Spiegel online beklagt die Praktiken der Virenmafia

Nein, neu ist das nicht: Ahnungslose Benutzer tappen in diverse, massenhaft im Internet ausgelegte Fallen von Betrügern, Erpressern und Botnetzbetreibern. Trotzdem meint SPON, einen 4(!)-seitigen Artikel veröffentlichen zu müssen, der beklagt, dass die armen Windows-Anwender a) zu blöde für den sicheren Betrieb Ihres PCs sind, b) von dem ach so komplizierten Linux überfordert wären und c) nicht die nötige Kohle für einen MAC auf den Tisch legen könnten.

Nachzulesen unter Massenangriff der Virenmafia: Nepper, Schlepper, Computer- Fänger

Ja, die Welt ist schlecht, und verantwortlich dafür sind natürlich nicht nur die Bauernfänger, sondern vor allem die Industrie. Denn die mutet dem Benutzer doch tatsächlich zu, dass er sich um seinen Rechner selbst kümmern soll, wenn er für die Betreuung durch einen Fachmann nichts zahlen will.

Und dann kommt der Autovergleich: Hier muss der Benutzer sich schließlich auch nicht selbst um seinen Motor kümmern. Die Frage ist allerdings, ob der Autobesitzer auch erwarten kann, dass ihn seine Werkstatt kostenlos bedient …

Ralph Lemann * IT-Service

Dubiose Freeware findet angebliche Sicherheitslücken auf PCs

und entpuppt sich nach der Auflistung der Schwachstellen und Schädlinge als Software, die anbietet, erst nach kostenpflichtiger Registrierung die Probleme zu beseitigen.

Wer kennt das nicht? Beim Surfen taucht auf der einen oder anderen Website ein grelles Werbebanner auf, dass anbietet, den PC auf Viren, Trojaner, Phishingsoftware etc. zu überprüfen. Natürlich kostenlos. Oft wird ein Sofortscan offeriert, der sich nach Klick auf die entsprechende Schaltfläche aber meist als Download eines Installers zu erkennen gibt.

Tipp: Finger weg! Solche Programme haben in der Regel genau zwei Funktionen: Auflistung einer Unmenge angeblicher Probleme und das Angebot, diese nach kostenpflichtiger Registrierung zu beseitigen.

Details bei Heise

Ralph Lehmann * IT-Service

Angst vor Abmahnung hilft bei der Virenverbreitung

Der Horror vor den allseits beliebten Abmahnanwälten lässt sich offenbar prima dazu ausnutzen, verunsicherten eBay-Verkäufern Viren unterzuschieben. Derzeit kursiert ein massenhaft verschicktes E-Mail mit Kostennote und angeblich als Anhang beigefügter Unterlassungserklärung.

Die Nachricht stammt allerdings nicht von Herrn Gravenreuth und der Anhang enthält statt eines Formulars einen Trojaner-Downloader.

Details bei Heise und bei Techchannel

Ralph Lehmann * IT-Service

Rsnapshot Backup unter Windows und Cygwin – Probleme umgehen

Sind Sie ein Linux-Fan? In diesem Fall dürfte Ihnen das Programm rsnapshot als herausragendes Werkzeug zum effizienten Sichern großer Datenmengen über Netzwerke ein Begriff sein. Sie können in diesem Fall bereits hier mit dem Lesen des Postings aufhören und sich anderen Beiträgen zuwenden.

Sollten Sie jedoch eher aus der Windows-Ecke kommen, ist Ihnen rsanpshot vielleicht überhaupt kein Begriff. Aus diesem Grund stelle ich die Fähigkeiten des Programms stichpunktartig vor:

  • mehrere Backup-Generation werden platzsparend unter Nutzung von hardlinks vorgehalten
  • der rsync-Algorithmus bewirkt einen sehr effizienten Transport der zu sichernden Daten über Netzwerke
  • rsnapshot und alle anderen benötigten Software-Komponenten sind quelloffen und kostenfrei verfügbar

Leider gibt es derzeit keine Portierung von rsnapshot in die Windows-Welt, daher wird i.d.R. cygwin als Zwischenschicht zwischen Windows und rsnapshot gelegt. Eine solche Lösung ist schnell eingerichtet und funktioniert sehr zuverlässing – aber leider nur bis zu einer nicht genau bekannten Datenmenge.

