1
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 [email protected] www.gwdg.de
von
Sicherheit im InternetSicherheit im Internet-- Vertiefung Vertiefung --
Holger Beck
2
ThemenThemen
Bits und Bytes zu ausgewählten Themen• Personal Firewalls• Betriebssystem Windows XP
- Anpassung der Installation- Software Update Service (SUS)
• Browser-Konfiguration• Mailprogramme• Virenscanner• Was tun mit kompromittierten Systemen?
2
3
Hintergrund: Hintergrund: IPIP--AdressenAdressen
Internet Protocol (IP) – Basis der weltweiten Kommunikation im NetzVerbindungen im Internet erfolgen über IP-Adressen• vergleichbar Telefonnummern• bestehen aus 4 Zahlen zwischen 0 und 255• Beispiel: 134.76.10.47
Namen von Internetservern• nur eine Hilfe für Nutzer• Beispiel: www.gwdg.de• Umsetzung über Domain Name Service (DNS) – automatische
TelefonauskunftÜber die IP-Adressen, das IP-Protokoll und die Netzwerkinfrastruktur aus „Routern“ und Kabeln wird die Erreichbarkeit von Rechnern sichergestellt.
4
Hintergrund: PortsHintergrund: Ports
Rechner haben verschiedene Funktionen (Dienste)• Zusätzliche Angabe des Dienstes nötig• Spezielle Protokolle zusätzlich zu IP („höhere
Protokollschichten“)• Gängige Protokolle:
- TCP (Transmission Control Protocol)- UDP (User Datagram Protocol)
• Bei beiden Spezifikation von Diensten über „Portnummern“ zwischen 1 und 65535 (216 -1)
• Jedem Dienst wird im Internet eine Nummer zugeordnet.
- Beispiel: Der Dienst http erhält immer die Nummer 80
3
5
Hintergrund: Beispiel bekannter PortsHintergrund: Beispiel bekannter Ports
Beispiele bekannter Portnummern (Windows-typisch):• 22 SSH (Verschlüsselte Dialogzugänge unter UNIX)• 25 SMTP (Mail verschicken, Mailempfang auf Servern)• 53 DNS (Umsetzung zwischen IP-Adressen und Domänennamen• 80 HTTP (WWW-Seiten ansehen)• 110 POP3 (Mail aus Postfach abholen)• 135 Microsoft RPC Service (Blaster-Virus u.a.)• 137 netbios name service (Netbios-Namensauflösung, WINS)• 138 netbios datagram service (Browsing, Net Send, Benachrichtigungen)• 139 NETBIOS Session Service (Netzlaufwerke u.a.)• 443 HTTPS (WWW-Seiten über verschlüsselte Kommunikation ansehen)• 445 CIFS (Netzlaufwerke u.a. ab Windows 2000 – Sasser-Wurm u.a.)• 1214 KAZAA (Tauschbörse)• 1026 mstask (MS-Taskplaner)• 1900 Simple Service Discovery Protocol, z. B. uPnP• 3389 RDP (Remote Desktop unter Windows)• 5000 uPnP (Universal Plug & Play)• 6666-6669 IRC (Chat)• Ports unter 1024 sind privilegiert, d.h. nur Systemprozess dürfen diese verwenden.
Listen von Ports im Internet• z. B.: http://www.khine.de/tools/portlist
6
Hintergrund: Ports Hintergrund: Ports -- AnwendungAnwendung
Feste und dynamische Portnummern• Dienste eine Servers benutzen vordefinierte, feste
Portnummern.• Auch Klienten verwenden auf ihrer Seite Portnummern,• wählen diese aber dynamisch.
Sockets• ein Paar aus IP-Adresse + Port wird Socket genannt• eine Verbindung wird durch ein Paar (Client + Server) von
Sockets beschrieben.Einige Anwendungen verwenden getrennte Verbindungen fürSteuerung der Kommunikation und für die Datenübertragung• FTP (File Transfer Protocol)• einige Formen von Video- und Sprachanwendungen• Portnummern für Datenverbindungen werden dabei im
Steuerkanal dynamisch ausgehandelt- kann für Firewalls ein Problem werden
4
7
PortscansPortscans
Angreifer testen über das Netz, auf welche Ports ein Rechner antwortet.Programme für solche Portscans sind frei verfügbarPortscans finden permanent stattPortscans liefern Hinweise auf Betriebssysteme
8
Welche Dienste horchen auf meinem Rechner ins Welche Dienste horchen auf meinem Rechner ins Netz?Netz?
netstat• betriebssystem-eigenes Programm in der Kommandozeile• netstat –a zeigt alle Verbindungen an• netstat –an zeigt Nummern statt Namen• Inhalte: Sockets, Zustand• Option –o zeigt ab Windows XP auch die lokale Prozessnummer
tcpview• fensterorientiertes Programm• von Sysinternals (www.sysinternal.com)• zeigt auch Namen des Programms an
fport• Programm für Kommandozeile• zeigt auch den vollen Pfad des laufenden Programms an
- nützlich bei forensischen Untersuchungen• von Foundstone (www.foundstone.com)
5
9
Aufgaben einer Personal Aufgaben einer Personal FirewallFirewall
Grundfunktion: Filtern eingehender Verbindungen• Einschränkung auf Basis von IP-Adressen und Ports, • z. B. um Dienste nur bestimmten Rechnern zu ermöglichen• Schutz gegen Portscans
Filtern ausgehender Verbindungen (nicht immer vorhanden)• Kann vor Trojanern, Spyware und anderen unerwünschten
Programmaktivitäten schützenZusatzfunktionen einiger Produkte • Überprüfung ob Programme geändert werden (kryptographische
Prüfsummen)• Prüfung, welche Programme andere Programme starten
(regelbasiert, ggf. mit Rückfrage an Nutzer)
10
Probleme der Personal Probleme der Personal FirewallFirewall
Problem der Definition der Regeln• nur einfache Regeln ohne gute Netzwerkkenntnisse zu
verstehen- z. B. das Verbieten aller eingehenden Verbindungen in
Windows-eigener Firewall• komplexere Regeln überfordern normalen Nutzer
- bei Verbindungen, zu denen keine Regel existiert, fragt die Firewall den Anwender
- Was soll der Anwender machen? Alles erlauben? Alles verbieten?
