Sicherheit im Internet Themen

Sicherheit im Internet
- Vertiefung -
von
Holger Beck
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 21119
gwdg@gwdg.de www.gwdg.de
Themen
Bits und Bytes zu ausgewählten Themen
• Personal Firewalls
• Betriebssystem Windows XP
- Anpassung der Installation
- Software Update Service (SUS)
• Browser-Konfiguration
• Mailprogramme
• Virenscanner
• Was tun mit kompromittierten Systemen?
2
1
Hintergrund: IP-Adressen
Internet Protocol (IP) – Basis der weltweiten Kommunikation im
Netz
Verbindungen im Internet erfolgen über IP-Adressen
• vergleichbar Telefonnummern
• bestehen aus 4 Zahlen zwischen 0 und 255
• Beispiel: 134.76.10.47
Namen von Internetservern
• nur eine Hilfe für Nutzer
• Beispiel: www.gwdg.de
• Umsetzung über Domain Name Service (DNS) – automatische
Telefonauskunft
Über die IP-Adressen, das IP-Protokoll und die
Netzwerkinfrastruktur aus „Routern“ und Kabeln wird die
Erreichbarkeit von Rechnern sichergestellt.
3
Hintergrund: Ports
Rechner haben verschiedene Funktionen (Dienste)
• Zusätzliche Angabe des Dienstes nötig
• Spezielle Protokolle zusätzlich zu IP („höhere
Protokollschichten“)
• Gängige Protokolle:
- TCP (Transmission Control Protocol)
- UDP (User Datagram Protocol)
• Bei beiden Spezifikation von Diensten über
„Portnummern“ zwischen 1 und 65535 (216 -1)
• Jedem Dienst wird im Internet eine Nummer
zugeordnet.
- Beispiel: Der Dienst http erhält immer die Nummer
80
4
2
Hintergrund: Beispiel bekannter Ports
Beispiele bekannter Portnummern (Windows-typisch):
• 22
SSH (Verschlüsselte Dialogzugänge unter UNIX)
• 25
SMTP (Mail verschicken, Mailempfang auf Servern)
• 53
DNS (Umsetzung zwischen IP-Adressen und Domänennamen
• 80
HTTP (WWW-Seiten ansehen)
• 110
POP3 (Mail aus Postfach abholen)
• 135
Microsoft RPC Service (Blaster-Virus u.a.)
• 137
netbios name service (Netbios-Namensauflösung, WINS)
• 138
netbios datagram service (Browsing, Net Send, Benachrichtigungen)
• 139
NETBIOS Session Service (Netzlaufwerke u.a.)
• 443
HTTPS (WWW-Seiten über verschlüsselte Kommunikation ansehen)
• 445
CIFS (Netzlaufwerke u.a. ab Windows 2000 – Sasser-Wurm u.a.)
• 1214
KAZAA (Tauschbörse)
• 1026
mstask (MS-Taskplaner)
• 1900
Simple Service Discovery Protocol, z. B. uPnP
• 3389
RDP (Remote Desktop unter Windows)
• 5000
uPnP (Universal Plug & Play)
• 6666-6669 IRC (Chat)
• Ports unter 1024 sind privilegiert, d.h. nur Systemprozess dürfen diese verwenden.
Listen von Ports im Internet
• z. B.: http://www.khine.de/tools/portlist
5
Hintergrund: Ports - Anwendung
Feste und dynamische Portnummern
• Dienste eine Servers benutzen vordefinierte, feste
Portnummern.
• Auch Klienten verwenden auf ihrer Seite Portnummern,
• wählen diese aber dynamisch.
Sockets
• ein Paar aus IP-Adresse + Port wird Socket genannt
• eine Verbindung wird durch ein Paar (Client + Server) von
Sockets beschrieben.
Einige Anwendungen verwenden getrennte Verbindungen für
Steuerung der Kommunikation und für die Datenübertragung
• FTP (File Transfer Protocol)
• einige Formen von Video- und Sprachanwendungen
• Portnummern für Datenverbindungen werden dabei im
Steuerkanal dynamisch ausgehandelt
- kann für Firewalls ein Problem werden
6
3
Portscans
Angreifer testen über das Netz, auf welche Ports ein
Rechner antwortet.
Programme für solche Portscans sind frei verfügbar
Portscans finden permanent statt
Portscans liefern Hinweise auf Betriebssysteme
7
Welche Dienste horchen auf meinem Rechner ins
Netz?
netstat
• betriebssystem-eigenes Programm in der Kommandozeile
• netstat –a zeigt alle Verbindungen an
• netstat –an zeigt Nummern statt Namen
• Inhalte: Sockets, Zustand
• Option –o zeigt ab Windows XP auch die lokale Prozessnummer
tcpview
• fensterorientiertes Programm
• von Sysinternals (www.sysinternal.com)
• zeigt auch Namen des Programms an
fport
• Programm für Kommandozeile
• zeigt auch den vollen Pfad des laufenden Programms an
- nützlich bei forensischen Untersuchungen
• von Foundstone (www.foundstone.com)
8
4
Aufgaben einer Personal Firewall
Grundfunktion: Filtern eingehender Verbindungen
• Einschränkung auf Basis von IP-Adressen und Ports,
• z. B. um Dienste nur bestimmten Rechnern zu ermöglichen
• Schutz gegen Portscans
Filtern ausgehender Verbindungen (nicht immer vorhanden)
• Kann vor Trojanern, Spyware und anderen unerwünschten
Programmaktivitäten schützen
Zusatzfunktionen einiger Produkte
• Überprüfung ob Programme geändert werden (kryptographische
Prüfsummen)
• Prüfung, welche Programme andere Programme starten
(regelbasiert, ggf. mit Rückfrage an Nutzer)
9
Probleme der Personal Firewall
Problem der Definition der Regeln
• nur einfache Regeln ohne gute Netzwerkkenntnisse zu
verstehen
- z. B. das Verbieten aller eingehenden Verbindungen in
Windows-eigener Firewall
• komplexere Regeln überfordern normalen Nutzer
- bei Verbindungen, zu denen keine Regel existiert, fragt die
Firewall den Anwender
- Was soll der Anwender machen? Alles erlauben? Alles
verbieten?
Personal Firewalls lassen sich relativ leicht ausschalten (auch
von Viren und Trojanern)
Verteidigung durch Personals Firewalls erst auf dem gefährdeten
System
10
5
Personal Firewall – Für und Wider
Argumente gegen Personal Firewall
• Überforderung der Nutzer mit Bedienung,
• zu leicht auszuhebeln,
• statt Angriffe blockieren besser die Angriffstellen entfernen
(Dienste gar nicht installieren),
• wiegt Nutzer in falscher Sicherheit,
• kann zu unerwarteten Fehlfunktionen führen (insbesondere mit
neuer, nicht richtig berücksichtigter Software)
Argumente für Personal Firewall
• zusätzlicher Schutz ist immer gut,
• bei doppelter Absicherung bleibt noch eine Sicherung, wenn
eine einmal versagt,
• Schutzfunktion auch im lokalen Netz (in dem eine zentrale
Firewall nicht mehr helfen kann),
• Schutz eines neu installierten Systems vor/während Installation
der Patches,
11
Personal Firewall – Ja oder nein?
