Sicherheit im Internet Themen
Transcription
Sicherheit im Internet Themen
Sicherheit im Internet - Vertiefung - von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 [email protected] www.gwdg.de Themen Bits und Bytes zu ausgewählten Themen • Personal Firewalls • Betriebssystem Windows XP - Anpassung der Installation - Software Update Service (SUS) • Browser-Konfiguration • Mailprogramme • Virenscanner • Was tun mit kompromittierten Systemen? 2 1 Hintergrund: IP-Adressen Internet Protocol (IP) – Basis der weltweiten Kommunikation im Netz Verbindungen im Internet erfolgen über IP-Adressen • vergleichbar Telefonnummern • bestehen aus 4 Zahlen zwischen 0 und 255 • Beispiel: 134.76.10.47 Namen von Internetservern • nur eine Hilfe für Nutzer • Beispiel: www.gwdg.de • Umsetzung über Domain Name Service (DNS) – automatische Telefonauskunft Über die IP-Adressen, das IP-Protokoll und die Netzwerkinfrastruktur aus „Routern“ und Kabeln wird die Erreichbarkeit von Rechnern sichergestellt. 3 Hintergrund: Ports Rechner haben verschiedene Funktionen (Dienste) • Zusätzliche Angabe des Dienstes nötig • Spezielle Protokolle zusätzlich zu IP („höhere Protokollschichten“) • Gängige Protokolle: - TCP (Transmission Control Protocol) - UDP (User Datagram Protocol) • Bei beiden Spezifikation von Diensten über „Portnummern“ zwischen 1 und 65535 (216 -1) • Jedem Dienst wird im Internet eine Nummer zugeordnet. - Beispiel: Der Dienst http erhält immer die Nummer 80 4 2 Hintergrund: Beispiel bekannter Ports Beispiele bekannter Portnummern (Windows-typisch): • 22 SSH (Verschlüsselte Dialogzugänge unter UNIX) • 25 SMTP (Mail verschicken, Mailempfang auf Servern) • 53 DNS (Umsetzung zwischen IP-Adressen und Domänennamen • 80 HTTP (WWW-Seiten ansehen) • 110 POP3 (Mail aus Postfach abholen) • 135 Microsoft RPC Service (Blaster-Virus u.a.) • 137 netbios name service (Netbios-Namensauflösung, WINS) • 138 netbios datagram service (Browsing, Net Send, Benachrichtigungen) • 139 NETBIOS Session Service (Netzlaufwerke u.a.) • 443 HTTPS (WWW-Seiten über verschlüsselte Kommunikation ansehen) • 445 CIFS (Netzlaufwerke u.a. ab Windows 2000 – Sasser-Wurm u.a.) • 1214 KAZAA (Tauschbörse) • 1026 mstask (MS-Taskplaner) • 1900 Simple Service Discovery Protocol, z. B. uPnP • 3389 RDP (Remote Desktop unter Windows) • 5000 uPnP (Universal Plug & Play) • 6666-6669 IRC (Chat) • Ports unter 1024 sind privilegiert, d.h. nur Systemprozess dürfen diese verwenden. Listen von Ports im Internet • z. B.: http://www.khine.de/tools/portlist 5 Hintergrund: Ports - Anwendung Feste und dynamische Portnummern • Dienste eine Servers benutzen vordefinierte, feste Portnummern. • Auch Klienten verwenden auf ihrer Seite Portnummern, • wählen diese aber dynamisch. Sockets • ein Paar aus IP-Adresse + Port wird Socket genannt • eine Verbindung wird durch ein Paar (Client + Server) von Sockets beschrieben. Einige Anwendungen verwenden getrennte Verbindungen für Steuerung der Kommunikation und für die Datenübertragung • FTP (File Transfer Protocol) • einige Formen von Video- und Sprachanwendungen • Portnummern für Datenverbindungen werden dabei im Steuerkanal dynamisch ausgehandelt - kann für Firewalls ein Problem werden 6 3 Portscans Angreifer testen über das Netz, auf welche Ports ein Rechner antwortet. Programme für solche Portscans sind frei verfügbar Portscans finden permanent statt Portscans liefern Hinweise auf Betriebssysteme 7 Welche Dienste horchen auf meinem Rechner ins Netz? netstat • betriebssystem-eigenes Programm in der Kommandozeile • netstat –a zeigt alle Verbindungen an • netstat –an zeigt Nummern statt Namen • Inhalte: Sockets, Zustand • Option –o zeigt ab Windows XP auch die lokale Prozessnummer tcpview • fensterorientiertes Programm • von Sysinternals (www.sysinternal.com) • zeigt auch Namen des Programms an fport • Programm für Kommandozeile • zeigt auch den vollen Pfad des laufenden Programms an - nützlich bei forensischen Untersuchungen • von Foundstone (www.foundstone.com) 8 4 Aufgaben einer Personal Firewall Grundfunktion: Filtern eingehender Verbindungen • Einschränkung auf Basis von IP-Adressen und Ports, • z. B. um Dienste nur bestimmten Rechnern zu ermöglichen • Schutz gegen Portscans Filtern ausgehender Verbindungen (nicht immer vorhanden) • Kann vor Trojanern, Spyware und anderen unerwünschten Programmaktivitäten schützen Zusatzfunktionen einiger Produkte • Überprüfung ob Programme geändert werden (kryptographische Prüfsummen) • Prüfung, welche Programme andere Programme starten (regelbasiert, ggf. mit Rückfrage an Nutzer) 9 Probleme der Personal Firewall Problem der Definition der Regeln • nur einfache Regeln ohne gute Netzwerkkenntnisse zu verstehen - z. B. das Verbieten aller eingehenden Verbindungen in Windows-eigener Firewall • komplexere Regeln überfordern normalen Nutzer - bei Verbindungen, zu denen keine Regel existiert, fragt die Firewall den Anwender - Was soll der Anwender machen? Alles erlauben? Alles verbieten? Personal Firewalls lassen sich relativ leicht ausschalten (auch von Viren und Trojanern) Verteidigung durch Personals Firewalls erst auf dem gefährdeten System 10 5 Personal Firewall – Für und Wider Argumente gegen Personal Firewall • Überforderung der Nutzer mit Bedienung, • zu leicht auszuhebeln, • statt Angriffe blockieren besser die Angriffstellen entfernen (Dienste