home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / winsd / winsd.032200.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  15.5 KB  |  349 lines
  1.  
  2.  
  3.  
  4. **********************************************************
  5. WINDOWS 2000 MAGAZINE SECURITY UPDATE 
  6. **Watching the Watchers**
  7. The weekly Windows NT and Windows 2000 security update newsletter 
  8. brought to you by Windows 2000 Magazine and NTSecurity.net
  9. http://www.win2000mag.com/update/ 
  10. **********************************************************
  11.  
  12. This week's issue sponsored by
  13.  
  14. UltraBac.com
  15. http://www.ultrabac.com/counter/winnt003s.htm
  16.  
  17. Symantec
  18. http://www.symantec.com/specprog/sym/11200e.html
  19. (Below Announcements) 
  20.  
  21. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  22. March 22, 2000 - In this issue:
  23.  
  24. 1. IN FOCUS
  25.      - New Precedents About To Be Set?
  26.  
  27. 2. SECURITY RISKS
  28.      - Oracle Web Listener May Run Arbitrary Commands
  29.      - Microsoft Media License Manager Denial of Service
  30.      - Internet Information Server Chunked Encoding Post
  31.  
  32. 3. ANNOUNCEMENTS
  33.      - Windows 2000 Magazine Affiliate Program
  34.  
  35. 4. NEW AND IMPROVED
  36.      - Security Scripting Language
  37.      - Email Security Product
  38.  
  39. 5. HOT RELEASE (ADVERTISEMENT)
  40.      - VeriSign - The Internet Trust Company
  41.  
  42. 6. SECURITY TOOLKIT
  43.      - Book Highlight: Windows 2000 Security Little Black Book
  44.  
  45. 7. HOT THREADS 
  46.      - Windows 2000 Magazine Online Forums:
  47.          PST Files as Offline Folders
  48.      - Win2KSecAdvice Mailing List:
  49.          Help for Relentless Port Scanning
  50.          Win2K's Default High Security Policy
  51.      - HowTo Mailing List:
  52.          Legal Question Regarding Security
  53.          Windows 2000 Desktop Lockdown
  54.  
  55. ~~~~ SPONSOR: ULTRABAC.COM ~~~~
  56. UltraBac backup and disaster recovery software for NT3.51/NT4/Win2000 
  57. announces the release of Version 5.5. UltraBac v5.5 offers a new Oracle 
  58. agent based on API's, enhanced Disaster Recovery features, enhanced SQL 
  59. 7.0 database restore options; and a new proprietary Locked File Backup 
  60. (LFB) agent.  Disaster recovery enhancements for image backups include 
  61. tape spanning with software compression, a new GUI for creating 
  62. disaster recovery boot floppies, and support for Hewlett Packard's new 
  63. One Button Disaster Recovery (OBDR) functionality that was recently 
  64. added to HP's tape drive products.  For more information and to 
  65. download your FREE 45-day copy, click here:
  66. http://www.ultrabac.com/counter/winnt003s.htm
  67.  
  68. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  69. Want to sponsor Windows 2000 Magazine Security UPDATE? Contact Jim 
  70. Langone (Western Advertising Sales Manager) at 800-593-8268 or 
  71. jim@win2000mag.com, OR Tanya T. TateWik (Eastern Advertising and 
  72. International Advertising Sales Manager) at 877-217-1823 or 
  73. ttatewik@win2000mag.com.
  74. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  75.  
  76. 1. ========== IN FOCUS ==========
  77.  
  78. Hello everyone,
  79.  
  80. Piracy is a big concern for a lot of development companies. The amount 
  81. of money reportedly lost each year at the hands of pirates is 
  82. staggering. Naturally, developers take the matter seriously and guard 
  83. the security of their code-based assets as fiercely as they can. 
  84.    One progressive way to guard software assets is to place the code 
  85. into the public domain under some form of open-source licensing scheme. 
  86. Thus, piracy becomes a moot point, and development takes more of a 
  87. front seat to profits.
  88.    However, many firms develop code that could not feasibly be 
  89. protected under an open-source scheme. Instead, their products' 
  90. protection must rely on honesty or secrecy. Take, for example, the DVD-
  91. based Content Scrambling System (CSS) software technology, which relies 
  92. on secrecy for protection. Developers use CSS to encrypt DVD-based 
  93. media so that only DVD players can decrypt and play that media. This 
  94. approach minimizes unauthorized duplication. But in November 1999, 
  95. someone posted a program called DeCSS that can decrypt media that is 
  96. copy protected with CSS. 
