[Security-Workshop Teil 4] Outgoing-Risiken

SilverSurfer99

gehört zum Inventar
Outgoing-Risiken

Outgoing-Risiken​


"Das Internet ist nicht krimineller als das reale Leben auch", war irgendwo zu lesen. Nach drei Jahren Internet-Nutzung ohne wesentliche Schäden scheint mir die Aussage nicht unberechtigt, doch wie schützt man sich vor Gangstern, die in ungewohnter Bits-and-Bytes-Tarnung daherkommen und "Schon morgen kannst du Millionär sein" versprechen? Deshalb findet Ihr hier einen weiteren Informations-Baustein.



Sachdarstellungen zum Thema
Horch was kommt von draussen rein - mit dem Thema "PC-Abschottung-Benutzerabschottung" wurde am Beispiel der Personal Firewalls schon eine der wichtigsten Schutzkomponenten genannt, die auch das Outgoing-Risiko unter Kontrolle nimmt.

Eine weitere wichtige Komponente ist ein guter und wöchentlich aktuell gehaltener Virenprüfer - die marktgängigen Produkte erkennen praktisch alle üblichen Trojaner.
Wenn der Online-Virenwächter aktiviert ist, wird ein erkannter Infizierungsversuch sofort geblockt.
Die Betriebssysteme WindowsME/2000/XP beinhalten darüber hinaus die Online-Schutzkomponente WindowsFileProtection, d.h. das Überschreiben der Internet-Basisanwendung WSock32.dll durch eine infizierte Version wird vom Betriebssystem innerhalb fünf Sekunden durch Zurückschreiben einer prüfsummengeschützten Sicherungskopie rückgängig gemacht. Ist keine von Windows automatisch angelegte Festplatten-Sicherung vorhanden, wird die Installations-CD angefordert.
Die populären Viren "Happy99" und "Hybris" werden auf diese Weise Ihrer Grundlage beraubt.
Für den Fall, dass es zu einer Infektion gekommen ist, empfiehlt sich ein Blick auf diesen Beitrag:
Virusbefall - wie kann man vorgehen?



Weitere Stichworte
  • Persönliche Daten, deren Kenntnisnahme durch einen Dritten dem Anwender erhebliche Schäden zufügen kann, sollten nur verschlüsselt auf der Festplatte gespeichert werden. Eine "Pflichtlektüre" hierzu: Ein starker Tresor auf dem PC. Bei umfangreicherem Verschlüsselungsbedarf bietet sich Software für virtuelle verschlüsselte Laufwerke an.
  • Die verschlüsselte Speicherung der DFÜ-Kennwörter gilt seit Windows2000 als ausspähsicher.
  • Kennwörter und wichtige Daten sollten nicht unverschlüsselt per EMail bzw. nur in mehren Teilsendungen verschickt werden.
  • Datensicherungen sollten verschlüsselt erfolgen oder an einem sicheren Ort aufbewahrt werden.
  • Es sollten nicht mehr Betriebssystemdienste aktiviert sein, als für die PC-Nutzung unbedingt erforderlich sind. XP-Antispy ist nicht umsonst weltweit ein Marktrenner geworden, auch Microsoft möchte sehr gerne wissen, was Internetsurfer für Software verwenden und welches auch Ihre geheimsten Wünsche sind. (Tip für XP-User: XP-Dienste, die notwendig sind)


Spyware
Die Firma Aureate entwickelte einst einen Trojaner, der in viele Free- und Shareware-Programme integriert wurde, z.B. GoZilla und Webcopier. Dabei wurden, angeblich nur zum Zweck der Marktforschung, Benutzer- und Verhaltensprofile erstellt sowie Surf- und Downloadgewohnheiten protokolliert.
Der Trick dabei: Der Trojaner basiert auf einem Netscape Navigator-/Internet Explorer-Plugin und kommuniziert somit nicht direkt mit dem Internet. Dadurch umgeht er auf einfache Weise die Probleme, die sonst bei einem Internetzugang über ein Netzwerk auftreten würden.
Anmerkung: Spyware sollte man generell nicht einsetzen - AdAware ist hierfür ein guter Prüfer und Entferner. Wenn ausserdem die lokale HTTP-Nutzung und die lokale Server-Nutzung geblockt ist, kann nichts nach draussen abfliessen; allerdings funktionieren dann auch einige werbefinanzierte Programme nicht mehr.

