|  Home  |  IT-KnowHow  |  Sonstiges KnowHow  |  Bookmarks  |  Über mich  |  Impressum  |  1und1 Shop  | 
Google

Referenzierte Quellen 
Aufbau meiner Werkbank 
Synergy 
Unix/Linux 
Debian 
Linux-Distributionen 
Paketverwaltung 
Fileserver 
Samba 
Grafische Oberfläche 
Festplatte - Boot, Partition, Raid, LVM 
SSH Tunnel, VPN 
FAQ 
Tips und Tricks 
Shellprogrammierung 
Windows 
cygwin 
ssh 
andLinux 
UltraISO 
Windows 7 
Windows CE 
Virtualisierung 
VMWare 
VirtualBox 
Cloud Computing 
Google App Engine GAE 
Storage 
AmazonWebServices 
Cloudfoundry 
RightScale 
Office-Pakete 
Serienbriefe mit OpenOffice 
OpenOffice Calc 
Sicherheit 
Abwehrmechanismen 
Zertifikate + SSL 
Zertifikate + eMail-Kommunikation 
Backup 
Tools 
Bacula 
Installation 
Tools 
Virenscanner 
Online-Banking 
Rechnerbetreuung 
Muli 
Schnecke 64 
Schnecke 256 
Opaks 
cooltek 
Laptop-Pflege 
Computer im Remote-Einsatz 
Software-Entwicklung 
Erfolgreiches Vorgehen 
Agile Softwareentwicklung 
Test-Driven-Development 
Software-Factory 
Domain-Driven-Design 
Model-Driven-Architecture 
CMMI 
Organisation 
Team 
Rollen im Projekt 
Anforderungen 
Anforderungs-Entwicklung 
Anforderungs-Management 
Architektur 
Best Concepts and Patterns 
Best Practices 
Camel 
IPF 
Design 
Best Practices 
Schnittstellen 
Persistenz 
ExceptionHandling 
Deklarative Entwicklung 
SOA 
UML Tools 
Programmierung 
Best Practices 
Java Core 
Classloader 
Generics 
JMX 
Anotationen 
Networking 
Threads 
I/O, Dateien, Steams 
Java EE 
Groovy 
Google Web Toolkit - GWT 
GUI Entwicklung 
HTTP 
Zeichencodierung 
XML 
XPath 
Json 
JSF 
CSS 
Firefox 
Eclipse Platform 
Eclipse als Java-IDE 
Derivate 
Organisation 
Debugging 
J2EE 
CMR mit WSAD 5.1 
PlugIns 
Subversion 
Git Plugin 
Sun Application Server 
JBoss 
Jetty 
Tomcat 
WebServices 
WSDL 
RESTful Webservices 
SOAP Webservices 
JMS - ActiveMQ 
Persistenz 
JDBC 
JPA / Hibernate 
JPA in Eclipse 
Oracle 
Performance / Tuning 
DB2 
MySQL 
MySql Administrator 
HSQLDB 
Microsoft SQL Server 
DBVisualizer 
Toad 
TOra 
Spring 
AOP 
Refactoring 
Logging 
Regex 
Lucene 
Mail 
Mailserver 
Mailclient 
JavaMail 
DNS 
LDAP 
Mobile Computing 
Platformen 
Android 
Handyauswahl 
Tablet a la iPad  
... aus Sicht des Handynutzers 
App Markets 
... aus Sicht des Entwicklers 
Plattform 
Programmierung 
... aus Sicht des Hackers 
Apps im Test 
Buildprozess 
ant 
maven 
Gradle 
Versionsverwaltung 
Subversion 
Git 
Zertifikate + SSL 
Dokumentation 
Kosten/Nutzen 
Index-Server 
Testen 
FIT 
FitNesse 
Selenium 
Performance 
JMeter 
soapUI 
EasyMock 
Lizenzmodelle 
HL7, CDA, CCD 
IHE Profile + Transaktionen 
ITIL 
IRC 
Netzwerke 
Provider 
Telefon 
Breitband-Internet 
Webhosting 
Webhoster 
Trafficanalyse 
Suchmaschinen 
Spam 
Internet-Werbung / AdSense 
1und1 - SmartDrive 
CMS 
Exponent 
Joomla 
Foto-Galerie 
Verschiedene 
(W)LAN 
Multimedia 
Gimp 
XnView 
Fotografie 
Digitale Fotografie 
Audio 
Voice-over-IP 
Video 
Video-over-IP 
DLNA, UPnP 
Videorekorder 
Hardware 
MP3 Player 
(Multi-Funktions-) Drucker 
Fritzbox 7390 
FritzBox 7270 
Netgear FM114P 
Mini-Fernseher 
Fernseher 2008 
Panasonic TX-P42GW20 
Fernseher 2012 
Netzwerkplayer 
Fernbedienung 
Satellitenanlage 
dbox 
Thomson IP1101 
Codemeter 
Navigationsgerät 
Pari Boy 
Kabelsalat 
Fuji Finepix S602 
Canon Ixus 40 
Canon Ixus 100 IS 
Spiegelreflex-Kamera 
Nikon D80 
Video-Kamera 
Ultra Mini PC - Asus eee PC 
Notebook 2012 
GPSMAP 76CSx 
Canon Lide 20 Scanner 
Lenovo UltraNav Tastatur 
Computer-Monitor - LG 2442 BF 
Kyocera FS-920 
Wäschetrockner 
Bluetooth Tastatur 