Personal Firewalls lassen sich relativ leicht ausschalten (auch von Viren und Trojanern)Verteidigung durch Personals Firewalls erst auf dem gefährdeten System
6
11
Personal Personal FirewallFirewall –– FFüür und Widerr und Wider
Argumente gegen Personal Firewall• Überforderung der Nutzer mit Bedienung,• zu leicht auszuhebeln,• statt Angriffe blockieren besser die Angriffstellen entfernen
(Dienste gar nicht installieren),• wiegt Nutzer in falscher Sicherheit,• kann zu unerwarteten Fehlfunktionen führen (insbesondere mit
neuer, nicht richtig berücksichtigter Software)Argumente für Personal Firewall• zusätzlicher Schutz ist immer gut,• bei doppelter Absicherung bleibt noch eine Sicherung, wenn
eine einmal versagt,• Schutzfunktion auch im lokalen Netz (in dem eine zentrale
Firewall nicht mehr helfen kann),• Schutz eines neu installierten Systems vor/während Installation
der Patches,
12
Personal Personal FirewallFirewall –– Ja oder nein?Ja oder nein?
Unbedingt ja direkt nach der Installation eines neuen Systems bevor es erstmals ans Netz geht, um die aktuellsten Patcheseinzuspielen!Ansonsten: in der Regel ja• die Internet Verbindungsfirewall (Internet Connection Firewall,
ICF) von Windows XP in der Standardkonfiguration bietet zusätzlichen Schutz ohne wesentliche Nachteile
• der Benutzer wir bei der einfachen Grundkonfiguration nicht überfordert
• bei älteren Systemen lässt sich eine ähnliche Grundkonfiguration z. B. mit Kerio aufbauen
Bei Notebooks und mobilen Rechner: ja• insbesondere in fremden Netzen• aber auch im Institut (sonst vergisst man zu schnell das
Reaktivieren)
7
13
Kostenlose ProdukteKostenlose Produkte
Für Einsteiger geeignet, da sie über kein kompliziertes Regelwerk verfügen:• Internet Connection Firewall (ICF) – in XP eingebaute Firewall• ZoneAlarm 4.5 - www.zonelabs.com
www.gwdg.de/samba/windows/persfw/zlsSetup_45_594_000.exe• Deutsche Oberfläche!
Eher für fortgeschrittene Anwender:• Kerio Personal Firewall 2.1.5 - www.kerio.com
www.gwdg.de/samba/windows/persfw/kerio-pf-215-en-win.exe• Kerio Personal Firewall 4.1.0 - www.kerio.com
www.gwdg.de/samba/windows/persfw/kerio-pf-4.1.0-en-win.exe
14
ICFICF
Internet Connection Firewall = Internet Verbindungsfirewallintegriert in Windows XP, verbessert und automatisch aktiviert ab Service Pack 2unterstützt den Stealth-Mode: die Rechner sind von außen unsichtbarsie schützt aber nur von außen nach innen, nicht jedoch vor Verbindungsversuchen lokaler Software (Trojaner, Spyware)guter Schutz gegen Würmer wie Blaster und SasserKonfiguration• Start > Systemsteuerung > Windows-Firewall• Einstellung: Aktiv (empfohlen)• über das Registermenü Ausnahmen können
verschieden Dienste erlaubt werden• über das Registermenü Erweitert lassen sich
die Netzwerkverbindungen angeben, für die die ICF gelten soll
8
15
ICF (2)ICF (2)
wichtig: für die IFC wird der Dienst "Gatewaydienst auf Anwendungsebene“ benötigterstellt Protokoll-Datei in <Lw>:\Windows\pfirewall.log
Programm zur besseren Betrachtung dieses Logfiles: XP Firewall Logger 2.1a v. Robert McBridehttp://www.gwdg.de/samba/winxp/XPLogReader.zip
16
Testen einer Personal Testen einer Personal FirewallFirewall
Penetrationstest:• Leaktest v. Gibson Research Corp.
http://grc.com/lt/leaktest.htm• FireHole v. Robin Keir
http://keir.net/firehole.htmlScans von außen mit Portscannern• wie nmap 3.0 • oder SuperScan 3.0
Tests mit einem der Security-Scanner wie• nessus, www.nessus.org• Languard, www.gfi.com/languard
9
17
Betriebssystem WindowsBetriebssystem Windows
Windows-Systeme als Angriffsziel• weite Verbreitung = Große Erfolgsaussichten• weite Verbreitung = bekannte Systeme und Schwächen
Sicherheitskonzept• Microsoft
- Software-Update- Personal Firewall- Virenschutz
• und zusätzlich- sichere Konfiguration- Sicherheitsbewusstsein- Angriffsfläche minimieren durch Entfernen unnötiger Komponenten- externe Sicherheitsmaßnahmen (z.B. Firewall, Netzwerkstrukturen)
18
WindowsWindows--VersionenVersionen
Hier Konzentration auf Windows XP (Professional)Ältere Windows-Versionen?• Win9x kennt eigentlich keinerlei lokale Sicherheit
- keine Benutzerverwaltung- FAT-Dateisystem kann nicht sicher konfiguriert werden
(Vollzugriff für jeden)- Als professionelles System eigentlich ungeeignet
• Win9x-Sicherheit im Netz- Geringere Angriffsfläche (z.B. kein Angriff von Blaster-
Wurm)- solange keine Freigaben vorhanden!- Durch schlechte lokale Sicherheit höhere Gefahr bei
Netzwerkanwendungen (Explorer, Outlook, …)• Auslaufende Unterstützung für Win9x, Windows NT bei
Microsoft• Windows 2000 in vielem ähnliche wie Windows XP
10
19
Startpunkt StandardinstallationStartpunkt Standardinstallation
Nach Installation von Windows XP plus SP2 von CDBenutzerverwaltung• neue Benutzer in der Installation ohne Kennwörter eingerichtet• Administrator-Konto fehlt auf Anmeldebildschirm
Dateisystem• Alle Partitionen mit NTFS einrichten• Konvertierung von FAT zu NTFS ist problematisch
- CONVERT konfiguriert keine Restriktionen in den Zugriffsrechten (Vollzugriff für „Jeder“)!
- Zugriffsrechte der Systempartition muss dann nachbearbeitet (mitSicherheitsvorlagen oder Tools aus Ressource Kit oder manuell)
Nächste Schritte• Computerverwaltung (Systemsteuerung > Verwaltung)• Lokale Sicherheitsrichtlinie (dto.)
20
BenutzerkontenBenutzerkonten
Die Standardinstallation enthält überflüssige Konten• SUPPORT_nnnnnnnn• Hilfedienstkonto• zumindest das Support-Konto löschen
Gast-Konto• deaktivieren (nach der Installation schon deaktiviert)• umbenennen• Löschen nicht möglich und von Microsoft nicht vorgesehen• mit delguest-Tool möglich
Zusätzliches Konto mit Administrator-Recht• Möglichst wenige Personen mit Administratorrechten• Keine gemeinsam genutzten Konten• Option: Kennwort des Kontos mit RID 500 im Safe (möglichst lang und komplex)
für Notfälle• Unterschiedliche Konten für jeden Rechner?
