Termin II - TU Berlin
Transcription
Termin II - TU Berlin
Viren, Würmer und Trojaner Überleben im Schädlingsdschungel, 2. Teil. Thomas Hildmann [email protected] FSP-PV/PRZ TU Berlin i.A. der TU Berlin Weiterbildung – p.1/22 Bevor es weiter geht... Gibt es bezüglich der Themen vom letzten Termin... Anmerkungen, Fragen, Anregungen, Beschwerden, Proteste, Erfahrungen, Hinweise, Tips, Tricks, Verunsicherungen, ... ? i.A. der TU Berlin Weiterbildung – p.2/22 Inhalt Trojanische Pferde Hoaxes Phishing Kettenbriefe Frauds Qualifikation und Motivation von Autoren Antiviren Programme Was tun nach Virenbefall? i.A. der TU Berlin Weiterbildung – p.3/22 Trojanisches Pferd Der Begriff “Trojanisches Pferd” ist ursprünglich auf den grieschichen Dichter Homer zurückzuführen: Nachdem die Griechen nach dem Raub Helenas die Stadt Troja zehn Jahre lang vergeblich belagert hatten, ersann Odysseus eine List. Er schlug vor, ein großes hölzernes Pferd zu bauen, in dessen Bauch sich Soldaten verstecken. Quelle: BSI-Faltblatt: Kurzinformationen zu Trojanische Pferde http://www.bsi.bund.de/av/ i.A. der TU Berlin Weiterbildung – p.4/22 Trojanisches Pferd Trojanische Pferde sind Programme, die neben scheinbar nützlichen auch nicht dokumentierte, schädliche Funktionen enthalten und diese unabhängig vom Computer-Anwender und ohne dessen Wissen ausführen. Im Gegensatz zu Computer-Viren können sich Trojanische Pferde jedoch nicht selbständig verbreiten. Quelle: BSI-Faltblatt: Kurzinformationen zu Trojanische Pferde http://www.bsi.bund.de/av/ i.A. der TU Berlin Weiterbildung – p.5/22 Typische trojanische Pferde Nachbildung des Anmeldebildschirms (Login) Zugang zu ISPs (z.B. AOL) Nachbildung der Online-Banking-Software Installationen von Tools wie Subseven oder Back Orifice zum Fernsteuern des Rechners i.A. der TU Berlin Weiterbildung – p.6/22 Gegenmaßnahmen: Trojanische Pferde Verwenden Sie Programme nur aus sicherer Quelle! Keine Anhänge aus unsignierten, ungeprüften E-Mails! Verwendung von sichereren E-Mailclients Abschalten der Ausführung aktiver Inhalte in E-Mails evtl. Abschaltung von HTML-Mails etc. Nutzen Sie Informationsangebote! Updates, Updates und schnell Updates! i.A. der TU Berlin Weiterbildung – p.7/22 Erkennung und Beseitigung Durch aktuellen Virenwächter (ggf. verschiedene einsetzen) Durch auffinden in... Autostart-Ordner Win.ini Registry ... Beseitigung durch Löschen des Schadprogramms und des dazugehörigen Eintrags (ggf. Fachmann hinzuziehen) i.A. der TU Berlin Weiterbildung – p.8/22 Hoaxes Ein Hoax ist eine Falschmeldung. Der Schaden entsteht durch die Verbreitung dieser Meldung und durch die Aufforderung, die oft mit einem Hoax verbunden ist (Dateien ändern/löschen, sensible Daten weitergeben, usw.). Oft sind Hoaxes als Kettenbriefe angelegt und fallen in die Kategorie Spam. Wirkungsvollste Gegenmaßnahme: Erkennen und ignorieren. Ggf. aufklären. http://www.hoax-info.de/ i.A. der TU Berlin Weiterbildung – p.9/22 GESCHAEFTSVORSCHLAG i.A. der TU Berlin Weiterbildung – p.10/22 Hoaxbeispiele Zum besseren Verständnis und evtl. auch zum Schmunzeln hier ein paar Beispiele für Hoaxes: Jdbgmgr.exe Bonsai Kitten Atomstromfilter i.A. der TU Berlin Weiterbildung – p.11/22 Phishing Phishing wird meist über E-Mail betrieben und stellt eine Sonderform von Hoaxes dar. Hier wird durch einen erfundenen Sachverhalt versucht, an sensible Informationen von Benutzern zu gelangen. Beliebt sind z.B. Kreditkartennummern, Daten, die für eBay-Anmeldungen erforderlich sind oder Online-Konto-Zugangsdaten. Erkennung: Banken etc. schreiben solche Aufforderungen nicht per E-Mail. Ggf. beim Institut nachfragen und immer nur die bekannten Zugangsinformationen (z.B. URLs aus den Bookmarks) benutzen. http://www.bsi-fuer-buerger.de/abzocker/05_08.htm i.A. der TU Berlin Weiterbildung – p.12/22 Kettenbrief Kettenbriefe sind Spam, binden Arbeitszeit, machen den Nutzen von E-Mails zunichte, verunsichern die Empfänger, verursachen