Ralph Lehmanns IT-Blog

Google hat seine Initiative “Gut zu wissen” - erreichbar unter http://www.google.de/gutzuwissen - gestartet. Geboten werden leicht verständliche Informationen zu Computersicherheit, Banking, Datenschutz usw., schön aufgelockert durch kurze Videos.

Interessant ist außerdem, dass Google bei der Gelegenheit sehr deutlich macht, wie es mit den persönlichen Daten seiner Benutzer umgeht.

Fazit: Unbedingt lesenswert.

Computerservice und IT-Beratung Leipzig
Ralph Lehmann

Eigentlich ein alter Hut, aber offensichtlich immer noch nicht bis in den letzten Winkel vorgedrungen: Man kann Windows sicher betreiben! Ein paar Regeln gilt es allerdings einzuhalten, wie folgender Artikel zeigt:

—————————————————————

Ich unterstelle einfach mal, dass Sie sich bereits für einen Windows basierten Computer entschieden haben.
(Sie werden dafür Ihre Gründe haben). Unterschiede zwischen den Sicherheitsarchitekturen von Windows, MacOS X, Linux, etc. werden in diesem Artikel nicht debattiert.

Dieser Artikel kann und will das ideologische Minenfeld namens Sicherheit von Windows basierten Computern nicht bis ins letzte behandeln. Weitere Informationen hierzu finden Sie unter anderem auf meiner Website Ralph-Lehmann.de

1.       Auf einem Rechner sollten nur die tatsächlich benötigten Softwarepakete installiert sein.

Zur  Sicherung Ihres Rechners müssen Sie sich zuerst darum kümmern, dass dieser lediglich von Ihnen wirklich  benötigte Software enthält. Alle Programme, die unnötigerweise auf Ihrem Computer installiert sind, stellen potentielle Sicherheitslücken dar. Es ist deshalb sehr wichtig, dass Sie entweder die von Ihnen nicht benötigten Programme vom Computer entfernen, oder aber Windows und die von Ihnen wirklich benötigten Anwendungen von Hand und sauber neu installieren.

Bedauerlicherweise werden die meisten derzeit verkauften Windows basierten Computern nicht nur mit vorinstalliertem Betriebssystem sondern auch einer Vielzahl von Softwarepaketen geliefert, die Sie wahrscheinlich nie einsetzen werden. Und in der Regel dürfte die Entfernung der von Ihnen nicht benötigten Tools, Demos, 90-Tage-Testversionen, etc.  einen nicht unerheblichen Zeitaufwand verursachen. Aus diesem Grund ist es meistens einfacher, den Windows basierten Computer von Grund auf und anhand der eigenen Bedürfnisse neu zu installieren.

Am besten verwenden Sie zum aufsetzen Ihres Windows-Systems statt dem vom Hersteller mitgelieferten Wiederherstellungs-Medium eine Original Windows CD bzw. DVD entsprechend der von Ihnen lizenzierten Edition (oder eine DVD, die sämtliche Editionen umfasst). Benutzen Sie die Medien des Computerherstellers nur zur Installation der benötigten Gerätetreiber (falls überhaupt notwendig, denn Windows 7 kennt zahlreiche Geräte bereits “von Haus aus”). So können Sie vermeiden, dass die zahlreichen o.g. und oft sehr zahlreichen Softwarepakete installiert werden, welche zwar der Quersubventionierung des Computerherstellers dienlich sind - für Sie hingegen allerdings keinerlei Nutzen haben dürften.

Als Lohn ihrer Sorgfalt erhalten Sie ein schlankes, übersichtliches und mit Sicherheit deutlich schnelleres System.

2.       Halten Sie die auf dem Windows basierten Computer installierten Programme aktuell.

Während der Einrichtung von Windows werden Sie gefragt, ob Sie das Betriebssystem automatisch auf dem aktuellen Stand halten wollen. Falls Sie zustimmen, bedeutet das allerdings noch nicht, dass alle installierten Microsoft -Anwendungen von Microsoft ebenfalls automatisch aktualisiert werden. Denn hierfür ist die Aktivierung von Microsoft Update erforderlich, und diese müssen Sie manuell erledigen. Bei dieser Gelegenheit sollten sie auch gleich festlegen, dass neben den Sicherheits-Updates von Microsoft die so genannten empfohlenen Updates ebenfalls angewandt werden.

