IT Security im Zeichen der Zeit.

[Alpha]

Nachdem ich mich letztes mal ausführlich mit dem Thema Starcraft Hacker
beschäftigt habe wird dieser Kommentar sich eher auf die allgemeine Lage
der IT-Security beziehen.
Für die Leute, welche ein wenig Zeit und Interesse mitbringen vielleicht
ganz interessant....


Was war....

Schwer zu sagen, was in den letzten Monaten mehr genervt hat.
Der erbitterte Kampf gegen den überfüllten Posteingang,
oder das unermüdliche einspielen von Sicherheits- und Virenscannerupdates ?

Auf jeden Fall ist man sich schon seit langem einig, dass das Maß an Toleranz übergelaufen ist.
Fast jeder war in letzer Zeit schonmal mit einem Wurm oder Trojaner
infiziert.
Ich erinnere mich nur an die unzähligen Fälle im Battle.net.
Immer mehr Leute fingen plötzlich an zu Laggen und
behaupteten troztdem Stur sie hätten DSL und keinen Download am laufen.
Meisten haben sie sogar recht. Mehr als 50% aller Lags wird inzwischen
durch den Uploadtraffic von infizierten Rechnern verursacht.
Auch die sich häufenden Discs aus dem Bnet bei einigen Leuten
sind Characteristisch für ein paar Wurmsorten.

Unzählige Mails erreichten mich in letzer Zeit von Leuten,
die sich auf der PGL, 18o, oder anderen Diversen Seiten
registriert haben, jedoch angeblich nie eine Mail mit Daten erhielten.
Das waren meist die Leute, welche Spammails den Kampf angesagt hatten.
Ein Blick in den Spamverdachtsordner schaffte meistens abhilfe.
Diejenigen, welche verdächtige Mails direkt in den Müll katapultieren,
werden schon bemerkt haben, dass je nach stärke des Filters einige
erwünschte Mails ausgeblieben sind.

Was ist....

Angesichts der Menge an verschiedenen Würmern und Angriffsmethoden scheint
Microsoft dem Debakel fast hilflos gegenüber zu stehen.
Jeden Monat gibt es inzwischen mindestens einen großen Patchdatei.
Jeder der nicht zügig reagiert fängt sich meist 2-6 Wochen später den ersten Wurm
oder Trojaner ein.
"Kauft euch doch einfach einen Router mit Firewall oder ladet euch eine Software Firewall runter"
hört man die Möchtegernsicherheitsexperten immer wieder schreien.
Je nach Konfiguration blieben die Leute mit Firewall durchaus von Blaster und Sasser verschont.
Die meisten Würmer gelangen allerdings durch Emails oder Sicherheitslücken
in Outlook und dem Internet Explorer auf den PC.
Da schafft auch die beste Firewall keine Abhilfe, da Protokolle wie HTTP, SMTP etc. standartmäßig durchgelassen werden.
So wunderte sich schon manch ein Firewall Besitzer über unerwartete Alerts
seines Virenscanners.
Angesichts der Tatsache, dass der vollgepatchte Internet Explorer 6 SP1
zur Zeit mindestens 2 unbekannte Sicherheitsheitslöcher hat,
welche bereits aktiv von diversen Seiten ausgenutzt werden,
wird selbst dem eingefleischtesten Microsoft Liebhaber mulmig.

Es ist nuneinmal beunruhigend, dass ein voll gepatchter WinXP
Rechner trotz sensibilisierter Surfgewohnheiten Würmer fängt.

Erste Gedanken kommen hoch, wieder auf Windows98 mit einem
alternativen Browser (z.B. Mozilla, Opera) umzusteigen.
Bei dem System kann man zumindest über längere Zeiträume sogar
ganz ohne Firewall und Virenscanner, wenn man vorsichtig surft...

Was wird...

Diese Frage stellt sich zur Zeit fast jeder Internetnutzer.
"Irgendetwas muss man dagegen doch machen können."

Mircosoft hat Longhorn erstmal in den Hintergrund geschoben und arbeitet
fieberhaft am SP2 für Windows XP.
Das erste mal in der Microsoft Geschichte hat man
bei diesem Servicepack zugunsten der Sicherheit auf Komfort verzichtet.
Die Beta Version kann man sich bereits bei Microsoft downloaden.
Ein neue Internet-Firewall (Default: AKTIV) und viele neue Sicherheitseinstellungen
für Windows und den Explorer sollen dem Debakel ein Ende bereiten.
Buffer-Overflows sollen zukünftig auch der Vergangenheit angehören.

