ActiveX - Konzeptionelle Sicherheitslücke
Die Story ist schnell erzählt. Frau Ehles (Vorname unbekannt) vom MDR, Sendung PlusMinus, fragte uns, ob es möglich wäre pressewirksam Geld zu "klauen". Nach der Idee mit ActiveX zu arbeiten war das schnell geschafft.

Chronologie

27.12.1996
CCC'96 abends... "Top, die Wette gilt."

08.01.1997
Steffen liest die Dokumentation und hat 4h später das erste Applet fertig. Unerwartete Probleme, da "SendKeys" nur Tasten an offen auf dem Bildschirm stehende Applikationen sendet, was natürlich dem illegalen Tun widerspricht.

15.01.1997
Bestätigung der Testkonten durch die Deutsche Bank AG Gera/Leipzig.

17.01.1997
Rückzug der Testkonten durch die Deutsche Bank AG FFM. Chaos durch Mißverständnisse, die Softwareentwicklung der Deutschen Bank AG glaubt, Banksoftware von Microsoft sei gehackt...

18.01.1997 und 19.01.1997
Drehtage des MDR.

20.01.1997
Microsoft Deutschland bekommt kalte Füße, weil die Deutsche Bank FFM ihr erzählt hat, MS Money sei gehackt. Wir erklären: "Nein, es ist ActiveX, mit dem wir Quicken fernsteuern." MS: "Dann bin ich beruhigt."

Die iX kauft einen Artikel als Katze im Sack.

27.01.1997
Pressemitteilungen von /EMP, CCC, Heise, MDR und dpa erscheinen.

MDR Sputnik bingt am Nachmittag ein Telefoninterview.

Die Computerbild will Bildschirmfotos.

28.01.1997
Die Sendung läuft. Der MDR gibt eine Zusammenfassung bekannt. Ab diesem Zeitpunkt laufen eMails und sMails ein. Der CCC übernimmt dankenswerterweise das Sorgentelefon.

29.01.1997
Ein Artikel im Tagesspiegel erscheint.

Der Spiegel ruft an. Beitrag für das Rosenmontagsheft vereinbart. Der iX Artikel geht raus und ist ab Erscheinen GPL.

31.01.1997
Kristian Köhntopp gibt auf der NT Security Mailingliste eine Warnung heraus.

Pressemitteilung im Newswire.

01.02.1997
Der Spiegelredakteur Jürgen Scriba kommt zu Fotos und zur Fragestunde. Jürgen ist ein sehr fachkundiger Gesprächspartner.

Die ActiveX Parternseiten von Microsoft scheinen verschwunden, ein für diese Seiten typisches Bild haben wir gespiegelt

03.02.1997
Stellungnahme der Brokat GmbH, die Java Bankingsysteme herstellen.

06.02.1997
Artikel in der PC Week. Beschwerde über Falschaussage von Cornelius Willis.

07.02.1997
Die "DOS International, das PC Magazin" fordert einen Titelbeitrag für das kommende Heft. Die "Basic Pro" einen zur 'vorausschauenden Arbeit von Entwicklern' nach dem Motto: "Was ist, wenn ActiveX vom Kunden explizit nicht erwünscht ist?"

Pressemitteilung Daily Planet, C|NET und Wired.

08.02.1997
Der Spiegelartikel erscheint.

Pressemitteilung der BBN.

09.02.1997
Ein Posting in comp.lang.java.advocacy zitiert einen Artikel von John Gilles.

10.02.1997
Intuits offizielle Antwort

Radiointerview im BR2.

Interview durch Tim Stammers vom UK Blatt 'Computing'.

11.02.1997
DOS Artikel abgeliefert, incl. Interview mit Thomas Baumgärtner (Pressesprecher Microsoft) und Andy Müller-Maguhn (CCC).

Pressemitteilung der TBTF und von NBC News.

12.02.1997
Microsoft Deutschland teilt bzgl. der Beschwerde über die Aussage von Cornelius Willis in der PC Week mit, daß Microsoft keinesfalls bei der iX um den Sourcecode anfragen wird, denn man erwartet, daß die iX sich bei Microsoft meldet.

Pressemitteilung von ClariNet/Newsbytes News Network

13.02.1997
Focus Online Interview mit Thomas Baumgärtner (Mircosoft Deutschland). Am Nachmittag ein Online Chat zum Thema "Wie gefährlich sind ActiveX und Java?" mit Managern von Microsoft Deutschland. Ein eigener Mitschnitt ist aufbereitet.

Artikel in der The New York Times, im Ziff Davis NEWSwatcher und im Computing Magazin.

Pressemitteilung von Symantec über ein Norton Anti-ActiveX-Schutzprogramm.

16.02.1997
Intuit Pressemitteilung Intuit empfiehlt den Internetnutzern bestimmte Vorsichtsmaßnahmen einzuhalten.

Artikel im The Philadelphia Inquirer.

17.02.1997
Ein neues Applet spioniert die Autoexec.Bat aus und mailt diese an den Eigentümer zurück. Gleichzeitwig wird dies im ewigen Logfile vermerkt.

Artikel in C|Net über Intuits Warnung vor ActiveX.