Bitte behalten Sie im Hinterkopf, dass sich Microsoft um die Applikationen von anderen Anbietern gewöhnlich nicht kümmert. Zwar bringen einige dieser Programme (z.B. von Adobe oder Google) ihren eigenen Update-Automatismus mit, viele andere müssen Sie jedoch manuell auf dem aktuellen Stand halten.

Es ist deshalb nicht die schlechteste Idee, sich der Dienste von Tools zu bedienen, die sämtliche installierten Programme auf dem Computer im Auge behalten. Als Beispiel sei an dieser Stelle das Überprüfungswerkzeug namens “Updatecheck” (eine Software der Firma Secunia) genannt, dass im Sicherheitsbereich von Heise online kostenlos verfügbar ist.

3.       Beziehen Sie Applikationen von anderen Anbietern nur aus vertrauenswürdigen Quellen.

Wenn Sie im stationären Handel Software erwerben, können Sie davon ausgehen, dass diese keinen absichtlich schädlichen Programmcode enthält. Ebenso können Sie Datenträgern vertrauen, die Sie z.B. beim Kauf einer renommierten Computerzeitschrift erhalten.

Sollten Sie Ihre Software online beziehen, ist wesentlich mehr Vorsicht angezeigt. Achten Sie darauf, nur Programme zu installieren, die Sie von bekannten Plattformen wie etwa Heise online, Chip, PC Welt usw. bezogen haben. Vergewissern Sie sich im Zweifel, dass Sie sich wirklich auf der Website des von Ihnen gewählten Anbieters befinden!

Installieren Sie dagegen nie Software, die Ihnen zum Beispiel ungefragt per E-Mail angeboten worden ist.

4.       Benutzen Sie ein eingeschränktes Benutzer-Konto ohne Admin-Rechte

Verwenden Sie für die tägliche Arbeit ein Benutzerkonto, das nicht zur Installation neuer Programme berechtigt ist und keine Änderungen am System durchführen darf. Dadurch können Sie vermeiden, dass zum Beispiel durch einen versehentlichen Klick auf einer dubiosen Website Ihr Computer mit Malware verseucht wird.

Ziehen Sie in Betracht, die Ausführung von Software mittels Systemrichtlinien weiter einzuschränken. Verhindern Sie zum Beispiel die Ausführung von Programmen, die nicht im Windows Verzeichnis oder im Programmverzeichnis liegen. Die Ausführung von unerwünschter Software lässt sich so in der Praxis so gut wie sicher ausschließen.

5.       Benutzen Sie die Windows Firewall

Seit Windows XP liefert Microsoft einen eingebauten Paketfilter mit. Die Windows Firewall funktioniert erfreulich zuverlässig und drängt sich nicht in den Vordergrund. Sie ist deshalb bestens geeignet, um Ihren sauberen Computer sauber zu halten.

Gelegentlich wird kritisiert, dass die Windows Firewall nicht in der Lage sei, einen bereits infizierten Computer davor zu bewahren, unbemerkt Daten ins Internet zu versenden. Hierzu sei angemerkt, dass diese Aussage zum einen seit dem Erscheinen von Windows Vista grundsätzlich nicht mehr richtig ist. Viel wichtiger ist jedoch, dass der auf einem kompromittieren PC laufenden Sicherheitssoftware ohnehin nicht länger vertraut werden kann. Die Verhinderung ungewollten Daten-Versands in Richtung Internet kann deshalb prinzipiell nicht zuverlässig funktionieren.

Es erscheint außerdem zweifelhaft, ob die pausenlose Meldung von vermeintlichen Attacken aus dem Internet (wie es bei vielen Drittanbieter-Produkten übliche Praxis ist) für die Sicherheit eines Windows PCs tatsächlich hilfreich ist.

6.       Nutzen Sie einen Anti-Viren-Programm als zusätzliches Sicherheitsnetz

Theoretisch könnten Sie bei Beachtung der vorherigen Abschnitte auf den Einsatz eines Virenscanners verzichten. Allerdings zeigt sich in der Praxis oft, dass Sicherheitskonzepte Lücken haben können und auch ein vorsichtig handelnder Computerbenutzer mitunter Fehler macht. Die Installation eines guten Programms zur Abwehr bösartiger Software ist deshalb in der Regel nicht die schlechteste  Idee.

Bedenken Sie außerdem, dass sie im Schadensfall (z.B. wenn von Ihrem verseuchten Computer ohne Ihr Wissen urheberrechtlich geschütztes Material in alle Welt verbreitet wurde … ) von einem Richter gefragt werden könnten, ob Sie tatsächlich alles in Ihrer Macht stehende getan haben, um Ihren Rechner nach den Regeln der Technik abzusichern.

