NIS Labs PC Security - Informatikdidaktik.ch
Contents
1. Antivirus un EE iia 30 6 5 Antispyware msta erei nencia i a a a a a 31 6 6 Virenscanner Iegtett ses nirean a e S E RTEA ad 31 Ee EE 32 Tale Ak GEA a EE 32 1 2 JELENA ONO EE 33 GL NoSetipt http HoscHipt net Han de D eg Eet 34 1 2 23 ROQUE SICA nem rer Liu EE 35 E23 EE 35 7 24 Manuelle Suche u a A ai 36 Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 3 47 PC Security ER E 39 8 1 Anhangverschl sselung ars riot cel a asadas 39 8 2 S MIME tidad cai 39 A EE 40 8A er aia nei e 40 9 Passwort Management siriene tironina lr da 42 D E E EE 42 92 AWEL einfache EE 42 Sc Passwort Manaset s soitan eenaa dee Eden De 42 9 3 1 Integrierte P asswortmana ger nesi ioes iio rain a a S i dida tdi beds 43 9532s PassWord E ae 43 10 EN RN 44 DEE E EE A4 10 2 TrueCrypt NA 44 10 3 Steganographle Hm er N nd bern nee 46 ACI E NTE 47 Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 4 47 PC Security 1 Einleitung Bis vor kurzem war im Heimbereich meist ein einzelner Computer ber ein Modem ans Internet gebunden Heute sind meist mehrere Computer zu einem Heimnetzwerk zusammengefasst und ber einen NAT Router NAT Native Address Translation mit dem Internet verbunden Der Heimuser trifft auf neue Bedro2. Zeit z B alle zwei Monate gewechselt werden Angesichts der geforderten Komplexit t der Passw rter d rfte es f r die meisten Anwender schwierig sein den Passwortwechsel zu vollziehen Das Resultat sind meist gleich bleibende Passw rter Zudem muss sich der Anwender bewusst sein dass er vielleicht nicht allen Mitgliedern einer Sicherheitsstufe gleich viel Vertrauen schenken kann 9 3 Passwort Manager Inzwischen ist die Branche auf die Passwortproblematik aufmerksam geworden und bietet dem Anwender Hilfe in Form von Programmen an die dem Anwender das Merken der Passw rter abnehmen Die Passwortmanager k nnen zu einer Erh hung der Sicherheit beitragen sofern sie denn gut programmiert sind Viele Manager geben die Passwortdatenbank ohne vorherige Benutzerauthentifikation bekannt oder legen die sicherheitskritischen Daten unverschl sselt ab Eine h ufige Fehlerquelle ist die unsaubere Speicherverwaltung im Zusammenhang mit Passw rtern Passw rter bleiben im Speicher und k nnen von Unberechtigten herausgelesen werden Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 43 47 PC Security 9 3 1 Integrierte Passwortmanager Diverse Applikationen bieten eine integrierte Funktion zur Speicherung von Passw rtern an Als Beispiele k nnen Internet Browser E Mail Clients FTP Clients etc aufgef hrt werden Diesen integrierten Passwortma
3. auf dem Server Testen Sie die beiden Befehle calc und shutdown s auf dem Server Mit dem Versuchsaufbau werden Sie nicht auf den Server zugreifen k nnen berlegen Sie sich weshalb Schliessen Sie SecPC1 an den Router an und versuchen Sie es nochmals Machen Sie diese nderung am Ende dieses Kapitels wieder r ckg ngig Sie sehen dass diese kleine Applikation halten kann was sie verspricht Keine Firewall schl gt hier Alarm Ein IDS w re in der Lage einen solchen Angriff zu detektieren da es den Verkehr u a auf bekannte Befehle filtert Doch mit den geeigneten Erweiterungen SSL benutzen oder Befehle mappen ist auch dieses Problem einfach zu umgehen Die Applikation erscheint ziemlich unflexibel Sie m ssen im Hinterkopf behalten dass es sich dabei um ein Proof of Concept handelt nicht um eine optimale Implementation Der n chste Auszug beschreibt die genaue Funktionsweise von wwwsh Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 28 47 PC Security Eingabe von PROGRAMFILES Internet Explorer IEXPLORE EXE Dr cken der lt Enter gt Taste Diese Vorgehensweise wurde von Volker Birk in der Usenetgruppe de comp security misc bereits vorgestellt Mit Hilfe der Windows Systembibliotheken holt sich wwwsh eine Referenz auf die URL Zeile des Internet Explorers so dass diese mittels Fensternachrichten mani
4. die Benutzer es l stig bei jedem Bootvorgang ein Passwort mehr einzugeben Die Daten selbst werden durch solch ein Passwort nicht gesch tzt auch beim HD Passwort nur in beschr nktem Masse F r den Datenschutz eignet sich die Verschl sselung viel besser Egal welches Szenario man nimmt es scheitert immer an der Benutzerfreundlichkeit Bei mobilen Ger ten macht der Schutz aber durchaus Sinn und ist auch bei den Benutzern breiter akzeptiert W hrend man den PC zu Hause vor physikalischem Zugriff gefeit meint sch tzen viele Benutzer diese Gefahr bei ihren mobilen Ger ten h her ein Ein Beispiel f r die gute Akzeptanz ist die hohe Zahl PIN Code gesch tzter Mobiltelefone Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 23 47 PC Security 5 Einsatz von Firewalls Ziel des Kapitels In diesem Kapitel werden Sie die g ngigen Arten von Firewalls sowie deren St rken und Schw chen kennen lernen Bearbeitungsaufwand Der Bearbeitungsaufwand betr gt ca 45 Minuten des Kapitels 5 1 Begrifflichkeiten Im Zusammenhang mit Firewalls fallen etliche Begriffe Die Funktionalit t hat sich gesteigert und dadurch wurden neue Bezeichnungen hervorgerufen Im Folgenden werden die g ngigsten Begriffe kurz erkl rt 5 1 1 Packet Filter Die urspr nglichste und wohl auch bekannteste Art von Firewalls sind Paketfilter Sie filtern die eingehenden
5. fast nichts mehr selber machen doch senkt zugleich die Sicherheit des Systems Ein Dienst ist immer eine potentielle Sicherheitsl cke ganz besonders wenn er von aussen her erreichbar ist Deshalb sollte das Starten der Dienste gezielt auf die Bed rfnisse des Benutzers abgestimmt werden Microsoft hat in diesem Bereich zwar versagt doch die berfl ssigen Dienste lassen sich wenigstens von Hand abschalten Der Dienstmanager l sst sich durch die Ausf hrung von services msc starten Ausf hren zl Geben Sie den Namen eines Programms Ordners Dokuments oder einer Internetressource an Offnen services msc y Abbrechen Durchsuchen Abbildung 2 Starten des Dienstmanagers Danach lassen sich die einzelnen Dienste von Hand konfigurieren Networking Services and Information Security Prof Dr Bernhard H mmerli Horw 3 Juni 2009 Seite 17 47 PC Security ZS Dienste Datei Aktion Ansicht 2 ze alele bisglrsusr Dienste Lokal Dienste Lokal QoS RSYP Name SM OoS RSYP Den Dienst starten SBARAS Verbindungsverwalt uRegsrvc Beschreibung a Remote Packet Capture Bietet Programmen und gRemoteprozeduraufruf Systemsteuerungsspmbolen de QoS Remate Registrierun unterst tzen Installationsfunktionen zur es 3 Steuerung von Netzwerksignalenund Routing und RAS lokalem Netzwerkverkehr SRARPC Locator y Sekund re Anmeldung userver y shelhardwareerkennung u Sicherhe
6. klau de klau cgi document cookie lt script gt Das Mitmach Web mit seinen vielen Social Networking Foren und Blog Seiten macht die Sache f r den Angreifer einfacher Viele erlauben die Gestaltung eigener Seiten teilweise mit aktiven Inhalten So l sst sich der sch dliche Inhalt direkt in den Seiten platzieren Zudem muss ein Angreifer nicht mehr mit verd chtig aussehenden Links hantieren Es gen gt seinem Opfer einen Link zu einer Seite bei einem der gro en vermeintlich vertrauensw rdigen Anbieter wie MySpace oder Facebook zu schicken Da Cross Site Scripting mittlerweile epidemische Ausmasse erreicht versuchen die Anbieter von Web Seiten das Einbetten von aktiven Inhalten in ihre Nutzerseiten durch JavaScript Filter und andere Ma nahmen zu verhindern Allerdings fallen einzelne Funktionen immer wieder durch das Raster und bleiben ungesch tzt Auch Google hat des fteren mit Cross Site Scripting L cken auf Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 33 47 PC Security Google Mail und Google Docs zu k mpfen Noch bis vor kurzem war es etwa bei Googles Spreadsheets m glich in die Tabellenfelder JavaScript Code hineinzuschreiben der beim Aufruf durch andere eingeladene Nutzer deren Google Cookie auslas Da Google dienst bergreifend ein einziges Sitzungs Cookie nutzt h tte ein Angreifer dieses nach einem erfolg
7. laufen allerdings b sartige Funktionen ab die dem Anwender zu schaden kommen B sartige Funktionen k nnen z B sein e Backdoor installieren Hintert r f r Hacker e Keylogger installieren e Passwort entwenden und per E Mail versenden Trojaner gelangen neben E Mail auch oft ber Downloads in Tauschb rsen Kazaa EMule EDonkey etc oder ber illegale Cracks auf den Rechner Bei Spyware oder Spionage Software handelt es sich um Programme die Informationen wie Tastatur Anschl ge oder zwischengespeicherte Passw rter an bestimmte Stellen im Internet schicken Spyware wird oft in Form von Trojanern installiert h ufig werden aber auch Sicherheitsl cken im Internet Explorer oder Active X Controls ausgenutzt Sehr oft verbirgt sich Spyware auch hinter offiziellen Produkten oder Updates und der PC Nutzer hat sich durch Akzeptieren der Lizenzbestimmungen einverstanden erkl rt dass sein System ausspioniert wird wer liest schon den genauen Lizenztext durch Typische Programme die Spyware enthalten sind e Download Utilities e Spiele e Media Players e Accounting Software Es kann durchaus sein dass die gesammelten Informationen nur statistisch ausgewertet werden im Sinne von Data Mining Es besteht aber kein Zweifel dass auch die selektive Auswertung durch Geheimdienste oder Polizei erfolgt Typischerweise wird Spyware von Antiviren Firmen nicht als Virus oder Malware behandelt Jedenfalls so lange wie die Spyware im End User
8. pr ventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von bekannten und unbekannten Sicherheitsl cken ohne Verlust an Funktionalit t Jedesmal wenn eine Seite zum ersten Mal angesurft wird erscheint am unteren Fensterrand ein Hinweis Skripte sind momentan verboten Zus tzlich wird die Anzahl der geblockten Skripte lt SCRIPT gt und die Anzahl Objekte lt OBJECT gt Objekte sind Flash Animationen oder Java Applets Diese werden f r den Moment geblockt bis andere Regeln definiert wurden Skripte sind momentan verboten lt SCRIPT gt 4 lt OBJECT gt 0 Fertig A 9 ATA Microsoft Ou Hochschule Luzern Abbildung 11 NoScript Auf der rechten Seite k nnen nun verschiedene Einstellungen vorgenommen werden Zuoberst kann der Men punkt Einstellungen angew hlt werden um NoScript im Detail zu konfigurieren Hier kann z B die Positivliste eingesehen werden in welcher bereits einige Seiten eingetragen sind Es kann aber auch konfiguriert werden welche Plugins geblockt werden sollen und ein paar Einstellungen zu Cross Site Scripting sind ebenfalls m glich Falls einmal eine Seite nicht korrekt funktioniert oder sonst ein Problem besteht kann das NoScript Plugin mit Skripte allgemein erlauben deaktiviert werden Ab sofort werden die Seiten so angezeigt als w re das Plugin nicht installiert Achtung Die bereits ge ffneten Sites in den Tabs werden gereloadet da kann also Schadcode einges
9. rmern gewichen Diese ben tigen keinen Wirt mehr sondern sind in der Lage sich selbst auszubreiten Sie versuchen z B ber das Internet potenzielle Opfer zu finden und sich bei ihnen einzunisten um sich dann wieder auf die Suche nach potenziellen Opfern zu machen Die meisten W rmer verbreiten sich ber Mail einige aber auch ber andere Protokolle wie RPC Ein Beispiel f r einen E Mail Wurm ist die Sober Familie Mehr zu diesem Thema ist im Teil Lokale Attacken des Auditversuchs zu finden Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 8 47 PC Security 3 3 Spyware und trojanische Pferde Der Dichter Homer beschreibt in seinem Werk Ilias die Anwendung einer genialen Kriegslist im Krieg um die Stadt Troja Die Stadt ist zu gut befestigt und kann selbst nach langer Belagerung von den Griechen nicht eingenommen werden Die Griechen t uschen ihren Abzug vor und machen den Trojanern ein riesiges h lzernes Pferd zum Geschenk Die Trojaner freuen sich ber den Sieg und bef rdern das Pferd in ihre Stadt In der Nacht steigen jedoch die im Bauch des Pferdes befindlichen griechischen Soldaten aus ihrem Versteck und ffnen die Stadttore damit die zur ckgekehrte griechische Armee die Stadt einnehmen kann Genau dieselbe List ist auch bei Computerprogrammen anzutreffen die sich als n tzliche Tools tarnen Im Hintergrund solcher Programme
10. und installieren Sie diese Erstellen Sie einen verschl sselten Bereich muss nicht hidden sein Benennen Sie die Datei z B true dll und w hlen Sie eine Gr sse von 50 MB F hren Sie bei dieser Gelegenheit auch Performancetests f r die Gr ssen 1 MB 50 MB und 100 MB durch Die Wahl des Verschl sselungsalgorithmus ist Ihnen berlassen Nach der Formatierung ist der neue Bereich bereit TrueCrypt bietet die M glichkeit den verschl sselten Bereich als Wechsellaufwerk zu mounten So sind die Daten sehr einfach zugreifbar Zudem kann das Einh ngen des Krypto Laufwerks automatisiert werden W hrend ein Laufwerk gemountet ist erfolgt der Zugriff ohne weitere Angaben seitens des Benutzers Wenn Sie also den Benutzer unter Windows XP wechseln kann der zweite Benutzer ebenfalls auf das Laufwerk zugreifen Zudem sind die Dateien im Hauptspeicher und in der Auslagerungsdatei ersichtlich wenn diese ge ffnet werden Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 46 47 PC Security 10 3 Steganographie Steganographie ist eine ganz besondere Technologie Sie ist nicht direkt eine Verschl sselung Sie operiert im Schatten anderer Informationen Dabei geht es darum wichtige Informationen in unwichtigen Informationen zu verstecken Bestimmt haben Sie als Kind einmal einen Brief mit Zitronens ure verfasst Das Geschriebene kommt erst zu
