Schutz vor Viren, Spoof-Emails, Werbetrojanern, DialernSchutz vor Viren, Spoof-Emails,...

Schutz vor Viren, Spoof-Emails, Werbetrojanern und Dialern

Fung-Chuan DrautzChina-Büro für Wirtschaft und Wissenschaft18. September 2004

Copyright Fung-Chuan Drautz, China-Büro für Wirtschaft und Wissenschaft

www.china-buero.de

Gliederung

� Brauchen wir noch einen Vortrag?� Viren und Schadsoftware – Definition� Verbreitung – Count Down� Computer säubern & absichern� Antivirenprogramm, Firewall, Router� Dialer� Spoof-Emails� Häufige Irrtümer

Brauchen wir einen Vortrag?

�Ja!

Erhaltene Emails mit Viren, irgendjemand auf der Liste hat sich Netsky.P eingefangen!


� IP-Adresse: 212.144.218.116� DNS: dialin-212-144-218-116.arcor-

ip.net� Virus: Netsky-P� Kennt also bestimmte Leute bzw. war

auf Webseiten wo die Adressen stehen!

� Gewünscht?


Harmlose Seiten? Nein, Dialer unter den ersten paar Treffern!


Dialerabzocke, die sich gegen kleine Kinder richtet! Informatiker passen besser auf, aber der Rest der Familie zu Hause am PC?

Kleingedrucktes: 29¼�SUR�(LQZDKO�

Schadsoftware - Definition

� Viren, Würmer, Trojaner, Spoofmails, Dialer, Werbesoftware ... – Was ist was?

� Generell Schadsoftware oder Malware (malicious programs)

Schadsoftware - Viren

� selbstreproduzierende Programme� genau nach Dr. Cohen (1983): „Ein

Computervirus ist ein Programm, das andere Computerprogramme infizieren kann, indem es sie so verändert, dass es eine Kopie (von sich) einfügt.“

� Erste Viren: Elk Cloner für Apple II (1981), Brain für den PC (1986)

� Früher Verbreitung durch Diskettentausch, heute Netzwerke (C64, Amige -> PC)


� brauchen Wirtsprogramm � Fügen sich in Programme (.exe, .scr ...)

ein, früher Infektion von Bootsektoren� Früher fast immer sichbare

Schadroutine� z.B. Festplatte formatieren, Dateien

löschen, nervende Musik abspielen ...


� Heute versteckte Schadroutine: Paßwort-abhören (z.B. Von Onlinebanking), Versenden von Spam, Mißbrauch des eigenen PCs als Webserver für illegale Inhalte ... – Schlimmstenfalls steht die Polizei vor der Tür.

� Modernes Beispiel: „I Love You“-Virus, VBA (Visual Basic für Anwendungen)-Makrovirus für Microsoft Word für Windows

Schadsoftware - Würmer

� auch selbstreproduzierende Programme� brauchen kein Wirtsprogramm, laufen als

seperates Programm � Brauchen Sicherheitslücken oder müssen

Benutzer hereinlegen zur Installation� Eintrag in Autostart/Registry:

http://support.microsoft.com/?kbid=179365, Run, RunOnce, RunServices ... Moderne autoexec.bat

Schadsoftware - Würmer

� Nicht im Taskmanager sichtbar� Oder nach System klingende Namen (z.B.

exp1orer.exe, winregsys.exe, ...) � Erster Wurm: „Internet Wurm“ von 1988 für

BSD Unix (Berkeley Standard Distribution) � Modernes Beispiel: Code Red (2001) für

Microsoft Webserver IIS� Viele „Viren“ sind eigentlich Würmer (Run-

Eintrag in Registry, Versenden sich selbst)!� Haben auch Schadroutinen (s.o.)

Schadsoftware - BHO

� Browser-Help-Objekte� z.B. Acrobat Reader,

Google-Toolbar, Wetter, ebay, aber auch Gator/Claria etc.

� Müssen nicht immer als Toolbar sichtbar sein, können als Spyware auch versteckt Paßwörter abhören!

