Internet_und_Datensicherheit

Transcription

Tübingen, den 15.01.06
Begleitskript zum Kurs
Internet- und Datensicherheit
von
Sebastian Brüggemann / Michael Rilling
Kurs: Internet- und Datensicherheit
Inhaltsverzeichnis
A. Glossar................................................................................................................................. IV
B. Einleitung............................................................................................................................... 1
C. Paßwörter............................................................................................................................... 2
I. Regeln zu Erstellung und Gebrauch von Paßwörtern ......................................................... 2
D. Phishing ................................................................................................................................. 3
I. Der Begriff „Phishing“ ....................................................................................................... 3
II. Phishing und seine wirtschaftlichen Folgen ...................................................................... 3
III. Gängige Methoden des Phishings .................................................................................... 4
1. Phishing-Attacke per E-Mail.......................................................................................... 4
2. Andere Arten von Phishing-Attacken ............................................................................ 5
3. Pharming ........................................................................................................................ 6
IV. Welche Schutzmöglichkeiten gibt es gegen Phishing-Attacken? .................................... 6
1. Schutzlösungen der Banken ........................................................................................... 6
2. Lösungen für den Selbstschutz....................................................................................... 7
V. Alternative Möglichkeiten des Online-Banking................................................................ 8
VI. Anmerkungen................................................................................................................... 8
E. Rund ums Betriebssystem...................................................................................................... 9
I. Das Windows Update ......................................................................................................... 9
II. Windowseigene Sicherheitsfunktionen im Rahmen des Service Pack 2......................... 11
III. Weitere Microsoft-Produkte und deren Relevanz für die Systemsicherheit .................. 12
IV. Fazit................................................................................................................................ 12
F. Datensicherheit..................................................................................................................... 12
I. Allgemeines zur Funktionsweise von Festplatten............................................................. 12
II. Zur Funktionsweise des Papierkorbs ............................................................................... 13
III. Daten richtig löschen...................................................................................................... 14
IV. Datensicherung............................................................................................................... 14
V. Verlorene oder beschädigte Daten wiederherstellen ....................................................... 15
G. Computerviren und Virenschutz ......................................................................................... 15
I. Was ist ein Virus? ............................................................................................................. 15
II. Wie funktioniert ein Computer-Virus?............................................................................ 15
1. Allgemeines zur Verbreitung ....................................................................................... 15
2. Aufbau und Struktur eines Computervirus................................................................... 16
III. Verschiedene Arten von Computerviren........................................................................ 17
IV. Virenähnliche Schadprogramme.................................................................................... 19
1. Würmer......................................................................................................................... 19
2. Trojanische Pferde (auch als „Trojaner“ bezeichnet)................................................... 20
V. Auswirkungen ................................................................................................................. 20
VI. Schutzmaßnahmen ......................................................................................................... 20
VII. Antivirensoftware ......................................................................................................... 22
1. Funktionsweise............................................................................................................. 22
2. Benutzung von Antivirenprogrammen......................................................................... 23
3. Was man bei der Auswahl des Virenscanners beachten sollte..................................... 23
4. Links............................................................................................................................. 24
a) Informationen über aktuelle Viren ........................................................................... 24
b) Zu den Herstellern von Antivirensoftware .............................................................. 24
H. Firewalls .............................................................................................................................. 24
I. Was ist eine Firewall......................................................................................................... 24
II. Funktionsweise einer Firewall......................................................................................... 25
1. Der Paketfilter: ............................................................................................................. 25
© Sebastian Brüggemann, Michael Rilling, 2006
II
2. Der Content Filter (Inhaltsfilter) .................................................................................. 26
3. Der Proxy ..................................................................................................................... 26
4. Stateful Inspection........................................................................................................ 26
III. Die Personal Desktop Firewall....................................................................................... 27
IV. Fazit................................................................................................................................ 27
V. Links................................................................................................................................ 27
I. Spy- und Malware................................................................................................................. 27
I. Verschiedene Arten von Malware .................................................................................... 28
1. Spyware........................................................................................................................ 28
a) Was versteht man unter dem Begriff „Spyware“? ................................................... 28
b) Bekannte Spyware ................................................................................................... 29
2. Folgen bzw. Schaden durch Spyware .......................................................................... 29
3. Vermeidung und Beseitigung von Spyware................................................................. 30
4. Links zu Herstellern von Anti-Spyware-Tools ............................................................ 31
J. Sicherheitsaspekte der Internetkommunikation.................................................................... 31
I. Allgemeine Verhaltensregeln im Umgang mit E-Mails ................................................... 31
II. SPAM .............................................................................................................................. 33
III. Vermeidung von SPAM ................................................................................................. 34
IV. Pretty Good Privacy (PGP) als Mailverschlüsselung .................................................... 36
V. Elektronische Signaturen................................................................................................. 36
1. Begriffsbestimmung ..................................................................................................... 36
2. Technische Verfahren .................................................................................................. 37
K. W-Lan.................................................................................................................................. 38
I. Begriffsbestimmung.......................................................................................................... 38
II. Die Standards................................................................................................................... 39
III. Die Betriebsarten............................................................................................................ 41
1. Infrastruktur Modus...................................................................................................... 41
2. Ad-Hoc Modus............................................................................................................. 41
3. Bridge Modus............................................................................................................... 41
IV. Die Verschlüsselungsverfahren...................................................................................... 41
V. Weitere Sicherheitsfeatures das W-LAN zu sichern ....................................................... 43
VI. W-LAN an der Uni ........................................................................................................ 45
III
A. Glossar
Bezeichnung
Access Point (AP)
Erklärung
Gegenstelle für W-LAN Karten, z.B. die
Intel Pro Wireless 2915ABG. Meist stellt der
AP die kabelgebundene Verbindung zum
Netzwerk her.
ActiveX
ActiveX ist eine Browser-Erweiterung von
Microsoft, die die Freigabe von Informationen zwischen Anwendungen erleichtert und
die Einbettung beliebiger Objekte (Video,
Sound,...) in fremden Dokumenten wie z.B.
Webseiten erlaubt.
Ad-hoc
Verbindungsart in W-LANs, bei der zwei
Clients eine direkte Verbindung zueinander
aufbauen.
Browser
Ein Browser ist ein Programm zum Betrachten von Websites. Die bekanntesten Browser
sind Opera, Firefox und der Internet Explorer
von Microsoft.
Brute-Force-Attacke
Vorgehensweise einen Code zu knacken indem ein Programm sämtliche Wörter, meist
aus dem Wörterbuch, einfach ausprobiert.
Centrino
Intels Komplettlösung im Bereich mobiles
Büro. Ein Centrino Notebook besteht heute
aus dem Chipsatz i915, dem Prozessor Pentium M und dem W-LAN Modul Intel Pro
Wireless 2915ABG. Nur wenn alle drei
IV
Komponenten in einem Notebook vorhanden
sind, darf es sich Centrino nennen.
Client
Fachbezeichnung für ein Notebook, daß sich
per W-LAN Karte an einem Access Point
anmeldet.
Firewall
Eine Firewall ist ein System aus Softwareund Hardwarekomponenten, das den Zugriff
zwischen verschiedenen Rechnernetzen beschränkt und reguliert
Hoax
Hoaxes (engl. Scherze) sind Falschmeldungen, die vor angeblichen Gefahren warnen.
HotSpot
Öffentlicher W-LAN ACCESS POINT, der
entweder frei nutzbar ist oder gegen Gebühr.
Man findet sie vor allem an Flughäfen,
Bahnhöfen etc.
HTML
HTML ist eine einfache Programmiersprache, mit der Webseiten und Homepages für
das World Wide Web erstellt werden.
HTTP(S)
HTTP (Hypertext Transfer Protocol) beschreibt das Verfahren, nach dem Webseiten
im Internet angefordert und zum Rechner des
Benutzers übertragen werden. [ (S) steht für
Sicherheit und bedeutet, daß eine verschlüsselte Verbindung benutzt wird.]
IEEE 802.11 (a-i)
Die Übertragungsstandards der Wireless
LAN Technologie.
V
Infrastruktur
Verbindungsart in W-LANs, bei der W-LAN
Clients keine direkte Verbindung zu einander
aufbauen, sondern über einen Access Point
miteinander kommunizieren.
IP-Adresse
Die Internet-Protokoll-Adresse (IP-Adresse)
ist die eindeutige Adresse eines Rechners im
Internet.
LAN
Abkürzung für Local Area Network, die kabelgebundene Variante des Netzwerks.
MAC (Filter)
Abkürzung für Media Access Control. Jede
Netzwerkkarte hat eine solche Nummer und
ist damit im Netzwerk eindeutig zu identifizieren. Durch den MAC Filter kann man gegebenenfalls den Zugang zu einem W-LAN
auf bestimmt Karten beschränken.
PGP
PGP (Pretty Good Privacy) ist ein weitverbreitetes Verschlüsselungsverfahren für EMail und andere elektronische Dokumente.
Pharming
Erweiterte Methode des Phishing über Manipulation der HOSTS-Datei.
Phishing
Vorgang, bei dem versucht wird, Internetbenutzer mit E-Mails von angeblich vertrauenswürdigen Absendern auf gefälschte Websites zu locken. Dort wird die Eingabe von
Kontodaten, Paßwörtern oder anderen sensiblen Daten verlangt, die dann in den Besitz
der Phisher gelangen.
VI
PSK
Abkürzung für Pre-Shared-Key. Authentifizierung von Benutzern an einem W-LAN.
Remote Admin / Fernsteuerung
Steuerung bzw. Veränderung von Einstellungen eines AP aus dem Internet.
Spam
Unerwünschte Werbepost per E-Mail.
Spyware
Software, die ohne Wissen des Benutzers auf
dessen Computer installiert wird, dort Daten
sammelt und diese unbemerkt via Internetverbindung an den Hersteller der Software
oder an Dritte versendet.
SSH
Abkürzung für Secure Shell. Dieses Programm oder Protokoll ermöglicht eine sichere, authentifizierte und verschlüsselte Verbindung zwischen zwei Rechnern über ein
unsicheres Netzwerk.
SSID / ESSID
Service Set Identifier / Extended Service Set
Identifier. Dies ist die Bezeichnung des WLAN Netzwerks. Unter diesem Namen wird
es im Suchfenster der W-LAN Karte angezeigt.
TCP/IP
Das "Transmission Control Protocol over
Internet Protocol" (Übertragungs-KontrollProtokoll über Internet-Protokoll) ist eine
Kombination von Netzwerkprotokollen, also
Vereinbarungen darüber, wie der Versand
von Daten vor sich gehen soll. TCP/IP ist
von zentraler Wichtigkeit für die Datenübertragung im Internet.
VII
TKIP
Das Temporal Key Integrity Protocol ist Teil
des IEEE 802.11 Standards zur Verschlüsselung der Daten in W-LANs.
Traffic
Heute üblicher Begriff für den Datentransfer
im Internet.
Trojaner
Trojaner sind Programme, mit deren Hilfe
ein Rechner für Unbefugte übers Internet
zugänglich wird.
URL
Der Uniform Ressource Locator (URL, "einheitlicher Ressourcenbezeichner") ist eine
genormte Adressierung für eine Webseite.
Virus
Ein Virus ist ein Codefragment (Teil eines
lauffähigen Programms), das sich an andere
Dateien anhängt oder andere Programme
benutzt, um sich zu vermehren und Schaden
anzurichten.
WAN
Abkürzung für Wide Area Network. WANs
werden benutzt, um verschiedene LANs,
aber auch einzelne Computer miteinander zu
verbinden, die z.B. nicht im selben Gebäude
stehen.
Website
Website ist der Überbegriff für alle zu einem
Internetauftritt gehörenden Dokumente, also
nicht nur Text, sondern auch Bilder, etc. Die
Einstiegsseite, die der Besucher zu Gesicht
bekommt, wird oft auch "Homepage" genannt - ein Begriff, der oft fälschlich für die
gesamte Internetpräsenz verwendet wird.
VIII
WEP (64-256 bit)
Abkürzung für Wired Equivalent Privacy.
Verschlüsselungsalgorithmus für drahtlose
Netzwerke, der mittlerweile überholt ist und
als unsicher gilt.
Wi-Fi (Allianz)
Organisation verschiedener Hersteller von
W-LAN Produkten, die es sich zur Aufgabe
gemacht hat, Produkte verschiedener Hersteller (Mitglieder) zu zertifizieren und somit
den Betrieb von verschiedenen Wireless Geräten zu gewährleisten.
W-LAN
Abkürzung für Wireless Loacl Area Network, also das Pendant zum LAN nur ohne
Kabel.
WPA
Verschlüsselungstechnik beim W-LAN. Dies
ist der heute vorherrschende und auch sichere
Standard.
WPA 2
Eine Erweiterung des WPA Standards um die
Verschlüsselung nach dem AES Algorithmus.
Wurm
Würmer verbreiten sich entweder manuell
durch Fehlverhalten des Benutzers, können
sich jedoch auch selbständig, z.B. über Sicherheitslücken des Betriebssystems oder
anderer Programme, verbreiten. In den meisten Fällen enthalten sie Schadroutinen.
IX
Internet- und Datensicherheit
B. Einleitung
„I think there is a market for maybe five computers!” (Thomas Watson, IBM 1943).
Diese Aussage scheint einem heute völlig absurd. In unserer hochtechnisierten Welt ist ein
Leben und Arbeiten ohne EDV oder Computer schlichtweg nicht mehr vorstellbar. So dient
der PC nicht mehr nur ausschließlich zur Textverarbeitung, sondern ersetzt zunehmend andere
Kommunikations- und Unterhaltungsmedien. Darüber hinaus werden eine Vielzahl von Geschäften des täglichen Lebens, wie z.B. Bankgeschäfte oder Einkäufe, online abgewickelt,
selbst in der öffentlichen Verwaltung werden die Abläufe zunehmend automatisiert und in
den Bereich der Internet-Kommunikation verlagert. Längst schon ist das Internet nicht mehr
nur ein reines Informationsmedium, sondern durchdringt nach und nach immer mehr Bereiche
und ersetzt somit die herkömmlichen Formen verschiedenster Geschäftsvorgänge. Im gleichen Maße wie der technische Fortschritt Einzug in unseren Alltag nahm und nimmt, wachsen
auch die Gefahren die damit einhergehen. Im Zuge der im weiter voranschreitenden globalen
Vernetzung ist ein völlig neues Problemfeld entstanden dem es Herr zu werden gilt.
In diesem Kurs möchten wir einen Überblick über die größten Sicherheitsrisiken geben, wie
man diesen begegnet und vor allem den User für die Problematik sensibilisieren.
Auf der einen Seite gilt es das System als solches in seiner Funktionsfähigkeit zu erhalten, auf
der anderen seine persönlichen Daten vor unberechtigtem Zugriff, Schaden oder gar Verlust
zu schützen.
Aufgrund der Weitläufigkeit des Themenkomplexes ist eine umfassende oder gar abschließende Darstellung leider nicht möglich. Im folgenden sollen jedoch die wesentlichen Aspekte
beider Schwerpunkte hinreichend beleuchtet werden, um dem User eine Anleitung zum
Selbstschutz an die Hand zu geben.
1
C. Paßwörter
I. Regeln zu Erstellung und Gebrauch von Paßwörtern
Ein Paßwort dient zum Schutz persönlicher und vertraulicher Daten sowie vor Beeinträchtigungen des Systems. Grundsätzlich ist kein Paßwort unüberwindbar. Es stellt sich jedoch die
Frage, wie begehrt sind meine Daten oder der Zugriff auf mein System und somit wieviel
Aufwand würde jemand betreiben, um selbige zu erlangen. Da unter Umständen auch mit
ausgespähten Paßwörtern (z.B. bei e-bay, oder diversen Internet-Händlern) ein reeller Schaden in Geld entstehen kann, lohnt sich ein wenig Vorsorge in diesem Bereich.
Die mit Abstand beliebtesten Paßwörter sind die Namen nahestehender Personen (mit ca.
8,8% laut einem Test der „PC Professional“ 1 ), danach folgen Filmcharaktere (wie z.B. Gandalf oder Darth Vader). Unnötig leicht macht man es dem Angreifer wenn das Kennwort anhand des Bezugs zum Login-Namen leicht zu erraten ist. Wer also Romeo als Login-Kennung
benutzt sollte nicht gerade Julia als Paßwort verwenden. Ein Kardinalfehler (29,4%) besteht
darin, ein Paßwort für mehrere Zwecke einzusetzen, was zwar bequem, aber im Falle der Aufdeckung um so dramatischer ist, hat der Angreifer in diesem Fall doch gleich einen „Generalschlüssel“ zur Hand.
