Microsoft und der 25C3

Wie jedes Jahr – seit mittlerweile 25 Jahren – veranstaltet der Chaos Computer Club auch dieses Jahr wieder zwischen Weihnachten und Neujahr den Chaos Communication Congress (kurz einfach nur „der Kongress“). Und wie jedes jahr handelt es sich dabei um eine Veranstaltung voller Wows, LOLs, OMGs und WTFs.

Für mich ist der Kongress wie schon letztes Jahr auch dieses mal eine totale Mind Expansion. Es wird einem eine andere Sicht auf die Dinge vermittelt, neue Ansätze werden klar und der Geist dringt auf bisher noch unbekannte Gebiete vor – wenn auch nur auf dem Gebiet der IT.

So hat FX dieses Jahr einen Vortrag darüber gehalten, wie man stabile Angriffe auf ein Betriebssystem kriegen kann, von dem hunderte verschiedene Versionen mit jeweils eigenen Memorylayouts existieren und das auf einem System was Datenspeicher und Codespeicher trennt. Der grundsätzliche Ansatz dabei war Code anzuspringen, der schon existiert und von dem die Adresse bekannt ist – nämlich Teile des BIOS. Die Einzelheiten dabei waren für mich einfach nur erstaunlich und der Vortrag ist ein typisches Beispiel für die „Wow!-Kategorie“.

Ein typischer „LOL und OMG“-Vortrag waren die FnordNews von Fefe und Frank Rieger. Das war im Prinzip eine Zusammenfassung von Fefes Blog über das Jahr durchzogen mit vielen Lachern aber grundsätzlich blieb die Frage „Oh Mein Gott – in was für einer Welt leben wir.“. Diese Frage hat sich auch bei anderen Vorträgen gestellt wie beispielsweise den Datenpannen.

Ein Vortrag der gestern gehalten wurde war für mich allerdings sehr interessant. Dabei handelt es sich um einen Votrag von einem Security-Guy von Microsoft. Ja Microsoft hat tatsächlich jemanden auf einen Kongress des CCC geschickt. Respekt dafür – denn das undifferenzierte Bashing von Produkten war auf dem Kongress schon sehr verbreitet (Ich bin davon auch nicht frei!).

In dem Vortrag ging es darum wie Sicherheitslücken in MS-Office genutzt werden können um mittels Office-Dokumenten Code einzuschmuggeln. Und der Tenor dabei war so „We screwed up big time in Office Pre-2007“. Man kann Microsoft durchaus zu Gute halten, dass sie seitdem sehr viel für Sicherheit getan haben. So ist ihr gesamtes OS und ihre großen Produkte sind mit Stack-Canaries compiliert worden. Dennoch scheint es davor sehr schlimm gewesen zu sein. Mir schwirrt noch immer etwas im Kopf herum, was Bruce Dang (so hieß der Vortragende) gesagt hat als er zu den Tipps kam wie man die Probleme umgehen kann und empfohlen hat von Office 2003 auf Office 2007 zu upgraden. Er sagte dabei im Bezug auf Office 2003 (nicht wörtlich)

We did things like taking a value from the file and adding it to the program counter without checking it.

Das gehört für mich definitiv in die Kategorie „WTF?!“ und sorgt auch heute noch dafür dass viele Leute Windows und MS-Produkte für unsicher halten. Viele Leute bleiben eben bei ihrem Office 2003, denn warum sollen sie sich Office 2007 kaufen wenn ihr altes Produkt doch genauso funktioniert? Mit diesen Altlasten wird Microsoft wohl noch eine ganze Weile zu kämpfen haben.

Advertisements

Über kenny1987

Hallo Leute, ich bin kenny. Ich studiere momentan Informatik und werde über alles interessante was mir so über den Weg läuft bloggen. Seien es irgendwelche News oder aktuelle Entwicklungen von meinen Anwendungen. Viel Spaß :)
Dieser Beitrag wurde unter Events abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s