18.02.1997
Artikel im New Scientist, als Thema der Woche.

Interne Warnmeldung bei MSN.

19.02.1997
Große Aufklärungsoffensive von Microsoft.

Artikel in C|Net und von PC Week über den Aufklärungsvorstoß von Microsoft.

20.02.1997
Der iX Artikel erscheint. Er enthält ein Interview mit Wau Holland. Das Original ist frei weiterverwertbar, unterliegt aber der GNU Public License.

Robert Seidel erstellte das Logo am Seitenanfang.

Artikel in C|Net über weitere Sicherheitslücken bei Microsoft.

Meldung von Reuters.

Microsoft schiebt den Nutzer die Verantwortung für das Sicherheitsrisiko zu.

22.02.1997
Hinweis auf Verulkungsgrafiken.

23.02.1997
Cyberpunks beginnen das "ActiveX" Logo zu verlinken.

Die neue radioactivex Seite vom CCC.

24.02.1997
Pressemitteilung im Japanischen "Weekly PC Watch".

Vorabveröffentlichung einer TechNet Stellungnahme, die ActiveX, Java und Plug-Ins für die hauseigenen Entwickler vergleicht.

26.02.1997
Alle Beispielapplets tragen sich im ewigen Logfile ein.

28.02.1997
Pressekonferenz bei Intuit München vor Fachjournalisten, anwesend waren Ralph Macholz (Produktmanager Microsoft Deutschland), Andy Müller-Maguhn (Pressesprecher CCC) und meinereiner.
  • Eine Pressemappe stellt klar, daß Intuit nur ein unschuldiges Opfer ist.
  • Andy hält den Vortrag, den Ralph halten wollte. Dabei scheint Ralph aufzugehen, was wirklich los ist.
  • Ralph stellt nochmal klar, daß der fehlende Schutz einer Sicherheitsumgebung durch die Verifizierung des Autors wettgemacht werden soll. Er empfiehlt, den Internet Explorer auf NT Systemen in der Sicherheitsumgebung eines Gast Accountes laufen zu lassen und Firmen und CAs nicht generell zu vertrauen.
  • In der Diskussion stellt Ralph eine größer Aufklärungskampagne in Aussicht und will versuchen die Authenticodemenüs um eine Liste der vertrauensunwürdigen Hersteller erweitern zu lassen.
  • Zum Thema Zertifikate, bestätigte Ralph, daß es ohne Zusatzinformationen von Microsoft keine CA gelingen kann, funktionierende Zertifiakte auszustellen. Er sagt zu, uns bei der Beschaffung der Unterlagen zu helfen.

03.03.1997
Artikel in der Business Online und in Infoworld

Kurzmeldung "Pour tous ceux qui ont entendu parler des problèmes de sécurité d'ActiveX (après la petite "expérience" tentée par les allemands du CCC), allez voir cette page qui détaille par le menu l'affaire" in France Pratique.

Ein anderer Fehler des Internet Explorers gestattet es jedem beliebige Programme auf der fremden Maschine ausführen zu lassen. Dies ist ein Programmierfehler und hat nichts mit ActiveX oder anderen Konzeptionsschwächen zu tun. Dazu ein Pressemitteilung von AP.

10.03.1997
Der Artikel in "PC-Magazin DOS" ist erschienen. (Original Artikel unter GPL)

13.03.1997
Studiogast bei Deutsche Welle TV "Heat" (English) und "100Grad" (Deutsch) in Koproduktion mit dem ORB.

14.03.1997
Ausstrahlung der Sendung "100Grad" im ORB und in Deutsche Welle TV. Bei Deutsche Welle TV läuft auch "Heat".

15.03.1997
Ausstrahlung der Sendung "Heat" und "100Grad" bei Deutsche Welle TV.

17.03.1997
Robert Seidel hat ein neues GROSSES Bild "Not powered by ActiveX" erstellt.

18.03.1997
Ausstrahlung der Sendung "100Grad" im ORB.

ActiveX Tag am Stand des Chaos Computer Clubs auf der CeBit.

10.04.1997
Dreharbeiten von n-tv auf dem EDV Gerichtstag.

13.04.1997
n-tv special: Sachlich guter Beitrag zum Thema ActiveX.

08.05.1997
Steven Grey und ein technischer Mitarbeiter von der Sunday Times besuchten uns, um die Risiken der Bankaktivitäten in UK zu diskutieren. Die Royal Bank of Scottland benutzt beispielsweise ActiveX für die Banksoftware.

09.08.1997
Programpunkt auf der HIP'97.

Interview fürs Schwedische Fernsehen.

Bildschirmfotos

  1. Die Lockseite
  2. Das Applet installiert sich
  3. Das Ergebnis im Quicken

Beispielapplets

Einige Beispielapplets, die den Notepad öffnen und schreibt einen Spruch hinterlassen oder die Sicherheitsstufe des Internet Explorers verändern. Hier wird ständig erweitert. Die Quellen der Applets werden in der obern erwähnten DOS International diskutiert.
zur ckzurück © 1996-2024 Lutz Donnerhacke @ IKS GmbH Jena Thursday | 07.Nov.2024