Windows Update: Wie zerstöre ich meine Infrastruktur?

"Windows Update" Suchvorschläge.

Ich denke, diese Suchvorschläge für „Windows Update“ sind selbstredend.

Wer meinen Eintrag über trusted computing gelesen hat, wird mit Sicherheit auch diesen Beitrag über einige seltsame Windows Updates mögen, vor allem wenn man bedenkt, dass Microsoft über den TPM-Chip für unsere Sicherheit sorgen darf 😛 .
Ich beziehe mich im folgenden auf heise Security Artikel um eine gewisse Linearität beizubehalten.

Aber hier nun die Story, die sich fast schon wie ein Tagebuch ließt, vertraut mir: Es lohnt sich!

… wir schreiben den 12.11.2014 – Patchday:

(zum heise-Artikel)
Es wurden hierbei Sicherheitslücken in der SChannel (Krypto-Infrastruktur mit SSL und TLS Paketen) vorgenommen (MS14-066 – Rating: Critical). Die Lücke bestand darin, dass über spezielle Pakete Schadware auf Server 2003 SP2 bis 2012 R2 aufgespielt werden konnte.
Desktop Rechner können über präparierte Websites geschädigt werden.

17.11.2014 – Hinweis auf SChannel-Lücke:

(zum heise-Artikel)
Hier wird nochmals auf den Patch vom 12.11. hingewiesen. Wer diesen nicht installiert, der „läuft Gefahr, dass die grundlegende Krypto-Infrastruktur des Systems als Waffe gegen den eigenen Rechner eingesetzt wird“, so heise Security. Hier wird auch ein Grund für das Versagen der Sicherheitsmechanismen genannt: Bei der Überprüfung der Echtheit von Elliptischen Kurven, kommt es zum Absturz und ermöglicht so das eindringen ins System.

Und jetzt geht’s los:

(mehr …)

Trusted Computing: Wie vertrauenswürdig ist es?

Trusted Computing in Hardware-Chip

Trusted Computing in Hardware gegossen: So kann ein TPM aussehen. Quelle: http://upload.wikimedia.org/wikipedia/commons/6/64/TPM_Asus.jpg

Was ist trusted computing?

Trusted computing ist ein Konzept, bei dem der Benutzer eines Computers die Kontrolle über Teile seines Systems an Dritte (z.B. den Hersteller) abgibt. Dies soll dafür sorgen, dass die Sicherheit des Systems erhöht wird, da Manipulationen an der Soft- und Hardware schneller erkannt werden kann. Dies bedeutet aber, dass eben dieser Dritte Zugriff auf diverse Informationen des Computers hat und genau da liegt der Haken, wie man sich sicher Vorstellen kann.

Des weiteren bietet das Konzept Mechanismen für Verschlüsselung, Signierung, Zertifizierung, einen Zufallsgenerator und viele weitere Funktionen.

Verwendet wird zur Realisierung wird dabei ein Chip (TPM – Trusted Platform Module), der auf dem Mainboard sitzt und über diesen kann dann dieser Dritte überprüfen ob der Rechner z.B. von Viren oder ähnlichem infiziert ist. Dies kann er, da vom Betriebssystem überprüft werden kann ob Software verändert wurde. Auch ist es möglich zu überprüfen ob Software aktuell ist und auch ob man die Lizenz der Software besitzt. Wenn der Dritte Software z.B. für nicht sicher hält oder bemerkt, dass man eine illegale Kopie der Software (z.B. geschützte Musik oder auch cracks kommerzieller Software) besitzt, so kann er die Installation oder das verwenden verhindern.

Mooooment mal

… Ähhhh Mooooment mal (mehr …)

curi0sity – Ein Blog über IT Sicherheit und Kuriositäten aus der Informatik

Herzlich willkommen…

…auf dem Blog curi0sity (aus engl. ‚curiosity‚ – Neugier, Kuriosität), der über brisante Themen im Bereich IT Sicherheit, und Informatik allgemein, berichtet. Dazu gehören Beiträge, die zum Nachdenken anregen sollen, Beiträge, die lustig sind und auch Beiträge, die einem eventuell den Schlaf rauben können. Diese werden mit (möglichst) aktuellen Informationen auseinander genommen, erklärt und ggf. auch von mir kommentiert und auch mit Vor- und Nachteilen diskutiert.

IT Sicherheit ich nicht nur wichtig … und manchmal auch unterhaltsam:

Wir leben in einer schnellen und sehr interessanten Zeit. IT (und folglich auch IT Sicherheit und alles was damit zu tun hat) bestimmt mittlerweile vollkommen unser Leben und wir sind in vielen Bereichen davon abhängig (ob das gut oder schlecht ist, sei dahingestellt). Sicher ist allerdings, dass dieser Bereich eine große Verantwortung mit sich bringt und auch, dass Staaten und Institutionen sich um die Einhaltung bestimmter Regeln halten sollen und müssen. Genau über diese Regeln wird oft und viel diskutiert und manchmal sind verschiedene Parteien nicht immer einer Meinung (um es vorsichtig auszudrücken).

Oftmals sind dies sinnvolle Gesetze, die das Wachstum der IT Welt in geordneten Strukturen halten sollen, doch manchmal bemerkt man einige … Unstimmigkeiten, die bei mir, und vielen anderen Menschen auch, zu unterschiedlichen emotionalen Ausbrüchen führten. Diese reichten von Lachkrämpfen über belustigtes Kopfschütteln bis hin zu Angstzuständen und Albträumen. Da es von Artikeln, Taten, Gesetzen, etc. genügend gibt, wird es an Lesestoff definitiv nicht mangeln. Informatik, und speziell IT Sicherheit, ist ein riesiges Feld in dem es viel zu entdecken gibt … es ist ja schließlich Neuland.

Was Sie zu befürch… erwarten haben:

In den nächsten Tagen, Wochen und hoffentlich Jahren versuche ich hier möglichst interessante Themen aufzuarbeiten und über das zu berichten, was mich in diesem Themengebiet beschäftigt. Da ich selbst Informatik studiere beschäftige ich mich (zwangsweise 😉 ) mit diesem Thema und beobachte interessiert Geschehnisse, die mich und die ganze Welt direkt betreffen. Dabei versuche ich einen neutralen Ton zu halten, werde aber meistens ein Statement am Ende der Artikel mit einbringen.

 

mit freundlichen Grüßen,

Hauke S.