OnlineXpert

OS X und Windows über Webbrowser Safari bzw. Flash geknackt

Sicherheitsexperte Miller beim OS-X-Angriff (Foto: tippingpoint.com)

Vancouver (pte/31.03.2008/13:54) - Im Rahmen des Hackerwettbewerbs “Pwn to Own” sind mit Mac OS X und Windows ausgestattete Geräte durch Lücken in Safari respektive Flash kompromittiert worden. Nur das Open-Source-System Linux konnte den Experten-Attacken erfolgreich standhalten. Bei dem vom Sicherheitsunternehmen TippingPoint http://www.tippingpoint.com gesponserten Ereignis bei der Sicherheitskonferenz CanSecWest http://cansecwest.com Ende der Vorwoche konnten Experten Laptops gewinnen, wenn sie sich via Zero-Day-Exploits Zugriff auf Dateien im System verschafften. “Ein interessanter Wettbewerb, denn nicht jeder hat die Fähigkeiten, Zero Days zu finden”, urteilt Mikko Hyppönen, Security-Spezialist bei F-Secure http://www.f-secure.com , gegenüber pressetext. Mit OS X Leopard 10.5.2 auf einem MacBook Air, Vista Ultimate SP1 auf einem Fujitsu-Gerät und Ubuntu Linux 7.10 auf einem Sony-Notebook waren die drei großen Betriebssystem-Namen als Angriffsziele am Start.

Die drei Zielsysteme waren auf den jeweils aktuellsten Stand gepatcht. Am ersten Tag des Wettbewerbs war den Teilnehmern nur der Angriff über das Netzwerk auf das Betriebssystem an sich möglich. Dabei gab es ein für die Betriebssystem-Hersteller durchaus erfreuliches Ergebnis, denn hier gab es zunächst keinen erfolgreichen Hack-Versuch. “Das ist eine deutlich bessere Situation, als es vor zwei Jahren der Fall gewesen wäre”, meint Hyppönen. In weiterer Folge wurden die Angriffsvektoren jedoch ausgeweitet. Am zweiten Wettbewerbstag wurden auch Angriffe zugelassen, die Standardanwendungen betreffen und Nutzerinteraktion erfordern. Dazu zählen etwa Methoden, die Lücken in E-Mail- oder Browser-Software nutzen. Für den letzten Tag des Wettbewerbs wurden die Regeln noch weiter aufgelockert, Angriffe konnten auch über nach Ansicht der Jury populäre Anwendungen von Drittanbietern durchgeführt werden.

Der Browser wurde OS X am zweiten Tag zum Verhängnis. Ein Team von Independent Security Evaluators (ISE) http://securityevaluators.com rund um Charlie Miller konnte durch eine Lücke in Apples Browser Safari das MacBook Air und 10.000 Dollar gewinnen. Der Sicherheitsexperte gab an, sein Team habe sich für Leopard als nach ihrer Einschätzung leichtestes Angriffsziel entschieden. Apple und Safari waren schon einmal in die Schusslinie von ISE geraten, als die Sicherheitsexperten im Juli 2007 die Entdeckung der ersten Sicherheitslücke für das iPhone verkündeten. Am dritten Tag konnte ein Team rund um Shane Macaulay vom Sicherheitsberatungs- und Softwareentwicklungsunternehmen Security Objectives http://security-objectives.com eine Lücke in Adobes Flash für einen erfolgreichen Angriff auf Windows nutzen, der dem Team zusätzlich zum Fujitsu-Laptop 5.000 Dollar einbrachte. Linux wurde bei dem Spezialisten-Wettbewerb nicht erfolgreich geknackt, was nach Hyppönens Ansicht durchaus als Zeichen für eine insgesamt bessere Sicherheit des Betriebssystems zu werten ist. “Es gibt noch einiges zu tun”, meint Hyppönen allerdings angesichts der beiden erfolgreichen Angriffe.