IT-KnowHow  > Sicherheit  > Abwehrmechanismen 


Sicherheit - Abwehrmechanismen

Motivation

Eine bessere Motivation als diese Geschichte kann ich nicht liefern. Durch die Verbreitung des Internet haben sich Viren, Würmer, Trojaner, ... rasant verbreitet und es kommt eigentlich kein Anwender mehr an dem Thema Sicherheit vorbei. Das Problem lässt sich durch Nict-Nutzung des Internet sicherlich eindämmen, aber wer will schon in die Steinzeit zurück. Der Mehrwert durch Internet ist das Risiko in den meisten Fällen wert. Kein System wird jemals sicher sein, aber man darf auch nicht fahrlässig handeln. Während sich Security mit a-priori-Massnahmen beschäftigt (dass erst gar keine Probleme auftreten) beschäftigt sich Backup damit, die Auswirkungen (Kosten) zu minimieren, wenn die Sicherheit umgangen worden ist. Die beiden Themen sind also untrennbar miteinander verbunden und geniessen bei den meisten Anwendern keine grosse Aufmerksamkeit (und ich gehöre auch dazu). Es geht ja auch so oft gut.

Was kann ein Virus anrichten?

  • an der Hardware Schäden verursachen. Es gab schon mal einen Virus, der das BIOS manipuliert hat und dadurch Hardwareschäden verursacht hat. Denkbar wäre auch, dass er an dem Monitorsignal herumspielt und dadurch den Bildschirm zerstört
  • Dateien (oder die gesamte Festplatte) löschen
  • Dateien manipulieren (was vielleicht sogar schlimmer als das Löschen ist)
  • Computer langsamer machen
  • die tägliche Arbeit behindern (Rechnerauslastung, verschieben von Buttons, verschieben von Dateien)
  • sich weiterverbreiten, indem er eMails an alle Leute im Adress-Buch versendet. Der Publicity-Schaden sollte nicht unterschätzt werden. Gerade im geschäftlichen Bereich ist Vertrauen unbezahlbar und es dauert lange welches aufzubauen. Eine virenverseuchte eMail kann hier die Arbeit mehrer Jahre zunichte machen
  • störende Werbung einblenden

Was können Trojaner anrichten?