Per E-Mail wurde ich darum gebeten, auf die Neuentwicklung einer (oder eines?) App hinzuweisen, die/das gratis über sicherheitsrelevante Themen aus dem Sündenpfuhl Internet informiert. Nun - warum eigentlich nicht?

Die/das App gibt es auf der Site www.internet-sicherheit.de, und für alle, die kein Telefon mit Obst auf dem Gehäuse ihr Eigenen nennen, wird der Gewinn eines solchen in Aussicht gestellt. Sollte es mit dem Gewinnen nicht klappen, bleibt immer noch das Ausweichen auf den ebenfalls angebotenen E-Mail Nachrichtendienst.

Ralph Lehmann * IT-Service

Auf Heise ist heute zu lesen, dass für die derzeit offene Lücke in Adobe Acrobat und Adobe Reader inzwischen ein Workaround existiert. Administratoren können das Problem beheben, indem Sie an ihre Benutzer zwei neue Registry-Schlüssel verteilen.

Leider sind die bei Heise angegebenen Schlüssel noch immer falsch, obwohl Adobe selbst seinen eigenen Blogpost inzwischen berichtigt hat.

Deshalb hier noch einmal die zwei Befehle, die es z.B. in einem Anmeldescript zu platzieren gilt:

REG ADD “HKCU\Software\Adobe\Acrobat Reader\9.0\Originals” /f /v bAllowOpenFile /t REG_DWORD /d 0
REG ADD “HKCU\Software\Adobe\Acrobat Reader\9.0\Originals” /f /v bSecureOpenFile /t REG_DWORD /d 1

Sollten Sie noch mit Adobe Reader 8 arbeiten, muss das Script entsprechend angepasst werden.

Ralph Lehmann * IT-Service

Es war einmal im August 2003 - eine Welle von Würmern überrannte die Windows-Welt. Und dafür gab es mehrere Gründe. Doch dazu später mehr.

Heute - Anfang 2010 - wird es keine solche Welle mehr geben, weil sich die Sicherheitsproblme in der IT-Welt und damit natürlich die Gegenmaßnahmen verändert haben. Die Fachwelt ist sich weitgehend einig, dass alle modernen Betriebsysteme einschließlich Windows 7 ziemlich gut gegen solche Standard-Angriffe geschützt sind. Einigkeit besteht außerdem weitestgehend darüber, dass die meisten der heute gestarteten Angriffe nicht das Betriebsystem an sich, sondern eine der auf diesem System installierten Anwendungen oder den Benutzer des Systems selbst zum Ziel haben.

Natürlich hindern solche allgemein bekannten Tatsachen den einen oder anderen Puristen nicht daran, weiterhin Computerlaien mit förmlich religiöser Inbrunst Ratschläge zu erteilen, wie sie Ihr ach so unsicheres Windows in der bösen Welt der Viren, Würmer und Trojaner absichern können:

Dienste abschalten!

Und damit die (in Hinblick auf Informationen aus der Welt der EDV) ach so schrecklich unterversorgten Amis endlich auch was davon haben, derzeit ausschließlich auf englisch. Und täglich grüßt der Nerd …

Um es klar zu sagen: Natürlich ist ein laufender Dienst/Service theoretisch immer ein potentielles Ziel eines Angriffs!

In der Praxis allerdings ist dieses Ziel derzeit für einen Angreifer so gut wie nicht erreichbar. Und falls das Ziel im Einzelfall doch erreichbar sein sollte, findet sich dort in der Regel gerade keine Sicherheitslücke …

Zurück zum Jahr 2003:  Der Blaster (Lovsan/MSBlast, erstmalig aufgetreten im August 2003) - Wurm zielte tatsächlich auf eine Sicherheitslücke eines Windows-Dienstes. Diese Schwachstelle war allerdings beim ersten Auftreten von Blaster bereits seit einiger Zeit bekannt. Ein entsprechendes Update zu diesem Zeitpunkt längst - nämlich seit dem 16.07.2003 - verfügbar.