gar nicht installieren), • wiegt Nutzer in falscher Sicherheit, • kann zu unerwarteten Fehlfunktionen führen (insbesondere mit neuer, nicht richtig berücksichtigter Software) Argumente für Personal Firewall • zusätzlicher Schutz ist immer gut, • bei doppelter Absicherung bleibt noch eine Sicherung, wenn eine einmal versagt, • Schutzfunktion auch im lokalen Netz (in dem eine zentrale Firewall nicht mehr helfen kann), • Schutz eines neu installierten Systems vor/während Installation der Patches, 11 Personal Firewall – Ja oder nein? Unbedingt ja direkt nach der Installation eines neuen Systems bevor es erstmals ans Netz geht, um die aktuellsten Patches einzuspielen! Ansonsten: in der Regel ja • die Internet Verbindungsfirewall (Internet Connection Firewall, ICF) von Windows XP in der Standardkonfiguration bietet zusätzlichen Schutz ohne wesentliche Nachteile • der Benutzer wir bei der einfachen Grundkonfiguration nicht überfordert • bei älteren Systemen lässt sich eine ähnliche Grundkonfiguration z. B. mit Kerio aufbauen Bei Notebooks und mobilen Rechner: ja • insbesondere in fremden Netzen • aber auch im Institut (sonst vergisst man zu schnell das Reaktivieren) 12 6 Kostenlose Produkte Für Einsteiger geeignet, da sie über kein kompliziertes Regelwerk verfügen: • Internet Connection Firewall (ICF) – in XP eingebaute Firewall • ZoneAlarm 4.5 - www.zonelabs.com www.gwdg.de/samba/windows/persfw/zlsSetup_45_594_000.exe • Deutsche Oberfläche! Eher für fortgeschrittene Anwender: • Kerio Personal Firewall 2.1.5 - www.kerio.com www.gwdg.de/samba/windows/persfw/kerio-pf-215-en-win.exe • Kerio Personal Firewall 4.1.0 - www.kerio.com www.gwdg.de/samba/windows/persfw/kerio-pf-4.1.0-en-win.exe 13 ICF Internet Connection Firewall = Internet Verbindungsfirewall integriert in Windows XP, verbessert und automatisch aktiviert ab Service Pack 2 unterstützt den Stealth-Mode: die Rechner sind von außen unsichtbar sie schützt aber nur von außen nach innen, nicht jedoch vor Verbindungsversuchen lokaler Software (Trojaner, Spyware) guter Schutz gegen Würmer wie Blaster und Sasser Konfiguration • Start > Systemsteuerung > Windows-Firewall • Einstellung: Aktiv (empfohlen) • über das Registermenü Ausnahmen können verschieden Dienste erlaubt werden • über das Registermenü Erweitert lassen sich die Netzwerkverbindungen angeben, für die die ICF gelten soll 14 7 ICF (2) wichtig: für die IFC wird der Dienst "Gatewaydienst auf Anwendungsebene“ benötigt erstellt Protokoll-Datei in <Lw>:\Windows\pfirewall.log Programm zur besseren Betrachtung dieses Logfiles: XP Firewall Logger 2.1a v. Robert McBride http://www.gwdg.de/samba/winxp/XPLogReader.zip 15 Testen einer Personal Firewall Penetrationstest: • Leaktest v. Gibson Research Corp. http://grc.com/lt/leaktest.htm • FireHole v. Robin Keir http://keir.net/firehole.html Scans von außen mit Portscannern • wie nmap 3.0 • oder SuperScan 3.0 Tests mit einem der Security-Scanner wie • nessus, www.nessus.org • Languard, www.gfi.com/languard 16 8 Betriebssystem Windows Windows-Systeme als Angriffsziel • weite Verbreitung = Große Erfolgsaussichten • weite Verbreitung = bekannte Systeme und Schwächen Sicherheitskonzept • Microsoft - Software-Update - Personal Firewall - Virenschutz • und zusätzlich - sichere Konfiguration - Sicherheitsbewusstsein - Angriffsfläche minimieren durch Entfernen unnötiger Komponenten - externe Sicherheitsmaßnahmen (z.B. Firewall, Netzwerkstrukturen) 17 Windows-Versionen Hier Konzentration auf Windows XP (Professional) Ältere Windows-Versionen? • Win9x kennt eigentlich keinerlei lokale Sicherheit - keine Benutzerverwaltung - FAT-Dateisystem kann nicht sicher konfiguriert werden (Vollzugriff für jeden) - Als professionelles System eigentlich ungeeignet • Win9x-Sicherheit im Netz - Geringere Angriffsfläche (z.B. kein Angriff von BlasterWurm) - solange keine Freigaben vorhanden! - Durch schlechte lokale Sicherheit höhere Gefahr bei Netzwerkanwendungen (Explorer, Outlook, …) • Auslaufende Unterstützung für Win9x, Windows NT bei Microsoft • Windows 2000 in vielem ähnliche wie Windows XP 18 9 Startpunkt Standardinstallation Nach Installation von Windows XP plus SP2 von CD Benutzerverwaltung • neue Benutzer in der Installation ohne Kennwörter eingerichtet • Administrator-Konto fehlt auf Anmeldebildschirm Dateisystem • Alle Partitionen mit NTFS einrichten • Konvertierung von FAT zu NTFS ist problematisch - CONVERT konfiguriert keine Restriktionen in den Zugriffsrechten (Vollzugriff für „Jeder“)! - Zugriffsrechte der Systempartition muss dann nachbearbeitet (mit Sicherheitsvorlagen oder Tools aus Ressource Kit oder manuell) Nächste Schritte • Computerverwaltung (Systemsteuerung > Verwaltung) • Lokale Sicherheitsrichtlinie (dto.) 19 Benutzerkonten Die Standardinstallation enthält überflüssige Konten • SUPPORT_nnnnnnnn • Hilfedienstkonto • zumindest das Support-Konto löschen Gast-Konto • deaktivieren (nach der Installation schon deaktiviert) • umbenennen • Löschen nicht möglich und von Microsoft nicht vorgesehen • mit delguest-Tool möglich Zusätzliches Konto mit Administrator-Recht • Möglichst wenige Personen mit Administratorrechten • Keine gemeinsam genutzten Konten • Option: Kennwort des Kontos mit RID 500 im Safe (möglichst lang und komplex) für Notfälle • Unterschiedliche Konten für jeden Rechner? Normale Arbeiten am