Tip(p)s für eine sicherere Internetnutzung

Mit dem Internet ist es ein klein wenig wie mit dem Sex. Schön, wenn man es hat, es schadet aber nicht zu wissen, was man da eigentlich tut. Ein Windows XP PC mit installiertem ServicePack 1 ist bei “ungeschützter” Internetverbindung durchschnittlich nach 4 Minuten (lt. futurezone.orf.at) mit einem Virus oder etwas ähnlichem infiziert (fiese Naturen mögen einwenden “wie beim Sex”). Ein paar Zahlen aus einer Studie von AOL und NCSA (Ende 2004): bei jedem fünften Anwender wurde zum Zeitpunkt der Befragung ein Virus auf dem PC entdeckt, bei 80% (!!!) befand sich auf dem PC eine Spyware. Die durchschnittliche Zahl der installierten Spywares betrug 93 (!!!), der Rekord lag über 1000. In 95% der Fälle wußte der Anwender nicht, dass eine Spyware auf seinem PC installiert war. Vermutlich sind das die 95%, die immer meinen, es sei doch noch nie etwas passiert.

Haftungsausschluss: Betrachtet dieses Dokument als meine persönliche Meinung. Es gibt keine Garantie auf Fehlerfreiheit. Einige Dinge habe ich auch bewußt etwas vereinfacht um sie auch Nichttechnikern zugänglich zu machen. Ich bin zuversichtlich, dass man mit den Tip(p)s in diesem Dokument den heimischen PC und damit auch sich selbst gut absichern kann – eine Garantie dafür gibt es nicht. Wenn der PC anschließend nicht mehr läuft, dann hat man etwas falsch gemacht oder es ist etwas dumm gelaufen. In Anlehnung an einen Spruch von Churchill: “There is no such thing like “no risc in life”. Das wäre sonst ja auch langweilig.

Das Thema IT Sicherheit ist ein weites Feld. Die reine Technik ist dabei nur ein Aspekt von vielen. Sie schützt vor zahlreichen Angriffen auf der technischen Ebene, sie schützt nicht gegen Naivität und Fehlverhalten. Ich werde Beispiele nennen, wo die Schwachstelle “Mensch” ausgenutzt wird und damit hoffentlich auch die Sensibilität für das Thema Sicherheit im Internet schärfen. Keine Angst, man muss kein PC Experte sein, um sich weitgehend sicher im Internet zu bewegen. Ein bisschen Grundwissen und ein paar Verhaltensregeln, die ich mit diesem Text vermitteln möchte, sowie etwas Mitdenken im Alltag reichen bereits aus.

Nicht eingehen werde ich auf Themen, die mit dem Internet nichts mehr zu tun haben. Dass man die Daten eines PCs auch durch physischen Diebstahl erreichen kann, ist selbstverständlich – dass man seine Wohnung abschließt, aber auch. Dass die Email von der Bank mit der Aufforderung zur Onlineprüfung des Kontostandes nicht unbedingt von Ihrer Bank kommen muss, ist vielleicht nicht jedem klar. Dies mag sich ändern, wenn das Geld ausser Landes ist und sich die Bank wegen des deutlich überzogenen Dispokredits meldet. Dann ist es aber in der Regel auch schon zu spät.

Ein letzter Hinweis, bevor es ans Eingemachte geht. Der Leitfaden geht davon aus, dass der Leser einen Windows-PC zu Hause hat und entweder mit Windows 2000 oder Windows XP arbeitet. Wer unter Linux arbeitet oder einen Mac sein Eigen nennt, sollte nicht glauben, dass er per se sicher unterwegs ist. Die Probleme sind in der Summe etwas kleiner, aber trotzdem präsent. Grundsätzlich sollte auch hier der Leitfaden Hilfestellung geben. Wer noch mit Windows 95, 98, ME oder Windows NT arbeitet, wiegt sich häufig in trügerischer Sicherheit. Der Vorteil ist zwar, dass die neuen Sicherheitslücken dort noch nicht existieren – der Nachteil ist aber, dass die alten noch vorhanden sind. Letztendlich hat man damit auf Ebene des Betriebssystems ungefähr die Sicherheit eines Autobesitzers, der sein Auto nicht abschließt sondern im Wald versteckt. Solange es keiner sieht, mag das klappen – eine Lösung ist es nicht.

Der Internet Anschluß

Internet Im einfachsten Fall baut man die Verbindung ins Internet direkt vom PC auf, seit es per Modem, ISDN oder über den DSL-Anschluß. Wer dies tut, sollte vor dem ersten Anschluß unbedingt das Kapitel Firewalls & Virenscanner lesen – ein ungeschützter Windows PC fängt sich innerhalb von wenigen Minuten über das Internet einen Virus ein, da zigtausende von (selbst infizierten) PCs ständig versuchen, andere Opfer zu finden.

Speziell DSL-Anwendern kann ich nur dringend empfehlen, sich einen sogenannten DSL-Router anzuschaffen. Brauchbare Geräte gibt es bereits unter 50 EUR (z.B. von Netgear oder D-Link), die für den Privatbereich sinnvolle Preisskala endet im Bereich von 150 EUR, für die es die ersten “Profirouter” gibt (z.B. ZyXEL Zywall 2). Von Ausnahmen abgesehen – um die man einen Bogen machen sollte – haben alle Geräte bereits eine mehr oder minder leistungsfähige Firewall integriert, die grundsätzlich alle Zugriffe aus dem Internet auf den PC abblockt, dem PC aber alle Zugriffe in das Internet erlaubt. Weiterhin kann ein Router mehrere PCs in einem Haushalt bedienen. Viele Sicherheitslöcher werden alleine schon durch die Existenz eines DSL-Routers unwirksam. Nach der Installation sollte in dem jeweiligen Konfigurationsmenü des Routers geprüft werden, ob die Firewall auch aktiv ist.

Absicherung eines Wireless LAN Routers

Auch wenn die meisten Schutzfunktionen eines Wireless Access Points von Angreifern leicht umgangen werden können, die drei Minuten für die Aktivierung sollte man trotzdem spendieren. Die folgenden Hinweise sind leider notgedrungen etwas technischer – ggf. den Bekannten fragen, der sich auskennt:

  1. Die erste Aktion: das Administrationskennwort für die Konfiguration des Routers ändern.
  2. Die Geräte brüllen meistens von Haus aus in alle Welt, dass sie da sind. Das ist Unsinn. Man weiss auch so, dass man das Gerät besitzt, andere müssen es nicht wissen. Daher sollte man den “SSID Broadcast” abschalten (Angreifer, die wissen, wie es geht, holen sich die SSID aus den übertragenen Paketen).
  3. Jedes Netzwerkinterface besitzt eine sogenannte Mac-Adresse (Ethernet-Adresse). Diese kann man in dem Wireless Access Point eintragen und dem Gerät sagen, dass es nur die eingetragenen Mac-Adressen akzeptieren soll (Angreifer die wissen, wie es geht, holen sich die vom Router akzeptierten Mac-Adressen aus den übertragenen Paketen).
  4. In jedem Fall ist die 128 bit (!) WEP-Verschlüsselung zu aktivieren, die im Router eingetragenen WEP Keys sollte man ändern. Bei der Verabschiedung des WEP-Standards befanden sich die Beteiligen vermutlich im Tiefschlaf. Die Schlüssellänge von 128 bit ist leider “gelogen”, effektiv sind es nur 112 bit und für die Initialisierung werden nur gar 20 bit genutzt. Es gibt Tools, die den Wireless Verkehr belauschen und sich aus den übertragenen Paketen die Schlüssel berechnen. Je intensiver die Daten übertragen werden, desto schneller geht es. Wer P2P Anwendungen nutzt, ist schon nach wenigen Stunden nicht mehr alleine. Abhilfe? WPA aktivieren. In diesem Fall werden die Schlüssel ständig ausgetauscht und ein Errechnen ist nach gegenwärtigem Stand der Technik nicht mehr möglich.

Im Privatbereich ist das Interesse an Wireless LAN oft sehr groß, da man in alten Wohnungen nur selten LAN Verkabelungen vorfindet. Das Schöne an Wireless LAN ist, dass man den Router irgendwo in die Wohnung stellt und in einem sehr komfortablen Radius vom PC aus die Verbindung aufbauen kann. Das Unschöne ist, dass das unter Umständen auch Leute machen können, die man weder kennt und teilweise auch gar nicht kennen möchte. Aus diesem Grund sind zahlreiche Sicherheitsfeatures in Wireless LAN integriert – mit einer Ausnahme sind aber alle mehr oder minder Makulator. Worauf man achten sollte ist, dass sowohl der PC als auch der Wireless Access Point, zu dem der PC eine Verbindung aufbaut, “128 bit WEP Verschlüsselung mit WPA” unterstützt.

