Schutz vor Viren, Spoof-Emails, Werbetrojanern, Dialern

Transcription

Schutz vor Viren, Spoof-Emails,
Werbetrojanern und Dialern
Fung-Chuan Drautz
China-Büro für Wirtschaft und
Wissenschaft
18. September 2004
Copyright Fung-Chuan Drautz, China-Büro für Wirtschaft und Wissenschaft
www.china-buero.de
Gliederung

Brauchen wir noch einen Vortrag?
Viren und Schadsoftware – Definition
Verbreitung – Count Down
Computer säubern & absichern
Antivirenprogramm, Firewall, Router
Dialer
Spoof-Emails
Häufige Irrtümer
Brauchen wir einen Vortrag?
Erhaltene Emails mit Viren,
irgendjemand auf der Liste hat
sich Netsky.P eingefangen!
Ja!

IP-Adresse: 212.144.218.116
DNS: dialin-212-144-218-116.arcorip.net
Virus: Netsky-P
Kennt also bestimmte Leute bzw. war
auf Webseiten wo die Adressen
stehen!
Gewünscht?
Harmlose Seiten? Nein, Dialer
unter den ersten paar Treffern!
Dialerabzocke, die sich
gegen kleine Kinder richtet!
Informatiker passen besser
auf, aber der Rest der
Familie zu Hause am PC?
Kleingedrucktes:
29¼SUR(LQZDKO
Schadsoftware - Definition

Viren, Würmer, Trojaner, Spoofmails,
Dialer, Werbesoftware ... – Was ist
was?
Generell Schadsoftware oder Malware
(malicious programs)
Schadsoftware - Viren

selbstreproduzierende Programme
genau nach Dr. Cohen (1983): „Ein
Computervirus ist ein Programm, das
andere Computerprogramme infizieren kann,
indem es sie so verändert, dass es eine
Kopie (von sich) einfügt.“
Erste Viren: Elk Cloner für Apple II (1981),
Brain für den PC (1986)
Früher Verbreitung durch Diskettentausch,
heute Netzwerke (C64, Amige -> PC)

brauchen Wirtsprogramm
Fügen sich in Programme (.exe, .scr ...)
ein, früher Infektion von Bootsektoren
Früher fast immer sichbare
Schadroutine
z.B. Festplatte formatieren, Dateien
löschen, nervende Musik abspielen ...

Heute versteckte Schadroutine: Paßwortabhören (z.B. Von Onlinebanking),
Versenden von Spam, Mißbrauch des
eigenen PCs als Webserver für illegale
Inhalte ... – Schlimmstenfalls steht die
Polizei vor der Tür.
Modernes Beispiel: „I Love You“-Virus, VBA
(Visual Basic für Anwendungen)-Makrovirus
für Microsoft Word für Windows
Schadsoftware - Würmer

auch selbstreproduzierende Programme
brauchen kein Wirtsprogramm, laufen als
seperates Programm
Brauchen Sicherheitslücken oder müssen
Benutzer hereinlegen zur Installation
Eintrag in Autostart/Registry:
http://support.microsoft.com/?kbid=179365,
Run, RunOnce, RunServices ... Moderne
autoexec.bat
Schadsoftware - Würmer

Nicht im Taskmanager sichtbar
Oder nach System klingende Namen (z.B.
exp1orer.exe, winregsys.exe, ...)
Erster Wurm: „Internet Wurm“ von 1988 für
BSD Unix (Berkeley Standard Distribution)
Modernes Beispiel: Code Red (2001) für
Microsoft Webserver IIS
Viele „Viren“ sind eigentlich Würmer (RunEintrag in Registry, Versenden sich selbst)!
Haben auch Schadroutinen (s.o.)
Schadsoftware - BHO

Browser-Help-Objekte
z.B. Acrobat Reader,
Google-Toolbar, Wetter,
ebay, aber auch
Gator/Claria etc.

