Gefahren aus dem Internet - Medizin-EDV
Transcription
Gefahren aus dem Internet - Medizin-EDV
67 Gefahren aus dem Internet Computerviren, Trojanische Pferde und allerlei andere unsympatische Eindringlinge stellen eine erhebliche Gefährdung des eigenen PCs dar. Obwohl ComputerViren prinzipiell bei jedem Computertyp und Betriebssystem denkbar sind, erlangten sie bei IBM-kompatiblen Personalcomputern (PC), insbesondere bei den weit verbreiteten Windows-Betriebssystemen, die größte Bedeutung. Hierbei wurden bis Ende 2002 weltweit rund 70.000 Viren (einschließlich Varianten) gezählt. den. Sie sind nur mehr in neuen Nischen von Bedeutung. In der Vergangenheit hatten Computerviren oft Vorreiterrollen, und schnell verbreitende Würmer kamen erst später. Das Bundesamt für Sicherheit in der Informationstechnik gibt Tipps, wie Sie sich schützen können. Arbeitsweise Gefährdungsgrad unterschiedlicher Betriebssysteme Die Idee zu Computerviren leitete sich von dem biologischen Vorbild der Viren ab und gab ihnen ihren Namen. Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und nimmt dabei keine all zu große Rücksicht auf dessen Wohlergehen. Auch er vermehrt sich unkontrolliert und exponentiell. Dadurch, und durch explizit vom Virenautor eingebaute Schadfunktionen, kommt es bei Infektion eines Computers häufig zur Veränderung oder Verlust von Daten und Programmen und zu Störungen des regulären Betriebs. Das verwendete Betriebssystem hat großen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Vireninfektion ist. Während für Windowssysteme über 60.000 Viren existieren, gibt es für Linux und Mac OS jeweils etwa 50 Viren. Gründe dafür sind vor allem der hohe Marktanteil von Windows, Sorglosigkeit und fehlendes Wissen vor allem bei Privatanwendern sowie eine mangelhafte Rechteverwaltung, die über lange Zeit den Nutzern (und damit auch beliebiger Malware) im normalen Betrieb vollen Zugriff auf Hardware und Betriebssystemfunktionen erlaubte. Ein Computervirus infiziert einen Rechner über eine Netzverbindung oder ein Wechselmedium. Die weitere Verbreitung auf andere Rechner geschieht immer passiv, da sich der Computervirus an zahlreiche Dateien anhängt, die wiederum durch Wechselmedien oder Netzwerke auf andere Rechner übertragen werden können. Unter Linux hat der Standardnutzer nur beschränkte Rechte und muss zur Installation von Programmen oder Veränderungen am System das Root- bzw. Administratorenpasswort angeben. Das hat zur Folge, dass sich kein Schädling unbemerkt einnisten kann, zumindest nicht ohne Passworteingabe. In der Umgangssprache werden auch Computerwürmer wie „I Love You“ zu Viren gezählt. Der Unterschied besteht jedoch darin, dass ein Wurm eine selbstständige Datei und ein Virus eine nichtselbstständige Programmfunktion ist. Der selbständige Wurm verfolgt aktive Strategien, um sich auf andere Rechner zu verbreiten, der Virus hingegen hängt sich nur an Dateien an und verbreitet sich über diese auf passive Art und Weise. Die meist kommerzielle Nutzung von Applecomputern führt dazu, dass der Sicherheitsstandard höher ist, weil professionell betreute Computersysteme oft gut geschützt werden. Außerdem macht die geringe Verbreitung von Macs die Virenentwicklung weniger lohnend. Heutzutage sind Computerviren fast ausschließlich von Würmern verdrängt wor- nahezu vollständigen Schutz, wenn keine Schreibgenehmigung für die Festplatten erteilt wird. Weil keine Veränderungen an Festplatten vorgenommen werden können, kann sich kein schädliches Programm einschleichen. Allgemeine Prävention Anwender sollten niemals unbekannte oder Programme aus unsicherer Quelle ausführen und generell beim Öffnen von Dateien Vorsicht walten lassen. Das gilt insbesondere für Dateien, die per E-Mail empfangen