  97.    The release of DeCSS has caused quite a ruckus in the computer 
  98. industry as well as in the motion picture industry. Naturally, 
  99. Hollywood wants to protect its movies from unauthorized duplication and 
  100. is going to extremes to do so. In late December 1999, the DVD Copy 
  101. Protection Association filed a lawsuit in California suing Web site 
  102. operators who had posted copies of the DeCSS program. The association 
  103. also sued Web site operators who merely posted links to sites that had 
  104. the program online for download. The courts handed down an injunction 
  105. prohibiting US sites from posting the code. 
  106.    But hackers and supporters have struck back hard. Attorneys for the 
  107. defendants wanted the CSS code submitted as evidence in the case, which 
  108. would make the code a matter of public record because civil lawsuits 
  109. are public information. In addition, hackers from Australia will soon 
  110. air the source code on Australian television. Australian law does not 
  111. prohibit such action.
  112.    I think Hollywood has the right to sue the developers of DeCSS and 
  113. people who distribute the program, but I also think the developers of 
  114. DeCSS have the right to tell the world what they discovered. After all, 
  115. the developers of DeCSS weren't the people who said the CSS technology 
  116. was secure--they only proved that it wasn't. 
  117.    That statement leads me to an interesting thought: What about the 
  118. people who developed and promoted CSS as a secure technology in the 
  119. first place? Aren't they to blame, too? If a company claims its 
  120. technology is secure, but it turns out that the product is not, could 
  121. the company be sued for fraud? 
  122.    The case raises so many questions that it likely will set more than 
  123. one precedent for the computer industry and the Internet. I think those 
  124. precedents will include new legal views on antipiracy and reverse 
  125. engineering, which could dramatically impact the way security-related 
  126. problems are discovered and reported in the future. If you're a 
  127. developer or a company that sells security-related solutions (whether 
  128. software, hardware, or services), be sure to keep an eye on the DeCSS 
  129. case. It might change the way you do business. 
  130.    Before I sign off this week, I want to inform you all that the 
  131. NTSecurity.net Web site may be offline until Friday morning. We have 
  132. encountered some unexpected difficulties while moving the site from one 
  133. data center to another. Thanks for your patience while we work to 
  134. quickly bring the site back online. Until next time, have a great week.
  135.  
  136. Sincerely,
  137. Mark Joseph Edwards, News Editor
  138. mark@ntsecurity.net
  139.  
  140. 2. ========== SECURITY RISKS =========
  141. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  142.  
  143. * ORACLE WEB LISTENER MAY RUN ARBITRARY COMMANDS
  144. Oracle Application Server ships with a component called Oracle Web 
  145. Listener. Cerebus Information Security reported a problem with the 
  146. component that could let an intruder run arbitrary commands on the 
  147. server. 
  148. http://listserv.ntsecurity.net/scripts/wa-ntsecurity.exe?A2=ind0003b&L=win2ksecadvice&F=&S=&P=4178
  149.  
  150. * MICROSOFT MEDIA LICENSE MANAGER DENIAL OF SERVICE
  151. According to Microsoft's documentation, Windows Media License Manager 
  152. is part of a technology set that enables distribution of copyrighted 
  153. digital media. When Media Player opens a protected medium, it contacts 
  154. the media provider to receive a license key. A malformed license key 
  155. request can cause the License Manager to halt.
  156.    For details, see Microsoft Support Online article Q257200 
  157. (http://support.microsoft.com/support/kb/articles/Q257/2/00.ASP?LNG=ENG&SA=ALLKB&FR=0).
  158.  
  159. * INTERNET INFORMATION SERVER CHUNKED ENCODING POST
  160. Internet Information Server (IIS) supports chunked encoding transfers 
  161. for PUT and POST operations; however, the server does not limit the 
  162. amount of memory that can be requested for such a transfer during a 
  163. given user session. Therefore an attacker can request large amounts of 
  164. memory from the server and cause a Denial of Service (DoS) attack for 
  165. the duration of that user's session. According to Microsoft's report, 
  166. when the attacker closes the Web browser, IIS resumes normal operation. 
  167. For more information, see Microsoft Support Online article Q252693 
  168. (http://support.microsoft.com/support/kb/articles/q252/6/93.asp?LNG=ENG&SA=ALLKB&FR=0).
  169.  
  170. 3. ========== ANNOUNCEMENTS ==========
  171.  