Müssen nicht immer als Toolbar
sichtbar sein, können als Spyware auch
versteckt Paßwörter abhören!
Verbreitung – Count Down

Früher Disketten, heute Netzwerk
Auf folgenden Folien Count-Down der
wichtigsten Verbreitungswege, d.h. Wo
man sich überall schützen muss.
Verbreitung - Tauschbörsen

Würmer/Viren kopieren sich in
Verzeichnisse von Tauschbörsen
Britney-New-Song.mp3.exe oder
Photoshop-crack.exe, Größe von 30300KB
Achtung: Wenn der Virus/Wurm „klüger“ ist, hat er viele Leerzeichen im
Namen. Z.B.
„Britney-New-Song.mp3
.exe“
Man kann im Tauschbörsenklient nicht sofort sehen, dass es ein Programm
statt MP3 ist. Dieser Trick wird auch bei Mailwürmern gerne angewandt!
Verbreitung - Tauschbörsen

Erst recht keine illegale Software aus dem
Internet downloaden
Alternative für MP3: allofmp3.com (1
Cent/Megabyte), weblisten.com (Flatrates),
staytuned.de (Festpreis-Webradio mit
eigener Auswahl! –> Mitschneiden von
Streams) oder
CDs Ausleihen und Kopieren falls möglich.
Alternative für Software: Kaufen! Evt. alte
Versionen über ebay kaufen.
Verbreitung - Chatsoftware

Messenger-Software (Chatten über
Internet)
Haben auch einen Dateitransfer
Haben auch so etwas wie VBA
Keine Dateien oder Anweisungen von
Unbekannten öffnen oder ausführen!
Verbreitung

Fast automatische
Installation im
Internet Explorer
als Browser Helper
Object (fehlendes
Plugin, „ActiveX“Komponente)
Wird aber auch von
legitimer Software
benutzt!
Verbreitung Netzwerkfreigaben

SMB/CIFS – Netzwerk „Datei- und
Druckfreigaben
Administrative Freigabe C$ ist Standard,
immer vorhanden aber wegen „$“ nicht im
Explorer sichtbar (mit anderen Tools schon)
Standardinstalltion von Windows hat oft kein
Paßwort
Virus sucht nach Freigaben im Netz und
kopiert sich in Autostart-Ordner!
Verbreitung Netzwerkfreigaben
Beispiel: Frische Windows-Installation
Übrigens an vielen anderen Stellen auch ungeschützt!
Kein Passwort vergeben, Return genügt!
Das ist Laufwerk C:
Man könnte sofort Dateien
löschen, geheime, vertrauliche
Dateien kopieren. Viren können
sich einfach draufkopieren
Wenn mehr Laufwerke vorhanden,
dann würde hier noch D$, E$, ...
stehen.
-> noch ein Grund eine Firewall zu benutzen, man kann diese aber auch
zusätzlich abschalten (siehe MS KB314984)
Verbreitung Sicherheitslücken

Direkter Angriff auf Sicherheitslücken
(laufende Dienste/„Services“) – LSASS
(Lokale „Sicherheit“, Login-Prüfung),
RPC/DCOM (Prozesskommunikation
zwischen Computern, auch auf dem
selben Computer), UPnP (Portöffnung
in Firewalls für lokale Programme –
bereits das ist eine Gefahr!), alle für
Puffer-Überläufe anfällig

Beispiel Puffer-Überlauf:
1. Wurm „sagt“: Ich sende dir ein Paket, es ist 3 KB
groß
2. Lokales Programm reserviert 3 KB Speicher
3. Wurm sendet 5 KB!
4. Die ersten 3 KB landen noch im reservierten
Speicher, der Rest (2 KB) überschreibt Speicher
der danach liegt. In diesem Speicher war vorher ein
wichtiger Teil des lokalen Programms.
5. Das lokale Programm will diesen wichtige Teil
ausführen, startet aber stattdessen den Wurm, der
sich dorthingeschmuggelt hat!