wurden. Solche Dateien – auch eigentlich harmlose Dokumente wie Bilder oder PDFs – können durch Sicherheitslücken in den damit verknüpften Anwendungen auf verschiedene Weise Schadprogramme aktivieren. Daher ist deren Überprüfung mit einem aktuellen Antivirenprogramm Pflicht. Schutz durch LiveSysteme Betriebssystem und Anwendungen sollten regelmäßig aktualisiert werden. Ferner sollte dem Betriebssystem bereits im Grundzustand alle wichtigen Service Packs und Hotfixes durch sogenanntes Slipstreaming oder unbeaufsichtigte Installation integriert werden. Dazu gibt es auch die Möglichkeit, die Service Packs und Hotfixes für Windows 2000 und Windows XP via „Offlineupdate“ einzuspielen. Andernfalls könnte bereits beim ersten Verbinden mit dem Internet der PC infiziert werden. Live-Systeme wie Knoppix, die unabhängig vom installierten Betriebssystem von einer CD gestartet werden, bieten Die eingebauten Schutzfunktionen des Betriebssystems sollten ausgenutzt werden. Dazu zählt insbesondere, nicht als Der Computer-Führer für Ärzte, Ausgabe 2006 68 Administrator mit allen Rechten, sondern als Nutzer mit eingeschränkten Rechten zu arbeiten, da dieser keine Software installieren darf. Das automatische Öffnen von Dateien aus dem Internet sowie das automatische Ausblenden von bekannten Dateianhängen sollte deaktiviert werden. Auch durch die Autostartfunktion für CD-ROMs und DVD-ROMs können Programme bereits beim Einlegen eines solchen Datenträgers ausgeführt und damit ein System infiziert werden. Es empfiehlt sich, die auf den meisten Privatrechnern vorinstallierte Software von Microsoft zu meiden oder umzukonfigurieren. Diese bieten durch ihren extrem hohen Verbreitungsgrad eine große Angriffsfläche. Vor allem Internet Explorer (IE) und Outlook Express sind hier zu nennen. Die zur Zeit bedeutendste Alternative zu IE ist Firefox, der mehr Sicherheit verspricht. Für Betriebssysteme wie Mac OS X, GNU / Linux oder die aus der BSD-Reihe existieren keine Viren, die für den Benutzer eine Gefahr darstellen können. Es gibt zwar Viren für diese Betriebssysteme, jedoch können sie sich auf Grund von z. B. Rechtetrennung im Normalfall nicht stark verbreiten. Personal Firewalls zeigen gegen Viren keine Wirkung, da ihre Arbeitsweise nichts mit der der Viren zu tun hat, sondern eher auf Würmer passt. Quelle: Artikel „Computervirus“ in der deutschsprachigen Wikipedia (http://de.wikipedia.org/ wiki/Computervirus), eine Liste der beteiligten Autorinnen und Autoren kann dort eingesehen werden. Der Artikel und damit auch der vorangehende Abschnitt stehen unter der GNU Lizenz für freie Dokumentation (http:// de.wikipedia.org/wiki/Wikipedia:GNU_Free_ Documentation_License) Einstellungen am Rechner Bereits durch das Aktivieren verfügbarer Sicherheitsfunktionen wird das Eindringen von Computer-Viren erheblich erschwert. ■ Alle vorhandenen Sicherheitsfunktionen des Rechners aktivieren (Passwort-Schutz, Bildschirmschoner mit Passwort etc.), damit während der Abwesenheit des berech- Aktuelle Beiträge ■ ■ ■ ■ ■ ■ tigten Benutzers Unbefugte keine Möglichkeit haben, durch unbedachte oder gewollte Handlungen den Rechner zu gefährden. Aktuelles Viren-Schutzprogramm mit aktuellen Signatur-Dateien einsetzen, das im Hintergrund läuft (resident) und bei bekannten Computer-Viren Alarm schlägt. Im Microsoft Explorer sollte die Anzeige aller Dateitypen aktiviert sein. Makro-Virenschutz von Anwendungsprogrammen (WinWord, Excel, Powerpoint, etc.) aktivieren und Warnmeldungen beachten. Sicherheitseinstellungen von Internet-Browsern auf höchste Stufe einstellen (Deaktivieren von aktiven Inhalten [ActiveX, Java, JavaScript] und Skript-Sprachen [z.B. Visual Basic Script, VBS] etc.). Keine Applikationsverknüpfung für Anwendungen