11. und oder ausgehenden Pakete nach folgenden Kriterien e Source IP e Destination IP e Source Port e Destination Port e UDP TCP e Richtung Outbound Inbound Jedes einzelne Paket wird gegen ein Regelwerk verglichen Dieses Regelwerk setzt sich aus obigen Kriterien zusammen und soll das eigene Netzwerk gegen aussen m glichst gut sch tzen 5 1 2 Policy Als erstes muss die allgemeine Richtlinie die Policy der Firewall festgelegt werden Es existieren zwei Ans tze default Policy drop und default Policy accept welche meist getrennt f r Inbound und Outbound Verkehr definiert werden k nnen Bei der ersten Variante werden alle Pakete verworfen auf welche keine Regel zutrifft Es wird demnach explizit deklariert welcher Verkehr zul ssig ist Die zweite Variante l sst alle Pakete passieren welche keiner Regel entsprechen Hier wird der unzul ssige Verkehr definiert Empfehlenswert ist logischerweise die erste Variante und zwar in beide Richtungen So werden nur Verbindungen zugelassen welche wirklich ben tigt werden Im Normalfall kann im Heimbereich s mtlicher von aussen kommender Verkehr blockiert werden Ausnahmen bilden z B Filesharing Programme oder ein eigener FTP oder SSH Server welche Verbindungen in die Aussenwelt anbieten k nnen m ssen Optimalerweise w rden auch alle Verbindungen von innen standardm ssig blockiert werden und nur die ben tigten Ports ge ffnet Doch f r die meisten Benutzer w re der damit verbundene
12. 0 47 PC Security 8 3 PGP PGP pretty good privacy ein von Phil Zimmermann entwickeltes Programm zur Verschl sselung von Daten Die erste Version von PGP wurde 1991 vorgestellt Wie S MIME ist auch PGP ein Public Key Infrastructure Verfahren jedoch basiert PGP auf dem Web of Trust Modell in welchem die Zertifikate nicht von einer Zertifizierungsstelle herausgegeben werden m ssen Ein Zertifikat kann von jedem Benutzer Web of Trust Mitglied erzeugt werden Glaubt ein Benutzer daran dass ein ffentlicher Schl ssel tats chlich zu der Person geh rt die ihn ver ffentlicht so erstellt er ein Zertifikat indem er diesen ffentlichen Schl ssel signiert Andere Benutzer k nnen aufgrund dieses Zertifikates entscheiden ob auch sie darauf vertrauen wollen dass der Schl ssel zum angegebenen Benutzer geh rt oder nicht Je mehr Zertifikate an einem Schl ssel h ngen desto sicherer kann man sein dass dieser Schl ssel tats chlich dem angegebenen Eigent mer geh rt PGP verwendet wie S MIME die Hybride Verschl sselung die eigentliche Nachricht wird mit einem symmetrischen Verfahren verschl sselt d h der Absender verwendet zum Verschl sseln den gleichen Schl ssel wie sp ter der Empf nger zum Entschl sseln symmetrischer Schl ssel Der symmetrische Schl ssel wird f r jede Nachricht zuf llig erzeugt und zusammen mit der eigentlichen Nachricht ebenfalls in verschl sselter Form bermittelt F r diese Verschl sselung wird ein as
13. 00 00 00 70 02 fa fO 27 e0 00 00 02 04 05 b4 01 01 04 02 File D test pcap 14 KB 00 00 02 P1200 120m0 o Abbildung 14 Wireshark Dies gilt auch f r IRC Bots die sich durch zahlreiche Zugriffe auf IRC Server verraten welche allerdings SSL verschl sselt sind Dadurch l sst sich zwar die Kommunikation nicht analysieren wenn aber keinen IRC Client auf dem Rechner installiert und gestartet ist liegt der Schluss nahe dass ein Sch dling den Verkehr hervorruft Andere Hintert ren k nnen mit dem kostenlosen Tool GMER aufgesp rt werden Nach dem Start entdeckt das Werkzeug verd chtige Modifikationen im System und r t im Verdachtsfall zu einer Systemuntersuchung Zahlreiche der aktuellen Sch dlinge setzen auf Rootkit Techniken um sich zu verstecken und lassen sich daher durch Tools wie GMER entdecken Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 38 47 PC Security E GMER 1 0 10 10122 Proceses Modules Services Autostart Rootkit CMD Settings Log Parameters ID TMenay Thi Hendes Usertme Kereltmel ky process D Sytem Idle 0 System 4 Kill all D WINDOWS System32 smss exe 564 ma DAWINDOW SAsystem32Lcs1ss exe ObjectDir 628 Y Restore SSDT D WINDOWS system32 winlogon exe 652 Restart D WINDOWS spstem32 services exe 704 WINDO WS system32 lsass exe WINDO WS system32 svchost exe D WINDO
14. 8 Ausnahmen Heuristik el Report Dateien Alle Dateien O Intelligente Dateiauswahl O Dateierweiterungsliste verwenden Datsiemetenngen Weitere Einstellungen Bootsektor Suchlaufwerke Masterbootsektoren durchsuchen v v Offline Dateien ignorieren Symbolischen Verkn pfungen folgen Y Rootkit Suche bei Suchstart Allgemeines I Email As Erweiterte Gefahrenk 24 Sicherheit Suchvorgang E Ereignisse Y stoppen zulassen Berichte Scanner Priorit t mittel EP Verzeichnisse E e Update Beschreibung Bei aktivierter Option pr ft der Scanner bei einem Suchstart in einem sog Schnellverfahren das Windows Systemwerzeichnis auf aktive Rootkits Dieses Yerfahren pr ft Ihren Rechner nicht so umfassend a F r mehr Information dr cken Sie F1 DK Abbrechen Abbildung 10 Konfiguration des Virenscanners Avira AntiVir Im Gegensatz zur Standard Einstellung sollen alle Dateien durchsucht und das System auf Rootkits gepr ft werden Gehen Sie zudem in das Untermen Suche gt Archive und stellen Sie ein dass alle Archiv Typen durchsucht werden Nun konfigurieren wir den Guard Scanner welcher in Echtzeit die Aktionen des Benutzers berwacht F r die Suche reicht hier die intelligente Wahl der Dateien aus Zus tzlich sollte jedoch die Pr fung von Archiv Dateien aktiviert werden Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luz
15. Aufwand zu gross und viele der Billig Firewalls bieten diese Funktion auch gar nicht an 5 1 3 Stateful Packet Filtering Inspection Stateful Filtering bzw Inspection steht f r zustandsorientierte Filterung Die vorher beschriebene Filterungsart arbeitet zustandslos d h sie filtert jedes einzelne Paket F r jede Richtung wird eine entsprechende Regel definiert was den Umfang des Regelsatzes massiv beeinflusst Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 24 47 PC Security Bei Stateful werden nicht die einzelnen Pakete betrachtet sondern die gesamte Verbindung Dies zeigt sich als wesentlicher Vorteil gegen ber der zustandslosen Filterung Pro Verbindungsm glichkeit wird nur eine Regel festgelegt dies verk rzt den Regelsatz und macht ihn bersichtlicher Ebenfalls wird dadurch die Leistung der Verarbeitung gesteigert da bei einer bestehenden Verbindung nicht f r jedes Paket den gesamten Regelsatz abgearbeitet werden muss Eine Stateful Firewall erkennt und verwaltet den Zustand einer Verbindung Die dazu notwendigen Informationen werden in einer Tabelle gespeichert sie wird auch als Zustandstabelle bezeichnet Im Folgenden sind einige Beispiele von gespeicherten Informationen aufgef hrt e Quell und Zieladresse und die zugeh rigen Ports e Protokoll Flags Sequenznummer e ICMP Typ und Code e weiter Verbindungsinformationen s
16. Ihnen gesagt dass durch die Windows API die Darstellung auch unterdr ckt werden k nnte Hinweis Eine Software Firewall bietet keine absolute Sicherheit Sie kann aufgrund ihrer Komplexit t gar negative Auswirkungen auf die Sicherheit haben 5 4 Vorschlag f r das Heimnetzwerk In einem ersten Schritt muss das gesamte Netzwerk gegen aussen gesch tzt werden Dazu ist die Anschaffung einer kleinen HW NAT Firewall zu empfehlen Sie beherrscht zwar nicht viele Funktionen doch f r die erste Filterung ist sie ausreichend Man muss sich aber bewusst sein dass eine solche Firewalls keinen Schutz auf Applikationsebene bietet sondern nur auf Netzwerkebene Die Firewall muss zudem entsprechend konfiguriert werden Neben der Absicherung gegen aussen ist auch die Absicherung gegen Computer aus dem Intranet sinnvoll ganz besonders wenn sich mobile Ger te im Netzwerk befinden Dazu ist aus oben genannten Gr nden eine Software Firewall aber nicht unbedingt geeignet Der Benutzer soll sich stattdessen berlegen welche Dienste er f r andere Computer im Netzwerk anbieten muss Die unn tigen Dienste k nnen wie im vorherigen Kapitel beschrieben abgeschaltet werden Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 29 47 PC Security 6 Antivirus und Antispyware Programme In diesem Kapitel wird der Schutz vor Malware durch die Installation von Anti
17. License Agreement EULA wie vage auch darauf hinweist dass Informationen beschafft und via Internet an den Betreiber weitergeleitet werden Mehr zu diesem Thema ist im Teil Lokale Attacken des Auditversuchs zu finden 3 4 Dialer Mit dem Aufkommen des Breitbandanschlusses haben Dialer einiges an Brisanz eingeb sst Dennoch trifft man sie immer noch oft an sowohl auf dem Web wie auch auf dem PC des Heimbenutzers Im Zusammenhang mit Laptops haben Dialer noch durchaus ihre Berechtigung Laptops haben zwecks ihrer hohen Mobilit t ein Modem integriert und stellen damit eine Gefahrenquelle dar sobald dieses Modem zum Aufbau der Internetverbindung benutzt wird Dialer haben zum Ziel die Standard DF Verbindung durch eine eigene Verbindung ersetzen Die Einwahl bei dieser Nummer kostet den Benutzer ein kleines Verm gen Betroffen sind in der Schweiz die typischen 09xx Nummern und in Deutschland die 0190 Nummern Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 9 47 PC Security 3 5 Script Kiddies Als Script Kiddie wird ein Angreifer bezeichnet der kein grosses technisches Know How im Bereich Hacking besitzt Er kann meist nicht programmieren und ist nicht in der Lage Sicherheitsl cken eigenh ndig auszunutzen Er benutzt deshalb Exploits oder Software welche erfahrene Hacker geschrieben haben Script Kiddies sind dennoch sehr g
18. NIS Labs Networking Services and Information Security Horw 3 Juni 2009 Seite 1 47 PC Security Lucerne University of Applied Sciences and Arts HOCHSCHULE LUZERN Technik amp Architektur Technikumstrasse 21 CH 6048 Horw T 41 41 349 33 11 F 41 41 349 39 60 www hslu ch Informatik Networking Services and Information Security Prof Dr Bernhard H mmerli T direkt 41 41 310 59 18 bernhard haemmerli hslu ch Dieses Dokument beinhaltet die Versuchsanleitung f r die Durchf hrung des Laborversuches PC Security im Labor Information Security Bei Fragen zur Versuchsanleitung wenden Sie sich bitte direkt an das Laborpersonal Autoren Thomas M hlemann Thomas Hospenthal Nicola Lardieri Prof Dr Bernhard H mmerli Version 4 1 Letze nderung 03 06 09 Laborbetreuung Informatik Networking Services Nicola Lardieri T direkt 41 41 349 33 39 nislab admin hslu ch Informatik Information Security Thomas Hospenthal T direkt 41 41 349 35 30 nislab admin hslu ch FH Zentralschweiz Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 2 47 PC Security nderungsverzeichnis Version Datum Status nderungen und Bemerkungen Bearbeitet von 4 1 03 06 09 Layout angepasst Nicola Lardieri Inhaltsverzeichnis Be RUE EE 4 Ze Mera he AUD Utd dee nn eeh 5 3y Aktuelle Bedrohungen une nn ea en ran u ee anne 6 3 1 AAA ER nmel ri DIDI ii 6 3 2 Viren opd W rmer eek dd een ae 7 3 3 Spy
19. Schaffen Sie sich eine bersicht ber die Benutzerkonten auf PCSec2 WinXP Home Erstellen Sie das Benutzerkonto versuch und setzen Sie Passw rter f r alle lokalen Benutzer Lokale Benutzer k nnen verschiedenen Gruppen angeh ren Durch die Gruppenzugeh rigkeit werden die Rechte des Benutzers bestimmt In der Computerverwaltung k nnen Sie unter dem Punkt Lokale Benutzer und Gruppen die Benutzer und die Gruppen des Systems finden Mit einem Doppelklick auf den Benutzernamen kann die Gruppenzugeh rigkeit eines Benutzers ausfindig gemacht werden Eigenschaften von versuch Allgemein Mitgliedschaft Profil Mitglied von Es Hauptbenutzer DK Abbrechen bernehmen Prof Dr Bernhard H mmerli Abbildung 4 Gruppenzugeh rigkeit Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 20 47 PC Security berpr fen Sie ob der vorhin erstellte Benutzer der Gruppe Hauptbenutzer angeh rt Sorgen Sie daf r dass der Benutzer ausschliesslich Mitglied dieser einen Gruppe ist Das Gruppenkonzept sieht vor dass Richtlinien Policies definiert werden k nnen welche auf alle Mitglieder der Gruppe angewendet werden Die Sicherheitseinstellungen werden mit dem Control C Windows System32 SecPol msc bearbeitet E Lokale Sicherheitseinstellungen Datei Aktion Ansicht 2 gt X Ei d Sicherheitseinstellungen Richtlinie _ Sicherheitseinstellung F nn htlini B8 Konten
20. WS spstem32 svchost exe D WINDOWS System32 svchost exe knetsvos Libraries DWINDOWSASystem32Asvchostexe k Networ 6 DIWINDOWSASystem32Asvchostexe kLocalS D WINDO WS spstem32 spoolsv exe D WINDOWS4System32 sychost exe k imgsve D AWINDOWS system32 rootkit exe Safe D WINDOWS Explorer EXE Name DXWINDOWSAsystem324RPCRTA d 000091000 0x77E70000 D WINDOWS spstem32 0LEPRO32 DLL 000017000 0x5EDD0000 DAWINDOWS A system32imsvert dl 000058000 0x C10000 DWINDOW Sisystem32tole32 dl 0 0013C000 0x 74E0000 D WINDOWSAsystem32A0LEAUT32 dll Dx0008C000 0x77120000 D WINDOWS gmer dil Dx0008E000 0207200000 D DOWS system32 avpe32 0410000000 Proceses 17 hidden 2 Command Abbildung 15 GMER Zur Entfernung der entlarvten Trojaner Rootkits und weiterer Sch dlinge sollte man auf eine saubere Boot CD mit Virenscanner wie Knoppicillin aus c t 26 07 zur ckgreifen Da das befallene System bei einer Analyse mit der Linux Live CD nicht l uft greift das Rootkit nicht sodass der Scanner sie mit aktuellen Virensignaturen aufsp ren und entfernen kann Installieren Sie GMER und untersuchen Sie mit GMER Ihre Prozesse nach Malware Die Downloadlinks sind jeweils im Text ersichtlich Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 39 47 PC Security 8 E Mail Sicherheit Ziel des Kapitels Dieses Kapitel behandelt M