Unbedingt ja direkt nach der Installation eines neuen Systems
bevor es erstmals ans Netz geht, um die aktuellsten Patches
einzuspielen!
Ansonsten: in der Regel ja
• die Internet Verbindungsfirewall (Internet Connection Firewall,
ICF) von Windows XP in der Standardkonfiguration bietet
zusätzlichen Schutz ohne wesentliche Nachteile
• der Benutzer wir bei der einfachen Grundkonfiguration nicht
überfordert
• bei älteren Systemen lässt sich eine ähnliche Grundkonfiguration
z. B. mit Kerio aufbauen
Bei Notebooks und mobilen Rechner: ja
• insbesondere in fremden Netzen
• aber auch im Institut (sonst vergisst man zu schnell das
Reaktivieren)
12
6
Kostenlose Produkte
Für Einsteiger geeignet, da sie über kein kompliziertes Regelwerk
verfügen:
• Internet Connection Firewall (ICF) – in XP eingebaute Firewall
• ZoneAlarm 4.5 - www.zonelabs.com
www.gwdg.de/samba/windows/persfw/zlsSetup_45_594_000.exe
• Deutsche Oberfläche!
Eher für fortgeschrittene Anwender:
• Kerio Personal Firewall 2.1.5 - www.kerio.com
www.gwdg.de/samba/windows/persfw/kerio-pf-215-en-win.exe
• Kerio Personal Firewall 4.1.0 - www.kerio.com
www.gwdg.de/samba/windows/persfw/kerio-pf-4.1.0-en-win.exe
13
ICF
Internet Connection Firewall = Internet
Verbindungsfirewall
integriert in Windows XP, verbessert und
automatisch aktiviert ab Service Pack 2
unterstützt den Stealth-Mode: die Rechner sind
von außen unsichtbar
sie schützt aber nur von außen nach innen, nicht
jedoch vor Verbindungsversuchen lokaler Software
(Trojaner, Spyware)
guter Schutz gegen Würmer wie Blaster und
Sasser
Konfiguration
• Start > Systemsteuerung > Windows-Firewall
• Einstellung: Aktiv (empfohlen)
• über das Registermenü Ausnahmen können
verschieden Dienste erlaubt werden
• über das Registermenü Erweitert lassen sich
die Netzwerkverbindungen angeben, für die
die ICF gelten soll
14
7
ICF (2)
wichtig: für die IFC wird der Dienst "Gatewaydienst auf
Anwendungsebene“ benötigt
erstellt Protokoll-Datei in
<Lw>:\Windows\pfirewall.log
Programm zur besseren Betrachtung dieses Logfiles:
XP Firewall Logger 2.1a v. Robert McBride
http://www.gwdg.de/samba/winxp/XPLogReader.zip
15
Testen einer Personal Firewall
Penetrationstest:
• Leaktest v. Gibson Research Corp.
http://grc.com/lt/leaktest.htm
• FireHole v. Robin Keir
http://keir.net/firehole.html
Scans von außen mit Portscannern
• wie nmap 3.0
• oder SuperScan 3.0
Tests mit einem der Security-Scanner wie
• nessus, www.nessus.org
• Languard, www.gfi.com/languard
16
8
Betriebssystem Windows
Windows-Systeme als Angriffsziel
• weite Verbreitung = Große Erfolgsaussichten
• weite Verbreitung = bekannte Systeme und Schwächen
Sicherheitskonzept
• Microsoft
- Software-Update
- Personal Firewall
- Virenschutz
• und zusätzlich
- sichere Konfiguration
- Sicherheitsbewusstsein
- Angriffsfläche minimieren durch Entfernen unnötiger Komponenten
- externe Sicherheitsmaßnahmen (z.B. Firewall, Netzwerkstrukturen)
17
Windows-Versionen
Hier Konzentration auf Windows XP (Professional)
Ältere Windows-Versionen?
• Win9x kennt eigentlich keinerlei lokale Sicherheit
- keine Benutzerverwaltung
- FAT-Dateisystem kann nicht sicher konfiguriert werden
(Vollzugriff für jeden)
- Als professionelles System eigentlich ungeeignet
• Win9x-Sicherheit im Netz
- Geringere Angriffsfläche (z.B. kein Angriff von BlasterWurm)
- solange keine Freigaben vorhanden!
- Durch schlechte lokale Sicherheit höhere Gefahr bei
Netzwerkanwendungen (Explorer, Outlook, …)
• Auslaufende Unterstützung für Win9x, Windows NT bei
Microsoft
• Windows 2000 in vielem ähnliche wie Windows XP
18
9
Startpunkt Standardinstallation
Nach Installation von Windows XP plus SP2 von CD
Benutzerverwaltung
• neue Benutzer in der Installation ohne Kennwörter eingerichtet
• Administrator-Konto fehlt auf Anmeldebildschirm
Dateisystem
• Alle Partitionen mit NTFS einrichten
• Konvertierung von FAT zu NTFS ist problematisch
- CONVERT konfiguriert keine Restriktionen in den Zugriffsrechten
(Vollzugriff für „Jeder“)!
- Zugriffsrechte der Systempartition muss dann nachbearbeitet (mit
Sicherheitsvorlagen oder Tools aus Ressource Kit oder manuell)
Nächste Schritte
• Computerverwaltung (Systemsteuerung > Verwaltung)
• Lokale Sicherheitsrichtlinie (dto.)
19
Benutzerkonten
Die Standardinstallation enthält überflüssige Konten
• SUPPORT_nnnnnnnn
• Hilfedienstkonto
• zumindest das Support-Konto löschen
Gast-Konto
• deaktivieren (nach der Installation schon deaktiviert)
• umbenennen
• Löschen nicht möglich und von Microsoft nicht vorgesehen
• mit delguest-Tool möglich
Zusätzliches Konto mit Administrator-Recht
• Möglichst wenige Personen mit Administratorrechten
• Keine gemeinsam genutzten Konten
• Option: Kennwort des Kontos mit RID 500 im Safe (möglichst lang und komplex)
für Notfälle
• Unterschiedliche Konten für jeden Rechner?