mit potentiell aktivem Code (MS-Office) im Browser nutzen oder Anwendungen über Internet aktivieren. Sicherheitseinstellungen (ECL) bei Lotus Notes bearbeiten und das Ausführen von „gespeicherten Masken“ per Datenbank unterbinden. Eingehende E-Mail Eingehende E-Mail ist das größte Einfallstor für Computer-Viren. Bei sicherheitsbewusstem Verhalten lassen sich hierbei schon die meisten Computer-Viren herausfiltern. ■ Offensichtlich nicht sinnvolle EMails von unbekannten Absendern sofort ungeöffnet löschen. ■ Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde. ■ Vorsicht bei mehreren E-Mails mit gleichlautendem Betreff. ■ Kein „Doppelklick“ bei ausführbaren Programmen (*.COM, *.EXE) oder Script-Sprachen (*.VBS, *.BAT), Vorsicht auch bei Office-Dateien (*.DOC, *.XLS, *.PPT) sowie Bildschirmschonern (*.SCR). ■ Auch eine E-Mail im HTML-Format Der Computer-Führer für Ärzte, Ausgabe 2006 ■ kann aktive Inhalte mit Schadensfunktion enthalten. Nur vertrauenswürdige E-Mail-Attachments öffnen (z.B. nach tel. Absprache). Es ist zu beachten, dass die Art des Datei-Anhangs (Attachment) bei Sabotageangriffen oft getarnt ist und über ein Icon nicht sicher erkannt werden kann . Ausgehende E-Mail Durch Beachtung der folgenden Maßnahmen kann die Gefahr reduziert werden, dass ein Endanwender unabsichtlich Computer-Viren verteilt. ■ E-Mails nicht im HTML-Format versenden, auch wenn es vom eingesetzten Mail-Programm her möglich wäre; ebenso sind aktive Inhalte in E-Mails zu vermeiden. ■ WinWord-Dokumente im RTF-Format versenden (Damit wird auch die Weiterleitung von ggf. vertraulichen Informationen im nicht direkt sichtbaren Verwaltungsteil der DOC-Datei verhindert.) ■ Keine unnötigen E-Mails mit Scherz-Programmen und ähnlichem versenden, da diese evtl. einen Computer-Virus enthalten können. ■ Keinen Aufforderungen zur Weiterleitung von Warnungen, Mails oder Anhängen an Freunde, Bekannten oder Kollegen folgen, sondern direkt nur an den IT-Sicherheitsbeauftragten senden. Es handelt sich nämlich meist um irritierende und belästigende Mails mit Falschmeldungen (Hoax oder „elektronische Ente“, Kettenbrief). ■ Gelegentlich prüfen, ob E-Mails im Ausgangs-Postkorb stehen, die nicht vom Benutzer selbst verfasst wurden. 69 Verhalten bei Downloads aus dem Internet Daten und Programme, die aus dem Internet abgerufen werden, stellen einen Hauptverbreitungsweg für Computer-Viren und Trojanische Pferde dar, um Benutzerdaten auszuspähen, weiterzuleiten, zu verändern oder zu löschen. Es muss darauf hingewiesen werden, dass auch Office-Dokumente (Text-, Tabellenund Präsentations-Dateien) Makro-Viren enthalten können. ■ Programme sollten nur von vertrauenswürdigen Seiten geladen werden, also insbesondere von den Originalseiten des Erstellers. Private Homepages, die bei anonymen Webspace-Providern eingerichtet werden, stellen hierbei eine besondere Gefahr dar. ■ Die Angabe der Größe von Dateien sowie einer evtl. auch angegebenen Prüfsumme sollte nach einem Download immer überprüft werden. Bei Abweichungen von der vorgegebenen Größe oder Prüfsumme ist zu vermuten, dass unzulässige Veränderungen, meist durch Viren, vorgenommen worden sind. Daher sollten solche Dateien sofort gelöscht werden. ■ Mit einem aktuellen VirenSchutzprogramm sollten vor der Installation die Dateien immer überprüft werden. ■ Gepackte (komprimierte) Dateien sollten erst entpackt und auf Viren überprüft werden. Installierte Entpackungsprogramme sollten so konfiguriert sein, dass zu entpackende Dateien nicht automatisch gestartet werden. Letzte Virenwarnung des BSI W32.Sober.Q@mm W32.Sober.Q@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefälscht! Der Betreff ist in Englisch („Your new Password“) oder in Deutsch („Fwd: Klassentreffen“). Beim