Rechner nur mit Benutzerrechten • Schadensminimierung, wenn doch mal Viren, Würmer, Trojaner geladen werden • Was der Benutzer nicht darf, darf ein vom Benutzer gestarteter Schädling auch nicht • Ggf. „Ausführen als“ nutzen 20 10 Probleme des Kontos „Administrator“ Administrator“ Das Administrator-Konto ist das erste Angriffsziel • Das Konto ist hat höchste Privilegien • Der Benutzername ist bekannt, nur das Kennwort muss geraten werden • Das vordefinierte Administrator-Konto unterliegt keinen Sperrungen! - Kennwortrateangriffe können beliebig lange laufen Administrator umbenennen • Eine Hürde mehr, • aber die SID (Security Identifier) des „Administrator“ behält ihren bekannten Wert (SID des Rechner mit RID 500) • mit Tools zum Auslesen der SIDs kann man den neuen Namen ermitteln • trotzdem umbenennen, denn viele Angriffe zielen nur auf den Namen „Administrator“ • auch die Beschreibung ändern Dummy-Administrator einrichten • neuer Benutzer mit Name Administrator • ohne Gruppenzugehörigkeiten (und Rechte) • mit der Standardbeschreibung „Vordefiniertes Konto …“ • sehr langes und komplexes Kennwort wählen • beschäftigt einen Angreifer erstmal ohne große Gefahr für das System • aber Angriffsversuch wird ggf. sichtbar 21 Kontorichtlinien Kennwortrichtlinien • Komplexität der Kennwörter sollte aktiviert werden • Minimale Kennwortlänge: 6-8 mindestens (Problem LM-Hash= 2x7) • Maximales Kennwortalter zwingt zu Änderungen des Kennwort (Kennwörter sollten regelmäßig geändert werden!) • Minimales Kennwortalter verhindert sofortige Änderung auf alten Wert • Kennwortchronik verhindert zu schnelle Wiederverwendung von Kennwörtern Kontosperrungsrichtlinien • Schutz gegen Kennwortrateangriffe (online) • Vorübergehende Sperrung nach N Anmeldefehlversuchen innerhalb eines definierbaren Zeitraums t • Dauer der Sperrung für Zeitraum S • Üblich N=5, t=S=30 Minuten • S=0 bedeutet Sperrung kann nur manuell aufgehoben werden (für besonders sensible Systeme/Konten erwägen) Seiteneffekt der Kontosperrung • Falsches Kennwort gibt nach Sperrung andere Meldung 22 11 Überwachungsrichtlinien Steuerung der Aufzeichnungen im Ereignisprotokoll „Sicherheit“ In Standardinstallation komplett deaktiviert Zumindest Fehler überwachen (außer Prozessverfolgung) Richtlinie Erfolg Fehler Anmeldeereignisse überwachen ⌧ ⌧ Anmeldeversuche überwachen ? ⌧ Kontenverwaltung überwachen ⌧ ⌧ ⌧ Active Directory-Zugriff überwachen ⌧ Objektzugriffsversuche überwachen Prozessverfolgung überwachen Rechteverwendung überwachen ? ⌧ Richtlinienänderungen überwachen ⌧ ⌧ Systemereignisse überwachen ⌧ 23 Sicherheitsoptionen Herunterfahren: • Auslagerungsdatei des virtuellen Arbeitsspeichers löschen: aktivieren • Herunterfahren des Systems ohne Anmeldung zulassen: deaktivieren Interaktive Anmeldung: • Anzahl zwischengespeicherter Anmeldungen: 0 bei Domäneneinbindung • Keine STRG-ALT-ENTF erforderlich: deaktivieren • Letzten Benutzernamen nicht anzeigen: aktivieren Microsoft-Netzwerk (Client): • Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden: deaktivieren Netzwerksicherheit: • Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern: aktivieren (soweit nicht von älteren Clienten benötigt) • LAN Manager-Authentifizierungsebene: Nur NTLMv2-Antworten senden\LM & NTLM verweigern (soweit nicht von älteren Clienten benötigt) • Win9x mit DSClient NTLMv2-fähig machen (W2k-CD \Support) 24 12 Anmeldebildschirm Administrator sichtbar machen • Registry-Wert erzeugen HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Special Accounts/UserList/kontoname (Typ DWORD) Wert =1 • Geht auch mit TweakUI-Programm Alte Anmeldeprozedur (statt „Willkommensseite“) nutzen • Willkommensbildschirm zeigt gleich alle Benutzer an • und umgeht die Sicherheit, die eine Aktivierung der Anmeldung mit Alt-Strg-Entf bietet • Unter Start > Systemsteuerung > Benutzerkonten „Art der Benutzeranmeldung ändern“ wählen und dort „Willkommenseite verwenden“ abwählen. • Damit entfällt allerdings auch die schnelle Benutzerumschaltung. Letzten Benutzernamen nicht anzeigen • auch ohne die Willkommensseite wird zunächst der letzte Benutzername im Anmeldebildschirm angezeigt • Einstellung über Sicherheitsrichtlinien Bildschirmschoner mit Kennwortschutz nutzen, damit erneuter Zugang nur über Anmeldebildschirm möglich ist. 25 Grundeinstellungen fü für Windows Explorer Einstellungen im Explorer unter Extras > Ordneroptionen > Ansicht „Automatisch nach Netzwerkordnern und Druckern suchen“ deaktivieren • Kann in großen Netzen zuviel Last (und Ergebnisse) bringen. • Wohin werden dabei Anmeldeversuche gemacht (Benutzername/Kennwort übertragen)? • Ist gar die Übertragung von Kennwörtern im Klartext erlaubt? „Einfache Dateifreigabe verwenden (empfohlen)“ deaktivieren • Auf Arbeitsplätzen besser gar nichts freigeben • Unsicherheit der Methode • Dateisystemrechte lassen sich sonst nicht über die graphische Oberfläche einstellen „Erweiterungen bei bekannten Dateitypen ausblenden“ deaktivieren • Wird von gern von E-Mail-Viren in Dateianhängen verwendet um harmlose Dateien vorzutäuschen • Wurm.txt.vbs wird dann nur als wurm.txt angezeigt Zumindest Administratoren werden • „Geschützte Systemdateien ausblenden (empfohlen)“ deaktivieren, • „Inhalte von Systemordnern anzeigen“ aktivieren, • „Versteckte Dateien und Ordner“ > „Alle Dateien und Ordner anzeigen“ auswählen „Ordnerfenster im eigenen Prozess starten“ • Aktivieren, wenn man später ein privilegiertes Fenster mit „Ausführen als“ erzeugen will. 26 13 Dateisystemrechte Root („?:\“): Jeder entfernen, Benutzer auf einschränken Systemverzeichnisse • %systemroot%\Repair Administratoren, System: Vollzugriff • %systemroot%\Debug Administratoren, System: Vollzugriff • %systemroot%\Security Administratoren, System: Vollzugriff • %systemroot%\System32\GroupPolicy Administratoren, System: Vollzugriff Benutzer: Lesen • %Systemroot%\System32\Config Administratoren, System: Vollzugriff Benutzer: Lesen • Alle anderen Rechte löschen / ändern • Die Gruppe Hauptbenutzer hat zu viele Rechte - Rechte einschränken - oder die Gruppe nicht verwenden Zugriff auf Systemprogramme für Benutzer verbieten • regedit.exe, regedt32.exe, usrmgr.exe, mmc.exe (Administratoren, System: Vollzugriff) Zugriffsrechte auf Registrierungsschlüssel • Auch hier sind Einschränkungen möglich • Allgemeine Richtlinien sind aber schwer zu definieren (insbesondere falls eine Vielzahl von Anwendungen benutzt wird). 27 Dateienverschlüsselung NTFS schützt die Festplatteninhalte vor unautorisierten Zugriffen • Aber nur solange das Betriebssystem läuft! Sensible Daten sollten verschlüsselt werden • Notebooks sind besonders gefährdet Zwei Varianten • EFS als Teil von Windows 2000 / Windows XP - Als Attribut im Dateisystem - Für Benutzer transparent - Automatische Ver- und Entschlüsselung bei Dateisystemzugriffen - Kopieren im Netz unverschlüsselt! - Problem Speicherung der Benutzer- und Wiederherstellungsschlüssel • Zusatzprogramme (z.B. GnuPP) - Vom Betriebssystem unabhängig - Verschlüsselung ändert sich nicht beim Kopieren - Schlüsselmanagementproblem bleibt auch hier 28 14 Dienste In der Standardinstallation sind viele Dienste gestartet, die nicht benötigt werden Klassifizierung der Dienste: Name Ablagemappe Anmeldedienst Anwendungsverwaltung Arbeitsstationsdienst Automatische Updates COM+-Ereignissystem COM+-Systemanwendung Computerbrowser Designs DHCP-Client Distributed Transaction Coordinator DNS-Client Druckwarteschlange Eingabegerätezugang Ereignisprotokoll Fehlerberichterstattungsdienst Gatewaydienst auf Anwendungsebene Geschützter Speicher Hilfe und Support IMAPI-CD-Brenn-COM-Dienste Indexdienst Intelligenter Hintergrundübertragungsdienst Internetverbindungsfirewall/Gemeinsame Nutzung IPSEC-Dienste Kompatibilität für schnelle Benutzerumschaltung Konfigurationsfreie drahtlose Verbindung Name Kryptografiedienste Leistungsdatenprotokolle und Warnungen MS Software Shadow Copy Provider Nachrichtendienst NetMeeting-Remotedesktop-Freigabe Netzwerk-DDE-Dienst Netzwerk-DDE-Serverdienst Netzwerkverbindungen NLA (Network Location Awareness) NT-LM-Sicherheitsdienst Plug & Play QoS-RSVP RAS-Verbindungsverwaltung Remoteprozeduraufruf (RPC) Remote-Registrierung Routing und RAS RPC-Locator Sekundäre Anmeldung Seriennummer der tragbaren Medien Server Shellhardwareerkennung Sicherheitskontenverwaltung dSitzungs-Manager für Remotedesktophilfe Smartcard Smartcard-Hilfsprogramm SSDP-Suchdienst Name Systemereignisbenachrichtigung Systemwiederherstellungsdienst Taskplaner TCP/IP-NetBIOS-Hilfsprogramm Telefonie Telnet Terminaldienste Treibererweiterungen für Windows-Verwaltungsinstrum Überwachung verteilter Verknüpfungen (Client) Universeller Plug & Play-Gerätehost Unterbrechungsfreie Stromversorgung Upload-Manager Verwaltung für automatische RAS-Verbindung Verwaltung logischer Datenträger Verwaltungsdienst für die Verwaltung logischer Datent Volumeschattenkopie Warndienst WebClient Wechselmedien Windows Audio Windows Installer Windows-Bilderfassung (WIA) Windows-Verwaltungsinstrumentation Windows-Zeitgeber WMI-Leistungsadapter nötig möglicherweise überflüssig, prüfen verzichtbar, aber nicht sicherheitsrelevant problematisch (Übertragung von Inhalten) problematisch (Sicherheit) 29 Netzwerkdienste Nach Standardinstallation aktive Ports: svchost.exe: 1124 svchost.exe: 1080 svchost.exe: 1080 System: 4 System: 4 lsass.exe: 912 svchost.exe: 1124 svchost.exe: 1124 msmsgs.exe: 1852 svchost.exe: 1356 svchost.exe: 1356 msmsgs.exe: 1852 (Ausgabe von tcpview.exe, Sysinternals) UDP TCP UDP TCP UDP UDP TCP UDP UDP UDP TCP UDP 127.0.0.1: 0.0.0.0: 0.0.0.0: 0.0.0.0: 0.0.0.0: 0.0.0.0: 0.0.0.0: 0.0.0.0: 0.0.0.0: 127.0.0.1: 0.0.0.0: 127.0.0.1: 123 135 135 445 445 500 1025 1026 1029 1900 5000 30456 *:* 0.0.0.0:0 *:* 0.0.0.0:0 *:* *:* 0.0.0.0:0 *:* *:* *:* 0.0.0.0:0 *:* LISTENING LISTENING LISTENING LISTENING Entfallen können (soweit nicht benötigt): • Messenger (msmsgs), • Windows-Zeitgeber (Port 123), • lsass (IPSEC-Dienst, Port 500), • UPnP (1900, 5000). in homogener Windows-2000/XP-Umgebung NetBIOS über TCP/IP deaktivieren • (Eigenschaften von Netzwerkverbindung > Internetprotokoll (TCP/IP) > Eigenschaften > Erweitert > WINS) Automatische DNS-Aktualisierung abschalten, wenn nicht benötigt • (Eigenschaften von Netzwerkverbindung > Erweitert > DNS „Adressen dieser Verbindung in DNS registrieren“ deaktivieren) Universal Plug & Play abschalten mit unpnp.exe • (http://grc.com/UnPnP/UnPnP.htm) 30 15 Null Sessions Anonyme Zugriffe auf Netzwerkressourcen • z.B. zur Abfrage aller existierenden Freigaben gedacht • In der Standardinstallation aktiviert • Test: net use \\rechner\ipc$ ““ /user:““ Nutzung von Null Session durch Angreifer • Auslesen aller