Verbreitung – Count Down

� Früher Disketten, heute Netzwerk

Auf folgenden Folien Count-Down der wichtigsten Verbreitungswege, d.h. Wo man sich überall schützen muss.

Verbreitung - Tauschbörsen

� Würmer/Viren kopieren sich in Verzeichnisse von Tauschbörsen

� Britney-New-Song.mp3.exe oder Photoshop-crack.exe, Größe von 30-300KB

Achtung: Wenn der Virus/Wurm „klüger“ ist, hat er viele Leerzeichen im Namen. Z.B.

„Britney-New-Song.mp3 .exe“

Man kann im Tauschbörsenklient nicht sofort sehen, dass es ein Programm statt MP3 ist. Dieser Trick wird auch bei Mailwürmern gerne angewandt!

Verbreitung - Tauschbörsen

� Erst recht keine illegale Software aus dem Internet downloaden

� Alternative für MP3: allofmp3.com (1 Cent/Megabyte), weblisten.com (Flatrates), staytuned.de (Festpreis-Webradio mit eigener Auswahl! –> Mitschneiden von Streams) oder

� CDs Ausleihen und Kopieren falls möglich.� Alternative für Software: Kaufen! Evt. alte

Versionen über ebay kaufen.

Verbreitung - Chatsoftware

� Messenger-Software (Chatten über Internet)

� Haben auch einen Dateitransfer� Haben auch so etwas wie VBA

� Keine Dateien oder Anweisungen von Unbekannten öffnen oder ausführen!

Verbreitung� Fast automatische

Installation im Internet Explorer als Browser Helper Object (fehlendes Plugin, „ActiveX“-Komponente)

� Wird aber auch von legitimer Software benutzt!

Verbreitung -Netzwerkfreigaben

� SMB/CIFS – Netzwerk „Datei- und Druckfreigaben

� Administrative Freigabe C$ ist Standard, immer vorhanden aber wegen „$“ nicht im Explorer sichtbar (mit anderen Tools schon)

� Standardinstalltion von Windows hat oft kein Paßwort

� Virus sucht nach Freigaben im Netz und kopiert sich in Autostart-Ordner!

Verbreitung -Netzwerkfreigaben

Beispiel: Frische Windows-Installation

Übrigens an vielen anderen Stellen auch ungeschützt!

Kein Passwort vergeben, Return genügt!

Das ist Laufwerk C:

Man könn te sofort Dateien löschen, geheime, vertrauliche Dateien kopieren. Viren könn en sich einfach draufkopieren

Wenn mehr Laufwerke vorhanden, dann würde hier noch D$, E$, ... stehen.

-> noch ein Grund eine Firewall zu benutzen, man kann diese aber auch zusätzlich abschalten (siehe MS KB314984)

Verbreitung -Sicherheitslücken

� Direkter Angriff auf Sicherheitslücken (laufende Dienste/„Services“) – LSASS (Lokale „Sicherheit“, Login-Prüfung), RPC/DCOM (Prozesskommunikation zwischen Computern, auch auf dem selben Computer), UPnP (Portöffnung in Firewalls für lokale Programme –bereits das ist eine Gefahr!), alle für Puffer-Überläufe anfällig


� Beispiel Puffer-Überlauf:� 1. Wurm „sagt“: Ich sende dir ein Paket, es ist 3 KB

groß� 2. Lokales Programm reserviert 3 KB Speicher� 3. Wurm sendet 5 KB!� 4. Die ersten 3 KB landen noch im reservierten

Speicher, der Rest (2 KB) überschreibt Speicher der danach liegt. In diesem Speicher war vorher ein wichtiger Teil des lokalen Programms.

� 5. Das lokale Programm will diesen wichtige Teil ausführen, startet aber stattdessen den Wurm, der sich dorthingeschmuggelt hat!