Wird diese Datenmenge (ca. 1 GB verteilt auf mehrere tausend Dateien) überschritten, hängt sich das Programm während der Synchronisation an nicht vorhersehbare Stelle einfach auf. Ohne manuellen Eingriff geht hier nichts mehr. Da Backuplösungen üblicherweise vollautomatisch funktionieren sollen, ist das wohl ein echter Showstopper.

Glücklicherweise kann das Problem jedoch umgangen werden, indem die übliche Form von rsync over ssh (z.B. mittels
backup root@example.com:/etc/ example.com/
in der rsnapshot.conf) nicht verwendet wird. Stattdessen sollten Sie das Backup durch eine Zeile wie
backup rsync://rs.samba.org/rs/ rs.samba.org/rs/

konfigurieren.

Damit das sicher und zuverlässig funktioniert, müssen Sie sich um folgende Dinge kümmern:

  • einen rsync-deamon auf der Maschine mit den zu sichernden Daten mit einer Konfigurationsdatei, die den Dienst nur an das Loopback-Interface bindet und Module exportiert, die den zu sichernden Pfaden entsprechen
  • die Erstellung eines ssh-Tunnels mit Portweiterleitung vom Backup-Computer zum Rechner mit den zu sichernden Daten
  • Änderung der rsnapshot.conf, damit das Programm die Daten durch den verschlüsselten Tunnel transportiert

Beispiele für die Konfigurationsdateien (ohne ssh.conf und sshd_config)

rsyncd.conf
address = 127.0.0.1
[DuE]
path = /cygdrive/c/Dokumente und Einstellungen/
[IP]
path = /cygdrive/c/Inetpub/
[testmodule]
path = /cygdrive/c/test/

rsnapshot.conf (nur die backup-Aufrufe)
# sichere aus dem Modul DuE nur die Daten vom Administrator der Domäne FOO
backup rsync://localhost/DuE/administrator.FOO/ lh/Dokus/

# Sichere das Modul IP komplett
backup rsync://localhost/IP/ lh/IP/

# sichere aus dem Modul testmodule nur den Testordner
backup rsync://localhost/testmodule/testordner/ lh/test/

d.sh (Aufruf der täglichen Sicherung)
# Rufe rsnapshot auf dem Backuprechner auf, als ob der rsync-deamon lokal laufen würde.
# Das Intervall der täglichen Sicherung hat den Namen d
# Beende den Tunnel auf der Serverseite nach 10 Stunden Laufzeit
ssh -f -L 873:localhost:873 servername sleep 36000 ; rsnapshot d ; exit

Ralph Lehmann * IT-Service

Report München erklärt Botnetze

IT-Sicherheit scheint bei den Reportern aus München offensichtlich ein beliebtes Thema zu sein. Am gestrigen Montag war nun das Thema Botnetze an der Reihe. Das Script zum Beitrag findet sich auf der Website des BR, noch heute soll der Stream folgen.

Wie üblich enthält auch dieser Beitrag kaum verschleierte Schleichwerbung für einen Sicherheitsberater und dessen Firma. Und darüber hinaus jede Menge fachlichen Unsinns, aber auch das kennen wir ja schon.

(Hinweis: Zitate aus der Sendung und dem dazugehörigen Script werden kursiv dargestellt.)