Umso beunruhigender, dass www.heise.de bereits nach ein paar Tests
erste Sicherheitsprobleme im SP2 ausfindig machen konnte.

Wer das SP2 installiert wird standartmäßig aufgrund der Firewall
erstmal keine Spiele in BW mehr aufmachen können.
Dazu muss er die Firewall abschalten, oder die Applikation freigeben.

Bleibt abzuwarten, ob das SP2 seinen Erwartungen gerecht wird.

Die Urheber der Würmer schlafen jedoch auch nicht.
Ein Blick in die Zukunft wirft einen sehr schwarzen Schatten auf das Internet....

Die neue Generation der Würmer wird auf dem Application Layer des
OSI-Modells arbeiten und Anwendungen gezielt angreifen.
Was früher nur auf Linux möglich war (Rootkit) wird zukünftig auch
Windows Systeme befallen.
Erste Rootkits sind bekannt, welche gezielt den Kernel manipulieren und
Ausgaben fälschen.
So kann weder der Virenscanner noch der Besitzer selbst feststellen,
dass der Rechner gehackt wurde und fleißig geschnüffelt wird.
Die Dateien und Prozesse, sowie offenen Ports, welche der Trojaner
verwendet sind einfach nicht sichtbar.
Man kann gar nichts finden, obwohl der Angreifer bereits Vollzugriff auf den PC hat.
Einzige Möglichkeit ist ein Vergleich eines externen mit dem internen Portscan und
selbst diese Möglichkeit wird von einigen Rootkits bereits verhindert,
da sich der Angriffsport nur bei Anfrage eines Urheberpaketes öffnet.
Auch Firewalls werden zukünftig nicht mehr viel bringen,
falls die Würmer und Trojaner zukünftig wirklich HTTP-Tunnel
verwenden sollten.

Solch ein Angriff ist keine Utopie, RootKits für Windows existieren wirklich,
sie befinden sich jedoch noch in den Kinderschuhen.

Was also tun ?

Aussagen von Planetopia zufolge, kann man sich vor Angriffen schützen,
indem man als User ohne Rechte am PC angemeldet ist.
Das ist leider auch nicht 100% sicher, da es auch Lücken gibt, um in andere Sicherheitszonen zu gelangen.


Fazit:

Es gibt mehrere Möglichkeiten sich zu schützen und vor kommenden
Wurm Generationen zu verteidigen.

Wer nicht auf Windows XP/2000 verzichten will sollte folgende
Dinge beachten:

1. Router mit Firewall (Blockt schonmal DDos Angriffe und PortScans)
2. Top-Aktueller Virenscanner welcher min. 1 mal am Tag nach Updates schaut.
3. Im Kontext des Benutzers angemeldet sein, wenn man surft.
(Einfache Trojaner können sich nicht installieren.)
4. Möglichst keinen Internet Explorer benutzen. (Der neue Mozilla is recht gut)
5. Möglichst kein Outlook + und kein Programm mit HTML Vorschau verwenden.
(Free Anbieter wie GMX tun es auch und bieten einen komfortablen Spam Schutz.)
6. Keine Dateianhänge öffnen, wenn man keine erwartet.
(Im Zweifel beim Absender nachfragen, wenn man ihn kennt)
7. Tragt Euch in die Notify Liste von Microsoft ein, um sofort ne Email zu bekommen,
wenn ein Patch raus ist.
8. Klickt im IRC nicht auf irgendwelche Links, die komisch aussehen.
9. Surft nur auf Vertrauenswürdigen Seiten.
10. Benutzt für Foren und Internetseiten immer ein anderes Passwort
als für wichtige Dinge. Der Webmaster kann Euer Passwort lesen !!!
11. Beten.


Hoffen wir das beste,
ansonsten wird bald Trusted Computing
unseren Computeralltag bestimmen.

in diesem Sinne,

Cymex

____________________
Links:

Der Neue Mozilla FireFox Browser:
http://www.mozilla.org/products/firefox/


Quellen und Literatur:

http://pgl.infinite-server.de/forum/viewtopic.php?t=1655

Quellen und Literatur:

Vergitterte Fenster:
-http://www.heise.de/security/artikel/44462/1
Exploits (Schwert oder Schild):
-http://www.heise.de/security/artikel/47034
Application Worms:
-http://www.imperva.com/docs/Application_Worms.pdf
Schleichpfade (Tunnel durch die Firewall)
-http://www.heise.de/security/artikel/43716
Http-Tunnel:
-http://www.http-tunnel.com/html/
Trusted Computing:
-http://www.heise.de/security/result.xhtml?url=/security/artikel/43179

 

[Doomhammer_1]

ich hab zum glück noch nei einen virus bekommen

 

[EatNoFish]

"Hoffen wir das beste,
ansonsten wird bald Trusted Computing
unseren Computeralltag bestimmen."


die ganze viren/würmerflut ist von den befürwortern des trusted computing iniziiert: erst durch die spürbare bedrohung lassen sich die skeptiker von der "sicherheit durch totale kontrolle" überzeugen.


warum aber der umstieg auf ein anderes system als windows für dich nicht in frage kommt, bleibt mir schleierhaft. wieso zur hölle klammern sich die leute an windows, wo jeder darüber flucht?