21. an der Konfiguration vorgenommen Genauere Angaben zu den installierten Betriebssystemen k nnen aus folgender Tabelle entnommen werden PCSecl Windows XP Professional Service Pack 2 PCSec2 Windows XP Home Service Pack 1 Tabelle 1 Betriebssysteme Administrator versuch Administratoren versuch versuch Administratoren Tabelle 2 Windows XP Professional Benutzerkontos Auf dem Windows XP Home Rechner existieren dieselben Konten doch es sind keine Passw rter gesetzt da dies bei der Installation nicht verlangt wurde Der NAT Router verf gt ber folgendes Konto admin password Werkseinstellung Tabelle 3 Router Benutzerkonto Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 6 47 PC Security 3 Aktuelle Bedrohungen In diesem Kapitel wird eine Einf hrung geliefert und eine Liste der aktuellen Bedrohungen diskutiert welchen ein normaler Internetbenutzer begegnen kann Der Bearbeitungsaufwand betr gt ca 30 Minuten 3 1 Einleitung Sicherheit war vor einigen Jahren nur f r Unternehmen mit grossen Budgets oder besonders sch tzenswerten Daten von Bedeutung Dieser Umstand hat sich grunds tzlich ge ndert Kaum befindet sich ein Computer am Netz wird er auch schon gescannt oder gar angegriffen Ein kurzer Besuch auf der falschen Internetseite und schon befinden sich etliche Fremdprogramme auf der neuen Maschine Vielfach beh
22. arepacket besteht aus den Folgenden Programmen Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 41 47 PC Security GnuPG Das Kernst ck das eigentliche Verschl sselungsprogramm WinPT Ein Schl sselmanager und Helfer bei vielen Verschl sselungs Fragen GPA Ein alternativer Schl sselmanager GPGol Ein PlugIn f r Microsoft Outlook 2003 GPGee Ein PlugIn f r Microsofts Datei Explorer Claws mail Ein Email Client inklusive PlugIn f r GnuPG Tabelle 5 Gpg4win Softwarepaket Laden Sie von der Webseite http www gpg4win org index de html Gpg4win herunter und installieren Sie die Software Es m ssen mindestens GnuPG und einen Schl sselmanager WinPT oder GPA installiert werden Markieren Sie zus tzlich das Handbuch Gpg4win f r Durchblicker in welchem Sie eine Installationsanleitung sowie viele n tzliche Informationen finden Erstellen Sie jeweils ein Schl sselpaar und tauschen Sie die ffentlichen Schl ssel aus Testen Sie die Software indem Sie sich gegenseitig verschl sselte und signierte E Mails schicken und wieder entschl sseln Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 42 47 PC Security 9 Passwort Management Ziel des Kapitels In diesem Kapitel erfahren Sie welche Massnahmen f r ein sinnvolles Passw
23. arierte Webseite ansurft Kennt der Angreifer das Passwort oder steht es noch auf den Werkseinstellungen muss das Opfer allerdings nicht einmal eingeloggt sein damit der Trick ber Bande funktioniert Mittels JavaScript kann die b sartige Webseite die Authentifizierung einfach selber durchf hren Dass solche Angriffe bereits stattfinden zeigt ein Fall in Mexiko bei dem mehreren hundert Anwendern die DNS Eintr ge im Router verbogen wurden und auf einen Nameserver von Betr gern zeigten Anfragen f r Bankenseiten beantwortete der Server mit IP Adressen die auf Phishing Seiten f hrten Das perfide daran Selbst wer seine Online Banking Seiten nur ber Bookmarks aufruft oder die Adresse im Browser manuell eingibt landet auf solch einer gef lschten Seite Bei dieser auch Drive By Pharming genannten Attacke mussten die Opfer nicht mal eine pr parierte Webseite aufrufen der Link war in einer HTML Mail als Image Tag versteckt Viele Router unterst tzen Universal Plug and Play UPnP mit der eine auf einem PC laufende Anwendung beispielsweise Port Forwarding aktivieren kann um aus dem Internet erreichbar zu sein Dass dies zu Sicherheitsproblemen f hren kann weil ein infizierter Client so die Firewall durchbohren kann ist seit L ngerem bekannt Neu ist jedoch dass auch JavaScript ber XMLHttpRequests mit dem UPnP Interface kommunizieren und dar ber Einstellungen vornehmen kann Daf r muss ein Angreifer nur seinen Code in Webseiten verstecke
24. assen sich diese Update Dienste mit dem Taskmanager tempor r deaktivieren Die Sch dlinge verraten sich bei der Beobachtung des Netzwerkverkehrs mit Wireshark unter anderem durch gr ssere Mengen an ein und ausgehenden UDP Paketen die bei der Kommunikation des Bots mit seinem Command and Control Server beziehungsweise bei der Suche danach anfallen Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 37 47 PC Security test pcap Wireshark Eile Edit View Go Capture Analyze Statistics Help SEUA Aa AAA R ser l eaa leiter v db Expression y Clear Y apply No Time Source Destination Protocol Info 1 1 02 000000 192 168 0 2 Broadcast Whio has 192 168 0 27 Gratuitous 4 RK 19 Si NBNS e A 4 1 025659 192 168 0 2 0 0 IGMP v3 Membership Report Frame 11 62 bytes on wire 62 bytes captured Ethernet II Src 192 168 0 2 00 0b 5d 20 cd 02 Dst Netgear_2d 75 9a 00 09 5b 2d 75 9a Internet Protocol Src 192 168 0 2 192 168 0 2 Dst 192 168 0 1 192 168 0 1 Transmission Control Protocol Src Port 3196 3196 Dst Port http 80 Seq O Len O Source port 3196 3196 Destination port http 80 Sequence number O relative sequence number Header length 28 bytes Flags 0x0002 SYN Window size 64240 cd 02 08 00 45 00 00 30 18 s 40 00 80 06 i 2c CH a8 00 02 cO a8 00 01 Oc 7c 00 50 3c 36 95 f8 00
25. auisch bis fast paranoid was E Mail Anh nge und Webseiten angeht Ich l sche Cookies und Spyware Ich schaue mir URLs an um sicher zu gehen dass ich weiss wo ich bin und ich traue keiner unaufgefordert erhaltenen E Mail Ich kiimmere mich nicht um Passw rter f r Bereiche niedriger Sicherheit aber versuche gute Passw rter f r Konten zu haben bei denen es um Geld geht Ich habe immer noch kein Internet Banking Meine Firewall verweigert s mtliche eingehenden Verbindungen Und ich schalte meinen Computer aus wenn ich ihn nicht gerade brauche Das ist im Prinzip alles Es ist wirklich nicht so schwierig Der schwierigste Teil ist die Entwicklung einer Intuition f r Webseiten und E Mails Aber das ben tigt nur ein wenig bung Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 16 47 PC Security Bewerten Sie die Vorschl ge von Bruce Schneier Richten Sie Ihr Augenmerk besonders auf die Praxistauglichkeit und ob diese Vorschl ge Ihren eigenen Sicherheitsstandards entsprechen Sie k nnen auch Punkte kritisieren 4 3 Dienste ausschalten Windows XP geh rt zur NT Linie was soviel wie New Technology bedeutet Leider verfolgt Microsoft bei dieser Linie den Ansatz verschiedene Dienste auch Netzwerkdienste standardm ssig zu aktivieren Das f rdert zwar das Wohlgef hl des Anwenders Es funktioniert alles wunderbar einfach ich muss
26. aupten Anwender dass bei ihnen ja nichts zu holen sei Dem ist absolut nicht so Dataminer sammeln Informationen ber Gewohnheiten von Benutzern um diese dann zu verkaufen Abge nderte Browser Startseiten nerven nicht nur den Benutzer sondern bringen auch Geld f r die betroffene Seite da sie mehr Hits aufweisen kann und deshalb teurere Werbefl chen verkaufen kann Mit Backdoors versetzte Trojaner lassen einen Hacker volle Kontrolle ber das System des Heimbenutzers erlangen und dessen Ressourcen f r einen Angriff einsetzen Dies kann dank der Homogenit t der Betriebssystemumgebung im Heimbereich automatisiert werden So k nnen b swillige Hacker zehntausende von Bots kontrollierte Systeme um sich scharen welche nur auf den Befehl ihres Masters warten um bestimmte Aktionen auszuf hren Der Heimanwender muss sich sch tzen Er muss sich bewusst sein was es heisst wenn seine Maschine kompromittiert wurde Dass er ausspioniert wird Dass seine Ressourcen m glicherweise f r Straftaten missbraucht werden Dass seine grosse Festplatte sich ideal als File Server eignet Und in jedem Fall wird als erstes der Benutzer zur Rechenschaft gezogen Dazu ein Auszug aus der S ddeutschen Zeitung 03 03 2005 Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 7 47 PC Security Beschimpft und verspottet Die Leitung der Juristischen Fakult t hatte
27. chleust werden Dies kann jederzeit wieder R ckg ngig gemacht werden mit der Einstellung Skripte allgemein verbieten Beim n chsten Men punkt Nicht vertrauensw rdig k nnen Scripts einer ganzen Domain ausgeschlossen werden Diese werden bis sie wieder als vertrauensw rdig eingestuft sind geblockt und nicht mehr ausgef hrt Auf der HSLU Seite werden die Statistiken mithilfe von google analytics com gemacht Wer nicht darin erscheinen m chte blockt die Domain ganz einfach Standorte Raumvermietung Einstellungen Personen e ersonensuche V Informationsleiste anzeigen wenn Skripte blockiert werden dh Drucken A Versenden Y Am unteren Rand anzeigen Klang ausgeben wenn Skripte blockiert werden Gi Skripte allgemein erlauben nicht empfohlen S google analytics com als nicht vertrauensw rdig einstufen S Nicht vertraue rdig S hslu ch als nicht vertrauensw rdig einstufen O LA ei LEE google analytics com tempor r erlauben O bet ch erlaben Q hslu dh tempor r erlauben Abbildung 12 NoScript erlauben Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 35 47 PC Security Wer einer Domain vertraut kann sie mit hslu ch erlauben in die Liste sicherer Webseiten bernehmen Mit hslu ch tempor r erlauben werden alle Skripte ausgef hrt allerdings nur bis zum n chsten Besuch dann wird wied
28. cript ben tigen 7 2 3 PSI Auch wenn gerade die neuartigen Angriffe in aller Munde sind ist es weiterhin usserst wichtig sich vor den alten Angriffen zu sch tzen Dazu geh rt in allen Anwendungsbereichen immer nur mit der aktuellsten Software Version zu arbeiten Das gilt nicht nur f r Browser sondern auch f r alle integrierten Plug ins wie Adobe Flash Adobe Reader QuickTime Java und so weiter Weil die mitgelieferten automatischen Updatetools ziemlich nerven k nnen haben viele PC User sie einfach deaktiviert und merken nun nicht mehr dass sie mit veralteter Software unterwegs sind Gerade bei Flash und Quick Time h tte dies in den vergangenen Monaten ziemlich ins Auge gehen k nnen An dieser Stelle empfehlen wir ein Tool wie den Personal Security Instructor PSI von Secunia https psi secunia com PSI inventarisiert die installierte Software von Windows Rechnern und vergleicht die Versionen mit den aktuell verf gbaren Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 36 47 PC Security Secunia PSI RC2 A ESE mgamgeg em EH a Q f e e bersicht Unsicher Veraltet Aktualisiert Scan Einstellungen Profil Feedback Upgrade Unsichere Programme Diese Seite zeigt Programme an die durch den Secunia PSI erkannt wurden und f r die Sicherheitsupdates verf gbar sind Wir empfehlen dass Sie alle hier aufge
29. ddel oder Tauschb rsenseiten ansurft Online Banking Seiten nur ber Bookmarks ansurft keine ausf hrbaren Anh nge in Mails doppelklickt und stets alle Sicherheits Updates f r seinen Webbrowser installiert hat wenig zu bef rchten Zudem lassen Sicherheitsfunktionen in Windows Betriebssystemen wie Schutz vor Buffer Overflows Speicherverw rfelung und Benutzerkontensteuerung unter Vista User Account Control UAC viele herk mmliche Angriffe verpuffen Doch die Cyber Kriminellen liegen nicht auf der faulen Haut und denken sich immer neue Tricks aus um trotzdem PCs unter ihre Kontrolle zu bekommen und Daten auszusp hen Eines der gr ten Sicherheitsprobleme im Web ist seit einigen Jahren das so genannte Cross Site Scripting bei dem Angreifer ihren Opfern pr parierte JavaScripte im Browser unterschieben um zu einer bestimmten Seite geh rige Zugangsdaten oder Cookies auszulesen und diese f r ihre Zwecke zu missbrauchen Die Schwierigkeit f r den Angreifer lag bislang darin sein JavaScript im Kontext der Seite ausf hren zu lassen von der er das Passwort begehrte Daf r musste er in der Regel eine Sicherheitsl cke auf dem Server finden und einen pr parierten Link mit eingebettetem Code an sein Opfer schicken das diesen auch noch anklickte Ein typischer pr parierter Link enthielt dann etwa folgenden Code um ein Cookie an den Server des Angreifers zu senden lt script type text javascript gt document location http cookie
30. de finanzielle Schaden kann betr chtliche Ausmasse annehmen Phishing ist eine Kombination aus technischen Tricks und Social Engineering In der Anfangsphase waren die Phishing Mails noch plump und meistens in schlechtem Englisch verfasst Doch die Mails werden immer ausgekl gelter Heute nehmen sich die Phisher Zeit regionale bersetzungen vorzunehmen und die Mails nur an erfolgsversprechende Adressen zu senden So k nnen sie eine h here Ausbeute erzielen Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 10 47 PC Security ffnen Sie im Email Programm die Nachrichten EBAY INC URGENT SECURITY NOTIFICATION sowie INTERNET KONTO gt gt gt POSTBANK Studieren Sie die Mailheader und betrachten Sie den Link im Mail Versuchen Sie herauszufinden wohin Sie der Link f hren wird Untersuchen Sie dazu den Quelltext der Nachrichten Nat rlich gehen die meisten betroffenen Unternehmen m glichst rasch gegen solche Phishing Attacken vor Das ist einer der Gr nde weshalb die verlinkte Webseite meist nur f r kurze Zeit erreichbar ist Der Link der Nachricht INTERNET KONTO gt gt gt POSTBANK http encrypted channel info war beim Eintreffen der Nachricht noch intakt Die gehostete Webseite finden Sie auf dem Desktop im Ordner PhishingPage Untersuchen Sie die HTML Seite und die Bilder sowie die Textdatei Whois Ausz
31. dung Super Bowl Stadium Site Hacked pdf und berlegen Sie sich was die Angreifer mit den bernommenen PCs bezweckt haben k nnten Bemerkenswert ist der kommerzielle Erfolg der Software MPack welche vom russischen Dream Coders Team f r die Verbreitung von Malware per Drive By Infection entwickelt wurde Das Projekt lebt vom Handel mit Exploits und vom Verkauf auf dem Schwarzmarkt MPack ist eine b sartige Webanwendung und kennt mehrere Wege um einen Client zu infizieren Die Schadsoftware kann frei hinzugef gt werden Um diese m glichst weit zu verbreiten wird ein unsichtbares IFrame in eine gehackte Webseite eingef gt Pharming betrieben oder einfach eine Anzeige bei Google gekauft Aufgabe Lesen Sie die Seiten zwei bis vier im Dokument MPack uncovered pdf Robert Lemos von SecurityFocus ist es gelungen per Instant Messanger ein Interview mit einem der Entwickler von MPack zu f hren Hier ein Auszug Is the project profitable The project is not so profitable compared to other activities on the Internet It s just a business While it makes income we will work on it and while we are interested in it it will live Of course some of our customers make huge profits So in some ways MPack could be looked at as a brand name establishment project What are your goals for the project Our main aim is to make the pack work better boost the number of infections in other words Everything else is not so important We have