sonstige Outgoing-Risiken
Einige Programme, zu denen beispielsweise der RealPlayer gehört, wenden gezielt Tricks an, um lokale Sicherheitseinstellungen bzw. vorhandene Firewalls zu umgehen.
Beispiele:
  • Verstecken eines VerbindungsLinks in einer HTML-Datei
    Im Temp-Verzeichnis eines Bekannten fand sich vor einiger Zeit eine HTML-Datei, die ein paar Bilder aus dem Internet lädt. Die Bild-URLs waren dabei ganz besonders aufgebaut: Einige bestanden
    unter anderem aus den Dateinamen, die man unter {Start | Dokumente} findet.
    Der Realplayer kommuniziert übrigens auf diese Weise unter Umgehung der Firewall mit dem Internet (auch wenn ZoneAlarm die "normale" Kommunikation erkannt und unterbunden hat):
    Beispiel:
    C:\WINDOWS\TEMP\RN7080.htm
    |<HEAD>
    |<META HTTP-EQUIV="refresh" CONTENT="0;URL=http://presets6.real
    |.com/sitesmenu/rphurl.html?xx00xx00x0X0xxx00xXxxxx0x0xxxxxxxXx
    |xxxxxxxx0xxxxxx0xx0xxxxxxXxxxx0x00xx0x0xx00xxx0xxxxx0X0X0x0X0x
    |xx0X0xxx0X0000xx0xxx0X0xxx0X0xxx0X0X0x0X0Xxx00xxxxxXxxx0xx0x0x
    |xx0xx0x00xxxxX00xxXx0xXxxxx0xxXx0X0X0x0x00x00x0Xxxx">
    |</HEAD>
  • Protokoll-Tunneln: Über lokal zugelassenes HTTP kann zB. ein maskiertes FTP gleich TCP 21 mit Senden von Daten nach draußen gestartet werden.
  • Maskierte (untergejubelte) Fernwartungssoftware - im guten Glauben ein nützliches Programm zu installieren: Hier handelt es sich um den Sonderfall einer seriösen Anwendung, die gezielt als Trojaner missbraucht wird. Das ist auch mit Scripten der Gegenseite möglich, wie ich damals als noch argloser Anwender mal erfahren musste. Die Anzeige "Bitte warten - es wird initialisiert..." machte mich zunächst kaum stutzig, aber nachdem meine Festplatte unbegründet lange rödelte, kappte ich die Internetverbindung per Firewall-Menü (also auch eine Sicherheitsfunktion) und war ganz schön überrascht, was sich die Gegenseite zum Senden im Hauptverzeichnis von C:\ schon bereitgestellt hatte...
    PS: Wie man sieht, haben alle mal mit kleinem Knowhow angefangen ;).


Zusammenfassung
Wenn Anwender nicht leichtfertig neue Programme für Internetnutzung zulassen, bis auf lokale UDP53-Nutzung (Domain Name Service) *) keine normierten Internet-Unterfunktionen zulassen und Internet-wirksamen Anwendungen auch noch jede Server-Funktion verbieten, haben sie die genannten Risiken voll im Griff: Also keine Panik. Als Gewinn winkt die Integrität der Privatsphäre - aber da sind die Geschmäcker ja nicht alle gleich.
*) Genau genommen ist auch das Zulassen des lokalen DNS "über mehrere Ecken" missbrauchbar, aber der Ausspähversuch ist vergleichsweise komplex zu programmieren und kann meines Erachtens daher als Risiko bei Privat-PCs vernachlässigt werden.

Wer mehr erfahren möchte, welche zugelassenen lokalen Ports besonders gefährdet sind: http://www.dshield.org/topports.html

Mit dem Freeware-Programm "Active Ports" (für Windows NT/2k/XP) lässt sich leicht herausfinden, welche Ports durch welchen Dienst belegt bzw. geöffnet sind.
Download



RISIKEN:
Privat = hoch
Schäden = mittel


Dieser Beitrag wurde nach bestem Wissen und Gewissen zusammengetragen, kleine Ungenauigkeiten sind aber nicht auszuschließen. Sicherheit ist nicht Alles, aber ohne Sicherheitsmaßnahmen ist auf Dauer alles Nichts. Eine Reihe von Maßnahmen, auch wenn sie im Einzelfall nicht hundertprozentig sein sollten, ergeben im Zusammenwirken ein ziemlich sicheres Schutzkonzept.