Warum dieses Update damals auf zahlreichen Systemen nicht installiert war, wurde und wird noch immer heiß diskutiert. Oft wird gemunkelt, die Benutzer geklauter Windows-Lizenzen hätten aus Angst vor Entdeckung massenweise die Funktion “Automatische Updates” deaktiviert … und wurden deshalb infiziert

Die Diskussion um jene Ursachen spielt allerdings heute - im Jahr 2010 - wirklich nicht mehr (latür würde der Nerd sagen: nicht wirklich) eine bedeutende Rolle.

Denn Zeiten ändern sich und mit ihnen die Schwachstellen von IT-Systemen. Und mit diesen die Bedrohungen, die auf diese Schwachstellen zielen.

Was hat sich seit 2003 geändert?

1. Man mag Microsoft mögen oder auch nicht. Fakt ist, dass Windows heute selbst dann, wenn es durch einen Laien mit den Standardeinstellungen installiert und eingerichtet wird, erheblich sicherer ist als noch vor sieben Jahren.

2. Die Art, wie ein durchschnittlicher Benutzer heute die Verbindung ins Internet herstellt, hat sich geändert. Standard ist seit geraumer Zeit ein Router, der Verbindungsversuche aus Richtung Internet zur Machine des Benutzers verwirft und somit Angriffe im Stile von Blaster & Co. so gut wie unmöglich macht.

3. Angriffe, die derzeit gegen Windows-Anwender gestartet werden, haben i.d.R. andere Ziele: z.B. den Internet-Explorer (dieser Microsoft-Browser hat selbst heute in der 8. Version offenbar eine schwer wiegende Sicherheits-Erblast und wird diese wahrscheinlich auch in den folgenden Jahren nicht los), andere Browser und deren Plugins (z.B. Flash) sowie natürlich den Benutzer selbst.

So, aber nun endlich zurück zum Thema Dienste abschalten:

Natürlich können Sie das machen. Bedenken Sie allerdings, dass der Nutzen dieser Maßnahme ungefähr so groß ist wie der, die Menschen in einem afrikanischen Flüchtlingslager vom Vorteil des Lebens als Vegetarier überzeugen zu wollen.

Ralph Lehmann

Vor einigen Tagen habe ich mir mal wieder einige der derzeit verfügbaren Programme für die Unterstützung von Kunden via Internet (oder auch Remote Support genannt) angesehen. Und ich habe mich beinahe schon entschlossen, eine dieser Lösungen zu erwerben: TeamViewer Bevor ich jedoch die knapp 500 Euro (netto) für diese Software ausgebe, sind natürlich diverse Tests fällig, und einen davon habe ich heute durchgeführt.

Konkret getestet habe ich:

1. wie gut sich das so genannte Quick Support Modul, welches von den Kunden eines IT-Dienstleisters kostenlos verwendet werden darf, in dessen Unternehmensnetzwerk verteilen lässt,
2. wie gut ein durchschnittlich geübter Benutzer mit der Bedienung dieses Moduls zurecht kommt und
3. ob beim Start des Moduls durch den Benutzer Probleme zu erwarten sind.

Hinsichtlich der Punkte 1. und 2. gibt es nicht viel Dramatisches zu sagen: Die Verteilung lässt sich über ein Startscript lösen, da das Modul nicht installiert werden muss und keine Administratorrechte benötigt. Die Bedienung des Moduls selbst ist in wenigen Minuten erklärt. Daumen hoch!

Also alles im grünen Bereich? Nun ja -  fast …

Kommen wir also zum 3. Punkt.

Es gibt in einem Windows-Netzwerk nämlich oft die so genannten “Richtlinien für Softwareeinschränkung”, unter Fachleuten besser bekannt als “Software Restriction Policies”. Über diese werden in Unternehmen gewöhnlich unliebsame Gäste wie Viren, Griechen (besser bekannt als Trojanische Pferde) usw. wirksam und völlig ohne Virenscanner ferngehalten. Diese Richtlinien müssen allerdings für den erfolgreichen Start des Quick Support Moduls angepasst werden, falls das Modul nicht von den bereits konfigurierten Ausnahmen erfasst wird.

Sollte eigentlich kein Problem sein: Modul (beim Systemstart scriptbasiert nach %ALLUSERSPROFILE%\Desktop kopiert)  zur Liste der Ausnahmen hinzufügen. Gut gedacht - reicht aber nicht. Der Benutzer darf das Programm jetzt zwar ausführen, der eigentliche Clientdialog erscheint allerdings nicht auf dem Bildschirm. Es erscheint auch keine Fehlermeldung.

Was nun?