Ein richtig gewähltes Paßwort stellt für den Benutzer selbst wenig Arbeit dar, bietet hingegen
einen soliden Schutz. Zur sinnvollen Wahl von Paßwörtern sollten folgende Regeln beachtet
werden:
1. Paßwörter sollten mindestens 8 Zeichen, besser noch mehr haben.
2. Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen nutzen,
deutsche Umlaute meiden (es bietet sich hier an z.B. Buchstaben durch Ziffern ähnlichen Aussehens zu ersetzen („3“ statt „E“ oder „6“ statt „b“)).
3. Konkrete Wortbezüge auf das persönliche Umfeld vermeiden (z.B. Namen, Städte,
Geburtsdaten oder auch Fremdwörter aus dem eigenen Fachbereich).
4. Sonderzeichen nicht einfach nur anhängen sondern in das Paßwort integrieren (z.B.
„Katz&Maus“).
5. Keine Wörter verwenden die im Duden oder anderen (Fremdsprachen-) Lexika stehen,
da selbst die ältesten Crack-Programme auf solche Routinen als Suchbasis zurückgreifen.
1
Bei diesem Test wurden exemplarisch1122 eines registrierungspflichtigen Internetportals zum Thema e-bay.
Dabei entsprachen nur etwa 5,1% der Paßwörter den gängigen Sicherheitsanforderungen.
2
6. Paßwörter sollten auf keinen Fall digital gespeichert werden (Das gilt vor allem für
solche, die für Webseiten gebraucht und im Browser abgelegt werden können! Wenn
möglich sind sie so zu wählen, daß man sie im Kopf hat. Für den Fall das man sie
doch schriftlich fixiert, sollte man eine solche Liste nicht in der Nähe des PCs (bzw.
des Arbeitsplatzes) aufbewahren, sondern an einem sicheren Ort).
7. Nicht für alle „Logins“ (oder Dateien) das gleiche Paßwort verwenden. Hier sollte
nach der Wichtigkeit des entsprechenden Schutzgutes (z.B. Chat-Zugang, WindowsLogin, vertrauliche Daten) abgestuft werden.
8. Paßwort niemals an andere Personen weitergeben.
Tip: Um ein sicheres Paßwort zu erhalten und vor allem auch zu behalten kann man sich z.B.
einfach einen Spruch ausdenken, der möglichst auch Zahlen sowie Satzzeichen enthält und
von diesem die Anfangsbuchstaben, Zahlen und Sonderzeichen als Paßwort benutzen.
D. Phishing
I. Der Begriff „Phishing“
Die gewählte Bezeichnung leitet sich von dem damit umrissenen Problem des Identitätsdiebstahls ab. Der Vorgang wird umgangssprachlich auch als „Fischen“ nach „Paßwörtern“ umschrieben. Der Begriff des Phishing ist somit nichts anderes als ein Neologismus, zusammengesetzt aus Fischen (engl. fishing) und Paßwort, wobei das „f“ aus sprachlichen Gründen zu
„h“ (somit Ph) wird.
II. Phishing und seine wirtschaftlichen Folgen
Der Begriff Phishing beschreibt eine Form des Trickbetrugs, bei dem ahnungslosen InternetBenutzern Zugangsdaten, Paßwörter und ähnliche, vertrauliche Daten entlockt werden sollen.
Besonders beliebte Ziele dieser Attacken sind jegliche Form des Geldtransfers übers Internet,
seien es nun das Online-Banking, Versand- oder Internetauktionshäuser, aber auch Kontaktportale o.ä. Dabei wird die Zahl solcher Attacken mit dem anhaltenden Boom 2 des elektronischen Geschäftsverkehrs weiterhin rasant ansteigen. Führt man sich vor Augen, daß der Inter-
2
Das Handelsvolumen im Internet für Deutschland betrug im Jahr 2004 rund 300 Mrd. Euro; FAZ v. 13. 8.
2005, S. 9.
3
netanteil am Versandhandel im Jahr 2004 bereits 25% betrug 3 und mittlerweile über 30 Millionen Bankkonten online geführt werden 4 , so läßt sich das mögliche Schadenspotential hier
nur erahnen. Das LKA Baden-Württemberg zählte im vergangenen Jahr 200 Fälle mit einem
Gesamtschaden von rund einer Millionen Euro. In Berlin wurden hingegen bis Ende August
rund 120 Fälle zur Anzeige gebracht; höchster registrierter Einzelschaden: 29.000 Euro. Angesichts dieser Zahlen verwundert es wohl weniger, daß sich dieses Thema zunehmender medialer Präsenz erfreut. Indes scheint die Aufklärung meist eher dürftig, angesichts der Schadensfälle, als auch der vielfältigen technischen Methoden, derer sich die Kriminellen bedienen.
III. Gängige Methoden des Phishings
Vorgestellt werden hier einige gängige Methoden des Phishings. Aufgrund ständiger Variationen und Weiterentwicklungen auf diesem Gebiet erhebt die folgende Darstellung keinen
Anspruch auf Vollständigkeit. Bei den unterschiedlichen Phishing-Methoden und deren Verschleierung gibt es allerdings qualitative Unterschiede.
1. Phishing-Attacke per E-Mail
Im Regelfall erfolgt eine Phishing-Attacke per E-Mail. Diese kann sowohl gezielt personenbezogen sein, im Regelfall erfolgt sie jedoch per Massenversand. Im Text der E-Mail wird der
Empfänger aufgefordert eine Website zu besuchen, wo er dann zur Eingabe seiner Zugangsdaten angehalten wird. Diese Daten, sofern die Eingabe erfolgt, landen jedoch nicht beim offensichtlich vorgespiegelten Betreiber der Seite (z.B. eine Bank) sondern beim Urheber der
Phishing-Mail. Deren Absender ist regelmäßig gefälscht.
Im Text der E-Mail wird dem Adressaten regelmäßig versucht glaubhaft zu machen, die
Nachricht stamme von einem bestimmten Absender (z.B. einer Bank, E-bay, etc.). Inhaltlich
wird angegeben, aus einem wichtigen Grund müsse der Kunde sich auf der Website des Unternehmens mit seinen Daten verifizieren. Die E-Mail stellt zu diesem Zweck einen Link bereit, welche den Anwender jedoch nicht zur Website des entsprechenden Unternehmens, sondern zu einer eigenen, der Unternehmenssite nachgebildeten, Website führt. Diese falschen
Seiten sind dem original meist täuschend echt nachempfunden, so daß eine optische Erkennung unmöglich wird. Die hier eingegebenen Daten landen nicht beim eigentlichen Unter3
Pressemeldung des Bundesverbands des deutschen Versandhandels e.V. v. 31. 1. 2005, abrufbar unter
www.versandhandel.org.
4
Schon Ende 2002 wurden nach Angaben des Bundesverbands deutscher Banken knapp 30 Mio. Online-Konten
geführt; s. unter www.bankenverband.de. Nach Angaben der Forschungsgruppe Wahlen haben 63% der deutschen Erwachsenen Zugang zum Internet, von denen 51% Online-Banking nutzen; s. unter
www.forschungsgruppe.de.
4
nehmen sondern dem Urheber der Phishing-Attacke. Im Anschluß an die Eingabe wird der
Kunde zur Zerstreuung evtl. vorhandenen Mißtrauens auf die echte Seite des Unternehmens
weitergeleitet, oder es wird eine Fehlermeldung erzeugt.
Eine mögliche Variante ist es, statt eines Links, mittels einer E-Mail im HTML-Format direkt
ein Formular einzubinden, in das die persönlichen Daten eingetragen werden können. Diese
werden dann anschließend an den Urheber übermittelt.
Zur Verschleierung des Betrugs werden häufig die Links in der E-Mail manipuliert. So zeigt
der Linktext zwar die Originaladresse an, während das eigentliche und oberflächlich nicht
sichtbare Ziel ein völlig anderes ist (HTML-Format). Eine andere Methode ist die Darstellung
des Links als Grafik. Auf dem Bildschirm des Anwenders erscheint somit ein Text, dieser hat
jedoch mit dem eigentlichen Link nicht im geringsten etwas zu tun. Die Websites auf die
verwiesen wird, haben in der Regel gefälschte Namen, wobei die Adreßzeile des WebBrowsers meist Ähnlichkeiten zum Original aufweist (zu beachten: Banken verwenden in der
Regel eine sog. „sichere Internetverbindung“ die im Browser durch den Zusatz „s“ (für Security) als https:// gekennzeichnet ist (normale Seiten http://). Positioniert man die Maus über
dem Link läßt sich meist anhand der Statuszeile des Browsers oder des E-Mail-Clients erkennen, daß der eigentliche Link zu einer gänzlich anderen Website führt. Allerdings bieten diese
Angaben nur augenscheinlich Sicherheit, da auch sie ohne großen Aufwand manipuliert werden können.
Zunehmend erfreuen sich die Verwendung von Umlauten (ä statt ae) oder kyrillischen Buchstaben großer Beliebtheit. Gerade letztere Methode ist auf Grund der Ähnlichkeit des Schriftbildes mancher Buchstaben äußerst schwer zu erkennen.
2. Andere Arten von Phishing-Attacken
Ein weiterhin stetig zunehmender Anteil an Phishing-Attacken geht auf die Verwendung von
Spionageprogrammen zurück, die Tastatureingaben mitlesen und die ermittelten Daten übers
Internet versenden. Diese Programme sind im Gegensatz zu den allgemein bekannten Keyloggern darauf spezialisiert Pins und Tans abzufangen. Diese Programme begnügen sich nicht
nur damit die Codes zu er- und zu übermitteln. Solche Programme unterbrechen nach der
Eingabe der Zugangsdaten die Verbindung zum Server der Bank und blockieren diese fortweg, während sie in der Zwischenzeit die Daten übermitteln, die dann vom kriminellen Autor
genutzt werden können. Solche Programme werden auch als Abbruch- und Phishing- Trojaner
bezeichnet (erstes Bsp. Bizex, der im Febr. 2004 das erste Mal auftauchte). Die Anzahl dieser
5
Schädlinge steigt weiterhin rapide. Die Anti-Phishing-Working-Group 5 hat zwischen April
und Juli eine Zunahme solcher Programme von 77 auf 174 festgestellt. Sie verbreiten sich in
der Regel über E-Mail-Anhänge oder Schwachstellen im Browser. Die bekannten Trojaner
dieser Art sind bisher nur für das Betriebssystem Windows programmiert.
3. Pharming
Beim Pharming handelt es sich um eine weiterentwickelte Methode des klassischen Phishing.
Hierbei werden die Hostdateien des Browsers derart manipuliert, daß der Webbrowser jegliche Aufrufe bestimmter Homepages, seien sie nun manuell eingegeben, oder der FavoritenListe entnommen, auf gefälschte Internetseiten umleitet. Um diese Manipulation durchführen
zu können bedarf es der Zuhilfenahme eines weiteren Programms der Kategorie Malware,
beispielsweise eines Trojaners oder eines Virus. Dieser manipuliert oder ersetzt die sog.
HOSTS-Datei des Betriebssystems. Selbige dient der Umwandlung des numerischen URLCodes (Internetadresse) in eine IP-Adresse. Diese Zuordnung wird, entweder für bereits gelistete Internetadressen anhand der in der HOSTS-Datei enthaltenen Liste, oder durch einen
Datenabgleich mit einem DNS-Server vorgenommen. Letztere Abfrage erfolgt jedoch nur in
dem Fall, das die betreffende URL noch nicht gelistet ist. Demzufolge genügt es einen ergänzenden Eintrag in diese Liste vorzunehmen, um eine URL mit einer neuen IP-Adresse und
somit einer gefälschten Website zu verknüpfen. Der Benutzer hingegen merkt von dieser
Vorgehensweise nichts, da der Webbrowser weiterhin die betreffende URL in der Adreßzeile
listet. Theoretisch wären solche Angriffe auch direkt gegen DNS-Server möglich, so daß hier
dem Benutzer letztendlich von vornherein falsche Informationen zur Verfügung gestellt werden.
IV. Welche Schutzmöglichkeiten gibt es gegen Phishing-Attacken?
1. Schutzlösungen der Banken
Von Seiten der Banken werden unterschiedliche Lösungen zum allgemeinen Problem angeboten. Als erstes ist hier die Beschränkung des Transaktionsvolumens zu nennen, wobei dies
lediglich zur Schadensbegrenzung und hier auch nur in geringem Maße geeignet ist. Im Falle
einer gewählten Selbstbeschränkung des Transaktionsvolumens ist es durch die Abfrage mehrer Tans den Betrügern immer noch möglich, diese Einschränkung heraufzusetzen. Eine andere Methode ist das sog. iTAN-Verfahren (indizierte Tan). Hierbei wird bei der Transaktion
eine bestimmte Nr. aus der Liste gefordert. Der Server fragt also explizit bei der Überweisung
5
http://www.antiphishing.org/.
6
z.B. nach der 23ten Tan aus der Liste. Eine erbeutete Tan würde somit nur noch in seltenen
Fällen zu einer erfolgreichen Überweisung führen. Hingegen genügt es das oben beschriebene
Verfahren beim Einsatz von Abbruch-Trojanern in Echtzeit ablaufen zu lassen um den
Schutzmechanismus dieses Verfahrens auszuhebeln. Eine weitere Methode stellt die Übermittlung der TAN speziell zum gewünschten Transfer via SMS dar. Hierin sind Zielkonto und
Betrag enthalten, weshalb die oben aufgeführte Phishing-Methode mittels Trojaner nicht
greift. Einzig der Verlust des Handys bietet hier eine Angriffsmöglichkeit, da sich in diesem
Fall mit der dazugehörigen Pin jegliche Überweisung vornehmen ließe. Dieses Verfahren
bezeichnet man je nach Bank als SMS-TAN oder mTAN. Eine besonders ausgefeiltes Verfahren ist wohl das e-P@D-Pin-Verfahren der Dresdner Bank. Hierbei klickt der Kunde Zahlen
per Maus an, anstatt sie einzutippen. Keyloggern wird es somit unmöglich die Pin und Tan
Ziffern mitzulesen. Allerdings gibt es auch für dieses Verfahren bereits einen passenden Trojaner, der Screenshots des Desktops und somit der angeklickten Zahlen anfertigt und übermittelt.
2. Lösungen für den Selbstschutz
Grundsätzlich ist, wie bei allen bereits angesprochenen Problemen, ein gesundes Maß an Mißtrauen seitens des Benutzers, gegenüber auf Auskunft über persönliche Daten gerichteter Anfragen, das wirksamste Mittel zum Selbstschutz.
Ansonsten gilt:
Banken und Versicherungen versenden keine wichtigen Schreiben per E-Mail! Schon gar
nicht werden auf diesem Wege persönliche Zugangsdaten (PIN/TANs) erfragt! Solche
Nachfragen erfolgen auch nicht telefonisch!
Wichtige Nachrichten werden von Finanzdienstleistern generell per Post zugestellt, oder es
wird um ein klärendes Gespräch vor Ort gebeten.
Bei Zweifeln besteht immer noch die Möglichkeit, sich durch Rückfragen von der Ordnungsmäßigkeit des Schreibens zu vergewissern. Solche Rückfragen beim entsprechenden Institut
sind in der Regel vor allem auch für den betroffenen Dienstleister von Interesse, da diese
meist nicht wissen, daß ihre Kunden Ziel einer Phishing-Attacke geworden sind.
[Auf Grund der zunehmenden Flut der Phishing-Mails ist zu diesem zeitraubenden Vorgehen
jedoch nur bei berechtigten Zweifeln (das Dokument könne echt sein) zu raten.]
Niemals Websites sicherheitsrelevanter Dienste über einen Link aus einer unaufgefordert
zugesandten E-Mail aufrufen.
7
Bei manueller Eingabe der URL bzw. Verwendung im Browser gespeicherter Favoriten bestehen deutlich weniger Risiken.
Darüber hinaus lassen sich die meisten Phishing-Mails anhand einfacher Merkmale als solche
entlarven.
Merkmale einer typischen Phishing-Mail:
•
Verwendung von Schlagwörtern wie z.B. Sicherheitsüberprüfung, Verifikation, Freischaltung
•
Vorspiegelung besonderer Dringlichkeit
•
ein bereitgestellter Link
•
Fehlen einer persönlichen Anrede (folglich allgemeine Anreden wie „Sehr geehrter
Kunde“)
•
Rechtschreib- und Grammatikfehler im Textkorpus
•
unsaubere bzw. holprige Formulierungen
Für den Fall, daß es bereits zu spät, man also bereits Opfer einer Phishing-Attacke geworden
ist, hilft ausschließlich die unverzügliche Benachrichtigung des betreffenden Unternehmens
sowie falls noch möglich die sofortige Sperrung der Kontozugangsdaten. Ein solcher Vorfall
sollte in jedem Fall bei der örtlichen Polizei zur Anzeige gebracht werden, wobei die E-Mail
als Beweis sichergestellt werden sollte.