Normale Arbeiten am Rechner nur mit Benutzerrechten• Schadensminimierung, wenn doch mal Viren, Würmer, Trojaner geladen werden• Was der Benutzer nicht darf, darf ein vom Benutzer gestarteter Schädling auch
nicht• Ggf. „Ausführen als“ nutzen
11
21
Probleme des Kontos Probleme des Kontos „„AdministratorAdministrator““
Das Administrator-Konto ist das erste Angriffsziel• Das Konto ist hat höchste Privilegien• Der Benutzername ist bekannt, nur das Kennwort muss geraten werden• Das vordefinierte Administrator-Konto unterliegt keinen Sperrungen!
- Kennwortrateangriffe können beliebig lange laufenAdministrator umbenennen
• Eine Hürde mehr,• aber die SID (Security Identifier) des „Administrator“ behält ihren bekannten Wert
(SID des Rechner mit RID 500)• mit Tools zum Auslesen der SIDs kann man den neuen Namen ermitteln• trotzdem umbenennen, denn viele Angriffe zielen nur auf den Namen
„Administrator“• auch die Beschreibung ändern
Dummy-Administrator einrichten• neuer Benutzer mit Name Administrator • ohne Gruppenzugehörigkeiten (und Rechte)• mit der Standardbeschreibung „Vordefiniertes Konto …“• sehr langes und komplexes Kennwort wählen• beschäftigt einen Angreifer erstmal ohne große Gefahr für das System• aber Angriffsversuch wird ggf. sichtbar
22
KontorichtlinienKontorichtlinien
Kennwortrichtlinien• Komplexität der Kennwörter sollte aktiviert werden• Minimale Kennwortlänge: 6-8 mindestens (Problem LM-Hash= 2x7)• Maximales Kennwortalter zwingt zu Änderungen des Kennwort
(Kennwörter sollten regelmäßig geändert werden!)• Minimales Kennwortalter verhindert sofortige Änderung auf alten Wert• Kennwortchronik verhindert zu schnelle Wiederverwendung von
KennwörternKontosperrungsrichtlinien• Schutz gegen Kennwortrateangriffe (online)• Vorübergehende Sperrung nach N Anmeldefehlversuchen innerhalb
eines definierbaren Zeitraums t• Dauer der Sperrung für Zeitraum S• Üblich N=5, t=S=30 Minuten• S=0 bedeutet Sperrung kann nur manuell aufgehoben werden (für
besonders sensible Systeme/Konten erwägen)Seiteneffekt der Kontosperrung• Falsches Kennwort gibt nach Sperrung andere Meldung
12
23
ÜÜberwachungsrichtlinienberwachungsrichtlinien
Steuerung der Aufzeichnungen im Ereignisprotokoll „Sicherheit“In Standardinstallation komplett deaktiviertZumindest Fehler überwachen (außer Prozessverfolgung)
FehlerErfolgRichtlinie
⌧Systemereignisse überwachen
⌧⌧Richtlinienänderungen überwachen
⌧?Rechteverwendung überwachen
Prozessverfolgung überwachen
⌧Objektzugriffsversuche überwachen
⌧⌧Kontenverwaltung überwachen
⌧?Anmeldeversuche überwachen
⌧⌧Anmeldeereignisse überwachen
⌧Active Directory-Zugriff überwachen
24
SicherheitsoptionenSicherheitsoptionen
Herunterfahren:• Auslagerungsdatei des virtuellen Arbeitsspeichers löschen: aktivieren• Herunterfahren des Systems ohne Anmeldung zulassen: deaktivieren
Interaktive Anmeldung:• Anzahl zwischengespeicherter Anmeldungen: 0 bei
Domäneneinbindung• Keine STRG-ALT-ENTF erforderlich: deaktivieren• Letzten Benutzernamen nicht anzeigen: aktivieren
Microsoft-Netzwerk (Client):• Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden:
deaktivierenNetzwerksicherheit:• Keine LAN Manager-Hashwerte für nächste Kennwortänderung
speichern: aktivieren (soweit nicht von älteren Clienten benötigt)• LAN Manager-Authentifizierungsebene: Nur NTLMv2-Antworten
senden\LM & NTLM verweigern (soweit nicht von älteren Clientenbenötigt)
• Win9x mit DSClient NTLMv2-fähig machen (W2k-CD \Support)
13
25
AnmeldebildschirmAnmeldebildschirm
Administrator sichtbar machen• Registry-Wert erzeugen
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/SpecialAccounts/UserList/kontoname
(Typ DWORD) Wert =1 • Geht auch mit TweakUI-Programm
Alte Anmeldeprozedur (statt „Willkommensseite“) nutzen• Willkommensbildschirm zeigt gleich alle Benutzer an• und umgeht die Sicherheit, die eine Aktivierung der Anmeldung mit Alt-Strg-Entf
bietet• Unter Start > Systemsteuerung > Benutzerkonten „Art der Benutzeranmeldung
ändern“ wählen und dort „Willkommenseite verwenden“ abwählen. • Damit entfällt allerdings auch die schnelle Benutzerumschaltung.
Letzten Benutzernamen nicht anzeigen• auch ohne die Willkommensseite wird zunächst der letzte Benutzername im
Anmeldebildschirm angezeigt• Einstellung über Sicherheitsrichtlinien
Bildschirmschoner mit Kennwortschutz nutzen, damit erneuter Zugang nur über Anmeldebildschirm möglich ist.
26
Grundeinstellungen fGrundeinstellungen füür Windows Explorerr Windows Explorer
Einstellungen im Explorer unter Extras > Ordneroptionen > Ansicht„Automatisch nach Netzwerkordnern und Druckern suchen“ deaktivieren
• Kann in großen Netzen zuviel Last (und Ergebnisse) bringen.• Wohin werden dabei Anmeldeversuche gemacht (Benutzername/Kennwort übertragen)?• Ist gar die Übertragung von Kennwörtern im Klartext erlaubt?
„Einfache Dateifreigabe verwenden (empfohlen)“ deaktivieren• Auf Arbeitsplätzen besser gar nichts freigeben• Unsicherheit der Methode• Dateisystemrechte lassen sich sonst nicht über die graphische Oberfläche einstellen
„Erweiterungen bei bekannten Dateitypen ausblenden“ deaktivieren• Wird von gern von E-Mail-Viren in Dateianhängen verwendet um harmlose Dateien
vorzutäuschen• Wurm.txt.vbs wird dann nur als wurm.txt angezeigt
Zumindest Administratoren werden• „Geschützte Systemdateien ausblenden (empfohlen)“ deaktivieren,• „Inhalte von Systemordnern anzeigen“ aktivieren,• „Versteckte Dateien und Ordner“ > „Alle Dateien und Ordner anzeigen“ auswählen
„Ordnerfenster im eigenen Prozess starten“• Aktivieren, wenn man später ein privilegiertes Fenster mit „Ausführen als“ erzeugen will.