„Fahnder der Polizei Wunstorf observieren ein verdächtiges Privathaus. Sie haben Hinweise: Hier soll sich die Schaltzentrale einer kriminellen Bande befinden. Es geht um über 100.000 Euro.
Hausdurchsuchung am 9. März dieses Jahres. Als die Fahnder den PC beschlagnahmen ist die vermeintlich Beschuldigte gerade unterwegs.“

Eine Hausdurchsuchung, ohne das der Beschuldigte anwesend ist? Das geht nur in bestimmten Fällen, siehe StPO § 106. Aber das nur nebenbei.

Report München erklärt in der Folge, wie es dazu kam. Der PC der Beschuldigten war Teil eines Botnetzes, über ihn wurden kriminelle Handlungen verübt. Wie konnte es dazu kommen?

Lothar Baier, Polizei Wunstorf: ‚Die neuesten Videos von Brad Pitt und Angelina Jolie, alles ist verseucht mit Trojanern.'“

Ach! Wenn man sich auf legalem Weg das neuste Video von Pitt & Co. verschafft, dann ist dieses verseucht mit Trojanern? Was sagen eigentlich die ehrlichen Händler solcher Videos zu solchen Behauptungen?

Später im Beitrag kommt dann unser schleichwerbender Sicherheitsexperte zu Wort. Er meint folgendes zu Botnetzen:

„Sie merken davon gar nichts. Das heißt im Hintergrund laufen so genannte Prozesse. Für Sie sieht es so aus, als ob der Rechner ganz normal läuft.“

Im Hintergrund laufen eigentlich immer so genannte Prozesse, oder?

Jetzt greift sich Report den schleichwerbenden Spezialisten und fährt damit zu einer Bürgerin, die sich für einen Test zur Verfügung gestellt hat.

„report MÜNCHEN: ‚Wir haben jetzt heute einen Experten mitgebracht.‘ (Anmerkung: Der Experte zückt seine Super-Sicherheits-Analyse-CD, eine entsprechender Satz fehlt jedoch im Script.) Die wird er jetzt in Ihren Laptop stecken und gucken, ob Sie irgendetwas drauf haben, von dem Sie gar keine Ahnung haben, dass es drauf ist.“

Es folgt ein Offlinescan des von CD gestarteten Laptops und Report meint weiter:

Allein beim Surfen im Netz können sich Computer mittlerweile infizieren.

Ja, stimmt. Mit anfälligen, ungepatchen Betriebsystemen und Browsern, nervösem Klickfinger, fehlender Rechtetrennung etc. All das aber ist vermeidbar.

Hat auch dieser hier ein Schadprogramm geladen? Silvia Niedermeyer fällt aus allen Wolken, als schleichwerbender Sicherheitsexperte (Anmerkung: Name und Firma entfernt) tatsächlich einen so genannten Schadcode auf ihrem PC feststellt.

Also, ich möchte garnicht wissen, wieviel Schadcode sich z.B. auf meinen Rechnern befindet. Etwa als E-Mail-Anhang. Was völlig ungefährlich ist, so lange man solche Anhänge nicht ausführt.

Weiter meint der Experte:

„Also definitiv haben wir jetzt hier etwas installiert auf diesem Rechner, das mit einem Rechner im Interhost kommuniziert, das heißt Informationen hinschickt, aber auch wieder abruft.“

Was bitte ist ein Interhost? Nicht so wichtig, interessant ist eher, wie man bei einem Scan von CD herausbekommt, ob der Rechner im Normalbetrieb ferngesteuert werden kann oder nicht.

Später im Beitrag kommen noch verschiedene Mitarbeiter des BSI zu Wort, und dann fällt der wohl unvermeidliche Satz:

„Wie schnell wird ein handelsüblicher Computer ohne Virenschutz entführt?“

Meine Antwort dazu: Bei ordentlicher Konfiguration überhaupt nicht.