V. Alternative Möglichkeiten des Online-Banking
Eine Alternative zum unsicheren Pin/Tan- stellt das sog. HBCI-Verfahren (Homebanking
Computer Interface) dar. Hierbei erfolgt die Freischaltung der Transaktion mittels eines digitalen Schlüssels. Dieser ist auf einer Chipkarte gespeichert und wird wiederum per Eingabe
einer Pin freigeschaltet. Diese Eingabe erfolgt im Idealfall jedoch auf einem separaten Kartenlesegerät. Das mitlesen der Pin mittels Computerprogrammen ist somit nicht möglich. Einzig
die Anschaffungskosten für ein solches Kartenlesegerät, sowie die fehlende Mobilität schränken die Attraktivität dieser Lösung erheblich ein.
VI. Anmerkungen
Die Methoden der Phisher sind nicht nur technisch sehr ausgefeilt, sondern darüber hinaus
verfügen Sie auch im „richtigen Leben“ über organisierte Strukturen, über die die Geldgeschäfte letztendlich abgewickelt werden. In der Regel werden zu diesem Zweck über WerbeE-Mails ahnungslose Dritte gewonnen, die dann gegen ein Entgelt Transaktionen vornehmen.
Fällt der Geldverlust dem Opfer auf, sind meist diese „Strohmänner“ die Geschädigten, da das
8
Phishing-Opfer die Transaktion rückgängig, bzw. gerichtlich Ansprüche geltend machen
kann, wohingegen der „Strohmann“ selbst nicht mehr an das ins Ausland transferierte Geld
gelangt. Er ist es, der letztendlich auf dem Schaden sitzen und sich darüber hinaus noch strafbar gemacht hat. Sowohl die strafrechtliche Einordnung des eigentlichen Vorgangs als auch
diese Begleitumstände machen das Phishing aus juristischer Sicht interessant.
E. Rund ums Betriebssystem
Keine Software ist von vorne herein perfekt und fehlerfrei. Manche Softwarehersteller bekommen das besser hin, mache weniger. Vor allem bei so einem komplexen „Programm“, wie
einem Betriebssystem, schleichen sich in die tausende Zeilen Code immer wieder Fehler ein.
Allerdings spielt auch die Verbreitung eine Rolle. Je mehr Leute das System nutzen, um so
attraktiver wird es für potentielle Angreifer.
In diesem Skriptteil werden Sie alle wesentlichen Sicherheitsmechanismen von WindowsXP
kennen lernen und wie sie das Betriebssystem auf dem neuesten Stand halten, denn bei einem
unsicheren Windows ist es völlig sinnlos sich Sicherheitsfeatures wie Firewall oder ähnlichem
zu widmen, wenn das Betriebssystem an sich schon gravierende Lücken aufweist. Weiterhin
werden wir auf systemnahe Produkte von Microsoft eingehen, denn diese sind so tief im System verwurzelt, daß auch durch sie potentielle Angriffe möglich sind.
I. Das Windows Update
Seit geraumer Zeit hat Microsoft an jedem zweiten Dienstag im Monat den so genannten
Patchday eingeführt. An diesem Tag werden die bis dato bekannten und aufgetretenen Sicherheitslöcher gestopft indem entsprechende Sicherheitspatches über den Microsoft Updateserver
angeboten werden. Diese Aktualisierung kann automatisch durchgeführt werden oder vom
User manuell über die Windows-Update-Website.
Generell teilt Microsoft die Updates in drei verschiedene Kategorien ein:
•
Wichtig: Dies sind die systemkritischen Updates und Sicherheitslücken. Nur diese Kategorie wird vom automatischen Updatedienst heruntergeladen.
•
Software, optional: Dies sind zusätzliche Features oder Erweiterungen, die angeboten
werden. Hierunter fällt zum Beispiel das Microsoft Framework.
•
Hardware, optional: In dieser Kategorie bietet Microsoft zusätzliche oder neuere Treiber
für die im System installierte Hardware an.
9
Verschiedene Kategorien von Updates.
Unerfahrene User oder Leute, die sich nicht dauernd darum kümmern wollen, sei das automatische Update wärmstens ans Herz gelegt. Vorausgesetzt man ist online, überprüft das Betriebssystem regelmäßig, ob es neue Updates auf dem Microsoftserver gibt und lädt diese, je
nach Einstellung, automatisch herunter und installiert sie. Die automatische Funktion bietet
vier Einstellungsmöglichkeiten:
•
Automatisch: In diesem Modus muß der User keinerlei Eingriffe vornehmen und die Updates werden heruntergeladen und installiert.
•
Nur Herunterladen aber Installationszeitpunkt manuell wählen: Hier werden die Updates
geholt aber vor der Installation wird nachgefragt.
•
Benachrichtigung: In diesem Modus überprüft das Programm lediglich auf Updates und
informiert darüber, falls welche für das Betriebssystem vorliegen.
•
Deaktivierung: Keine Überprüfung auf und kein Herunterladen von Updates.
Jedoch lädt das automatische Update im Gegensatz zur manuellen Variante nur die wichtigen
Updates herunter, denn nur diese sind für die Systemsicherheit als kritisch einzustufen.
Weiterhin gibt es die Möglichkeit das Update manuell über Microsofts Website vorzunehmen.
Hierzu ruft man im Internet Explorer unter dem Punkt Extras das Windows Update auf und
wird auf die korrekte Website geführt.
Generell gibt es zum momentanen Zeitpunkt zwei Windows Update Sites und zwar das Windows Update und das Microsoft Update. Wie der Name schon sagt bezieht sich das erste lediglich auf das Betriebssystem, aber wie eingangs schon erwähnt weisen auch andere Programme Sicherheitslücken auf. Aus diesem Grund hat Microsoft vor nicht allzu langer Zeit
auf das Microsoft Update umgestellt. Dieses beinhaltet jetzt ebenfalls Patches für die anderen
10
Produkte der Firma, wie Office oder den Media-Player. Standardmäßig ist das Windows Update aktiv, aber über die Website kann man dies auf das Microsoft Update umstellen. Dieses
Skript geht im Folgenden von der Verwendung des Microsoft Updates aus.
Besucht man mit dem Internet Explorer, ein alternativer Browser wird hier übrigens nicht
funktionieren, die Microsoft Update Site so erscheint zunächst ein Auswahlmenü, Schnellsuche und Benutzerdefinierte Suche. Die Schnellsuche überprüft nur auf wichtige, also systemkritische Updates, während die Benutzerdefinierte Suche auch Erweiterungen für das Betriebssystem mit einschließt. Welchen Punkt man demnach wählt bleibt einem selbst überlassen, aber wenn man gerne wissen möchte, für welche Microsoftprodukte auf seinem System
Updates bereitliegen, dann ist die Benutzerdefinierte Suche zu empfehlen.
Schnellsuche / Benutzerdefinierte Suche
II. Windowseigene Sicherheitsfunktionen im Rahmen des Service Pack 2
Das Service Pack 2 war und ist das größte und umfangreichste Update, was Microsoft je für
ein Betriebssystem veröffentlicht hat. Es wurden Funktionen kostenlos integriert, die sonst
hätten bezahlt werden müssen. Jedoch fiel das Service Pack 2 in den Zeitraum, indem Windows XP sich sehr starken Angriffen ausgesetzt sah und die Diskussion um die Sicherheit von
Windows besonders heftig geführt wurde.
Mit dem Service Pack 2 wurde Windows XP gründlich runderneuert und an vielen Stellen
erweitert und verbessert. Für den Benutzer am offensichtlichsten war zweifellos die Einführung des Sicherheitscenters und die überarbeitete Firewall, die nun standardmäßig Zugriffe
von Außen blockiert. Durch das Sicherheitscenter schuf Microsoft eine zentrale Anlaufstelle
für Sicherheitsfragen im Betriebssystem. Es vereint die Windows Updates, die Windows Firewall und die Signaturüberprüfung des installierten Virenscanners unter einer Oberfläche
und zeigt deren Status an, zum Beispiel ob das Betriebssystem auf dem neuesten Stand ist
oder der Virenscanner die Signaturen aktualisiert hat. Ebenso sind verschiedene Warnfunktio-
11
nen integriert die das Fehlen oder das nicht auf dem neuesten Stand sein einer Komponente
melden.
Leider liefert Microsoft immer noch keinen kostenlosen Virenscanner mit, sodaß man hier auf
die Produkte dritter Anbieter ausweichen muß. Allerdings wird der Konzern in nicht allzu
ferner Zukunft ein Windows Sicherheitspaket unter dem Namen OneCare anbieten, was aber
leider nicht kostenlos sein wird.
III. Weitere Microsoft-Produkte und deren Relevanz für die Systemsicherheit
Wie oben schon erwähnt sollten auch die anderen installierten Microsoftprodukte immer auf
dem neuesten Stand sein, was mit der Einführung von Microsoft Update kein Problem mehr
darstellt. Dies liegt vor allem daran, daß Programme wie der Windows Media-Player, oder die
Office Suite oder sei es auch nur der Microsoft Messenger tief im System verankert und somit
sicherheitsrelevant sind. Es ist deshalb sehr empfehlenswert auch diese Programme immer auf
dem neuesten Stand zu halten, um die Systemsicherheit nicht zu kompromittieren.
IV. Fazit
Wer die oben genannten Vorschläge beherzigt hat für sein Betriebssystem eine gewisse
Grundsicherheit erreicht auf der man aufbauen kann. Es sei noch erwähnt, daß die Aktualisierung jeglicher Software, also auch nicht Microsoft Software, auf dem Rechner grundsätzlich
immer empfehlenswert ist, denn auch einfache Programme wie zum Beispiel der AcrobatReader haben Sicherheitslücken und sollten auf dem neuesten Stand gehalten werden.
Falls man nicht über eine schnelle DSL Leitung daheim verfügt gibt es auch die Möglichkeit
sich die Updates für Windows als Komplettpaket zum Beispiel bei www.winhelpline.info in
der Uni herunterzuladen und diese Datei dann daheim am PC zu installieren.
F. Datensicherheit
I. Allgemeines zur Funktionsweise von Festplatten
Festplatten bestehen im einzelnen aus mehreren Magnetscheiben mit dazugehörigen Leseköpfen. Diese Magnetscheiben drehen sich im Betrieb, so daß die Lese/Schreib-Köpfe, ohne diese
zu berühren, Daten auf der Scheibe ablegen oder abrufen können. Im Unterschied zu Disketten ist es zwingend notwendig um Beschädigungen und Datenverlust zu vermeiden, daß die
Lese/Schreib-Köpfe die Magnetscheiben nicht berühren, da es sonst zu Kratzern oder ähnli© Sebastian Brüggemann, Michael Rilling, 2006
12
chen Oberflächenschäden kommt. Folglich kann es durch physische Schäden oder starke magnetische Einflüsse zu Datenverlust kommen. Darüber hinaus muß ein solcher natürlich nicht
zwingend auf physikalische Einwirkungen zurückzuführen sein, sondern kann genausogut
versehentlich durch den Anwender oder durch einen Fehler im Betriebssystem erfolgen.
II. Zur Funktionsweise des Papierkorbs
Speziell bei Windows gibt es, als Zwischenstufe zum endgültigen Löschen, den Papierkorb.
Per Hand gelöschte Dateien und Ordner werden vorläufig erstmal hierhin verschoben, um
dem Anwender die einfache Möglichkeit zu eröffnen, im Falle einer Fehlentscheidung, die
gelöschte Datei wieder herzustellen. Bestätigt man hingegen den Löschvorgang im Papierkorb, so ist die Datei für den Anwender erstmal nicht mehr zugänglich. Wer nun davon ausgeht die Datei sei endgültig beseitigt irrt allerdings, denn die Windowsfunktion des Papierkorbs löscht die Datei mitnichten. Sie befindet sich immer noch auf der Festplatte und zwar
an derselben, bzw. denselben Stellen, an denen die einzelnen Daten-Cluster bisher auch lagen.
Die Ursache dafür liegt sowohl in der Funktion des Papierkorbs an sich, als auch allgemein an
der zur Datenspeicherung verwendeten Magnettechnik. Daten sind nämlich grundsätzlich
nicht gelöscht, im Sinne von nicht widerherstellbar, so lange sie nicht siebenmal mit neuen
Daten überschrieben wurden. Zwar erhöht sich mit jedem Überschreibvorgang der Aufwand
der zur Widerherstellung betrieben werden muß, es bleibt jedoch prinzipiell möglich. Hingegen versucht die Löschfunktion von Windows nicht im geringsten überhaupt Daten zu überschreiben und somit wirklich unkenntlich zu machen. Diese Löschfunktion arbeitet vielmehr
nach einem gänzlich anderen Prinzip. Zur Datenverwaltung in Windows ist jedes Programm
und jede Datei in einem Inhaltsverzeichnis gelistet. Da Programme und Dateien in Wirklichkeit auf der Festplatte nicht zusammenhängend an einem Ort abgelegt sondern an vielen verschiedenen Stellen der Magnetscheibe gespeichert werden, ist dieses Verzeichnis für das
Funktionieren der einzelnen Anwendungen unabdingbar. Das Inhaltsverzeichnis enthält somit
für jedes Programm bzw. jede Datei eine Auflistung der einzelnen Standorte, an denen einzelne Teile abgelegt wurden, so daß beim Aufruf des Programms dessen einzelne Elemente verwendet werden können. Diesen Eintrag im Inhaltsverzeichnis löscht die Windowsfunktion des
Papierkorbs. Die eigentliche Datei, oder deren einzelne Teile, bleiben dabei unangetastet. Sie
ist lediglich unter der normalen Windowsoberfläche nicht mehr auffindbar. In ähnlicher Weise arbeitet auch der Befehl „format c:\“ mit dem unter DOS der Inhalt der Festplatte vermeintlich gelöscht wird. Das dies ein weit verbreiteter Irrtum ist zeigen wohl die vielen Fernsehberichterstattungen bei denen Testkäufer gebrauchte Festplatten über e-bay erwerben, um im
13
Anschluß die Daten wiederherzustellen und den so ermittelten Besitzer mit seiner Unkenntnis
zu konfrontieren. Ähnliche Vorfälle hat es bedauerlicherweise aber auch schon im Zusammenhang mit Zollversteigerungen 6 oder ausgesonderten Festplatten aus Polizeicomputern 7
gegeben.
III. Daten richtig löschen
Aus dem oben gesagten geht hervor, daß für das „richtige“ Löschen von Daten mehr erforderlich ist, als das bloße Verschieben in und das entfernen aus dem Papierkorb bzw. das Formatieren oder Partitionieren einer Festplatte. Damit Daten vollständig gelöscht werden ist es
notwendig sie siebenmal mit neuen Datensätzen zu überschreiben. Hierfür gibt es einige kostenlose, wie auch kostenpflichtige Tools, die Festplatten oder auch einzelne Datensegmente
(je nach Umfang des Programms) unwiederbringlich löschen. Diese Tools überschreiben die
Festplatte oder die einzelnen Dateien siebenmal mit zufällig generierten Zahlenkombinationen. Das Wiederherstellen der Daten einer solcherart behandelten Festplatte ist auch im professionellen Bereich nicht möglich.
IV. Datensicherung
Abgesehen von speziellen Programmen bietet Windows XP (und teilweise auch ältere Windowsversionen) ein im Betriebssystem integriertes Backuptool an. Unterschieden wird zw.
inkrementeller, differentieller und Volldatensicherung. Bei der Volldatensicherung werden
jedes Mal alle bezeichneten Daten gesichert. Die inkrementelle Datensicherung hingegen baut
auf der Vollsicherung auf, indem im ersten Durchlauf alle Daten gesichert, bei weiteren
Backups dann jedoch nur jeweils die Dateien gespeichert, die sich zw. den Speichervorgängen
geändert haben. Die differentielle Datensicherung funktioniert im Grunde genommen ähnlich
wie die inkrementelle. Einziger Unterschied ist, daß bei der Wiederherstellung der Daten im
Falle der inkrementellen Datensicherung alle Backupdateien einzeln nacheinander eingespielt
werden müssen, wohingegen bei der differentiellen der Aufruf des Vollbackups, sowie der
zuletzt angefertigten Datensicherung genügt, um die Daten vollständig auf dem aktuellen
Stand wiederherzustellen. Eine ausführliche und bebilderte Anleitung zum Backup unter
Windows (sowie Linux) finden Sie unter:
http://www.bsi-fuer-buerger.de/daten/03_08.htm [Stand: 14.01.2006]
6
Artikel, Heise Online, Zollamt versteigerte PC mit Kinderpornos und Nazi-Musik, 21.08.2005;
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/63031&words=Auktion%20Festplatten.