14
27
DateisystemrechteDateisystemrechte
Root („?:\“): Jeder entfernen, Benutzer auf einschränkenSystemverzeichnisse
• %systemroot%\Repair Administratoren, System: Vollzugriff• %systemroot%\Debug Administratoren, System: Vollzugriff• %systemroot%\Security Administratoren, System: Vollzugriff• %systemroot%\System32\GroupPolicy Administratoren, System: Vollzugriff
Benutzer: Lesen• %Systemroot%\System32\Config Administratoren, System: Vollzugriff
Benutzer: Lesen• Alle anderen Rechte löschen / ändern• Die Gruppe Hauptbenutzer hat zu viele Rechte
- Rechte einschränken- oder die Gruppe nicht verwenden
Zugriff auf Systemprogramme für Benutzer verbieten• regedit.exe, regedt32.exe, usrmgr.exe, mmc.exe (Administratoren, System:
Vollzugriff)Zugriffsrechte auf Registrierungsschlüssel
• Auch hier sind Einschränkungen möglich• Allgemeine Richtlinien sind aber schwer zu definieren (insbesondere falls eine
Vielzahl von Anwendungen benutzt wird).
28
DateienverschlDateienverschlüüsselungsselung
NTFS schützt die Festplatteninhalte vor unautorisierten Zugriffen• Aber nur solange das Betriebssystem läuft!
Sensible Daten sollten verschlüsselt werden• Notebooks sind besonders gefährdet
Zwei Varianten• EFS als Teil von Windows 2000 / Windows XP
- Als Attribut im Dateisystem- Für Benutzer transparent- Automatische Ver- und Entschlüsselung bei Dateisystemzugriffen- Kopieren im Netz unverschlüsselt!- Problem Speicherung der Benutzer- und
Wiederherstellungsschlüssel• Zusatzprogramme (z.B. GnuPP)
- Vom Betriebssystem unabhängig- Verschlüsselung ändert sich nicht beim Kopieren- Schlüsselmanagementproblem bleibt auch hier
15
29
DiensteDienste
In der Standardinstallation sind viele Dienste gestartet, die nicht benötigt werden Klassifizierung der Dienste:
Name Name NameAblagemappe Kryptografiedienste SystemereignisbenachrichtigungAnmeldedienst Leistungsdatenprotokolle und Warnungen SystemwiederherstellungsdienstAnwendungsverwaltung MS Software Shadow Copy Provider TaskplanerArbeitsstationsdienst Nachrichtendienst TCP/IP-NetBIOS-HilfsprogrammAutomatische Updates NetMeeting-Remotedesktop-Freigabe TelefonieCOM+-Ereignissystem Netzwerk-DDE-Dienst TelnetCOM+-Systemanwendung Netzwerk-DDE-Serverdienst TerminaldiensteComputerbrowser Netzwerkverbindungen Treibererweiterungen für Windows-VerwaltungsinstrumDesigns NLA (Network Location Awareness) Überwachung verteilter Verknüpfungen (Client)DHCP-Client NT-LM-Sicherheitsdienst Universeller Plug & Play-GerätehostDistributed Transaction Coordinator Plug & Play Unterbrechungsfreie StromversorgungDNS-Client QoS-RSVP Upload-ManagerDruckwarteschlange RAS-Verbindungsverwaltung Verwaltung für automatische RAS-VerbindungEingabegerätezugang Remoteprozeduraufruf (RPC) Verwaltung logischer DatenträgerEreignisprotokoll Remote-Registrierung Verwaltungsdienst für die Verwaltung logischer DatentFehlerberichterstattungsdienst Routing und RAS VolumeschattenkopieGatewaydienst auf Anwendungsebene RPC-Locator WarndienstGeschützter Speicher Sekundäre Anmeldung WebClientHilfe und Support Seriennummer der tragbaren Medien WechselmedienIMAPI-CD-Brenn-COM-Dienste Server Windows AudioIndexdienst Shellhardwareerkennung Windows InstallerIntelligenter Hintergrundübertragungsdienst Sicherheitskontenverwaltung Windows-Bilderfassung (WIA)Internetverbindungsfirewall/Gemeinsame Nutzung dSitzungs-Manager für Remotedesktophilfe Windows-VerwaltungsinstrumentationIPSEC-Dienste Smartcard Windows-ZeitgeberKompatibilität für schnelle Benutzerumschaltung Smartcard-Hilfsprogramm WMI-LeistungsadapterKonfigurationsfreie drahtlose Verbindung SSDP-Suchdienst
nötig möglicherweise überflüssig, prüfen verzichtbar, aber nicht sicherheitsrelevant problematisch (Übertragung von Inhalten) problematisch (Sicherheit)
30
NetzwerkdiensteNetzwerkdienste
Nach Standardinstallation aktive Ports:svchost.exe: 1124 UDP 127.0.0.1: 123 *:*svchost.exe: 1080 TCP 0.0.0.0: 135 0.0.0.0:0 LISTENINGsvchost.exe: 1080 UDP 0.0.0.0: 135 *:*System: 4 TCP 0.0.0.0: 445 0.0.0.0:0 LISTENINGSystem: 4 UDP 0.0.0.0: 445 *:*lsass.exe: 912 UDP 0.0.0.0: 500 *:*svchost.exe: 1124 TCP 0.0.0.0: 1025 0.0.0.0:0 LISTENINGsvchost.exe: 1124 UDP 0.0.0.0: 1026 *:*msmsgs.exe: 1852 UDP 0.0.0.0: 1029 *:*svchost.exe: 1356 UDP 127.0.0.1: 1900 *:*svchost.exe: 1356 TCP 0.0.0.0: 5000 0.0.0.0:0 LISTENINGmsmsgs.exe: 1852 UDP 127.0.0.1: 30456 *:*(Ausgabe von tcpview.exe, Sysinternals)
Entfallen können (soweit nicht benötigt): • Messenger (msmsgs), • Windows-Zeitgeber (Port 123), • lsass (IPSEC-Dienst, Port 500), • UPnP (1900, 5000).