Benutzerkonten, Richtlinieneinstellungen und Freigabenamen Unterbinden • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnon ymous=2 • Wert 1 reicht bei Windows 2000 / XP nicht • Sicherheitsoptionen - RestrictAnonymous=0: „Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben“ deaktiviert - RestrictAnonymous=1: „Anonyme Aufzählung von SAM-Konten und freigaben nicht erlauben“ aktiviert - RestrictAnonymous=2: „Anonyme SID-/Namensumsetzung zulassen“ deaktiviert - RestrictAnonymousSam=1: „Anonyme Aufzählung von SAM-Konten nicht erlauben“ aktiviert • Aber: Windows NT kann auf einen Server mit RestrictAnonymous=2 nicht mehr zugreifen 31 Remotedesktop Zwei Arten • Remoteunterstützungsanforderung: Für Unterstützung durch Helpdesk • Remotedesktopverbindung: Nutzung des Rechners aus der Ferne • Unter Systemsteuerung > System > Remote konfigurieren • Dienst „Terminaldienste“ Potentielles Problem • RDP bietet Hackern den optimalen Zugriff • Abschalten, falls nicht wirklich benötigt - In Systemsteuerung beide Optionen ausschalten - Dienst deaktivieren • Falls benötigt, Zugriff über Personal Firewall oder Firewall im Netz einschränken - Verwendet wird TCP-Port 3389 32 16 XP-Antispy Freeware Tool u.a. zum Einstellen (reduzieren) der Gesprächigkeit von Windows XP Automatische Updates müssen aktiviert sein, wenn SUS-Server genützt werden soll. Zeitsynchronisation auf lokalen Server einstellen (unter Spezial > Timeserver festlegen) Remotedesktop abschalten, falls nicht wirklich genutzt Microsoft Messenger (MSN) deinstallieren, falls nicht wirklich genutzt 33 Netzwerkkonfiguration Internetverbindungsfirewall • Spätestens Blaster lehrt: Einschalten, bevor man versucht die Softwareupdates per Netz zu laden! Gemeinsame Nutzung der Internetverbindung • Z.B. Verbindung eines lokalen Netzes über Modem, FunkLAN über den Computer • Weder Nutzung noch Steuerung erlauben Standardfreigaben • Alle Laufwerke und das Windows-Verzeichnis sind für Administratoren freigegeben - Deaktivieren, falls nicht für Remotemanagement benötigt - Einfaches Aufheben der Freigabe wirkt aber nur bis zum nächsten Reboot - In HKEY_LOCAL_MACHINE/System/CurrentControlSet/Servic es/LanmanServer/Parameters DWORD-Wert AutoShareWks bzw. AutoShareServer erzeugen und auf 0 setzen • „Gemeinsame Dokumente“ ist als „SharedDocs“ freigegeben: deaktivieren 34 17 Updates System unbedingt aktuell halten Überprüfung mit Microsoft Baseline Security Analyzer • fehlende Softwarekorrekturen • unsichere Einstellungen • fehlende und schlechte Kennwörter • für Microsoft-Produkte - Windows NT/2000/XP/2003 - Office - Internet Information Server (IIS) - Microsoft SQL-Server • www.gwdg.de/service/sicherheit/aktuell/mbsa.html Nutzung von • eigenem SUS-Server (z.B. GWDG) • Windows-Update bei Microsoft • manuelle Updates (ggf. über Windows-Updatekatalog zusammenstellen 35 Software Update Service (SUS) Was ist SUS • Kopie des Windows-Update-Dienstes von Microsoft • auf eigenem Server, • daher keine Bedenken, dass Microsoft Informationen über die eigenen Rechner sammelt. • Patches müssen vom SUS-Administrator freigegeben werden - Möglichkeit zum Testen vor Freigabe Verfügbarkeit • Windows 2000 ab SP3 • Windows XP ab SP1 • Windows 2003 36 18 SUS-Einrichtung Als Administrator gpedit.msc über Start -> Ausführen aufrufen, Unter Computerkonfiguration -> Administrativen Vorlagen im Kontextmenü (rechte Maustaste) Vorlagen hinzufügen/entfernen… aufrufen. Administrative Vorlage wuau.adm einbinden. 37 SUS-Einrichtung (2) Jetzt lässt sich Windows Update in der Gruppenrichtlinie konfigurieren 38 19 SUS-Einrichtung (3) Einstellmöglichkeiten ab Windows XP stark erweitert • Einige Einstellungen müssen nicht konfiguriert werden Automatische Updates konfigurieren • 2 = Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachrichtigen • 3 = (Standardeinstellung) Updates automatisch downloaden und über installierbare Updates benachrichtigen • 4 = Updates automatisch downloaden und laut angegebenem Zeitplan installieren • 4 ist zu empfehlen • Täglich und zu einer Uhrzeit, zu der der Rechner eingeschaltet ist. 39 SUS-Einrichtung (4) Internen Pfad für den Microsoft Updatedienst angeben • hier wird die URL des lokalen SUS-Servers festgelegt. • für den SUS-Server der GWDG - http://sus.gwdg.de 40 20 SUS-Einrichtung (5) Clientseitige Zielzuordnung • wird erst mit der nächsten SUS-ServerVersion unterstützt • erlaubt dann nach Clientengruppen Patches freizugeben 41 SUS-Einrichtung (6) Zeitplan für geplante Installationen neu erstellen • Wartezeit nach dem Systemstart, bevor eine zuvor verpasste geplante Installation ausgeführt wird. • Wenn der Status deaktiviert ist, wird eine verpasste geplante Installation zum nächsten geplanten Installationszeitpunkt ausgeführt. • Wenn der Status nicht konfiguriert ist, wird eine verpasste geplante Installation eine Minute nach dem Neustart ausgeführt. 42 21 SUS-Einrichtung (7) Keinen automatischen Neustart für geplante Installationen ausführen • Aktivieren, damit der Update-Prozess nicht nach der Installation der Updates den Computer ohne Rückfrage beim Benutzer automatisch (nach 5 Minuten) neu startet 43 SUS-Einrichtung (8) Automatische Updates sofort installieren • Aktivieren • Sonst werden die Updates nur heruntergeladen • Die Installation müsste dann von Nutzer gestartet werden. 