7
Artikel, Heise Online, Mitarbeiter versteigerte 7 Festplatten mit Polizeidaten, 07.04.2005,
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/58353&words=Polizei%20Festplatte.
14
V. Verlorene oder beschädigte Daten wiederherstellen
Im Prinzip ist es möglich verlorengegangene Daten oder beschädigte Dateien zu reparieren,
oder wiederherzustellen, sofern sie nicht, mit oben genannter Methode, bereits völlig gelöscht
wurden. Hierzu ist jedoch der Einsatz von zusätzlichen Programmen notwendig (in einfachen
Fällen kann es auch genügen, die Festplatte mittels Scandisk auf Fehler zu überprüfen). Darüber hinaus gibt es für den Fall der physischen Beschädigung von Festplatten durch z.B. Feuer o. ä. auch die Möglichkeit sog. Datenlabore mit der Wiederherstellung zu beauftragen. Da
die Anschaffung solcher Programme meist kostspielig ist, geschweige denn von der Rechnung eines solchen Unternehmens, sollte man sich hier vorher überlegen, ob sich der Aufwand gemessen an dem Wert der Datensätze überhaupt lohnt.
G. Computerviren und Virenschutz
I. Was ist ein Virus?
Unter einem „Virus“ versteht man in der Biologie genetische Elemente, die eine andere Zelle
benötigen, um sich zu vermehren. Eine okkupierte Zelle wird so umgestaltet, daß sie selbst
beginnt Viren zu produzieren. Eine solcherart befallene Zelle bezeichnet man als „Wirt“. Dieser Vorgang wiederholt sich weiterhin. Ein Computervirus funktioniert auf genau die gleiche
Art und Weise. Man ersetzt den Begriff der Zelle durch ein Programm, oder vielmehr dessen
Code und schon ist man auf einer technischen Ebene. Ein Computervirus ist folglich nichts
anderes, als ein geschriebenes Programm, mit denen der Biologie entlehnten Eigenschaften
des Infizierens und der Reproduktion. Genauer gesagt handelt es sich bei einem Computervirus um eine nichtselbständige Programmroutine, die sich selbst reproduziert, für diesen Vorgang jedoch auf andere Programme des Systems, also „Wirte“ angewiesen ist. Nach dem Starten des Virus werden diese dann, in einem vom Anwender nicht kontrollierbaren Vorgang,
manipuliert und verändert. Wie beim biologischen Vorbild geschieht die Reproduktion exponentiell.
II. Wie funktioniert ein Computer-Virus?
1. Allgemeines zur Verbreitung
Ein Computervirus benötigt, um sich zu verbreiten, ein Trägermedium. Die kann entweder
eine Netzwerkverbindung (z.B. auch Internet) oder auch ein Speichermedium sein. Durch
einen solchen Träger gelangt ein Virus auf ein nicht infiziertes System. Die meisten Viren
15
sind sehr einfach programmiert und auf die Hilfe des Benutzers angewiesen, um sich entfalten
und im System verbreiten zu können. Solche Viren wie z.B. der I Love You Virus nutzen als
Sicherheitslücke die Naivität des Benutzers. Dieser per E-Mail versandte Virus bedurfte der
Ausführung der angehängten Datei. Hier hätte folglich schon ein wenig Aufmerksamkeit und
kritisches Verhalten gegenüber E-Mail-Sendungen von Unbekannten, zudem solchen mit Anhängen, ausgereicht um eine Infektion des eigenen Systems zu verhindern. Wie man der allgemeinen Medienfurore entnehmen konnte, eine Sicherheitsmaßnahme, die nicht sonderlich
funktioniert hat. Aktuelle und weitaus kompliziertere Virenprogramme u.a. auch Würmer
verbreiten sich über Sicherheitslücken im System oder Zusatzprogrammen (wie z.B. IE, Outlook etc.) ohne das der Benutzer einen direkten Einfluß auf diesen Vorgang ausüben müßte.
Hiergegen hilft nur die regelmäßige Aktualisierung des Virenscanners und der benutzten Programme. Zum Glück stellen solche Viren jedoch eher die Ausnahme dar. Gegen die große
Masse der im Internet verbreiteten Computerviren genügt als Prävention schon eine kritische
Einstellung gegenüber unbekannten E-Mails, Programmdisketten und Dateien. Dabei reicht es
allerdings nicht mehr allein den PC als gefährdetes Zielobjekt zu betrachten, werden doch
mittlerweile schon Viren für Handys programmiert, die dann zu allem Übel über die Interaktion des Benutzers, selbst den Sprung auf den PC schaffen.
2. Aufbau und Struktur eines Computervirus
Zum eingehenderen Verständnis ist es von Vorteil sich mit den einzelnen Funktionsteilen
eines Virus und deren Funktion im Ganzen auseinanderzusetzen.
Ein Computervirus besteht regelmäßig aus drei Teilen.
Replikationseinheit
Trigger (Auslöser)
Payload (Schadroutine)
Die Replikationseinheit ist eine der Kernfunktionen eines Virus. Sie stellt die ,zumeist unbemerkte, Vervielfältigung des Virus sicher, z.B. dadurch daß es sich an ein Programm anhängt
und sich mit dem Start dieses Programms kopiert.
Bei der Schadroutine handelt es sich um einen optionalen Bestandteil. Auch ohne eine solche
kann es sich bei einem Programm um einen Virus handeln. Durch einen solchen Bestandteil
wird explizit ein Schaden im System hervorgerufen, sei es das Dateien gelöscht oder unbrauchbar gemacht werden oder das System als solches beeinträchtigt wird. Bei solchen Programmen denen eine Schadroutine fehlt, liegt der Schaden regelmäßig in der verlorenen Re-
16
chenkapazität des Systems, die zunehmend von der Reproduktionsfunktion des Virus in Anspruch genommen wird.
Ein Trigger (Auslöser) dient dazu das Virus zu einem Bestimmten Zeitpunkt oder unter einer
bestimmten Bedingung zu aktivieren. Ein bekanntes Beispiel für eine solche Funktion sind
solche Viren, die nicht als Ziel den einzelnen PC haben, sondern eine möglichst weite
Verbreitung erreichen wollen, um über das Internet zu einem bestimmten Zeitpunkt von möglichst vielen Stellen aus eine Anfrage (so gesehen auch einen Angriff) auf einen Server zu
starten, und dessen Betrieb somit für einen gewissen Zeitraum zum Erliegen bringen.
Darüber hinaus gibt es einige weitere optionale Komponenten anhand derer Viren auch in
verschiedene Kategorien unterteilt werden (dazu im Folgenden.). Dazu zählen z.B. weitere
Bedingungen (ähnlich dem Trigger), oder auch Verschleierungs- und Tarnmechanismen.
III. Verschiedene Arten von Computerviren
Computerviren lassen sich nach verschiedenen Kriterien klassifizieren. Unterschieden wird
z.B. nach Dateitypen oder Bereichen auf dem Datenträger, die der Virus infiziert. Viren die
mehreren Kategorien zugeordnet werden können bezeichnet man als Hybridviren.
Als Bootviren bezeichnet man Schädlinge, die sich im Arbeitsspeicher eines Systems einnisten, um von da aus beim Systemstart, über die hierfür benötigten Dateien, den eigentlichen
Datenträger zu infizieren. Der Nachteil solcher Viren ist, daß sie meist auch von Virenscannern nicht zuverlässig erkannt werden, da sie sich bereits im System befinden, wenn der
Scanner seinen Dienst aufnimmt, und somit von diesem nicht als fremdes Programm, sondern
als Bestandteil des Systems eingeordnet werden.
Linkviren schleusen sich in Programme ein, was zur Folge hat, daß mit Ausführung des Programms auch der Virencode mitgestartet wird. Sie verbleiben meist ebenfalls im Arbeitsspeicher um von dort aus Zugriff auf die gestarteten Programme zu nehmen. Die Folge ist regelmäßig, das Programme unbrauchbar gemacht werden.
Unter Companion-Viren versteht man solche Programme, die nicht die ausführbare Datei
selbst infizieren, sondern sich an ihre Stelle setzten. Die ursprüngliche Datei wird hierfür umbenannt. Das Virus führt dann meist nach dem Start das ursprüngliche (nun verschobene)
Programm aus, weshalb der Nutzer wenig merkt. Solche Viren werden auch gerne genutzt um
Systemdateien zu ersetzen. Sie lassen sich selbst wenn sie vom Virenscanner erkant werden
durch die Windowseigene Schutzfunktion nicht entfernen, da Windows die ursprünglichen
Dateien zum Betrieb des Systems benötigt. Solche Viren lassen sich meist nur durch spezielle
17
Patches (von Microsoft) oder sogenannte Removaltools im laufenden Betrieb entfernen. In
der besonderen Problematik bei der Entfernung ähneln sie den Bootviren.
Makroviren beschränken sich bei ihrer Verbreitung auf Dateien von Programmen, die über
eine sog. Makrosprache verfügen. Damit können Prozesse innerhalb eines Programms automatisiert werden. Sie können allerdings auch dazu genutzt werden ein Makroprogramm in
jedes weitere geöffnete Dokument zu kopieren. Ein solches Virus verbreitet sich meist nicht
besonders schnell und effektiv, da sich seine Reichweite auf einzelne Ordner beschränkt. Eine
Gefahr für andere Partitionen oder gar Wechseldatenträger besteht in der Regel nicht.
Die Eigenart von Speicherresistenten Viren ist es auch nach Beendigung des Wirtsprogramms im Arbeitsspeicher zu verbleiben um von dort aus weitere ausgeführte Programme zu
infizieren.
Von Stealthviren spricht man, wenn das Programm selbständig Maßnahmen ergreift um seine Existenz zu verschleiern. Diese Viren beinhalten aufgrund ihrer komplexen Programmierung Maßnahmen um einige Standartkontrollroutinen des Systems oder gängiger Virenprogramme zu umgehen und zu täuschen. Dabei werden Systemaufrufe abgefangen um z.B. bei
der Abfrage der Größe einer Datei die ursprüngliche Größe vor der Infektion anzugeben, anstatt der aktuellen.
Verschlüsselte Viren, verfügen, wie der Name bereits sagt, über einen zumindest teilweise
verschlüsselten Code, der zudem von Infektion zu Infektion variieren kann und es somit Virenscannern erschwert nach einer bestimmten Zeichenfolge in Dateien zu suchen.
In diesem Zusammenhang müssen auch die polymorphen Viren genannt werden. Dieser
Virus ändert von Generation zu Generation seine komplette Form. Dabei wird ebenfalls eine
Verschlüsselung des Codes benutzt. Bei dieser Verschlüsselung handelt es sich um eine variable. Da eine solche jedoch immer eines festen unverschlüsselten Codes (sozusagen eines
Schlüssels) bedarf, der zur Ausführung und Entschlüsselung dient kann eine vollständige
Veränderung nur dadurch erreicht werden indem auch dieser Teil variabel gemacht wird. Dies
wird dadurch erreicht, daß der Schlüssel jedesmal neu generiert wird. Die dafür notwendige
Routine befindet sich im verschlüsselten Teil des Programms und erstellt bei jeder neuen Infektion einen neuen Schlüssel. Somit entstehen bei jeder weiteren Verbreitung verschiedene
Varianten eines Virus.
Metamorphe Viren hingegen verändern, ebenfalls bei jeder Infektion, ihren gesamten Code,
jedoch geschieht dies nicht in Abhängigkeit von einer Verschlüsselung, sondern durch die
Übersetzung des Maschinencodes in symbolischen Code und variabler Rückübersetzung. Dabei dient der größte Teil des Virus allein dieser Aufgabe.
18
IV. Virenähnliche Schadprogramme
1. Würmer
Bei Würmern handelt es sich um ein virenähnliches Schadprogramm, das sich vorwiegend
über E-Mail-Anhänge, in neuerer Zeit jedoch auch selbständig über Schwachstellen des Internet-Browsers oder des Betriebssystems verbreiten. Im Gegensatz zu Viren infizieren Würmer
jedoch keinen fremden Code, sondern verbreiten sich selbständig über das Netzwerk bzw. per
E-Mail. Bei Outlook oder Outlook Expreß nutzen die Würmer sogar das Adreßbuch des jeweiligen Benutzers um sich weiterzuversenden. Dies geschieht ohne das Wissen des Nutzers
und stellt für dessen Bekannte eine erhöhte Gefahr dar, weil diese auf Grund des ja bekannten
Absenders eher dazu neigen einen E-Mail Anhang zu öffnen. Zur Tarnung werden dabei zusätzliche Methoden angewandt, wie z.B. die Dateiarchivierung als .ZIP oder doppelte Dateinamenserweiterungen. Bei letzterem wird bereits eine bekannte Datei-Endung im Namen der
Datei selbst verwand „music.mp3“ und daran die eigentliche Datei-Endung, die für die Kennzeichnung der entsprechenden Art von Datei verantwortlich ist, angehängt „music.mp3.exe“.
In der Standartkonfiguration von Windows werden die Datei-Endungen ausgeblendet so daß
der Nutzer nur die „music.mp3“ zu sehen bekommt und somit in dem glauben gelassen wird
es handle sich um eine Mp3-Datei. In Wirklichkeit handelt es sich jedoch um ein ausführbares
Programm, nämlich einer .EXE-Datei. Die Codierung z.B. in einem Zip-Archiv hingegen soll
es dem Virenscanner erschweren den Wurm als solchen zu erkennen. Verwendet man eine
paßwortgeschützte Archivdatei und gibt das Paßwort im E-Mail-Text an, ist es für den Virenscanner nahezu unmöglich den Wurm zu finden, dem Nutzer hingegen ein Leichtes, die entsprechende Datei zu entpacken und dabei den Wurm auszuführen. Eine weitere gängige Methode den Anwender zu täuschen ist die Verwendung weniger bekannter Datei-Endungen,
hinter denen sich wie bei der .EXE jedoch eine Ausführungsroutine verbirgt („.scr“ für Bildschirmschoner, etc.).
Würmer die sich hingegen durch das Ausnutzen von Sicherheitslücken verbreiten sind für
diesen Vorgang nicht auf die Mithilfe des Benutzers angewiesen (z.B. „MS Blaster“, „Sober“).
Die selbständige Verbreitung über das Netzwerk kann hingegen durch den Einsatz einer Firewall und das regelmäßige Aufspielen der Sicherheitsupdates des Betriebssystems und dessen Komponenten unterbunden werden. Ein Virenscanner erkennt zudem ebenfalls die bisher
bekannten Würmer.
19
2. Trojanische Pferde (auch als „Trojaner“ bezeichnet)
Daß dieser Begriff der griechischen Mythologie Eingang in den Bereich der modernen Computersprache gefunden hat, verwundert weniger, sofern man sich die Arbeitsweise der so bezeichneten Programme verdeutlicht. Ähnlich der Kriegslist der Griechen, verbirgt sich hierbei
ebenfalls ein Schadprogramm in einem scheinbar nützlichen anderen. Ist dieses nützliche
Programm einmal auf dem PC installiert kann sich das darin versteckte Programm unbemerkt
entfalten und seinem eigentlichen Zweck (z.B. Datenspionage oder explizite Schadfunktionen) nachgehen. Es ist jedoch auch möglich den gesamten Computer via Netzwerk/Internet,
vom Anwender unkontrolliert, fernzusteuern (Backdoor). Im Gegensatz zu Computerviren
können sich solche Trojanischen Pferde jedoch nicht selbständig verbreiten. Auf Grund ihrer
Eigenart kommt es bei der Unterteilung zw. Würmern, Trojanern und Spyware häufig zu Abgrenzungsschwierigkeiten, da verfolgte Interessen und Vorgehensweise sich meist ähneln.
Eine Firewall bietet hier keinen Schutz vor der Infiltration des Systems, kann hingegen jedoch
auf die zusätzliche Kommunikation aufmerksam machen und diese Unterbinden. Der Trojaner
wäre somit zwar installiert, jedoch nicht einsatzfähig. Ansonsten gilt wie auch bei Spyware
daß der Download von Programmen nur aus vertrauenswürdigen Quellen erfolgen sollte.
Darüber hinaus ist beim Öffnen von E-Mail-Anhängen generell Skepsis geboten.