  • Usernamen, Passwörter, PINs und TANs ausspionieren und an den Angreifer versenden, der damit dann Überweisungen (auf sein Konto) durchführen kann, Zugriff auf eMails des Opfers hat. Der Angreifer kann sich damit gut als das Opfer ausgeben, denn er kennt durch die eMails ja auch das persönliche Umfeld und kann Intrigen spinnen, Leute beleidigen, etc.
  • kann als Plattform für einen getarnten Angriff dienen. Beispielsweise kann ein Angriff auf das Pentagon so erfolgen, dass der Angreifer den Trojaner steuert (sog. Backdoor Trojaner) und der Trojaner vom Rechner des Opfers einen Angriff auf das Pentagon startet. Sollte das ganze auffliegen, wird sich der Trojaner zurückziehen und das Opfer wird Besuch vom CIA bekommen. Keine wirklich schönen Aussichten. Der Nachweis, dass man selbst Opfer ist, wird ziemlich schwierig, schätze ich
  • Die lokale Routing-Tabelle manipulieren, so dass man bei Eingabe von http://www.sparda-hessen.de in Wirklichkeit auf einem anderen Rechner landet und das ganze evtl. nicht mal bemerkt (wenn es gut gemacht ist)
  • über das Programm "netstat" kann man die Verbindungen des Rechners sehen. Wenn dort die IP-Adresse eines Fremden steht, kann man über http://www.ripe.net/perl/whois und die IP-Adresse des Angreifers den Provider ermitteln und sich dort beschweren (auch wenns vermutlich nichts nutzen wird). Manche Provide speichern die Nutzung der dynamisch vergebenen IP-Adressen und so könnte man an die Identität des Angreifers kommen (funktioniert wahrscheinich in den seltensten Fällen - ich kann mir nicht vorstellen, dass z. B. die Telekom erfreut über solche Anfragen ist und bereitwillig Auskunft gibt)
Es gibt auch Leute, die ein System von aussen nach bekannten (Standard-) Trojanern scannen. Wenn sie dann einen bekannten gefunden haben, werden sie versuchen, ihn zu benutzen. Der Angreifer kann also wechseln.

Schlicht und einfach ist man nicht mehr Herr über das System, sondern ohnmächtig und muss unter den Launen eines unberechenbaren Gegners leiden. Niemand kann voraussagen wie sich die Malware in Zukunft verhält. Sie kann gar nichts anrichten, sie kann monatelang schlummern, um dann irgendwann aktiv zu werden. Sie kann aber auch gleich zuschlagen und immense Schäden anrichten.

Noch ein wenig platischer:

Für eine Firma gelten natürlich noch mal grössere Anforderungen als bei einem Privat-Anwender. Rechnerausfälle (durch Viren) sind schon teuer, Datenverluste können zur Insolvenz führen. Das muss ALLEN bewusst sein.
Nur zur Verdeutlichung:
  • ein Virus kann Dateien, z. B. die Diestein-Datenbank zerstören. Damit gehen Informationen über Aufträge und Rechnungen verloren. Das ist ein sofort sichtbarer Schaden, der sich auf mehrere tausend Euro belaufen kann
  • die Neuinstallation eines Rechner dauert 10 Stunden. Bei einem Stundensatz von nur 50 Euro sind das 500 Euro
  • Hinzu kommt die Ausfallzeit (Rechnungen konnten nicht geschrieben werden)
  • Fragwürdige Datenintegrität - hat der Virus vielleicht Daten manupuliert (vielleicht einie Rechnungen gelöscht oder die Summe erhöht/reduziert?
  • Hat er vielleicht schon eMails verschickt und Kunden beleidigt oder eMail-Korrespondenz weitergeleitet (an Kunden)
Wer jetzt also die Regeln nicht befolgt, muss 2000 Euro Strafe auf mein Konto überweisen. Das ist kein Spass.

Einen guten Überblick über das Thema Computersicherheit gibt www.comsafe.de.

Prävention

10 Goldene Regeln siehe hier: http://www.comsafe.de/regeln.html

Hier ist meine persönliche Liste, die ich aus vielen Quellen zusammengetragen habe:
  • Schutz ohne Technologie:
    • Misstrauen gegenüber Programmen und Dokumenten, die man erhält. Auch wenn der Absender ein guter Freund ist, muss man misstrauisch sein, denn evtl. hat sich der Freund mit einem Virus infiziert, der sich selbst per Mail verteilt (z. B. Melissa) oder er weiss gar nicht, dass das Programm/Dokument virenverseucht ist. Es muss also keine böse Absicht sein. Deshalb entweder gar nicht öffnen oder die Programme/Dokumente von einem aktuellen Virenscanner (on-demand oder on-access) prüfen lassen
Vertraue nie einer Software, die Du nicht selbst programmiert hast!!!