Genauere Informationen über die beiden Lücken wurden zunächst nicht allgemein veröffentlicht, sondern TippingPoints Zero Day Initiative http://zdi.tippingpoint.com übergeben. Diese leitet Details zunächst an Apple respektive Adobe weiter. Die beim Wettbewerb erfolgreichen Sicherheitsexperten haben sich verpflichtet, erst dann der Öffentlichkeit genaueres über die Schwachstellen bekannt zu geben, wenn die Anbieter entsprechende Patches fertiggestellt haben. (Ende)

Aussender: pressetext.deutschland Redakteur:

Thomas Pichler email: pichler@pressetext.com Tel. +43-1-81140-303

System mit Gewerkschaften und Verbänden abgestimmt

Busto Arsizio (pte/31.03.2008/13:50) - Die im März 2005 gegründete Imin Holding Srl http://www.imin.it mit Sitz im Polo Scientifico Tecnologico Lombardo hat ein neues Informationssystem für Handys vorgestellt, das Benzinkosten-Sparen hilft. Damit kann der Nutzer per SMS in Sekundenschnelle die nächst gelegene Tankstelle mit den niedrigsten Benzinpreisen ermitteln. Das als “Clic&Clic Fuel” bekannte Verfahren ist mit den führenden Handelsverbänden und Gewerkschaften des Landes abgestimmt worden. Ihre Vorteile kommen auch bei anderen Alltagsanwendungen wie der Suche nach einem preiswerten Restaurant oder Hotel in größtmöglicher Nähe zum Zuge. Firmengründer und Hauptgeschäftsführer Gaetano Rizzi erklärte: “Grundlage ist unser Immediate Advisor Data Information (IADI), das wir mit den Mobilfunkbetreibern Wind , Tim, Tre und Vodafone entwickelt haben. An das System sind inzwischen 22.000 Tankstellen und 250.000 Restaurants als Teilnehmer angeschlossen. Deren Produktpreise sind in unserem Archiv gespeichert und werden ständig aktualisiert. Dafür wird eine Jahresgebühr von 150 Euro erhoben.” IADI wird über eine einheitliche Servicenummer angesteuert und mit einem kurzen SMS-Text aktiviert. Ein Anruf kostet den Nutzer zwischen 16 und 23 Cents. Von den Einnahmen werden 70 Prozent an die Mobilfunkbetreiber und 30 Prozent an die Imin abgeführt. Gaetano Rizzi hat eine ganz klare Zielvorgabe: Der ehemalige Flugzeugkommandant der italienischen Luftwaffe will auf 150.000 Kontakte am Tag kommen. Ein weiteres Ziel ist bereits in greifbare Nähe gerückt. Gegenstand ist die Vielzahl von öffentlichen Museen, architektonischen und anderen künstlerischen Sehenswürdigkeiten, die das geschichtsträchtige Mittelmeerland zu bieten hat. “Künftig sollen Besucher via SMS wichtige Angaben wie geografischen Position, Öffnungszeiten und Eintrittspreise in Realzeit erfragen können,” meint der 46-jährige Manager. Das zusammen mit dem Informatikingenieur Enze De Feo aus Pisa und dessen Mailänder Startup-Firma Webspot entwickelte System ist vor kurzem als Patent angemeldet worden. (Ende)

Aussender: pressetext.austria Redakteur:

Harald Jung email: redaktion@pressetext.com Tel. +43-1-81140-300

Features umfassen eine Bildergallerie-Funktion und mehr Sicherheit

Statistik-Widget für WordPress (Foto: wordpress.org)