  172. * WINDOWS 2000 MAGAZINE AFFILIATE PROGRAM
  173. Windows 2000 Magazine, in cooperation with LinkShare, announces a new 
  174. Web affiliate program. By simply placing a text or banner link on your 
  175. Web site, you can earn up to $10 for each customer who clicks through 
  176. from your site to ours and orders a subscription to either Windows 2000 
  177. Magazine or SQL Server Magazine. For more information, visit 
  178. http://www.win2000mag.com/AboutUs/Index.cfm?Action=affiliate or
  179. http://www.sqlmag.com/Info/affiliate.cfm. 
  180.  
  181. ~~~~ SPONSOR: SYMANTEC ~~~~
  182. Norton Ghost? 6.0 is the premier tool for Windows 2000 migration, PC 
  183. deployment, cloning, and PC recovery. It dramatically reduces IT costs 
  184. by streamlining the configuration of networked workstations. 
  185. Administrators can restore a system image onto a failed PC in as little 
  186. as seven minutes, and reduce PC deployment and upgrade times by 90 
  187. percent or more. Click here to order your free trialware!
  188. http://www.symantec.com/specprog/sym/11200e.html
  189.  
  190. 4. ========== NEW AND IMPROVED ==========
  191. (contributed by Judy Drennen, products@win2000mag.com)
  192.  
  193. * SECURITY SCRIPTING LANGUAGE 
  194. Trusted Systems Services (TSS) announces AdvancedChecker 2.0, a 
  195. security scripting language for Windows 2000 (Win2K) and Windows NT 
  196. that installs, checks, sets, and fixes network security for large and 
  197. small sites. AdvancedChecker is available as a beta. New features 
  198. include user-defined macros, functions to query the Security log and 
  199. System and Application Event logs, and the ability to compile several 
  200. source files into one object file. Contact TSS, 217-344-0996. 
  201.    http://www.trustedsystems.com 
  202.  
  203. * EMAIL SECURITY PRODUCT 
  204. TurnSafe Technologies announced SafeWrite, an email security product 
  205. featuring advanced encryption technology. SafeWrite is easy to use--
  206. just type in the recipient's address and send your message. SafeWrite 
  207. lets you send secure messages without having to worry about the 
  208. receiver's software, without having to keep track of any public keys, 
  209. and without forcing the receiver to install SafeWrite or other special 
  210. viewing software. You can use your existing POP, IMAP4, Web-based, or 
  211. AOL email account. SafeWrite is compatible with most OSs, including 
  212. Windows, MacOs, Linux, OS/2, and UNIX. SafeWrite sends messages with 
  213. dissolving keys, so that after a user reads a message, it cannot be re-
  214. opened. SafeWrite secure email service is available by subscription to 
  215. individuals for 2 years at a cost of $39.95, and includes product 
  216. updates during the subscription period. Multiuser and domain rates are 
  217. also available. 
  218.    http://www.turnsafe.com
  219.  
  220. 5. ========== HOT RELEASE (ADVERTISEMENT) ==========
  221.  
  222. * VERISIGN - THE INTERNET TRUST COMPANY
  223. Protect your servers with 128-bit SSL encryption! Get a FREE guide, 
  224. "Securing Your Web Site for Business." You'll learn how to use SSL 
  225. encryption for serious online security.
  226. http://www.verisign.com/cgi-bin/go.cgi?a=n016005190008000
  227.  
  228. 6. ========== SECURITY TOOLKIT ==========
  229.  
  230. * BOOK HIGHLIGHT: WINDOWS 2000 SECURITY LITTLE BLACK BOOK 
  231. By Ian Mclean
  232. Online Price: $19.95 
  233. Softcover; 400 pages
  234. Published by Coriolis, February 2000
  235. ISBN: 1576103870
  236.  
  237. "Windows 2000 Security Little Black Book" is an indispensable tool for 
  238. the security professional working in the Windows 2000 (Win2K) 
  239. environment. This book is packed with methods and tips for implementing 
  240. secure, but useable, network policies. 
  241.    Whether you work in a small organization with a few hundred users or 
  242. a large multinational group working across WANs and the Internet, 
  243. you'll find the information you need presented in an accessible, user-
  244. friendly format. Using this book, you can unlock the secrets of Win2K's 
  245. Active Directory (AD), Group Policy, security protocols, encryption, 
  246. public key security, security certificates, smart cards, IP security, 
  247. VPNs, and the security toolset.
  248.  
  249. For Windows 2000 Magazine Security UPDATE readers only--Receive an 
  250. additional 10 PERCENT off the online price by typing WIN2000MAG in the 
  251. referral field on the Shopping Basket Checkout page. To order this 
  252. book, go to http://www.fatbrain.com/shop/info/1576103870?from=SUT864.
  253.  
  254. 7. ========== HOT THREADS ==========
  255.  