32. e Daten einsehen k nnen Die Bearbeitung dieses Kapitels ben tigt 10 1 Ausgangslage Die Grundlagen der Verschl sselung wurden bereits behandelt Die Verschl sselung hat zum Ziel die Information vom Informationstr ger zu entkoppeln Dies bewirkt dass die Information nicht ohne Zusatzwissen dem Schl ssel aus dem Informationstr ger z B eine Computerdatei gewonnen werden kann Dies mindert den Schaden eines Datendiebstahls massiv Zudem kann diese Technologie verwendet werden um Informationen gezielt von bestimmten Personen fernzuhalten 10 2 TrueCrypt Ein gutes Programm f r die Verschl sselung unter Windows ist TrueCrypt Es ist Open Source und ist unter http www truecrypt org zu finden Das Programm hat nicht das Ziel einzelne Dateien zu verschl sseln Es bietet die Verschl sselung kompletter Partitionen oder Festplatten an Es kann zudem in einer bestehenden Partition eine Datei mit festgelegter Gr sse anlegen welche als eigenes Laufwerk gemountet werden kann Das Programm verfolgt das Ziel einen sicheren Datenbereich f r den Anwender zu schaffen welcher von niemandem ausser dem Anwender selbst eingesehen werden kann EF TrueCrypt File Volumes Tools Help Size Encryption Algorithm Create Volume Volume Properties Wipe Cache Volume hd Select File IV Never save history Change Password Select Device mr Auto Mount Devices Dismount All E
33. e bietet verschiedene Konfigurationsoptionen Option Networking Services and Information Security Eigenschaften Mit dieser Einstellung wird versucht alle offenen Ports zu schlie en Einige Dienste wie Automatische Updates oder Taskplaner sowie SMB Funktionen bleiben unber hrt Verwenden Sie diese Einstellung wenn Sie auf Netzwerkfreigaben oder drucker zugreifen m ssen Im Gegensatz zu 1 LAN wird zus tzlich SMB deaktiviert Alle Ports sind nun geschlossen Einige Dienste wie Automatische Updates oder Taskplaner bleiben aber unber hrt Daher ist diese Option geeignet falls keine Standard Dienste nach au en angeboten werden sollen man auf Automatische Updates sowie den Taskplaner nicht verzichten m chte Vorschl ge von www ntsvcfg de vollst ndig um dh alle Dienste SMB werden beendet bzw deaktiviert dieser Punkt empfiehlt sich zum hardening f r Einzelplatzrechner welche sich NICHT in einem Netzwerk befinden Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 18 47 PC Security Nimmt die letzten nderungen zur ck Es erscheint m glicherweise eine Fehlermeldung das es w hrend des R cksicherns Probleme beim Schreiben der Registry gegeben hat Dies l t sich aufgrund gestarteter Dienste nicht vermeiden Ignorieren Sie bitte diese Fehlermeldung mittels OK Setzt f r LAN Betrieb ben tigte Dienste auf automatisch und starte
34. e sie Bargeld sch tzen w rden verstauen sie sie z B in ihrem Portemonnaie Verwenden sie nie ein bestehendes Passwort f r etwas das ihnen wichtig ist Es ist in Ordnung ein gemeinsames Passwort f r Seiten niedriger Sicherheit zu verwenden z B f r den Zugriff zu einem Zeitungsarchiv Gehen sie davon aus dass alle PINs einfach geknackt werden k nnen und verhalten sie sich entsprechend Tippen sie nie ein wichtiges Passwort z B f r Online Banking in eine nicht mit SSL verschl sselte Seite Wenn ihre Bank dies zul sst dann beschweren sie sich bei ihr Falls sie ihnen sagen dass das schon in Ordnung sei dann glauben sie ihnen nicht die liegen falsch E Mail Schalten sie die HTML Funktion f r E Mails ab Gehen sie nicht davon aus dass jede E Mail auch tats chlich vom angegebenen Absender From oder Non stammt L schen sie Spam ohne ihn zu lesen ffnen sie keine Mails mit Anh ngen wenn sie nicht wissen was sie Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 15 47 PC Security beinhalten l schen sie solche Mails auf der Stelle ffnen sie keine Comics Videos und hnliche Witzdateien welche von ihren Freunden in guter Absicht weitergeleitet wurden wieder gilt dass sie die Mails auf der Stelle l schen sollen Klicken sie nie auf einen Link in einem E Mail ausser sie seien sich dessen wirklich sicher kopieren si
35. e stattdessen den Link und f gen sie ihn in ihrem Browser ein Verwenden sie nicht Outlook oder Outlook Express Aktivieren sie die Makroviren Schutzfunktion falls sie Microsoft Office verwenden m ssen wenn sie Office2000 verwenden stellen sie den Sicherheits Level auf hoch und vertrauen sie keiner empfangenen Datei ausser wenn sie wirklich m ssen Deaktivieren sie die Option Dateierweiterung f r bekannte Namen ausblenden falls sie Windows verwenden Diese Option erm glicht es den Trojanern sich f r einen anderen Dateityp auszugeben Deinstallieren sie Windows Scripting Host wenn sie ohne ihn klarkommen Falls sie ihn ben tigen dann ndern sie wenigstens die Dateiverkn pfung so dass Skripte mit einem Doppelklick nicht automatisch zum Scripting Host gesendet werden Antivirus und Anti Spyware Software Benutzen sie es entweder ein kombiniertes oder zwei einzelne Programme Laden sie mindestens einmal w chentlich oder dann wenn sie etwas ber einen neuen Virus in den Nachrichten h ren die neusten Updates herunter und installieren sie diese Einige Antivirus Produkte f hren automatische Updates durch Aktivieren sie diese Option und setzen sie sie auf t glich Firewall Geben sie 60 Fr f r eine Hardware NAT Firewall Network Address Translation aus sie wird mit hoher Wahrscheinlichkeit bereits in der Standardkonfiguration gen gend sicher sein Verwenden sie eine Software Firewall auf ihrem Laptop Verstecken s
36. ef hrliche Gegenspieler Sie scannen ganze Adressbereiche nach verwundbaren Systemen ab um diese in ihre Gewalt zu bringen In vielen F llen werden diese PCs f r weitere Angriffe missbraucht Oft wollen die Script Kiddies aber gar nicht unentdeckt bleiben Sie machen sich erkennbar indem sie Daten l schen oder mit dem Benutzer spielen 3 6 Bots Der Begriff Bot stammt vom Wort Roboter Im Zusammenhang mit Computersicherheit wird damit eine Software bezeichnet die auf einem PC installiert ist und Befehle eines Meisters roboterartig ausf hrt Ein Bot kontrolliert dabei nicht das Wirts System sondern benutzt nur dessen Ressourcen f r einen bestimmten Zweck Bots sind in den meisten F llen sehr kleine Programme mit gezielter Funktionalit t So gibt es beispielsweise Spambots f r das Verschicken von Spammails oder die Durchf hrung von Denial Of Service Attacken Der Master versucht sich eine m glichst grosse Armee von Bots zusammenzustellen um das Maximum an Effizienz und Schlagkraft zu erlangen 3 7 Phishing Einleitend die Definition der deutschen Wikipedia Seite Stand 11 Oktober 2005 Phishing Attacken haben in kurzer Zeit eine sehr grosse und anhaltende Ausbreitung gefunden Wie die Viren zeigen auch sie eine sehr ausgepr gte Medienpr senz Dies ist nicht weiter verwunderlich stellen sie doch eine grosse Bedrohung f r eine Vielzahl von Benutzern dar Die Attacken sehen mittlerweile sehr echt aus und der resultieren
37. einen Fall den Microsoft Internet Explorer Punkt Begrenzen sie die Verwendung von Cookies und Applets auf einige wenige Seiten deren Dienste sie auch wirklich ben tigen Konfigurieren sie ihren Browser so dass er Cookies regelm ssig l scht Halten sie keine Website f r das was sie zu sein vorgibt bis sie die URL selbst eingetippt haben Vergewissern sie sich dass die Adressleiste die exakte Adresse anzeigt und nicht nur eine hnliche Webseiten Secure Sockets Layer SSL Verschl sselung gibt keinerlei Garantie dass der Anbieter vertrauensw rdig oder seine Datenbank mit den Informationen ber die Kunden sicher ist Denken sie erst nach bevor sie Gesch fte mit einer Webseite t tigen Schicken sie m glichst wenig finanzielle und pers nliche Daten an Webseiten geben sie keine Informationen ohne offensichtlichen Nutzen f r sie heraus Wenn sie keine pers nlichen Informationen herausgeben wollen dann l gen sie einfach Deaktivieren sie wenn immer m glich den Werbe Newsletter Falls die Webseite die Option anbietet dass die Informationen nicht f r sp teren Gebrauch gespeichert werden dann aktivieren sie diese Benutzen sie eine Kreditkarte f r Online Eink ufe und nicht eine Debit Karte Passw rter Sie k nnen sich keine gen gend sicheren Passw rter mehr einpr gen also vergessen sie es Erstellen sie Zufallspassw rter f r Hochsicherheits Webseiten wie z B Bankseiten und schreiben sie diese nieder Sch tzen sie sie wi
38. er erneut nachgefragt Dies ist Beispielsweise bei Seiten ratsam deren Inhalt sich st ndig ndert oder sich in der rechtlichen Grauzone befindet und mit Schadenscode ausgestattet sein K nnte 7 2 2 Router sichern Neben den zus tzlichen Schutzmassnahmen f r den PC empfiehlt es sich auch den Router vor m glichen Angriffen zu sichern Zuerst sollte man die UPnP Funktion deaktivieren damit weder ein regul rer Client ein b sartiger Trojaner noch ein Flash Film die Firewall ohne Erlaubnis durchbohren kann Wir gehen hier davon aus dass das Standardpasswort bereits ge ndert wurde Das sch tzt immerhin vor Cross Site Request Forgery Angriffen CSRE http de wikipedia org wiki CSRF bei denen Skripte versuchen sich automatisch in den Router einzuloggen Es sch tzt nicht davor wenn man im Router eingeloggt ist und gleichzeitig im Web surft Daher gilt sowohl bei der Konfiguration des Routers als auch bei der Arbeit in Content Management Systemen M glichst nicht in einem weiteren Browserfenster herumsurfen Zudem sollte man darauf achten eine Session aktiv zu beenden indem man sich aus der Weboberfl che ausloggt Ansonsten bleibt die Session oft aktiv und l sst sich ausnutzen obwohl das Browserfenster l ngst geschlossen ist unter Umst nden stundenlang Doch mit dem Schutz des Browsers ist oft auch bereits der Router gesch tzt So l sst das NoScript Plug in f r den Firefox die meisten CSRF Attacken ins Leere laufen da diese JavaS
39. er will meist folgendes mit seinem Computer anstellen k nnen Browsen Chatten IRC IM oder Webbasiert Mailen Internet Banking Spielen Fotos verwalten amp ausdrucken Filesharing Dabei handelt es sich um genau die Anwendungen welche es zu sichern gilt Es gilt zu beachten dass ausser beim Filesharing und eventuell beim Spielen keine Dienste gegen aussen angeboten werden m ssen Durch diese wenigen Anwendungen setzt sich der Heimbenutzer allerdings schon allen oben genannten Bedrohungen aus Als Betriebssystem kommt in fast allen F llen Windows XP Home oder Windows XP Professional zum Einsatz und zwar ohne Sicherheitsaktualisierungen 4 2 Safe Personal Computing by Bruce Schneier Der Krypto Guru Bruce Schneier hat sich in seiner Mailing List Crypto Gram schon zwei Mal mit der Sicherheit von Heimcomputern befasst Lesen Sie den Text sorgf ltig durch Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 14 47 PC Security Laptopsicherheit Tragen sie ihren Laptop immer bei sich wenn sie ausser Haus sind behandeln sie ihn wie ihre Brieftasche L schen sie regelm ssig die unben tigten Dateien auf ihrem Laptop Dasselbe gilt f r PDAs Die Leute tendieren dazu auf PDAs viel pers nlichere Daten auch Passw rter und PINs zu speichern als dies bei den Laptops der Fall ist Backups F hren sie regelm ssig Date
40. ern Technik amp Architektur Horw 3 Juni 2009 Seite 31 47 PC Security Unter Allgemeines gt Sicherheit k nnen die Einstellungen vor nderungen gesch tzt werden Vergewissern Sie sich zudem dass Updates automatisch herunter geladen und installiert werden F hren Sie nun eine vollst ndige Systempr fung durch und vergewissern Sie sich dass keine verd chtigen Dateien gefunden wurden Gehen Sie allf lligen Wahrnungen genau nach 6 5 Antispyware installieren In diesem Teil wird das Antispyware Tool Spyware Terminator der Firma Crawler installiert Das Programm bietet neben den blichen On Demand Scanfunktionen auch eine Guard Funktion welche die Benutzeraktivit ten in Echtzeit auf Spyware berpr ft Aufgabe Laden Sie sich das Antispyware Programm von der Seite http www spywareterminator com herunter Deaktivieren Sie w hrend der Installation die Option Crawler Web Security Guard Die Schutzfunktion f r den Webbrowser kann sp ter aktiviert werden Schliessen Sie die Installation ab und starten Sie das Programm Im Reiter Echtzeitschutz aktivieren Sie unter Schutzeinstellungen das Verfahren zum Rechnerschutz vor Eindringlingen Es handelt sich dabei um eine Art Host based Intrusion Prevention System HIPS welches eine Datenbank ber alle installierten Programme unterh lt und zur Sicherheit nachfragt wenn ein neues Programm auf dem Rechner ausgef hrt wird F r weitere Informationen zu den Themen IDS u
41. erscheiden Gewisse Gemeinsamkeiten lassen sich dennoch fast immer feststellen So verf gen alle Modelle ber NAT Funktionalit t stellen einen DHCP Server f r das interne LAN bereit und biete teilweise MAC Control zugelassene MACs sind in einer Liste definiert Adressbezug nur bei g ltiger MAC m glich Alle neueren Modelle sind mit Stateful Packet Filtering oder sogar Stateful Packet Inspection ausgestattet Meistens k nnen ICMP Requests von aussen mit einem einfachen H kchen verboten werden sodass der Router mit Ping nicht mehr erreichbar ist Teilweise sind Content Filter vorhanden wobei vor allem URLs und Java ActiveX Skripte gefiltert werden Die sehr teuren Modelle die eher in KMUs zu finden sind haben oftmals einen Antivirus Gateway ein Intrusion Detection System IDS und VPN Funktionalit t aufzuweisen Ger te welche all diese Techniken mit erweiterten Reporting Funktionen vereinen werden unter dem Schlagwort Unified Thread Management UTM verkauft Die Hardware Firewall befindet sich direkt an der Front Sie kontrolliert den gesamten Internetverkehr und entscheidet was berhaupt ins Netzwerk des Benutzers gelangen darf Die Hardware Firewall ist die erste Verteidigungslinie und deshalb sollte sie nicht un berlegt konfiguriert werden Loggen Sie sich mit dem Browser auf der Firewall ein Die IP Adresse ist 192 168 1 1 der Benutzername administrator und das zugeh rige Passwort lautet password Achten Sie darau