Auch Mozilla, Opera, Firefox haben
Sicherheitslücken
Aktuelle Version benutzen!
.jpg im Internet Explorer/Office anfällig
(gdiplus.dll)
.png in Mozilla, Opera, ... anfällig
Internet Explorer hat mehr Lücken:
http://secunia.com/product/11/#advisories
Verbreitung - Emails

HTML-Emails, Javascript/IE: Outlook benutzt
Internet-Explorer für HTML-Emails, daher genauso
gefährdet! (z.B. Früher, bzw. ungepatchte
Windows-Installation hatten IFrame Exploit –
Anschauen genügt)
Attachements:
automatisch geöffnet durch Sicherheitslücke
oder durch Reinlegen des Lesers („important
document, please read“). Im Zweifel beim Absender
anrufen und fragen („Ist das von dir, ich hatte kein
‚important document‘ erwartet “).
Computer säubern, sichern

Computer säubern und sicher machen!
Patches
Antivirenprogramm
Firewall oder Router
Schadsoftware entfernen

Windows-Update verwenden
Microsoft-Patchday: zweiter Mittwoch im
Monat
Alle Benutzer müssen Passwörter haben,
kein Account mit erweiterten (Administrator)Rechten sollte normal surfen.
Service Pack 1 für Internet Explorer 6 und
Outlook 6
(http://www.microsoft.com/downloads/releas
e.asp?releaseid=42724)

Antivirenprogramme
Gute Antivirenprogramme: Kapersky Antivirus,
AVP, Norman Virus Control, Bitdefender
Norton gut? 20.12.2003 zu Sober.c:
http://www.heise.de/security/news/meldung/4
3125 „NAI und Symantec [Norton] bieten
bisher noch keine Beschreibung und
Signaturen auf ihren Seiten an. Bereits die
Signaturen zum Erkennen von Sober.b
lassen bei beiden derzeit auf sich
warten.“ Trotz angeblicher Teams auf der
ganzen Welt, um sofort reagieren zu können.

Achtung, kein Grund deswegen Norton Antivirus zu
entfernen. Norten Antivirus ist viel besser als gar
kein Antivirenprogramm zu haben!
Es gibt Gratis-Versionen von Virenscannern. Aber
praktisch alle überprüfen Dateien erst, wenn man
sie fragt. Sind eher Testversion, um bereits
vorhandene Viren zu erkennen!
Modern: „On-Access-Virenscanner“
(Kaufversionen), scannen bevor Datei geöffnet wird
und verhindern Zugriff auf Virus. Oder scannen
Email bevor sie Outlook erreicht!

Outlook für Emails aus dem Internet
ungeeignet:
Automatische Anzeige als HTML (mit
ungepatchtem Internet Explorer: IFrameExploit!)
Automatisches Herunterladen von verlinkten
Bildern
Wirksamer Spamfilter erst in Version 2003
stattdessen z.B. Thunderbird oder andere
Computer säubern, sichern –
Outlook Express

Beispiel Webbugs:
Email hat Bild mit URL
http://www.spammerseite.com/drautzffm_yahoo_de_hat_spam_gelesen.gif
D.h. Outlook anfällig Webbugs von
Spammern (verlinkte Bilder in Emails, die
nicht mitgeschickt sind)
Tab Lesen: "Alle Nachrichten als nur Text
lesen" (ab Outlook Express SP1)
Tab Sicherheit: "Bilder und andere externe
Inhalte in HTML-E-Mail blockieren" erst ab
Outlook Express unter Windows XP SP2
Sichere Einstellungen! „nur Text“ ist für die Firma ok. Kann aber zu Hause je nach
Briefpartner Probleme beim Lesen von chin. Mails bedeuten.
Ausweg falls Probleme: Evt. Umstieg, bei Mozilla Thunderbird wäre das Anzeigen
als HTML genauso sicher wie „nur Text“.
Outlook Express

