsseln, und den Zugriff auf diese Dateien auf einen genau definierten Personenkreis einschränken. Es handelt sich hierbei um die Unterstützung der Windows Rights Management Services (RMS)
Windows Rights Management Services funktioniert natürlich auch für alle folgenden Versionen von Microsoft Office bzw. die Nachfolge Versionen von Windows Server 2003. Eine kurze Übersicht über Rights Management Service bietet dieses kurze RMS Demo Video. Weitere informationen zu RMS findet man einerseits auf der Webseite Windows Rights Management Services. Speziell zu Office 2003 bietet die Seite Information Rights Management In Office 2003 weiterführende informationen zum Einrichten und zur Architektur von Information Rights Management (IRM).
Zum Betrieb der Rights Management Funktionalitäten werden auf der Seite Deploying and Configuring Information Rights Management Tipps und Tricks verraten. So auch zur Verwaltung und zum Verteilen der digitalen Zertifikate. Aufgrund dieser digitalen Zertifikate erfolgt dann nämlich die Verschlüsselung bzw. auch die Zugriffskontrolle.
Diese digitalen Zertifikate können auch mit einem Ablaufdatum versehen werden. Bei der Zurverfügungstellung von Microsoft Office 2003 wurde das Ablaufdatum mit knapp sieben Jahren definiert. Diese sieben Jahre sind nun um, und daher gehören diese digitalen Zertifikate erneuert. Ansonsten könnte es sein, dass man mit Office 2003 keine neuen Dokumente verschlüsseln kann, oder keine Dokumente öffnen kann die schon verschlüsselt sind. Das gilt aber wie gesagt nur für Office 2003.
Microsoft hat am Wochenende die neuen digitalen Zertifikate zur Verfügung gestellt, und für alle Kunden die Rights Management Services mit Office 2003 verwenden freigegeben. Alles was zu tun ist, ist sich den Link auf die Aktualisierungen zuschicken zu lassen, und zu installieren.
Die Links zu den technischen Erklärungen, sowie den Downloads sind:
Vor der Aktualisierung bitte überprüfen, ob Office 2003 SP3 installiert ist, und dann kann es los gehen. Wobei diese Aktualisierung ja nur von einem ganz bestimmten und eingeschränkten Kundenkreis benötigt wird.
Diese neuen digitalen Zertifikate benötigen Kunden nur wenn sie:
- Information Rights Management im Zusammenhang mit den Rights Managment Services betreiben UND
- diese Funktionalität mittels Microsoft Office 2003 ausführen
Kunden, die Windows Rights Management Services in Verbindung mit Microsoft Office 2007 verwenden können wir gewohnt weiterarbeiten, und brauchen diese Aktualisierungen nicht durchzuführen. Das gilt auch für alle, die schon die Beta Version von Office 2010 im Einsatz haben.
Wenn wir schon beim Thema aktualisieren in Office 2010 Beta sind: Wer es noch nicht ausprobiert hat, dem sei der Test hier nochmals wärmstens ans Herz gelegt. In meinem Blog Post Office 2010 schon jetzt testen finden sich alle Details zum Ausprobieren von Microsoft Office 2010. Testen kann man auch ohne zu installeren! Also nichts wie ran, und viel Spaß mit Microsoft Office 2010!
Heute Abend hatte ich im Rahmen der Security09 des e-center eine interessante Diskussion. Sind Open Source Produkte per se sicherer als Closed Source Produkte?
Die Idee ist ja folgende:
- Bei Closed Source Produkten haben in der Theorie nur einige wenige Entwickler Zugriff auf den Quellcode.
- Bei Open Source Produkten haben in der Theorie viele Entwickler Zugriff auf den Quellcode.
- Und wenn viele Leute sich dann den Quellcode ansehen, dann würden sie alle Fehler finden, und diese auch ausbessern.
Nun gut. Soweit die Theorie.
In der Praxis schaut es dann doch ein bisschen anders aus.
Zum Ersten gibt es auch bei sogenannten Closed Source Produkten oft die Möglichkeit sich den Quellcode anzusehen. Bei Microsoft ist das das Shared Source Programm, und bietet seit Jahren Zugriff auf den Quellcode von zum Beispiel Microsoft Windows und Microsoft Office.