V. Auswirkungen
Der Virus in seiner Grundfunktion beeinträchtigt eher ausschließlich das System, als das er
gezielt an Dateien Schaden anrichtet. Hier wird lediglich durch die Reproduktionsfunktion
eine große Menge an Rechenkapazität verbraucht, was dazu führt das sich das System verlangsamt oder es zu Instabilitäten und somit häufiger zu Systemabstürzen kommt. Darüber
hinaus wird den eigentlichen Kernfunktionen eines Virus, also Infektion und Reproduktion,
eine irgendwie geartete Schadfunktion beigefügt. Je nach Art derselben können hierüber Daten manipuliert, bzw. unbrauchbar gemacht oder zerstört werden, oder das System in seiner
Funktionsfähigkeit beeinträchtigt werden, indem z.B. wichtige Systemdateien durch solche
des Virenprogramms ersetzt werden und eine Neuinstallation somit unumgänglich wird.
VI. Schutzmaßnahmen
Fast ebenso vielfältig wie die unterschiedlichen Virenarten und ihre Funktionen sind die möglichen Schutzmaßnahmen. Dabei kann man verallgemeinernd sagen, daß man sich vor dem
Großteil der Viren, deren Programmierung eher einfach gestrickt ist, durch äußerst einfache
Mittel und Wege schützen kann. Hier reicht bereits ein wenig Aufmerksamkeit im Umgang
20
mit Internet und E-Mail. Infizierte Datenträger treten wohl eher seltener auf, stellen nichts
desto trotz ebenfalls eine Gefahr dar. Grundsätzlich sollte man E-Mails von unbekannten Absendern löschen, oder zumindest deren Anhänge vor dem Öffnen mit dem Virenscanner überprüfen.
Auch das Betriebssystem bietet bereits einige integrierte Schutzfunktionen. Dazu zählt insbesondere die Möglichkeit, als Nutzer mit eingeschränkten Rechten zu arbeiten und eine Ausweitung auf Administratorenrechte auf die benötigten Fälle der Programminstallation zu reduzieren. Im Zusammenhang mit Datenträgern bietet es sich an die Autostartfunktion des
DVD-/CD-Laufwerks zu deaktivieren. Auch sollte bei Zusatzsoftware auf die Sicherheitseinstellungen geachtet werden. Ein Griff zu alternativen Programmen zu IE oder Outlook empfiehlt sich nur bedingt, da wohl der einzige Vorteil darin besteht das sie aufgrund ihres nicht
allzu hohen Verbreitungsgrads ein wenig lohnendes Ziel darstellen. So wird mit zunehmender
Verbreitung von Alternativbrowsern wie Firefox, auch dort verstärkt nach Sicherheitslücken
geforscht und dies Schwachstellen ausgenutzt.
Unumgänglich ist es ebenfalls sein System regelmäßig auf den neusten Stand zu bringen,
werden somit doch die Sicherheitslücken und folglich die Angriffsflächen für Viren reduziert.
Bei der Neuinstallation eines PC sollte hierfür auf die Möglichkeit der Offline-Installation
von Updates via Slipstreaming (Integration der Servicepacks in die Windowsinstallations-cd)
oder Offlineupdates zurückgegriffen werden. Ein neu aufgespieltes, aber veraltetes System
mit dem Internet zu verbinden bietet für Virenbefall wohl die meisten Einfallstore.
Unzweifelhaft ist für einen einigermaßen angemessenen Schutz die Installation eines Antivirenprogramms vonnöten. Dabei ist zu beachten, daß ein Virenscanner nur solche, bereits bekannte Viren zuverlässig erkennt und beseitigt. Demzufolge ist auch hierbei auf eine regelmäßige Aktualisierung der Virensignaturen zu achten. Unbekannte Viren werden von manchen
Programmen jedoch auch anhand ihres Verhaltens als Virus erkannt, wobei diese Routinen als
nicht allzu zuverlässig gelten. Ein Virenscanner ist somit nicht automatisch als Schutz vor
Viren anzusehen, vielmehr kommt ihm im Rahmen des gesamten Präventionskonzepts nur
eine Teilrolle, wenn auch eine erhebliche, zu. Die voranstehenden Ausführen sollten aufgezeigt haben, daß der Schwerpunkt zuverlässiger Computersicherheit im Verhalten des Benutzers liegt.
21
VII. Antivirensoftware
1. Funktionsweise
Da es bei der Vielzahl und Komplexität neuerer Viren nicht mehr ausreicht, allein anhand
bekannter Signaturen zu vergleichen, kommen in Antivirenprogrammen mehrere Suchroutinen zum Einsatz, deren Zahl und Effektivität jedoch von Hersteller zu Hersteller divergiert.
Der Vergleich bekannter Signaturen, deren Listen über tägliche oder wöchentliche Updates
ergänzt (von vervollständigen kann wohl keine Rede sein) werden, stellt wohl die zuverlässigste Methode der Virenerkennung dar und mag auch für den Großteil der Viren, deren Programmierung einfach gestaltet ist, funktionieren. Wie oben bereits aufgeführt existieren auch
Viren die sich tarnen oder gar teilweise verschlüsseln. Um einen Virus trotz komplexer Verschlüsselung zu entlarven bedarf es jedoch ein wenig mehr Aufwand. Im günstigsten Fall
kann die Virusfamilie bereits über den Typ der verwendeten Verschlüsselung erkannt werden,
entweder anhand statistischer Häufigkeit, oder durch eine weitergehende Analyse nach Auflösung der Verschlüsselung. In komplizierten Fällen simuliert der Virenscanner die Ausführung
des verdächtigen Programms. Über einen virtuellen Prozessor werden innerhalb des Virenscanners nahezu alle CPU-Befehle emuliert die bei Ausführung der Datei auftreten würden.
Ist der Virus entschlüsselt kann er wieder mit den vorhandenen Signaturen abgeglichen werden. Bei ca. 200 neuen Viren pro Woche ist den Antivirenprogrammen in ihrer Funktionsweise der Spagat zwischen hohen Erkennungsraten und Fehlalarmen deutlich anzumerken. Fehlalarme sind somit nicht auszuschließen und gehören doch schon eher zum Alltag.
Da das beschriebene Verfahren der Programmierung der Viren jedoch auf Grund des Listenbasierten Signaturabgleichs hinterherhinkt verfügen nahezu alle Scanner über ein „Heuristik“
genanntes Verfahren. Die Scanner versuchen hierbei neue Viren anhand der typischerweise
verwendeten Codesequenzen und der Virentypischen Programmlogik zu erkennen. Eine Heuristik greift hierbei wieder auf Signaturen zurück, etwa um einen Code zu erkennen der nach
ausführbaren Dateien sucht, diese öffnet, Daten hineinschreibt und sie wieder schließt (typische Reproduktionsfunktion eines Virus). Wird dabei ein bestimmter Schwellenwert an verdächtigen Operationen überschritten, schlägt der Scanner Alarm. Wie oben bereits aufgeführt
gibt es jedoch auch Viren die ihre Operationen verschleiern und somit mit diesem Verfahren
schwierig aufzufinden sind. Gegen solche Schädlinge hilft nur das Verfahren der dynamischen Heuristik, bei dem wie oben ausgeführt ein kompletter Ausführungsprozeß des verdächtigen Programms simuliert wird. Dieses Verfahren ist jedoch sehr zeit- und rechenintensiv.
22
Sowohl das generische Erkennungsverfahren anhand von Signaturen, als auch die Heuristik
können nur bedingt einen Schutz vor zukünftigen Viren bieten, da die Programmierer solcher
Schädlinge selbige bereits mit den aktuellen Suchroutinenen der Antivirenprogramme aufspüren und sie solange anpassen können, bis sie nicht mehr erkannt werden.
2. Benutzung von Antivirenprogrammen
Unterschieden werden hier zwei grundlegende Suchfunktionen. Entweder prüft der Virenscanner alle Dateizugriffe im laufenden System (On Access) oder er prüft nach ausdrücklicher
Aufforderung einzelne Bereiche der Festplatte (On Demand).
Als problematisch bei der Suche nach Viren gelten bei den meisten Virenprogrammen Archiv-Dateien und Mail-Archive. Dabei stellen gerade letztere, als eines der Hauptkommunikationsmittel des Internets neben Downloads, sei es jetzt via Homepage, FTP, oder P2PTauschbörse eine der größten Gefahrenquellen dar. Bei der Konfiguration des Virenscanners
sollte also unbedingt auf solche Einstellungen geachtet werden. In der Regel lassen sich die
hier zu scannenden Laufwerke oder Partitionen einstellen, sowie auch der Einbezug von Archiv-Dateien läßt sich hier regeln. Eine solche manuelle Nachkonfiguration der Defaulteinstellungen ist daher vonnöten, da die meisten Antivirensoftware Hersteller hieran sparen, mit
der Begründung ein Komplett-Scan würde zuviel Zeit erfordern.
Die kontinuierliche Überprüfung aller Aktionen auf dem PC (On Access) richtet sich entgegen der vorherigen Disziplin nicht auf die Überprüfung des gesamten Systems, sondern lediglich auf die Überwachung aller potentiellen Einfallstore für Viren. Die einzelnen Virenscanner arbeiten dabei unterschiedlich. Eine Möglichkeit ist es die Dateien beim direkten Aufruf
(Starten) zu überprüfen. Das genügt um einen Virenbefall des PCs zu verhindern, ist dennoch
eher die minimalistische da schnellere Lösung. Der weitergehende Ansatz im laufenden Betrieb jeden einzelnen Dateizugriff (nicht nur das Ausführen sondern auch Aktionen wie Kopieren, Verschieben, Umbenennen etc.) zu überprüfen ist hingegen empfehlenswerter da so
nicht nur der Ausbruch des Virus, sondern auch eine weitere Ausbreitung über Heimnetzwerke, E-Mail-Anhänge, P2P-Tauschbörsen, oder auch auf externe Datenträger und Medien verhindert wird.
3. Was man bei der Auswahl des Virenscanners beachten sollte
Bei der Auswahl geeigneter Scanner können verschiedene Kriterien herangezogen werden.
Ein Indiz für eine qualitativ hochwertige Schutzwirkung ist ein häufiger Bereitstellungzyklus
der aktualisierten Signaturen seitens der Softwarehersteller. Auch sollte unbedingt auf das
Scannerverhalten innerhalb der oben beschriebenen Problembereiche geachtet werden. An© Sebastian Brüggemann, Michael Rilling, 2006
23
sonsten kann darauf hingewiesen werden, daß auch kostenlose Programme durchaus als vollwertig und der kostenpflichtigen Konkurrenz als ebenbürtig anzusehen sind. Für darüber hinausgehende Informationen können allerdings auch Testberichte aus Fachzeitschriften oder
von Internetforen herangezogen werden.
4. Links
a) Informationen über aktuelle Viren
http://www.golem.de/
http://www.heise.de/
http://www.virus-aktuell.de/
http://www.viruslist.com/de/
http://www.kaspersky.com/de/
b) Zu den Herstellern von Antivirensoftware
www.free-av.de (Freeware); http://www.antivir.de/ (erweitertes Paket)
www.bitdefender.de (Freeware oder erweitertes Paket)
http://free.grisoft.com (Freeware)
http://www.symantec.com/region/de/
http://www.mcafee.com/de/default.asp
H. Firewalls
I. Was ist eine Firewall
Zunächst gilt es zu klären, was der Begriff Firewall überhaupt bedeutet. Grundsätzlich kann
man eine Firewall als ein System aus Software- und Hardwarekomponenten bezeichnen, daß
den Zugriff und den Datenverkehr zwischen verschiedenen Netzen steuert.
Dabei nimmt die Firewall eine Filterung und Kontrolle des Datenstroms vor und verhindert
den ungewollten Verkehr. Gleichzeitig gewährt sie den zugelassenen Daten ungehinderten
Zutritt. Der häufigste Einsatzort einer Firewall ist heutzutage die Überwachung der Verbindung zwischen dem Internet und dem privaten oder geschäftlichen LAN.
In der Umgangssprache finden zwei Begriffe Verwendung und zwar die so genannte Software-Firewall und die Hardware-Firewall. Jedoch ist diese Bezeichnung ungenau und mißverständlich. Die eigentlich so bezeichnete Hardware-Firewall tritt so sichtbar nicht in Erscheinung, lediglich die Software, die sie kontrolliert. Folglich ist die Unterscheidung so nicht
24
korrekt, denn fast ausschließlich ist es immer eine Kombination aus beiden Komponenten,
Software wie Hardware. Dedizierte Router werden oft fälschlicherweise als HardwareFirewalls bezeichnet, weil sie eben nur diesen einen Zweck erfüllen. Die Personal Firewalls,
auch Desktop-Firewalls genannt, tragen hingegen die Bezeichnung Software-Firewalls, weil
diese einen PC als Hardwarekomponente benötigen.
Im folgenden soll auf eine Unterscheidung verzichtet werden.
II. Funktionsweise einer Firewall
In der einfachsten Betrachtungsweise ist eine Firewall nichts anderes als eine Art Filtersystem. Sie überprüft, verweigert und erlaubt den Datenverkehr zwischen dem lokalen Netz
(LAN) und meist dem Internet (WAN). Hierzu bedient sie sich verschiedener Filtermöglichkeiten:
1. Der Paketfilter:
Dieser Filter reglementiert bestimmte Kommunikationswege von außen wie innen. Er filtert
nach der Quell- und / oder Zieladresse des Datenpakets. Jedes dieser Pakete wird dabei einzeln betrachtet.
Als Kommunikationswege stehen die so genannten Ports zur Verfügung. Diese stellen die
Kommunikationskanäle zwischen dem lokalen PC und zum Beispiel dem Internet dar.
Die wichtigsten Ports im Überblick:
•
Port 80: http, also der Browser
•
Port 20: Datenverkehr eines FTP Servers
•
Port 21: Kontrollport eines FTP Servers
•
Port 22: SSH, eine verschlüsselte Kommunikation über die Secure Shell
•
Port 23: Telnet
•
Port 110: Pop3, Abfrageport eines Mailservers
•
Port 443: https, sicherer Kommunikationskanal eines Browsers.
Ein Paketfilter basiert auf einem Regelwerk, was man an Datenkommunikation von außen wie
innen zulassen will und was nicht. Erstellt werden diese Regel meist vom Benutzer oder aus
einem Lernmodus heraus, wobei die Firewall jedes mal fragt, ob die Verbindung zugelassen
werden soll oder nicht.
Für sich alleine taugt der Paketfilter als Schutz nur sehr wenig, denn er kann nur sehr rudimentäre Angriffe abwehren. Ein sicherer Schutz währe nur dann gewährleistet, wenn eine
Authentifizierung mit Benutzername und Paßwort erfolgen würde, denn ein Angreifer aus
25
dem Netz kann seine Herkunft oft verschleiern oder fälschen, so daß ihn der Paketfilter durchläßt.
2. Der Content Filter (Inhaltsfilter)
Der Content Filter hat die gleichen Grundfunktionen wie ein Paketfilter, kann jedoch deutlich
mehr. Er filtert nicht nur nach Quelle und / oder Ziel sondern auch nach dem Inhalt der Datenpakete. Dies kann zum Beispiel sein:
•
Herausfiltern von ActiveX Elementen oder Java Skript auf Webseiten
•
Filtern oder Kennzeichnen von SPAM Mails (dies ist aber nicht die übliche Aufgabe
einer Firewall und auch eher unüblich)
•
Löschen von Virenmails (ebenfalls unüblich)
•
Herausfiltern von vertraulichen Firmeninformationen.
Die Konfiguration eines solchen Filters ist äußerst komplex und benötigt unter Umständen
sehr viel Rechenkraft, Zeit und vor allem Pflege der Konfiguration. Auch ist sie nicht immer
möglich, denn schon die Filterung einer Website nach ungewünschten Inhalten ist sehr aufwendig und lohnt sich im privaten Bereich kaum.
3. Der Proxy
Im Gegensatz zu den anderen Filtern ist der Proxy eine Art Zwischenspeicher. Anstatt wie bei
den anderen Methoden üblich die Anfragen an das Internet direkt zu stellen, werden sie hier
an den Proxy umgeleitet. Erst nachdem der Proxy mit seiner Konfiguration grünes Licht für
die Anfrage gegeben hat, wird sie an das Internet übergeben. Auch die Antwort läuft wieder
über den Proxy, es gibt für den Client also keine direkte Verbindung ins weltweite Datennetz.
Der größte Vorteil einer solchen Vorgehensweise liegt darin, daß man bestimmte Ports einfach sperren oder auch bequem den Traffic überwachen kann.