Ein Blick in die Ereignisanzeige offenbart Folgendes: “Der Zugriff auf “C:\Dokumente und Einstellungen\$Benutzername\Desktop\..\temp\TeamViewer\Version4\TeamViewer_.exe” wurde vom Administrator durch die Standardrichtlinienstufe für Softwareeinschränkungen eingeschränkt.”

Na dann, alles klar! Die Anwendung wird nicht etwa direkt ausgeführt, viel mehr wird das eigentliche Programm entpackt und dieses nachfolgend gestartet.

Eine zweite Ausnahme muss deshab passend formuliert werden. (BTW: Hätte auch in der Dokumentation zum Modul stehen können. Dem ist allerdings leider nicht so. )

Nach Konfiguration der Ausnahme im GPO und Ausführung von “gpupdate” auf dem Client sollte nun aber alles funktionieren, oder? Leider nicht wirklich. Es gibt noch immer keine Fehlermeldung, aber das auch von ungeübten Kunden problemlos bedienbare Quick Service Modul startet noch immer nicht.

Was nun? Das kann doch nicht wahr sein!

Ein weiterer Blick in die Ereignisanzeige offenbart auf den ersten Blick, dass nach wie vor die gleiche ausführbare Datei wie vor der Korrektur das Problem verursacht. Wirklich? Eigentlich kann das nicht sein. Eine passende Ausnahme wurde doch konfiguriert!

Die Lösung (Ich nehme einfach mal Ostern vorweg, also erst suchen, dann weiter lesen … ) - liefert ein erneuter Aufruf der Ereignisanzeige.

Hier steht: “Der Zugriff auf “C:\Dokumente und Einstellungen\$Benutzername\Desktop\..\temp\TeamViewer\Version4\TeamViewer.exe” wurde vom Administrator durch die Standardrichtlinienstufe für Softwareeinschränkungen eingeschränkt.”

Kennen wir schon, aber was ist das Problem? Frohe Ostern!

Falls Sie keine Lust auf die Suche nach raffiniert verstecken Ostereiern haben sollten - schreiben Sie mir ein Mail. Oder - noch besser - schreiben Sie ein Mail an die TeamViewer GmbH, dass die Dokumentation zum Programm dringend sachdienlicher Hinweise bedarf.

Ralph Lehmann * IT-Service

P.S.: Heute ist zwar der 01.04.2009, aber damit wirklich niemand auf den Gedanken kommt, ich wolle ihn “in den April schicken”, habe ich das Posting auf den 02.04. vordatiert.

Oft ist der wichtigste Gegenstand eines Backups eine benutzerspezifische Datenstruktur. Auch unter Windows sind in dieser Struktur nämlich alle sicherungswürdigen Daten eines Benutzers enthalten.

So finden sich bei Windows XP unter %SystemDrive%\Dokumente und Einstellungen\%Username% z.B. die “eigenen Dateien” des Benutzers, seine Outlook Datendatei, Thunderbird-Anwendungsdaten, Browser-Favoriten und viele andere Daten, deren Sicherung äußerst wichtig ist. Leider werden hier aber auch Daten gespeichert, deren Sicherung sinnlos wäre (z.B. temporäre Dateien). Und auch solche Daten, die im laufenden Betrieb i.d.R. gelockt sind, z.B.

• NTUSER.DAT
• NTUSER.DAT.LOG

Über solche gelockten Daten stolpert rsnapshot und schreibt entsprechende Fehlermeldungen ins Protokoll. Deshalb sollten Daten dieser Art von der Sicherung ausgeschlossen werden.

Ein Blick in die manpage von rsnapshot lässt die Sache trivial erscheinen, man fügt Zeilen wie die folgende
exclude    /cygdrive/f/Dokumente und Einstellungen/lehmann2/NTUSER.DAT
in die Konfigurationsdatei ein - und alles sollte zukünftig ohne Fehler ablaufen.

Leider ist dem nicht so, rsnapshot versucht nach wie vor, die Datei zu sichern und scheitert dabei. Auch der Versuch mit
exclude    /cygdrive/f/Dokumente\ und\ Einstellungen/lehmann2/NTUSER.DAT
die Leerzeichen zu maskieren, führt leider nicht zum Erfolg.

Einzig die Methode, mit
exclude    /cygdrive/f/Dokumente?und?Einstellungen/lehmann2/NTUSER.DAT
die Leerzeichen durch Fragezeichen zu ersetzen, funktioniert letztlich zuverlässig.