in homogener Windows-2000/XP-Umgebung NetBIOS über TCP/IP deaktivieren• (Eigenschaften von Netzwerkverbindung > Internetprotokoll (TCP/IP) >
Eigenschaften > Erweitert > WINS)Automatische DNS-Aktualisierung abschalten, wenn nicht benötigt
• (Eigenschaften von Netzwerkverbindung > Erweitert > DNS „Adressen dieser Verbindung in DNS registrieren“ deaktivieren)
Universal Plug & Play abschalten mit unpnp.exe• (http://grc.com/UnPnP/UnPnP.htm)
16
31
Null Null SessionsSessions
Anonyme Zugriffe auf Netzwerkressourcen• z.B. zur Abfrage aller existierenden Freigaben gedacht• In der Standardinstallation aktiviert• Test: net use \\rechner\ipc$ ““ /user:““
Nutzung von Null Session durch Angreifer• Auslesen aller Benutzerkonten, Richtlinieneinstellungen und Freigabenamen
Unterbinden• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnon
ymous=2• Wert 1 reicht bei Windows 2000 / XP nicht• Sicherheitsoptionen
- RestrictAnonymous=0: „Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben“ deaktiviert
- RestrictAnonymous=1: „Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben“ aktiviert
- RestrictAnonymous=2: „Anonyme SID-/Namensumsetzung zulassen“deaktiviert
- RestrictAnonymousSam=1: „Anonyme Aufzählung von SAM-Konten nicht erlauben“ aktiviert
• Aber: Windows NT kann auf einen Server mit RestrictAnonymous=2 nicht mehr zugreifen
32
RemotedesktopRemotedesktop
Zwei Arten• Remoteunterstützungsanforderung: Für Unterstützung durch
Helpdesk• Remotedesktopverbindung: Nutzung des Rechners aus der Ferne• Unter Systemsteuerung > System > Remote konfigurieren• Dienst „Terminaldienste“
Potentielles Problem• RDP bietet Hackern den optimalen Zugriff• Abschalten, falls nicht wirklich benötigt
- In Systemsteuerung beide Optionen ausschalten- Dienst deaktivieren
• Falls benötigt, Zugriff über Personal Firewall oder Firewall im Netz einschränken
- Verwendet wird TCP-Port 3389
17
33
XPXP--AntispyAntispy
Freeware Tool u.a. zum Einstellen (reduzieren) der Gesprächigkeit von Windows XPAutomatische Updates müssen aktiviert sein, wenn SUS-Servergenützt werden soll.Zeitsynchronisation auf lokalen Server einstellen (unter Spezial > Timeserver festlegen)Remotedesktop abschalten, falls nicht wirklich genutztMicrosoft Messenger (MSN) deinstallieren, falls nicht wirklich genutzt
34
NetzwerkkonfigurationNetzwerkkonfiguration
Internetverbindungsfirewall• Spätestens Blaster lehrt: Einschalten, bevor man versucht die
Softwareupdates per Netz zu laden!Gemeinsame Nutzung der Internetverbindung• Z.B. Verbindung eines lokalen Netzes über Modem, FunkLAN über den
Computer• Weder Nutzung noch Steuerung erlauben
Standardfreigaben• Alle Laufwerke und das Windows-Verzeichnis sind für Administratoren
freigegeben- Deaktivieren, falls nicht für Remotemanagement benötigt- Einfaches Aufheben der Freigabe wirkt aber nur bis zum nächsten
Reboot- In
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/LanmanServer/ParametersDWORD-Wert AutoShareWks bzw. AutoShareServer erzeugen und auf 0 setzen
• „Gemeinsame Dokumente“ ist als „SharedDocs“ freigegeben: deaktivieren
18
35
UpdatesUpdates
System unbedingt aktuell haltenÜberprüfung mit Microsoft Baseline Security Analyzer• fehlende Softwarekorrekturen• unsichere Einstellungen• fehlende und schlechte Kennwörter• für Microsoft-Produkte
- Windows NT/2000/XP/2003- Office- Internet Information Server (IIS)- Microsoft SQL-Server
• www.gwdg.de/service/sicherheit/aktuell/mbsa.htmlNutzung von• eigenem SUS-Server (z.B. GWDG)• Windows-Update bei Microsoft• manuelle Updates (ggf. über Windows-Updatekatalog
zusammenstellen
36
Software Update Service (SUS)Software Update Service (SUS)
Was ist SUS• Kopie des Windows-Update-Dienstes von Microsoft• auf eigenem Server,• daher keine Bedenken, dass Microsoft Informationen
über die eigenen Rechner sammelt.• Patches müssen vom SUS-Administrator freigegeben
werden- Möglichkeit zum Testen vor Freigabe
Verfügbarkeit• Windows 2000 ab SP3• Windows XP ab SP1• Windows 2003
19
37
SUSSUS--EinrichtungEinrichtungAls Administrator gpedit.msc über Start -> Ausführen aufrufen,Unter Computerkonfiguration -> Administrativen Vorlagen im Kontextmenü (rechte Maustaste) Vorlagen hinzufügen/entfernen… aufrufen. Administrative Vorlage wuau.adm einbinden.
38
SUSSUS--EinrichtungEinrichtung (2)(2)
Jetzt lässt sich Windows Update in der Gruppenrichtlinie konfigurieren
20
39
SUSSUS--EinrichtungEinrichtung (3)(3)
Einstellmöglichkeiten ab Windows XP stark erweitert
• Einige Einstellungen müssen nicht konfiguriert werden
Automatische Updates konfigurieren• 2 = Vor dem Download von Updates
benachrichtigen und vor deren Installation erneut benachrichtigen
• 3 = (Standardeinstellung) Updates automatisch downloaden und über installierbare Updates benachrichtigen
• 4 = Updates automatisch downloaden und laut angegebenem Zeitplan installieren
• 4 ist zu empfehlen• Täglich und zu einer Uhrzeit, zu der
der Rechner eingeschaltet ist.
40
SUSSUS--EinrichtungEinrichtung (4)(4)
Internen Pfad für den Microsoft Updatedienst angeben• hier wird die URL des
lokalen SUS-Serversfestgelegt.
• für den SUS-Server der GWDG
- http://sus.gwdg.de
21
41
SUSSUS--EinrichtungEinrichtung (5)(5)
Clientseitige Zielzuordnung• wird erst mit der
nächsten SUS-Server-Version unterstützt
• erlaubt dann nach ClientengruppenPatches freizugeben
42
SUSSUS--EinrichtungEinrichtung (6)(6)
Zeitplan für geplante Installationen neu erstellen• Wartezeit nach dem Systemstart,
bevor eine zuvor verpasste geplante Installation ausgeführt wird.
• Wenn der Status deaktiviert ist, wird eine verpasste geplante Installation zum nächsten geplanten Installationszeitpunkt ausgeführt.
• Wenn der Status nicht konfiguriert ist, wird eine verpasste geplante Installation eine Minute nach dem Neustart ausgeführt.