Dazu das aktuelle Interview mit Gregor Freund, 42, dem Gründer und CEO von Zone Labs (Auszug):
PCProfessional fragt: Bitte geben Sie uns fünf Tipps für sicheres Surfen!
Herr Freund antwortet:
Erstens: Installieren Sie eine Antiviren-Software mit aktuellen Virensignaturen.
Zweitens: Benützen Sie unterschiedliche Passwörter für verschiedene Accounts.
Drittens: Verschlüsseln Sie wichtige Daten auf der Festplatte.
Viertens: Passen Sie auf, was Sie downloaden.
Fünftens: Vorsicht bei Filesharing-Tools. Diese serverbasierten Systeme sind massiv gefährdet.

Auch das Supernature-Forum bedankt sich für dieses Interview....
Das komplette Interview hier



Anmerkung: Dieser Beitrag ist nur ein Teil des Ganzen. Hier findest Du die Übersicht: Security-Workshop


Beitrag als gezippte HTML-Datei downloaden:
 

Anhänge

  • security-workshop teil 4.zip
    4,5 KB · Aufrufe: 222
Zuletzt bearbeitet von einem Moderator:

Supernature

Und jetzt?
Teammitglied
Übersicht Software-Firewalls​


Das Thema "weiterführende Links" kommt zwar erst noch, aber da hat sich bereits so viel angestaut, dass es unübersichtlich zu werden droht. Ausserdem passt diese Sammlung als Ergänzung zu Teil 3+4 ganz gut.

Diese Links dienen dazu, eine Übersicht zu schaffen und es Euch zu ermöglichen, Euch direkt an der Quelle zu informieren. Damit aus der Reihenfolge kein Ranking ablesbar ist, erfolgt die Auflistung streng nach Alphabet :D


Freeware- und Shareware-Firewalls

Kerio (Tiny) Personal Firewall
http://www.kerio.com

Outpost
http://www.agnitum.com/products/outpost/

Sygate
http://www.sygate.com

ZoneAlarm
http://www.zonelabs.com




kommerzielle Software-Firewalls

BlackIce
http://www.networkice.com/

McAffee Personal Firewall
http://www.mcafee.com/myapps/firewall/ov_firewall.asp?

Norman
http://www.norman.com/products_npf.shtml

Norton Personal Firewall 2002
http://www.symantec.com/region/de/product/npf/index.html
Norton Internet Security 2002
http://www.symantec.com/region/de/product/nis/se_indexseite.html (Standard)
http://www.symantec.com/region/de/product/nis/index.html (Professional)

Outpost Pro
http://www.agnitum.com/products/outpost/

SecureIIS
http://www.eeye.com/html/Products/SecureIIS/index.html

Sphinx
http://www.pcfirewall.de/

ZoneAlarm Pro
http://www.zonelabs.com




"ausser Konkurrenz"

AtGuard
Die Technologie wurde von Symantec gekauft und dient noch immer als Basis für die Norton Firewall-Reihe. AtGuard selbst wird nicht mehr weiterentwickelt und auch nicht mehr vertrieben. Download ist aber weiterhin über "einschlägige Adressen" möglich (Nachfrage zwecklos ;))

Conseal
Auch diese FW wurde gekauft und findet nun in der McAfee-Firewall Verwendung.
 

Bio-logisch

Moderator
Teammitglied
AtGuard
Die Technologie wurde von Symantec gekauft und dient noch immer als Basis für die Norton Firewall-Reihe. AtGuard selbst wird nicht mehr weiterentwickelt und auch nicht mehr vertrieben. Download ist aber weiterhin über "einschlägige Adressen" möglich (Nachfrage zwecklos )

Also ATGuard kann man ganz legal bei Download.de herunterladen ;)
Würde ich aber nicht empfehlen, da es nicht weiterentwickelt wird.

Ist aber mal interessant zu sehen, wie man ein Program mit aufblähen kann, darin ist Symatec ja Weltmeister :wand

http://www.download.de/downloads/d_beitrag_8791920.html
 
Zuletzt bearbeitet:

MaXg

assimiliert
:D :D

Was du hier ausgräbst... 3 Jahre hat der Thread schon aufm Buckel.

Den hätte man vor ner Woche rausholen müssen. ;)

Ich hab ne aktuellere Version bei FOSI gesehen ( 3.2) .

Zu empfehlen ist sie nur noch bedingt.

- mehrere Sicherheitslücken bekannt.

- nicht Lauffähig ab Win2k SP4 und WinXP SP1.
 
Oben