Selbst bei einer vielgenutzte Open-Source-Software wie OpenSSL ist niemandem über zwei Jahre hinweg, aufgefallen, daß unsichere Zertifikate generiert wurden. Also auch Open-source-Software ist nicht vor Sicherheitslücken gefeit - man könnte ja davon ausgehen, daß aufgrund der Offenheit des Sourcecodes Probleme schneller auffallen, weil es genügend Reviewer gibt. Andererseits kann ein Reviewer natürlich auch Lücken entdecken und für Angriffe nutzen.
    • Software nur von der offiziellen Website downloaden und dann auch noch die Checksumme prüfen. Unter Windows z. B. mit dem Programm DPASHA von Dirk Paehl unter Linux per Kommandozeile md5sum.
    • Niemals CDs von unzuverlässigen Quellen (z. B. von Messen) installieren
    • So wenig Software wie nötig installieren
    • Betriebssystem so einstellen, dass Dateiendungen immer angezeigt werden (darauf achten, dass die Einstellungen für alle Ordner gelten - also "Ansichtsoptionen für jeden Ordner speichern" darf nicht angehakt sein). Bei exe, com, bat, doc, xls muss müssen die Alarmglocken schrillen
    • eMails niemals als HTML empfangen, denn darin versteckte Links (z. B. auf Bank-Portale) können gefaked sein, d. h. es wird http://www.sparda-hessen.de angezeigt, aber in Wirklichkeit kommt man auf eine Cracker-Seite, die zufällig so aussieht wie die Seite der Sparda-Bank. Dann gibt man dort Username und Passwort ein. Man denkt - alles in bester Ordnung - das System antwortet auch immer korrekt. Dann will man eine Überweisung machen, gibt seine TAN ein und das System meint die TAN ist schon gebraucht. Man denkt dann, man hat beim letzten Mal wohl vergessen die TAN durchzustreichen und verwendet die nächste. Das System meldet, alles ok. Und man wundert sich dann, dass die angeblich durchgeführte Überweisung niemals erscheint, dafür aber das Konto leer ist. DENN: Die Cracker-Seite hat jetzt den User, das Passwort und zwei gültige unverbrauchte TANs, mit denen das Konto leergeräumt wurde. DUMM GELAUFEN!!!
    • niemals auf meheren Systemen das gleiche Passwort verwenden. Klar kann man auf unwichtigen und vollkommen unkritischen Systemen ein einfaches, unsichers Passwort verwenden (und auch immer das gleiche). ABER: es darf niemals ein Passwort sein, das auch für wichtige Systeme verwendet wird. Angenommen in einem unkritischen Forum verwendest Du das gleiche Passwort wie für deinen Mailaccount und im Forum hast Du Deine Mailadresse eingegeben. Es ist ein leichtes den Mailserver zu erraten (bzw. aus den Regeln des Hosters abzuleiten) und Deine eMails können vom Betreiber des Forums gelesen werden. Deshalb folgende Regeln:
      • für unwichtige, unkritische Systeme: einfaches Passwort (und überall das gleiche)
      • für kritische Systeme: sichers Passwort und für jedes System ein eigenes!!!
    • niemals einen elektronische Passwort-Manager verwenden. Fragt der Browser, ob das Passwort gespeichert werden soll: NO, NEVER, NIEMALS
    • sich über aktuelle Viren informieren (hier gibt es zahlreiche Newsletter). u. a. bei http://www.trojaner-info.de
  • Schutz durch Technologie:
    • BIOS-Passwort vergeben
    • BIOS so konfigurieren, dass Booten nur von Festplatte möglich ist (sonst kann man beispielsweise Peter Nordahls Linux-Boot-CD verwenden [u. a. Bestandteil der Ultimate Boot CD], um das Administrator-Passwort auf einen beliebigen Wert zurückzusetzen)
    • Betriebssystem von einer nicht-beschreibbaren CD starten und das Mounten von Festplatten/USB-Sticks verbieten:
      • die Knoppix-basierte Linux-Distribution Bankix (heise-Verlag in Zusammenarbeit mit Klaus Knopper [Knoppix]) geht diesen Weg) - Test siehe eigener Abschnitt)
    • Betriebssystem immer auf dem sicherheitstechnisch aktuellsten Stand halten, d. h. im nach Security-Patches des Herstellers Ausschau halten (am besten automatisch) und installieren.
Der Support ist schon 2005 ausgelaufen (kann gegen Gebühr bis 2010 fortgeführt werden), allerdings unterstützt Micosoft sicherheitskritische Updates bis 2007 kostenlos weiter. Nach Service Pack 4 (Erscheinungsdatum 30.4.2005) wird es keine weiteren geben, sondern nur noch Update-Rollups (keine Ahnung was der Unterschied ist). Ohne (Breitband-Internet-) Verbindung ist die Sache etwas schwieriger. Hier schafft das kostenlose Tool "Software Update Service (SUS)" Abhilfe. Hiermit werden alle kritischen Updates ()Sicherheitspatches, kritische Updates, Update Rollups, Service Packs) von der Windows-Update-Site heruntergeladen und die anschliessende Verteilung an mehrere Arbeitsplatzrechner kann ohne Internet-Verbindung erfolgen. Allerdings handelt es sich dabei nur um Updates am Betriebssystem, nur um Updates an Anwendungen. Das Tool "Systems Management Server (SMS)" übernimmt die gleichen Aufgaben wie SUS, aber auch noch weitere, die für grössere Unternehmen relevant sind. Für kleinere Unternehmen bringt es keinen Mehrwert.