Ralph Lehmann * IT-Service

Immer mal wieder kommt es vor, dass rsnapshot hartnäckig Daten in den Backupordnern hält, die im Originalverzeichnis schon lange gelöscht wurden. Besonders nach Änderungen an der Konfigurationsdatei.

Abhilfe: Vorübergehende Unterbrechung der “Backupkette”. Wenn also zum Beispiel “daily” Ihr kleinstes Intervall ist, gehen Sie wie folgt vor:

1. Benennen Sie das jüngste Backup um (z.B. daily.0 nach daily.tmp)
2. Warten Sie die nächste Sicherung ab. Sie werden feststellen, dass zwischen daily.0 und daily.2 eine Lücke haben, d.h. daily.1 fehlt.
3. Benennen Sie daily.tmp in daily.1 um.

Ab sofort sollte rsnapshot wieder wie gewünscht funktionieren.

Ralph Lehmann * IT-Service

Sind Sie ein Linux-Fan? In diesem Fall dürfte Ihnen das Programm rsnapshot als herausragendes Werkzeug zum effizienten Sichern großer Datenmengen über Netzwerke ein Begriff sein. Sie können in diesem Fall bereits hier mit dem Lesen des Postings aufhören und sich anderen Beiträgen zuwenden.

Sollten Sie jedoch eher aus der Windows-Ecke kommen, ist Ihnen rsanpshot vielleicht überhaupt kein Begriff. Aus diesem Grund stelle ich die Fähigkeiten des Programms stichpunktartig vor:

• mehrere Backup-Generation werden platzsparend unter Nutzung von hardlinks vorgehalten
• der rsync-Algorithmus bewirkt einen sehr effizienten Transport der zu sichernden Daten über Netzwerke
• rsnapshot und alle anderen benötigten Software-Komponenten sind quelloffen und kostenfrei verfügbar

Leider gibt es derzeit keine Portierung von rsnapshot in die Windows-Welt, daher wird i.d.R. cygwin als Zwischenschicht zwischen Windows und rsnapshot gelegt. Eine solche Lösung ist schnell eingerichtet und funktioniert sehr zuverlässing - aber leider nur bis zu einer nicht genau bekannten Datenmenge.

Wird diese Datenmenge (ca. 1 GB verteilt auf mehrere tausend Dateien) überschritten, hängt sich das Programm während der Synchronisation an nicht vorhersehbare Stelle einfach auf. Ohne manuellen Eingriff geht hier nichts mehr. Da Backuplösungen üblicherweise vollautomatisch funktionieren sollen, ist das wohl ein echter Showstopper.

Glücklicherweise kann das Problem jedoch umgangen werden, indem die übliche Form von rsync over ssh (z.B. mittels
backup root@example.com:/etc/ example.com/
in der rsnapshot.conf) nicht verwendet wird. Stattdessen sollten Sie das Backup durch eine Zeile wie
backup rsync://rs.samba.org/rs/ rs.samba.org/rs/
konfigurieren.

Damit das sicher und zuverlässig funktioniert, müssen Sie sich um folgende Dinge kümmern:

• einen rsync-deamon auf der Maschine mit den zu sichernden Daten mit einer Konfigurationsdatei, die den Dienst nur an das Loopback-Interface bindet und Module exportiert, die den zu sichernden Pfaden entsprechen
• die Erstellung eines ssh-Tunnels mit Portweiterleitung vom Backup-Computer zum Rechner mit den zu sichernden Daten
• Änderung der rsnapshot.conf, damit das Programm die Daten durch den verschlüsselten Tunnel transportiert

Beispiele für die Konfigurationsdateien (ohne ssh.conf und sshd_config)

rsyncd.conf
address = 127.0.0.1
[DuE]
path = /cygdrive/c/Dokumente und Einstellungen/
[IP]
path = /cygdrive/c/Inetpub/
[testmodule]
path = /cygdrive/c/test/

rsnapshot.conf (nur die backup-Aufrufe)
# sichere aus dem Modul DuE nur die Daten vom Administrator der Domäne FOO
backup rsync://localhost/DuE/administrator.FOO/ lh/Dokus/

# Sichere das Modul IP komplett
backup rsync://localhost/IP/ lh/IP/

# sichere aus dem Modul testmodule nur den Testordner
backup rsync://localhost/testmodule/testordner/ lh/test/

d.sh (Aufruf der täglichen Sicherung)
# Rufe rsnapshot auf dem Backuprechner auf, als ob der rsync-deamon lokal laufen würde.
# Das Intervall der täglichen Sicherung hat den Namen d
# Beende den Tunnel auf der Serverseite nach 10 Stunden Laufzeit
ssh -f -L 873:localhost:873 servername sleep 36000 ; rsnapshot d ; exit

Ralph Lehmann * IT-Service

IT-Sicherheit scheint bei den Reportern aus München offensichtlich ein beliebtes Thema zu sein. Am gestrigen Montag war nun das Thema Botnetze an der Reihe. Das Script zum Beitrag findet sich auf der Website des BR, noch heute soll der Stream folgen.