Normale Arbeiten am Rechner nur mit Benutzerrechten
• Schadensminimierung, wenn doch mal Viren, Würmer, Trojaner geladen werden
• Was der Benutzer nicht darf, darf ein vom Benutzer gestarteter Schädling auch
nicht
• Ggf. „Ausführen als“ nutzen
20
10
Probleme des Kontos „Administrator“
Administrator“
Das Administrator-Konto ist das erste Angriffsziel
• Das Konto ist hat höchste Privilegien
• Der Benutzername ist bekannt, nur das Kennwort muss geraten werden
• Das vordefinierte Administrator-Konto unterliegt keinen Sperrungen!
- Kennwortrateangriffe können beliebig lange laufen
Administrator umbenennen
• Eine Hürde mehr,
• aber die SID (Security Identifier) des „Administrator“ behält ihren bekannten Wert
(SID des Rechner mit RID 500)
• mit Tools zum Auslesen der SIDs kann man den neuen Namen ermitteln
• trotzdem umbenennen, denn viele Angriffe zielen nur auf den Namen
„Administrator“
• auch die Beschreibung ändern
Dummy-Administrator einrichten
• neuer Benutzer mit Name Administrator
• ohne Gruppenzugehörigkeiten (und Rechte)
• mit der Standardbeschreibung „Vordefiniertes Konto …“
• sehr langes und komplexes Kennwort wählen
• beschäftigt einen Angreifer erstmal ohne große Gefahr für das System
• aber Angriffsversuch wird ggf. sichtbar
21
Kontorichtlinien
Kennwortrichtlinien
• Komplexität der Kennwörter sollte aktiviert werden
• Minimale Kennwortlänge: 6-8 mindestens (Problem LM-Hash= 2x7)
• Maximales Kennwortalter zwingt zu Änderungen des Kennwort
(Kennwörter sollten regelmäßig geändert werden!)
• Minimales Kennwortalter verhindert sofortige Änderung auf alten Wert
• Kennwortchronik verhindert zu schnelle Wiederverwendung von
Kennwörtern
Kontosperrungsrichtlinien
• Schutz gegen Kennwortrateangriffe (online)
• Vorübergehende Sperrung nach N Anmeldefehlversuchen innerhalb
eines definierbaren Zeitraums t
• Dauer der Sperrung für Zeitraum S
• Üblich N=5, t=S=30 Minuten
• S=0 bedeutet Sperrung kann nur manuell aufgehoben werden (für
besonders sensible Systeme/Konten erwägen)
Seiteneffekt der Kontosperrung
• Falsches Kennwort gibt nach Sperrung andere Meldung
22
11
Überwachungsrichtlinien
Steuerung der Aufzeichnungen im Ereignisprotokoll „Sicherheit“
In Standardinstallation komplett deaktiviert
Zumindest Fehler überwachen (außer Prozessverfolgung)
Richtlinie
Erfolg
Fehler
Anmeldeereignisse überwachen
⌧
⌧
Anmeldeversuche überwachen
?
⌧
Kontenverwaltung überwachen
⌧
⌧
⌧
Active Directory-Zugriff überwachen
⌧
Objektzugriffsversuche überwachen
Prozessverfolgung überwachen
Rechteverwendung überwachen
?
⌧
Richtlinienänderungen überwachen
⌧
⌧
Systemereignisse überwachen
⌧
23
Sicherheitsoptionen
Herunterfahren:
• Auslagerungsdatei des virtuellen Arbeitsspeichers löschen: aktivieren
• Herunterfahren des Systems ohne Anmeldung zulassen: deaktivieren
Interaktive Anmeldung:
• Anzahl zwischengespeicherter Anmeldungen: 0 bei
Domäneneinbindung
• Keine STRG-ALT-ENTF erforderlich: deaktivieren
• Letzten Benutzernamen nicht anzeigen: aktivieren
Microsoft-Netzwerk (Client):
• Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden:
deaktivieren
Netzwerksicherheit:
• Keine LAN Manager-Hashwerte für nächste Kennwortänderung
speichern: aktivieren (soweit nicht von älteren Clienten benötigt)
• LAN Manager-Authentifizierungsebene: Nur NTLMv2-Antworten
senden\LM & NTLM verweigern (soweit nicht von älteren Clienten
benötigt)
• Win9x mit DSClient NTLMv2-fähig machen (W2k-CD \Support)
24
12
Anmeldebildschirm
Administrator sichtbar machen
• Registry-Wert erzeugen
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Special
Accounts/UserList/kontoname
(Typ DWORD) Wert =1
• Geht auch mit TweakUI-Programm
Alte Anmeldeprozedur (statt „Willkommensseite“) nutzen
• Willkommensbildschirm zeigt gleich alle Benutzer an
• und umgeht die Sicherheit, die eine Aktivierung der Anmeldung mit Alt-Strg-Entf
bietet
• Unter Start > Systemsteuerung > Benutzerkonten „Art der Benutzeranmeldung
ändern“ wählen und dort „Willkommenseite verwenden“ abwählen.
• Damit entfällt allerdings auch die schnelle Benutzerumschaltung.
Letzten Benutzernamen nicht anzeigen
• auch ohne die Willkommensseite wird zunächst der letzte Benutzername im
Anmeldebildschirm angezeigt
• Einstellung über Sicherheitsrichtlinien
Bildschirmschoner mit Kennwortschutz nutzen, damit erneuter Zugang nur über
Anmeldebildschirm möglich ist.
25
Grundeinstellungen fü
für Windows Explorer
Einstellungen im Explorer unter Extras > Ordneroptionen > Ansicht
„Automatisch nach Netzwerkordnern und Druckern suchen“ deaktivieren
• Kann in großen Netzen zuviel Last (und Ergebnisse) bringen.
• Wohin werden dabei Anmeldeversuche gemacht (Benutzername/Kennwort übertragen)?
• Ist gar die Übertragung von Kennwörtern im Klartext erlaubt?
„Einfache Dateifreigabe verwenden (empfohlen)“ deaktivieren
• Auf Arbeitsplätzen besser gar nichts freigeben
• Unsicherheit der Methode
• Dateisystemrechte lassen sich sonst nicht über die graphische Oberfläche einstellen
„Erweiterungen bei bekannten Dateitypen ausblenden“ deaktivieren
• Wird von gern von E-Mail-Viren in Dateianhängen verwendet um harmlose Dateien
vorzutäuschen
• Wurm.txt.vbs wird dann nur als wurm.txt angezeigt
Zumindest Administratoren werden
• „Geschützte Systemdateien ausblenden (empfohlen)“ deaktivieren,
• „Inhalte von Systemordnern anzeigen“ aktivieren,
• „Versteckte Dateien und Ordner“ > „Alle Dateien und Ordner anzeigen“ auswählen
„Ordnerfenster im eigenen Prozess starten“
• Aktivieren, wenn man später ein privilegiertes Fenster mit „Ausführen als“ erzeugen will.