� Auch Mozilla, Opera, Firefox haben Sicherheitslücken

� Aktuelle Version benutzen!� .jpg im Internet Explorer/Office anfällig

(gdiplus.dll)� .png in Mozilla, Opera, ... anfällig� Internet Explorer hat mehr Lücken:� http://secunia.com/product/11/#advisories

Verbreitung - Emails

� HTML-Emails, Javascript/IE: Outlook benutzt Internet-Explorer für HTML-Emails, daher genauso gefährdet! (z.B. Früher, bzw. ungepatchte Windows-Installation hatten IFrame Exploit –Anschauen genügt)

� Attachements:� automatisch geöffnet durch Sicherheitslücke � oder durch Reinlegen des Lesers („important

document, please read“). Im Zweifel beim Absender anrufen und fragen („Ist das von dir, ich hatte kein ‚important document‘ erwartet “).

Computer säubern, sichern

� Computer säubern und sicher machen!� Patches� Antivirenprogramm� Firewall oder Router� Schadsoftware entfernen


� Windows-Update verwenden� Microsoft-Patchday: zweiter Mittwoch im

Monat� Alle Benutzer müssen Passwörter haben,

kein Account mit erweiterten (Administrator)-Rechten sollte normal surfen.

� Service Pack 1 für Internet Explorer 6 und Outlook 6

� (http://www.microsoft.com/downloads/release.asp?releaseid=42724)


� Antivirenprogramme� Gute Antivirenprogramme: Kapersky Antivirus,

AVP, Norman Virus Control, Bitdefender� Norton gut? 20.12.2003 zu Sober.c:

http://www.heise.de/security/news/meldung/43125 „NAI und Symantec [Norton] bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten.“ Trotz angeblicher Teams auf der ganzen Welt, um sofort reagieren zu können.


� Achtung, kein Grund deswegen Norton Antivirus zu entfernen. Norten Antivirus ist viel besser als gar kein Antivirenprogramm zu haben!

� Es gibt Gratis-Versionen von Virenscannern. Aber praktisch alle überprüfen Dateien erst, wenn man sie fragt. Sind eher Testversion, um bereits vorhandene Viren zu erkennen!

� Modern: „On-Access-Virenscanner“ (Kaufversionen), scannen bevor Datei geöffnet wird und verhindern Zugriff auf Virus. Oder scannen Email bevor sie Outlook erreicht!


� Outlook für Emails aus dem Internet ungeeignet:

� Automatische Anzeige als HTML (mit ungepatchtem Internet Explorer: IFrame-Exploit!)

� Automatisches Herunterladen von verlinkten Bildern

� Wirksamer Spamfilter erst in Version 2003� stattdessen z.B. Thunderbird oder andere

Computer säubern, sichern –Outlook Express

� D.h. Outlook anfällig Webbugs von Spammern (verlinkte Bilder in Emails, die nicht mitgeschickt sind)

� Tab Lesen: "Alle Nachrichten als nur Text lesen" (ab Outlook Express SP1)

� Tab Sicherheit: "Bilder und andere externe Inhalte in HTML-E-Mail blockieren" erst ab Outlook Express unter Windows XP SP2

Beispiel Webbugs:Email hat Bild mit URL http://www.spammerseite.com/drautzffm_yahoo_de_hat_spam_gelesen.gif

Sichere Einstellungen! „nur Text“ ist für die Firma ok. Kann aber zu Hause je nach Briefpartner Probleme beim Lesen von chin. Mails bedeuten. Ausweg falls Probleme: Evt. Umstieg, bei Mozilla Thunderbird wäre das Anzeigen als HTML genauso sicher wie „nur Text“.


� Programme dürfen nicht gespeichert/ausgeführt werden (auch Outlook 2000, XP, 2003, je mit aktuellstem Patch!). Achtung: Access-Datenbanken verboten, Excel und Word-Dateien erlaubt.