Zum Zweiten ist die vielbeschworene Community oft gar nicht so groß, wie man im allgemeinen gerne annimmt. Da kann es dann schon mal sein, dass auch bei weltbekannten Projekten nur zwei Handvoll Mitarbeiter wirklich aktiv dran sind.
Zum Dritten sind Sicherheitsfehler im Quellcode oft gar nicht so einfach zu finden.
Oder doch? Kleiner Test gefällig? O.K. Wo ist hier der Fehler:
#define Smb2GetWorkItem( WI ) ((PSMB2_WORK_ITEM)(WI->ProviderWorkItem))
...
typedef struct _SRV_WORK_ITEM
{
...
//
// This is the Receive Buffer for the incoming request
//
PSRVBUFFER ReceiveBuffer;
PSRVBUFFER ResponseBuffer;
...
} SRV_WORK_ITEM, *PSRV_WORK_ITEM;
...
NTSTATUS
Smb2ValidateProviderCallback( PSRV_WORK_ITEM WorkItem )
{
PSMB2_HEADER pHeader = (PSMB2_HEADER)WorkItem->ReceiveBuffer->Buffer;
PSMB2_WORK_ITEM pWI = Smb2GetWorkItem( WorkItem );
PSMB2_CONNECTION pC = Smb2GetConnection( WorkItem->Connection );
NTSTATUS status;
pWI->ParentWorkItem = WorkItem;
pWI->AsyncId = RFSTABLE64_INVALID_ITEM;
WorkItem->ProviderWorkItemCleanupRoutine = Smb2CleanupWorkItem;
...
if( pHeader->ProtocolId != SMB2_PROTOCOL_ID )
{
if( pHeader->ProtocolId == SMB_PROTOCOL_ID &&
pC->Dialect == 0xFFFF )
{
//
// Handle downlevel multi-negotiate
//
pWI->Command = SMB2_0_COMMAND_NEGOTIATE;
goto process_packet;
}
else
{
WorkItem->DisconnectConnection = TRUE;
return STATUS_INVALID_PARAMETER;
}
}
pWI->Command = pHeader->Command;
...
process_packet:
if( SRVWPP_LOG_MESSAGE( DEBUG_MODULE_SRV2, DEBUG_PERF ) )
{
Smb2OutputWorkItemRequest( WorkItem );
}
if( ValidateRoutines[pHeader->Command ] == NULL )
{
return Smb2ValidateNotImplemented( WorkItem );
}
else
{
return (ValidateRoutines[pHeader->Command])( WorkItem );
}
}
Wer den Fehler findet, darf ihn auch behalten. :-)
Im Ernst: Wer hätte den Fehler gefunden? Ehrlich!
Die Conclusio:
- Programmieren kann bald mal wer.
- Gut Programmieren erfordert dann schon einiges an Ausbildung und Erfahrung
- Sicher Programmieren erfordert Regeln und Prozesse, sowie entsprechende Spezialkenntnisse. Viele Augenpaare alleine sind da auch keine wirkliche Hilfe.
PS: Das war gerade Quellcode aus dem Windows 7 Release Candidate.
In der finalen Version von Windows 7 ist dieser Fehler schon behoben und entfernt. Gefunden wurde der Fehler schlussendlich durch sogenanntes Fuzzing, also das bewusste Verwenden von fehlerhaften Netzwerkpaketen, um eventuelle Fehler in der Software zu entdecken. Was ja dann auch prompt gelang.
PPS: Wer mir glaubhaft versichern kann den Fehler im obigen Quellcode alleine gefunden zu haben, bekommt von mir ein “Writing Secure Code” Buch von Michael Howard.
Obwohl: Wer den Fehler selber findet, braucht das Buch wahrscheinlich gar nicht mehr :-)
Wie schon in den vergangenen Jahren (DeepSec – IT-Security Konferenz in Wien, ) ist Microsoft auch heuer wieder auf der DeepSec vertreten. Nachdem sich im letzten Jahr daran (DeepSec – IT-Security Konferenz in Wien – ein unmoralisches Angebot) alle verzweifelt die Zähne ausgebissen haben, haben wir heuer auf unmoralische Angebote verzichtet.