26
13
Dateisystemrechte
Root („?:\“): Jeder entfernen, Benutzer auf einschränken
Systemverzeichnisse
• %systemroot%\Repair
Administratoren, System: Vollzugriff
• %systemroot%\Debug
Administratoren, System: Vollzugriff
• %systemroot%\Security
Administratoren, System: Vollzugriff
• %systemroot%\System32\GroupPolicy
Administratoren, System: Vollzugriff
Benutzer: Lesen
• %Systemroot%\System32\Config
Administratoren, System: Vollzugriff
Benutzer: Lesen
• Alle anderen Rechte löschen / ändern
• Die Gruppe Hauptbenutzer hat zu viele Rechte
- Rechte einschränken
- oder die Gruppe nicht verwenden
Zugriff auf Systemprogramme für Benutzer verbieten
• regedit.exe, regedt32.exe, usrmgr.exe, mmc.exe (Administratoren, System:
Vollzugriff)
Zugriffsrechte auf Registrierungsschlüssel
• Auch hier sind Einschränkungen möglich
• Allgemeine Richtlinien sind aber schwer zu definieren (insbesondere falls eine
Vielzahl von Anwendungen benutzt wird).
27
Dateienverschlüsselung
NTFS schützt die Festplatteninhalte vor unautorisierten Zugriffen
• Aber nur solange das Betriebssystem läuft!
Sensible Daten sollten verschlüsselt werden
• Notebooks sind besonders gefährdet
Zwei Varianten
• EFS als Teil von Windows 2000 / Windows XP
- Als Attribut im Dateisystem
- Für Benutzer transparent
- Automatische Ver- und Entschlüsselung bei Dateisystemzugriffen
- Kopieren im Netz unverschlüsselt!
- Problem Speicherung der Benutzer- und
Wiederherstellungsschlüssel
• Zusatzprogramme (z.B. GnuPP)
- Vom Betriebssystem unabhängig
- Verschlüsselung ändert sich nicht beim Kopieren
- Schlüsselmanagementproblem bleibt auch hier
28
14
Dienste
In der Standardinstallation sind viele Dienste gestartet, die nicht benötigt
werden
Klassifizierung der Dienste:
Name
Ablagemappe
Anmeldedienst
Anwendungsverwaltung
Arbeitsstationsdienst
Automatische Updates
COM+-Ereignissystem
COM+-Systemanwendung
Computerbrowser
Designs
DHCP-Client
Distributed Transaction Coordinator
DNS-Client
Druckwarteschlange
Eingabegerätezugang
Ereignisprotokoll
Fehlerberichterstattungsdienst
Gatewaydienst auf Anwendungsebene
Geschützter Speicher
Hilfe und Support
IMAPI-CD-Brenn-COM-Dienste
Indexdienst
Intelligenter Hintergrundübertragungsdienst
Internetverbindungsfirewall/Gemeinsame Nutzung
IPSEC-Dienste
Kompatibilität für schnelle Benutzerumschaltung
Konfigurationsfreie drahtlose Verbindung
Name
Kryptografiedienste
Leistungsdatenprotokolle und Warnungen
MS Software Shadow Copy Provider
Nachrichtendienst
NetMeeting-Remotedesktop-Freigabe
Netzwerk-DDE-Dienst
Netzwerk-DDE-Serverdienst
Netzwerkverbindungen
NLA (Network Location Awareness)
NT-LM-Sicherheitsdienst
Plug & Play
QoS-RSVP
RAS-Verbindungsverwaltung
Remoteprozeduraufruf (RPC)
Remote-Registrierung
Routing und RAS
RPC-Locator
Sekundäre Anmeldung
Seriennummer der tragbaren Medien
Server
Shellhardwareerkennung
Sicherheitskontenverwaltung
dSitzungs-Manager für Remotedesktophilfe
Smartcard
Smartcard-Hilfsprogramm
SSDP-Suchdienst
Name
Systemereignisbenachrichtigung
Systemwiederherstellungsdienst
Taskplaner
TCP/IP-NetBIOS-Hilfsprogramm
Telefonie
Telnet
Terminaldienste
Treibererweiterungen für Windows-Verwaltungsinstrum
Überwachung verteilter Verknüpfungen (Client)
Universeller Plug & Play-Gerätehost
Unterbrechungsfreie Stromversorgung
Upload-Manager
Verwaltung für automatische RAS-Verbindung
Verwaltung logischer Datenträger
Verwaltungsdienst für die Verwaltung logischer Datent
Volumeschattenkopie
Warndienst
WebClient
Wechselmedien
Windows Audio
Windows Installer
Windows-Bilderfassung (WIA)
Windows-Verwaltungsinstrumentation
Windows-Zeitgeber
WMI-Leistungsadapter
nötig möglicherweise überflüssig, prüfen verzichtbar, aber nicht sicherheitsrelevant problematisch (Übertragung von Inhalten) problematisch (Sicherheit)
29
Netzwerkdienste
Nach Standardinstallation aktive Ports:
svchost.exe:
1124
svchost.exe:
1080
svchost.exe:
1080
System:
4
System:
4
lsass.exe:
912
svchost.exe:
1124
svchost.exe:
1124
msmsgs.exe:
1852
svchost.exe:
1356
svchost.exe:
1356
msmsgs.exe:
1852
(Ausgabe von tcpview.exe, Sysinternals)
UDP
TCP
UDP
TCP
UDP
UDP
TCP
UDP
UDP
UDP
TCP
UDP
127.0.0.1:
0.0.0.0:
0.0.0.0:
0.0.0.0:
0.0.0.0:
0.0.0.0:
0.0.0.0:
0.0.0.0:
0.0.0.0:
127.0.0.1:
0.0.0.0:
127.0.0.1:
123
135
135
445
445
500
1025
1026
1029
1900
5000
30456
*:*
0.0.0.0:0
*:*
0.0.0.0:0
*:*
*:*
0.0.0.0:0
*:*
*:*
*:*
0.0.0.0:0
*:*
LISTENING
LISTENING
LISTENING
LISTENING
Entfallen können (soweit nicht benötigt):
• Messenger (msmsgs),
• Windows-Zeitgeber (Port 123),
• lsass (IPSEC-Dienst, Port 500),
• UPnP (1900, 5000).