� Beispiel -> Access Datenbanken erlauben, ZIP und RAR-Archive verbieten (echtes Outlook):

� HKEY_CURRENT_USER\Software\Microsoft\Office\[Version]\Outlook\Security

� Zeichenfolge: „Level1Remove“, Inhalt: „.mdb“� Zeichenfolge: „Level1Add“, Inhalt: „.zip;.rar“ usw.� Email mit unerlaubtem attachement an eigene Webmail-

Adresse weiterleiten, herunterladen und scannen.

Informationen für Profis: Genaueres Einstellen der Sperre für gefährliche Dateien in neueren Outlook Versionen. Z.B. Access-Datenbanken sind eigentlich nicht gefährlicher als vom Filter erlaubte Worddateien – beide könnten Makroviren haben.

Was tun bei legitimer Email


„nur-Text“-Einstellung

Wenn man so riskant ist weiter HTML-Mails zu lesen:

Dann sollte man verwendete Zone ändern und Zoneneinstellungen in den Internet-Optionen der Systemsteuerung auf sichere Werte stellen.

Computer säubern, sichern –Outlook - Express

Hier ist die Zoneneinstellung,

Da Outlook den Internet Explorer für Mails verwendet, ist das gleichzeitig auch die Zoneneinstellung im Internet-Explorer für „eingeschränkte Sites“.

Link für sichere Konfiguration, nächste Folie!

Computer säubern, sichern –Internet Explorer

� Als Haupt-Browser z.B. Mozilla/Firefox oder Opera, immer aktuell halten (Patches)!

� Internet Explorer so wenig wie möglich benutzen (nur wenn Seiten nicht anders funktionieren), auch aktuell halten durch Windows-Update

� http://secunia.com/product/11/#advisories� Testen!

http://www.heise.de/security/dienste/browsercheck/� Einstellen vom Internet Explorer!

http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/02.shtml

„Wie anfällig bin ich jetzt“ (vor dem Installieren wichtiger Patches)


� Einstellen vom Internet Explorer!http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/02.shtml

... sind noch mehr Einstellungen, URL oben besuchen und einstellen!

Achtung: Manche Seiten können mit sicheren Einstellungen nicht mehr funktionieren. Gehen aber meist in Firefox/Opera.


� Selbst wenn man nicht den Internet Explorer benutzt, verwendet man ihn doch!

� Muss: Patchen, sicher Einstellen(siehe Folie vorher)

Grund: Internet Explorer-Komponenten zur HTML-Anzeige auch in Media Player, Realplayer, scheinbar alternativen Browsern (iRider, Abolimba Multibrowser, ...), Browser-Komponenten von Providern (T-Online, AOL-Browser), Lexikas (Encarta, Britannica) ...

Computer säubern, sichern –Internet Explorer säubern

� Spybot Search & Destroy

� BHO-Demon

Entfernen von ungewünschten „Browser Helper Objekten“

Seriöse Toolbars (z.B. Google-Toolbar) kann installiert lassen

Gibt bessere Übersicht über alle installierten BHOs, s.u., nach Reinigung

Firewall/Router

� Personal Firewall, z.B. Zone-Alarm� Besser: Hardware-Router:� Für Modem, z.B. SMC 7004 BR

(Achtung kein Modemanschluß in 7004ABR, 7004VBR-Versionen) oder z.B. W-Linx MB 401-S

Modemrouter gibt praktisch nur noch gebraucht zu kaufen.

ISDN-Router gibt es auch neu.

Achtung. Am besten Router und PC an eine Schaltersteckdose, ausschalten wenn PC aus: Dann kann man sicher sein, nicht aus Versehen permanent Internet am laufen zu haben, und dafür zahlen zu müssen.

Firewall/Router

Ohne Paßwort kann man hier keine Einstellung ändern. Nur Internet-verbindung starten oder trennen.

(damit auch ein Schutz vor Dialern)

Sichere Routerkonfiguration, Beispiel Modemrouter

Firewall/Router

Aufbau von Internetverbindung erst, wenn man auf „Dial-up“-Button klickt (vorige Folie).

Sonst wäre das automatisch wenn ein einziges Programm etwas aus dem Internet anfordert!