42. euerung vorgenommen werden Es wird empfohlen die Updates automatisch zu installieren Dies geschieht am besten t glich und zu einem Zeitpunkt an welchem der Computer mit grosser Wahrscheinlichkeit in Betrieb ist Automatische Updates EE TEE Automatische Updates Sch tzen Sie den Computer windows kann regelm ig nach wichtigen Updates suchen und diese installieren Durch das Aktivieren von automatischen Updates wird gegebenenfalls die Windows Update Software installiert bevor andere Updates installiert werden Wie funktionieren automatische Updates Automatisch empfohlen Empfohlene Updates automatisch downloaden und auf dem Computer installieren T glich O Updates downloaden aber Installationszeitpunkt manuell festlegen O Benachrichtigen aber nicht automatisch downloaden oder installieren O Automatische Updates deaktivieren Sie k nnen Ihren Computer besser sch tzen wenn Sie Updates regelm ig installieren Updates von der Windows Update Website installieren Zuvor ausgeblendete Updates wieder anbieten Abbildung 9 Windows Updates automatisieren 4 6 Boot Passwort Boot Passw rter k nnen im Bios auf der Festplatte oder im Bootloader gesetzt werden Im Moment sind besonders biometrische Varianten im Trend F r den Heimbenutzer macht der Boot Schutz nicht viel Sinn Der PC wird meist im Familienbund benutzt was die Verwendung eines Passworts komplizierter macht Ausserdem empfinden
43. f dass der Proxy f r lokale Adressen ausgeschaltet werden muss Erforschen Sie die M glichkeiten der Firewall Pr fen Sie ob die Standardkonfiguration gen gend sicher ist oder ob Abstriche an die Sicherheit zugunsten der Benutzungsfreundlichkeit vorgenommen wurden Welcher Policy gehorcht der Inbound und welcher der Outbound Traffic K nnen Sie diese ndern Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 26 47 PC Security 5 3 Software Firewalls Eine Hardware Firewall vermag vielleicht die Angriffe von aussen zu stoppen doch Trojaner und W rmer k nnen auch von innen her kommen Vielleicht hat sich auf dem Laptop ein Trojaner eingenistet als er am Schulnetz angeschlossen war Und jetzt breitet sich dieser Trojaner vom Laptop ins Heimnetzwerk aus Das ist einer der Gr nde wieso zus tzlich zu einer Hardware Firewall eine Software Firewall sinnvoll ist Ein anderer Grund ist dass Software Firewalls meist die gr ssere Funktionalit t bieten Sie k nnen paketorientiert sowe applikationsbasiert entscheiden ob die Kommunikation zugelassen wird oder nicht und sind oft mit IDS Modulen ausgestattet Eine Software Firewall stellt gerade am Anfang sehr viele Fragen an den Benutzer Die Entscheidung f llt nicht immer leicht Der Benutzer kann leicht das tr gerische Gef hl entwickeln dass seine Software Firewall alles bemerkt und a
44. f hrten Programme aktualisieren oder deinstallieren Klicken Sie auf einen Eintrag f r weitere Details Unsichere Programme Erkannte Version Sicherheitsstatus Direktzugriff E Adobe Flash Player 9 x General Plug in 9 0 45 0 O Unsicher CH a 7 Adobe Flash Player 9 x General Plug in 9 0 45 0 Q Unsicher OO oO 7 Adobe Flash Player 9 x ActiveX Control 9 0 28 0 Q Unsicher 980 J Foxit Reader 2 x 2 2 2007 2129 Q Unsicher omao Sun Java JRE 1 6 x 6 x Setzt eine Deinstallation 6 0 0 105 Q Unsicher aag voraus 4 Sun Java JRE 1 6 x 6 x Setzt eine Deinstallation 6 0 40 12 OO Unsicher aog voraus Sun Java JRE 1 6 x 6 x Setzt eine Deinstallation 6 0 0 105 Q Unsicher Saag voraus Sun Java JRE 1 6 x 6 x Setzt eine Deinstallation 6 0 10 6 Q Unsicher 9840 voraus Helfen Sie uns unseren Service zu verbessern Fehlt ein Programm Schlagen Sie es hier vor Senden Sie uns Ihr Feedback Sowohl positives als auch negatives ecunii i hre orm ti it sen Sie unser Privacy Statemen Secunia PSI v0 9 0 bbildung 13 Secuina Ausserdem gibt es bei den Programmen die erkannt werden die brigen k nnen vorgeschlagen werden einen direkten Downloadlink zur aktuellsten Version Installieren Sie Secunia und bringen Sie die Software des Computers auf den neusten Stand Die direkten Downloadlinks sind jeweils im Programm ersicht
45. glichkeiten die Kommunikation mittels E Mail sicherer zu machen Das Ziel ist die Installation und das Testen von Gpg4win Bearbeitungsaufwand Der Bearbeitungsaufwand betr gt ca 20 Minuten des Kapitels Prinzipiell kann jeder den Inhalt einer E Mail auf dem Weg vom Sender zum Empf nger mitlesen wenn diese nicht verschl sselt versendet ist Die Ursache f r die Unsicherheit bei der E Mail bertragung sind die eingesetzten Protokolle So legt z B SMTP keinen Authentifizierungsmechanismus fest was eine immanente Sicherheitsschw che darstellt Und POP3 bietet im Gegensatz zu IMAP keinerlei Verschl sselungsm glichkeit So ist es grunds tzlich m glich die Daten einer E Mail auf ihrem Weg ber Gateways und Router abzufangen zu lesen und auch zu ndern Sowohl der Inhalt als auch die Absenderdaten einer E Mail k nnen z B gef lscht werden Das Risiko der Klartext bertragung kann durch das Verwenden von Verschl sselungs Software umgangen werden Hierbei kommen insbesondere folgende Methoden zum Einsatz 8 1 Anhangverschl sselung F r die regelm ssige Kommunikation zwischen zwei Sendern Empf ngern k nnen die Anh nge der E Mails verschl sselt werden Es gibt verschiedene Verschl sselungssoftware mit welcher sich verschl sselte Container erstellen lassen in welche die sensitiven Daten gespeichert werden Mehr dazu im Kapitel Verschl sselung Neben einem verschl sselten Container kann auch ein Passwortgesch tztes Archiv ve
46. got some other projects running and more to be realized How widespread is MPack at this point I really don t know about the number of download servers I suppose it counts in the tens But if you are talking about the pages containing the IFrame that refers to the server with the pack that may be in the tens of thousands Some security firms estimates of hundreds of thousands sound a bit large but may be true The clients don t give us any usage statistics Do you feel sorry for the people whose machines are infected by an attack Well I feel that we are just a factory producing ammunition Anything else you d like to add I would advise you to use the Opera browser with scripts and plug ins disabled in order Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 12 47 PC Security Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 13 47 PC Security 4 Allgemeine Massnahmen Die meisten Windowsbenutzer arbeiten als Administrator Ziel dieses Kapitels ist das Aufzeigen der davon ausgehenden Gefahren und wie Sie diese vermeiden k nnen Der Bearbeitungsaufwand betr gt ca 45 Minuten 4 1 Ausgangslage Bevor berhaupt Massnahmen getroffen werden k nnen m ssen die Rahmenbedingungen bekannt gemacht werden Der normale Heimbenutz
47. hungen wie Spyware und Browser Hijacking Durch die erh hte Verbreitung von Breitbandanschl ssen wird er immer h ufiger Opfer von Hackern und deren Backdoors da sich seine Bandbreite ideal f r DoS Attacken eignet Das Dokument soll dem Leser vor Augen f hren welchen Bedrohungen ein normales Heimnetzwerk ausgesetzt ist und wie sich die Risiken vermindern lassen Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 5 47 PC Security 2 Versuchsaufbau Sie kennen den Versuchsaufbau die beteiligten Systeme und deren Benutzernamen und Passw rter zeg Der Bearbeitungsaufwand betr gt ca 15 Minuten Der Aufbau welcher fiir dieses Dokument zusammengestellt wurde besteht aus zwei PCs und einem NAT Router mit Firewall Funktionalit t Der Router hat Zugriff auf das Intranet der HSLU T amp A D A stud J Windows XP 3 172 16 1xx 1 server a 10 11 5 241 SM ST DO u Y 172 16 1xx 254 Access Point Windows XP ext 172 16 1xx 2 192 168 1 x int 192 168 1 1 Abbildung 1 Aufbau der Versuchsinfrastruktur Die IP Adresse f r PCSecl Server ist beim DHCP Server reserviert so dass immer dieselbe Adresse bezogen werden kann Dies ist f r Teile des Versuchs notwendig Die Rechner verf gen ber eine Windows Standardinstallation Es wurden ausser der Treiberinstallation und der Installation von Python auf PCSecl keine nderungen
48. ie Adresse Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 25 47 PC Security des Routers sichtbar nicht aber die Adressen der dahinterstehenden Computer Mit dieser Technologie konnte das Adress Problem viel zu wenig verf gbare Adressen von IPv4 umgangen oder wenigstens verz gert werden Der Router f hrt eine NAT Tabelle in welcher er die Verbindungen den einzelnen Rechnern zuordnet Man verspricht sich davon eine erh hte Sicherheit da die Computer nicht mehr direkt angesprochen werden k nnen Das stimmt aber nur wenn keine Virtual Servers im Einsatz sind Wird ein Virtual Server auf dem Router konfiguriert dann wird ein definierter Port eines bestimmten Rechners direkt nach aussen gef hrt und ist als offener Port der IP Adresse des Routers sichtbar Diese Funktion wird z B bei Tauschb rsen ben tigt und wird deshalb auch oft verwendet Erstellen Sie eine Liste mit den Ihnen bekannten Firewalls und finden Sie heraus welche Techniken jeweils verwendet werden 5 2 Hardware Firewalls Im Heimbereich werden Ger te eingesetzt um den Internetzugang f r mehrere PCs gleichzeitig zug nglich zu machen sei es ber Kabel DSL ISDN oder auch analog Dabei handelt es sich um Router die Firewall Funktionalit t besitzen Die Funktionalit t kann sich von Hersteller zu Hersteller und vor allem auch von Preissegment zu Preissegment unt
49. ie ihre IP Adresse wenn sie k nnen Es besteht kein Grund irgendwelche eingehenden Verbindungen von irgendwem zu akzeptieren Verschl sselung Installieren sie eine Software f r E Mail und Dateiverschl sselung wie z B PGP Es ist unrealistisch dass sie alle E Mails oder ihre gesamte Festplatte verschl sseln aber einige Mails sind zu sensitiv um unverschl sselt versendet zu werden Genau so sind einige Dateien auf der Festplatte zu sensitiv um unverschl sselt zu bleiben Keine der beschriebenen Massnahmen ist idiotensicher Wenn der Geheimdienst auf ihre Daten oder ihre Kommunikation abzielt dann kann dies keine dieser Massnahmen verhindern Aber all diese Vorsichtsmassnahmen dienen der Netzwerkhygiene und werden ihren Computer zum schwierigeren Ziel machen als dies der Nachbarscomputer ist Und auch wenn sie nur einige grundlegende Massnahmen treffen ist es unwahrscheinlich dass sie irgendwelchen Problemen begegnen werden Ich bin gezwungen Microsoft Windows und Office einzusetzen aber ich benutze Opera als Webbrowser und Eudora als E Mail Client Ich benutze Windows Update um automatisch Patches zu erhalten und installiere andere Patches wenn ich von ihnen h re Mein Antivirus Programm aktualisiert sich automatisch in regelm ssigen Abst nden Ich halte meinen Computer relativ sauber und l sche unben tigte Anwendungen Ich sichere meine Daten sorgf ltig und ebenso sichere ich nicht mehr ben tigte Daten offline Ich bin misstr
50. iert Manuell Automatisch Automatisch Automatisch Automatisch Automatisch Manuell Manuell Automatisch Manuell Automatisch Automatisch Automatisch Automatisch Manuell Deaktiviert Deaktiviert Automatisch a Automatisch Automatisch Manuell Manuell Automatisch Manuell Deaktiviert Anmelden als Lokales System Lokales System Lokales System Lokales System Netzwerkdienst Lokaler Dienst Lokales System Netzwerkdienst Lokales System Lokales System Lokales System Lokales System Lokales System Lokales System Lokaler Dienst Lokales System Lokaler Dienst Lokales System Lokales System Lokales System Lokaler Dienst Lokales System Lokales System Lokales System Lokales System Lokales System Lokaler Dienst Lokaler Dienst Lokales System Lokales System Lokales System Lokales System Lokaler Dienst Lokaler Dienst Lokales System Hochschule Luzern Technik amp Architektur Erweitert Standard 7 Abbildung 3 Auflistung aller Dienste Die Deaktivierung aller unben tigten Dienste gestaltet sich sehr m hsam Windows verwendet sehr viele Dienste und nur ein Teil davon darf abgeschaltet werden Ansonsten wird die Funktionalit t des Systems beeintr chtigt Es ist sehr schwer die bersicht zu behalten Gl cklicherweise gibt es Programme die einem die Konfiguration abnehmen Unter http www ntsvcfg de findet sich ein entsprechendes Programm Die Softwar
51. ig berpr fen Sie dass berhaupt ein Virenscanner installiert ist Vergewissern Sie sich dass die Virendefinitionen auf dem aktuellsten Stand sind Schauen Sie nach ob der Virenscanner automatisch aktualisiert wird Pr fen Sie ob weitere Software zum Schutz vor Malware installiert ist MA Da AE Finden Sie heraus wie lange die aktuelle Lizenz noch g ltig ist EICAR Newsletter Mai 2008 http www eicar org press infomaterial Eicarnews_Mai_2008_fnl pdf Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 32 47 PC Security 7 Browser Sicherheit Ziel des Kapitels Dieses Kapitel macht die Gefahren des World Wide Webs deutlich Es bringt Ihnen nahe dass Sie auch durch normales Surfen in die F nge eines Hackers geraten und was Sie dagegen tun k nnen Bearbeitungsaufwand Der Bearbeitungsaufwand betr gt ca 30 Minuten des Kapitels 7 1 Aktuelle Gefahren ber die neusten Gefahren des World Wide Webs informiert die folgende Zusammenfassung des c t Artikel Surfer im Fadenkreuz aus der Ausgabe 11 08 vom 13 Mai 2008 Herk mmliche Angriffe per infizierten Mail Anhang und Schwachstellen in Windows haben fast ausgedient Mit ausgefeilten Tricks versuchen die Kriminellen heute Webseiten f r ihre Zwecke zu missbrauchen und zwar diejenigen bei denen man am wenigsten mit Angriffen rechnet Lange Zeit galt Wer keine Schmu