Programme dürfen nicht gespeichert/ausgeführt werden (auch
Outlook 2000, XP, 2003, je mit aktuellstem Patch!). Achtung:
Access-Datenbanken verboten, Excel und Word-Dateien
erlaubt.
Beispiel -> Access Datenbanken erlauben, ZIP und RARArchive verbieten (echtes Outlook):
HKEY_CURRENT_USER\Software\Microsoft\Office\[Version]\
Outlook\Security
Zeichenfolge: „Level1Remove“, Inhalt: „.mdb“
Zeichenfolge: „Level1Add“, Inhalt: „.zip;.rar“ usw.
Email mit unerlaubtem attachement an eigene WebmailAdresse weiterleiten, herunterladen und scannen.
Informationen für Profis: Genaueres Einstellen der Sperre
für gefährliche Dateien in neueren Outlook Versionen.
Z.B. Access-Datenbanken sind eigentlich nicht
gefährlicher als vom Filter erlaubte Worddateien – beide
könnten Makroviren haben.
Was tun bei
legitimer Email
Outlook Express
„nur-Text“Einstellung
Wenn man
so riskant
ist weiter
HTML-Mails
zu lesen:
Dann sollte man verwendete Zone ändern und
Zoneneinstellungen in den Internet-Optionen der
Systemsteuerung auf sichere Werte stellen.
Outlook - Express
Hier ist die Zoneneinstellung,
Da Outlook den Internet
Explorer für Mails verwendet,
ist das gleichzeitig auch die
Zoneneinstellung im InternetExplorer für „eingeschränkte
Sites“.
Link für sichere Konfiguration,
nächste Folie!
Internet Explorer

Als Haupt-Browser z.B. Mozilla/Firefox oder Opera,
immer aktuell halten (Patches)!
Internet Explorer so wenig wie möglich benutzen
(nur wenn Seiten nicht anders funktionieren), auch
aktuell halten durch Windows-Update
http://secunia.com/product/11/#advisories
Testen!„Wie anfällig bin ich jetzt“ (vor dem Installieren wichtiger Patches)
http://www.heise.de/security/dienste/browsercheck/
Einstellen vom Internet Explorer!
http://www.heise.de/security/dienste/browsercheck/
anpassen/ie60/02.shtml
Internet Explorer

Einstellen vom Internet Explorer!
http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/02.shtml
Achtung: Manche Seiten können mit
sicheren Einstellungen nicht mehr
funktionieren. Gehen aber meist in
Firefox/Opera.
... sind noch mehr Einstellungen,
URL oben besuchen und einstellen!
Internet Explorer

Selbst wenn man nicht den Internet Explorer
benutzt, verwendet man ihn doch!
Muss: Patchen,
sicher Einstellen
(siehe Folie vorher)
Grund: Internet ExplorerKomponenten zur HTML-Anzeige
auch in Media Player, Realplayer,
scheinbar alternativen Browsern
(iRider, Abolimba Multibrowser, ...),
Browser-Komponenten von
Providern (T-Online, AOL-Browser),
Lexikas (Encarta, Britannica) ...
Internet Explorer säubern

Entfernen von ungewünschten
„Browser Helper Objekten“
Spybot Search &
Seriöse Toolbars (z.B. GoogleDestroy
Toolbar) kann installiert lassen
bessere Übersicht über alle installierten
BHO-Demon Gibt
BHOs, s.u., nach Reinigung
Firewall/Router

Personal Firewall, z.B. Zone-Alarm
Besser: Hardware-Router:
Für Modem, z.B. SMC 7004 BR
(Achtung kein Modemanschluß in
7004ABR, 7004VBR-Versionen)
oder z.B. W-Linx MB 401-S
Modemrouter gibt praktisch nur noch gebraucht zu kaufen.
ISDN-Router gibt es auch neu.
Achtung. Am besten Router und PC an eine Schaltersteckdose, ausschalten
wenn PC aus: Dann kann man sicher sein, nicht aus Versehen permanent
Internet am laufen zu haben, und dafür zahlen zu müssen.
Sichere Routerkonfiguration, Beispiel Modemrouter
Firewall/Router
Ohne Paßwort
kann man hier
keine Einstellung
ändern. Nur
Internetverbindung
starten oder
trennen.
(damit auch ein
Schutz vor
Dialern)
Firewall/Router
Aufbau von Internetverbindung erst, wenn man
auf „Dial-up“-Button klickt (vorige Folie).
Sonst wäre das automatisch wenn ein einziges
Programm etwas aus dem Internet anfordert!
Firewall/Router
Gefährliche Einstellung: DMZ-Host
Am besten leer lassen, deaktivieren!
Firewall/Router
Gefährliche Einstellung: Virtual Server, bzw. PortForwarding
Am besten leer lassen, deaktivieren! Manche
Anwendungen wie Quicktime, Netmeeting ... brauchen
aber Portforwarding. Ist aber Spezialisten-Einstellung.
Firewall/Router