in homogener Windows-2000/XP-Umgebung NetBIOS über TCP/IP deaktivieren
• (Eigenschaften von Netzwerkverbindung > Internetprotokoll (TCP/IP) >
Eigenschaften > Erweitert > WINS)
Automatische DNS-Aktualisierung abschalten, wenn nicht benötigt
• (Eigenschaften von Netzwerkverbindung > Erweitert > DNS „Adressen dieser
Verbindung in DNS registrieren“ deaktivieren)
Universal Plug & Play abschalten mit unpnp.exe
• (http://grc.com/UnPnP/UnPnP.htm)
30
15
Null Sessions
Anonyme Zugriffe auf Netzwerkressourcen
• z.B. zur Abfrage aller existierenden Freigaben gedacht
• In der Standardinstallation aktiviert
• Test: net use \\rechner\ipc$ ““ /user:““
Nutzung von Null Session durch Angreifer
• Auslesen aller Benutzerkonten, Richtlinieneinstellungen und Freigabenamen
Unterbinden
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnon
ymous=2
• Wert 1 reicht bei Windows 2000 / XP nicht
• Sicherheitsoptionen
- RestrictAnonymous=0: „Anonyme Aufzählung von SAM-Konten und
freigaben nicht erlauben“ deaktiviert
- RestrictAnonymous=1: „Anonyme Aufzählung von SAM-Konten und
freigaben nicht erlauben“ aktiviert
- RestrictAnonymous=2: „Anonyme SID-/Namensumsetzung zulassen“
deaktiviert
- RestrictAnonymousSam=1: „Anonyme Aufzählung von SAM-Konten nicht
erlauben“ aktiviert
• Aber: Windows NT kann auf einen Server mit RestrictAnonymous=2 nicht mehr
zugreifen
31
Remotedesktop
Zwei Arten
• Remoteunterstützungsanforderung: Für Unterstützung durch
Helpdesk
• Remotedesktopverbindung: Nutzung des Rechners aus der Ferne
• Unter Systemsteuerung > System > Remote konfigurieren
• Dienst „Terminaldienste“
Potentielles Problem
• RDP bietet Hackern den optimalen Zugriff
• Abschalten, falls nicht wirklich benötigt
- In Systemsteuerung beide Optionen ausschalten
- Dienst deaktivieren
• Falls benötigt, Zugriff über Personal Firewall oder Firewall im Netz
einschränken
- Verwendet wird TCP-Port 3389
32
16
XP-Antispy
Freeware Tool u.a. zum
Einstellen (reduzieren) der
Gesprächigkeit von Windows
XP
Automatische Updates müssen
aktiviert sein, wenn SUS-Server
genützt werden soll.
Zeitsynchronisation auf lokalen
Server einstellen (unter Spezial >
Timeserver festlegen)
Remotedesktop abschalten, falls
nicht wirklich genutzt
Microsoft Messenger (MSN)
deinstallieren, falls nicht wirklich
genutzt
33
Netzwerkkonfiguration
Internetverbindungsfirewall
• Spätestens Blaster lehrt: Einschalten, bevor man versucht die
Softwareupdates per Netz zu laden!
Gemeinsame Nutzung der Internetverbindung
• Z.B. Verbindung eines lokalen Netzes über Modem, FunkLAN über den
Computer
• Weder Nutzung noch Steuerung erlauben
Standardfreigaben
• Alle Laufwerke und das Windows-Verzeichnis sind für Administratoren
freigegeben
- Deaktivieren, falls nicht für Remotemanagement benötigt
- Einfaches Aufheben der Freigabe wirkt aber nur bis zum nächsten
Reboot
- In
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Servic
es/LanmanServer/Parameters
DWORD-Wert AutoShareWks bzw. AutoShareServer erzeugen
und auf 0 setzen
• „Gemeinsame Dokumente“ ist als „SharedDocs“ freigegeben:
deaktivieren
34
17
Updates
System unbedingt aktuell halten
Überprüfung mit Microsoft Baseline Security Analyzer
• fehlende Softwarekorrekturen
• unsichere Einstellungen
• fehlende und schlechte Kennwörter
• für Microsoft-Produkte
- Windows NT/2000/XP/2003
- Office
- Internet Information Server (IIS)
- Microsoft SQL-Server
• www.gwdg.de/service/sicherheit/aktuell/mbsa.html
Nutzung von
• eigenem SUS-Server (z.B. GWDG)
• Windows-Update bei Microsoft
• manuelle Updates (ggf. über Windows-Updatekatalog
zusammenstellen
35
Software Update Service (SUS)
Was ist SUS
• Kopie des Windows-Update-Dienstes von Microsoft
• auf eigenem Server,
• daher keine Bedenken, dass Microsoft Informationen
über die eigenen Rechner sammelt.
• Patches müssen vom SUS-Administrator freigegeben
werden
- Möglichkeit zum Testen vor Freigabe
Verfügbarkeit
• Windows 2000 ab SP3
• Windows XP ab SP1
• Windows 2003
36
18
SUS-Einrichtung
Als Administrator gpedit.msc über Start -> Ausführen aufrufen,
Unter Computerkonfiguration -> Administrativen Vorlagen im
Kontextmenü (rechte Maustaste) Vorlagen
hinzufügen/entfernen… aufrufen.
Administrative Vorlage wuau.adm einbinden.
37
SUS-Einrichtung (2)
Jetzt lässt sich Windows Update in der Gruppenrichtlinie
konfigurieren
38
19
SUS-Einrichtung (3)
Einstellmöglichkeiten ab Windows XP
stark erweitert
• Einige Einstellungen müssen nicht
konfiguriert werden
Automatische Updates konfigurieren
• 2 = Vor dem Download von Updates
benachrichtigen und vor deren
Installation erneut benachrichtigen
• 3 = (Standardeinstellung) Updates
automatisch downloaden und über
installierbare Updates benachrichtigen
• 4 = Updates automatisch downloaden
und laut angegebenem Zeitplan
installieren
• 4 ist zu empfehlen
• Täglich und zu einer Uhrzeit, zu der
der Rechner eingeschaltet ist.
39
SUS-Einrichtung (4)
Internen Pfad für den
Microsoft Updatedienst
angeben
• hier wird die URL des
lokalen SUS-Servers
festgelegt.
• für den SUS-Server der
GWDG
- http://sus.gwdg.de
40
20
SUS-Einrichtung (5)
Clientseitige
Zielzuordnung
• wird erst mit der
nächsten SUS-ServerVersion unterstützt
• erlaubt dann nach
Clientengruppen
Patches freizugeben
41
SUS-Einrichtung (6)
Zeitplan für geplante Installationen
neu erstellen
• Wartezeit nach dem Systemstart,
bevor eine zuvor verpasste
geplante Installation ausgeführt
wird.
• Wenn der Status deaktiviert ist,
wird eine verpasste geplante
Installation zum nächsten
geplanten Installationszeitpunkt
ausgeführt.
• Wenn der Status nicht konfiguriert
ist, wird eine verpasste geplante
Installation eine Minute nach dem
Neustart ausgeführt.