Dennoch gibt es wieder viel Interessantes zu Hören und zu Sehen. Insbesondere die Vorträge meiner beiden Kollegen John Walton und Fermin J. Serna kann ich da nur jedem ans Herz legen.
John Walton ist Principal Security Lead bei Microsoft, und Fermin ein Security Software Ingenieur im MSRC Engineering team. Ihre beiden Vorträge sind:
Aber auch diese Vorträge versprechend recht spannend zu werden:
Die gesamte Agenda findest sich auf der DeepSec Webseite unter: https://deepsec.net/schedule/
Viel Spaß, und: Man sieht sich!
Ab heute Abend ist es soweit: Die Public Beta von Office 2010 wird heute ab ca. 19:00 zur Verfügung stehen. Der Public Download Link zur Office 2010 Beta ist http://officebeta.microsoft.com/de-at/
Ich selber verwende Office 2010 seit der technical Preview, also seit fast einem halben Jahr, und bin damit extrem zufrieden. An sich soll man Beta Versionen ja nicht produktiv einsetzen, aber wie heißt es doch so schön: No risk no fun. Und der Fun hier überwiegt eindeutig den Risk.
Wieviel Fun Office 2010 bieten kann zeigt recht schön der OfficeBlog.at mit dem Blog Countdown zu Office 2010.
Office 2010 kann man in drei “Geschmacksrichtungen” testen:
- Office Home and Business 2010 Beta mit Excel, PowerPoint, Office Web Apps, OneNote, Outlook und Word
- Office Professional 2010 Beta mit zusätzlich Access und Publisher
- Office Professional Plus 2010 Beta mit nochmals zusätzlich Communicator, InfoPath und SharePoint Workspace
Klarerweise gibt es auf dieser Seite auch Tipps und Tricks, online Schulungen und vieles mehr.
Ach ja: Wer sich Office 2010 nur mal schnell ansehen will, oder die Zeit während des Downloads produktiv nutzen will, der kann ja in der Zwischenzeit schon mal mit den Office 2010 Web Apps experimentieren. Eine Anleitung wie es geht findet sich auf Online Office schon jetzt testen
Viel Spaß!
Derzeit läuft in Las Vegas die Microsoft Professional Developer Conference (PDC). Die PDC ist für Entwickler immer wieder ein Highlight. Viele wichtige Ankündigungen wurden schon auf der PDC gemacht. Und auch diesmal gab es Interessantes zu erzählen. So zum Beispiel:
Microsoft stellt .NET Micro Framework unter Open Source
Das Microsoft .NET Micro Framework, ist eine Entwicklungs-und Ausführungsumgebung für Geräte mit knappen Ressourcen. Die volle Integration in Visual Studio ermöglicht es Programmierern die sich mit Embedded Systemen beschäftigen noch produktiver zu sein.
Mehr übder das Microsoft .NET Micro Framework findet sich auf der Webseite: http://www.microsoft.com/netmf
Zu diesem Microsoft .NET Micro Framework gab es nun auf der Microsoft Professional Developer Conference zwei Ankündigungen.
- Knapp ein Jahr nach der Freigabe der Version 3.0, wurde heute in Las Vegas die Nachfolge Version der Öffentlichkeit vorgestellt. Hierbei handelt es sich um die Microsoft .NET Micro Framework Version 4.0.
- Gleichzeitig mit der Version 4.0 haben wir heute auch bekannt gegeben, dass das Microsoft .NET Micro Framework unter eine Open Source Lizenz gestellt wird.
Das Microsoft .NET Micro Framework Version 4.0 wird in Kürze unter der Apache 2.0 Lizenz veröffentlicht werden. Der Grund dafür ist, dass die Apache 2.0 Lizenz schon jetzt stark im Bereich von embedded Systemen eingesetzt wird.
Mehr Details zu diesem neuesten Schritt von Microsoft finden sich im Blg Post meines Kollegen Peter Galli: Microsoft to Open Source the .NET Micro Framework
Gerade über Twitter gefunden: “bit.ly links in BLOG posts mit #Windows #Live Writer plugin” http://bit.ly/2dqrOG RT @windowslive #Microsoft
Musste ich natürlich gleich retwittern und auch ausprobieren. Und was bietet sich da besser an als gleich seinen Twitterkanal damit zu bewerben :-)
Also: Wer mir auf Twitter folgen will, kann das z.B. über diese Webseite tun: Aus http://twitter.com/ggoeschl wird http://bit.ly/DtVvS. Oder auch nicht. Je nach Einstellung.