Ein Aspekt ist bei der Routernutzung noch zu beachten. Die Geräte wollen intelligent sein und nichts ist fataler als ein IT Gerät, das intelligent sein möchte. Die Hersteller haben Funktionen in dem Router eingebaut, die erkennen sollen, ob man den Internetzugriff benötigt oder nicht. Dazu lauschen sie im Netz und prüfen anhand der übertragenen Pakete, ob sie die Internetverbindung aufbauen müssen oder ob eine gewisse Zeit Ruhe ist und die Verbindung wieder unterbrochen werden kann. Das klappt aber nur in wenigen Fällen. Zum einem ist jeder PC eine Quaselstrippe im Netzwerk. Der Netzwerktreiber möchte wissen, ob der Router noch da ist, Windows will wissen, ob es Updates gibt, der Media Player möchte “irgendwem” mitteilen, welche Videodatei gerade abgespielt wird, usw. Für den Router ist es in solchen Fällen sehr schwer zu erkennen, ob die Übertragung vom Anwender initiert ist und ignoriert werden kann. Wenn die Verbindung erst einmal aufgebaut ist, gibt es unzählige “Kommunikationspartner” aus dem Internet. Diese sind zwar fast auschließlich auf der Suche nach Sicherheitslücken des PCs, aber hier kann nicht per se die Anfrage unterdrückt werden – sie könnte gewünscht sein. Das Ergebnis ist, dass viele Router die Verbindung ungefähr solange aufrecht erhalten, wie sie selbst eingeschaltet sind. Die Routernutzung sollte daher immer mit einem Flatrate-Tarif verbunden werden, der zumindest keine Zeitabrechnung mehr enthält!

Viren, Trojaner, Backdoors

Malware Es macht Sinn zu wissen, wovor man sich schützen sollte, bevor man auf die Schutzmöglichkeiten selbst eingeht. Die drei Begriffe, denen man sehr häufig begegnet, sind Virus, Trojaner und Backdoor. Auch wenn die Begriffe etwas weich ausgelegt werden und sich mehr und mehr vermischen, es gibt Gemeinsamkeiten und Unterschiede. Mir liegt an dieser Stelle weniger an einer eindeutigen Begriffsdefinition. Ich möchte hier darstellen, welche Mechanismen es gibt und welche Gefahren damit einhergehen.

Zunächst zu den Gemeinsamkeiten: in allen drei Fällen handelt es sich um eine Software, die auf dem PC installiert wurde, ohne das man dies wollte und ggf. sogar ohne das man sich dessen überhaupt bewußt ist. Frei nach dem philosophischen Motto, dass nichts im Leben ohne Sinne ist – wobei ich anmerken möchte, dass das tägliche TV Programm meines Erachtens dazu im Widerspruch steht – gibt es noch eine weitere Gemeinsamkeit: in allen drei Fällen tut die Software irgendwas, dass man mehr oder minder stark nicht will. Die Unterschied liegen in der Frage, was die Software tut und wie auffällig sie dabei zu Werke geht.

Virus

Love you San!

Auch wenn es heute weitaus “intelligentere” Viren gibt, der LoveSan Virus dürfte vielen noch bekannt sein. Seine Funktionsweise ist noch ziemlich trivial: er installierte sich über ein lange Zeit bekanntes Sicherheitsloch im Windows Betriebssystem (RPC). Nach der Installation erschien eine Fehlermeldung und das Windows-Betriebssystem wurde neu gebootet. Anschließend versuchte der Virus andere PCs, die er über das Netzwerk erreichte, zu infizieren. Zu diversen Zeitpunkten startete er “Denial of Service” Attacken auf die Windows Update Server. Eine “Denial of Service” Attacke hat das Ziel, den Server und damit den bereitgestellten Service unnutzbar zu machen.

Als Virus wird eine Software bezeichnet, die sich auf einem PC installiert um dort Schaden anzurichten und von dort aus weiter verbreiten möchte. Früher wurde häufig zwischen Virus und Wurm unterschieden, wobei sich ein Virus bevorzugt über Disketten verbreitet hat, ein Wurm über das Netzwerk. Hey, wir leben im Jahr 2005 – heute verbreitet sich alles über das Netzwerk.

Da es wenig sinnvoll ist, den Ast abzusägen, auf dem man sitzt, haben Viren verzögerte Auslösungsmechanismen. Sie nutzen zunächst den infizierten PC als Wirt um möglichst viele andere PCs zu infizieren. Sobald eine bestimmte Auslösebedingung erfüllt ist (z.B. ein bestimmtes Datum), wird die Schadensfunktion aktiv. Im einfachsten Fall werden die Systemdaten auf dem PC gelöscht, so dass der PC nicht mehr funktioniert. Gemeinere Varianten fangen langsam an, den Datenbestand stellenweise zu verändern, so dass dies womöglich erst auffällt, wenn selbst die noch vorhandenen Backups nicht mehr alle Dateien im Ursprungszustand haben.

Trojaner

Der Begriff ist an die griechische Mythologie angelehnt, als mit einer Kriegslist die Griechen den trojanischen Krieg gewannen. Die Griechen stellten ein grosses Holzpferd vor die Stadt und zogen dann ab. Die Trojaner holten das Pferd in die Stadt im Glauben, es wäre ein Abschiedsgeschenk. In der Nacht krochen griechische Soldaten aus dem Pferd, öffneten die Stadttore und liessen die Griechen ein, die dann die Stadt zerstörten. Der Odysseus, der sich dies ausgedacht hatte, war sicher ein pfiffiger Kerl – an der heutigen Windows-Infrastruktur hätte er viel Freude.

Banker ohne Kravatte

Ein netter kleiner, glücklicherweise nicht so stark verbreiteter Trojaner, ist der Banker. Die Installation erfolgt als Teil einer anderen Softwareinstallation (z.B. einer aus dem Internet geladenen Software). Anschließend überwacht der Trojaner die Internetaktivitäten und speichert die Tastatureingaben auf bestimmten Onlinebanking Webseiten. Diese Daten werden dann per Email an bestimmte Server im Internet gesendet. Tja, wenn man nun wüßte, was die Leute mit diesen Daten machen wollen…

Der Trojaner auf den PCs hat viele Analogien zu dem hölzernen Pferd. Das vermutlich beste Beispiel ist der Fall, wo sich ein Anwender eine Software aus dem Internet lädt und diese installiert. Parallel zu der gewünschten Software wird dabei auch noch der Trojaner installiert. Die neue Software funktioniert natürlich einwandfrei, von dem Trojaner ahnt der Anwender nichts. Der installierte Trojaner durchsucht unter Umständen nebenbei die Platte und überträgt z.B. persönliche Daten an einen Server im Internet.

Unter dem Begriff Trojaner wird heute häufig jegliche Software verstanden, die irgendetwas auf dem PC tut, dass der Anwender nicht erwartet und zu dem er keine Zustimmung erteilt hat. Je nach Auslegung des Begriffs fallen in die Rubrik Trojaner sowohl Viren als auch Backdoors. Im folgenden werde ich als Trojaner Software bezeichnen, die Daten erfasst und ins Internet sendet, aber weder Daten zerstören möchte noch auf Befehle von aussen wartet.

Backdoor

Die direkte Übersetzung des Begriffs erklärt ihn fast schon. Eine Backdoor ist eine Hintertür zu dem PC, auf dem sie installiert ist. Im Unterschied zu der Hintertür, die man aus dem “richtigen Leben” kennt, weiss in diesem Fall der Hausherr nichts davon. Die einzige Tätigkeit, die eine Backdoor in der Regel ausführt, ohne eine Aufforderung von extern zu bekommen ist die, sich weiter auf andere PCs zu verbreiten. Ansonsten wartet eine Backdoor nach dem Systemstart auf Anweisungen von aussen. Dazu verbindet sie sich z.B. mit einem oder mehreren externen Servern. Die ersten Backdoors unterstützten so lustige Dinge wie das Aus- ein Einfahren der CD-Schublade oder das Booten des PCs. Seit einiger Zeit ist allerdings speziell bei den Backdoors ein Effekt zu beobachten, der keineswegs mehr so lustig ist – die kommerzielle Vermarktung.

Agobot/Phatbot

Ein bekannt gewordener “besserer” Vertreter der Backdoors ist der Phatbot bzw. Agobot. Er installiert sich über mehrere, alternativ genutzte Sicherheitslöcher im Windows Betriebssystem bzw. Internet Explorer. Er ist in der Lage, auf dem PC laufende Virenscanner und Firewalls zu deaktivieren. Er ist polymorph, d.h. er installiert sich bei jeder Infizierierung mit einer neuen Verschlüsselung, damit die Virenscanner ihn nicht mehr erkennen können. Er fällt im Alltag nicht auf, nutzt die Internetbandbreite nur, wenn sie vom Anwender nicht verfügbar ist und wartet ansonsten auf Anweisungen von aussen. Es gibt Versionen, die ein integriertes Rechtemanagement haben, damit die infizierten Clients kommerziell “vermietet” werden können (z.B. für den Versand von Werbe-Emails, für Angriffe auf kommerzielle oder militärische Ziele).