42
21
SUS-Einrichtung (7)
Keinen automatischen
Neustart für geplante
Installationen ausführen
• Aktivieren, damit der
Update-Prozess nicht
nach der Installation der
Updates den Computer
ohne Rückfrage beim
Benutzer automatisch
(nach 5 Minuten) neu
startet
43
SUS-Einrichtung (8)
Automatische Updates
sofort installieren
• Aktivieren
• Sonst werden die
Updates nur
heruntergeladen
• Die Installation müsste
dann von Nutzer gestartet
werden.
44
22
SUS-Einrichtung (9)
Probleme bei Benutzern mit Administrator-Rechten
• Änderung des Ablaufs
• keine automatische Installation
• nur Download
• Hinweissymbol in der Taskleiste:
Weitere Informationen
• zur weniger komfortablen Einrichtung unter älteren
Windows-Versionen
• Registry-Schlüssel
• Sonderfälle
• unter http://sus.gwdg.de
45
Internet Explorer
Gefährdung
• Internetseiten enthalten nicht mehr nur Text und Bilder,
• sondern immer mehr aktive Inhalte (Programme), die im Browser / auf
dem lokalen Rechner ausgeführt werden
• ActiveX-Controls, VB-Scripten, Java-Applets werden über IE gesteuert
(Sicherheitskontrolle)
• IE im Betriebssystem integriert und dort intern vielfältig verwendet:
- kommt also nicht nur zum Einsatz, wenn explizit aufgerufen!
Zonenkonzept
• Zone 0: Lokaler Computer (als Zone nicht angezeigt)
• Zone 1: Lokales Intranet (Sites explizit zu definieren)
• Zone 2: Vertrauenswürdige Sites (Sites explizit zu definieren)
• Zone 3: Internet (Standardzone für sonst nicht klassifizierte Sites im IE)
• Zone 4: Eingeschränkte Sites (Sites explizit zu definieren)
Vorlagen für Sicherheitseinstellungen (Stufen)
• sehr niedrig, niedrig, mittel, hoch
Möglichst IE 6.0 SP2 mit aktuellsten Patches einsetzen
46
23
IE – Zonensicherheitseinstellungen
Wegen immer wieder auftretenden Sicherheitproblemen sollte die Internetzone restriktiver eingestellt werden:
•
ActiveX-Steuerelemente und Plugins
- ActiveX-Steuerelemente ausführen, die für Scripting sicher sind: Eingabeaufforderung
- ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind: Deaktivieren
- ActiveX-Steuerelemente und Plugins ausführen: Eingabeaufforderung
- Download von signierten ActiveX-Steuerelementen: Eingabeaufforderung
- Download von unsignierten ActiveX-Steuerelementen: Deaktivieren
•
Benutzerauthentifizierung
- Automatische Anmelden nur in der Intranetzone
•
Download
- Dateidownload: Aktivieren
- Schriftartdownload: Aktivieren
•
Microsoft VM
- Java-Einstellungen: Hohe Sicherheit
•
Scripting
- Active Scripting: Deaktivieren
- Einfügeoperationen über ein Skript zulassen: Eingabeaufforderung
- Scripting von Java-Applets: Eingabeaufforderung
•
Verschiedenes
- Auf Datenquellen über Domänengrenzen hinweg zugreifen: Deaktivieren
- Dauerhaftigkeit von Benutzerdaten: Aktivieren
- Gemischte Inhalte anzeigen: Deaktivieren
- Installation von Desktopobjekten: Deaktivieren
- Keine Aufforderung zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist: Deaktivieren
- META REFRESH zulassen: Aktivieren
- Programme und Daten in einem IFRAME starten: Eingabeaufforderung
- Subframes zwischen verschiedenen Domänen bewegen: Eingabeaufforderung
- Unverschlüsselte Formulardaten übermitteln: Eingabeaufforderung
- Ziehen und Ablegen oder Kopieren und Einfügen von Dateien: Eingabeaufforderung
- Zugriffsrechte für Softwarechannel: Hohe Sicherheit
Dann müssen einige Sites bei Bedarf unter „Vertrauenswürdige Sites“ aufgenommen werden
Alternativ: „Eingeschränkte Sites“ zur Standardzone machen?
•
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
47
IE – weitere Sicherheitseinstellung
Einstellungen in Internetoptionen > Erweitert
• Automatische Überprüfung auf Aktualisierung von IE: deaktivieren
• Auf zurückgezogene Serverzertifikate überprüfen: aktivieren
• Auf zurückgezogene Zertifikate von Herausgebern überprüfen:
aktivieren
• Bei ungültigen Sitezertifikaten warnen: aktivieren
• Bei Wechsel zwischen sicherem und nicht sicherem Modus warnen:
aktivieren
• Warnen, falls Formulardaten umgelenkt werden: aktivieren
• Auf zurückgezogene Serverzertifikate überprüfen: aktivieren
Cookie-Behandlung in Internetoptionen > Datenschutz > Erweitert
• Automatische Cookiebehandlung aufheben
• Cookies von Erstanbietern - entweder Sperren oder Annehmen, je nach
dem ob man Cookies für bestimmte Internetdienste benötigt werden
• Cookies von Drittanbietern - Sperren
• Sitzungscookies immer zulassen
48
24
Alternative Firefox
Eigenschaften
• Freie Software, z. B. von
- www.gwdg.de/samba/windows/firefox/de/Firefox_Setup_1.0.exe
• aus Mozilla ausgekoppelter Browser
• die meisten Angreifer zielen auf den Internet Explorer
• daher ist Firefox sicherer
Sicherheitsrelevante Konfiguration in Extras > Einstellungen
• Datenschutz
- Formulardaten nicht speichern
- Passwörter nicht speichern
- Cookies einschränken
• Web-Features
- Popup-Fenster blockieren
- Websites das Installieren von Software erlauben: Nur eingeschränkt
- Grafiken laden: nur von der ursprünglichen Webseite
- Java aktivieren?
- JavaScript aktivieren? (Punkte unter „Erweitert“ abwählen)
• weiter Beschreibungen unter www.gwdg.de/service/netze/www-server/index.html
49
Outlook Express
Mitgeliefertes Mailprogramm, sicherheitstechnisch nicht optimal
Sicherheit von Internet Explorer (Patches, Zonenkonfiguration) abhängig
HTML-Mails (prinzipiell, nicht nur OE)
• Sicherheitsrisiko, also wenigstens nicht selbst welche verschicken („nur Text“
verwenden)
Dateianhänge (prinzipiell, nicht nur OE)
• immer erst speichern,
• dann gespeicherte Version öffnen
• damit Virenscanner die Datei untersucht
• oder bei unklarer Quelle gar nicht öffnen
Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail
(insbesondere für Kennwörter!)