  256. * WINDOWS 2000 MAGAZINE ONLINE FORUMS
  257.  
  258. The following text is from a recent threaded discussion on the Windows 
  259. 2000 Magazine online forums (http://www.win2000mag.com/support). 
  260.  
  261. March 17, 2000, 07:09 A.M. 
  262. PST Files as Offline Folders 
  263. When selecting my network-based PST Folders as Offline Folders, I get a 
  264. synchronization error and it fails. The rest of the folders can be set 
  265. as offline. I have already shut down Outlook and checked that there are 
  266. no file locks or anything. I did successfully select them in RC2, but 
  267. since upgrading, I can't do it. Anyone know if there is a fix or is 
  268. this a "feature?" 
  269.  
  270. Thread continues at
  271. http://www.win2000mag.com/support/Forums/Application/Index.cfm?CFApp=70&Message_ID=95536
  272.  
  273. * WIN2KSECADVICE MAILING LIST
  274. Each week we offer a quick recap of some of the highlights from the
  275. Win2KSecAdvice mailing list. The following threads are in the spotlight
  276. this week:
  277.  
  278. 1. Help for Relentless Port Scanning
  279. http://listserv.ntsecurity.net/scripts/wa-ntsecurity.exe?A2=ind0003c&L=win2ksecadvice&P=1614
  280.  
  281. 2. Win2K's Default High Security Policy
  282. http://listserv.ntsecurity.net/scripts/wa-ntsecurity.exe?A2=ind0003c&L=win2ksecadvice&P=861
  283.  
  284. * HOWTO MAILING LIST
  285. Each week we offer a quick recap of some of the highlights from the
  286. HowTo for Security mailing list. The following threads are in the
  287. spotlight this week:
  288.  
  289. 1. Legal Question Regarding Security
  290. http://listserv.ntsecurity.net/scripts/wa-ntsecurity.exe?A2=ind0003c&L=howto&P=2783
  291.  
  292. 2. Windows 2000 Desktop Lockdown
  293. http://listserv.ntsecurity.net/scripts/wa-ntsecurity.exe?A2=ind0003c&L=howto&P=12148
  294.  
  295. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  296.  
  297. WINDOWS 2000 MAGAZINE SECURITY UPDATE STAFF
  298. News Editor - Mark Joseph Edwards (mje@win2000mag.com)
  299. Ad Sales Manager (Western) - Jim Langone (jim@win2000mag.com)
  300. Ad Sales Manager (Eastern) - Tanya T. TateWik (ttatewik@win2000mag.com)
  301. Associate Publisher/Network - Martha Schwartz (mschwartz@win2000mag.com)
  302. Editor - Gayle Rodcay (gayle@win2000mag.com)
  303. New and Improved  Judy Drennen (products@win2000mag.com)
  304. Copy Editor  Judy Drennen (jdrennen@win2000mag.com)
  305.  
  306. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  307.  
  308. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  309.  
  310. Thank you for reading Windows 2000 Magazine Security UPDATE.
  311.  
  312.  
  313. To subscribe, go to the UPDATE home page at
  314. http://www.win2000mag.com/update or send an email to join-securityupdate@list.win2000mag.net.
  315.  
  316. To remove yourself from the list, send a blank email to leave-securityupdate@list.win2000mag.net.
  317.  
  318. To change your email address, send a message with the content below to securityupdate@list.win2000mag.net.
  319.     set securityupdate email="new email address"  
  320.     Replace "new email address" (including quotes)
  321.     with your new email address.
  322.  
  323.  
  324. If you have questions or problems with your UPDATE subscription, please contact 
  325. owner-securityupdate@list.win2000mag.net.
  326.  
  327.  
  328. ========== GET UPDATED! ==========
  329. Receive the latest information on the Windows 2000 and Windows NT topics of your choice. Subscribe to these other FREE email newsletters at  http://www.win200
  330. 0mag.com/sub.cfm?code=up99inxsup.
  331.  
  332. Windows 2000 Magazine UPDATE
  333. Windows 2000 Magazine Thin-Client UPDATE
  334. Windows 2000 Magazine Exchange Server UPDATE
  335. Windows 2000 Magazine Enterprise Storage UPDATE
  336. Windows 2000 Pro UPDATE
  337. ASP Review UPDATE
  338. SQL Server Magazine UPDATE
  339. SQL Server Magazine XML UPDATE
  340. IIS Administrator UPDATE
  341. WinInfo UPDATE
  342.  
  343. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|
  344.  
  345. Copyright 2000, Windows 2000 Magazine
  346.  
  347.  
  348.  
  349.