Redwood City (pte/31.03.2008/11:55) - Am Wochenende haben die Entwickler der Blogging-Software WordPress http://wordpress.org die stark veränderte Version 2.5 offiziell veröffentlicht, die viele Neuerungen im Bereich Nutzerfreundlichkeit bietet. Das Dashboard von WordPress nutzt jetzt eine Reihe von anpassbaren Widgets. Inhalte können durch Multi-Datei-Uploads leichter online gestellt werden, für Bilder ist eine Gallerie-Funktion integriert worden. Auch für Entwickler gibt es Neuerungen, etwa im Bereich Sicherheit und durch eine “Shortcode API”, die Code-Kürzel für komplexe Funktionen ermöglicht. Das neue Dashboard mit seinen Widgets präsentiert sich insgesamt übersichtlicher und ist für Nutzer auch leicht anzupassen. Dabei können Plug-ins wie etwa eine extrabreite Statistik-Box eingebaut werden. Das Update von Plug-ins wurde grundsätzlich erleichtert, ist jedoch vom Host abhängig. Die Bearbeitung eines Blogs vereinfachen Optionen wie der gleichzeitige Upload mehrerer Dateien, eine eingebaute Gallerie-Funktion für Bilder sowie ein WYSIWYG-Interface, dass eigenen Code der Blogger nicht mehr wie bisher durcheinander bringen soll. Für Multi-Autoren-Blogs gibt es eine Schutzfunktion, um ein gegenseitiges Überschreiben durch die gleichzeitige Bearbeitung von Einträgen zu verhindern. Wer WordPress als CMS verwendet, darf sich über eine erweiterte Suchfunktion freuen. Auf der Entwicklerseite hat sich ebenfalls einiges getan, unter anderem im Bereich der Sicherheit. Durch Nutzung der Library phpass sowie ein Plug-in, das HD5-Hash-Kryptographie ermöglicht, wird die Sicherheit im Bereich der Passwörter verbessert, außerdem werden Cookies ab sofort verschlüsselt. Die Shortcode API erlaubt es, komplexe Funktionen mit umfangreichem Code in Blog-Posts über eine kurze Makro-Zeichenfolge aufzurufen. Ein Beispiel für einen solchen Shortcode ist die neu implementierte Gallerie-Funktion. Eine Datenbank-Optimierung verspricht eine etwas höhere Geschwindigkeit. Die Open-Source-Software WordPress 2.5 steht auf der Website http://wordpress.org in englischer Sprache zum Download zur Verfügung. Eine deutsche Version gibt es unter http://de.wordpress.org . Die Software kann mit jedem Webhost genutzt werden, der die Nutzung von PHP 4.3 oder höher und MySQL 4.0 oder höher erlaubt. Alternativ dazu haben Anwender die Möglichkeit, kostenlos einen Blog auf http://wordpress.com zu erstellen. Auf der Blog-Hosting-Seite zu WordPress sind derzeit fast 2,8 Mio. Blogs zu finden. (Ende)

Aussender: pressetext.austria Redakteur:

Thomas Pichler email: pichler@pressetext.com Tel. +43-1-81140-303

Andockmanöver für Donnerstag geplant

Die Jules Verne soll am Donnerstag an die ISS andocken (Foto: ESA TV)

Toulouse (pte/31.03.2008/06:20) - Der bislang größte und fortschrittlichste Weltraumtransporter der European Space Agency (ESA), der 19 Tonnen schwerer Frachter Jules Verne, hat sich während der Praxistests vor dem Andockmanöver an die International Space Station bereits auf einen Abstand von 3.500 Metern an die Station genähert. Bei einem letzten Test, heute, Montag, soll sich der Transporter zu einer nur zwölf Meter von der ISS entfernten Position begeben. Danach soll allerdings wieder ein ausreichender Sicherheitsabstand eingenommen werden.

Sollte auch dieser Test die Wissenschaftler zufriedenstellen, wird das automatische Andockmanöver am Donnerstag durchgeführt. Die Jules Verne hat etwa fünf Tonnen an Betriebsmitteln für die ISS an Bord. Der Frachter wurde entwickelt um unabhängig von menschlicher Kontrolle operieren zu können. Die Jules Verne kann selbstständig zu der Plattform fliegen und automatisch andocken. Das Bodenpersonal in Toulouse muss dem Raumtransporter an bestimmten Kontrollpunkten die Erlaubnis geben fortzufahren, greift allerdings nur ein, wenn Probleme auftreten.