• Extras > Konten > Eigenschaften > Erweitert
Vorschaufenster vermeiden
• Extras > Optionen > Lesen „Nachrichten im Vorschaufenster automatisch
downloaden“ deaktivieren
Sicherheitseinstellungen (Extras > Optionen > Sicherheit)
• Internet-Explorer-Sicherheitszone: „Zone für eingeschränkte Sites“
• „Warnung anzeigen, wenn andere Anwendungen versuchen, E-Mail unter
meinem Namen zu versenden“ aktivieren
Schutz vor Dialer
• „Hinweis beim Wechsel der DFÜ-Verbindung“ aktivieren (Extras > Optionen >
50
Verbindungen)
25
Outlook XP / Outlook 2003
Sicherheitstechnisch Outlook Express überlegen
• Wenn möglich Outlook statt Outlook Express einsetzen
Teil von Office XP bzw. Office 2003
Achtung: Service Packs von Office XP / Office 2003 einspielen
Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für
Kennwörter!)
Mail in Zone „Eingeschränkte Site“ verarbeiten
Vorschaufenster nicht nutzen
• Im Menü Ansicht „Vorschaufenster“ und „Autovorschau“ deaktivieren
HTML-Mails in Text umwandeln
• HKEY_Current_User\Software\Microsoft\Office\10.0\Outlook\Option\Mail\ReadAsPlain=1
setzen (ggf. DWORD-Wert erzeugen)
• Bei Outlook 2003 integriert: Extras > Optionen > E-Mail-Format > Internetformat > In-NurText-Format konvertieren
Viele Dateianhänge werden von Outlook XP nicht angezeigt
• Freischaltung bei Bedarf mit OutlookTuner2002.exe
(http://www.gwdg.de/samba/windows/OutlookTuner2002.exe)
• Ansonsten Regeln wie bei OE
Spam-Filter in Outlook 2003
• Aktion > Junk E-Mail > Junk E-Mail Optionen…
• Schutz: hoch
51
Alternative Thunderbird
Eigenschaften
• Freie Software, z. B. von
- www.gwdg.de/samba/windows/thunderbird/de/Thunderbird_Setup_1.0.exe
• aus Mozilla ausgekoppelter Mailclient
• die meisten Angreifer zielen auf den Outlook
• daher kann Thunderbird sicherer sein
Konfiguration (sicherheitsrelevante Teile)
• Verfassen
- Sende- und HTML-Optionen/Sende-Optionen...: Nachrichten in reinen Text
konvertieren
• Anhänge
- Anhänge speichern unter: Immer fragen, wohin Anhänge gespeichert werden sollen
• Erweitert
- Datenschutz: Blockiere das Laden von externen Grafiken in Nachrichten: ja
- Doch laden, wenn Absender im Adressbuch ist: nein (denn es könnte ja sein, dass die
Absenderadresse missbraucht wurde)
- Erlaube JavaScript in Nachrichten: nein
• Extras > Konten >Server-Einstellungen
- Sichere Verbindung (SSL) verwenden: ja
• Spam-Filter
- Extras > Junk-Filter Einstellungen…
52
26
Sichere Mail
Absenderadressen von Mails können beliebig gefälscht werden
• Das Internet-Mail-Protokoll SMTP sieht keine Authentifizierung
vor
• Erweiterung durch kryptographische Signaturen von Mails
- PGP
- X.509 / SMIME
- Probleme der Signaturprüfung
• Verschlüsselung von Mails mit gleichen Programmen möglich
• Grundlage: Public-Key-Kryptographie
Public Key Infrastruktur (PKI) der GWDG / MPG
• integriert in PKI des DFN-Vereins
• seit 2004 für GWDG
• in Kürze für MPG (im eigenen Namensraum, DFN muss MPG
noch zertifizieren)
• Informationen unter http://ca.gwdg.de
Mit verschiedensten Mail-Programmen kompatibel
53
Zentrales Management von Windows XP
Viele Aufgaben lassen sich über automatisieren
• über (lokale oder globale) Gruppenrichtlinien
• Sicherheitsvorlagen (Snap-In für MMC)
- von Microsoft (\Windows\security\templates)
- Ggf. eigene Anpassungen
• Sicherheitskonfiguration und –analyse (Snap-In für
MMC)
- Vergleich mit Sicherheitsvorlagen (Analyse)
- Anwendung von Sicherheitsvorlagen
(Konfiguration)
54
27
Viren, Würmer, Trojanische Pferde, Hoax
Viren
• Zumeist sehr kleine Programme, die in der Lage sind, sich an andere
Programme zu hängen, sich so zu reproduzieren und zeitgesteuert
Schäden zu verursachen
Würmer
• braucht im Gegensatz zu Viren keinen Wirt! besteht aus einem
eigenständigen Programm, welches auf dem Rechner selbständig
Prozesse startet – er repliziert (kopiert) sich auf andere Rechner (z. B.
über Email oder direkt über das Netz)
Trojanische Pferde
• Programme, die harmlose Funktionen vortäuschen, aber sich in ein
Rechnersystem einschleusen, es kompromittieren und dort Daten
ausspähen oder den Rechner fernsteuern
• verkürzt (und historisch-philologisch falsch) auch Trojaner genannt
Hoax
• "Scherz-Mails" mit Warnungen vor angeblichen oder vermeintlichen
Viren, meist mit der Aufforderung diese Mail an alle Bekannten
weiterzugeben
55
Virenscanner
Funktionen
• OnDemand:
- der Virenscanner wird von dem Benutzer explizit angewiesen, bestimmte
Verzeichnisse oder Dateien zu überprüfen
• OnAccess:
- der Virenscanner springt automatisch an, sobald eine Datei auf den
Massenspeicher des Rechners gespeichert wird (Hintergrundwächter)
- Der Hintergrundwächter überwacht nur bestimmte
Betriebssystemschnittstellen
- Viele Würmer können sich daher unbemerkt einschleichen!
- Daher: Regelmäßiger OnDemand-Scan notwendig!