erhebliches, unnützes Datenaufkommen. Keine Angst! Die erwähnten Fallbeispiele aus verschiedenen Kettenbriefen sind erfunden oder statistisch erklärbar. Gelingt es nicht, Kettenbriefe zu ignorieren, hilft in der Regel eine ambulante psychologische Betreuung. i.A. der TU Berlin Weiterbildung – p.13/22 Arlington Wenn Sie diese Mail loeschen, haben Sie ernsthaft kein Gefuehl, kein Herz. Hallo, ich bin ein 29jaehriger Vater. Ich und meine Frau haben zusammen ein wundervolles Leben gehabt. Gott segnete uns auch mit einem Kind. Der Name unserer Tochter ist Rachel, und sie ist 10 Monate alt. Nicht vor langer Zeit ermittelten die Doktoren Gehirnkrebs in ihrem kleinen Koerper. Es gibt nur Einen Weg, sie zu sichern... eine Operation. Traurig, dass wir nicht genuegend Geld zum zahlen der Operation haben.. AOL und ZDNET sind damit einverstanden, uns zu helfen. Die einzige Art und Weise, auf die sie uns helfen können, ist auf diese Weise, indem ich Ihnen diese Email schicke. Bitte schicken Sie dieses Mail an moeglichst viele Leute weiter. AOL sammelt diese Mails auf und zaehlt, wieviele Leute es erhalten. Jede Person, die dieses Mail oeffnet und es mindestens 3 Leuten schickt, gibt uns 32 Cents. Helfen Sie uns bitte. Sie konnen mit Ihrem versenden Leben retten. Danke vielmals! George Arlington i.A. der TU Berlin Weiterbildung – p.14/22 Viren-Autoren Mindestanforderungen: Programmierkenntnisse Motivation: Geltungsbedürfnis / Eitelkeit Kenntnisse zu Sicherheitslücken oder Ideen zum social Engineering Geld bzw. geldwerte Vorteile etwas Zeit Langeweile Rache / Zerstörungswut Auftrag / Erpressung durch Dritte (Industrie)spionage i.A. der TU Berlin Weiterbildung – p.15/22 Beispiel für einen Virenautor Netsky und Sasser stammen aus der “Feder” eines deutschen Schülers. http://www.heise.de/security/news/meldung/50758 i.A. der TU Berlin Weiterbildung – p.16/22 Antiviren-Programme im Vergleich 1/2 1. SCN = NAI VirusScan 4.16.0 (22) 2. AVP = Kaspersky AntiVirus 3.0 / FSE = FSecure AntiVirus 1.00.1251 (17) 3. NAV = Norton AntiVirus (Corp.Ed.) (13) 4. DRW = DrWeb 4.46 (11) 5. INO = Inoculan 6.0 (10) 6. RAV = Rumanian AntiVirus 8.02.001 (9) 7. BDF (AVX) Bit Defender, CMD = Command Software 4.62.4, NVC = Norman Virus Control 5.30.02 (7) i.A. der TU Berlin Weiterbildung – p.17/22 Antiviren-Programme im Vergleich 2/2 Perfekter Malware-Schutz (26 Punkte). Sophos wird in den nächsten Tests wieder berücksichtigt. Quelle: AntiVirus/AntiMalware Product Test "2003-04" antiVirus Test Center (VTC), University of Hamburg i.A. der TU Berlin Weiterbildung – p.18/22 Weitere Testergebnisse Rät von Norton AntiVirus ab und unterscheidet ansonsten vor allem danach, wie ressourcenschonend die Software ist. Es gewinnt F-Secure gefolgt von AntiVir. Fazit: “Perfekt ist keiner.” Chip-Online: Regelmäßig aktuelle Tests beobachten! Unabhängigkeit hinterfragen! Augen offen halten: i.A. der TU Berlin Weiterbildung – p.19/22 Die wichtigsten Virenscannerfunktionen Wir testen am Beispiel Sophos: Virendatenbank-Updates Prüfung aller Datenträger Einstellungen für InterCheck (Online-Prüfung) Prüfung einzelner Dateien i.A. der TU Berlin Weiterbildung – p.20/22 Was tun nach Virenbefall? Ruhe bewahren! Arbeiten nach Möglichkeit abschließen Verdacht überprüfen Nach Möglichkeit Spezialisten hinzuziehen Beseitigung ist unterschiedlich und nach Identifizierung i.d.R. möglich Neuinstallation ist nur letzter Ausweg und sollte nur bei sehr sensiblen Systemen vorgenommen werden i.A. der TU Berlin Weiterbildung – p.21/22 Zum Thema Updates Wahlweise Online-Update-Funktion oder regelmäßig über Updates informieren und manuell Patches einspielen Nach Neuinstallation von Programmen immer erst Update, dann Benutzung Updates von Fremdherstellersoftware sind nicht automatisch beim Online-Update dabei (also z.B. Mozilla auf Windows-Systemen etc.) Software ohne Support muss so bald, wie möglich ersetzt werden i.A. der TU Berlin Weiterbildung – p.22/22