Das Andockmanöver am Donnerstag soll um 11 Uhr 44 GMT starten. Der Kontakt mit der ISS soll um 14.41 stattfinden. Dabei wird sich die Jules Verne relativ zur Station mit lediglich sieben Zentimetern pro Sekunde fortbewegen. Tatsächlich rasen beide Objekte allerdings mit einer Geschwindigkeit von 27.000 Kilometern pro Stunde über die Oberfläche der Erde. Sobald die ISS-Besatzung den Erfolg des Manövers überprüft hat, wird der Nachschub entladen. Die Crew wird die Jules Verne anschließend als eine Art Lagerraum nutzen. (Ende)

Aussender: pressetext.austria Redakteur:

Georg Eckelsberger email: eckelsberger@pressetext.com Tel. +43-1-81140-316

Kompetenzzentrum für High Performance Computing eröffnet in Wien

IBM-Hardware rechnet für die Forschung (Foto: IBM)

Wien (pte/29.03.2008/13:45) - Mit einem Kompetenzzentrum für High Performance Computing (HPC) will das Unternehmen EDV Design http://www.edv-design.at eine IT-Plattform schaffen, die auf die Bedürfnisse von Universitäten und Hochschulen zugeschnitten ist. Realisiert wird die Einrichtung in Kooperation mit dem Institut für Scientific Computing (ISC) an der Universität Wien http://www.par.univie.ac.at . Die HPC-Plattform soll Forschern dienen, um einerseits wissenschaftliche Berechnungen durchführen zu können, aber auch, um Systeme auf modernsten IT-Architekturen zu testen sowie zu verbessern”, erläutert Martin Vlcsek, Projektverantwortlicher bei EDV Design, im Gespräch mit pressetext.

Besonders rechenintensive Arbeiten, wie sie etwa bei Simulationen gang und gäbe sind, waren bislang nur großen Instituten zugänglich. “Die finanziellen Investitionen, die hierfür nötig sind, können sich viele wissenschaftliche Institute nicht leisten”, so Vlcsek. Natürlich ist es aber nicht immer nötig Supercomputer einzusetzen. Hier setzt das Kompetenzzentrum an, indem man die nötigen Voraussetzungen für Forscher schafft, um Tests oder Benchmarks auf modernster Hard- und Software durchführen zu können. Andererseits soll die Blade-Center-Installation wissenschaftlichen Mitarbeitern eines Instituts ebenfalls helfen, die optimale Hardware für die Forschung am eigenen Standort zu finden, erklärt Vlcsek.

Die Hardwarebasis der HPC-Plattform bildet ein Blade Center aus dem Hause IBM. “Zum ersten Mal kommt hierbei auch der Cell-Chip zum Einsatz”, berichte Vlcsek. Die Cell-Engine rundet das Hardware-Angebot (Intel, AMD sowie der Power6-Chip von IBM) ab. Die Cell Broadband Engine ist vor allem durch ihre Integration in die Playstation 3 bekannt. So nutzen Forscher bereits jetzt die Spielekonsole, um aufwendige Rechenoperationen ausführen zu können. Jedoch verberge sich deutlich mehr Leistung in dem Prozessor, als er in der Konsole entfalten kann, meint Vlcsek, daher sei der Chip auch in der wissenschaftlichen HPC-Plattform integriert.

“Wir sind davon überzeugt, dass der Einsatz von höchster Technologie die Qualität der heimischen Universitäten und Hochschulen weiter verbessern wird”, sagt Dietrich Rössner, Direktor Öffentliche Bereiche IBM Österreich über das Angebot für die universitäre Forschung. Finanziert wird das Kompetenzzentrum von EDV Design, worüber Vlcsek jedoch keine genauen Angaben machen wollte. Die Geldmittel für die Administration sollen in jedem Fall durch Projekte aufgetrieben werden, die sich im Laufe des Betriebes ergeben werden, erläutert Vlcsek. Die offizielle Eröffnung des Kompetenzzentrums, das am ISC untergebracht sein wird, findet kommenden Montag, den 31. März, statt. (Ende)

Aussender: pressetext.austria Redakteur:

Andreas List email: list@pressetext.com Tel. +43-1-81140-313