Mit dem "Microsoft Baseline Security Analyzer (MBSA)" lassen sich Rechner auf notwendige Updates
      • Debian-Linux:
siehe Referenzhandbuch Abschnitt Sicherheit oder auch im Internet: http://www.debian.org/security/
Hier trägt man in die Datei /etc/apt/sources.list folgendes ein:
deb http://security.debian.org/ stable/updates main contrib non-free
    • Unter Linux:
      • Shadow-Passwords verwenden
      • Passwörter per MD5 verschlüsseln
      • eigene Erweiterungen der PATH-Variable immer hinten anhängen - wäre beispielsweise das $HOME/bin Verzeichnis eines normalen Benutzers (der zum Surfen genutzt wird) vor den Systemverzeichnissen in der PATH-Variable, so könnte ein Angreifer das ls-Kommando (normalerweise total unkritisch) durch Hinterlegung eines ls-Skripts in $HOME/bin austauschen ...
    • Sicherheitspatches für Anwendungen installieren:
Anwendungsprogramme haben auch immer mal wieder Lücken, so dass Angreifer z. B. Pufferüberläufe provozieren, die es dann erlauben beliebiger Befehle auszuführen. Deshalb ist es wichtig, dass man für die benutzten Programme Sicherheitslücken schliesst - und zwar für JEDES Programm. Das natürlich aufwendig, weil es keine zentrale Stelle gibt, sondern man für jedes einzelne Programm eine andere Anlaufstelle hat. Ein weiterer Grund möglichst wenig Programme zu benutzen. Hier einige Anlaufstellen:
    • Filesystem mit ausreichender Rechtevergabe-Möglichkeit verwenden, d. h. unter Windows NTFS statt FAT32 verwenden
    • Verwendung mindestestens eines Virenscanners (evtl. sogar mehrere), den man immer auf dem neuesten Stand (z. B. Update der Virendefinitionen) halten muss
    • Firewall:
      • am besten: Hardware-Firewall
      • ansonsten: Software-Firewall
Bei den Einstellungen sollte man sehr restriktiv sein und nach dem Schema verfahren "alles, was nicht ausdrücklich erlaubt ist, ist verboten". Bei Firewalls unterscheidet man verschiedene Typen anhand der Schutzmechanismen:
  • Paket-Filter
  • Application Level Gateways
  • Stateful Inspection Filter
    • in regelmässigen Abständen das System von einer Boot-CD zu starten und ein Virenscann durchzuführen. Hier gibt es z. B. die Knoppicillin-CD aus der c't, die in regelmässigen Abständen auch dem Heft beiliegt.
    • Internet-Browser sicher konfigurieren: ActiveX und JavaScript verbieten (und Java-Applets?!?). Cookies sind nicht wirklich gefährlich, aber sie können sensible Informationen preisgeben (z. B. über das Surfverhalten/Interessen). Weitere Security-Einstellungen lassen sich vornehmen.
    • keine Office-Pakete installieren (sonst können sich Makro-Viren verbreiten), sondern einfache MS Office Viewer installieren, die keine Makros unterstützen
    • nicht dauerhaft mit einem User mit Administrator-Rechten arbeiten
    • alle nicht benötigten Dienste abschalten (deaktivieren), dadurch werden dann viele Ports geschlossen
    • Netzwerkeinstellungen: keine Freigabe von Dokumenten und Druckern (die Dienste am besten deaktivieren)
    • Windows-Script-Host ausschalten (http://www.sophos.com/support/faqs/wsh.html)
Bei allen Regeln handelt es sich um Einschränkungen, die man macht. Manche Programme oder Internet-Seiten werden anschliessend vielleicht nicht mehr so gut oder gar nicht funktionieren, aber Du tust es zu Deinem Schutz. Du kannst sie auch wieder einschalten, wenn es Dir das wert ist.
Man benötigt eine schnelle Internet-Verbindung, um das System auf dem neuesten Stand zu halten. Virendefinitionen benötigen zwar nicht viel Platz, aber die Windows-Updates sind schnell über 10MB. Ausserdem jagt ein Windows-Update das nächste, d. h. man spielt ein Security-Patch ein, rebootet und fragt erneut nach "Windows Update" (man sollte hier automatisches Windows Update einstellen) und dann müssen weitere Patches eingespielt werden. Ich musste 5 oder 6 Patches hintereinander einspielen (Reboot nach jedem Patch) bis "Windows Update" endlich mal keine fehlenden Patches geliefert hat. Der Mechanismus ist also wenig intelligent.
Eine Bereitstellung der Patches auf CD (Ausweg bei fehlender Breitband-Internet-Verbindung) ist somit schlecht möglich.