Der oben angegebene Link enthält eine Liste der Anweisungen, die der Bot im März diesen Jahres bereits kannte, sowie eine Feature Liste. Wer wissen möchte, was andere mit seinem PC alles tun können, wenn der Phatbot lokal aktiv ist, dem kann ich die Lektüre nur empfehlen. Wer mit dem englischen Probleme hat, hier ein kurzer Ausschnitt: er stiehlt Windows Produktkeys, überwacht den Netzwerkverkehr auf Kennwörter, dient als Werbe-Email Server, er kann beliebige Server im Internet angreifen, er kann Programme aus dem Internet nachladen und starten, er kann den Netzwerkverkehr auf andere Server umleiten, usw. Hatte ich schon erwähnt, dass der Bot im Alltag nicht auffällt? Haben Sie sich gestern bei Ihrer Bank angemeldet? Ist noch Geld auf Ihrem Konto?

Man stelle sich doch einfach mal folgendes vor. Jemand hat eine Fernsteuersoftware entwickelt, die sich über diverse Sicherheitslücken auf einer Unzahl von Clients installiert und dort über einen längeren Zeitraum dem “Eigentümer” für Anweisungen zur Verfügung steht (in der Praxis sind Fälle bekannt, wo eine sechsstellige Anzahl an gerade verfügbaren Clients auf Befehle wartete!). Der erste Gedanke könnte sein, diese Clients als “Service” zu vermieten. Ein Service könnte dabei z.B. das Scannen nach Kreditkartennummern sein, nach Onlinebanking Daten oder einfach der Versand von Werbe-Emails. Wem das zu abwegig erscheint, vor ca. einem halben Jahr wurde gemeinsam vom FBI und Scotland Yard eine weltweit agierende Gruppe entdeckt, die genau dies gemacht hat. Die Umsätze, um die es da ging, dürften den einen oder anderen zweifeln lassen, warum er noch arbeitet. Um ein Beispiel zu nennen: die Nutzung einer solchen Clientgruppe nur für den Versand von Spam-Email kostete bereits 28.000 US Dollar pro Monat. Es wird geschätzt, dass es derzeit ein rundes Dutzend an Gruppen gibt, die solche Clientgruppen kommerziell nutzen.

Interessanter wird es allerdings, wenn dieser Jemand kein Jemand ist, sondern eine Gruppe, die aus finanzieller Gier oder politischem Wahn wenig Skrupel hat. 300.000 Stimmen mehr oder minder in Florida können durchaus eine Wahl beeinflussen. Wenn General Motors den Auftrag für 7 Millionen Getriebe ausschreibt, könnte ein kurz vor der Insolvenz stehender Zulieferer durchaus das Interesse haben, gezielt in den letzten vier Stunden den Auktionsserver von General Motors lahm zu legen. Zumal wenn zeitgleich auch Server von anderen Firmen angegriffen werden – dann war es halt ein Wurm und keine gezielte Unterbrechung der Auktion. Ich will hier nicht schwarz malen – ich möchte einfach nur ein paar Gedankenspiele zu den Gefahren von Backdoors aufzeigen.

Die in diesem Abschnitt angesprochene Software wird generell auch als Malware bezeichnet. Dieser Begriff setzt sich aus den Wörtern ‘malicious’ (böswillig) und ‘Software‘ zuammen. Darüber hinaus gibt es auch noch so genannte Spyware (Adware), die im Grenzbereich liegt. Der Begriff Spyware ist eine Abkürzung für “Advertising Supported Software”, frei ins deutsche übersetzt: Werbeunterstützte Software. Ein Programmautor verlangt für seine Software kein Geld von Ihnen, er finanziert sich über z.B. eingeblendete Werbung (der Opera-Browser ist ein bekannteres Beispiel dafür).

Rechtlich gesehen haben Sie zugestimmt, als Sie die Software installiert haben – sofern Sie den Lizenzbedingungsroman vorher gelesen und verstanden haben, wissen Sie sogar, was Sie erwartet. Spyware beschränkt sich häufig nicht alleine auf das Einblenden von Werbung sondern versucht auch Daten für eine Profilerstellung über Sie zu sammeln und an den “Heimatserver” zu schicken. Daten über Sie gibt es in vielerlei Form (z.B. welche Webseiten Sie besuchen). Da Sie in den Lizenzbedingungen der Software zugestimmt haben, wird sie nicht der Rubrik Malware zugerechnet. Häufig ist es aber so, dass die Server, die die Daten sammeln, in einem anderen Land stehen. In den Staaten gehören z.B. die erfassten Kundendaten demjenigen, der sie erfasst (in Europa ist dies bislang glücklicherweise anders). Dementsprechend ist es auch zulässig, diese Daten meistbietend zu verkaufen. Ob man da mitmachen will, muss jeder selbst entscheiden.

Firewalls & Virenscanner

Egal um welche Art von Malware es sich nun handelt – die Wege, wie sich diese mehr oder minder unbemerkt auf ihrem PC installieren will, sind vielfältig. Um die nachfolgenden Ausführungen etwas übersichtlicher zu gestalten, möchte ich zunächst diese Wege klassifizieren. Für jeden Weg gibt es bestimmte Schutzmechanismen, auf die ich dann anschließend eingehen werde.

Theorie & Praxis

Ein häufig gemachter Fehler ist die Gutgläubigkeit. Viele Dinge in der IT passieren über offene Standards, die von jedem eingesehen werden können und weit akzeptiert sind. Viele dieser Standards beschäftigen sich mit der IT Sicherheit und viele Standards gelten auch als “unknackbar” und “sicher”. Das sind sie in der Theorie auch aber das Ziel ist ja nicht ein theoretisch sicherer PC, sondern einer, der es in der Praxis ist. In der Praxis muss aber dieser Standard irgendwie realisiert sein, damit er unseren real existierenden PC schützen kann. Diese Realisierung wird im Sprachgebrauch als Implementierung bezeichnet, die üblicherweise von Menschen gemacht wird und damit üblicherweise fehlerhaft ist (der Grundsatz eines jeden IT’lers: Software ist fehlerhaft, Hardware böse).

Ein schönes Beispiel ist Bluetooth. Der Standard für die Funkübertragung selbst gilt als abhörsicher. In der Theorie gibt es keine Möglichkeit, eine Bluetooth Übertragung abzufangen, abzuhören oder irgendwie einem Angreifer nutzbar zu machen. In der Praxis klappt dies dann aber doch, einfach weil die auf dem PC installierten Treiber sowie die Bluetooth Geräte selbst fehlerhaft sind. Somit kann man z.B. über eine Entfernung von 10 bis 200m Handys dazu veranlassen, 0190er Nummern zu wählen (möglichst eine, bei der man an den Gewinnen beteiligt ist).

Betriebssystem: Das Betriebssystem stellt eine sehr umfassende Software dar, die Zugriff auf die Systemressourcen ermöglicht. Aufgrund der Komplexität ist praktisch jedes Betriebssystem grundsätzlich mit Fehlern bespickt (ein Windows-Servicepack behebt üblicherweise eine vier- bis fünfstellige Anzahl an Fehlern). Wenn ein solcher Fehler über das Netzwerk nutzbar ist (viele Fehler sind dies), dann läßt sich auf diesem Weg häufig Programmcode auf dem Zielrechner, also ihrem PC, ausführen. Dieser Code kann lauten “hole die Datei XYZ aus dem Internet und führe sie aus”. Stellen sie sich unter XYZ einfach ein Setupprogramm vor, dass still und leise im Hintergrund abläuft und ohne Ihr Wissen eine Software auf Ihrem PC installiert. Um sich vor derartigen Angriffen zu schützen, müssen wir das Betriebssystem schützen.

Applikation: Wie auch schon bei bei den Betriebssystemen gibt es praktisch keine Applikation, die fehlerfrei ist. Bei den Applikationen für die Internetnutzung unterscheidet sich die Spreu vom Weizen. Wurde bei der Entwicklung der Applikation darauf geachtet, dass sie im späteren Betrieb möglichst sicher ist (oder gab es andere Leitmotive)? Zwei Applikationen, die vermutlich fast jeder Anwender häufig im Internet nutzt, ist der Browser und das Email Tool.

Verhalten: Alle technischen Schutzmechanismen, auf die ich gleich noch eingehen werde, sind Schall und Rauch, wenn Sie nicht selbst sicherheitsbewußt handeln. Wenn Sie aufgefordert werden, Ihre Zugangsdaten für das Onlinebanking an die Email-Adresse “nice.guy@seychellen.com” zu senden, werden Sie das vermutlich nicht tun. Vielleicht tun Sie das aber unbewußt beim Anklicken eines Links in Ihrer Email, bei der Sie dem Anschein nach von Ihrer Bank aufgefordert wurden, ihre Zugangsdaten zu prüfen. Keine Firewall wird Aktionen verhindern können, die aus unvorsichtigem handeln entstehen. Gegen diese Angriffe gibt es keinen technischen Schutz! Der einzige Schutz, der hier wirksam ist, sitzt einige Zentimeter schräg oberhalb der Augenbrauen. In dem Abschnitt Social Engineering gehe ich auf dieses Thema näher ein.

Die Klassifizierung ist sicher unvollständig, deckt aber meines Erachtens die wesentlichen Aspekte, die man für die private Internetnutzung beachten sollte, ab. Es ist denkbar, dass andere von Ihnen betriebeneGeräte Sicherheitslücken haben, die ausgenutzt werden (z.B. der DSL-Router, der Wireless Access Point, usw). Diese Fälle sind aber sehr selten und können unter der Voraussetzung, dass Sie ihr Leben nicht nur der Absicherung Ihres PCs widmen wollen, vernachlässigt werden.