22
43
SUSSUS--EinrichtungEinrichtung (7)(7)
Keinen automatischen Neustart für geplante Installationen ausführen• Aktivieren, damit der
Update-Prozess nicht nach der Installation der Updates den Computer ohne Rückfrage beim Benutzer automatisch (nach 5 Minuten) neu startet
44
SUSSUS--EinrichtungEinrichtung (8)(8)
Automatische Updates sofort installieren• Aktivieren• Sonst werden die
Updates nur heruntergeladen
• Die Installation müsste dann von Nutzer gestartet werden.
23
45
SUSSUS--EinrichtungEinrichtung (9)(9)
Probleme bei Benutzern mit Administrator-Rechten• Änderung des Ablaufs• keine automatische Installation• nur Download• Hinweissymbol in der Taskleiste:
Weitere Informationen• zur weniger komfortablen Einrichtung unter älteren
Windows-Versionen• Registry-Schlüssel• Sonderfälle• unter http://sus.gwdg.de
46
Internet ExplorerInternet Explorer
Gefährdung• Internetseiten enthalten nicht mehr nur Text und Bilder,• sondern immer mehr aktive Inhalte (Programme), die im Browser / auf
dem lokalen Rechner ausgeführt werden• ActiveX-Controls, VB-Scripten, Java-Applets werden über IE gesteuert
(Sicherheitskontrolle)• IE im Betriebssystem integriert und dort intern vielfältig verwendet:
- kommt also nicht nur zum Einsatz, wenn explizit aufgerufen!Zonenkonzept• Zone 0: Lokaler Computer (als Zone nicht angezeigt)• Zone 1: Lokales Intranet (Sites explizit zu definieren)• Zone 2: Vertrauenswürdige Sites (Sites explizit zu definieren)• Zone 3: Internet (Standardzone für sonst nicht klassifizierte Sites im IE)• Zone 4: Eingeschränkte Sites (Sites explizit zu definieren)
Vorlagen für Sicherheitseinstellungen (Stufen)• sehr niedrig, niedrig, mittel, hoch
Möglichst IE 6.0 SP2 mit aktuellsten Patches einsetzen
24
47
IE IE –– ZonensicherheitseinstellungenZonensicherheitseinstellungen
Wegen immer wieder auftretenden Sicherheitproblemen sollte die Internetzone restriktiver eingestellt werden:• ActiveX-Steuerelemente und Plugins
- ActiveX-Steuerelemente ausführen, die für Scripting sicher sind: Eingabeaufforderung- ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind: Deaktivieren- ActiveX-Steuerelemente und Plugins ausführen: Eingabeaufforderung- Download von signierten ActiveX-Steuerelementen: Eingabeaufforderung- Download von unsignierten ActiveX-Steuerelementen: Deaktivieren
• Benutzerauthentifizierung- Automatische Anmelden nur in der Intranetzone
• Download- Dateidownload: Aktivieren- Schriftartdownload: Aktivieren
• Microsoft VM- Java-Einstellungen: Hohe Sicherheit
• Scripting- Active Scripting: Deaktivieren- Einfügeoperationen über ein Skript zulassen: Eingabeaufforderung- Scripting von Java-Applets: Eingabeaufforderung
• Verschiedenes- Auf Datenquellen über Domänengrenzen hinweg zugreifen: Deaktivieren- Dauerhaftigkeit von Benutzerdaten: Aktivieren- Gemischte Inhalte anzeigen: Deaktivieren- Installation von Desktopobjekten: Deaktivieren- Keine Aufforderung zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist: Deaktivieren- META REFRESH zulassen: Aktivieren- Programme und Daten in einem IFRAME starten: Eingabeaufforderung- Subframes zwischen verschiedenen Domänen bewegen: Eingabeaufforderung- Unverschlüsselte Formulardaten übermitteln: Eingabeaufforderung- Ziehen und Ablegen oder Kopieren und Einfügen von Dateien: Eingabeaufforderung- Zugriffsrechte für Softwarechannel: Hohe Sicherheit
Dann müssen einige Sites bei Bedarf unter „Vertrauenswürdige Sites“ aufgenommen werdenAlternativ: „Eingeschränkte Sites“ zur Standardzone machen?
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
48
IE IE –– weitere Sicherheitseinstellungweitere Sicherheitseinstellung
Einstellungen in Internetoptionen > Erweitert• Automatische Überprüfung auf Aktualisierung von IE: deaktivieren• Auf zurückgezogene Serverzertifikate überprüfen: aktivieren• Auf zurückgezogene Zertifikate von Herausgebern überprüfen:
aktivieren• Bei ungültigen Sitezertifikaten warnen: aktivieren• Bei Wechsel zwischen sicherem und nicht sicherem Modus warnen:
aktivieren• Warnen, falls Formulardaten umgelenkt werden: aktivieren• Auf zurückgezogene Serverzertifikate überprüfen: aktivieren
Cookie-Behandlung in Internetoptionen > Datenschutz > Erweitert• Automatische Cookiebehandlung aufheben• Cookies von Erstanbietern - entweder Sperren oder Annehmen, je nach
dem ob man Cookies für bestimmte Internetdienste benötigt werden• Cookies von Drittanbietern - Sperren• Sitzungscookies immer zulassen
25
49
Alternative Alternative FirefoxFirefox
Eigenschaften• Freie Software, z. B. von
- www.gwdg.de/samba/windows/firefox/de/Firefox_Setup_1.0.exe• aus Mozilla ausgekoppelter Browser• die meisten Angreifer zielen auf den Internet Explorer• daher ist Firefox sicherer
Sicherheitsrelevante Konfiguration in Extras > Einstellungen• Datenschutz
- Formulardaten nicht speichern- Passwörter nicht speichern- Cookies einschränken
• Web-Features- Popup-Fenster blockieren- Websites das Installieren von Software erlauben: Nur eingeschränkt- Grafiken laden: nur von der ursprünglichen Webseite - Java aktivieren?- JavaScript aktivieren? (Punkte unter „Erweitert“ abwählen)
• weiter Beschreibungen unter www.gwdg.de/service/netze/www-server/index.html
50
Outlook ExpressOutlook Express
Mitgeliefertes Mailprogramm, sicherheitstechnisch nicht optimalSicherheit von Internet Explorer (Patches, Zonenkonfiguration) abhängigHTML-Mails (prinzipiell, nicht nur OE)
• Sicherheitsrisiko, also wenigstens nicht selbst welche verschicken („nur Text“verwenden)
Dateianhänge (prinzipiell, nicht nur OE)• immer erst speichern, • dann gespeicherte Version öffnen• damit Virenscanner die Datei untersucht• oder bei unklarer Quelle gar nicht öffnen
Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!)
