Seitics.de Weblog

Nachdem die Systems Messe in München ins Gras gebissen hat, hat der SecuMedia Verlag sich der Sicherheitsthematik angenommen und richtet nun 2009 in Nürnberg (yay!) eine spezielle Messe für Sicherheitsthemen aus (nochmach yay!).

Da die Messe bei uns quasi ums Eck liegt, wird das eine gute Gelegenheit, um die neuesten Sicherheitsplacebos zu besichtigen und bei den Umsatzmarktführern gewisser Themen ein wenig Fremdmusteranalyse zu betreiben. Wer ausstellen könnte, zeigt der Plan der Sonderfläche der Systems 2008.

Alle zwei Wochen trifft im Büro die neue Bildzeitung ein. Der Titelredakteur bringt auf dem Cover der Ausgabe 2/2009 sehr phantasievoll "Gegen die Virenflut" als Aufmacher mit "Scanner, Verhaltenswächter, neue Konzepte" im Untertitel. Da wir in der Firma nicht nur professionell sondern auch konzeptionell gegen Schädlinge vorgehen, war ich sehr gespannt was sie berichten.

Um es kurz zu machen: FAIL. Sie testeten ein paar Antivirus Programme Nachzügler und oh Wunder, die zweite Reihe bei den Antivirus Programmen ist schlechter als die erste. Ein paar Seiten später findet sich im Artikel "Immer sauber bleiben" ein allgemeiner Abklatsch zum Thema "Wie verhindere ich die gröbsten Böcke auf meinem Windows System". Erwartet hatte ich ein revolutionäres Konzept gegen Malware. Bekommen habe ich lauwarme Kokolores von gestern.

Am Ende musste ich dennoch lachen, denn bei der Abwehr von Malware auf Clients und am Übergabepunkt von Netzen ist das letzte Wort noch lange nicht gesprochen. Das Feld bietet derart viele Innovationsmöglichkeiten für Sicherheit "Made in Germany", dass ich nachts wenn Tom nicht zuhört schon heimlich von einem 5-Mann Team aus willigen Studis und Azubis träume, die ein paar Ideen auf unsere FWX Platform bringen. Codename: "X86Tree".

Die Benutzer von Microsoft Monokulturen kämpfen ab und zu mit wirklich schlimmen Sicherheitslücken. Wir erinnern uns an die zwei RPC Löcher, mit denen man alte wie neue Windows Varianten per Shellcode übernehmen konnte. Adobe Acrobat Reader ist alle paar Monate für eine haarsträubende Lücke gut, Adobe Flash Player antizyklisch ebenso. Seit kurzem reiht sich auch Internet Explorer 7 wieder in diese Serie ein, mit einer wirklich schlimmen Lücke. Microsoft bietet derzeit zwar Workarounds an, aber von einem Patch fehlt immer noch jede Spur und das, obwohl die Lücke seit mindestens Oktober bekannt ist und auch von kommerziellen Interessen getriebenen Subjekten bereits fleissig ausgenützt wird.

Da es auch den Firefox Browser mit schöner Regelmässigkeit trifft, sind effektive Gegenmassnahmen gefragt, die auch bei Lücken in einer Komponente nicht sofort zur Kompromitierung des eigenen Computers führen. Da ich beruflich nicht um Windows herumkomme, habe ich auf dem Notebook von der Arbeit folgende Firefox 3.0.x-kompatible Plugins installiert um einigermassen sicher durchs Netz surfen zu können:

Die einzelnen Addons haben folgende Aufgaben:

• Adblock Plus: Werbung entfernen, insbesondere diese nervigen CSS Layer Ads
• BetterPrivacy: Verhindert das Anlegen von Flash Cookies (der neueste Schrei)
• Cookie Monster: Verhindert, dass Datenkraken wie Google Inc. es schaffen, einen über viele Jahre lückenlos zu verfolgen
• NoScript: Das wichtigste Instrument in dieser Reihe verhindert die Ausführung von aktiven Inhalten (meist ist dies Javascript und Flash)
• Download Statusbar, Firebug, YSlow und Live HTTP Headers dienen nicht der Sicherheit sondern sind zu Analyse- und Entwicklungszwecken installiert und können deswegen weggelassen werden

Der Sicherheitsgewinn ist hiermit famos und man sitzt nicht jedes Mal gleich in der ersten Reihe wenn im Flash Player eine Lücke ausgenutzt wird, die man über Google Adwords IFRAMES oder sonst irgendwie in den Browser geschleust bekommt.

Kaum schaut man mal nicht drauf, legen mir die Kiddies diesen armen Low Power 5 Watt Eimer platt. Bei Renderzeiten um die 2 Sekunden pro Page Impression ist das auch nicht weiter schwer, zumindest weiss ich jetzt, dass die FreeBSD out-of-memory Funktionalität ganz passabel funktioniert. Die CGI Prozesse wurden bei den vielen Anfragen pro Sekunde erst beständig mehr, aber nach ungefähr 2/3 Swapbelegung hat der Kern dann einfach den Übeltäter (den Webserver Prozess) abgeschossen. Nicht schlecht.

Aber so kann man das natürlich nicht belassen, daher habe ich von CGI auf FastCGI umgestellt, was verhindert, dass mir jemand mittels DoS-Attacke die Box allzuleicht abwürgen kann. Zusätzlich ist mittels mod_evasive nun eine Bremse installiert, die bei zuvielen gleichzeitigen HTTP Verbindungen einen Fehlercode "503 Service Unavailable" abliefert, statt noch mehr Anfragen in das CGI zu pumpen.

Ihr werdet jetzt sicher denken "WTF! Deine Maschine ist ja noch lahmer als Fefes Gurken Celeron" und dem kann ich nicht widersprechen. Ausserdem habe ich kein LDAP, weil ich lieber in einen WYSIWYG Editor eintipper als Posts über phpldapadmin ins LDAP zu blasen. Insofern wird sich an den Renderzeiten so schnell nichts ändern, ausser ich bekomme den Cache Modus einwandfrei zum laufen. Und überhaupt, irgendwo fünf BladeCenter mit dicken NetApp Filern und Loadbalancer Cluster Krempel in ein RZ zu klatschen kann ja wohl jeder.