44 22 SUS-Einrichtung (9) Probleme bei Benutzern mit Administrator-Rechten • Änderung des Ablaufs • keine automatische Installation • nur Download • Hinweissymbol in der Taskleiste: Weitere Informationen • zur weniger komfortablen Einrichtung unter älteren Windows-Versionen • Registry-Schlüssel • Sonderfälle • unter http://sus.gwdg.de 45 Internet Explorer Gefährdung • Internetseiten enthalten nicht mehr nur Text und Bilder, • sondern immer mehr aktive Inhalte (Programme), die im Browser / auf dem lokalen Rechner ausgeführt werden • ActiveX-Controls, VB-Scripten, Java-Applets werden über IE gesteuert (Sicherheitskontrolle) • IE im Betriebssystem integriert und dort intern vielfältig verwendet: - kommt also nicht nur zum Einsatz, wenn explizit aufgerufen! Zonenkonzept • Zone 0: Lokaler Computer (als Zone nicht angezeigt) • Zone 1: Lokales Intranet (Sites explizit zu definieren) • Zone 2: Vertrauenswürdige Sites (Sites explizit zu definieren) • Zone 3: Internet (Standardzone für sonst nicht klassifizierte Sites im IE) • Zone 4: Eingeschränkte Sites (Sites explizit zu definieren) Vorlagen für Sicherheitseinstellungen (Stufen) • sehr niedrig, niedrig, mittel, hoch Möglichst IE 6.0 SP2 mit aktuellsten Patches einsetzen 46 23 IE – Zonensicherheitseinstellungen Wegen immer wieder auftretenden Sicherheitproblemen sollte die Internetzone restriktiver eingestellt werden: • ActiveX-Steuerelemente und Plugins - ActiveX-Steuerelemente ausführen, die für Scripting sicher sind: Eingabeaufforderung - ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind: Deaktivieren - ActiveX-Steuerelemente und Plugins ausführen: Eingabeaufforderung - Download von signierten ActiveX-Steuerelementen: Eingabeaufforderung - Download von unsignierten ActiveX-Steuerelementen: Deaktivieren • Benutzerauthentifizierung - Automatische Anmelden nur in der Intranetzone • Download - Dateidownload: Aktivieren - Schriftartdownload: Aktivieren • Microsoft VM - Java-Einstellungen: Hohe Sicherheit • Scripting - Active Scripting: Deaktivieren - Einfügeoperationen über ein Skript zulassen: Eingabeaufforderung - Scripting von Java-Applets: Eingabeaufforderung • Verschiedenes - Auf Datenquellen über Domänengrenzen hinweg zugreifen: Deaktivieren - Dauerhaftigkeit von Benutzerdaten: Aktivieren - Gemischte Inhalte anzeigen: Deaktivieren - Installation von Desktopobjekten: Deaktivieren - Keine Aufforderung zur Clientzertifikatsauswahl, wenn kein oder nur ein Zertifikat vorhanden ist: Deaktivieren - META REFRESH zulassen: Aktivieren - Programme und Daten in einem IFRAME starten: Eingabeaufforderung - Subframes zwischen verschiedenen Domänen bewegen: Eingabeaufforderung - Unverschlüsselte Formulardaten übermitteln: Eingabeaufforderung - Ziehen und Ablegen oder Kopieren und Einfügen von Dateien: Eingabeaufforderung - Zugriffsrechte für Softwarechannel: Hohe Sicherheit Dann müssen einige Sites bei Bedarf unter „Vertrauenswürdige Sites“ aufgenommen werden Alternativ: „Eingeschränkte Sites“ zur Standardzone machen? • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults 47 IE – weitere Sicherheitseinstellung Einstellungen in Internetoptionen > Erweitert • Automatische Überprüfung auf Aktualisierung von IE: deaktivieren • Auf zurückgezogene Serverzertifikate überprüfen: aktivieren • Auf zurückgezogene Zertifikate von Herausgebern überprüfen: aktivieren • Bei ungültigen Sitezertifikaten warnen: aktivieren • Bei Wechsel zwischen sicherem und nicht sicherem Modus warnen: aktivieren • Warnen, falls Formulardaten umgelenkt werden: aktivieren • Auf zurückgezogene Serverzertifikate überprüfen: aktivieren Cookie-Behandlung in Internetoptionen > Datenschutz > Erweitert • Automatische Cookiebehandlung aufheben • Cookies von Erstanbietern - entweder Sperren oder Annehmen, je nach dem ob man Cookies für bestimmte Internetdienste benötigt werden • Cookies von Drittanbietern - Sperren • Sitzungscookies immer zulassen 48 24 Alternative Firefox Eigenschaften • Freie Software, z. B. von - www.gwdg.de/samba/windows/firefox/de/Firefox_Setup_1.0.exe • aus Mozilla ausgekoppelter Browser • die meisten Angreifer zielen auf den Internet Explorer • daher ist Firefox sicherer Sicherheitsrelevante Konfiguration in Extras > Einstellungen • Datenschutz - Formulardaten nicht speichern - Passwörter nicht speichern - Cookies einschränken • Web-Features - Popup-Fenster blockieren - Websites das Installieren von Software erlauben: Nur eingeschränkt - Grafiken laden: nur von der ursprünglichen Webseite - Java aktivieren? - JavaScript aktivieren? (Punkte unter „Erweitert“ abwählen) • weiter Beschreibungen unter www.gwdg.de/service/netze/www-server/index.html 49 Outlook Express Mitgeliefertes Mailprogramm, sicherheitstechnisch nicht optimal Sicherheit von Internet Explorer (Patches, Zonenkonfiguration) abhängig HTML-Mails (prinzipiell, nicht nur OE) • Sicherheitsrisiko, also wenigstens nicht selbst welche verschicken („nur Text“ verwenden) Dateianhänge (prinzipiell, nicht nur OE) • immer erst speichern, • dann gespeicherte Version öffnen • damit Virenscanner die Datei untersucht • oder bei unklarer Quelle gar nicht öffnen Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!) • Extras > Konten > Eigenschaften > Erweitert Vorschaufenster vermeiden • Extras > Optionen > Lesen „Nachrichten im Vorschaufenster automatisch downloaden“ deaktivieren Sicherheitseinstellungen (Extras > Optionen > Sicherheit) • Internet-Explorer-Sicherheitszone: „Zone für eingeschränkte Sites“ • „Warnung anzeigen, wenn andere Anwendungen versuchen, E-Mail unter meinem Namen zu versenden“ aktivieren Schutz vor Dialer • „Hinweis beim Wechsel der DFÜ-Verbindung“ aktivieren (Extras > Optionen > 50 Verbindungen) 25 Outlook XP / Outlook 2003 Sicherheitstechnisch Outlook Express überlegen • Wenn möglich Outlook statt Outlook Express einsetzen Teil von Office XP bzw. Office 2003 Achtung: Service Packs von Office XP / Office 2003 einspielen Nutzung verschlüsselter Verbindungen für ein- und ausgehende Mail (insbesondere für Kennwörter!) Mail in Zone „Eingeschränkte Site“ verarbeiten Vorschaufenster nicht nutzen • Im Menü Ansicht „Vorschaufenster“ und „Autovorschau“ deaktivieren HTML-Mails in Text umwandeln • HKEY_Current_User\Software\Microsoft\Office\10.0\Outlook\Option\Mail\ReadAsPlain=1 setzen (ggf. DWORD-Wert erzeugen) • Bei Outlook 2003 integriert: Extras > Optionen > E-Mail-Format > Internetformat > In-NurText-Format konvertieren Viele Dateianhänge werden von Outlook XP nicht angezeigt • Freischaltung bei Bedarf mit OutlookTuner2002.exe (http://www.gwdg.de/samba/windows/OutlookTuner2002.exe) • Ansonsten Regeln wie bei OE Spam-Filter in Outlook 2003 • Aktion > Junk E-Mail > Junk E-Mail Optionen… • Schutz: hoch 51 Alternative Thunderbird Eigenschaften • Freie Software, z. B. von - www.gwdg.de/samba/windows/thunderbird/de/Thunderbird_Setup_1.0.exe • aus Mozilla ausgekoppelter Mailclient • die meisten Angreifer zielen auf den Outlook • daher kann Thunderbird sicherer sein Konfiguration (sicherheitsrelevante Teile) • Verfassen - Sende- und HTML-Optionen/Sende-Optionen...: Nachrichten in reinen Text konvertieren • Anhänge - Anhänge speichern unter: Immer fragen, wohin Anhänge gespeichert werden sollen • Erweitert - Datenschutz: Blockiere das Laden von externen Grafiken in Nachrichten: ja - Doch laden, wenn Absender im Adressbuch ist: nein (denn es könnte ja sein, dass die Absenderadresse missbraucht wurde) - Erlaube JavaScript in Nachrichten: nein • Extras > Konten >Server-Einstellungen - Sichere Verbindung (SSL) verwenden: ja • Spam-Filter - Extras > Junk-Filter Einstellungen… 52 26 Sichere Mail Absenderadressen von Mails können beliebig gefälscht werden • Das Internet-Mail-Protokoll SMTP sieht keine Authentifizierung vor • Erweiterung durch kryptographische Signaturen von Mails - PGP - X.509 / SMIME - Probleme der Signaturprüfung • Verschlüsselung von Mails mit gleichen Programmen möglich • Grundlage: Public-Key-Kryptographie Public Key Infrastruktur (PKI) der GWDG / MPG • integriert in PKI des DFN-Vereins • seit 2004 für GWDG • in Kürze für MPG (im eigenen Namensraum, DFN muss MPG noch zertifizieren) • Informationen unter http://ca.gwdg.de Mit verschiedensten Mail-Programmen kompatibel 53 Zentrales Management von Windows XP Viele Aufgaben lassen sich über automatisieren • über (lokale oder globale) Gruppenrichtlinien • Sicherheitsvorlagen (Snap-In für MMC) - von Microsoft (\Windows\security\templates) - Ggf. eigene Anpassungen • Sicherheitskonfiguration und –analyse (Snap-In für MMC) - Vergleich mit Sicherheitsvorlagen (Analyse) - Anwendung von Sicherheitsvorlagen (Konfiguration) 54 27 Viren, Würmer, Trojanische Pferde, Hoax Viren • Zumeist sehr kleine Programme, die in der Lage sind, sich an andere Programme zu hängen, sich so zu reproduzieren und zeitgesteuert Schäden zu verursachen Würmer • braucht im Gegensatz zu Viren keinen Wirt! besteht aus einem eigenständigen Programm, welches auf dem Rechner selbständig Prozesse startet – er repliziert (kopiert) sich auf andere Rechner (z. B. über Email oder direkt über das Netz) Trojanische Pferde • Programme, die harmlose Funktionen vortäuschen, aber sich in ein Rechnersystem einschleusen, es kompromittieren und dort Daten ausspähen oder den Rechner fernsteuern • verkürzt (und historisch-philologisch falsch) auch Trojaner genannt Hoax • "Scherz-Mails" mit Warnungen vor angeblichen oder vermeintlichen Viren, meist mit der Aufforderung diese Mail an alle Bekannten weiterzugeben 55 Virenscanner Funktionen • OnDemand: - der Virenscanner wird von dem Benutzer explizit angewiesen, bestimmte Verzeichnisse oder Dateien zu überprüfen • OnAccess: - der Virenscanner springt automatisch an, sobald eine Datei auf den Massenspeicher des Rechners gespeichert wird (Hintergrundwächter) - Der Hintergrundwächter überwacht nur bestimmte Betriebssystemschnittstellen - Viele Würmer können sich daher unbemerkt einschleichen! - Daher: Regelmäßiger OnDemand-Scan notwendig! Erkennung erfolgt durch • Signaturen: - für jeden Virus hat der Virenscanner im Idealfall ein passendes Erkennungsmuster in seiner Datenbank, woran dieser Schädling eindeutig zu identifizieren ist - diese Signaturen müssen ständig aktualisiert werden • Heuristik: - falls der Virenscanner keine geeigneten Signaturen für den betreffenden Virus hat, soll er diesen wenigstens anhand seines typisch virulenten Verhaltens erkennen 56 28 Sophos Anti-Virus Lizenz • für Mitarbeiter niedersächsischer Hochschulen, • für Studierenden niedersächsischer Hochschulen, • für Mitarbeiter der Institute der Max-PlanckGesellschaft Automatische Updates • zeitweise unbefriedigenden gelöst, aber • mit „Sophos Enterprise Manager“ im Hintergrund • über „Remote Update Tool“ • jetzt