• Extras > Konten > Eigenschaften > ErweitertVorschaufenster vermeiden
• Extras > Optionen > Lesen „Nachrichten im Vorschaufenster automatisch downloaden“ deaktivieren
Sicherheitseinstellungen (Extras > Optionen > Sicherheit)• Internet-Explorer-Sicherheitszone: „Zone für eingeschränkte Sites“• „Warnung anzeigen, wenn andere Anwendungen versuchen, E-Mail unter
meinem Namen zu versenden“ aktivierenSchutz vor Dialer
• „Hinweis beim Wechsel der DFÜ-Verbindung“ aktivieren (Extras > Optionen > Verbindungen)
26
51
Outlook XP / Outlook 2003Outlook XP / Outlook 2003
Sicherheitstechnisch Outlook Express überlegen• Wenn möglich Outlook statt Outlook Express einsetzen
Teil von Office XP bzw. Office 2003Achtung: Service Packs von Office XP / Office 2003 einspielenNutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!)Mail in Zone „Eingeschränkte Site“ verarbeitenVorschaufenster nicht nutzen
• Im Menü Ansicht „Vorschaufenster“ und „Autovorschau“ deaktivierenHTML-Mails in Text umwandeln
• HKEY_Current_User\Software\Microsoft\Office\10.0\Outlook\Option\Mail\ReadAsPlain=1 setzen (ggf. DWORD-Wert erzeugen)
• Bei Outlook 2003 integriert: Extras > Optionen > E-Mail-Format > Internetformat > In-Nur-Text-Format konvertieren
Viele Dateianhänge werden von Outlook XP nicht angezeigt• Freischaltung bei Bedarf mit OutlookTuner2002.exe
(http://www.gwdg.de/samba/windows/OutlookTuner2002.exe)• Ansonsten Regeln wie bei OE
Spam-Filter in Outlook 2003• Aktion > Junk E-Mail > Junk E-Mail Optionen…• Schutz: hoch
52
Alternative Alternative ThunderbirdThunderbird
Eigenschaften• Freie Software, z. B. von
- www.gwdg.de/samba/windows/thunderbird/de/Thunderbird_Setup_1.0.exe • aus Mozilla ausgekoppelter Mailclient• die meisten Angreifer zielen auf den Outlook• daher kann Thunderbird sicherer sein
Konfiguration (sicherheitsrelevante Teile)• Verfassen
- Sende- und HTML-Optionen/Sende-Optionen...: Nachrichten in reinen Text konvertieren
• Anhänge- Anhänge speichern unter: Immer fragen, wohin Anhänge gespeichert werden sollen
• Erweitert- Datenschutz: Blockiere das Laden von externen Grafiken in Nachrichten: ja- Doch laden, wenn Absender im Adressbuch ist: nein (denn es könnte ja sein, dass die
Absenderadresse missbraucht wurde)- Erlaube JavaScript in Nachrichten: nein
• Extras > Konten >Server-Einstellungen- Sichere Verbindung (SSL) verwenden: ja
• Spam-Filter- Extras > Junk-Filter Einstellungen…
27
53
Sichere MailSichere Mail
Absenderadressen von Mails können beliebig gefälscht werden• Das Internet-Mail-Protokoll SMTP sieht keine Authentifizierung
vor• Erweiterung durch kryptographische Signaturen von Mails
- PGP- X.509 / SMIME- Probleme der Signaturprüfung
• Verschlüsselung von Mails mit gleichen Programmen möglich• Grundlage: Public-Key-Kryptographie
Public Key Infrastruktur (PKI) der GWDG / MPG• integriert in PKI des DFN-Vereins• seit 2004 für GWDG• in Kürze für MPG (im eigenen Namensraum, DFN muss MPG
noch zertifizieren)• Informationen unter http://ca.gwdg.de
Mit verschiedensten Mail-Programmen kompatibel
54
Zentrales Management von Windows XPZentrales Management von Windows XP
Viele Aufgaben lassen sich über automatisieren• über (lokale oder globale) Gruppenrichtlinien• Sicherheitsvorlagen (Snap-In für MMC)
- von Microsoft (\Windows\security\templates)- Ggf. eigene Anpassungen
• Sicherheitskonfiguration und –analyse (Snap-In für MMC)
- Vergleich mit Sicherheitsvorlagen (Analyse)- Anwendung von Sicherheitsvorlagen
(Konfiguration)
28
55
Viren, WViren, Wüürmer, Trojanische Pferde, rmer, Trojanische Pferde, HoaxHoax
Viren• Zumeist sehr kleine Programme, die in der Lage sind, sich an andere
Programme zu hängen, sich so zu reproduzieren und zeitgesteuert Schäden zu verursachen
Würmer• braucht im Gegensatz zu Viren keinen Wirt! besteht aus einem
eigenständigen Programm, welches auf dem Rechner selbständig Prozesse startet – er repliziert (kopiert) sich auf andere Rechner (z. B. über Email oder direkt über das Netz)
Trojanische Pferde• Programme, die harmlose Funktionen vortäuschen, aber sich in ein
Rechnersystem einschleusen, es kompromittieren und dort Daten ausspähen oder den Rechner fernsteuern
• verkürzt (und historisch-philologisch falsch) auch Trojaner genanntHoax• "Scherz-Mails" mit Warnungen vor angeblichen oder vermeintlichen
Viren, meist mit der Aufforderung diese Mail an alle Bekannten weiterzugeben
56
VirenscannerVirenscanner
Funktionen• OnDemand:
- der Virenscanner wird von dem Benutzer explizit angewiesen, bestimmte Verzeichnisse oder Dateien zu überprüfen
• OnAccess: - der Virenscanner springt automatisch an, sobald eine Datei auf den
Massenspeicher des Rechners gespeichert wird (Hintergrundwächter)- Der Hintergrundwächter überwacht nur bestimmte
Betriebssystemschnittstellen- Viele Würmer können sich daher unbemerkt einschleichen!- Daher: Regelmäßiger OnDemand-Scan notwendig!