Report ist offensichtlich anderer Meinung, deshalb stellen sie zum Beweis einen Honigtopf in ein lokales Netzwerk mit privatem Adressraum. Offensichtlich läuft auf dem Windows XP, gesurft oder gemailt wird nicht. Report erklärt:

„Mit diesem Lockvogel PC, einem so genannten Honeypot, ohne Virenschutz wollen wir das testen. Der kleine Laptop macht sichtbar, was auf unserem Computer wirklich passiert. Der Computerexperte (hier folgt der Name eines zweiten Mitarbeiters unserer schleichwerbenden Sicherheitsfirma) zeigt uns: Die Online-Mafia hat unseren Rechner schon nach wenigen Minuten angegriffen. Der schwarze Bildschirm unseres PCs täuscht.“

Der schwarze Bildschirm täuscht? Wie hätte er denn aussehen sollen? Wo ist der Beleg für die erfolgreiche Übernahme? Wie übernimmt Hacker einen PC in einem privaten Rechner hinter einem firewallenden Router (das ist heute Standard) auf einem standardmäßig firewallendem Betriebsystem?

Meine Antwort dazu: Ja, das ist möglich, aber nicht, ohne das ein Benutzer an dieser Maschine sitzt und bei der Arbeit Fehler macht. Falls die schleichwerbende Sicherheitsfirma das Gegenteil beweisen möchte, stelle ich gern eine VM vorrübergehend zum Hacken zur Verfügung. 😉

Der Experte meint weiter:

Unser PC wurde erfolgreich übernommen und kurze Zeit darauf zum Angreifer umfunktioniert. Unser PC dient jetzt dem entsprechenden Botnetz dazu andere PCs zu sammeln und diese genau so um zu funktionieren, wie unseren Honeypot.“

Und Report ergänzt:

„Der Beweis: Unsere IP-Adresse rechts im Bild mit der Endnummer 33 notiert der Kontrollrechner als denjenigen PC, der angegriffen wird. Doch wenig später greift unser Rechner, jetzt links auf der Angreiferseite bereits andere Computer in Deutschland an. Die Sache wird zu heiß, wir ziehen den Stecker. Die einzige Chance unseren Rechner aus dem Botnetz der Onlinemafia zu befreien.“

Die einzige Chance, den Verblödungsversuchen der Medienwelt zu entfliehen ist, den Ausschalter am Fernseher zu betätigen.

Die schleichwerbende Sicherheitsfirma hat offensichtlich eine Demo innerhalb eines lokalen Labornetzes vorgeführt (alles andere wäre aus Haftungsgründen auch ziemlich riskant) und sich noch nicht einmal die Mühe gemacht, diese Tatsache durch Verwendung öffentlicher IP-Adressen zu verschleiern. Das wäre auch gar nicht nötig gewesen, wenn man auf die Tatsache, dass hier eine Demo vorgeführt wird, hingewiesen hätte. Aber das hätte natürlich den Effekt geschmälert. 😉

Zum Schluss die praktischen Hinweise vom BKA:

„Nicht jede Email, die ins Outlook eintrudelt wahllos öffnen,
…ein aktuelles Virenschutzprogramm zu haben und dieses auch aktuell zu halten,
Regelmäßiges Aktualisieren des Betriebssystems.“

Dann die Schlussbemerkung von Report:

„Aber das ist kein hundertprozentiger Schutz, denn die online-Mafia ist ihren Verfolgern meist einen Schritt voraus.“

Im Prinzip sind wir also alle verloren, was, Report? Oder wäre es nicht besser gewesen, die fehlenden Hinweise auch noch zu bringen, wie man einen Rechner wenigstens nahezu 100%-ig sicher macht? Z.B. durch

  • Rechtetrennung
  • aktuelle gehaltene Anwendungen
  • Richtlinien
  • Verzicht auf unsichere Anwendungen
  • saubere Konfiguration des Computers
  • Downloads nur aus sauberen, legalen Quellen

Damit hätte der Beitrag natürlich seinen Angst machenden Charakter verloren. Und das ist schlecht für die Quote.

Ralph Lehmann * IT-Service