Kein DMZ/Virtual
Server/Portforwarding
W-LAN, WPA oder VPN oder WEP mit
Keywechsel alle 2-3 Monate
Bei meisten Router: keine echte SPIFirewall (kann Grund sein, trotz Router
zusätzlich Personal Firewall wie
ZoneAlarm zu installieren)
Nicht bei allen Routern
möglich: MAC-Filter für
WLAN-Clients
Statefull Packet Inspection (SPI-Firewall) fehlt bei meisten
Routern, da teuer. Selbst hier nur vergleichsweise wenige
Einstellungen möglich.
Kann einfacher und billiger durch gute Personal Firewall ersetzt
werden (diese können das sogar noch besser).
Dialer

Legale Dialer – Anforderungen:
Rufnummerngasse 0900-9
Wegsurfsperre Also vorsichtig sein, wenn man auf
Webseite OK eingeben soll, kann
3x OK eingeben einer
ein Dialer sein!
Impressum und Hashwert
Registriert bei der RegTP
Keine Kommandozeilenparameter
Dialer

Illegale Dialer
Eine der Bedingungen nicht erfüllt
Keine Pflicht zur Zahlung!
(Auslandsrufnummern, SatellitentelefonRufnummern)
0190-Warner-Programme,
feste oder variable Rufnummernsperre
(Telekom)
Router verwenden („DSL“)
Router gibt es auch für analoge Modems und
ISDN, siehe mehrere Folien vorher
Spoof-Emails

Darauf fällt keiner mehr rein:
„I am Mr. Richard Wilford, the only son of late Chief John Wilford
from Sierra-Leone. I got your contact from the internet directory and need
an assistance from you. My sources of your contact gave me encourage and
confidence to write on you.
I am writing you in absolute confidence primarily to seek for your
assistance to transfer our cash of (Thirty Nine Million United Stated
Dollars) (39,000,000.00) now in the custody of the Security and trust
Company here in spain to your private account pending our arrival to your
country.” …
Spoof-Emails

Und darauf?
Flüchtigkeitsfehler der Kriminellen
Anzeige bei aktivem Javascript in
Mailprogramm leicht zu fälschen
Spoof-Emails

Stopp, nicht einloggen, gefälscht:
Spoof-Emails

Das ist das Original
Spoof-Emails

Auch auf die URLAnzeige im Browser
kann man sicher nicht
immer verlassen (sog.
„URL-Spoofing“,
Fälschen der
Adressezeile)
Das gilt den
ungepatchten Internet
Explorer, das gilt für
alternative Browser,
die nicht aktuell sind:
Spoof-Emails

Fazit – sichere und einfache Lösung:
Wichtige Webseiten (Online-Banking, ebay) nur per
Bookmark aufrufen oder URL aus Gedächtnis
eintippen.
z.B. Eintippen von https://meine.deutsche-bank.de
statt Link aus Email!
D.h. nie Links für wichtige Webseiten aus Emails
aufrufen (selbst wenn es richtig aussieht, vgl. URLSpoofing)
Wenn eine Firma angeblich Daten verloren hat und
man diese neu eintippen soll – solche Mails sind
gefälscht, wollen immer KreditkartenNummer/Konto-PIN/Paßwörter ... klauen
In den USA ist „Identity Theft“ schon ein schlimmes Problem, meist wird
Kreditkarten + Sozialversicherungsnummer geklaut.
Trojaner - kurz