Schutz des Betriebssystems

Was ist eine Firewall

Stellen Sie sich vor, sie könnten ein Telefon immer nur für ein bestimmtes Thema nutzen. Wenn Sie eine Telefon-Auskunft anrufen wollen, müssen Sie zum Telefon 1 greifen. Für das Thema “Garten” nehmen Sie Telefon 2, Telefon 3 ist für die Terminreservierung in der Werkstatt gedacht, usw. Prinzipiell verläuft die Netzwerkkommunikation nach einem ähnlichem Thema. Je nach gewünschtem Dienst werden unterschiedliche Protokolle genutzt. Eine Firewall erlaubt oder verbietet eine Kommunikation abhängig von den “Gesprächspartnern” und dem Protokoll basierend auf einem von Ihnen erstellten Regelsatz.

Das Betriebssystem zu schützen heisst zu verhindern, dass jemand von aussen auf den PC zugreifen kann. Dies klappt am besten, in dem man bereits direkt am Internetanschluß in Form eines DSL-Routers alle Anfragen an den PC abfängt. DSL Router haben üblicherweise eine Firewall integriert, die genau dies macht. Normalerweise sollte die Firewall im DSL-Router so eingestellt sein, dass sie grundsätzliche alle Anfragen von aussen abblockt und alle Anfragen, die von ihrem PC ausgehen, zuläßt. Wenn Sie so eine Firewall haben, haben Sie das Angriffsrisiko auf ihren PC bereits massiv (!) reduziert. Dies ist auch einer der Gründe, warum man DSL Anwendern nur eindringlich zu so einem Gerät raten kann.

Wer keinen DSL-Router hat und seinen PC direkt mit dem DSL-Modem verbindet, der sollte unbedingt die in Windows XP integriert Verbindungsfirewall aktivieren. Diese Firewall strotzt zwar – sofern nicht das Servicepack 2 installiert ist – vor Dummheit, in der Standardeinstellung blockt sie aber alle Anfragen von aussen (sagt Microsoft) und bietet damit einen durchaus wirksamen Schutz!

Wer keinen DSL-Router und kein Windows XP hat oder wem der Schutz von aussen alleine nicht reicht, der sollte sich im Feld der Personal Firewalls (Desktopfirewall) umschauen. Eine Personal Firewall ist eine Software, die auf dem PC läuft und den ein- und ausgehenden Netzwerkverkehr überwachen kann. Da sie direkt auf dem PC läuft, hat sich sogar einen Vorteil gegenüber der Firewall in dem DSL-Router: sie kann den Netzwerkverkehr abhängig von der Applikation erlauben oder verbieten (der DSL-Router sieht nicht mehr, welches Email Programm Sie nutzen). Die Nutzung einer Personal Firewall setzt in der Praxis gewisse Grundkenntnisse voraus, z.B. eine Unterscheidung der verschiedenen Dienste im Internet sowie das Wissen, welche Applikation welche Dienste benötigt. Darum möchte ich sie nicht pauschal empfehlen. Wer weder einen DSL-Router noch Windows XP hat, der sollte sich aber unbedingt eine Personal Firewall installieren (empfehlenswert sind hier z.B. die kostenfreien Versionen der Kerio oder der Sygate Firewall.

Wer “telefoniert” denn da?

Ein schönes Beispiel ist Hardware der Firma Microsoft. Selbst wenn Sie nur eine neue Tastatur oder Maus kaufen und den neuen Treiber installieren, erscheint die Frage der Personal Firewall, ob Sie zulassen möchten, dass das “Microsoft Natural Keyboard” eine Verbindung zu einem externen Server aufbaut. Ein Schelm, wer böses dabei denkt. Normalerweise sollte eine Anwendung vorher fragen, ob Sie eine externe Kontaktaufnahme zulassen. Mit 60 Mrd. US Dollar Portokasse läßt sich der Datenschutz aber freier auslegen. Man sollte hier aber auch fairerweise erwähnen, dass es keineswegs nur kommerzielle Software ist, die ungefragt Verbindungen aufbaut. Ohne Personal Firewall würden Sie jedenfalls derartige Verbindungsanfragen nie mitbekommen.

Nach der ersten Installation gehen die Firewalls in den Lernmodus. Jede Anfrage von aussen oder jeder Verbindungsversuch einer Ihrer Applikationen wird zu einem Dialog führen, den Sie beantworten müssen: wollen Sie die Anfrage bzw. den Verbindungsversuch zulassen oder nicht. Bei Anfragen von aussen ist dies noch relativ einfach – die Antwort lautet in der Regel nein. Bei Anfragen von innen nützt Ihnen die Firewall nichts, wenn Sie dem Trojaner erlauben, seine Daten zu senden. Der Nebeneffekt einer Personal Firewall ist in der Regel der, dass man bei einem bewußten Einsatz ein sehr gutes (und erschreckendes) Bild bekommt, welche Anwendungen Verbindungen in das Internet aufbauen, obwohl Sie nie damit gerechnet hätten.

Ob man nun Microsoft traut oder nicht, einen regelmäßigen Verbindungsaufbau sollte man in jedem Fall zulassen: den Windows Update Service. Seit Windows 2000 (erst ab Servicepack 3) besteht die Möglichkeit, einen automatischen Update Service zu nutzen. Hierbei fragt ihr PC in regelmäßigen Abständen einen Server von Microsoft, ob für ihn Updates vorliegen. Wenn ja, holt ihr PC diese Updates immer dann, wenn Bandbreite zur Verfügung steht. Die Einstellungen für diesen Service können Sie je nach Betriebssystemversion über das ‘Windows Update’ Icon vornehmen oder in der Systemsteuerung über das Icon ‘System’. Ich empfehle hier immer ein automatisches Laden der Updates auf den PC und eine Abfrage vor der Installation.

Im Fall der Servicepacks lautet die Empfehlung im Fall von Windows 2000 ganz klar, dass Servicepack 4 zu installieren. Im Fall von Windows XP lautet die Empfehlung bei Neuinstallationen, das Servicepack 2 zu installieren. Sofern das Windows XP bereits seit längerer Zeit installiert ist, viele Applikationen eingerichtet wurden, ist die Installation von Servicepack 2 ihrer Risikofreude überlassen. Je nachdem, wie “vergurkt” ihr PC ist, klappt die Installation oder sie nimmt Ihnen die Entscheidung ab, das System anschließend neu zu installieren.

Schutz der Applikationen

Bufferoverflows und die Folgen

Wer die Sicherheitsmeldungen z.B. auf dem Heise-Security Ticker verfolgt, wird häufig ein zweistufiges Warnungsschema erkennen. Zunächst wird berichtet, dass es möglich ist, in einer Anwendung einen sogenannten Bufferoverflow zu erzeugen. Für die technisch Interessierten: hier werden üblicherweise Speicherbereiche auf dem Stack so überschrieben, dass die Rücksprungadresse nach dem Aufruf einer Unterfunktion geändert wird. Damit verzweigt die CPU nach dem Verlassen der Unterfunktion nicht zur Aufrufstelle sondern an einen zunächst unbekannten anderen Punkt in der Applikation (mit der wahrscheinlichen Folge eines Absturzes).

Nach einer solchen Meldung dauert es häufig nur einige Tage bis wenige Wochen, bis es jemand geschafft hat, den Speicherbereich mit definiertem CPU Code so zu überschreiben, dass nach dem Verlassen der Unterfunktion der eigene Code aufgerufen wird. Spätestens wenn die ‘Demo’ (Exploit) davon in den dunklen Kreisen verteilt wird, wird diese ausgenutzt, um gezielt Malware auf PCs zu installieren.

Etwas vereinfacht gesprochen: sofern man sein Leben nicht der Absicherung des PCs widmen möchte, gibt es hier keine andere Lösung als eine kluge Wahl der Applikation (selbst wenn die Absicherung zum Lebenszweck wird, eine umfassende Lösung dürfte sehr, sehr schwer sein). Während man beim Betriebssystem den Zugriff auf den PC noch sehr einfach per Firewall einschränken bzw. in vielen Fällen sogar komplett verbieten kann, ist das bei der Applikation in der Regel nicht möglich. Viele Sicherheitslöcher in den Applikationen liegen im Bereich der Datenverarbeitung. Wenn Sie mit dem Browser auf eine Webseite zugreifen, holt sich ihre Browserapplikation die Daten von dem Server (ihr PC kontaktiert den Server, nicht andersrum!) und interpretiert diese (welche Schriftart, sind Grafiken darzustellen, usw). Angreifer nutzen Fehler aus, die während der Interpretation auftreten.

Ein wirksamer Schutz wäre zu verhindern, dass die Applikation auf den Server zugreift. Dies würde aber im Fall des Browsers bedeuten, dass Sie auf überhaupt keine Webseiten mehr zugreifen könnten. Dies wäre zwar sicher, dummerweise aber keine Lösung. Wenn der generelle Zugriff aber nicht verboten werden kann, dann müßte eine ‘technische Sicherheitslösung’ erkennen, wann in den empfangenen Daten Fehler einer Applikationen ausgenutzt werden und wann nicht. Dies ist aber nur arg begrenzt möglich, z.B. über die Verwendung eines Virenscanners.