 

[HERR 2FICKENDEHUNDE]

weils nen benutzerfreundliches betriebssystem ist, deshalb.

1.bunte fenster, installations balken mit prozentangaben.
2.relative einfach einbindung neuer hardware
3.installation is mega einfach ( leider manchmal ^^ )
4.ohne grosses knowhow kann man problemlos damit arbeiten


ich weiss die linux jünger werden aufschreien und mich eines besseren belehren wollen aber dazu sag ich nur

leute mit erfahrung und guten technischen fähigkeiten sind eine minderheit. die meisten leute sind nunmal einfach dau´s. und wer auf linux schon mal ein kernelupdate , 3d treiber installation oder ähnliches gemacht hat, der weiss, dass man das einem 40 jährigen nicht it speziallisten nicht zumuten kann.

ich will damit nicht sagen das windows das bessere betriebssystem, wohl aber das für dau´s nutzerfreundlichste ist.

wer sich für elitär, begabt und auch besser bestückt im genitalbereich fühlt, kann jetzt natürlich gerne auf mich einschlagen

 

[HowHigh]

niemand hat behauptet dass linux einfacher zu administrieren ist als windows. für DAUs ist das hier am besten: www.apple.com/de/macosx/. aber das kennt leider kein schwein.

 

[aMrio]

seit ich grad nach vierteljähriger windows abstinenz mal wieder win2k installiert habe und seit stunden mit nem scheiss virus kämpfe den ich trotz aller vorher unter linux gesaugten sicherheitspatches und virenprogrammer innerhalb von ca. 2s nach dem ersten mal online gehen bekommen habe bin ich nicht mehr davon überzeugt dass windows einfach zu installieren ist.

aber selbst als mittlerweile linux gewöhnter user ist mir das windows look&feel immer noch deutlich angenehmer muß ich feststellen. programme einfach installieren, nie kommandozeile benutzen müssen usw usf. nichts nachschlagen müssen in 50 foren wo man 49 mal lesen muß "rtfm" etc.

 

[Skaarj]

Opera mal ganz klar >> Mozilla....

 

[Sodom&Gomorrha]

Ich habe derzeit noch Windows ME drauf, eine Personal Firewall (ZA) und AntiVir reichen mir; aktualisiert wird durch Scheduler ohnehin einmal automatisch täglich und hatte bisher hier noch keinen Virus auf dem System drauf.
Der aktuelle Wurm Kongo kann wenn ich mich nicht irre alle Windows-Versionen seit 98 befallen, also ist das Argument, vorerst ein altes Windows zu benutzen, nur bedingt gut bzw. kein Schutz.
Man ist vielleicht vor Biestern wie dem MS Blast geschützt, aber deshalb schon sicher ist man noch lange nicht.

Bei einem neuen Rechner würde ich aber auf Windows nicht gänzlich verzichten; die einfachste Lösung, auf eine Partition Windows, auf eine andere Linux, scheint da nahe (oder ein emuliertes Windows ) nahe; wobei laut c'T angeblich sich die alternativen Betriebssystem langsam immer mehr dem Windows-Desktop annähern, um benutzerfreundlicher zu werden (GNOME/KDE usw.).

Zu der Opera-Sache: Ich bevorzuge einen alternativen Browser _ohne_ Werbung (Mozilla/Firefox), da ich es nicht einsehe, für nicht gerade wenig Geld diesen kaufen zu müssen, um ohne den Banner leben zu wollen (mal von anderen weniger legalen Metoden abgesehen ).

 

[Whcttyh]

ich finde linux benutzerfreundlicher als windows.

 

[Skaarj]

Original geschrieben von M!thr4nd!r
Zu der Opera-Sache: Ich bevorzuge einen alternativen Browser _ohne_ Werbung (Mozilla/Firefox), da ich es nicht einsehe, für nicht gerade wenig Geld diesen kaufen zu müssen, um ohne den Banner leben zu wollen (mal von anderen weniger legalen Metoden abgesehen .

 

[EatNoFish]

Original geschrieben von 2FICKENDEHUNDE
weils nen benutzerfreundliches betriebssystem ist, deshalb.

1.bunte fenster, installations balken mit prozentangaben.
2.relative einfach einbindung neuer hardware
3.installation is mega einfach ( leider manchmal ^^ )
4.ohne grosses knowhow kann man problemlos damit arbeiten

aber das ist doch mit Mac OS X genauso!

 

[Sas~iN~LoVe]

Der Text ist sprachlich sowie inhaltlich nicht wirklich hochwertig.

Zum eigentlichen Thema äußere ich mich lieber mal nicht...

 

[Alpha]

hey mr.eloquent.

schreib was besseres..

thx

 

[Sas~iN~LoVe]

Warum sollte ich? Dazu ist mir meine Zeit auch ehrlich gesagt zu schade.

Bist du mir jetzt böse, nur weil ich einen Text kommentiert habe, der so wirkt als wolle er überhauptnichts aussagen, sondern nur seinen Autor hervorheben?

Wenn ich mich irre, bin ich für Erläuterungen natürlich immer offen...

 

[XFreeX]

Entschuldigt bitte, wer "Standard" mit "t" schreibt und das mit solchem Nachdruck, der wird von mir nur belächelt.

So lange es Leute wie den Verfasser gibt, wird es "Möchtegernexperten" geben, welche eben diesen Meta-Experten Kot erzählen. Man zeige mir einen brauchbaren Sec-Consult, nur einen einzigen, welcher den Einsatz von Routern mit FW Funktion und den Einsatz von PFs als ernstzunehmende Security-Lösung propagiert.

Mein Rat: Schuster bleib bei Deinen Leisten, in seinem Fall bei Broodwar.

Gruß, Stefan

 

[XFreeX]

taken from: http://pgl.infinite-server.de/forum/viewtopic.php?t=1655&highlight=
--------
Das bedeutet soviel wie, dass die bisherigen Würmer
ziemlich Primitiv auf Netzwerkebene arbeiten.
Sie nutzen also lediglich Sicherheitslücken aus,
um dann einen bestimmten Zweck zu erfüllen.

Die neue Generation wird intelligent versuchen
Anwendungen zu manipulieren, nachdem sie
den Rechner infiziert haben, um unerkannt zu bleiben.
Solche Anwendungen können der Windows Kernel,
Browser, Virenscanner oder Internetanwendungen sein.
Die Würmer greifen also direkt in das System ein anstatt nur
Schaden anzurichten oder sich zu verbreiten.
Das Aufspüren solcher Würmer wird damit fast unmöglich.
Sie tauschen Systemdateien aus und können somit ganze
Ausgaben manipulieren, so dass selbst ein versierter Benuter
nach langem Suchen feststellen wird, dass alles OK ist.

Worst Case Szenario:
Der Autor des Programmes erhält uneingeschränkten Zugriff auf das
infizierte System, liest alle Passwörter und Kredidkartennummern aus
und selbst das Einspielen eines Sicherheitspatches oder ein
aktueller Virenscanner werden das Problem nicht lösen können.
Dann ist es bereits zu spät.

So ein System kann auch ein Server einer großen Firma sein.
Egal ob Linux oder Windows.
Ein einziges Sicherheitsloch und wenn es nur für ein paar Stunden
existiert reicht aus, um einen Rechner für fast unbegrenzt lange Zeit
unter Kontrolle zu halten.

Industriespionage, Kreditkartenbetrug und das Organisierte Verbrechen
bekommen damit eine neue Bedeutung.

Theoretisch könnte man mit so einem Wurm den Server des Bundeskriminalamtes
als FTP Server zum Austausch für Kinderpornografie verwenden und es würde
erst auffallen, wenn die Rechnung mit dem hohen Trafficvolumen kommt.
Und selbst dann würde man warscheinlich nicht herausfinden wieso
und weiterhin private Haushalte nach solchen Inhalten durchsuchen.
-------------

Er macht einen grundsätzlichen Fehler: Er denkt, daß die IT-Sicherheitsexperten gerade von den Bäumen geklettert wären.
Evtl. kamen sie gerade frisch aus dem Meer gekrochen, tut aber in diesem Fall nichts zur Sache.
Nur weil ihm offensichtlich Grundlagen der digitalen Signatur und deren Anwendungen, hier sei Tripwire erwähnt, scheinbar vollkommen abgehen, sollte er es anderen nicht unterstellen.
Es gibt eben für diesen Zweck auch unter Win32 einige kommerzielle Produkte, welche dieses Thema zum Marketinginhalt haben.

Kurzum: Er sollte seine Kolumne noch ein wenig überarbeiten.