Name wird für vieles benutzt:
Hintertürprogramme, Spyware, Keylogger
Werden meistens als BHO im Internet
Explorer oder von Würmern installiert, tw.
schon bei Würmern eingebaut (MyDoom)
Können Netzwerkverkehr und eigenen
Computer auf Paßwörter, PINs abhören
(Network Sniffer/Keylogger)
Werden zum Glück auch von Virenscannern
erkannt
Gelernt? – Häufige Irrtümer
Ich habe einen Extra Quarantäne-PC, muss nicht auf Sicherheit achten
¾Der Quarantäne-PC kann andere infizieren (Dateifreigaben, Sicherheitslücken)
¾Trojaner können das ganze Netzwerk abhören (Paßwörter)
Ich habe doch DSL/Breitband/Kabelmodem/Router
¾nur passiver Schutz, gegen Hacker
¾UPnP – Portfreigaben / DMZ-Host
¾Die meisten Viren kommen über Email
¾Bei Dialern – Ist noch ein Modem für Faxe angeschlossen?
Ich benutze keine Microsoft-Programme fürs Internet/Ich hab doch
Mozilla/Firefox/Opera/Pegasus ...
¾auch andere Programme haben Sicherheitslücken!
Häufige Irrtümer
Ich benutze keinen Internet Explorer, also brauche ich keine Patches für
den IE
¾Falsch, Beispiele: Outlook und Outlook Express benutzen Teile des Internet
Explorers für HTML-Emails, der Realplayer und andere benutzen auch den IE,
die Windows-Hilfe basiert auf dem IE (.chm-Dateien) Trojaner können das
ganze Netzwerk abhören (Paßwörter)
Ich lade keine Programme aus dem Internet
¾Makroviren in Office-Dokumenten
¾Einbau von .exe in PDF-Dateien
¾Puffer-Überläufe bei Bilddateien (.bmp,.png,.jpeg)
Häufige Irrtümer
Ich habe einen Virenscanner und eine Firewall, ich muss nicht aufpassen
¾Doch! Zuerst wird ein Virus erfunden, dann erst wird der Virenscanner vom
Hersteller aktualisiert
¾Viele aktuelle Viren versuchen Antivirenscanner und Firewall-Prozesse zu
schliessen
Ich habe Windows XP Service Pack 2, mehr brauche ich nicht!
¾Service Packs zu installieren ist allgemein gut!
¾Service Pack 2 für Windows XP hat bereits einen riesigen Fehler in der
Firewall. Wenn diese alte Regeln vom SP1 konvertiert (lokale Dateifreigaben),
darf das ganze Internet auf einen Rechner zugreifen! Siehe
http://www.pcwelt.de/news/sicherheit/103013/
¾Service Pack 2 enthält: Keinen Virenscanner
¾Service Pack 2 schützt nur mitgelieferte Windows Programme wie den
Internet Explorer und Outlook etwas besser vor Puffer-Überläufen. Aber nicht
Microsoft Office oder ICQ, ...
Häufige Irrtümer
Microsoft würde nie unsichere Software ausliefern, würde sofort Patches
liefern?
¾Kein Programm ist perfekt
¾Windows wird mit unnötigen Netzwerkdiensten ausgeliefert
¾Außerdem werden mit der Zeit mehr und mehr Sicherheitslücken entdeckt
¾Beispiel: „Kein Passwort“ auch erlaubt!
Wenn was passiert installiere ich einfach Windows neu, mache ich
sowieso jeden Monat
¾Wenn Kriminelle deinen PC kontrollieren und DDOS-Attacken machen, Spam
versenden, etwas Illegales. Dann kann trotzdem zuerst dein PC von der Polizei
beschlagnahmt werden („Beweissicherung“, um die Kriminellen verurteilen zu
können).
¾Wenn du mit Kreditkarten im Internet bestellst oder Onlinebanking
verwendestt, kann Malware Kartendaten/PINs/TANs klauen.
Danke!
Ende des Vortrags,
Danke fürs Zuhören