4. Stateful Inspection
Die Stateful Inspection stellt eine Art „Paketfilter Deluxe“ dar. Im Gegensatz zum Paketfilter
wird nicht jedes Paket einzeln betrachtet sondern mehrere in ihrem Zusammenhang. Hierdurch kann diese Methode viel präziser ermitteln, ob ein Datenstrom gültig ist oder nicht,
indem es die Informationen mehrere Pakete vergleicht, gegebenenfalls zusammensetzt, als ein
Ganzes sieht und schlußendlich als ungefährlich einstuft.
26
III. Die Personal Desktop Firewall
Diese Firewall stellt die am häufigsten anzutreffende Art, vor allem auf Privatrechnern, dar.
Da sie lokal auf einem Rechner installiert wird ist sie nicht dazu bestimmt den Datenverkehr
zwischen verschiedenen Netzen zu regulieren, sondern lediglich bestimmt Anfragen an den
Rechner und vom Rechner kommend, zum Beispiel installierte Software, zu blockieren. Sie
bietet meist eine anwendungsspezifische Filterung an. Hierdurch kann bestimmten Programmen sehr einfach die Kommunikation zum und vom Internet untersagt werden. Da diese Firewalls über einen Lernmodus verfügen ist die Konfiguration relativ simpel und auch für weniger geübte Anwender mit etwas Anstrengung zu meistern.
IV. Fazit
Jeder heutige Rechner sollte eine Desktop-Firewall installiert haben, vor allem wenn man sich
noch per Modem einwählt oder keinen Router besitzt. Ein Router hat meist eine interne eigene Firewall, die aber grundsätzlich nur auf Angriffe oder Verbindungsversuch von außen eingestellt ist. Von innen läßt sie ungeprüft alles durch. Um demnach auch Kontrolle über die
kommunizierende Software abgehend vom PC zu erhalten, sollte zusätzlich eine Personal
Desktop Firewall installiert sein und im Zusammenspiel der beiden hat man meist einen sehr
effektiven Schutz.
V. Links
www.zonelabs.de (Zone Alarm; Freeware-Edition)
www.sygate.de/ (Sygate Personal Firewall; Freeware-Edition)
www.kerio.com (Kerio Firewall; Freeware-Edition)
www.agnitum.de (Outpost Firewall; Freeware-Edition)
www.jetico.com (Jetico Firewall; Freeware-Edition)
I. Spy- und Malware
Unter Malware (engl. malicious = boshaft und Software) versteht man Computerprogramme,
die eine offene oder verdeckte Schadfunktion aufweisen und lediglich mit dem Ziel geschaffen werden, Schaden anzurichten. Als mögliche Schadfunktionen kommen hierbei Manipulationen an oder das Löschen von Daten, sowie die Kompromittierung der Sicherheitsfunktionen des Computers und der Systemeinstellungen im Allgemeinen in Betracht. Allein fehlerhafte Programme, auch wenn sie Schaden anrichten, unterfallen nicht diesem Begriff.
27
Es gibt eine Vielzahl verschiedener Arten von Malware, was die Begriffsdefinition, durch das
Abstellen auf eine programmimmanente Schadfunktion, bereits impliziert. Bei den Computerviren handelt es sich wohl um die älteste und am weitesten verbreitete Art von Malware,
weshalb dieser Thematik auch ein eigenes Kapitel gewidmet wurde. Im folgenden sollen einige weitere Unterarten, die aufgrund ihrer Verbreitung und Gefährlichkeit besonderer Aufmerksamkeit verdienen, aufgeführt werden.
I. Verschiedene Arten von Malware
1. Spyware
a) Was versteht man unter dem Begriff „Spyware“?
Als Spyware wird üblicherweise Software bezeichnet, die persönliche Daten des Benutzers
ohne dessen Wissen oder gar Zustimmung an den Hersteller der Software oder an Dritte sendet. Meistens wird das Surf-Verhalten des Benutzers im Internet analysiert, um aus den gewonnenen Daten kommerziellen Nutzen zu ziehen oder um gezielt Werbebanner oder Popups
einzublenden, die den so ermittelten Vorlieben des Benutzers angepaßt sind. Sie zählt somit
zu der Gruppe der Malware, der auch Viren, Würmer oder wie der Name bereits impliziert
allgemein schädliche Programme unterfallen.
Spyware wird meist vom Benutzer selbst auf dem Rechner installiert. In der Regel geschieht
dies eher unwissend im Zusammenhang mit der Installation von, auf den ersten Blick als kostenlos angebotenen, Programmen. So verbirgt sich hinter so mancher als Freeware deklarierter
Software oder hinter dem modischen Bildschirmschoner meist ein solches Programm. Dabei
wird gelegentlich sogar die Zustimmung des Nutzers zur Installation der Spyware selbst eingeholt. Die Installation der zusätzlichen Spyware ist dabei in der Regel die Voraussetzung für
den Betrieb des eigentlich installierten Programms, weshalb es nach gründlicher Säuberung
des PCs von solchen Schädlingen gelegentlich dazu kommt, daß einige Programme nicht
mehr funktionieren. Dabei sollte man als Anwender dann selbst die Abwägung vornehmen,
ob einem die eigene Privatsphäre wichtiger ist oder der Betrieb eines Bildschirmschoners. Auf
Grund dieser Verbindung mit anderen, nützlichen Programmen spricht man auch von Adware
(Kunstbegriff aus advertising, engl. für Werbung und Software), wobei diese Zuordnung als
umstritten gilt. In der Regel werden hier lediglich voll funktionsfähige Programme mit Werbebannern oder Popups ausgestattet, die bei Registrierung gegen Entgelt dann auch entfallen
(z.B. Opera bis Version 8.2). Die Mehrzahl der werbefinanzierten Programme hingegen übermitteln Informationen über Verbindungsdaten oder darüber hinaus das Surfverhalten und
28
sind somit Datenschutzrechtlich als problematisch anzusehen. Die Unterordnung unter den
Sammelbegriff der Spyware läßt sich somit durchaus rechtfertigen. Vorsicht ist jedoch in jedem Fall geboten.
b) Bekannte Spyware
Ein klassisches Beispiel für Spyware ist wohl die Software GAIN der Firma Gator. Selbige
war Bestandteil früherer Versionen des DivX-Videoplayers. Dieses Programm ließ sich somit
ausschließlich nutzen, sofern man auch die GAIN-Software installierte. In diesem Zusammenhang kann auch für auf ein für Juristen äußerst interessantes Problem hingewiesen werden, nämlich die Einordnung solcher Programme. So vertreten doch immerhin zumindest die
Hersteller und Profiteure solcher Software die Auffassung, bei solcher Software handle es
sich eigentlich um überaus nützliche Programme. Hierbei kann auf den Rechtsstreit der Firma
Claria (ehemals Gator) 8 verwiesen werden, die sich gegen die aus ihrer Sicht diffamierende
Bezeichnung als „Spyware“ wehrte 9 . Als Folge werden mittlerweile solche Programme von
den Herstellern von Computerprogrammen mit Anti-Spyware-Fuktionen nicht mehr als Spyware sondern euphemistisch als „möglicherweise unerwünschte Software“ (PUS, potentially
unwanted software) bezeichnet. Am Kern des Geschäftsfeldes hat sich jedoch bei der aus
Imagegründen bedingten Namensänderung von Gator in Claria nichts geändert.
2. Folgen bzw. Schaden durch Spyware
Über Spyware wird versucht mehr Informationen über den Nutzer und sein Verhalten im Internet zu erlangen. Hier werden häufig die bei der Registrierung des eigentlichen Programms
angegebenen Daten um solche aus der Überwachung des Nutzerverhaltens ergänzt und somit
eine umfassendes Verhaltens-Profil erstellt.
Aber was geschieht mit diesen gesammelten Informationen?
Sie werden an die Programmhersteller weitergeleitet und dann zu Werbezwecken, entweder
direkt an Werbe- oder andere Firmen verkauft. Hier werden sie dazu genutzt, Werbebotschaften zielgerichtet den potentiellen Käufern zu übermitteln. In harmloser Form geschieht dies
über per Post eingeworfene Faltblätter, oder E-Mail-Werbung (Spam). Eine weitaus aggressivere Form, die die meisten Spywareprogramme jedoch ebenfalls ermöglichen, ist das manipulieren der Browsereinstellungen (z.B. der Startseite oder der Favoritenliste) und das gezielte
einblenden unerwünschter Inhalte über sog. Pop-Ups. Anstatt Werbebotschaften werden in
neuerer Zeit auf solchem Wege auch Websites geöffnet, die sich über Werbung finanzieren
8
9
http://www.heise.de/newsticker/meldung/41537.
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/41319&words=Gator%20Rechtsstreit.
29
und deren Einnahmehöhe somit von den Besucherzahlen der entsprechenden Website abhängt. Ein weiterer Nebeneffekt eines infizierten Systems ist die Einbuße von Rechenleistung
und Systemstabilität.
3. Vermeidung und Beseitigung von Spyware
Wie auch schon unter den Erläuterungen zu den Computerviren, die ja ebenfalls der Gruppe
der Malware zuzuordnen sind, ausgeführt, liegt der Schwerpunkt der Vermeidung von Spyware im Benutzerverhalten. Ein gesundes Maß an Skepsis verhindert dabei nicht den Befall des
PCs, dämmt ihn jedoch erheblich ein.
Anzeichen für Spyware:
•
das System arbeitet vor allem bei bestehender Internetverbindung auffällig langsam
•
häufiges Einblenden von Werbe-Pop-Ups, die in keinem erkennbaren Zusammenhang
zu den von Ihnen besuchten Websites stehen
•
geänderte Startseite des Browsers
•
neue, unbekannte Links im Favoritenordner
•
PC verbindet sich selbständig mit dem Internet
Zusätzliche Software zur Beseitigung von Spyware ist dennoch unumgänglich. Viele der
schon oben aufgeführten Virenscanner bieten Softwarepakete an bei denen über den Virenscanner hinaus auch eine Firewall und Antispywaretools enthalten sind. Da sich der Kurs vornehmlich an Studenten richtet soll im folgenden allerdings der Schwerpunkt bei kostenlosen
Softwarelösungen liegen.
Vermeidung von Spyware:
•
Verwendung eines Virenscanners mit aktuellen Signaturen
•
Verwenden einer Firewall
•
Sicherheitseinstellungen des Internet-Browsers überprüfen
•
mehr Aufmerksamkeit bei der Auswahl und Installation kostenloser Softwareangebote
(meist genügt ein Blick in die Lizenz- oder Nutzungsvereinbarungen)
•
Programmdownloads prinzipiell nur von vertrauenswürdigen Websites
•
beim Schließen von Pop-Up-Fenstern nicht zwingend die zum Schließen der Anwendung vorgegebenen Felder benutzen („Um das Fenster zu schließen klicken sie bitte
hier …“) sondern auf die Standart-Funktionen des Betriebssystems zurückgreifen (Fläche X; Tastenkombination Alt + F4)
•
keine Links in E-Mails öffnen
30
4. Links zu Herstellern von Anti-Spyware-Tools
www.lavasoft.com (Ad-Aware; Freeware)
www.safer-networking.org/de/ (Spybot S&D; Freeware)
J. Sicherheitsaspekte der Internetkommunikation
Das weltumspannende Datennetz und die moderne Kommunikation sind aus der heutigen Zeit
nicht mehr wegzudenken. Internet und E-Mail sind bereits fester Bestandteil der privaten wie
auch der wirtschaftlichen Welt. Doch neben allen Vorteilen und Verbesserungen brachte die
Entwicklung auch ihre Schattenseiten mit sich. Neue Gefahren wie SPAM oder Phishing entstanden, denen es Herr zu werden galt.
Im Folgenden soll nun aufgezeigt werden, wie man sich im Umgang mit den neuen Medien
korrekt verhält und durch die Beherzigung einiger simpler Grundregeln die meisten Klippen
erfolgreich umschifft.
I. Allgemeine Verhaltensregeln im Umgang mit E-Mails
Die E-Mail ist wohl das am weitesten verbreitete neue Kommunikationsmittel überhaupt. Sie
ist einfach, schnell, kostenlos und wenn alles normal läuft innerhalb von Sekunden beim
Empfänger. Doch sie weißt auch Schwächen auf, vor allem die Kostenlosigkeit ist neben ihres
größten Vorteils auch gleichzeitig ihrer größter Nachteil. Schnell haben sich seriöse wie unseriöse Anbieter auf dieses neue Medium gestürzt und verstopfen die Mailserver der Welt mit
nutzlosen Werbe- und Abzockermails. Man schätzt, daß mehr als die Hälfte aller versandten
Mails heutzutage SPAM ist, Tendenz steigend.
Grundsätze im Umgang und Versand von E-Mails:
•
Generelle Skepsis im Umgang mit E-Mails: E-Mails von fremden Absendern oder EMails bei denen der Absender unbekannt ist, sollte man schon überhaupt nicht beachten
und sofort löschen. Auch wenn die E-Mail von einer bekannten Adresse stammt, ist
Vorsicht anzuraten, denn selbst wenn der Absender ein Bekannter oder ein Freund ist,
heißt dies noch lange nicht, daß sie auch von diesem herrührt. Den Absender einer EMail zu fälschen ist relativ einfach. Weiterhin kann sich der bekannte Absender einen
Virus oder Wurm eingefangen haben. Dieser verschickt sich automatisch an alle Personen im Adreßbuch des Betroffenen und schon stammt die vermeintlich bekannte Mail
nicht mehr vom eigentlichen Absender. Noch größere Skepsis ist gegenüber Dateian-
31
hängen an E-Mails zu entwickeln. Ein unvorsichtiger Klick und schon ist der Virus oder
Wurm ebenfalls auf dem eigenen System aktiv.
•
E-Mail Anhänge immer vom Virenscanner überprüfen lassen, falls er dies nicht schon
automatisch tut.
•
Die E-Mail Adresse als vertraulich behandeln
•
E-Mail Adresse als Bilddatei auf die Homepage setzen: Manchmal wundert man sich
vielleicht, wie SPAM Versender an die eigene E-Mail Adresse gekommen sind. Dies
geschieht heutzutage meist durch so genannte Bots. Das sind kleine Programme, die die
Homepages im Internet abgrasen und alle dort verlinkten E-Mail Adressen speichern.
Dabei suchen sie nicht direkt über die entsprechende Seite sondern in deren Quelltext.
Um solch einem „E-Mail Grabbing“ entgegen zu wirken bietet sich folgende Maßnahme
an. Man verlinkt die E-Mail Adresse nicht im Klartext, sondern als Grafikdatei. Solch
eine Datei kann der Bot nicht lesen und demnach die Adresse auch nicht speichern.
Zwar ist die Adresse auf der Homepage nicht mehr „klickbar“, aber das ist ein kleiner
Preis, den man leider an Komfortverlust zahlen muß.
•
Zweites E-Mail Postfach anlegen: Es biete sich ebenso an eine zweite neben der offiziellen Adresse anzulegen. Über diese kann man dann Registrierungen auf Webseiten oder
ähnliches abwickeln, ohne die Hauptadresse zu gefährden.
•
Niemals auf Werbe-E-Mails antworten: Bei Werbe-E-Mails gilt ein absolutes Antwortverbot. Oft versuchen die SPAM Versender den Empfänger zu einer Antwort zu bewegen, indem sie am Ende der Mail eine Zeile einfügen, die etwa folgenden Wortlaut besitzt: „Wenn Sie keine E-Mails von XXX bekommen wollen, können sie sich hier von
der Mailingliste abmelden“. Auch auf solch eine Aufforderung sollte man auf keinen
Fall reagieren, es sei denn, man hat sich wirklich für die entsprechende Liste eingetragen, denn sonst können die SPAM Versender durch die Antwort feststellen, daß die EMail Adresse gültig ist und das SPAM Aufkommen im Postfach wird sich dramatisch
erhöhen.
Wer diese Grundregeln beherzigt, wird an seiner E-Mail Adresse noch lange Freude haben
und sich nicht dauernd darüber ärgern müssen, daß das Postfach vor nutzlosen SPAM E-Mails
platzt.
32
II. SPAM
Der Begriff SPAM steht als Synonym für den Versand ungewollter Massen E-Mails. Ursprünglich stammt der Begriff aus einem Sketch der englischen Comedyserie Monty Python’s
Flying Circus, bei dem in einem Cafe die Speisekarte ausschließlich aus Gerichten mit SPAM
besteht, die SPAM teilweise mehrfach hintereinander im Namen enthalten. Im Verlauf des
Sketches wird das Wort SPAM fast 100 mal erwähnt. SPAM ist eigentlich die Kurzbezeichnung für SPiced hAM, ein Markenname für Dosenfleisch.
SPAM gibt es in den verschiedensten Formen und ist nicht nur auf E-Mail SPAM beschränkt.