Man kann nämlich auch den ursprünglichen Text stehen lassen, und nur den dahinterliegenden Link verkürzen.
Auf jeden Fall ein interessantes PlugIn.
PS: Für alle, die mit der Twitter Lingo nicht so vertraut sind, hier nochmals der Download Link auf das Windows Live Writer Plugin für Bit.ly: http://bit.ly/2dqrOG
Schönes Wochenende!
Der neue “X-Force 2009 Mid-Year Trend and Risk Report” zeigt ein paar interessante neue Entwicklungen auf:
Sicherheits Lücken in Betriebssystemen
- Die meisten Sicherheits Lücken in Betriebssystemen weist jetzt Sun in seinem Sun Solaris auf. Der stetige Anstieg an Sicherheitslücken im Sun Betriebssystem in den vergangegen Jahren hat damit seinen derzeitigen Höhepunkt gefunden.
- Auf den Plätzen 2 und 3 folgen Apple und Linux, wobei die Anzahl der gemeldeten Sicherheitslücken in allen drei Betriebssystemen (Sun Solaris, Mac OS und Linux) in etwa gleich hoch ist
Sicherheitslücken in Dokumentformaten
Wie auch schon der Microsoft Intelligence Report gezeigt hat, nehmen die Angriffe auf Computersysteme über PDF Dateien immer stärker zu. Alleine in der ersten Jahreshälfte 2009 gab es laut dem “X-Force 2009 Mid-Year Trend and Risk Report” für PDF mehr gemeldete Sicherheitslücken als im gesamten Jar 2008.
Eine erschreckende Fortschreibung des Trendes, der sich schon im Vorjahr abgezeichnet hat (siehe auch: “Adobe müsse sich in punkto Sicherheit an den Standards von Microsoft orientieren.”)
weitere Sicherheitstrends
- Phishing geht stark zurück
- Anzahl der gemeldeten Verwundbarkeiten stagniert
- gestiegene Sicherheit der Internet Browser. Das gilt aber nur für die jeweils neueste Version. Nach wie vor sind Browser das Hauptangriffsziel. Verwenden SIE eigentlich schon Internet Explorer Version 8??
- steigende Anzahl von “verseuchten” Web Links. Immer mehr Links im Web zeigen auf Seiten, die Schadsoftware oder Phishingwebseiten hosten. Die Anzahl hat sich im Vergleich zum letzten Jahr verfünffacht. Auch hier kann ein moderner Browser manchmal Wunder bewirken.
Wieder einmal zeigt sich die Gültigkeit der drei Grundregeln der Sicherheits-Einstellungen, (zuletzt im Artikel “Aktuelle Sicherheits Warnungen des österreichischen CERT” beschrieben). Also nicht vergessen:
- Firewall
- Automatische Updates
- aktueller Antivirensoftware + Definitionen
Wer es noch nicht weiss: Microsoft übergab Quell Code an den Linux Kernel. Der Verantwortliche dahinter, und seitdem auch die treibende Kraft dieses Projektes, ist Hank Janssen.
Hank arbeitet federführend an der Zusammenarbeit von Microsoft mit der Open Source, aber auch der Linux-Gemeinschaft. Hank Janssen ist Programm-Manager für das Open Source Lab bei der Microsoft Corporation.
Hanks Werdegang in eigenen Worten:
I have been working with UNIX and Later Linux and Other OSS for about 20 years. I started working at AT&T and did a lot of kernel programming and worked on the SYS V process scheduler used for Digital Telephone switches (5ESS). While working at AT&T I designed a globally distributed database system before people knew what they were. Utilizing such golden oldies as uucp and rje. In the early and mid nineties I was the lead programmer and designer on a Point Of Sale system that did real time cell phone activations for Sprint. The first anywhere in the US. It was solely build on and with OSS software. Most of my career has been spend in applications development, data manipulation and database design and development. For the last 7 or so years I have mainly worked as an Architect for large (and small) cellular telephone companies. Virtually all of the work I have been doing has been in or with UNIX, Linux and OSS related areas. Favorite languages remain C/C++ and favorite editor is still Emacs :). My recent work at Microsoft included leading the Microsoft team behind PHP 5.3, and my latest major project has me going back to my roots again. Going forward I will be Microsoft’s Principal Software Development Engineer for the Linux Integration components Microsoft contributed to the Linux kernel in July 2009.