Erkennung erfolgt durch
• Signaturen:
- für jeden Virus hat der Virenscanner im Idealfall ein passendes
Erkennungsmuster in seiner Datenbank, woran dieser Schädling eindeutig
zu identifizieren ist
- diese Signaturen müssen ständig aktualisiert werden
• Heuristik:
- falls der Virenscanner keine geeigneten Signaturen für den betreffenden
Virus hat, soll er diesen wenigstens anhand seines typisch virulenten
Verhaltens erkennen
56
28
Sophos Anti-Virus
Lizenz
• für Mitarbeiter niedersächsischer Hochschulen,
• für Studierenden niedersächsischer Hochschulen,
• für Mitarbeiter der Institute der Max-PlanckGesellschaft
Automatische Updates
• zeitweise unbefriedigenden gelöst, aber
• mit „Sophos Enterprise Manager“ im Hintergrund
• über „Remote Update Tool“
• jetzt eine gute Lösung
Installation über „Remote Update Tool“
• z. B. von http://antivir.gwdg.de
57
Installation von Sophos
Remote Update Tool
herunterladen
• z. B. von
http://sus.gwdg.de/sophos/rup
dtsfx.exe
rupdtsfx.exe laden, auspacken in
temporäres Verzeichnis
Installation starten (Arbeitsplatzinstallation)
nach Installation
Konfigurieren
• Aufruf über Icon im Systemtray
58
29
Konfiguration von Sophos
Einstellung des Server
Benutzername
Kennwort
Einstellung des UpdateIntervalls
Das Symbol
zeigt im
übrigen an, dass ein Update
fehlgeschlagen ist
59
Konfiguration OnDemand-Scan
Einstellung des
OnDemand-Scans
• in Sophos AntiVirus
• Register
„Zeitgesteuerte
Aufträge“
60
30
Wenn der Virenscanner nichts mehr findet
Folgerung: Rechner ist virenfrei?
Falsch!
• Viren können das Betriebssystem soweit verändern, dass der
Virenscanner bestimmte Teile des Rechners gar nicht mehr
sehen kann (Rootkits)
- Dateien
- Prozesse
- Registry-Schlüssel
- Offene Ports
• z. B. einige Varianten von Agobot-, SDBot-, RBot-Viren
integrieren den Trojaner/Rootkit Hackdefender
Für zuverlässige Virenscans:
• Virenscanner aus einem garantiert sauberen System starten
- Knoppicillin
- ERD-Commander
- WinPE-CDs
61
Hacker
Die gleichen Schwachstellen (und mehr), über die Würmer eindringen, werden auch von Hackern
genutzt
Ziele der Hacker sind z. B.:
• Nutzung von Festplattenplatz (Raubkopien legaler Dateien wie Filme, Musik und Software
bis zu illegalen Inhalten wie Kinderpornographie)
• Nutzung von Übertragungsbandbreite
• Nutzung als Mailserver für Spam-Verteilung
• Stützpunkte für weitere Einbrüche
• Stützpunkte für Angriffe auf Internet-Server (Denial of Service – DoS, Distributed Denial of
Service – DDoS)
• Spionage
Gefährdung
• Hacker suchen heute selten nach geheimen Informationen
• auch unser Umfeld ist zunehmend gefährdet
• und häufig sind wir zu leichte Beute!
Nicht auf die leichte Schulter nehmen!
• Können Sie der Polizei beweisen, dass Sie selbst Opfer und nicht Täter sind?
• Haftung bei (grober) Fahrlässigkeit!
• Rufschaden
Hackertools werden (meist) nicht von Virenscanner gefunden.
• Viele sind ganz normale Programme, die nur missbraucht werden.
62
31
Verdacht auf kompromittierte Systemintegritä
Systemintegrität –
Was tun?
Ruhe bewahren!
Vorgesetzte / EDV-Betreuer informieren
Informationen zum aktuellen Zustand sichern
• laufende Prozesse, offene Ports
Rechner vom Netz nehmen
von nicht kompromittierten System booten (z.B. Knoppicillin)
• Analyse
- Alle Dateien mit Größe und Modifikationsdaten erfassen
- Virenscan
• Datensicherung
- Komplettsicherung der Festplatte (bei Verdacht auf größeren
Vorfall) oder
- Sicherung wichtiger Teile (verdächtige Dateien, Registry und
Eventlog in C:\Windows\System32\Config)
63
Verdacht auf kompromittierte Systemintegritä
Systemintegrität –
Was tun? (2)
Untersuchung von Registry und
Eventlog auf anderem Rechner
(mühsam)
Untersuchung der gestarteten
Programme am infizierten
Rechner
• autoruns.exe
• Gestartete Dienste (in
Computerverwaltung ->
Dienste und Anwendungen ->
Dienste
• hilfreich, wenn der
„Normalzustand“
dokumentiert ist.
• evtl. erst möglich, wenn
Rootkits entfernt sind
• nicht möglich, wenn System
wegen Beweissicherung
nicht modifiziert werden soll
64
32
Verdacht auf kompromittierte Systemintegritä
Systemintegrität –
Was tun? (3)
Wiederherstellung der Systemintegrität
• Die sicherste Methode ist Formatierung der gesamten
Festplatte(n).
• Einige Viren lassen sich auch gut mit einem Virenscanner
entfernen.
• Die komplexeren Viren (mit integrierten Hintertüren) sind nicht so
sicher zu entfernen.
• Nach einem Hackereinbruch kann man kaum übersehen, was
der Hacker alles modifiziert hat, also dringende Empfehlung,
alles neu zu installieren
Wichtig: Backup
• Regelmäßige Sicherung oder
• Speicherung aller Daten auf einem (gesicherten) Server,
• ggf. mit Synchronisation wichtiger Dateien auf die lokale
Festplatte
65
Spyware
Nutzerverhalten kann im Internet beobachtet werden
• Ausnutzung zur Erstellung von Profilen, gezielte Werbung
• Verlust der Privatsphäre
• Bandbreitenverlust bei langsamen Anbindungen
Nutzung von Cookies und Web-Bugs
Einige Programme telefonieren nach Hause
• z. B. FlashGet, GoZilla, Getright und einige P2P-Programme
• Informationen hierzu:
- www.it-secure-x.net/phonehome
- www.phonehome.da.ru
- www.allgemeiner-datenschutz.de/phonehome
Alexa: Spione im Internet Explorer
• Extras -> „verwandte Links anzeigen“ zeigt ähnliche Seiten an
• Diese Information wird von der Suchmaschine Alexa gespeist, die in
dem Ruf steht, das Surfverhalten mitzuprotokollieren
• Deaktivierung durch löschen eines Registry-Schlüssels
HKLM\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b00aa003c157a (oder XP-Antispy)
66
33
Spyware-Scanner
Beispiele
• Ad-Aware SE Personal Edition von Lavasoft (www.lavasoft.de)
• Microsoft AntiSpyware (z. Z. Betaversion verfügbar)
Eigenschaften
• Durchsuchen von Dateien, Registry, Cookies nach
Auffälligkeiten,
• wie Virenscanner signatur-basiert,
• Signaturen müssen ebenso aktualisiert werden
Microsoft AntiSpyware
• erste Erfahrungen positiv
• erkennt auch einige Trojaner und Dialer
• Gibt auch Informationen zur Systemkonfiguration
• Stellt Modifikationen von Programmen fest (hier insbesondere
Sophos)
Abhilfe mit Personal Firewalls
• falls diese ausgehende Verbindungen überwachen
67
34