Anhang handelt es sich um eine .zip-Datei mit dem Namen pword_chang.zip oder Klassenfoto.zip, welche die schadhafte .exe-Datei mit dem namen PW_Klass.Pic.packed-bitmap.exe beinhaltet. TROJ_YABE.A TROJ_YABE.A ist ein Trojanisches Pferd, welches den Wurm WORM_GOLDUN.A alias W32.Starimp aus dem Internet lädt. Die Infektion mit TROJ_YABE.A geschieht über den infizierten Anhang einer E-Mail. Bei der Ausführung der infizierten Datei wird das System verseucht.Trojanische Pferde verbreiten sich nicht von selbst. Die Infektion des Systems wird manuell durch das Ausführen des schadhaften EMail-Anhangs durchgeführt. Bei der Ausführung installiert sich das Trojanische Pferd unter dem Dateinamen IPWF.EXE im Windows-Systemverzeichnis und legt zusätzlich die Datei WINUP.DAT im Unterverzeichnis DRIVERS an. W32.Zotob.E W32.Zotob.E ist ein Wurm, der sich über Netzwerke verbreitet. Er nutzt dazu die sogenannte Windows "Plug and Play" Schwachstelle aus. Obwohl der Wurm auf allen Windows-Betriebssystemen lauffähig ist, kann er nur Windows 2000-Systeme infizieren. er W32.Zotob.E legt sich im Systemverzeichnis (Standard: C:\ Windows\System32 bzw. C:\Winnt\ System32) unter dem Namen WINTBP. EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt. Downloader.RY Download.RY ist ein Trojanisches Pferd, welches das Backdoor Nibu.J aus dem Internet lädt. Die Infektion mit Download.RY geschieht über den infizierten Anhang einer E-Mail. Bei der Ausführung der infizierten Datei wird das System verseucht. Trojan.Gpcoder Trojan.Gpcoder ist ein Trojanisches Pferd, das nach bestimmten Dateien sucht und deren Inhalte verschlüsselt. Die verschlüsselten Dateien sind von den zugehörigen Programmen nicht mehr lesbar. Eine Verteilung des Schadensprogramms kann über Kommunikationskanäle wie IRC, Tauschbörsen, Newsgroups oder EMail stattfinden. Bei der Ausführung der Der Computer-Führer für Ärzte, Ausgabe 2006 infizierten Datei wird der Computer verseucht. W32.Sober.p@mm alias Trojan.Ascetic.C Sober.P ist ein Trojanisches Pferd, dasEMail-Nachrichten mit rechtsradikalem Inhalt verbreitet. Der Text der E-Mails ist in deutscher oder in englischer Sprache verfasst.Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische Windows Update. Sober.P gelangt auf Computer, die mit dem Wurm Sober.O infiziert sind. Sober.O lädt eine Datei, die Sober.P beinhaltet, aus dem Internet und infiziert damit den Computer. Sober.P selbst ist ein Trojanisches Pferd, das sich nicht automatisch weiter verbreitet. W32.Sober.O@mm W32.Sober.O@mm (Sober.O) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Bei der Versendung von E-Mails verwendet der Wurm E-Mail-Adressen, die er auf dem befallenen System findet. Der Text dieser E-Mail ist in deutscher oder in englischer Sprache verfasst. er Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er die Windows XP-Firewall und das automatische Windows Update. Sober.O gelangt als ZIP-Datei in einer E-Mail auf den Computer. Wird die ZIP-Datei entpackt, erhält man die Datei Winzipped-Text_Data.txt. Diese Datei hat die zusätzliche Erweiterung PIF oder EXE. Bei der Ausführung dieser Datei wird der Computer infiziert. Dabei wird eine Fehlermeldung angezeigt. W32.Nopir.A W32.Nopir.A (Nopir) ist ein Internetwurm, der sich per Netzwerk, Peer to Peer verbreitet. Der Wurm beendet Prozesse von 70 Aktuelle Beiträge Registry- und TaskManager-Tools und löscht alle Dateien mit der Endung .com und .mp3. Bei der Ausführung von W32.Nopir.A wird der Computer infiziert: line-Banking-Anwendungen sammelt. Um unentdeckt zu bleiben, werden bekannte IT-Sicherheitsprogramme behindert bzw. abgeschaltet. W32.Sober.N@mm/W32.Sober.N@mm!dr W32.Sober.N@mm (Sober) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Bei der Versendung von E-Mails verwendet der Wurm E-MailAdressen, die er auf dem befallenen System findet. Er beendet Prozesse von Sicherheitsprogrammen. Der Text dieser E-Mail ist in deutscher oder in englischer Sprache verfasst. W32.Sober.L@mm W32.Sober.L@mm (Sober.L) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er beendet Prozesse von Sicherheitsprogrammen. Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der Computer infiziert. PWSteal.Bankash.E PWSteal .Bankash.E ist ein Trojanisches Pferd, welches Benutzerdaten von On- W32.Mydoom.AX@mm W32.Mydoom.AX@mm (W32.Mydoom.AX) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. W32.Sober.J@mm W32.Sober.J@mm (Sober.J) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. W32.Beagle.AZ@mm Diese Variante des Wurms Beagle (alias Bagle) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTPMaschine verbreitet. Er verbreitet sich auch über Netzwerkfreigaben von Tauschbörsen. Quelle: Bundesamt für Sicherheit in der Informationstechnik. Würmer, Phishing, Dialer, Spam & Co. Was versteckt sich hinter den Begriffen Malware Als Malware (v. engl. malicious „boshaft“ u. Software) bezeichnet man Computerprogramme, die oft eine offene oder verdeckte Schadfunktion aufweisen und üblicherweise mit dem Ziel entwickelt werden, Schaden anzurichten. Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien oder die Kompromittierung der Sicherheitseinrichtungen (wie z.B. Firewalls und Antivirenprogramme) eines Computers sein. Malware bezeichnet keine fehlerhafte Software, auch wenn diese Schaden anrichten kann. Es existieren folgende Typen von Malware: Computerviren sind die älteste Art der Malware, sie verbreiten sich, indem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben. Ein Computerwurm ähnelt einem Computervirus, verbreitet sich aber direkt über Netzwerke wie das Internet und versucht, in andere Computer einzudringen. Ein Trojanisches Pferd ist eine Kombination eines (manchmal nur scheinbar) nützlichen Wirtsprogrammes mit einem versteckt arbeitenden, bösartigen Teil, oft Spyware oder eine Backdoor. Ein Trojanisches Pferd verbreitet sich nicht selbst, sondern wirbt mit der Nützlichkeit des Wirtsprogrammes für seine Installation durch den Benutzer. Eine Backdoor ist ein üblicherweise durch Viren, Würmer oder Trojanische Pferde installiertes Programm, das Dritten einen unbefugten Zugang („Hintertür“) zum Computer verschafft, jedoch versteckt und unter Umgehung der üblichen Sicherheitseinrichtungen. Backdoors werden oft für Denial of Service-Angriffe benutzt. Als Spyware bezeichnet man Programme, die Informationen über die Tätigkeiten des Benutzers sammeln und an Dritte weiterleiten. Ihre Verbreitung erfolgt meist durch Trojaner. Oft werden auch Dialer (Einwahlprogramme auf Telefon-Mehrwertrufnummern) zur Malware gezählt, obwohl sie Der Computer-Führer für Ärzte, Ausgabe 2006 grundsätzlich nicht dazu zählen. Illegale Dialer-Programme allerdings führen die Einwahl heimlich – unbemerkt vom Benutzer – durch und fügen dem Opfer (oft erheblichen) finanziellen Schaden zu (Telefonrechnung). Computerwurm Ein Computerwurm ist ein selbstständiges Computerprogramm (Gegensatz: Computervirus), das sich über Computernetzwerke durch Ausnützen von Sicherheitslücken verbreitet, wie zum Beispiel durch Versenden von infizierten EMails (selbstständig durch eine SMTPEngine oder durch ein E-Mail-Programm), durch IRC-, Peer-To-Peer- und InstantMessaging-Programme oder über Dateifreigaben. Die erst seit kurzem auftretenden Handywürmer verbreiten sich über Bluetooth und infizierte MMS. Ein Wurmprogramm muss nicht unbedingt eine spezielle Schadensroutine enthalten. Da das Wurmprogramm aber sowohl auf den infizierten Systemen als auch auf den Systemen, die es zu infi-