Firewall/Router

Gefährliche Einstellung: DMZ-Host

Am besten leer lassen, deaktivieren!

Firewall/Router

Gefährliche Einstellung: Virtual Server, bzw. Port-Forwarding

Am besten leer lassen, deaktivieren! Manche Anwendungen wie Quicktime, Netmeeting ... brauchen aber Portforwarding. Ist aber Spezialisten-Einstellung.

Firewall/Router

� Kein DMZ/Virtual Server/Portforwarding

� W-LAN, WPA oder VPN oder WEP mit Keywechsel alle 2-3 Monate

� Bei meisten Router: keine echte SPI-Firewall (kann Grund sein, trotz Router zusätzlich Personal Firewall wie ZoneAlarm zu installieren)

Nicht bei allen Routern möglich: MAC-Filter für WLAN-Clients

Statefull Packet Inspection (SPI-Firewall) fehlt bei meisten Routern, da teuer. Selbst hier nur vergleichsweise wenige Einstellungen möglich.Kann einfacher und billiger durch gute Personal Firewall ersetztwerden (diese können das sogar noch besser).

Dialer

� Legale Dialer – Anforderungen:� Rufnummerngasse 0900-9� Wegsurfsperre� 3x OK eingeben� Impressum und Hashwert� Registriert bei der RegTP� Keine Kommandozeilenparameter

Also vorsichtig sein, wenn man auf einer Webseite OK eingeben soll, kann ein Dialer sein!

Dialer

� Illegale Dialer� Eine der Bedingungen nicht erfüllt� Keine Pflicht zur Zahlung!� (Auslandsrufnummern, Satellitentelefon-

Rufnummern)� 0190-Warner-Programme,� feste oder variable Rufnummernsperre

(Telekom)� Router verwenden („DSL“)

Router gibt es auch für analoge Modems und ISDN, siehe mehrere Folien vorher

Spoof-Emails

� Darauf fällt keiner mehr rein:

„I am Mr. Richard Wilford, the only son of late Chief John Wilfordfrom Sierra-Leone. I got your contact from the internet directory and needan assistance from you. My sources of your contact gave me encourage andconfidence to write on you.

I am writing you in absolute confidence primarily to seek for yourassistance to transfer our cash of (Thirty Nine Million United StatedDollars) (39,000,000.00) now in the custody of the Security and trust Company here in spain to your private account pending our arrival to your country.” …

Spoof-Emails

� Und darauf?

Flüchtigkeitsfehler der Kriminellen Anzeige bei aktivem Javascript in Mailprogramm leicht zu fälschen

Spoof-Emails� Stopp, nicht einloggen, gefälscht:

Spoof-Emails� Das ist das Original

Spoof-Emails

� Auch auf die URL-Anzeige im Browser kann man sicher nicht immer verlassen (sog. „URL-Spoofing“, Fälschen der Adressezeile)

� Das gilt den ungepatchten Internet Explorer, das gilt für alternative Browser, die nicht aktuell sind:

Spoof-Emails

� Fazit – sichere und einfache Lösung:� Wichtige Webseiten (Online-Banking, ebay) nur per

Bookmark aufrufen oder URL aus Gedächtnis eintippen.z.B. Eintippen von https://meine.deutsche-bank.destatt Link aus Email!

� D.h. nie Links für wichtige Webseiten aus Emails aufrufen (selbst wenn es richtig aussieht, vgl. URL-Spoofing)

� Wenn eine Firma angeblich Daten verloren hat und man diese neu eintippen soll – solche Mails sind gefälscht, wollen immer Kreditkarten-Nummer/Konto-PIN/Paßwörter ... klauen

In den USA ist „Identity Theft“ schon ein schlimmes Problem, meist wird Kreditkarten + Sozialversicherungsnummer geklaut.