52. itscenter Sy Sicherheitskontenverwal S Sitzungs Manager f r Re u Smartcard Sy Spectrum24 Event Monitor Sy 5SDP Suchdienst Sy Systemereignisbenachric u Systemwiederherstellun y Taskplaner SRA TCP IP NetBIOS Hilspro a Telefonie Sy Telnet u Terminaldienste Sy Treibererweiterungen f Sy berwachung verteiler Qu Universeller Plug amp Play a Unterbrechungsfreie Str Verwaltung f r automati Seg Verwaltung logischer Dat Sy Verwaltungsdienst f r di y volumeschattenkopie y Warndienst Sy Webclient Sy Wechselmedien Bietet Progra Stellt eine Ne Allows to cap Endpunktzuo Erm glicht Re Bietet Routin Verwaltet die Erm glicht da Unterst tzt D Zeigt Meldun berwacht 5 Speichert Sic Verwaltet un Verwaltet de Aktiviert die verfolgt Syst F hrt System Erm glicht ei Erm glicht di Bietet Telefo Erm glicht ei Erm glicht m Unterst tzt 5 H lt Verkn pf Erm glicht es Verwaltet ein Erstellt eine Y Erkennt und Konfiguriert F Verwaltet un Benachrichtig Erm glicht Wi Status Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Gestar Automatisch Autostartt Manuell Manuell Automatisch Manuell Automatisch Manuell Deaktiv
53. l Lokale Sicherheitseinstellung Richtlinien f r Softwareeinschr nkung 2 IP Sicherheitsrichtlinien auf Lokaler Computer Ey Konten Administrator umbenennen Hugo Boss aktiviert und NTLM Anw In Minimum Minimum 3 atur aushandeln kopere 3 E soe Mrtiviert Rg Netzwerkzugriff Anonyme Aufz hlung von SAM Konten und Freigaben nic Deaktiviert RS Netzwerkzugriff Anonyme SID Namens bersetzung zulassen Deaktiviert RS Netzwerkzugriff Die Verwendung von Jeder Berechtigungen f r anonym Deaktiviert BS Netzwerkzugriff Freigaben auf die anonym zugegriffen werden kann COMCFG DFS R8 Netzwerkzugriff Modell f r gemeinsame Nutzung und Sicherheitsmodell f Nur Gast lokale Be RS Netzwerkzugriff Named Pipes auf die anonym zugegriffen werden kann COMNAP COMNOD RS Netzwerkzugriff Registrierungspfade auf die von anderen Computern au System CurrentCon Rg Netzwerkzugriff Speicherung von Anmeldeinformationen oder NET Passp Deaktiviert Ges mare mn METSAS FPrSnISOES ES Abbildung 6 Administrator umbenennen Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 21 47 PC Security Nun ist der Hauptbenutzer der f r die t gliche Arbeit verwendet wird in seinen Rechten relativ stark eingeengt Er darf nicht einmal mehr neue Programme installieren und das ist gut s
54. lich 7 2 4 Manuelle Suche Die Installation eines Virenscanners ist zwar obligatorisch allerdings bietet dieser nicht immer hundertprozentigen Schutz des PC insbesondere wenn der Scanner nur signaturbasiert arbeitet und sich der Eindringling zudem durch ein Rootkit versteckt Da die meisten aktuellen Sch dlinge wie der Storm Worm Bot Verhalten aufweisen liegt es nahe statt nur den PC zus tzlich noch den Netzwerkverkehr des Rechners zu berwachen Verd chtig viele ausgehende E Mails oder Netzwerkverkehr von und zu einem Command and Control Server k nnen Hinweise darauf liefern dass der eigene PC Mitglied eines Bot Netzes ist Bei Verdacht auf eine Infektion mit einem Bot kann man den Rechner statt mit speziellen kostenpflichtigen Programmen auch mit kostenlosen Werkzeugen manuell untersuchen Daf r ben tigt man das Netzwerk Analyse Werkzeug Wireshark http www wireshark org und das Anti Rootkit Tool GMER http www gmer net Sofern weder Browser Mailclient noch anderen Netzwerkanwendungen laufen sollte der Rechner sehr wenig Netzwerkverkehr produzieren Einzige Verursacher sollten dann das Betriebssystem auf der Suche nach weiteren Rechner im LAN sein sowie die Clients f r automatische Updates verschiedenster Software etwa f r Adobe Produkte Java Virenscanner und dergleichen Je weniger Dienste laufen desto weniger Pakete muss man sp ter analysieren und desto leichter findet man unerw nschte Verbindungen In der Regel l
55. lles abwehrt Das ist keineswegs der Fall Installieren Sie die Software Firewall Agnitum Outpost Sie k nnen die FREE Version der Software unter http www agnitum com herunterladen Erstellen Sie eine Auflistung der Kernfunktionen und f hren Sie eine Erstkonfiguration durch sodass der Internet Explorer Zugang zum Internet erh lt und der Rest blockiert wird In der Fallstudie Software Firewall Bypass wird eine Methode beschrieben wie Software Firewalls umgangen werden k nnen Man kann sogar noch weiter gehen und behaupten dass Software Firewalls keine zus tzliche Sicherheit bringen sondern Verwundbarkeiten schaffen Der CCC Ulm Chaos Computer Club hat sich eingehend mit diesem Thema besch ftigt und genau diese Schlussfolgerung gezogen Software Firewalls sind enorme Ressourcenfresser erh hen die Komplexit t von Systemen und werfen daher neue m gliche Verwundbarkeiten auf Zudem haben sie gezeigt dass eine Paketbasierte Filterung auf einem normalen PC absolut unn tig ist Viel besser ist die Abschaltung der Dienste so dass kein Port gegen aussen mehr offen ist ausser den ben tigten Diese Behauptung verbl fft und schockiert zugleicht Der CCC Ulm hat mit der Beispielapplikation wwwsh gezeigt dass die applikationsbasierte Filterung in jedem Fall umgangen werden kann unabh ngig vom Firewalltyp Dazu nutzen sie Schw chen im Fenstersystem von Windows aus welche designbedingt sind und nicht ohne weiteres eliminiert werden k n
56. m Vorschein wenn der Brief z B ber eine Kerze gehalten wird Geschickterweise wird der Geheimtext zwischen die Zeilen eines unbedeutenden Textes gepflanzt In der digitalen Welt gibt es unz hlige M glichkeiten um Informationen zu verstecken W hrend die einen die Informationen in Bildern oder Musikdateien verstecken missbrauchen die anderen Netzwerkprotokolle wie TCP IP Der grosse Vorteil der Steganographie beruht darin dass ein nicht eingeweihter Empf nger grunds tzlich keine geheimen Informationen erwartet und eine n here Untersuchung des Informationstr gers sehr unwahrscheinlich ist Das ist bei der herk mmlichen Verschl sselung nicht gegeben Verstecken Sie das Dokument Ihe Pharming Guide mit dem Programm OpenStego in dem Bild image png Verwenden Sie dazu den LSB Algroithmus und vergleichen Sie das generierte Bild mit dem Original LSB steht f r Least Significant Bit und beschreibt den Ort wo die Daten versteckt werden Im niederwertigsten Bit eines Farbwerts Bei einem Bild mit 24 Bit Farbtiefe lassen sich folgich drei Bit in einem Pixel verstekcen Das Urspr ngliche Bild wird dabei leicht ver ndert jedoch ist der Unterschied von blosem Auge kaum erkennbar Im Beispiel Bild erkennt man bei genauer Betrachtung lediglich eine h rtere Abstufung der Strassenfarbe links neben dem Auto K OpenStego Embed dl Extract Select the Steganography Algorithm to Use Message File C Dokumen
57. n Einen Haken hat die Sache jedoch Da das JavaScript vom Server des Tunichtguts stammt kann es eigentlich nicht mit dem Router verhandeln weil die Same Origin Policy SOP den Zugriff nicht zul sst Damit komplexere Modifikationen die sich nicht ber eine einzige statische URL durchf hren lassen trotzdem funktionieren muss das JavaScript im Kontext des Routers laufen also f r den Browser so aussehen als stamme es von diesem Hier kommt wieder Cross Site Scripting ins Spiel beispielsweise im Authentifizierungsdialog des Routers 7 2 Gegenmassnahmen F r den Firefox gibt es eine Reihe von Plugins um sich besser vor den heutigen Gefahren im Web zu sch tzen Die wichtigsten werden im ersten Teil dieses Kapitels vorgestellt und k nnen jeweils Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 34 47 PC Security auf der offiziellen Add on Seite https addons mozilla org oder direkt auf den jeweilgen Herstellerseiten heruntergeladen werden Der zweite Teil des Kapitels handelt dann von Themen die das Surfen sicher machen sowie von zus tzlichen Tools die mehr Sicherheit bieten 7 2 1 NoScript http noscript net NoScript erlaubt das Ausf hren von JavaScript Java und anderen Plugins nur bei vertrauensw rdigen Domains welche selbst definiert werden k nnen z B die E banking Website Der auf einer Positivliste basierende
58. nagern ist mit einer gewissen Skepsis zu begegnen Es stellt sich die Frage ob sie gen gend sicher programmiert sind Gerade die Internet Browser geraten aufgrund der vielen Sicherheitsl cken immer wieder in die Schlagzeilen Eine gewise Vorsicht ist hier sicher angebracht Die Funktionalit t dieser Manager ist oft sehr beschr nkt Der im Internet Explorer integrierte Passwortmanager ist beispielsweise gar nicht in der Lage die gespeicherten Passw rter zu bearbeiten und deshalb absolut unbrauchbar Integrierte Passwortmanager sind nur auf einige wenige Dienste beschr nkt z B Webforms oder FTP Verbindungen Deshalb w re f r jede Art von Account ein anderer Manager n tig Zudem k nnen nicht alle Accounts abgedeckt werden da beispielsweise Systempassw rter von keinem integrierten Passwortmanager verwaltet werden k nnen 9 3 2 Password Safe Password Safe ist ein Standalone Passwortmanager der frei erh tltlich und Open Source ist Urspr nglich wurde es vom Kryptologen Bruce Schneier entwickelt Password Safe erlaubt es eine Datenbank von Passw rtern anzulegen welche mit einem Master Passwort verschl sselt ist Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 44 47 PC Security 10 Verschl sselung Dieses Kapitel widmet sich der Verschl sselung von Daten Sie erfahren wie Sie wirksam verhindern k nnen dass andere Leute Ihr
59. nd IPS lesen Sie den Theorie Teil des Snort Versuchs F hren Sie nun eine berpr fung Ihres Systems durch Wenn Sie bereits im Internet unterwegs waren dann werden mit Sicherheit Cookies gefunden mit welchen Ihre Netzaktivit t verfolgt wird Diese k nne Sie ruhigen Gewissens entfernen 6 6 Virenscanner testen F r Schulungszwecke in Firmen ist es sinnvoll den Virenscanner zu testen und den Benutzern die Reaktion auf einen Befund bei zu bringen Es w re jedoch verantwortungslos f r diesen Zweck richtige Schadsoftware zu verwenden Aus diesem Grund kennen die meisten Antiviren Programme Signaturen von ungef hrlichen Testprogrammen welche dadurch wie richtige Viren behandelt werden Um einen Testvirus zu erhalten kopieren Sie die folgende Zeile in einen Texteditor und speichern sie unter dem Namen eicar_testvirus com Ein Real Time Scanner wird gleich nach dem Speichern Alam schlagen X50 P O AP APZX54 P 7CC 7 EICAR STANDARD ANTIVIRUS TEST FILE 5H H Es handelt sich dabei um das Standard Antivirus Testfile von EICAR und ist tats chlich eine ausf hrbare Datei Weitere Informationen entnehmen Sie bitte http www eicar org anti_virus_test_file htm Aufgabe Pr fen Sie die Funktion Ihres Virenscanners mit dem EICAR Antivirus Testfile Copy amp Paste oder Download Bei einer bestehenden Installation reichen diese Tests jedoch nicht aus Um einen fremden Computer auf seine Viren Abwehr zu testen sind die folgenden Schritte notwend
60. nen Auszug aus der Beschreibung des CCC Ulm Ein weiterer Auszug verr t wie die Kommunikation zwischen wwwsh und dem Angreifer funktioniert Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 27 47 PC Security Die Applikation wwwsh ist eine Client Server Applikation Der Server ist in Python geschrieben und wird vom Angreifer betrieben Der Client muss vom Opfer in Betrieb genommen werden Der Server kann mit der Datei config py konfiguriert werden Anzugeben sind die lokale Adresse und der Port an welchem der Server h ren soll localip 192 168 1 xy localport 1234 Auf dem XP Home PC finden Sie den wwwsh Server welcher in Python geschrieben ist Die Konfiguration wurde bereits vorgenommen Starten Sie den Server Doppelklick auf server py und geben Sie das Kommando dir ein Der Client muss ebenfalls konfiguriert werden Die Konfiguration ist in der Datei config h vorzunehmen Dies bedeutet dass die Angaben zur Kompilierungszeit bekannt sein m ssen this is the servers ip and port define HOST http 192 168 1 xy 1234 In diesem Versuch wird die Server IP 192 168 1 10 und der Port 8080 verwendet Auf dem XP Pro PC finden Sie den wwwsh Client Die Konfiguration wurde bereits vorgenommen und das Programm kompiliert F hren Sie den Client aus und pr fen Sie ob die Firewall Alarm schl gt Was passiert
61. nsicherungen durch Sichern sie ihre Daten auf Diskette Band oder CD Rom Gegen Vieles k nnen sie sich nicht sch tzen ein aktuelles Backup erm glicht immerhin die Wiederherstellung nach einem Angriff Lagern sie mindestens eine komplette Sicherheitskopie off site z B in einem Schliessfach und mindestens eine on site Denken sie daran die alten Sicherheitskopien zu zerst ren CD Rs lassen sich am besten zerst ren indem man sie f r f nf Sekunden bei voller Leistung in die Mikrowelle steckt Man kann sie auch zerbrechen oder durch gen gend starke Shredder jagen Betriebssysteme Benutzen sie nach M glichkeit kein Microsoft Windows Kaufen sie einen Macintosh oder benutzen sie Linux Falls sie Windows benutzen m ssen dann aktivieren sie das automatische Update damit sie die Sicherheitspatches automatisch erhalten Und l schen sie die Dateien command com und cmd exe Anwendungen Beschr nken sie die Anzahl Anwendungen auf ihrem Rechner Installieren sie nichts was sie nicht brauchen Entfernen sie eine Software wenn sie sie nicht l nger ben tigen Schauen sie sich eine der freien Office Pakete als Alternative zu Microsoft Office an berpr fen sie regelm ssig ob Updates f r ihre eingesetzten Applikationen verf gbar sind und installieren sie diese Es ist zwar wichtig die eigenen Applikationen auf dem aktuellen Stand zu halten aber es sollte ihnen nicht gerade schlaflose N chte bereiten Browsing Verwenden sie auf k