Auch Instant Messenger, SMS und das heute so beliebte und von den Providern angepriesene
VOIP (Voice over IP) werden von den Spammern ins Visier genommen.
Den am häufigsten vorkommenden E-Mail SPAM kann man grob wie folgt unterteilen:
•
Kommerzielle SPAM Mails: Meist handelt es sich bei dieser Art von SPAM um dubiose Angebote bezgl. Sex, Penis- oder Lebensverlängerungen. In der letzten Zeit ist besonders eine Gruppe von kommerziellen Spammern aufgefallen, die so genannten Nigeria Connection. Hierbei beinhaltet die SPAM Mail meist eine Bitte um Hilfe, ob man
nicht einem Familienmitglied des Absenders helfen möge an Geld zu kommen, denn der
Absender selber kann, aus welchen dubiosen Gründen auch immer, das Geld nicht selbst
transferieren. Folglich wird der Empfänger der SPAM Mail gebeten es über sein Konto
laufen zu lassen und der Absender verspricht ihm das Geld umgehend zu überweisen.
Spätestens hier sollte man aufhorchen, allerdings hat die Nigeria Connection eine ähnliche Masche auf e-bay ausgeweitet und wenn man dort ein gutes Angebot für seine zu
versteigernde Ware bekommt, könnte man sich schon hinreißen lassen, darauf einzugehen. Wie gesagt, man erkennt diese Art von SPAM meist an einer sehr dubiosen Bankgeschichte und sollte dann auf keinen Fall, auch wenn das Angebot noch so gut ist, darauf eingehen.
•
Würmer und Viren: Einer der bekanntesten SPAMs dieser Art war sicher der LoveLetter oder der Anna Kournikova Wurm. In den Mails wurde im Dateianhang etwas versprochen und man solle doch auf diesen klicken, doch sobald man dies tat, war der
Rechner auch schon infiziert. Häufig war ein Klick auf den Anhang schon gar nicht nötig, denn die Mailsoftware führte ihn ohne Nachfrage einfach aus. Dies ist eine katastrophale Sicherheitslücke, die vor allem den Ruf des sehr weit verbreiteten Microsoft Outlook und dessen kleine Variante Outlook Express schädigten, denn die Standardeinstellung dieser beiden Programme war, den Anhang sofort zu öffnen.
33
•
Newsletter und Mailinglisten: Grundsätzlich sind Newsletter eine feine Sache, denn
sie informieren kostenlos über die eigenen Hobbys oder liefern tagesaktuelle News. Jeder kann sich eintragen und schon mit weniger Klicks ist er bestellt. Problematisch wird
es dann, wenn ein Fremder sie in eine solchen Newsletter einträgt. Fehlt beim Newsletter-Betreiber eine entsprechende Sicherheitsabfrage, eine E-Mail mit dem Inhalt, ob sie
diesen Newsletter auch wirklich bestellt haben, wird sich das Postfach schnell mit ungewünschten E-Mails füllen. Bei seriösen Anbietern ist eine Abmeldung zwar jeder Zeit
möglich, aber bei unseriösen Anbietern könnte das ernsthafte Konsequenzen haben,
denn diese Betreiber verkaufen die E-Mail Adresse meist auch noch weiter, so daß man
nicht für einen sondern auf einmal für hunderte Newsletter eingetragen ist.
•
HOAXes: HOAXes sind generell harmlos, aber können wenn sie in Massen auftreten,
auch sehr lästig sein. Es handelt sich hier um sensationelle Falschmeldungen, die meist
einen einigermaßen lustigen Charakter haben.
So gesehen wäre SPAM eigentlich nur ein „Ärgernis“, aber der massenhafte Versand von EMails hat nicht nur verärgerte User zur Folge, sondern auch konkrete wirtschaftliche Folgen,
denn obwohl der E-Mail Versand für die meisten Benutzer kostenlos ist, verursacht er doch
beim Provider gewisse Kosten.
Aufgrund der Verstopfung des Servers mit SPAM E-Mails geht eine Menge Rechenzeit desselbigen verloren und auch die Wartungskosten erhöhen sich, durch zum Beispiel Installation
und Pflege von SPAM Filtern, enorm. Die Auslastung des weltweiten Datennetzes wird durch
den Versand massenhafter E-Mails extrem belastet und da sich die Verbindungskosten der
Provider nicht nach der Zeit sondern nach dem transferierten Volumen richten, steigen deren
Kosten ebenfalls sprunghaft an. Nach einer Erhebung im Jahre 2004 kostete der SPAM Versand die Provider und Leitungsinhaber circa 25 Milliarden Dollar, Tendenz steigend.
III. Vermeidung von SPAM
Es gibt eine Vielzahl von Möglichkeiten, einschließlich der oben genannten, um SPAM zu
vermeiden. Die effektivste ist jedoch der so genannte SPAM Filter, der SPAMs automatisch
erkennt und aussortiert. Jedoch arbeiten diese Filter, vor allem ohne regelmäßige Pflege, nicht
hundertprozentig korrekt und es gibt immer wieder eine Mail die „durchrutscht“ oder eine die
fälschlicherweise als SPAM aussortiert wird. Die zuverlässige Konfiguration eines solchen
Filters ist demnach mit viel Aufwand, Zeit und einer gewissen Erfahrung beim User verbun-
34
den, denn nur ein auf die eigenen Bedürfnisse abgestimmter Filter erzielt die gewünschte
Wirkung.
Eine grobe Übersicht der Filterarten zeigt die folgende Aufzählung:
•
Schwarze Liste: Dieser Filter basiert darauf, daß auf frei zugänglichen Servern ein Verzeichnis von SPAM Versendern geführt wird. Der eigene Mailserver kann diesen Server
vorher abfragen und dadurch feststellen, ob die erhaltene Mail SPAM ist oder nicht.
Falls der Versender als Spammer gelistet ist, wird die Annahme der E-Mail verweigert.
•
Graue Liste: Dieser Filter macht sich die Eigenschaft zu nutze, daß die SPAM Versender meist das Mailprotokoll nicht einwandfrei einhalten. Geht eine verdächtige Mail ein,
wird die Annahme zunächst in die „Warteschlange“ geschoben und eine gewisse Zeit
verbleibt sie auf dieser Grauen Liste. Wird die Mail nach einer gewissen Zeit vom absendenden Mailserver nochmals zugestellt, gilt sie als konform und wird zukünftig immer zugelassen und fortan auf der Weißen Liste geführt.
•
Weiße Liste: In diesem Filter sind alle E-Mail Adressen enthalten, die von vorne herein
als vertrauenswürdig gelten und immer angenommen werden.
•
Bayesischer Filter / Inhaltsfilter: Dieser Filter nimmt eine Art Inhaltskontrolle der EMail vor und sucht nach bestimmten Stichworten, die oft in den SPAM Mails vorkommen, wie Sex, Erotik, Cheap Watches etc. Anhand dieser stuft er die Mails ein und
wenn eine bestimmte Stufe überschritten ist, wird die E-Mail als SPAM deklariert und
aussortiert. Selbstverständlich bedarf ein solcher Filter sehr viel Pflege, Wartung und
muß immer auf dem neuesten Stand sein. Da diese Filter mit einem gewissen Wahrscheinlichkeitsprinzip arbeiten, sind Fehler vorprogrammiert und es kann, je nach Einstellung des Filters, vorkommen, daß Mails irrtümlich als SPAM deklariert werden. Die
Quote ist bei korrekter Einstellung zwar sehr gering, aber es empfiehlt sich bei Verwendung eines solchen Filters die aussortierten E-Mails gelegentlich manuelle zu überprüfen.
Selbstverständlich ist auch die Beschwerde und der Rechtsweg gegen SPAM Versender möglich, jedoch ist der Aufwand meist hoch und die Erfolgsaussichten sehr gering, denn der
Spammer wechselt einfach zum nächsten Provider und das Spiel beginnt von vorne.
Folglich ist es am besten und effektivsten die oben genannten Regeln zu beherzigen und den
SPAM erst gar nicht entstehen zu lassen.
35
IV. Pretty Good Privacy (PGP) als Mailverschlüsselung
Grundsätzlich werden E-Mails im Klartext verschickt. Folglich kann jeder, der die E-Mail
abfängt oder öffnet diese auch lesen. An diesem Punkt kommt PGP ins Spiel. Es verschlüsselt
die E-Mail zu einem unverständlichen „Buchstabensalat“, sodaß nur der legitime Empfänger
mit dem korrekten Schlüssel die E-Mail wieder öffnen und lesen kann. PGP ist jedoch nicht
selbst der Verschlüsselungsalgorithmus, sondern lediglich die komfortabel bedienbare Oberfläche.
PGP arbeitet nach dem so genannten Public Key Verfahren und wird deshalb auch als asymmetrisches Verfahren bezeichnet. Der Benutzer erstellt zwei Keys, einen privaten, der zum
entschlüsseln benötigt wird, und einen öffentlichen, der zum verschlüsseln der an ihn gerichteten Mails Verwendung findet. Der öffentliche oder Public Key wird an alle anderen Benutzer herausgegeben, die dem Inhaber vertrauliche E-Mails schreiben wollen. Der Private Key
bleibt in eigenem Besitz und sollte an einem sicheren Ort aufbewahrt werden, denn nur mit
diesem Key und einem dazugehörigen Paßwort ist die Entschlüsselung einer mit dem Public
Key verschlüsselten Mail noch möglich.
Das Jura Computer Zentrum bietet zu diesem Bereich einen eigenen Kurs von Herrn Alexander Auch an. Aus diesem Grund soll dieser kurze Überblick über die Thematik genügen.
V. Elektronische Signaturen
Ein der am häufigsten diskutierten Aspekte der elektronischen Kommunikation ist die ordnungsgemäße Feststellung der Herkunft und vor allem des Urhebers. Da elektronische Post
keine Unterschrift im klassischen Sinne aufweißt, muß man das Problem auf anderem Wege
lösen und hier kommt die elektronische Signatur ins Spiel.
1. Begriffsbestimmung
Bei einer elektronischen Signatur handelt es sich um elektronische Daten, die die Authentizität und Integrität von elektronischen Informationen, meist Dokumenten, sicherstellen sollen.
Weiterhin soll eine solche Signatur die Identität des Signierenden eindeutig bestimmen und
über dieselbige eine Überprüfung möglich sein, quasi als elektronisches Äquivalent der eigenhändigen Unterschrift. Einer auf einem elektronischen Zertifikat basierenden elektronischen Signatur ist nicht anzusehen, ob sie von der korrekten Person stammt. Daher hat der
Signator unter allen Umständen sicher zu stellen, daß niemand Zugriff auf das Zertifikat erlangt. Die elektronische Signatur ist ein elektronisches Sigel und sie bürgt für die Unversehrtheit des Dokumenteninhalts.
36
Im deutschen Sprachgebrauch wird der Begriff elektronische Signatur und digitale Signatur
quasi synonym verwendet, was begrifflich nicht ganz korrekt ist. Meistens wird die digitale
Unterschrift gemeint, jedoch ist der Ausdruck Elektronische Signatur ein Überbegriff für alle
anderen. Die Verwirrung entstand hauptsächlich deshalb, weil das Signaturen Gesetz von
1997 noch von digitalen Signaturen sprach, daß selbe Gesetz von 2001 jedoch den Terminus
Elektronische Signaturen verwendet.
2. Technische Verfahren
In der Praxis gibt es drei Verfahren das eben gesagte umzusetzen. Alle drei Verfahren basieren auf dem asymmetrischen Kryptoverfahren.
•
PGP Systeme: Zu diesem Verfahren wurden bereits oben Ausführungen gemacht.
•
Zertifikatsbasierte Systeme: Bei einem zertifikatsbasiertem System erhält jeder Benutzer ein digitales Zertifikat, welches seine Identität beschreibt und die öffentlichen
Schlüssel enthält. Die ausgebende Stelle beglaubigt dieses Zertifikat und von nun an ist
der Benutzer mit dem Zertifikat verknüpft.
Ein Zertifikat sieht meist folgendermaßen aus:
-
Certificate Name: Name des Zertifikat-Inhabers.
-
Issuer: Herausgeber des Zertifikats, der die Authentizität bestätigt.
-
Details: Gültigkeitsdauer und andere Daten.
-
Public Key: Der öffentliche Schlüssel.
-
Private Key: Der geheime Schlüssel ist in einem Server-Zertifikat nicht enthalten.
Client-Zertifikate benötigen diesen, um ihre Authentizität gegenüber dem Server
bestätigen zu können. Der geheime Schlüssel sollte immer mit einem Kennwort
versehen sein.
In der Praxis läuft der Vorgang folgendermaßen ab. Bei einem Datenaustausch im Internet übertragt der Server das öffentliche Zertifikat an der Browser des Nutzers und
dieser überprüft, ob in seiner Liste, die ihm bei der Installation mitgegeben wurde oder
der Benutzer selbst installiert hat, ein entsprechendes Zertifikat vorhanden ist. Wird er
dort fündig baut er eine verschlüsselte Datenverbindung auf. Falls nicht, bietet er an
das entsprechende Zertifikat zu installieren.
•
Zertifikatsfreie Systeme: Auch diese Systeme basieren auf asymmetrischen Schlüsseln. Im Unterschied zu den zertifikatbasierten müssen bei freien Systemen geheimer
und öffentlicher Schlüssel dem Signaturhersteller nicht zugeordnet sein. Folglich ist eine
Überprüfung der Authentizität / Integrität der signierten Daten möglich, eine Identifizie-
37
rung des Unterzeichners jedoch nicht. In solch einem Fall wird meist ergänzend auf ein
biometrisches Verfahren zurückgegriffen, indem zum Beispiel die Unterschrift eingescannt und in das Dokument eingebunden wird.
Abschließend ist zu sagen, daß sich Otto Normalverbraucher mit solchen Problemen nicht
herumschlagen muß. Falls er doch einmal sensible Daten verschicken sollte, ist PGP die einfachste und günstigste Alternative. In der Industrie sieht dies schon völlig anders aus. Hier ist
die eindeutige Identifizierung und die Bewahrung von Firmengeheimnissen unumgänglich
und damit obligatorisch.
Der Inhalt einer Datei wird durch die elektronische Signatur nicht verschlüsselt und ist
noch lesbar und veränderbar. Sie dient lediglich dazu, eine Veränderung nach der Signierung zu erkennen.
K. W-Lan
In den letzten Jahren erfreuen sich vor allem im Heimbereich die W-LANs immer größerer
Beliebtheit. Dies hat vor allem mit der unkomplizierten Aufstellung und dem Faktor zu tun,
daß das lästige „Strippenlegen“ im ganzen Haus oder in der Wohnung entfällt.
Doch mit wachsender Beliebtheit wuchs leider auch die Gefahr in diesem Bereich. Anfangs
liefen die kleinen Funknetze noch ohne Verschlüsselung, so daß einem Schmarotzer Tür und
Tor offen Stand. So wurde es dringend nötig eine Verschlüsselung einzuführen, die über die
Jahre immer weiter verfeinert und verbessert wurde und mit dem hoffentlich bald verabschiedeten Standard IEEE 802.11i ihren bisherigen höchsten Sicherheitsstandard erreichen wird.
I. Begriffsbestimmung
Die Abkürzung W-LAN steht für Wireless Local Area Network, also im Vergleich zu einem
konventionellen Local Area Network (LAN), was kabelgebunden ist, eine Technik, die eben
ohne Kabel auskommt. Es bezeichnet ein lokales Funknetz, wobei meistens ein Standard der
IEEE 802.11-Familie zum Einsatz kommt. IEEE steht für „Institute of Electrical and Electronics Engineers“. Die IEEE ist ein Berufsverband von Ingenieuren aus den Bereichen Elektrotechnik und Informatik und mit mehr als 360.000 Mitgliedern in 175 Ländern (Stand 2005)
der größte technische Berufsverband der Welt. Ihr Aufgabenbereich liegt hauptsächlich in der
Standardisierung von Technologien, Hardware und Software, wozu auch der bereits genannte
W-LAN-Standard gehört.
38
W-LAN ist nicht gleichzusetzen mit dem Begriff Wi-Fi, was oft fälschlicherweise getan wird.