eine gute Lösung Installation über „Remote Update Tool“ • z. B. von http://antivir.gwdg.de 57 Installation von Sophos Remote Update Tool herunterladen • z. B. von http://sus.gwdg.de/sophos/rup dtsfx.exe rupdtsfx.exe laden, auspacken in temporäres Verzeichnis Installation starten (Arbeitsplatzinstallation) nach Installation Konfigurieren • Aufruf über Icon im Systemtray 58 29 Konfiguration von Sophos Einstellung des Server Benutzername Kennwort Einstellung des UpdateIntervalls Das Symbol zeigt im übrigen an, dass ein Update fehlgeschlagen ist 59 Konfiguration OnDemand-Scan Einstellung des OnDemand-Scans • in Sophos AntiVirus • Register „Zeitgesteuerte Aufträge“ 60 30 Wenn der Virenscanner nichts mehr findet Folgerung: Rechner ist virenfrei? Falsch! • Viren können das Betriebssystem soweit verändern, dass der Virenscanner bestimmte Teile des Rechners gar nicht mehr sehen kann (Rootkits) - Dateien - Prozesse - Registry-Schlüssel - Offene Ports • z. B. einige Varianten von Agobot-, SDBot-, RBot-Viren integrieren den Trojaner/Rootkit Hackdefender Für zuverlässige Virenscans: • Virenscanner aus einem garantiert sauberen System starten - Knoppicillin - ERD-Commander - WinPE-CDs 61 Hacker Die gleichen Schwachstellen (und mehr), über die Würmer eindringen, werden auch von Hackern genutzt Ziele der Hacker sind z. B.: • Nutzung von Festplattenplatz (Raubkopien legaler Dateien wie Filme, Musik und Software bis zu illegalen Inhalten wie Kinderpornographie) • Nutzung von Übertragungsbandbreite • Nutzung als Mailserver für Spam-Verteilung • Stützpunkte für weitere Einbrüche • Stützpunkte für Angriffe auf Internet-Server (Denial of Service – DoS, Distributed Denial of Service – DDoS) • Spionage Gefährdung • Hacker suchen heute selten nach geheimen Informationen • auch unser Umfeld ist zunehmend gefährdet • und häufig sind wir zu leichte Beute! Nicht auf die leichte Schulter nehmen! • Können Sie der Polizei beweisen, dass Sie selbst Opfer und nicht Täter sind? • Haftung bei (grober) Fahrlässigkeit! • Rufschaden Hackertools werden (meist) nicht von Virenscanner gefunden. • Viele sind ganz normale Programme, die nur missbraucht werden. 62 31 Verdacht auf kompromittierte Systemintegritä Systemintegrität – Was tun? Ruhe bewahren! Vorgesetzte / EDV-Betreuer informieren Informationen zum aktuellen Zustand sichern • laufende Prozesse, offene Ports Rechner vom Netz nehmen von nicht kompromittierten System booten (z.B. Knoppicillin) • Analyse - Alle Dateien mit Größe und Modifikationsdaten erfassen - Virenscan • Datensicherung - Komplettsicherung der Festplatte (bei Verdacht auf größeren Vorfall) oder - Sicherung wichtiger Teile (verdächtige Dateien, Registry und Eventlog in C:\Windows\System32\Config) 63 Verdacht auf kompromittierte Systemintegritä Systemintegrität – Was tun? (2) Untersuchung von Registry und Eventlog auf anderem Rechner (mühsam) Untersuchung der gestarteten Programme am infizierten Rechner • autoruns.exe • Gestartete Dienste (in Computerverwaltung -> Dienste und Anwendungen -> Dienste • hilfreich, wenn der „Normalzustand“ dokumentiert ist. • evtl. erst möglich, wenn Rootkits entfernt sind • nicht möglich, wenn System wegen Beweissicherung nicht modifiziert werden soll 64 32 Verdacht auf kompromittierte Systemintegritä Systemintegrität – Was tun? (3) Wiederherstellung der Systemintegrität • Die sicherste Methode ist Formatierung der gesamten Festplatte(n). • Einige Viren lassen sich auch gut mit einem Virenscanner entfernen. • Die komplexeren Viren (mit integrierten Hintertüren) sind nicht so sicher zu entfernen. • Nach einem Hackereinbruch kann man kaum übersehen, was der Hacker alles modifiziert hat, also dringende Empfehlung, alles neu zu installieren Wichtig: Backup • Regelmäßige Sicherung oder • Speicherung aller Daten auf einem (gesicherten) Server, • ggf. mit Synchronisation wichtiger Dateien auf die lokale Festplatte 65 Spyware Nutzerverhalten kann im Internet beobachtet werden • Ausnutzung zur Erstellung von Profilen, gezielte Werbung • Verlust der Privatsphäre • Bandbreitenverlust bei langsamen Anbindungen Nutzung von Cookies und Web-Bugs Einige Programme telefonieren nach Hause • z. B. FlashGet, GoZilla, Getright und einige P2P-Programme • Informationen hierzu: - www.it-secure-x.net/phonehome - www.phonehome.da.ru - www.allgemeiner-datenschutz.de/phonehome Alexa: Spione im Internet Explorer • Extras -> „verwandte Links anzeigen“ zeigt ähnliche Seiten an • Diese Information wird von der Suchmaschine Alexa gespeist, die in dem Ruf steht, das Surfverhalten mitzuprotokollieren • Deaktivierung durch löschen eines Registry-Schlüssels HKLM\ Software\ Microsoft\ Internet Explorer\ Extensions\ c95fe080-8f5d-11d2-a20b00aa003c157a (oder XP-Antispy) 66 33 Spyware-Scanner Beispiele • Ad-Aware SE Personal Edition von Lavasoft (www.lavasoft.de) • Microsoft AntiSpyware (z. Z. Betaversion verfügbar) Eigenschaften • Durchsuchen von Dateien, Registry, Cookies nach Auffälligkeiten, • wie Virenscanner signatur-basiert, • Signaturen müssen ebenso aktualisiert werden Microsoft AntiSpyware • erste Erfahrungen positiv • erkennt auch einige Trojaner und Dialer • Gibt auch Informationen zur Systemkonfiguration • Stellt Modifikationen von Programmen fest (hier insbesondere Sophos) Abhilfe mit Personal Firewalls • falls diese ausgehende Verbindungen überwachen 67 34