Bankix

Dieser Abschnitt wurde verschoben: siehe hier

FAQ

Wie prüfe ich, ob mein System "sicher" ist?

 
Einige Webseiten bieten an, einen Sicherheitscheck durchzuführen (u. a. Norton). Allerdings muss man hier aufpassen, denn evtl. werden die Schwachstellen dadurch sofort ausgenutzt (vielleicht erkennt er Schwachstellen berichtet davon aber nicht, um später wiederzukommen und sein Wissen auszunutzen). Ich würde empfehlen, das nur bei einem vertrauenswürdigen anbieter (z. B. Norton) zu machen.
Die meisten Anbieter solcher Checks wollen antürlich Security-Software verkaufen und werden dementsprechend genau prüfen.

Woran erkenne ich, dass ich mir eine Malware (Virus, Trojaner, ...) eingefangen habe?

  • Im besten Fall meldet es der Virenscanner (der muss natürlich regelmäßig/täglich aktualisiert werden)
  • bei Trojanern kann es die Firewall erkennen, bei Hardware-Firewalls sollte man hier hin- und wieder ins Log-File schauen (das man irgendwohin streamen sollte), bei Software-Firewalls sollte man über Regelverstösse informiert werden.
  • das Backup-System Bacula kann bei der Entdeckung von Malware auch behilflich sein - es kann nämlich Veränderungen an Dateien aufspüren
  • Rechner verhält sich merkwürdig: Mausbewegungen, hohe Rechnerlast, Netzwerktraffic ohne Grund, witzige Meldungen am Bildschrim, man hat plötzlich keine Rechte mehr, man kann nicht mehr kopieren

Was tun, wenn ich Malware feststelle?

  • nicht auf die leichte Schulter nehmen, das ist kein Spass (auch wenn die meisten Viren unkritisch sind)
  • Internetverbindung kappen (ein Trojaner kann dann wenigstens schon mal nicht mehr mit dem Angreifer kommunizieren und auch der Angreifer kann den Rechner nicht mehr fernbedienen)
  • Unbedingt auf einem sicheren Rechner hier nachlesen: http://www.comsafe.de/desinfektion.html
  • der Virus kann dafür sorgen, dass er lange Sicht auch vom Antiviren-Programm unentdeckt bleibt (durch Löschen der Virendefinitionen. Ausserdem kann er die Firewall beeinflussen, um sich so den Weg nach aussen zu ebnen.
  • Rescue-Boot-CD mit einem aktuellen Virenscanner starten und das System analysieren und Viren beseitigen lassen. Es genügt nicht, den Rechner im abgesicherten Modus oder über die Festplatte im DOS-Modus zu starten, denn der Virus könnte im Bootsektor stecken und dann würde er beim Starten von Festplatte geladen und könnte seine Entdeckung verhindern. Einige Hersteller von Anti-Viren-Software bieten so etwas an. Auf diese Weise hat man auch Schreibrechte auf ALLE Dateien, was nicht der Fall ist, wenn man die Viren innerhalb des befallenen Systems beseitigen will.
  • Leider ist das Vertrauen nach einem Zwischenfall eigentlich komplett zerstört. Da man i. a. nicht weiss, wann der Angreifer auf das System geschleust wurde (das kann wesentlich vor den Auswirkungen gewesen sein - weshalb es unbedingt erforderlich, dass ständig ein Virenscanner mit aktuellen Virendefinitionen im Hintergrund läuft), kann man auch seinen Daten eigentlich nicht mehr trauen. Vielleicht wurden sie verändert, vielleicht enthalten sie aber auch Backdoors, über die der Angreifer sich wieder Zugang zum System verschaffen kann. Dann hilft einem auch das Neuaufsetzen des Systems nicht mehr, denn über die Daten infiziert man es immer wieder erneut. Weitere Infos: http://www.micosoft.com/technet/community/columns/secmgmt/sm0504.mspx.