Wie üblich enthält auch dieser Beitrag kaum verschleierte Schleichwerbung für einen Sicherheitsberater und dessen Firma. Und darüber hinaus jede Menge fachlichen Unsinns, aber auch das kennen wir ja schon.

(Hinweis: Zitate aus der Sendung und dem dazugehörigen Script werden kursiv dargestellt.)

“Fahnder der Polizei Wunstorf observieren ein verdächtiges Privathaus. Sie haben Hinweise: Hier soll sich die Schaltzentrale einer kriminellen Bande befinden. Es geht um über 100.000 Euro.
Hausdurchsuchung am 9. März dieses Jahres. Als die Fahnder den PC beschlagnahmen ist die vermeintlich Beschuldigte gerade unterwegs.”

Eine Hausdurchsuchung, ohne das der Beschuldigte anwesend ist? Das geht nur in bestimmten Fällen, siehe StPO § 106. Aber das nur nebenbei.

Report München erklärt in der Folge, wie es dazu kam. Der PC der Beschuldigten war Teil eines Botnetzes, über ihn wurden kriminelle Handlungen verübt. Wie konnte es dazu kommen?

“Lothar Baier, Polizei Wunstorf: ‘Die neuesten Videos von Brad Pitt und Angelina Jolie, alles ist verseucht mit Trojanern.’”

Ach! Wenn man sich auf legalem Weg das neuste Video von Pitt & Co. verschafft, dann ist dieses verseucht mit Trojanern? Was sagen eigentlich die ehrlichen Händler solcher Videos zu solchen Behauptungen?

Später im Beitrag kommt dann unser schleichwerbender Sicherheitsexperte zu Wort. Er meint folgendes zu Botnetzen:

“Sie merken davon gar nichts. Das heißt im Hintergrund laufen so genannte Prozesse. Für Sie sieht es so aus, als ob der Rechner ganz normal läuft.”

Im Hintergrund laufen eigentlich immer so genannte Prozesse, oder?

Jetzt greift sich Report den schleichwerbenden Spezialisten und fährt damit zu einer Bürgerin, die sich für einen Test zur Verfügung gestellt hat.

“report MÜNCHEN: ‘Wir haben jetzt heute einen Experten mitgebracht.’ (Anmerkung: Der Experte zückt seine Super-Sicherheits-Analyse-CD, eine entsprechender Satz fehlt jedoch im Script.) Die wird er jetzt in Ihren Laptop stecken und gucken, ob Sie irgendetwas drauf haben, von dem Sie gar keine Ahnung haben, dass es drauf ist.”

Es folgt ein Offlinescan des von CD gestarteten Laptops und Report meint weiter:

Allein beim Surfen im Netz können sich Computer mittlerweile infizieren.

Ja, stimmt. Mit anfälligen, ungepatchen Betriebsystemen und Browsern, nervösem Klickfinger, fehlender Rechtetrennung etc. All das aber ist vermeidbar.

Hat auch dieser hier ein Schadprogramm geladen? Silvia Niedermeyer fällt aus allen Wolken, als schleichwerbender Sicherheitsexperte (Anmerkung: Name und Firma entfernt) tatsächlich einen so genannten Schadcode auf ihrem PC feststellt.

Also, ich möchte garnicht wissen, wieviel Schadcode sich z.B. auf meinen Rechnern befindet. Etwa als E-Mail-Anhang. Was völlig ungefährlich ist, so lange man solche Anhänge nicht ausführt.

Weiter meint der Experte:

“Also definitiv haben wir jetzt hier etwas installiert auf diesem Rechner, das mit einem Rechner im Interhost kommuniziert, das heißt Informationen hinschickt, aber auch wieder abruft.”

Was bitte ist ein Interhost? Nicht so wichtig, interessant ist eher, wie man bei einem Scan von CD herausbekommt, ob der Rechner im Normalbetrieb ferngesteuert werden kann oder nicht.