Erkennung erfolgt durch• Signaturen:
- für jeden Virus hat der Virenscanner im Idealfall ein passendes Erkennungsmuster in seiner Datenbank, woran dieser Schädling eindeutig zu identifizieren ist
- diese Signaturen müssen ständig aktualisiert werden• Heuristik:
- falls der Virenscanner keine geeigneten Signaturen für den betreffenden Virus hat, soll er diesen wenigstens anhand seines typisch virulenten Verhaltens erkennen
29
57
SophosSophos AntiAnti--VirusVirus
Lizenz• für Mitarbeiter niedersächsischer Hochschulen,• für Studierenden niedersächsischer Hochschulen,• für Mitarbeiter der Institute der Max-Planck-
GesellschaftAutomatische Updates• zeitweise unbefriedigenden gelöst, aber• mit „Sophos Enterprise Manager“ im Hintergrund• über „Remote Update Tool“• jetzt eine gute Lösung
Installation über „Remote Update Tool“• z. B. von http://antivir.gwdg.de
58
Installation von Installation von SophosSophos
Remote Update Tool herunterladen• z. B. von
http://sus.gwdg.de/sophos/rupdtsfx.exe
rupdtsfx.exe laden, auspacken in temporäres Verzeichnis
Installation starten (Arbeitsplatzinstallation)nach Installation
Konfigurieren• Aufruf über Icon im Systemtray
30
59
Konfiguration von Konfiguration von SophosSophos
Einstellung des ServerBenutzernameKennwort
Das Symbol zeigt im übrigen an, dass ein Update fehlgeschlagen ist
Einstellung des Update-Intervalls
60
Konfiguration Konfiguration OnDemandOnDemand--ScanScan
Einstellung des OnDemand-Scans• in Sophos Anti-
Virus• Register
„Zeitgesteuerte Aufträge“
31
61
Wenn der Virenscanner nichts mehr findetWenn der Virenscanner nichts mehr findet
Folgerung: Rechner ist virenfrei?Falsch!• Viren können das Betriebssystem soweit verändern, dass der
Virenscanner bestimmte Teile des Rechners gar nicht mehr sehen kann (Rootkits)
- Dateien- Prozesse- Registry-Schlüssel- Offene Ports
• z. B. einige Varianten von Agobot-, SDBot-, RBot-Virenintegrieren den Trojaner/Rootkit Hackdefender
Für zuverlässige Virenscans:• Virenscanner aus einem garantiert sauberen System starten
- Knoppicillin- ERD-Commander- WinPE-CDs
62
HackerHacker
Die gleichen Schwachstellen (und mehr), über die Würmer eindringen, werden auch von Hackern genutztZiele der Hacker sind z. B.:
• Nutzung von Festplattenplatz (Raubkopien legaler Dateien wie Filme, Musik und Software bis zu illegalen Inhalten wie Kinderpornographie)
• Nutzung von Übertragungsbandbreite• Nutzung als Mailserver für Spam-Verteilung• Stützpunkte für weitere Einbrüche• Stützpunkte für Angriffe auf Internet-Server (Denial of Service – DoS, Distributed Denial of
Service – DDoS)• Spionage
Gefährdung• Hacker suchen heute selten nach geheimen Informationen• auch unser Umfeld ist zunehmend gefährdet• und häufig sind wir zu leichte Beute!
Nicht auf die leichte Schulter nehmen!• Können Sie der Polizei beweisen, dass Sie selbst Opfer und nicht Täter sind?• Haftung bei (grober) Fahrlässigkeit!• Rufschaden
Hackertools werden (meist) nicht von Virenscanner gefunden.• Viele sind ganz normale Programme, die nur missbraucht werden.
32
63
Verdacht auf kompromittierte SystemintegritVerdacht auf kompromittierte Systemintegritäät t ––Was tun?Was tun?
Ruhe bewahren!Vorgesetzte / EDV-Betreuer informierenInformationen zum aktuellen Zustand sichern• laufende Prozesse, offene Ports
Rechner vom Netz nehmenvon nicht kompromittierten System booten (z.B. Knoppicillin)• Analyse
- Alle Dateien mit Größe und Modifikationsdaten erfassen- Virenscan
• Datensicherung- Komplettsicherung der Festplatte (bei Verdacht auf größeren
Vorfall) oder- Sicherung wichtiger Teile (verdächtige Dateien, Registry und
Eventlog in C:\Windows\System32\Config)
64
Verdacht auf kompromittierte SystemintegritVerdacht auf kompromittierte Systemintegritäät t ––Was tun? (2)Was tun? (2)
Untersuchung von Registry und Eventlog auf anderem Rechner (mühsam)Untersuchung der gestarteten Programme am infizierten Rechner• autoruns.exe• Gestartete Dienste (in
Computerverwaltung -> Dienste und Anwendungen -> Dienste
• hilfreich, wenn der „Normalzustand“dokumentiert ist.
• evtl. erst möglich, wenn Rootkits entfernt sind
• nicht möglich, wenn System wegen Beweissicherungnicht modifiziert werden soll
33
65
Verdacht auf kompromittierte SystemintegritVerdacht auf kompromittierte Systemintegritäät t ––Was tun? (3)Was tun? (3)
Wiederherstellung der Systemintegrität• Die sicherste Methode ist Formatierung der gesamten
Festplatte(n).• Einige Viren lassen sich auch gut mit einem Virenscanner
entfernen.• Die komplexeren Viren (mit integrierten Hintertüren) sind nicht so
sicher zu entfernen.• Nach einem Hackereinbruch kann man kaum übersehen, was
der Hacker alles modifiziert hat, also dringende Empfehlung, alles neu zu installieren
Wichtig: Backup• Regelmäßige Sicherung oder• Speicherung aller Daten auf einem (gesicherten) Server,• ggf. mit Synchronisation wichtiger Dateien auf die lokale
Festplatte
66
SpywareSpyware
Nutzerverhalten kann im Internet beobachtet werden• Ausnutzung zur Erstellung von Profilen, gezielte Werbung• Verlust der Privatsphäre• Bandbreitenverlust bei langsamen Anbindungen
Nutzung von Cookies und Web-BugsEinige Programme telefonieren nach Hause• z. B. FlashGet, GoZilla, Getright und einige P2P-Programme• Informationen hierzu:
- www.it-secure-x.net/phonehome- www.phonehome.da.ru- www.allgemeiner-datenschutz.de/phonehome
Alexa: Spione im Internet Explorer• Extras -> „verwandte Links anzeigen“ zeigt ähnliche Seiten an• Diese Information wird von der Suchmaschine Alexa gespeist, die in
dem Ruf steht, das Surfverhalten mitzuprotokollieren• Deaktivierung durch löschen eines Registry-Schlüssels
HKLM\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b-00aa003c157a (oder XP-Antispy)
34
67
SpywareSpyware--ScannerScanner
Beispiele• Ad-Aware SE Personal Edition von Lavasoft (www.lavasoft.de)• Microsoft AntiSpyware (z. Z. Betaversion verfügbar)
Eigenschaften• Durchsuchen von Dateien, Registry, Cookies nach
Auffälligkeiten,• wie Virenscanner signatur-basiert,• Signaturen müssen ebenso aktualisiert werden
Microsoft AntiSpyware• erste Erfahrungen positiv• erkennt auch einige Trojaner und Dialer• Gibt auch Informationen zur Systemkonfiguration• Stellt Modifikationen von Programmen fest (hier insbesondere
Sophos)Abhilfe mit Personal Firewalls• falls diese ausgehende Verbindungen überwachen