Virenscanner

Ich habe oben geschrieben, dass man Applikationen nicht wirklich vor Angriffen schützen kann. Das ist auch richtig, es gibt aber einen funktionierenden Workaround, der einen trotzdem vor vielen, bekannten Angriffen schützt: den Virenscanner. Ich würde ihn nicht als Lösung bezeichnen, als wirksamer Problemverkleinerer tut er aber gute Dienste. Er gehört seit Jahren zweifellos zu der Standardsoftware-Ausstattung eines PCs.

Da viele in einem Virenscanner ein Allheilmittel sehen, möchte ich zunächst die Arbeitsweise eines Virenscanners skizzieren. Stellen Sie sich vor, Sie möchten ihr Haus bzw. Ihre Wohnung absichern. Es wird daher eine Alarmanlage benötigt, die permanent, zu jeder Tag und Nachtzeit Ihr Haus bzw. Ihre Wohnung bewacht. Vielleicht denken Sie jetzt an einen Bewegungsmelder, aber damit ist es nicht getan. Der Bewegungsmelder muss erkennen, ob Sie sich im Haus bewegen, ein gewünschter Gast oder jemand, den Sie nicht im Haus haben wollen. Im letzten Fall möchten Sie einen Alarm auslösen, ansonsten bevorzugen Sie die Ruhe.

Die Lösung wäre ein Bewegungsmelder, der typische Merkmale eines Einbrechers entdeckt. So könnte er z.B. alle Personen melden, die eine Skimaske tragen. Wenn Sie eine Zweitwohnung in den Alpen haben, könnte es dort allerdings problematisch werden – dann müßte der Bewegungsmelder Ihre Skimaske von anderen unterscheiden können. Wenn Sie handwerklich nicht tätig sind, würde die Information, dass jemand einen Schweissbrenner durch das Haus trägt, ebenfalls auf eine Person hinweisen, die man dort nicht haben möchte. Wer nicht gerade der Jagd frönt, möchte vermutlich auch bei Personen, die Schrotgewehre durch das Haus schleppen, informiert werden. Vorteilhaft wäre natürlich auch ein Zugriff auf die Fotodatenbank der Polizei, welche Personen gerade wegen Einbruch gesucht werden.

Vielleicht ist das Prinzip schon deutlich geworden: es geht um die Erkennung von bestimmten Merkmalen, einfach gesprochen um Mustererkennung in direktem (“die Person trägt drei Kilo C3 Sprengstoff”) oder indirektem Sinne (“trägt irgendetwas undefiniertes auf dem Kopf, geht gebückt und langsam, hat mehr als zwei Kilo Eisen dabei”). Ein Virenscanner macht prinzipiell nichts anderes, er arbeitet sozusagen wie ein “hoch intelligenter”, mustererkennender Bewegungsmelder, der auf der Innenseite (!) der Fenster und Türen sitzt.

Ein Virenscanner arbeitet prinzipiell auf zwei Ebenen. Zum einem versucht er möglichst früh Daten zu analysieren. Dazu hängt er sich an einigen Stellen in das Betriebssystem ein und untersucht Daten, die über das Netzwerk kommen oder die z.B. von der Festplatte gelesen bzw. auf die Festplatte geschrieben werden. Im Fall der Alarmanlage hatte der Einbrecher den Fuss bereits im Haus, beim Virenscanner ist dies nicht anders!

Die Mustererkennung hat einen positiven und einen negativen Aspekt. Der positive ist, dass er viele Angriffe erkennt, die über die Applikationen laufen. Zwar kann er nicht den Angriff direkt erkennen, er erkennt aber über die Mustererkennung, dass die von der Applikation zu verarbeitenden Daten einen Angriffsversuch enthalten und kann dann auch verhindern, dass die Applikation diese Daten bekommt. Der negative Aspekt: so wie unser intelligente Bewegungsmelder nur die Personen in der Polizeidatenbank kennt, die bereits auffällig geworden sind, erkennt der Virenscanner nur die Malware, die bereits entdeckt und identifiziert wurde. Die ‘allgemeinere’ Mustererkennung versucht zwar im Vorfeld noch unbekannte Malware anhand typischer Merkmale zu identifizieren, nur klappt das sehr unvollständig. Den Werkstatthammer müßte unser Bewegungsmelder als freundlich gesinnt einstufen, da er vermutlich in den meisten Wohnungen vorzufinden ist. Würden Sie sich wohl fühlen, wenn sich nachts Leute in Ihrer Wohnung aufhalten, die Sie nicht kennen und die einen Hammer in der Hand haben?

Fazit: jeder Windows-PC, der eine Verbindung zum Internet besitzt, sollte unbedingt einen aktuellen Virenscanner haben. Ein Virenscanner, der mit einer ein Jahr alten Musterdatenbank arbeitet, ist mehr oder minder nutzlos. Vielleicht erkennt er noch einen alten Irrläufer, die neuen Sachen gehen an ihm vorbei. Während man alle anderen Tools, die ich hier vorstelle, kostenfrei bekommt, ist beim Virenscanner etwas Zahlungsfreude notwendig. Gute Virenscanner kosten in der Gegend von 30 EUR pro Jahr, ständige Updates eingeschlossen. Eine wirklich brauchbare Kaufberatung würde den Rahmen sprengen. In den Tests der Virenscanner schneiden in der Regel die Produkty von Kaspersky, GData, McAfee, Trend Micro und Norton gut ab.

Web Browser

Viele Anwender machen sich noch Gedanken über den Schutz des Betriebssystems. Sie sichern ihre PCs über die Firewall im DSL-Router, installieren zusätzlich noch eine Desktopfirewall, kaufen den Testsieger aus dem letzten Virenscannertest und hören dann auf. Der Anfang war dabei schon gut, ein sehr großes Problem wird dabei leider gar nicht beachtet. Das Problem der Sicherheitslöcher in den Anwendungen. Im Alltag besonders tragisch ist die endlose Reihe an Sicherheitsproblemen, die der Browser mit sich bringt, der standardmäßig bei Windows dabei ist – der Internet Explorer.

Der “Krieg” war gestern

Wenn man heute über Browser redet, denken viele noch an den “Browserkrieg”, wie er vor einigen Jahren zwischen Netscape und Microsoft gefochten wurde. Leider denken viele Leute, dass jede Diskussion um den Internet Explorer nur eine Fortführung dieses “Krieges” ist und denken nicht weiter über das Thema nach. Ich halte dies für nicht ungefährlich. Inzwischen haben sowohl das Bundesamt für Sicherheit in der Informationstechnik als auch die vergleichbare Behörde in den USA in Pressemitteilungen geraten, nicht mehr den Internet Explorer zu nutzen. Eigentlich müßten da auch bei dem letzten Anwender alle Alarmglocken angehen.

Ist Ihnen bewußt, dass es in den letzten 20 Monaten ca. 16 Monate lang möglich war, über den Internet Explorer, während Sie sich eine Webseite anschauen, im Hintergrund eine Software zu installieren, ohne dass Sie das im geringsten mitbekommen? Ist Ihnen bewußt, dass wenn Sie dem Internet Explorer den Zugriff auf das Internet gestatten, Sie gleichzeitig auch der besser programmierten Malware den Internetzugriff gestatten, weil diese sich für die Internetverbindungen hinter dem Internet Explorer verstecken kann? Ist Ihnen bewußt, dass wenn Sie im Outlook oder Outlook Express eine Email mit Grafiken anschauen, diese von dem Internet Explorer angezeigt wird? Hatte ich schon erzählt, dass die Anzeige einer einfachen JPEG Datei über den Internet Explorer reichen kann, um eine Malware auf ihrem PC installieren zu lassen, also z.B. beim Anzeigen einer Email?

Wenn man den Internet Explorer mit alternativen Browsern vergleicht, fallen zwei Aspekte sehr stark auf. Zum einem hinkt der Internet Explorer hinsichtlich Komfort der Konkurrenz hinterher, zum anderen hat er mit ActiveX und ActiveScripting Techniken an Bord, die andere Browser nicht haben. Interessanterweise, für Sicherheitsfachleute keineswegs überraschend, treten die meisten Sicherheitslöcher gerade in diesem Bereich auf. Die Gefahr von ActiveX & Co war von Anfang an bekannt. Der naive Glaube, man könnte durch Sicherheitsmodelle und -Zonen die Berechtigungen regeln, dürfte sich durch die Erfahrungen der letzten Jahre (es wird eher schlimmer als besser) in Rauch aufgelöst haben.