Weitere Hintergrundinformationen zu Hank finden sich auch auf:
Wer bisher mehr über die Beweggründe zu den Linux Kernel Device Treibern von Microsoft, aber auch über die technischen Hintergründe, wissen wollte musste sich mit den Informationen aus den beiden Blog Posts More on the Hyper-V Linux Integration Components und Introduction to the Linux Integration Components zufrieden geben.
Jetzt gibt es aber auch die tolle Möglichkeit Hank persönlich zu treffen. Und zwar in Wien.
Genauer: Montag, 14. September, Microsoft Innovation Center in 1120 Wien
Mit Hank Janssen ist einer der führenden Microsoft Open Source Experten zu Gast in Wien, und wird einen Überblick über die aktuellen Microsoft Aktivitäten zum Thema Open Source bieten. Nach der Präsentation steht der Technik-Experte dann auch zu einer ausführlichen Diskussionsrunde zur Verfügung.
Der Anmeldeprozess ist simpel: Einfach per E-Mail Bescheid geben.
Also dann: Bis zum 14. September!
Am Wochenende war wieder DEFCON Zeit. Auf der Hackerkonferenz DEFCON 17 in Las Vegas, haben sich IT-Sicherheitsexperten aus aller Welt zusammengefunden, um sich gegenseitig Ihre Erkenntnisse zu präsentieren.
Zu hören und sehen waren Vorträge wie:
Ein interessantes Detail lieferte der Vortrag The Day of the Updates der beiden Sicherheitsspezialisten Itzik Kotler and Tomer Bitton. Beide arbeiten für die israelische Sicherheitsfirma radware.
In ihrem Vortrag ging es darum, wie man einem Benutzer möglichst unbemerkt Schadsoftware unterjubeln kann. Kotler und Bitton verwenden dazu die, in Programmen wie z.B. Skype, gebräuchliche Funktion der automatischen Aktualisierungen.
Praktischerweise haben Kotler und sein Kollege Tomer Bitton auch gleich ein Werkzeug namens Ippon geschrieben. Im Judo bedeutet Ippon immer den sofortigen Sieg für den Judoka und ist damit die höchste mögliche Wertung. Mit Ippon hat man eine schöne dreidimensionale Ansicht von potentiellen Opfern, die man dann auch gleich attackieren kann.
Welches die ca. 100 angreifbaren Anwendungen wirklich sind, wollte Kotler nicht nennen. Es wären aber ganz alltägliche Anwendungen wie CD-Brenner, Video Abspielsoftware, und andere gebäuchliche Programme.
Einzig Microsoft Anwendungen sind immun gegen diese Art von Angriff.
Der Grund? Microsoft versieht Software Aktualisierungen mit einer digitalen Signatur. Kotler: "If [an application developer] distributes a public key and signs every binary with their own private key, it's safe from the attack.”
Kotler empfiehlt daher anderen Softwarefirmen es dem Vorbild Microsoft gleichzumachen. Alle, die automatische Aktualisierungen einsetzen, sollen diese so wie Microsoft digital signieren.
Soll man daher, außer bei Microsoft, auf die automatischen Aktualisierungen verzichten?
Klarerweise nicht. Es zeigt nur einmal mehr auf, dass man öffentlichen Netzwerken, und insbesondere Funknetzwerken nur bedingt trauen kann. Kotler meint dazu: "Wenn man eine öffentliche infrastruktur wie WLANs verwendet, muss man davon ausgehen, dass diese Infrastruktur auch angegriffen werden kann.”
Aktualisierungen sollte man daher nach Möglichkeit nur in vertrauenswürdigen Netzen, wie zum Beispiel in der Firma, oder im gut abgesicherten Heimnetzwerk, durchführen. Zumindest solange, als auch die anderen Softwareanbieter nachziehen, und so wie Microsoft Software Aktualisierungen mit einer digitalen Signatur versehen .
Siehe dazu auch:
