Schutz vor Viren, Spoof-Emails, Werbetrojanern, DialernSchutz vor Viren, Spoof-Emails,...
Transcript of Schutz vor Viren, Spoof-Emails, Werbetrojanern, DialernSchutz vor Viren, Spoof-Emails,...
Schutz vor Viren, Spoof-Emails, Werbetrojanern und Dialern
Fung-Chuan DrautzChina-Büro für Wirtschaft und Wissenschaft18. September 2004
Copyright Fung-Chuan Drautz, China-Büro für Wirtschaft und Wissenschaft
www.china-buero.de
Gliederung
� Brauchen wir noch einen Vortrag?� Viren und Schadsoftware – Definition� Verbreitung – Count Down� Computer säubern & absichern� Antivirenprogramm, Firewall, Router� Dialer� Spoof-Emails� Häufige Irrtümer
Brauchen wir einen Vortrag?
�Ja!
Erhaltene Emails mit Viren, irgendjemand auf der Liste hat sich Netsky.P eingefangen!
Brauchen wir einen Vortrag?
� IP-Adresse: 212.144.218.116� DNS: dialin-212-144-218-116.arcor-
ip.net� Virus: Netsky-P� Kennt also bestimmte Leute bzw. war
auf Webseiten wo die Adressen stehen!
� Gewünscht?
Brauchen wir einen Vortrag?
Harmlose Seiten? Nein, Dialer unter den ersten paar Treffern!
Brauchen wir einen Vortrag?
Dialerabzocke, die sich gegen kleine Kinder richtet! Informatiker passen besser auf, aber der Rest der Familie zu Hause am PC?
Kleingedrucktes: 29¼�SUR�(LQZDKO�
Schadsoftware - Definition
� Viren, Würmer, Trojaner, Spoofmails, Dialer, Werbesoftware ... – Was ist was?
� Generell Schadsoftware oder Malware (malicious programs)
Schadsoftware - Viren
� selbstreproduzierende Programme� genau nach Dr. Cohen (1983): „Ein
Computervirus ist ein Programm, das andere Computerprogramme infizieren kann, indem es sie so verändert, dass es eine Kopie (von sich) einfügt.“
� Erste Viren: Elk Cloner für Apple II (1981), Brain für den PC (1986)
� Früher Verbreitung durch Diskettentausch, heute Netzwerke (C64, Amige -> PC)
Schadsoftware - Viren
� brauchen Wirtsprogramm � Fügen sich in Programme (.exe, .scr ...)
ein, früher Infektion von Bootsektoren� Früher fast immer sichbare
Schadroutine� z.B. Festplatte formatieren, Dateien
löschen, nervende Musik abspielen ...
Schadsoftware - Viren
� Heute versteckte Schadroutine: Paßwort-abhören (z.B. Von Onlinebanking), Versenden von Spam, Mißbrauch des eigenen PCs als Webserver für illegale Inhalte ... – Schlimmstenfalls steht die Polizei vor der Tür.
� Modernes Beispiel: „I Love You“-Virus, VBA (Visual Basic für Anwendungen)-Makrovirus für Microsoft Word für Windows
Schadsoftware - Würmer
� auch selbstreproduzierende Programme� brauchen kein Wirtsprogramm, laufen als
seperates Programm � Brauchen Sicherheitslücken oder müssen
Benutzer hereinlegen zur Installation� Eintrag in Autostart/Registry:
http://support.microsoft.com/?kbid=179365, Run, RunOnce, RunServices ... Moderne autoexec.bat
Schadsoftware - Würmer
� Nicht im Taskmanager sichtbar� Oder nach System klingende Namen (z.B.
exp1orer.exe, winregsys.exe, ...) � Erster Wurm: „Internet Wurm“ von 1988 für
BSD Unix (Berkeley Standard Distribution) � Modernes Beispiel: Code Red (2001) für
Microsoft Webserver IIS� Viele „Viren“ sind eigentlich Würmer (Run-
Eintrag in Registry, Versenden sich selbst)!� Haben auch Schadroutinen (s.o.)
Schadsoftware - BHO
� Browser-Help-Objekte� z.B. Acrobat Reader,
Google-Toolbar, Wetter, ebay, aber auch Gator/Claria etc.
� Müssen nicht immer als Toolbar sichtbar sein, können als Spyware auch versteckt Paßwörter abhören!
Verbreitung – Count Down
� Früher Disketten, heute Netzwerk
Auf folgenden Folien Count-Down der wichtigsten Verbreitungswege, d.h. Wo man sich überall schützen muss.
Verbreitung - Tauschbörsen
� Würmer/Viren kopieren sich in Verzeichnisse von Tauschbörsen
� Britney-New-Song.mp3.exe oder Photoshop-crack.exe, Größe von 30-300KB
Achtung: Wenn der Virus/Wurm „klüger“ ist, hat er viele Leerzeichen im Namen. Z.B.
„Britney-New-Song.mp3 .exe“
Man kann im Tauschbörsenklient nicht sofort sehen, dass es ein Programm statt MP3 ist. Dieser Trick wird auch bei Mailwürmern gerne angewandt!
Verbreitung - Tauschbörsen
� Erst recht keine illegale Software aus dem Internet downloaden
� Alternative für MP3: allofmp3.com (1 Cent/Megabyte), weblisten.com (Flatrates), staytuned.de (Festpreis-Webradio mit eigener Auswahl! –> Mitschneiden von Streams) oder
� CDs Ausleihen und Kopieren falls möglich.� Alternative für Software: Kaufen! Evt. alte
Versionen über ebay kaufen.
Verbreitung - Chatsoftware
� Messenger-Software (Chatten über Internet)
� Haben auch einen Dateitransfer� Haben auch so etwas wie VBA
� Keine Dateien oder Anweisungen von Unbekannten öffnen oder ausführen!
Verbreitung� Fast automatische
Installation im Internet Explorer als Browser Helper Object (fehlendes Plugin, „ActiveX“-Komponente)
� Wird aber auch von legitimer Software benutzt!
Verbreitung -Netzwerkfreigaben
� SMB/CIFS – Netzwerk „Datei- und Druckfreigaben
� Administrative Freigabe C$ ist Standard, immer vorhanden aber wegen „$“ nicht im Explorer sichtbar (mit anderen Tools schon)
� Standardinstalltion von Windows hat oft kein Paßwort
� Virus sucht nach Freigaben im Netz und kopiert sich in Autostart-Ordner!
Verbreitung -Netzwerkfreigaben
Beispiel: Frische Windows-Installation
Übrigens an vielen anderen Stellen auch ungeschützt!
Kein Passwort vergeben, Return genügt!
Das ist Laufwerk C:
Man könn te sofort Dateien löschen, geheime, vertrauliche Dateien kopieren. Viren könn en sich einfach draufkopieren
Wenn mehr Laufwerke vorhanden, dann würde hier noch D$, E$, ... stehen.
-> noch ein Grund eine Firewall zu benutzen, man kann diese aber auch zusätzlich abschalten (siehe MS KB314984)
Verbreitung -Sicherheitslücken
� Direkter Angriff auf Sicherheitslücken (laufende Dienste/„Services“) – LSASS (Lokale „Sicherheit“, Login-Prüfung), RPC/DCOM (Prozesskommunikation zwischen Computern, auch auf dem selben Computer), UPnP (Portöffnung in Firewalls für lokale Programme –bereits das ist eine Gefahr!), alle für Puffer-Überläufe anfällig
Verbreitung -Sicherheitslücken
� Beispiel Puffer-Überlauf:� 1. Wurm „sagt“: Ich sende dir ein Paket, es ist 3 KB
gro� 2. Lokales Programm reserviert 3 KB Speicher� 3. Wurm sendet 5 KB!� 4. Die ersten 3 KB landen noch im reservierten
Speicher, der Rest (2 KB) überschreibt Speicher der danach liegt. In diesem Speicher war vorher ein wichtiger Teil des lokalen Programms.
� 5. Das lokale Programm will diesen wichtige Teil ausführen, startet aber stattdessen den Wurm, der sich dorthingeschmuggelt hat!
Verbreitung -Sicherheitslücken
� Auch Mozilla, Opera, Firefox haben Sicherheitslücken
� Aktuelle Version benutzen!� .jpg im Internet Explorer/Office anfällig
(gdiplus.dll)� .png in Mozilla, Opera, ... anfällig� Internet Explorer hat mehr Lücken:� http://secunia.com/product/11/#advisories
Verbreitung - Emails
� HTML-Emails, Javascript/IE: Outlook benutzt Internet-Explorer für HTML-Emails, daher genauso gefährdet! (z.B. Früher, bzw. ungepatchte Windows-Installation hatten IFrame Exploit –Anschauen genügt)
� Attachements:� automatisch geöffnet durch Sicherheitslücke � oder durch Reinlegen des Lesers („important
document, please read“). Im Zweifel beim Absender anrufen und fragen („Ist das von dir, ich hatte kein ‚important document‘ erwartet “).
Computer säubern, sichern
� Computer säubern und sicher machen!� Patches� Antivirenprogramm� Firewall oder Router� Schadsoftware entfernen
Computer säubern, sichern
� Windows-Update verwenden� Microsoft-Patchday: zweiter Mittwoch im
Monat� Alle Benutzer müssen Passwörter haben,
kein Account mit erweiterten (Administrator)-Rechten sollte normal surfen.
� Service Pack 1 für Internet Explorer 6 und Outlook 6
� (http://www.microsoft.com/downloads/release.asp?releaseid=42724)
Computer säubern, sichern
� Antivirenprogramme� Gute Antivirenprogramme: Kapersky Antivirus,
AVP, Norman Virus Control, Bitdefender� Norton gut? 20.12.2003 zu Sober.c:
http://www.heise.de/security/news/meldung/43125 „NAI und Symantec [Norton] bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten.“ Trotz angeblicher Teams auf der ganzen Welt, um sofort reagieren zu können.
Computer säubern, sichern
� Achtung, kein Grund deswegen Norton Antivirus zu entfernen. Norten Antivirus ist viel besser als gar kein Antivirenprogramm zu haben!
� Es gibt Gratis-Versionen von Virenscannern. Aber praktisch alle überprüfen Dateien erst, wenn man sie fragt. Sind eher Testversion, um bereits vorhandene Viren zu erkennen!
� Modern: „On-Access-Virenscanner“ (Kaufversionen), scannen bevor Datei geöffnet wird und verhindern Zugriff auf Virus. Oder scannen Email bevor sie Outlook erreicht!
Computer säubern, sichern
� Outlook für Emails aus dem Internet ungeeignet:
� Automatische Anzeige als HTML (mit ungepatchtem Internet Explorer: IFrame-Exploit!)
� Automatisches Herunterladen von verlinkten Bildern
� Wirksamer Spamfilter erst in Version 2003� stattdessen z.B. Thunderbird oder andere
Computer säubern, sichern –Outlook Express
� D.h. Outlook anfällig Webbugs von Spammern (verlinkte Bilder in Emails, die nicht mitgeschickt sind)
� Tab Lesen: "Alle Nachrichten als nur Text lesen" (ab Outlook Express SP1)
� Tab Sicherheit: "Bilder und andere externe Inhalte in HTML-E-Mail blockieren" erst ab Outlook Express unter Windows XP SP2
Beispiel Webbugs:Email hat Bild mit URL http://www.spammerseite.com/drautzffm_yahoo_de_hat_spam_gelesen.gif
Sichere Einstellungen! „nur Text“ ist für die Firma ok. Kann aber zu Hause je nach Briefpartner Probleme beim Lesen von chin. Mails bedeuten. Ausweg falls Probleme: Evt. Umstieg, bei Mozilla Thunderbird wäre das Anzeigen als HTML genauso sicher wie „nur Text“.
Computer säubern, sichern –Outlook Express
� Programme dürfen nicht gespeichert/ausgeführt werden (auch Outlook 2000, XP, 2003, je mit aktuellstem Patch!). Achtung: Access-Datenbanken verboten, Excel und Word-Dateien erlaubt.
� Beispiel -> Access Datenbanken erlauben, ZIP und RAR-Archive verbieten (echtes Outlook):
� HKEY_CURRENT_USER\Software\Microsoft\Office\[Version]\Outlook\Security
� Zeichenfolge: „Level1Remove“, Inhalt: „.mdb“� Zeichenfolge: „Level1Add“, Inhalt: „.zip;.rar“ usw.� Email mit unerlaubtem attachement an eigene Webmail-
Adresse weiterleiten, herunterladen und scannen.
Informationen für Profis: Genaueres Einstellen der Sperre für gefährliche Dateien in neueren Outlook Versionen. Z.B. Access-Datenbanken sind eigentlich nicht gefährlicher als vom Filter erlaubte Worddateien – beide könnten Makroviren haben.
Was tun bei legitimer Email
Computer säubern, sichern –Outlook Express
„nur-Text“-Einstellung
Wenn man so riskant ist weiter HTML-Mails zu lesen:
Dann sollte man verwendete Zone ändern und Zoneneinstellungen in den Internet-Optionen der Systemsteuerung auf sichere Werte stellen.
Computer säubern, sichern –Outlook - Express
Hier ist die Zoneneinstellung,
Da Outlook den Internet Explorer für Mails verwendet, ist das gleichzeitig auch die Zoneneinstellung im Internet-Explorer für „eingeschränkte Sites“.
Link für sichere Konfiguration, nächste Folie!
Computer säubern, sichern –Internet Explorer
� Als Haupt-Browser z.B. Mozilla/Firefox oder Opera, immer aktuell halten (Patches)!
� Internet Explorer so wenig wie möglich benutzen (nur wenn Seiten nicht anders funktionieren), auch aktuell halten durch Windows-Update
� http://secunia.com/product/11/#advisories� Testen!
http://www.heise.de/security/dienste/browsercheck/� Einstellen vom Internet Explorer!
http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/02.shtml
„Wie anfällig bin ich jetzt“ (vor dem Installieren wichtiger Patches)
Computer säubern, sichern –Internet Explorer
� Einstellen vom Internet Explorer!http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/02.shtml
... sind noch mehr Einstellungen, URL oben besuchen und einstellen!
Achtung: Manche Seiten können mit sicheren Einstellungen nicht mehr funktionieren. Gehen aber meist in Firefox/Opera.
Computer säubern, sichern –Internet Explorer
� Selbst wenn man nicht den Internet Explorer benutzt, verwendet man ihn doch!
� Muss: Patchen, sicher Einstellen(siehe Folie vorher)
Grund: Internet Explorer-Komponenten zur HTML-Anzeige auch in Media Player, Realplayer, scheinbar alternativen Browsern (iRider, Abolimba Multibrowser, ...), Browser-Komponenten von Providern (T-Online, AOL-Browser), Lexikas (Encarta, Britannica) ...
Computer säubern, sichern –Internet Explorer säubern
� Spybot Search & Destroy
� BHO-Demon
Entfernen von ungewünschten „Browser Helper Objekten“
Seriöse Toolbars (z.B. Google-Toolbar) kann installiert lassen
Gibt bessere Übersicht über alle installierten BHOs, s.u., nach Reinigung
Firewall/Router
� Personal Firewall, z.B. Zone-Alarm� Besser: Hardware-Router:� Für Modem, z.B. SMC 7004 BR
(Achtung kein Modemanschluß in 7004ABR, 7004VBR-Versionen) oder z.B. W-Linx MB 401-S
Modemrouter gibt praktisch nur noch gebraucht zu kaufen.
ISDN-Router gibt es auch neu.
Achtung. Am besten Router und PC an eine Schaltersteckdose, ausschalten wenn PC aus: Dann kann man sicher sein, nicht aus Versehen permanent Internet am laufen zu haben, und dafür zahlen zu müssen.
Firewall/Router
Ohne Paßwort kann man hier keine Einstellung ändern. Nur Internet-verbindung starten oder trennen.
(damit auch ein Schutz vor Dialern)
Sichere Routerkonfiguration, Beispiel Modemrouter
Firewall/Router
Aufbau von Internetverbindung erst, wenn man auf „Dial-up“-Button klickt (vorige Folie).
Sonst wäre das automatisch wenn ein einziges Programm etwas aus dem Internet anfordert!
Firewall/Router
Gefährliche Einstellung: DMZ-Host
Am besten leer lassen, deaktivieren!
Firewall/Router
Gefährliche Einstellung: Virtual Server, bzw. Port-Forwarding
Am besten leer lassen, deaktivieren! Manche Anwendungen wie Quicktime, Netmeeting ... brauchen aber Portforwarding. Ist aber Spezialisten-Einstellung.
Firewall/Router
� Kein DMZ/Virtual Server/Portforwarding
� W-LAN, WPA oder VPN oder WEP mit Keywechsel alle 2-3 Monate
� Bei meisten Router: keine echte SPI-Firewall (kann Grund sein, trotz Router zusätzlich Personal Firewall wie ZoneAlarm zu installieren)
Nicht bei allen Routern möglich: MAC-Filter für WLAN-Clients
Statefull Packet Inspection (SPI-Firewall) fehlt bei meisten Routern, da teuer. Selbst hier nur vergleichsweise wenige Einstellungen möglich.Kann einfacher und billiger durch gute Personal Firewall ersetztwerden (diese können das sogar noch besser).
Dialer
� Legale Dialer – Anforderungen:� Rufnummerngasse 0900-9� Wegsurfsperre� 3x OK eingeben� Impressum und Hashwert� Registriert bei der RegTP� Keine Kommandozeilenparameter
Also vorsichtig sein, wenn man auf einer Webseite OK eingeben soll, kann ein Dialer sein!
Dialer
� Illegale Dialer� Eine der Bedingungen nicht erfüllt� Keine Pflicht zur Zahlung!� (Auslandsrufnummern, Satellitentelefon-
Rufnummern)� 0190-Warner-Programme,� feste oder variable Rufnummernsperre
(Telekom)� Router verwenden („DSL“)
Router gibt es auch für analoge Modems und ISDN, siehe mehrere Folien vorher
Spoof-Emails
� Darauf fällt keiner mehr rein:
„I am Mr. Richard Wilford, the only son of late Chief John Wilfordfrom Sierra-Leone. I got your contact from the internet directory and needan assistance from you. My sources of your contact gave me encourage andconfidence to write on you.
I am writing you in absolute confidence primarily to seek for yourassistance to transfer our cash of (Thirty Nine Million United StatedDollars) (39,000,000.00) now in the custody of the Security and trust Company here in spain to your private account pending our arrival to your country.” …
Spoof-Emails
� Und darauf?
Flüchtigkeitsfehler der Kriminellen Anzeige bei aktivem Javascript in Mailprogramm leicht zu fälschen
Spoof-Emails� Stopp, nicht einloggen, gefälscht:
Spoof-Emails� Das ist das Original
Spoof-Emails
� Auch auf die URL-Anzeige im Browser kann man sicher nicht immer verlassen (sog. „URL-Spoofing“, Fälschen der Adressezeile)
� Das gilt den ungepatchten Internet Explorer, das gilt für alternative Browser, die nicht aktuell sind:
Spoof-Emails
� Fazit – sichere und einfache Lösung:� Wichtige Webseiten (Online-Banking, ebay) nur per
Bookmark aufrufen oder URL aus Gedächtnis eintippen.z.B. Eintippen von https://meine.deutsche-bank.destatt Link aus Email!
� D.h. nie Links für wichtige Webseiten aus Emails aufrufen (selbst wenn es richtig aussieht, vgl. URL-Spoofing)
� Wenn eine Firma angeblich Daten verloren hat und man diese neu eintippen soll – solche Mails sind gefälscht, wollen immer Kreditkarten-Nummer/Konto-PIN/Paßwörter ... klauen
In den USA ist „Identity Theft“ schon ein schlimmes Problem, meist wird Kreditkarten + Sozialversicherungsnummer geklaut.