Trojaner - kurz

� Name wird für vieles benutzt: Hintertürprogramme, Spyware, Keylogger

� Werden meistens als BHO im Internet Explorer oder von Würmern installiert, tw. schon bei Würmern eingebaut (MyDoom)

� Können Netzwerkverkehr und eigenen Computer auf Paßwörter, PINs abhören (Network Sniffer/Keylogger)

� Werden zum Glück auch von Virenscannern erkannt

Gelernt? – Häufige Irrtümer

Ich habe einen Extra Quarantäne-PC, muss nicht auf Sicherheit achten

¾Der Quarantäne-PC kann andere infizieren (Dateifreigaben, Sicherheitslücken)¾Trojaner können das ganze Netzwerk abhören (Paßwörter)

Ich habe doch DSL/Breitband/Kabelmodem/Router

¾nur passiver Schutz, gegen Hacker¾UPnP – Portfreigaben / DMZ-Host¾Die meisten Viren kommen über Email¾Bei Dialern – Ist noch ein Modem für Faxe angeschlossen?

Ich benutze keine Microsoft -Programme fürs Internet/Ich hab do ch Mozill a/Firefox/Opera/Pegasus ...

¾auch andere Programme haben Sicherheitslücken!

Häufige Irrtümer

Ich benutze keinen Internet Explorer, also brauche ich keine Patches für den IE

¾Falsch, Beispiele: Outlook und Outlook Express benutzen Teile des Internet Explorers für HTML-Emails, der Realplayer und andere benutzen auch den IE, die Windows-Hilfe basiert auf dem IE (.chm-Dateien) Trojaner können das ganze Netzwerk abhören (Paßwörter)

Ich lade keine Programme aus dem Internet

¾Makroviren in Office-Dokumenten¾Einbau von .exe in PDF-Dateien¾Puffer-Überläufe bei Bilddateien (.bmp,.png,.jpeg)

Häufige Irrtümer

Ich habe einen Virenscanner und eine Firewall , ich muss nicht aufpassen

¾Doch! Zuerst wird ein Virus erfunden, dann erst wird der Virenscanner vom Hersteller aktualisiert¾Viele aktuelle Viren versuchen Antivirenscanner und Firewall-Prozesse zu schliessen

Ich habe Windows XP Service Pack 2, mehr brauche ich n icht!

¾Service Packs zu installieren ist allgemein gut!¾Service Pack 2 für Windows XP hat bereits einen riesigen Fehler in der Firewall. Wenn diese alte Regeln vom SP1 konvertiert (lokale Dateifreigaben), darf das ganze Internet auf einen Rechner zugreifen! Siehe http://www.pcwelt.de/news/sicherheit/103013/¾Service Pack 2 enthält: Keinen Virenscanner¾Service Pack 2 schützt nur mitgelieferte Windows Programme wie den Internet Explorer und Outlook etwas besser vor Puffer-Überläufen. Aber nicht Microsoft Office oder ICQ, ...

Häufige Irrtümer

Microsoft würde nie unsichere Software ausliefern, würde sofort Patches liefern?

¾Kein Programm ist perfekt¾Windows wird mit unnötigen Netzwerkdiensten ausgeliefert¾Außerdem werden mit der Zeit mehr und mehr Sicherheitslücken entdeckt¾Beispiel: „Kein Passwort“ auch erlaubt!

Wenn was pass iert installi ere ich einfach Windows neu, mache ichsowieso jeden Monat

¾Wenn Kriminelle deinen PC kontrollieren und DDOS-Attacken machen, Spam versenden, etwas Illegales. Dann kann trotzdem zuerst dein PC von der Polizei beschlagnahmt werden („Beweissicherung“, um die Kriminellen verurteilen zu können).¾Wenn du mit Kreditkarten im Internet bestellst oder Onlinebanking verwendestt, kann Malware Kartendaten/PINs/TANs klauen.

Danke!

Ende des Vortrags,Danke fürs Zuhören

Schutz vor Viren, Spoof-Emails, Werbetrojanern, DialernSchutz vor Viren, Spoof-Emails,...

Documents

Transcript of Schutz vor Viren, Spoof-Emails, Werbetrojanern, DialernSchutz vor Viren, Spoof-Emails,...