ActiveX – Wider besseren Wissens

Wenn Sie mit dem Browser Internetseiten anschauen oder dem Onlineshopping frönen, dann wollen Sie Informationen sehen, Bestellungen aufgeben, vielleicht auch eine Email abschicken. Sie möchten mit Sicherheit nicht, dass der Anbieter der Webseite auf Ihrem PC Software installiert oder ihr Betriebssystem umkonfiguriert. ActiveX ist eine Technologie, die aber genau dieses ermöglicht. Sie ermöglicht den direkten Zugriff auf praktisch alle Ressourcen ihres PCs. In der Anfangszeit gab es eine schöne Demo, die während der Ansicht einer Webseite im Hintergrund über Quicken eine Onlinebuchung vorgenommen hat. Eine andere Demo bot die Möglichkeit an, die lokale Festplatte zu formatieren. Wer braucht solche Funktionalitäten in einem Internet-Browser?

Parallel zum Internet Explorer wurde primär an zwei alternativen Browsern weiterentwickelt. Zum einem wurde der nach der Veröffentlichung des Quellcodes des alten Netscape Communicators das Mozilla-Projekt gestartet, zum anderen wurde der Opera-Browser entwickelt. Weiterhin gibt es diverse Eigenentwicklungen unter Linux sowie den Safari auf dem Mac. Da ich hier aber nicht über Browser referieren will, sondern einfach eine im Alltag sicherere und komfortable Alternative zum Internet Explorer empfehlen möchte, werde ich mich im folgenden auf den Mozilla Firefox beschränken.

Ist der Mozilla Firefox sicher? Nein, natürlich nicht! Er gilt generell aber als deutlich sicherer als der Internet Explorer. Aber auch Mozilla Browser hatten bereits Sicherheitslöcher, allerdings zum einem deutlich seltener und zum zweiten auch nur selten wirklich kritische. Eine schöne wenn auch unvollständige Übersicht bietet der Browsercheck der Zeitschrift c’t. Bei den Demos muss nur beim Internet Explorer zwischen alten und neuen Problemen unterschieden werden, damit man die Übersicht nicht verliert.

Mozilla Firefox – Weitere Informationen

Die Installation des Mozilla Firefox setzt voraus, dass man in der Lage ist, die linke Maustaste zu betätigen. Prinzipiell gilt hier: SETUP.EXE starten, die Dialoge durchklicken und glücklich sein.

Der Mozilla Firefox erlaubt nicht nur eine sichereres Browsen als der Internet Explorer, er bietet auch einige Funktionen, die das Surfen deutlich angenehmer machen. Für Mozilla-Erstnutzer empfiehlt sich daher unbedingt der Aufruf des Punktes ‘Für Anwender des Internet-Explorers’ im Hilfemenü.

Mozilla-Seiten im Internet

Ich kriege dann und wann Hinweise auf Sicherheitslücken in anderen Browsern als dem Internet Explorer, weil ich meine Meinung zu diesem Browser offen kund tue. Dies ist nicht schlimm, es sind nur einige wenige Emails im Jahr. Würde man mir jede Sicherheitslücke im Internet Explorer zuschicken, würde ich dafür einen Email-Filter einrichten. Es gibt keine absolute Sicherheit, Sicherheit ist eine Frage der Wahrscheinlichkeiten. Sie können Ihr Auto abschliessen. Und? Ein geschickter Schlag mit einem Backstein auf die Windschutzscheibe, und der Wagen ist offen. Panzerglas? Ok! Wie lange hält die Seitentür dem Schneidbrenner stand?

Mein Auto hat kein Panzerglas. Allerdings schliesse ich die Tür ab. Ich nutze – wie vermutlich die meisten Leute, die sich ernsthaft mit IT Sicherheit beschäftigen – keinen Internet Explorer mehr. Bei der BILD-Zeitung dürfte der Anteil der Internet Explorer Anwender in der Gegend von 99% liegen. Bei dem Heise-Verlag, wo sich viel IT Fachkräfte aufhalten, liegt er noch bei ca. 45% mit stark fallender Tendenz (der Mozilla wird dort bereits von ca. 35% der Besucher genutzt, stark steigende Tendenz). Wer ein schönes Steak-Restaurant sucht, sollte keinen Vegetarier fragen.

Wer sich den Mozilla Firefox installieren möchte oder vorher noch mehr Informationen benötigt, in dem Kasten rechts befinden sich Links zu den offiziellen internationalen und deutschsprachigen Mozilla-Webseiten.

Email Programme

Spam-Emails

Jeder, der die Email nutzt, dürfte sie kennen: Spam-Emails. Wenn es nicht um grosse Gewinnchancen, ungeahnte Geldreserven in Nigeria und die Verlängerung bzw. Vergrößerung von Körperteilen geht, dann werden meistens Dienstleistungen angeboten. Die meisten Leute bekommen inzwischen mehr Spam-Emails als andere. Ein Gigolo, der alle Verlängerungsoptionen ausnutzen würde, könnte vermutlich in Hamburg fremd gehen, ohne Hannover zu verlassen.

Die Spam-Email wird heute entweder über nicht gesicherte Email-Server bzw. zunehmend über offene PC Clients im Internet versendet (evtl. über Ihren PC?). Datenbanken mit Email-Adressen können gekauft werden. Je höher die Qualität, desto höher der Preis. Die Qualität bemisst sich dabei über die Gültigkeit der Email-Adresse, ob sie gelesen wird oder nicht. Um dies festzustellen, gibt es einen einfachen Trick. In die Spam-Email wird eine Grafik eingebunden, die von einem externen Web Server geladen wird. Hinter der Adresse, über die die Grafik angesprochen wird, folgt noch ein kryptischer Parameter. Über diesen Parameter erkennt der Server, dass Sie es waren, der die Email gerade gelesen hat.

Ein Email-Programm sollte daher in der Lage sein, das Laden von Bildern in den Emails zu unterdrücken. Weiterhin sollte es in der Lage sein, gezielt pro Email auf Knopfdruck die Bilder nachzuladen, damit Sie in den von Ihnen gewünschten Newstickern auch alle Informationen zu sehen bekommen. Der Mozilla Thunderbird unterstützt dies natürlich.

Zu jeder Windows-Installation gehört auch das Outlook Express. Prinzipiell unterstützt es alles, was man im Privatbereich braucht. Es kann Emails von POP3 und IMAP Servern holen, es unterstützt mehrere Postfächer, es zeigt HTML Emails an, hat ein kleines Adressbuch und ist relativ intuitiv. Outlook Express unterstützt auch Newsgruppen, allerdings ist die Wahl hier etwas unglücklich. Die allgemeinen Vereinbarungen, die im sogenannten Usenet gelten, werden von Outlook Express nicht eingehalten, so dass man bei der intensiven Verwendung von Outlook Express in den Newsgruppen schnell neue “Freunde” bekommt. Allerdings gibt es hier ein Software-Addon, dass diese Eigenheiten auskuriert.

Der große Nachteil von Outlook Express ist, dass es für die Anzeige von HTML Emails den Internet Explorer verwendet. Sehr viele Sicherheitslöcher des Internet Explorers sind daher auch beim Lesen von Emails vorhanden. Es ist möglich, Ihnen eine unverfängliche Email zuzusenden, in der als JPEG Datei ein Logo enthalten ist. Während Sie die Email noch lesen, installiert sich im Hintergrund ein Trojaner. Wer eine Personal Firewall installiert hat und ausschließlich den Mozilla Firefox (oder einen anderen alternativen Browser) nutzt, kann dem Internet Explorer in der Firewall den Internet Zugang untersagen und ist damit auch mit Outlook Express aus dem Schneider. Allerdings sieht er dann auch nicht mehr die Grafiken in anderen Emails, die er vielleicht sehen möchte (z.B. die Amazon-Buchempfehlungen). Jeder muss selbst entscheiden, was ihm wichtiger ist.

Im Bereich der Email Programme ist die Auswahl an guten Alternativen größer als bei den Browsern. Wobei anzumerken ist, dass Alternativen, die ebenfalls den Internet Explorer für die Anzeige von HTML Emails nutzen, keine Alternativen sind. Da ich nicht nur nicht über Browser referieren möchte, sondern auch nicht über Email Tools, beschränke ich mich hier auf eine Alternative, die praktisch alle Funktionen an Bord hat, die man sich in einem Email Tool wünschen kann: den Mozilla Thunderbird. Für die anderen Alternativen verweise ich auf die in größeren Zeitabständen erscheinenden Vergleichstests, z.B. in der Zeitschrift c’t.

Mozilla Thunderbird – Weitere Informationen

Die Installations des Thunderbird läuft praktisch ebenso einfach ab wie die des Firefox. Der Thunderbird ist ebenfalls über die beim Browser angegebenen Webseiten zu finden. Die Homepage befindet sich hier.

Der Mozilla Thunderbird ist ähnlich wie der Firefox aus der Mozilla Websuite entstanden und inzwischen zu eine problemlos funktionierenden und sehr leistungsfähigen Email Programm gewachsen. Er unterstützt mehrere Postfächer mit jeweils mehreren Email-Adressen, kann optional die Posteingänge wie bei Outlook Express zusammenlegen, er kann Newsticker im Internet – sogenannten RSS Feeds – wie Email-Ordner anzeigen, er hat einen sehr leistungsfähigen und individuell lernenden Spam-Filter integriert und auch alles andere an Bord, was man sich im Email Bereich wünschen kann.