Sollte das nicht möglich sein ist die zweitbeste Möglichkeit ein paralleles System (am besten Linux), das auch auf dem Rechner betrieben wird und über den Boot-Manager auswählbar ist und mit dem man ein System auf einer bestimmten Partition scannen und fixen kann.
Sollte auch das nicht möglich sein, sollte man den Rechner im abgesicherten Modus starten (beim System-Start die F8-Taste mehrfach drücken), denn viele Viren sind in diesem Modus mangels nicht-geladener Treiber nicht aktiv.
Sollte auch das nicht möglich sein, bleibt wohl nur eine Beseitigung durch Starten des befallenen Systems. Aber das ist natürlich die schlechteste denkbare Variante :-(

Wie sieht eine Phishing-Mail aus?

Ich selbst habe bis Anfang 2006 noch keine Phishing-Mail bekommen, aber ein Kollege bekam eine Mail, die nur folgendes Bild enthielt:



Dieses Bild war mit nicht mit der angegebenen URL verknüpft (http://www.volksbank.de/...), sondern mit http://164.41.57.42/rpm/. Man landet auf einer Seite, die eine Laie für eine Volksbank-Seite halten könnte (sie ist eigentlich schlecht gemacht, aber es gibt bestimmt auch bessere). Auf der Seite wird man aufgefordert die PIN und ein paar TANs einzugeben. Viel Spass beim Ausfüllen von Blankoschecks.

Umsetzung R.

Da hier eine Firma betrieben wird, gelten andere Security-Anforderungen als bei einem Privat-Anwender. Rechnerausfälle (durch Viren) sind schon teuer, Datenverluste können zur Insolvenz führen. Das muss ALLEN bewusst sein.
Nur zur Verdeutlichung:
  • ein Virus kann Dateien, z. B. die Diestein-Datenbank zerstören. Damit gehen Informationen über Aufträge und Rechnungen verloren. Das ist ein sofort sichtbarer Schaden, der sich auf mehrere tausend Euro belaufen kann
  • die Neuinstallation eines Rechner dauert 8 Stunden. Bei einem Stundensatz von nur 50 Euro sind das 400 Euro
Wer jetzt also die Regeln nicht befolgt, muss 400 Euro auf mein Konto überweisen. Das ist kein Spass.

Wir brauchen drei Rechner:
  • Workstation (evtl. kleiner neuer Rechner) Windows 2000 (XP scheidet wohl Stairs aus, das einen benötigt)
    • hier wird gearbeitet (als normaler User, nicht mit dem Administrator)
    • super sicher
    • Datensicherung:
      • automatische Sicherung der Benutzer- und Konfigurationsdaten
      • System-Partitions-Image
    • darf die (später immer mal wieder als Image zu sichernde) Partitionen nur so gross sein, dass sie auf eine DVD passt?
  • Internet (evtl. alter Rechner oder neuer Laptop?): Windows 2000 oder Win98
    • zum Surfen, eMailen, eBanking
    • super sicher (denn hier wird eBanking gemacht)
    • keine Netzwerkverbindung zu den anderen Rechnern - totale Isolation
    • eine Partition
    • keine Sicherung, denn alle Daten sind online oder nicht so wichtig (geht das???)
  • Backup: Knoppix
    • Sicherung von Rechnern, die über Netzwerk verbunden sind
    • evtl. zwei Festplatten
    • einmal wöchentlich wird eine DVD gebrannt
  • neuer Laptop:
    • hängt im Netzwerk mit der Workstation und dem Backup-Rechner
    • wird gesichert
  • Spiele- und Ausprobierrechner (alter Laptop???):
    • unsicherer Rechner, keine Anstrengungen, um ihn sicher zu machen
    • nicht im Netzwerk - totale Isolation
    • Nina kann hier spielen
    • Rene und Sabine können wir nützliche, aber nicht absolut notwendige Software installieren (z. B. WeightWatcher, Routenplaner)
    • hier kann auch Software nur mal zum Ausprobieren installiert werden
    • Rechner kann innerhalb von 30 Minuten neu aufgesetzt werden
    • wird nicht gesichert, somit gelangen auch keine verseuchten Dateien auf den Backup-Rechner