Wi-Fi steht für die Wi-Fi Allianz, eine 1999 gegründete Organisation bestehend aus über 200
Unternehmen. Diese hat es sich zur Aufgabe gemacht, Produkte verschiedener Hersteller auf
Basis des IEEE 802.11 Standards zu zertifizieren und somit den Betrieb der Geräte untereinander zu gewährleisten. Hintergrund war, daß in vielen Produkten der Standard nicht vollständig implementiert war oder durch proprietäre Erweiterungen aufgeweicht wurde. Die WiFi testet Produkte anhand eigener Richtlinien. Produkte, die diese Prüfung bestehen, erhalten
das Wi-Fi Zertifikat und dürfen damit das Wi-Fi Logo tragen. Dieses Konsortium hat sich
Ende 2002 auch dazu entschlossen mit Wi-Fi Protected Access (WPA) eine Teilmenge des
zukünftigen Standards IEEE 802.11i als neue Verschlüsselungstechnik zu etablieren, um bereits vor der Verabschiedung des neuen Standards das als unsicher geltende Verschlüsselungsverfahren Wired Equivalent Privacy (WEP) abzulösen.
Die aber wohl bekannteste Bezeichnung oder Marke für Wireless LAN ist das von INTEL
vermarktete Centrino-Paket. Die Marketingmaschinerie von INTEL arbeitete dabei so geschickt, daß der Großteil der Bevölkerung der Meinung ist, ein Centrino Notebook ist quasi
das Synonym für W-LAN Technik. Effektiv besteht das Centrino-Paket zum Zeitpunkt der
Fassung dieses Skripts aus dem Pentium M Prozessor (Codename Dothan), dem i915 Chipsatz und eben jener besagten W-LAN Technik, in Form der W-LAN Karte Intel Pro Wireless
2915. Die neue Generation mit dem Centrino Duo steht aber schon in der Startlöchern. Intel
unterstütze zur Zeit der Vorstellung und Einführung des Centrino-Pakets leider nur den langsamen IEEE 802.11b Standard der lediglich mit 11 Mbit Daten überträgt, während die Mitbewerber im Markt bereits auf den G-Standard mit 54 Mbit bauten. Erst relativ spät schob
Intel die Pro Wireless 2200 nach, die ebenfalls nach dem heute am weitesten verbreiteten GStandard arbeitet. Vor kurzem wurde die Intel Pro Wireless 2915ABG veröffentlicht, die dann
alle derzeit am Markt befindlichen und verbreiteten Standards, einschließlich des AStandards, beherrscht, wodurch Intel zu den Mitbewerbern aufschließen konnte.
II. Die Standards
Die heutzutage betriebenen W-LANs arbeiten hauptsächlich nach den Standards B und G,
also 11 MBIT und 54 MBIT. Da diese untereinander vollkommen kompatibel sind ist eine
Aufrüstung von B auf G ohne weiteres möglich, was viele Hotspotbetreiber auch gemacht
haben.
39
Im Folgenden sollen nun in Tabellenform die W-LAN Standards dargestellt werden, nach
denen heutige W-LANs arbeiten. Aufgrund der Übersichtlichkeit werden nur die gängigsten
und wichtigsten genannt.
Standard
Frequenzbereich und Beschreibung
Maximale Datenrate
802.11a
5GHZ, 54 MBIT
Hauptsächlich von Firmen genutzt, geringere
Reichweite als B und G, empfindlich gegenüber
Hindernissen,
größeres
Frequenz-
Spektrum, höherer nomineller Durchsatz als
B und G
802.11b
2,4GHZ, 11 MBIT
Der Urvater des W-LAN, wie man es kennt,
nicht so empfindlich bei Hindernissen, allgemein sehr kompatibel,
802.11g
2,4GHZ, 54MBIT
Im Grunde das Selbe wie der B Standard nur
mit 54 MBIT anstatt 11 MBIT
802.11i
2,4GHZ, 54 MBIT
Erweiterung des G Standards um Sicherheits-
(noch nicht offiziell
features wie AES Verschlüsselung und
eingeführt)
WPA2. So hätte der W-LAN Standard von
Anfang an sein sollen.
802.11n
5GHZ oder 2,4GHZ, Kommender Standard als Zukunftsmusik.
(circa Ende 2006)
bis 540 MBIT
Wird nicht vor Ende 2006 erwartet und
bringt vor allem eine Geschwindigkeitserhöhung auf bis zu 540 MBIT.
802.11g (108mbit)
2,4GHZ, 108 MBIT
Dies ist eigentlich gar kein Standard sondern
eine proprietäre Erweiterung mancher Hersteller des G Standards. Erreicht wird dies
durch eine spezielle Antennenzuteilung eine für ankommenden Datenverkehr und
eine für abgehenden. Geräte unterschiedlicher Hersteller sind nicht kompatibel, denn
jeder „kocht sein eigenes Süppchen“.
In der oben stehenden Tabelle sind nur die nominellen Übertragungsgeschwindigkeiten der
einzelnen Standards angeben. Die in der Praxis erreichten Werte liegen jedoch meist deutlich
40
darunter. Ein Netzwerk nach dem heute vorherrschenden G Standard setzt unter normalen
Bedingungen etwa um die 20-30 MBIT durch. Nur unter optimalen Bedingungen ist es mehr
und die maximal möglichen 54 MBIT werden praktisch nie erreicht. Dies liegt meist daran,
daß es einen gewissen Overhead für die Verwaltung der Verbindung gibt.
III. Die Betriebsarten
Ein W-LAN kann grundsätzlich in zwei Betriebsarten genutzt werden und zwar im Ad-hoc
Modus oder im Infrastruktur Modus. Ergänzt werden diese Modi noch durch einen dritten,
den so genannten Bridge Modus.
1. Infrastruktur Modus
Der Infrastruktur Modus ist der am meisten genutzte Modus. Er besteht aus einem Access
Point und den Clients, meist ein oder mehrere W-LAN Notebooks, die sich an dem Access
Point anmelden. Er koordiniert die einzelnen Netzknoten und dient als Verbindungsglied zu
einem „normalen“ LAN oder einem weiteren W-LAN. Er ist die feste Zugangsstation für den
W-LAN Client.
2. Ad-Hoc Modus
Im Ad-Hoc Modus ist keine zentrale Station vorhanden, der Access Point fehlt hier. Vielmehr
verbinden sich die Clients ohne Umwege direkt miteinander, es ist keine weitere Hardware
nötig.
3. Bridge Modus
Diese Betriebsart hat keinerlei Clients. Sie dient lediglich dazu eine bestimmte Distanz drahtlos zu überbrücken. Meist sind zwei Access Points beteiligt. Der eine steht am Start der
Funkstrecke, der andere am Ziel. In diesem Modus kommunizieren nur diese zwei Access
Points miteinander und leiten die Daten von einem zum anderen weiter. Ein Client kann sich
an keinem der beiden anmelden.
IV. Die Verschlüsselungsverfahren
Der Zugriff auf ein drahtloses Netzwerk ist im Gegensatz zu einem drahtgebundenen Netzwerk (LAN) unbedingt zu verschlüsseln, weil der Angreifer keinen physischen Kontakt zum
Netz wie bei einem LAN benötigt. Anfangs wurden W-LANs unverschlüsselt betrieben und
jeder konnte sich mit einer W-LAN Karte in das Netzwerk einloggen und mitsurfen. Auch
heute ist das noch oft der Fall. Es soll an dieser Stelle erwähnt sein, daß dies den W-LAN
41
Besitzer in eine rechtlich sehr gefährliche Situation manövriert, denn nach außen, also ins
Internet ist immer nur die IP Adresse des Besitzers sichtbar.
Worst Case Szenario wäre zum Beispiel, daß ein Fremder sich in Ihr W-LAN einloggt und
illegale und strafbare Inhalte wie Kinderpornographie oder Warez aus dem Netz herunterlädt.
Die Ermittlungsbehörden fragen nach richterlichem Beschluß bei Ihrem Provider nach, zu
wem die aufgezeichnete IP Adresse gehört und haben damit die Möglichkeit sie zivilrechtlich
sowie strafrechtlich zu belangen. Meist steht in solchen Fällen eine Hausdurchsuchung an und
obwohl Sie nichts dafür können, denn Sie müßten sich in dem Fall entlasten, haben Sie eine
Menge Ärger am Hals. Es gibt für den Besitzer des W-LAN praktisch keine Möglichkeit
nachträglich festzustellen, ob und wer auf seine Kosten gesurft hat. Schon aus diesem Grund
ist es unerläßlich sein W-LAN zu verschlüsseln um eventuellen Angreifern die Sache so
schwer wie möglich zu machen und sich selbst zu schützen.
Längst haben sich in diesem Bereich ganze Subkulturen entwickelt, die auf unverschlüsselte
W-LANs aufmerksam machen. Das Finden von solchen Netzwerken wird als „WarDriving“
oder „WarWalking“ bezeichnet. Hierbei werden die Informationen über das offene Netzwerk
mit Kreide auf den Asphalt geschrieben sodaß jeder weitere W-LAN Nutzer, der an dieser
Stelle vorbeikommt, die Informationen sofort zur Hand hat und mitsurfen kann.
Im Folgenden sind die gängigsten Verschlüsselungsverfahren aufgelistet.
1.
WEP
Der WEP Standard arbeitet mit einer Schlüssellänge von 64 bis 256 Bit
und auf Basis des RC4 Algorithmus. Dieses Verfahren gilt selbst in der
höchsten Verschlüsselungsstufe als „geknackt“ und somit unsicher,
denn einen entsprechend schnellen PC vorausgesetzt kann der Schlüssel umgehend errechnet werden und mit der Leistungsfähigkeit heutiger
Notebooks ist das sehr gefährlich. Auch erfolgt die Datenübertragung
im Klartext, so daß fast jeder mitlesen kann und so genannte KnownPlaintext-Attacken möglich sind.
Fazit: NICHT VERWENDEN!
2.
WPA
Dieses Verfahren basiert auf WEP, wurde aber durch TKIP und PSK
erweitert. Da sich die Einführung des neuen Standards 802.11i verzögert wurde als Teilmenge daraus WPA entnommen und in die bestehenden Verfahren integriert. Dies ist nötig geworden, da der Verschlüs-
42
selungsstandard WEP kaum noch Sicherheit bot und an erheblichen
Schwächen litt. Durch die Ergänzung um das TKIP Verfahren ändert
sich der Schlüssel im Gegensatz zu WEP temporär pro 10 KB übertragener Daten. Weiterhin wird die MAC Adresse des Clients mit in den
Datenverkehr eingebunden, sodaß ein Abhören oder Abfangen des Datenstroms stark erschwert wird. Ergänzt wird das Ganze durch einen
Hashwert (Prüfsumme), welcher als Zufallswert dem Sicherheitsprotokoll beigefügt wird. Bei Verwendung des PSK ist unbedingt auf die
Qualität des Paßworts zu achten. Es sollte um ganz sicher zu gehen
nicht kürzer als 32 Zeichen sein, Groß- Kleinschreibung und Sonderzeichen enthalten. Hierdurch wird eine Brute-Force-Attacke soweit erschwert, daß sie als unmöglich gilt und wirtschaftlich unrentabel ist.
Fazit: Gilt als sicher und nicht zu knacken, wenn man die nötige
Sorgfalt walten läßt.
3.
WPA2
WPA2 ist die Verschlüsselung des 802.11i Standards. Durch WPA2
wird der Verschlüsselungsstandard nochmals erhöht und zwar durch
den Advanced Encryption Standard (AES). Auch dieses Verfahren gilt
selbst bei höchstem Aufwand, Einsatz eines leistungsstarken Rechners,
und bei der sorgfältigen Wahl eines entsprechenden Paßworts als unknackbar.
Fazit: Wenn WPA2 angeboten wird, dieses auch nutzen.
Folglich sollte man zumindest WPA mit einem sicheren Paßwort nutzen und wenn es
angeboten wird und die Hardware dies unterstützt, WPA2. Eine solche W-LAN Verbindung gilt zum heutigen Zeitpunkt als nicht entschlüsselbar.
V. Weitere Sicherheitsfeatures das W-LAN zu sichern
Neben der Verschlüsselung des W-LANs und des Datenverkehrs gibt es noch eine Reihe weiterer Möglichkeiten das W-LAN abzusichern. Diese Maßnahmen sind hauptsächlich vom
Funktionsumfang des Access Points abhängig, aber die meisten APs unterstützen die genannten Funktionen.
43
•
Konfiguration so kompliziert wie möglich gestalten. Um einem Angreifer das Leben so schwer wie möglich zu machen sollte, man die Konfiguration des Access
Points möglichst individuell vornehmen, damit ein potentieller Angreifer nicht auf
Standardeinstellungen eines Access Points zurückgreifen kann. Dies bedeutet vor allem das Abschalten des DHCP Servers im Access Point, der jedem Client automatisch
eine IP Adresse zuweist. Dadurch muß der Angreifer zunächst die Konfiguration
durch Ausprobieren erraten. Ebenfalls sollten sämtliche Standardpaßworte des Access
Points umgehend geändert und durch sichere ersetzt werden, denn die Standardpaßworte sind bei den meisten APs sehr ähnlich. Es wird hauptsächlich ADMIN und
1234 benutzt.
•
Den MAC Filter einschalten. Die MAC (Media Access Control) ist eine Art „Seriennummer“ jeder Netzwerkkarte die auf der ganzen Welt einmalig ist. Folglich ist es
sehr sicher, den Access Point so einzustellen, daß er nur bestimmte MAC Adressen
zuläßt und zwar nur die der eigenen W-LAN Karte. Um die MAC Adresse einer WLAN Karte zu ermitteln drückt man unter WinXP den START Button und geht auf
AUSFÜHREN. Dort gibt man das Kommando CMD ein und erhält ein DOS Fenster.
Durch Eingabe von ipconfig /all werden die aktuellen Daten aller im System befindlichen und aktivierten Netzwerkkarten abgefragt und unter dem Punkt Physikalische
Adresse ist dann die entsprechende MAC Adresse der Karte zu finden. Wenn mehr als
eine Netzwerkkarte im System vorhanden ist, muß man sich natürlich die korrekte
MAC-Adresse heraussuchen, aber die Karten werden immer mit Namen bezeichnet.
•
Deaktivierung des Fernzugriffs oder des Remote Admin des Access Points. Fast
jeder Access Point bietet die Möglichkeit über das Internet auf die Einstellungen zuzugreifen. Diese Funktion mag sehr praktisch sein, aber sie birgt auch ein entsprechendes Risiko, weshalb eine Deaktivierung der entsprechenden Funktion anzuraten
ist, es sein denn, man braucht sie unbedingt. Falls die Funktion benötigt wird, sollte
man sie auf jeden Fall so einstellen, daß nur SSH (Secure Shell) Verbindungen zugelassen werden, da diese verschlüsselt sind.
•
SSID verbergen. Um ein W-LAN Netzwerk zu finden überträgt der Access Point die
so genannte SSID. Diese stellt eine Art Name für das Netzwerk dar und kann durch
den W-LAN Client gefunden werden. Zur anfänglichen Einrichtung ist die Übertragung der SSID sicher sinnvoll, aber nachdem die Verbindung hergestellt ist wird diese
normalerweise als Profil in den Einstellungen des Clients gespeichert und eine Übertragung ist nicht mehr nötig. Demnach sollte man die Übertragung der SSID nach der
44
Einrichtung des Clients abschalten, denn was ein Angreifer nicht sieht, kann er auch
nicht attackieren.
•
W-LAN nur bei wirklicher Nutzung einschalten. Generell kann man sagen, daß das
W-LAN auch wirklich nur bei dessen Nutzung eingeschaltet werden und nicht nur einfach mitlaufen sollte. Auch hierdurch verringert man die Angriffsmöglichkeiten.
Alle diese Maßnahmen können helfen, ein eigenes W-LAN sicher zu betrieben. Es bleibt zwar
immer ein gewisses Restrisiko.
VI. W-LAN an der Uni
Auch die Universität Tübingen bietet für Studenten einen Zugang per drahtlosem Netzwerk
an. Man benötigt dafür einen Login beim ZDV (Zentrale Datenverwaltung) und einen so genannten VPN (Virtual Private Network) Client. Diesen kann man sich, nachdem man sich per
W-LAN verbunden hat, kostenlos von der Homepage des ZDV herunterladen. In diesem
Client trägt man seine Login-Daten ein und schon ist ein Zugang ins Internet möglich.
Das Computerzentrum bietet hierzu eigene Kurse an und ich möchte für weitere Ausführungen auf diese verweisen.
Von der Verlockung einer einfachen Installation sollte man sich nicht dazu hinreißen lassen
auf sicherheitsrelevante Maßnahmen zu verzichten. Die Verschlüsselung eines W-LANs ist
oberstes Gebot und auch aus den oben genannten Haftungsgründen unumgänglich.
45

Internet_und_Datensicherheit

Transcription

Similar documents

Berichten - Der Bundesrat admin.ch

pdf-Datei - Deutsch am Arbeitsplatz

1 Einführung - Institut für Statistik