Vorhandene Emails kann der Mozilla Thunderbird von einem zuvor genutzten Outlook Express ebenso übernehmen wie das Adreßbuch oder die Zugangsdaten zu den externen Email Postfächern. Wie auch schon beim Firefox gilt hier: mehr Sicherheit und mehr Komfort. Das Mehr an Komfort wird hier aber vermutlich nur bei einer intensiveren Nutzung auffallen. Wer zweimal im Monat eine Email schreibt, wird das “Mehr” nicht spüren.

Social Engineering

Globalität und Anonymität im Internet

Viele Vergleiche zwischen dem Internet und dem “normalen Leben” im Bereich der Sicherheit hinken, weil es zwei essentielle Unterschiede gibt. Zum einem die beidseitige Globalität, zum anderen die Anonymität. Was ist damit gemeint?

Wenn Sie in Garbsen wohnen, dann sind Sie für Einbrecher aus Garbsen gefährlich. Vermutlich auch noch Einbrecher aus Hannover, eventuell auch noch aus Braunschweig. Ein Einbrecher aus Hamburg kommt wahrscheinlich nur noch vorbei, wenn er bereits ihre Inventarliste hat und meint, das lohnt sich. Wenn Sie im Internet angegriffen werden, dann kann der Angreifer auch aus Garbsen, Hannover oder Braunschweig kommen – genauso gut aber auch aus Usbekistan, Chile oder den Seychellen. Es macht für ihn keinen Unterschied.

Diese Globalität gilt auch in der anderen Richtung. Wenn ein krimineller Geist eine Methode gefunden hat, seinen Mitmenschen Geld abzuknöpfen, dann hat er nicht nur die Kandidaten aus seinem Umkreis zur Auswahl, sondern Millionen Kandidaten an ihren PCs. Das ist die zweite Seite der Globalität.

Die Möglichkeiten der Strafverfolgungsbehörden, Kriminelle aufzuspüren ist schon durch die Globalität deutlich schwieriger. Bevor man aber über globale Probleme wie Auslieferung spricht, muss man den Angreifer überhaupt erst einmal identifizieren. Das ist schon lokal ein Problem. Die Identifizierung läuft z.B. über die IP Adresse eines Internetanschlusses. Das kriegt man noch raus. Was man nicht raus kriegt ist, wer nachts um drei Uhr in einem Umkreis von 150 m um den Wohnblock entfernt mit seinem Notebook im Gebüsch sass und den offenen Wireless Access Point genutzt hat.

Die Technik ist nur ein Aspekt von dem Thema IT Sicherheit. Wenn Sie alle Tip(p)s befolgt haben, dann haben Sie zwar keinen sicheren PC, aber vermutlich einen ziemlich sicheren. Es heißt häufig, einen absolut sicheren PC hat man dann, wenn man das Netzwerkkabel abzieht – auch das ist nicht richtig. So könnte z.B. jemand in Ihr Arbeitszimmer einbrechen. Das Beispiel gilt nicht? Ok, ein anderer Fall. Ebay ruft sie an zum Zwecke der Prüfung der Zugangsdaten, ob es auch wirklich Sie sind, der den Ebay Account besitzt. Um sich auszuweisen, nennt der freundlichen Ebay-Mitarbeiter Ihre Email- sowie ihre richtige Anschrift und fragt sie zur Kontrolle nach dem Kennwort. Sie nennen es ihm.

Fein. Was haben Sie eben gemacht? Das Kennwort einem Ebay-Mitarbeiter genannt? Wohl kaum, Ebay würde Sie nie danach fragen (kein professioneller Serviceanbieter wird Sie je nach ihrem Kennwort fragen, weil er es nicht braucht). Sie haben irgendeinem (!) Menschen ihre Zugangsdaten verraten. Die Email-Adresse und ihre richtige Adresse kriegt er über andere Wege heraus, dass Kennwort fehlte ihm noch. Sie brauchen sich übrigens wenig Gedanken machen, ob dies jemanden stört. Es werden sich in kurzer Zeit einige 100 oder 1000 Ebay-Käufer bei Ihnen beschweren, dass Sie Ihnen das Geld z.B. für den neusten Yamaha-Verstärker überwiesen, aber nie die Ware erhalten haben. Trösten Sie sich, sie wären zumindest nicht der Erste. Das Konto, auf dem das Geld angekommen ist, war natürlich nicht Ihres.

Vielleicht wird bereits klar, was Social Engineering ist. Ich habe den englischen Begriff gewählt, weil dieser auch in der deutschen Literatur geläufig ist. Unter Social Engineering versteht man vereinfacht gesprochen den Versuch, dass sich jemand für jemand anderes ausgibt, um Informationen zu bekommen, die ihm sonst nicht zugänglich wären. Hier nutzt man die Gutgläubigkeit der Menschen aus. Ein grundsätzlicher Schutzmechanismus wäre, jedem Menschen von vornherein mit dem größtmöglichen Misstrauen zu begegnen. Aber wer so lebt, geht aber auch zum Lachen in den Keller.

Das Social Engineering ist eine der effektivsten Möglichkeiten der Informationsbeschaffung. Ein Beispiel für zu Hause: Viele Banken versenden gerne Emails, in denen Sie auf einen neuen Onlinekontoauszug hinweisen. Wer Onlinebanking macht, kennt diese Emails vermutlich. Häufig ist direkt in der Email ein Link zu der Anmeldeseite des Onlinebankings enthalten. Sofern Sie diese Email für eine persönliche Email gehalten haben, muss ich sie enttäuschen. Alle Kunden der Bank enthalten im Prinzip die gleiche Email. Das Aussehen und der Inhalt der Email ist damit allgemein bekannt. Auch der Termin der Email ist bekannt, z.B. immer am dritten Werktag eines Monats. Irgendwann werden Sie vielleicht die Email am zweiten Werktag bekommen (ich glaube kaum, dass irgendjemand den Zeitpunkt der Email überprüfen würde). Die Email sieht genauso aus, enthält die gleichen Informationen wie immer und man klickt entspannt, mit einer Tasse Kaffee in der Hand, den Link an, um die Anmeldeseite zu laden. Sie geben Ihre Anmeldedaten ein, die Anmeldung läuft schief. Huch? Sie stellen die Tasse Kaffee ab, melden sich erneut an und es klappt. Mit der Tasse geht es halt nicht so einfach.

Vertrauen im Leben, Vertrauen im Internet

Social Engineering klappt auch im richtigen Leben. Bekannte Beispiele sind die Omas, die nach dem Besuch des Vertreters plötzlich das Geld aus dem Porzellangefäß im Wandschrank vermissen oder der Nachbar, der beim Umzug seiner Nachbarn kurz mit anfasst und später feststellt, dass diese zu der Zeit im Urlaub waren. Im Fernsehen hieß die dazu passende Sendung “Nepper, Schlepper, Bauernfänger”, wenn ich mich richtig erinnere.

Im Internet ist es viel einfacher. Jeder Mensch führt bei wichtigen Handlungen eine Art unbewußte “Authentifizierung” durch. Wenn Sie in der Tankstelle bezahlen wollen und drei Leute vor dem Tresen und einer dahinter steht, geben Sie dem Mann hinter der Theke das Geld. Warum? Sie kennen ihn genauso wenig wie die anderen. Würden alle vor dem Tresen stehen, wären sie vorsichtiger.

Wenn Sie beim Kiosk an der Ecke letztens kein Geld hatten, kann es passieren, dass Sie den Sechserpack Bier trotzdem bekommen. Vorausgesetzt, der Kioskbesitzer erkennt Sie und Sie kaufen dort häufig. Wenn er Sie nicht kennen würde, würde er erst das Geld verlangen. Wenn Sie den Kioskbesitzer am nächsten Tag an der oben erwähnten Tankstelle sehen, geben Sie ihm gleich so das Geld. Sie haben ihn erkannt und identifiziert. Sie brauchen die Kioskumgebung nicht, um Ihre Schulden zu begleichen.

Was haben Sie im Internet? Eine Email, die sich so leicht fälschen läst, wie man sie schreiben kann! Eine Webseite, wo ein Firmenlogo enthalten ist, bei der sie aber weder den Standort kennen noch den tatsächlichen Eigentümer des Domains! Sie verarbeiten die vorgesetzten Informationen in der Annahme, dass die Randbedingungen (Absender, Autor) stimmen. Aus diesem Grund ist Social Engineering im Internet eine einfache Übung und im Alltag gang und gäbe.

Was ist passiert? Die Email war nicht von der Bank. Die von der Bank kommt morgen. Morgen werden Sie auch feststellen, ob nur ein kleiner Betrag auf Ihrem Konto fehlt, weil der Absender der ersten Email nicht auffallen möchte oder ob ihr Konto leer ist und sich der Absender bereits auf den Flug in die Karibik befindet. Das Fälschen einer Email Adresse ist leider sehr einfach – dazu brauchen Sie noch nicht einmal den Wireless Access Point im nächsten Wohnviertel. Auch wenn die Email anscheinend von Ihrer Bank kommt – die tatsächliche Quelle werden Sie nicht feststellen können. Der Link verweiste dementsprechend auch nicht auf die Anmeldeseite Ihrer Bank, sondern auf eine andere Seite, die nur dazu dient, die Zugangsdaten von Ihnen anzunehmen, eine Fehlermeldung auszugeben und dann die richtige Seite zu laden. Darum klappt es beim zweiten Mal.