Details:

  • Was heisst "super sicher"?
    • Grundregel: so wenig Software wie nötig (kein überflüssiger Scheiss)
    • keine Internetverbindung
    • immer aktuellste Patches
    • immer aktuelle Virendefinitionen
  • Windows-Einstellungen:
    • Auf den "sicheren" Windows-Rechnern kommt NTFS als Filesystem zum Einsatz. Für die tägliche Arbeit wird ein normaler User-Account verwendet, kein User mit Administrator-Rechten. Diese beiden Aspekte können die Auswirkungen eines Virus deutlich reduzieren.
    • Rechner mit Internet-Verbindung nutzen eine Firewall. Am besten wäre eine Hardware-Firewall, die wir aber nicht haben. Es wird eine Software-Firewall verwendet
    • Windows-Update regelmässig durchführen
  • Backup:
    • System-Partitions-Images werden einmal im Quartal angefertigt (per Partition Image über die Knoppix-Boot-CD) und auf DVD gebrannt
    • Benutzer- und Konfigurationsdaten-Sicherungen erfolgen inkrementell, einmal wöchentlich full-Backup mit DVD-Erzeugung, um die Auswirkungen eines Festplatten-Crashes oder eines Virusses (der sich ja doch mal einschleichen kann) möglichst gering zu halten
    • einmal im Halbjahr wird am Internet-Rechner getestet, ob sich der Rechner über das Image tatsächlich neu aufsetzen lässt - Notfallübung
    • Images werden über eine relativ aktuelle Knoppix-CD gezogen (bei jedem Image wird aufgeschrieben mit welchem Knoppix das Image erzeugt wurde, denn damit wird es auch restored)
  • Anti-Viren-Software:
    • Norton Anti-Virus, da wir eh schon über eine solche Lizenz verfügen und die Software bei Tests gut abgeschnitten hat
    • wird so konfiguriert, dass es ständig im Hintergrund läuft
    • wird so konfiguriert, dass es sich automatisch regelmässig updated
  • Knoppix-CD wird als Notfall-System verwendet, um im Bedarfsfall ein Image zu restoren oder Dateien on-demand zu sichern oder, oder, oder ...

Probleme:

  • Support für Windows 2000 wird eingestellt, so dass irgendwann keine Security-Patches mehr zur Verfügung stehen. Leider können wir wegen Stairs (Dongle) nicht auf XP umsteigen. Es gibt einen kostenpflichtigen Support bis 2010. Für sicherheitskritische Updates soll der Support voraussichtlich bis Mitte 2007 kostenlos sein (http://www.heise.de/newsticker/meldung/60045). Nach dem Service-Pack 4 wird es kein weiteres Service-Pack für Windows 2000 mehr geben. Stattdessen gibt es sog. Update-Rollups (http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/rollup.asp, http://www.heise.de/newsticker/meldung/53733). Dabei enthält ein Update-Rollup i. a. nur sicherheitskritische Updates, die sich seit Service-Pack 4 ergeben haben (Erscheinungstermin: 30. April 2005).
  • Problematisch ist, dass keine Breitbank-Internet-Verbindung zur Verfügung steht. Somit können Security-Patches nicht mal eben schnell aus dem Internet geladen werden. Papa wird dafür verantwortlich sein, diese Dateien bereitzustellen und R. eine CD zu brennen.

Links