62. o Viele bekannte und auch neue Gefahren lassen sich durch diese einfache Massnahme abwehren Doch es gibt auch eine Kehrseite Je mehr der Hauptbenutzer eingeschr nkt ist umso fter muss das Administratoren Konto verwendet werden Damit man sich nicht immer an und abmelden muss kennt Windows die Funktion Ausf hren als Sie erscheint im Kontextmen f r Anwendungen Ausf hren als 4 a Y Welches Benutzerkonto soll zum Ausf hren dieses Programms verwendet werden E O Aktueller Benutzer PCSEC1 versuch Offnen Computer und Daten vor nicht autorisierter Programmaktivit t SS Ausf hren als GPGee mputer oder pers nliche Daten zu sch di Senden an gt azu f hren dass ein Programm nicht korrekt werden kann Ausschneiden 6 Folgender Benutzer Kopieren Benutzername Hugo Boss Verkn pfung erstellen L schen Umbenennen Kennwort 000000 Eigenschaften Aufgabe Verwenden Sie f r die restlichen Aufgaben dieses Versuchs ein Konto mit eingeschr nkten Rechten Was d rfen Sie als Hauptbenutzer tun was nur als Administrator Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 22 47 PC Security 4 5 Sicherheitsupdates Eine usserst n tzliche Funktion ist die automatische Installation von Windows Updates Die Einstellungen k nnen im Sicherheitscenter der Systemst
63. ortmanagement getroffen werden k nnen Bearbeitungsaufwand Die Bearbeitung dieses Kapitels ben tigt des Kapitels 9 1 Ausgangslage Ein moderner Benutzer schl gt sich mit vielen Accounts herum mehrere Emailadressen eBay Internetzugang beim Provider Foren E Shops und Internet Banking Jeder dieser Accounts muss mit einem sicheren Passwort versehen werden Es ist ziemlich schwierig sich so viele Passw rter zu merken Deshalb ist der Griff zu einfacheren Methoden unumg nglich 9 2 Zwei einfache Ans tze Viele Benutzer machen es sich einfach und verwenden immer dasselbe Passwort welches meist eine h here Komplexit t aufweist Dies ist ein sehr gef hrlicher Ansatz da z B Forenpassw rter meist nicht sicher bertragen werden und dem Forumsadministrator auch nicht in jedem Fall vertraut werden kann Ein anderer Ansatz ist die Einteilung der Accounts in Sicherheitsstufen Dabei ist besonders darauf zu achten dass alle Passw rter der hohen Sicherheitsstufe verschl sselt bertragen werden sollten z B ber SSL Ansonsten macht das Konzept nicht viel Sinn man denke an etwelche Sniffer Diesen Ansatz vefolgen sehr viele Benutzer auch Profi Benutzer Doch auch dieser Ansatz ist nicht unumstritten Meist ist eine Abstufung der Accounts nicht einfach F r einen sinnvollen Einsatz ben tigt man mehrere Abstufungen und damit auch mehrere Passw rter Ein Passwort sollte aber auf keinen Fall immer gleich bleiben sondern von Zeit zu
64. owie spezielle Applikationsdaten Die gespeicherten Informationen sind f r den Entscheidungsprozess essentiell da die Firewall beispielsweise unaufgeforderte eingehende Verbindungen blockieren muss aber Antworten eines Servers dir durch die internen Clients befragt wurden passieren lassen Der Status einer berechtigten Verbindung ist in der Zustandstabelle zu finden Je nach Stateful Implementation ist die Firewall in der Lage nur die Zust nde von Protokollen auf der Netzwerkschicht und Transportschicht zu berwachen oder aber auch welche auf der Applikationsebene In den folgenden Kapiteln wird die berwachung von Protokollzust nden auf der Netzwerkschicht Transportschicht und Applikationsschicht erkl rt 5 1 4 Stateful Filtering vs Stateful Inspection Wie weiter oben bereits erl utert wurde unterscheiden sich die beiden Statful Arten in der Filterungsart Stateful Filtering untersucht die Protokolle bis auf die vierte Schicht des OSI Models wobei Stateful Inspection die Protokolle der Applikationsebene ebenfalls versteht Jedoch ist eine Stateful Inspection Firewall nicht in der Lage s mtliche Protokolle der Applikationsebene zu verstehen da einerseits eine Vielzahl von Protokollen existiert und andererseits teils Protokolle verschl sselt sind Bei der Anschaffung einer Firewall ist es dringend notwendig im Voraus zu definieren welche Protokolle die Firewall verstehen muss Oft wird Stateful Inspection als Verkaufsargument eingese
65. puliert werden kann Zum Ansurfen einer URL schreibt wwwsh die URL mittels der Fensternachricht WM_SETTEXT in die URL Zeile und sendet danach eine WM_KEYDOWN mit dem Parameter VK_RETURN was dem Dr cken der Entertaste entspricht Als Antwort kommt vom Webserver immer eine HTML Seite mit einem Meta Refresh was bewirkt dass der Browser automatisch eine andere URL ansurft Diese URL erscheint in der URL Zeile und kann von dort mit einer WM_GETTEXT Fensternachricht ausgelesen werden Die Informationen sind f r beide Kommunikationsrichtungen base64 kodiert in der URL enthalten Durch diese Kodierung ist sichergestellt dass keine unzul ssigen Zeichen in der URL auftreten k nnen Das empfangene Kommando wird in einer Shell ausgef hrt und das Ergebnis base64 kodiert Zum bermitteln der Antwort wird zuerst das CGI Skript sendResul cgi mit dem Parameter begin angesurft Danach folgen beliebig viele Aufrufe desselben Skriptes mit dem Parameter data und anschlie endem base64 kodiertem Datenteil Die L nge der Antwort ist damit quasi unbeschr nkt Ist die Antwort komplett bertragen folgt ein letzter Aufruf des Skriptes mit dem Parameter end Bei jedem Aufruf sendet der Webserver einen Meta Refresh auf die Response URL Das dient zur Synchronistion der beiden Seiten Diese Applikation ist ein Proof of Concept Es gibt viele Verbesserungsm glichkeiten Falls Sie den Umstand dass der Benutzer den Browser sehen kann als st rend empfinden sei
66. reichen Diebstahl zur Anmeldung an allen weiteren Anwendungen missbrauchen k nnen Von Angriffen aus dem Internet auf DSL Router von Privatanwender war bis vor kurzem eher selten zu h ren da die meisten Eindringversuche in der Regel schon an dem integrierten Paketfilter respektive der Firewall scheitern Doch mit Cross Site Request Forgery CSRF programmieren B sewichte den Router mit Hilfe ihres Opfers um ohne dass dieses etwas davon merkt Bei CSRF machen sich Angreifer die triviale Implementierung von Authentifizierungsfunktionen in Routern zunutze sodass ein pr parierter Link eines Angreifers in einer beliebigen Webseite ausreicht um das lokale Ger t zu manipulieren Der folgende Link schaltet beispielsweise die Firewall im Linksys Router WRTS4GL aus F r eine verbesserte Lesbarkeit sind die URL Parameter auf mehrere Zeilen aufgeteilt https 192 168 1 1 apply cgi submit_button Firewall change_action 4 action Apply amp block_wan 1 amp block_loopback 0 amp multicast_pass 0 amp ident_pas s 0 amp block_cookie 0 amp block_java 0 amp block_proxy 0 amp block_activex 0 amp ilter off amp block_wan 1 amp _block_multicast 0 amp _ident_pass 1 F r den Router sieht es so aus als h tte der Anwender den Link selbst aufgerufen Voraussetzung f r einen erfolgreichen Angriff ist jedoch dass das Opfer gerade mit dem Webbrowser auf dem Router eingeloggt ist etwa zur Konfiguration und parallel dazu in einem anderen Fenster die pr p
67. rwendet werden Das Passwort f r die Entschl sselung oder Entsperrung wird vorg ngig abgemacht und darf logischerweise nicht ber einen unsicheren Kanal ausgetauscht werden 8 2 S MIME S MIME Secure Multipurpose Internet Mail Extensions heute weit verbreitete Schnittstelle die MIME um Verschl sselungs und Signaturverfahren erweitert also das Verschl sseln sowie das digitale Unterzeichnen von E Mails erlaubt Die Schnittstelle existiert seit 1995 und wurde von verschiedenen Herstellern entwickelt S MIME ist ein Public Key Infrastructure Verfahren PKI und basiert auf dem X 509 Standard Zertifikat Datenverschl sselung In der aktuellen Version 3 von S MIME wird die eigentliche Nachricht symmetrisch verschl sselt Triple DES F r den Sitzungsschl ssel benutzt S MIME ein asymmetrisches Verfahren RSA Verschl sselung S MIME Zertifizierungen und Authentisierungen werden von den meisten aktuellen E Mail Programmen sowie etlichen Browsern unterst tzt Sie spielen z B im E Commerce eine wichtige Rolle Das Verwenden der Zertifikate geschieht dabei weitgehend automatisiert also im Prinzip f r den Anwender unsichtbar In den vergangenen Jahren sind einige Sicherheitsl cken von S MIME Implementierungen bekannt geworden v a unter Windows Microsoft Outlook bzw Outlook Express Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 4
68. scalation Hosts File Modification Lesen Sie im PDF Dokument The Pharming Guide die Funktionsweise von mindestens 3 Methoden nach Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 11 47 PC Security 3 9 Drive By Infection Drive By Infection ist eine Gefahr aus dem Internet der man sich lange zu wenig bewusst war Man versteht darunter die Infizierung mit Malware ohne jegliche Benutzer Interaktion Das Ansurfen einer pr parierten Webseite reicht dem Angreifer aus um die volle Kontrolle ber den Computer eines ahnungslosen Benutzers zu bernehmen Der Angreifer nutzt dazu Schwachstellen im Web Browser oder E Mail Client des Benutzers aus Ein Puffer berlauf in der Funktion zum Anzeigen von Bildern reicht beispielsweise aus um beliebigen Code auf der verletzlichen Maschine auszuf hren Dadurch kann der Angreifer Schadsoftware wie zum Beispiel trojanische Pferde herunter laden und installieren lassen Der Vorgang bleibt vom Benutzer meist unbemerkt W hrend man ein solches Verhalten von Webseiten zwielichtigen Ursprungs erwarten k nnte sind in letzter Zeit immer fter auch seri se Webseiten f r die Verbreitung von Malware verantwortlich Angreifer nutzen L cken in Content Management Systemen aus oder verwenden Cross Site Scripting Attacken um Schadsoftware in gut besuchte Webseiten einzubinden Aufgabe Lesen Sie die Mel
69. sch tzten Umgebung ausgef hrt und ihr Verhalten analysiert Das Ergebnis wird wenige Minuten sp ter per Mail zugesandt Den Dienst und einige Beispiel Reports findet man unter http www norman com microsites nsic Submit de Online Scanner verf gen nicht ber die M glichkeit gefundene Malware zu isolieren oder zu entferen Wenn jedoch die exakte Bezeichnung des Sch dlings gefunden wurde so kann damit nach der Prozedur zum Entfernen gesucht werden 6 4 Antivirus installieren In diesem Teil werden Sie durch die Installation von Avira s AntiVir Personal Edition gef hrt Diese f r den privaten Gebrauch kostenlose Version verf gt ber einen ausgezeichneten Virenschutz Die Erkennung von Ad und Spyware ist jedoch der Pro Version vorbehalten weshalb wir nachfolgend noch ein zus tzliches Tool installieren m ssen Aufgabe ffen Sie die Webseite von Avira http www free av de und laden Sie sich AntiVir Personal Edition auf den Computer Nach der Installation werden Sie um die Registrierung gebeten Diesen Schritt k nnen Sie berspringen ffnen Sie nun das Programm und unter dem Men punkt Extras die Konfiguration Aktivieren Sie den Experten Modus und bernehmen Sie die folgenden Einstellungen f r den On Demand Scanner CG Avira AntiVir Personal Free Antivirus Avira AntiVir Personal Free Antivirus Expertenmodus Suche Gi Scanner D 63 Suche Report a Guard a Si Suche ML Aktion bei Fund
70. sche de panl1 panorama artikel 792 48744 DCT MPack developer In securityfocus com Bearbeitungsstand 20 J uli 2007 URL http securityfocus com print news 11476 Help Got Hacked Now What Do Do In Microsoft com Security Management Column Bearbeitungsstand 7 Mai 2004 URL http www microsoft com technet community columns secmgmt sm0504 mspx 7 Webseite des Chaos Computer Club s Ulm 8 URL http www ulm ccc de NT Dienste sicher Konfigurieren URL http www ntsvcfg de Networking Services and Information Security Prof Dr Bernhard H mmerli
71. sofort nach Bekanntwerden des Verdachtes Erikssons Namen weitergegeben und dem Betroffenen Hausverbot erteilt Der Jurist berichtete im Rundfunk er sei danach auf der Stra e von Studenten beschimpft und verspottet worden Eine junge Frau sch ttete einmal ein Glas Bier ber mir aus Mit seiner Frau zog er deshalb nach Spanien wo er weiter krank und ohne Arbeit lebt Bis zur Erhebung einer Anklage vergingen zwei und bis zur Urteilsfindung weitere drei Jahre Erst zum Prozess erhielten technische Experten der Verteidigung Zugang zu dem PC und konnten nachweisen dass dort eine von einem Schweden geschriebene Software zur unerkannten Steuerung eines Rechners von au en installiert war Makel des Kindersch nders bleibt h ngen Es erwies sich auch dass die Pornobilder auf Erikssons Computer berhaupt nicht ge ffnet und angeschaut worden waren Eriksson sagte zu seinem Freispruch dass ihm dieser vermutlich nicht beim Wiederaufbau der zerst rten Berufskarriere helfen werde Der Makel des Kindersch nders ist das Schlimmste was man in unserer Gesellschaft angeh ngt bekommen kann Er bleibt h ngen Ein Polizeisprecher bedauerte dass die eigenen Experten das unsichtbare PC Programm nicht gefunden hatten Ich will jetzt daf r k mpfen dass die Verantwortlichen f r all dies zur Rechenschaft gezogen werden sagte das Opfer der Polizeifehler Der Programmierer der als Trojanisches Pferd benutzten Computersoftware sagte im R