Später im Beitrag kommen noch verschiedene Mitarbeiter des BSI zu Wort, und dann fällt der wohl unvermeidliche Satz:

“Wie schnell wird ein handelsüblicher Computer ohne Virenschutz entführt?”

Meine Antwort dazu: Bei ordentlicher Konfiguration überhaupt nicht.

Report ist offensichtlich anderer Meinung, deshalb stellen sie zum Beweis einen Honigtopf in ein lokales Netzwerk mit privatem Adressraum. Offensichtlich läuft auf dem Windows XP, gesurft oder gemailt wird nicht. Report erklärt:

“Mit diesem Lockvogel PC, einem so genannten Honeypot, ohne Virenschutz wollen wir das testen. Der kleine Laptop macht sichtbar, was auf unserem Computer wirklich passiert. Der Computerexperte (hier folgt der Name eines zweiten Mitarbeiters unserer schleichwerbenden Sicherheitsfirma) zeigt uns: Die Online-Mafia hat unseren Rechner schon nach wenigen Minuten angegriffen. Der schwarze Bildschirm unseres PCs täuscht.”

Der schwarze Bildschirm täuscht? Wie hätte er denn aussehen sollen? Wo ist der Beleg für die erfolgreiche Übernahme? Wie übernimmt Hacker einen PC in einem privaten Rechner hinter einem firewallenden Router (das ist heute Standard) auf einem standardmäßig firewallendem Betriebsystem?

Meine Antwort dazu: Ja, das ist möglich, aber nicht, ohne das ein Benutzer an dieser Maschine sitzt und bei der Arbeit Fehler macht. Falls die schleichwerbende Sicherheitsfirma das Gegenteil beweisen möchte, stelle ich gern eine VM vorrübergehend zum Hacken zur Verfügung.

Der Experte meint weiter:

“Unser PC wurde erfolgreich übernommen und kurze Zeit darauf zum Angreifer umfunktioniert. Unser PC dient jetzt dem entsprechenden Botnetz dazu andere PCs zu sammeln und diese genau so um zu funktionieren, wie unseren Honeypot.”

Und Report ergänzt:

“Der Beweis: Unsere IP-Adresse rechts im Bild mit der Endnummer 33 notiert der Kontrollrechner als denjenigen PC, der angegriffen wird. Doch wenig später greift unser Rechner, jetzt links auf der Angreiferseite bereits andere Computer in Deutschland an. Die Sache wird zu heiß, wir ziehen den Stecker. Die einzige Chance unseren Rechner aus dem Botnetz der Onlinemafia zu befreien.”

Die einzige Chance, den Verblödungsversuchen der Medienwelt zu entfliehen ist, den Ausschalter am Fernseher zu betätigen.

Die schleichwerbende Sicherheitsfirma hat offensichtlich eine Demo innerhalb eines lokalen Labornetzes vorgeführt (alles andere wäre aus Haftungsgründen auch ziemlich riskant) und sich noch nicht einmal die Mühe gemacht, diese Tatsache durch Verwendung öffentlicher IP-Adressen zu verschleiern. Das wäre auch gar nicht nötig gewesen, wenn man auf die Tatsache, dass hier eine Demo vorgeführt wird, hingewiesen hätte. Aber das hätte natürlich den Effekt geschmälert.

Zum Schluss die praktischen Hinweise vom BKA:

“Nicht jede Email, die ins Outlook eintrudelt wahllos öffnen,
…ein aktuelles Virenschutzprogramm zu haben und dieses auch aktuell zu halten,
Regelmäßiges Aktualisieren des Betriebssystems.”

Dann die Schlussbemerkung von Report:

“Aber das ist kein hundertprozentiger Schutz, denn die online-Mafia ist ihren Verfolgern meist einen Schritt voraus.”

Im Prinzip sind wir also alle verloren, was, Report? Oder wäre es nicht besser gewesen, die fehlenden Hinweise auch noch zu bringen, wie man einen Rechner wenigstens nahezu 100%-ig sicher macht? Z.B. durch

• Rechtetrennung
• aktuelle gehaltene Anwendungen
• Richtlinien
• Verzicht auf unsichere Anwendungen
• saubere Konfiguration des Computers
• Downloads nur aus sauberen, legalen Quellen

Damit hätte der Beitrag natürlich seinen Angst machenden Charakter verloren. Und das ist schlecht für die Quote.

Ralph Lehmann * IT-Service