Wieviel Kunden hat eine Bank? Wieviele Kunden klicken auf den Link in der Email? Wie hoch ist im Schnitt der Kontostand? Was kostet ein Flug in die Karibik und wie teuer ist dort ein Haus? Ich hoffe, ich habe Sie jetzt nicht auf falsche Gedanken gebracht. Die Empfehlung an dieser Stelle ist kritische Webseiten, und dazu gehört eindeutig die Anmeldeseite für das Onlinebanking, per Hand in Ihrem Browser einzugeben und anschließend als Lesezeichen zu speichern (im Internet Explorer heisst es Favorit, aber den sollte man ja nicht nutzen). In solchen Fällen stellen Sie vielleicht irgendwann einmal fest, dass es doch noch keinen Kontoauszug gibt. Jetzt wissen Sie warum. Wenn Sie meinen, dass Ihnen das noch nie passiert ist – prüfen Sie jede Buchung auf ihrem Konto? Wenn ja, dürften Sie stolzer Teil einer Minderheit sein.

Sonstige Internet Anwendungen

Die meisten Anwender sind mit einem Browser und einem Email-Tool voll und ganz zufrieden. Der eine oder andere nutzt darüber hinaus auch noch Tools z.B. zum Chatten oder sogenannte Instant-Messaging Anwendungen. Dazu möchte ich abschließend noch ein paar Tip(p)s mit auf den Weg geben, ohne dabei in Details zu gehen. Weiterhin werde ich die Dienste auch nicht erklären. Wer einen Dienst nicht kennt, nutzt ihn nicht und braucht dann vermutlich auch keine Tip(p)s.

Internet Relay Chat (IRC)

Das unter Windows vermutlich beliebteste IRC-Tool dürfte mIRC sein (Kostenpunkt: 20 US Dollar). Das IRC-Protokoll unterstützt auch Dateitransfers (DCC) sowie das Zusenden von Soundnachrichten. Das Erste braucht man höchst selten, dass Zweite ist ein Gimmick, auf den man auch verzichten kann. Beides kann man in den mIRC-Optionen abschalten (Optionen “DCC -> Server -> Enable DCC Server” und “Sounds -> Enable Sounds” deaktivieren). Weiterhin sollte die Option “IRC -> Messages -> Process ANSI Codes” unbedingt deaktiviert sein. Sie möchten nicht, dass ihr IRC Tool Anweisungen von anderen ausführt.

Bitte beachten Sie, dass andere IRC Anwender die IP Adresse Ihres PCs kennen, solange Sie in einem Channel sind. Eine Nutzung von IRC ohne eine Firewall (z.B. im DSL-Router oder als Desktopfirewall) ist praktisch gesehen eine Einladung auf Ihren PC. Wer IRC sehr viel nutzt und dort sehr viele Freunde gewonnen hat, sollte über die Mietung eines Bouncers nachdenken. Letztendlich ist IRC aber sicherer als sein Ruf. Ein beliebtes Spielchen ist allerdings, URLs zu Webseiten zu posten, über die im Falle der Nutzung des Internet Explorers Trojaner installiert werden. Aber man muss ja nicht alles anklicken, was man sieht und wer den Mozilla nutzt, befindet sich in 99% der Fälle ebenfalls auf der sicheren Seite.

Instant Messaging

Andere, gerade beim Nachwuchs beliebte Tools, sind die Instant Messaging Clients. Praktisch allen ist gemeinsam, dass die dazu notwendigen Server von natürlich gewinnorientierten Unternehmen bereitgestellt werden (bei IRC ist dies nicht so), worauf sich dann die Frage stellt, warum sie dies tun. Aber da ich oben bereits erwähnt hatte, wem die erfassten Daten, z.B. Kontaktdaten, in den USA gehören und was man damit machen kann, sollte sich die Antwort erübrigen. In jedem Fall müssen Sie auch hier davon ausgehen, dass andere am Instant Messaging Service angemeldete Teilnehmer Ihre IP Adresse kennen (auch wenn das Tool vorgibt, sie zu verstecken – die Beschaffung der IP Adresse ist trivial). Bzgl. der notwendigen Firewall gilt daher das gleiche, was ich beim IRC Tool schon erwähnt hatte.

Weiterhin liegt es in der Natur der Sache, dass Instant Messaging Tools entweder einen direkten Zugriff von aussen auf den PC voraussetzen oder ständig eine Verbindung zum Server halten, damit sie “angebimmelt” werden können. Damit erlauben Sie automatischen fremden Rechnern Zugriff auf Ihren PC, entsprechend der Möglichkeiten und Sicherheitslücken der verwendeten Software. Dies gilt auch für Telefoniesoftware, z.B. Skype. Es wurden hier schon mehrfach Fehler entdeckt, der fremden Personen mehr oder minder vollen Zugriff auf Ihren PC erlaubten.

Schlussworte

So, es reicht. Zu dem hier besprochenen Thema gibt es ganze Bücher. Mein Ziel war es nicht, jedes Detail anzusprechen. Ich hoffe, ich habe zum einem die häufig an mich gerichteten Fragen beantwortet und nebenbei einen guten Überblick über das Thema gegeben. Weiterhin hoffe ich, dass ich das sonst eigentlich eher trockene Thema doch halberlei interessant rüber gebracht habe. Wenn es mir nicht gelungen ist, dann habe ich hiermit kund getan, dass ich es wenigstens versucht hatte.

Noch ein Hinweis zu Aktualisierungen. Das Dokument wurde Ende 2004 erstellt. Die Sicherheitslöcher von heute werden ersetzt durch die Sicherheitslöcher morgen – das Grundproblem dürfte sich dagegen langsamer ändern. Ich werde mich nicht hinsetzen und dieses Dokument ständig auf dem laufenden halten. Wer dies Dokument zu einem deutlich späteren Zeitpunkt liegt, möge das bitte beachten. An den Kernaussagen dürfte sich aber so schnell nichts ändern.

Graphics by Dingo

Safer Surfing!
Mephisto

PS: Noch hungrig? Hochinteressant und lesenwert – allerdings teilweise auch sehr technisch – ist der Artikel Schädlingen auf der Spur der Heise-Security Site (es handelt sich dabei um eine Übersetzung des englischen Originals). Dort wird beschrieben, was alles mit einem Windows-PC passiert, wenn man ihn “blauäugig” nutzt. Der Artikel wurde von dem Diensthabenden der Internet Storm Center geschrieben und besteht derzeit aus vier Teilen (Teil 1, Teil 2, Teil 3, Teil 4). Wer sich die Beispiele anschaut wird auch sehen, warum Aussagen der Art “Wenn der Browser XYZ so verbreitet wäre wie der Internet Explorer, wäre er genauso unsicher”, vorsichtig formuliert, sehr naiv sind. Die Techniken, die dort meistens genutzt werden, hat ausser dem Internet Explorer und den direkten Derivaten meines Wissens kein anderer Browser (glücklicherweise). Selbstverständlich hat die Verbreitung einer Software Auswirkungen auf das Interesse “der Bösen” – dies ist aber nur ein Aspekt unter vielen. Für das Verständnis des Artikels können die HTML Code Beispiele übrigens übersprungen werden, man muss also für den Aha-Effekt nicht die technischen Kenntnisse haben, die man beim Anblick der Beispiele zunächst vermutet. Wem alleine durch die Erläuterungen nicht schon schlecht wird, sollte dringend den Arztbesuch anstreben. Vermutlich stirbt er bereits…

2 Kommentare zum Artikel “Tip(p)s für eine sicherere Internetnutzung”

  1. N1 Mephi, das ist doch mal übersichtlich und schön geschrieben, wie immer äußerst humorvoll und sehr gut recherchiert :-)

    Greets, Straw

  2. Die Seite gefällt mir sehr gut. Werde ich sicher mal in die eine oder andere Richtung weiterempfehlen. Auf jeden Fall bin ich dadurch noch einmal darin bestätigt worden, meine Vater endlich einen Router zu besorgen ;-)

    Einen Hinweis möchte ich aber dennoch loswerden.

    Du empfiehlst, die Seite zum Onlinebanking per Hand aufzurufen und dann als Lesezeichnen (oder als Favorit im IE) abzuspeichern. Das würde ich gerade nicht empfehlen, da es auch Schadsoftware (welchen Begriff man dafür auch immer wählen will) gibt, die so frech sind und die Lesezeichen anzupassen. Das ist dann so als würde der User einen gefakten Link in einer Mail anklicken. Mit dem Unterschied, dass die User bei eMails inzwischen doch einigermaßen kritisch sind, die Lesezeichen im Browser aber ohne viel nachzudenken anklicken. Den Hinweis habe ich übrigens selbst auch aus der mehrfach zitierten Zeitschrift c’t.

Schreibe einen Kommentar


Beim Speichern ihres Kommentars wird auch ihre IP Adresse gespeichert (nur für den Website-Betreiber einsehbar)!