Trojaner - kurz
� Name wird für vieles benutzt: Hintertürprogramme, Spyware, Keylogger
� Werden meistens als BHO im Internet Explorer oder von Würmern installiert, tw. schon bei Würmern eingebaut (MyDoom)
� Können Netzwerkverkehr und eigenen Computer auf Paßwörter, PINs abhören (Network Sniffer/Keylogger)
� Werden zum Glück auch von Virenscannern erkannt
Gelernt? – Häufige Irrtümer
Ich habe einen Extra Quarantäne-PC, muss nicht auf Sicherheit achten
¾Der Quarantäne-PC kann andere infizieren (Dateifreigaben, Sicherheitslücken)¾Trojaner können das ganze Netzwerk abhören (Paßwörter)
Ich habe doch DSL/Breitband/Kabelmodem/Router
¾nur passiver Schutz, gegen Hacker¾UPnP – Portfreigaben / DMZ-Host¾Die meisten Viren kommen über Email¾Bei Dialern – Ist noch ein Modem für Faxe angeschlossen?
Ich benutze keine Microsoft -Programme fürs Internet/Ich hab do ch Mozill a/Firefox/Opera/Pegasus ...
¾auch andere Programme haben Sicherheitslücken!
Häufige Irrtümer
Ich benutze keinen Internet Explorer, also brauche ich keine Patches für den IE
¾Falsch, Beispiele: Outlook und Outlook Express benutzen Teile des Internet Explorers für HTML-Emails, der Realplayer und andere benutzen auch den IE, die Windows-Hilfe basiert auf dem IE (.chm-Dateien) Trojaner können das ganze Netzwerk abhören (Paßwörter)
Ich lade keine Programme aus dem Internet
¾Makroviren in Office-Dokumenten¾Einbau von .exe in PDF-Dateien¾Puffer-Überläufe bei Bilddateien (.bmp,.png,.jpeg)
Häufige Irrtümer
Ich habe einen Virenscanner und eine Firewall , ich muss nicht aufpassen
¾Doch! Zuerst wird ein Virus erfunden, dann erst wird der Virenscanner vom Hersteller aktualisiert¾Viele aktuelle Viren versuchen Antivirenscanner und Firewall-Prozesse zu schliessen
Ich habe Windows XP Service Pack 2, mehr brauche ich n icht!
¾Service Packs zu installieren ist allgemein gut!¾Service Pack 2 für Windows XP hat bereits einen riesigen Fehler in der Firewall. Wenn diese alte Regeln vom SP1 konvertiert (lokale Dateifreigaben), darf das ganze Internet auf einen Rechner zugreifen! Siehe http://www.pcwelt.de/news/sicherheit/103013/¾Service Pack 2 enthält: Keinen Virenscanner¾Service Pack 2 schützt nur mitgelieferte Windows Programme wie den Internet Explorer und Outlook etwas besser vor Puffer-Überläufen. Aber nicht Microsoft Office oder ICQ, ...
Häufige Irrtümer
Microsoft würde nie unsichere Software ausliefern, würde sofort Patches liefern?
¾Kein Programm ist perfekt¾Windows wird mit unnötigen Netzwerkdiensten ausgeliefert¾Außerdem werden mit der Zeit mehr und mehr Sicherheitslücken entdeckt¾Beispiel: „Kein Passwort“ auch erlaubt!
Wenn was pass iert installi ere ich einfach Windows neu, mache ichsowieso jeden Monat
¾Wenn Kriminelle deinen PC kontrollieren und DDOS-Attacken machen, Spam versenden, etwas Illegales. Dann kann trotzdem zuerst dein PC von der Polizei beschlagnahmt werden („Beweissicherung“, um die Kriminellen verurteilen zu können).¾Wenn du mit Kreditkarten im Internet bestellst oder Onlinebanking verwendestt, kann Malware Kartendaten/PINs/TANs klauen.
Danke!
Ende des Vortrags,Danke fürs Zuhören