72. sperrungsschwelle 3 ung ltigen Anmeldeversuchen 9 Kennwortrichtlinien 23 Kontosperrungsrichtlinien Lokale Richtlinien 19 berwachungsrichtlinien 19 Zuweisen von Benutzerrechten 13 sicherheitsoptionen Richtlinien ffentlicher Schl ssel Dateisystem wird verschl sselt 2 Richtlinien f r Softwareeinschr nkung 2 IP Sicherheitsrichtlinien auf Lokaler Computer osperrdauer 10 Minuten 82 Zuriicksetzungsdauer des Kontosperrungsz hlers 10 Minuten Abbildung 5 Sicherheitseinstellungen ffnen Sie das Control SecPol msc und verschaffen Sie sich einen berblick zu den Sicherheitseinstellungen Setzen Sie sinnvolle Einstellungen f r die Gruppe Hauptbenutzer Eine weitere Sicherheitsvorkehrung ist das Umbenennen des Administratoren Kontos Dadurch muss ein Angreifer nicht nur das Passwort sondern auch das Konto mit uneingeschr nkten Rechten finden Auch diese Einstellung kann mit dem SecPol Control vorgenommen werden Tr Lokale Sicherheitseinstellungen Datei Aktion Ansicht e mxeB8 Sicherheitseinstellungen Richtlinie Sicherheitseinstellung Kontorichtlnien Rf Ipteraktivaiamalduazllabalten beim Entfernen von Smartcards Keine Aktion Lokale Richtlinien 2 Konten Administrator umbenennen Administrator 09 berwachungsrichtlinien rm iviert la scan an izerrechten j Eigenschaften vo Sicherheitsoptionen n Konten Administrator umbenennen PS IS a S ELEM sr Schl sse
73. t diese anschlie end neu Re Aktivierung Diese Option ist nur ber Kommandozeile aufrufbar Behebt ein Problem mit dem Taskplaner falscher Parameter welches nach Ausf hrung fr herer Script Versionen auftrat Diese Option ist nur ber Kommandozeile aufrufbar Zeigt eine Hilfs bersicht ber die Aufrufparameter an Tabelle 4 Konfigurationsoptionen von svc2kxp cmd ea vorgenommenen Einstellungen werden erst nach einem Neustart wirksam berlegen Sie sich welche Option am besten auf die vorliegende Umgebung passt und f hren Sie die Deaktivierung der Dienste mit dem Programm svc2kxp cmd durch Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 19 47 PC Security 4 4 Benutzerkonten und Policies Die falsche Handhabung der Benutzerkonnten liefert einen grossen Beitrag zur hohen Verwundbarkeit von Windows Systemen Die meisten Angriffe auf Windows Systeme ben tigen Administratoren Rechte da sie beispielsweise auf Teile der Registry zugreifen die nur f r einen Administrator sichtbar sind Viele Windows Benutzer t tigen ihre t gliche Arbeit mit einem Benutzerkonto welches zur Administratorengruppe geh rt Das ist leichtsinnig und setzt die Benutzer unn tig grossen Gefahren aus Auf den meisten anderen Betriebssystemen Mac Linux Unix kommt das schon vom Konzept her nie in Frage Microsoft selbst is
74. t nicht unschuldig an dieser Misere Die gesamte DOS 9x Linie kannte nur eine Art Benutzer den Administrator mit unbeschr nktem Zugriff auf das gesamte System Erst mit der Windows NT Linie wurden Benutzer eingef hrt welche beschr nkte Rechte besitzen Dies setzt allerdings die Verwendung von NTFS als Dateisystem voraus Windows XP geh rt zur NT Linie und bietet demnach verschiedene Benutzergruppen an Dennoch arbeiten die meisten Leute unter einem Administrator Account Microsoft selbst bietet in der Windows XP Home Installation keine Konteneinstellungen an und erstellt im Hintergrund ein einziges Default Konto ein Administratorkonto f r welches nicht einmal ein Passwort verlangt wird Dazu kommt dass sich ein Anwender der mit einem normalen Benutzer Account arbeitet mit etlichen Problemen herumschlagen muss Zum einen muss er sich umgew hnen die systemnahen Tasks als Administrator auszuf hren zum andern muss er sich damit abfinden dass sich gewisse Software dank der Unwissenheit deren Entwickler nicht als Normalbenutzer verwenden l sst Oft beachten unerfahrene Programmierer nicht dass ihr Programm Zugriff auf Teile der Registry oder des Filesystems ben tigt die ein Normalbenutzer gar nicht verwenden darf Das ist rgerlich und veranlasst viele Anwender sich selbst mit Administratorenrechten auszustatten Hierbei handelt es sich um eine typische Situation in der die Funktionalit t auf Kosten der Sicherheit vorgezogen wird Aufgabe
75. te und EinstellungenversuchiDesktop Steganographiel ThePharmingGuide pdf Cover File Select multiple files or provide wildcard 7 to embed same message in multiple files C Dokumente und Einstellungen versuch Desktop Steganographie image png Output Stego File C Dokumente und Einstellungen versuch Desktop Steganographieisteg png Options Abbildung 18 Original Compress Data Encrypt Data O Password Confirm Password Algorithm specific Options Use Random Image As Source Cover file Maximum Bits To Use Per Color Channel Abbildung 20 OpenStego Abbildung 19 Mit Dokument Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik 8 Architektur Horw 3 Juni 2009 Seite 47 47 PC Security 11 Quellen 1 2 3 4 5 6 Ido Dubrawsky Firewall Evolution Deep Packet Inspection In securityfocus com Bearbeitungsstand J uli 2003 URL http www securityfocus com infocus 1716 Daniel Bachfeld Dirk Knop Surfer im Fadenkreuz In c t Magazin f r Computertechnik Bearbeitungsstand Heft 11 08 13 Mai 2008 Bruce Schneier Schneier on Security Safe Personal Computing In schneier com Bearbeitungsstand Dezember 2004 URL http www schneier com blog archives 2004 12 safe_personal_c html P dophil per Programm In S ddeutsche Zeitung Bearbeitungsstand 3 M rz 2005 URL www sueddeut
76. tzt wobei die entsprechende Firewall vielleicht nur wenige Protokolle versteht und zus tzlich nicht in der Lage ist diese vollst ndig zu berwachen 5 1 5 Deep Packet Inspection Der Begriff Deep Packet Inspection bedeutet dass eine Firewall oder ein IDS die F higkeit besitzt den Application Payload eines Pakets oder einer Verbindung zu untersuchen Dabei werden die Entscheidungen aufgrund des Inhalts dieser Daten gef llt Damit ist es z B m glich eine Anwendung gegen bekannte Buffer Overflow Attacken zu sch tzen Dies geschieht mittels Signatur Vergleich und heuristischen Methoden und ist stark von den Network Intrusion Detection Systems abgeleitet Matchentscheidend f r die Effektivit t sind die Anzahl bekannter Protokolle bzw Signaturen und deren Qualit t Verschiedene Hersteller benutzen f r diese Funktionalit t verschiedene Begriffe wie das marketingtechnisch so blich ist Synonyme sind Intrusion Prevention oder Inline IDS Es gilt zu beachten dass die Hardware der Firewalls durch Deep Packet Inspection enorm belastet wird und deshalb eine gr ssere Rechenleistung n tig ist wenn man sein Netzwerk nicht ausbremsen will 5 1 6 Network Address Translation Network Address Translation kurz NAT ist eigentlich keine Firewall sondern eine Router Funktionalit t Da die meisten Firewalls aber als Router Layer 3 operieren taucht der Begriff oft im Zusammenhang mit Firewalls auf Wird NAT eingesetzt dann ist gegen aussen nur d
77. uch die manche Hersteller vertreiben sind in ihrer Funktionalit t meist eingeschr nkt K uflich erworbene Programme bieten meist zus tzlichen Schutz f r den Email Client eine integrierte Desktop Firewall und Anti Spyware Funktionalit t Internet Security Suite Recherchieren Sie nach wie Ihr Antivirus Programm bewertet wird und welchem Produkt Sie heute Ihr Vertrauen schenken w rden 6 3 Online Scanner Diverse Hersteller bieten auch so genannte Online Scanner an Durch ein ActiveX Control kann die lokale Festplatte nach Viren abgesucht werden Dazu muss jedoch die gesamte Datenbank mit Viren Signaturen herunter geladen werden und meist wird trotzdem ein zus tzliches Programm installiert Weil aufgrund der Funktionsweise wichtige Bereiche wie der Arbeitsspeicher oder der MasterBoot Record nicht durchsucht werden k nnen ist von der Verwendung solcher Programme eher ab zu raten Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 30 47 PC Security Sinnvoll hingegen sind Online File Scanner welche eine hochgeladene Datei mit mehreren Scannern berpr fen Ein verd chtiger Kandidat kann auf diese Weise zuverl ssig entlarvt werden Wichtige Vertreter dieses Typs sind http www virustotal com und http virusscan jotti org de Einen etwas anderen Ansatz verfolgt Norman s SandBox Die hochgeladene Datei wird in einer ge
78. ug berlegen Sie sich ob z B Leute in Ihrer Verwandtschaft solchen Attacken auf den Leim gehen k nnten Die Verantwortung liegt im Fall von Phishing nicht bei den Unternehmen sondern bei den Benutzern In den meisten Vertr gen ist festgehalten dass jeder Benutzer selber f r seine Zugangsdaten verantwortlich ist Das Problem ist nur dass viele Kunden zu wenig Kenntnis haben um die Bedrohung richtig einzusch tzen Phishing ist jedoch nicht ein reines Social Engineering Problem Es gibt durchaus technische Mittel um Phishing Attacken zu erschweren berlegen Sie sich welche M glichkeiten zur Minderung der Phishing Bedrohung bestehen Eine gute Quelle f r Statistiken und News zum Thema Phishing ist http www antiphishing org 3 8 Pharming Phishing bedingt dass der Benutzer sich t uschen l sst und eine bestimmte Aktion ausf hrt z B anklicken eines Links in einem E Mail Pharming beruht hingegen auf anderen Prinzipien Hier wird versucht den Benutzer ohne eigene Interaktion irrezuf hren Wenn eine Pharming Attacke geschickt ausgef hrt wird muss kein einziges E Mail an den Benutzer verschickt werden Das Stichwort heisst DNS Spoofing Der Angreifer versucht die Namensaufl sung des Clients auf irgendeine Weise auszutricksen Ein kurzer berblick der verschiedenen Methoden Domain Hijacking Similar Domainnames DNS Wildcards DNS Cache Poisoning DNS ID Spoofing Browser Completion Page Rank E
79. undfunk Das Ding hab ich mehr aus Spa geschrieben und bereue das jetzt sehr Wenn ich es doch nur r ckg ngig machen k nnte Obiges Beispiel zeigt dass Sie auch ohne eigenes Zutun und ohne f r einen Hacker interessante Daten Opfer einer b sen Attacke werden k nnen Dies kann f r Sie usserst gravierende Folgen haben Da die Beteuerung ihrer Unschuld nicht fruchten wird bleibt Ihnen nur eine M glichkeit Sch tzen Sie sich 3 2 Viren und W rmer Jeder Computerbenutzer hat mit ihnen schon einmal Bekanntschaft geschlossen Sie sind l stig verlangsamen den PC und verursachen oft eine Welle der Beschuldigungen zwischen Verwandten Bekannten und Gesch ftspartnern Einige E Mail W rmer zum Beispiel nehmen als Empf nger und Absender wahllose Adressen aus dem Adressbuch des bereits infizierten Computers und schicken sich selbst weiter Es gestaltet sich recht schwierig festzustellen wo der Ursprung liegt Ein Virus ist ein Programm das sich eigenst ndig reproduziert indem es Kopien von sich selbst anfertigt Die Kopien m ssen nicht exakt dem Virus entsprechen sondern k nnen auch Mutationen sein Viren sind immer an einen Wirt gebunden Der Wirt kann z B eine Programmdatei ein Dokument oder der Bootsektor einer Diskette sein Der Wirt wird ber Netzwerk verschickt oder auf Diskette kopiert wird und verhilft so dem Virus zur Verbreitung Ein Beispiel dazu ist der Bootsektor Virus Stoned Angelina Die Viren sind den W
80. virus und Antispyware Programmen behandelt Der Bearbeitungsaufwand betr gt ca 30 Minuten 6 1 Ausgangslage Nachdem die Bedrohung durch Schadsoftware in Kapitel 3 angesprochen wurde behandelt dieses Kapitel nun den Schutz vor Malware Grunds tzlich ist zu sagen dass auch der neuste Virenscanner keinen hundertprozentigen Schutz bietet weil er meist nur bekannte Viren zu erkennen vermag Die Verwendung von Anti Malware Programmen ist neben den allgemeinen Massnahmen Kapitel 4 und einem funktionierenden Backup trotzdem sehr sinnvoll in einem Betrieb sogar unerl sslich Zudem kann die Erkennungsrate durch die Installation mehrer Produkte verbessert werden 6 2 Programme evaluieren Bevor man sich f r eine bestimmte Antivirus Software entscheidet sollte man sich ber deren F higkeiten sowie St rken und Schw chen informieren Es gibt sehr viele Anbieter solcher Software welche meist auch unterschiedliche Versionen vertreiben Die einschl gigen Fachzeitschriften testen regelm ssig diverse Produkte und stellen die Resultate in ihren Online Magazinen zur Verf gung Zudem testen diverse Webseiten Antivirus Software auf ihre Erkennungsrate Gute Anlaufstellen f r einen ersten berblick sind http www av test org und http www av comparatives org Zur Information ber die genauen F higkeiten eines Produktes liefert meist die Hersteller Seite die besten Informationen Besonders die kostenlosen Versionen f r den Privatgebra
81. ware und trojanische Pferde iia a E eege ae 8 354 4 Dialer Aide ida 8 A Oe EE 9 ER GE EE 9 O A O ORNATO 9 38 E A A Jeheas hen een EE 10 3 9 Drive By Infection anna ass 11 4 Allgemeine Massnahmen eet Geck ier dE IDEEN o iaa 13 4 1 Alsgangslage un erinnere EUREN dee eege 13 4 2 Safe Personal Computing by Bruce Schneier seesssesssssesessesesererssssrerrerresssseeererrresssreessee 13 4 3 REENEN E 16 4 4 Benutzerkonten und Policies ooooocccccnnnononcconccononononnnncnnnonononnonnoncnnncnnnnnnonnnnnnnnccnccnnnannnnennninos 19 dn Sicherheitsupdate Sienen pni tds 22 4 6 B66t PassWwort nesunisn ee een A soon er aE AAE AEEA ee 22 3 Emsa yon Firewalls nei a En Dee een enge ne N 23 5 dl AA ia ae EET ae bestiegen sl 23 dll Racket Filter udn ini a T a aa pa a E a 23 PA EA E 23 5 1 3 Stateful Packet Filtering Inspection ssssssesessssssssrressrresssreressrrerssreresssresssrrressssreesrerrnsssees 23 5 1 4 Stateful Filtering vs Stateful Inspection ooonnnncccnnonocccnnononnnnnonannnnconannnncnnannnncrnnancnncnnnncnn ns 24 IL Deep Packet Inspector a A da AA E AE 24 5 1 6 Network Address Translation iei ataire ea N ENE EEA E E a 24 2 Hardware Firewalls re eier a EErEE deed A T 25 3 32 Obtrett Wal 26 5 4 Vorschlag f r das Heimnetzwerk oooncncnnnnnccnnnnoncnnnnnannnnnonanannnonnnnn cnn rana EEE EEN 28 6 Antivirus und Antspvware Programme 29 6 RE EE 29 6 2 AAA aa Bin San Blasen 29 E E RUE EE 29 6 4
82. xit Abbildung 16 TrueCrypt TrueCrypt erlaubt die Kaskadierung verschl sselter Bereiche Das bedeutet dass in einem verschl sselten Bereich ein weiterer verschl sselter Bereich erzeugt werden kann in welchem wiederum ein verschl sselter Bereich erstellt werden kann Dabei k nnen unterschiedliche Networking Services and Information Security Prof Dr Bernhard H mmerli Hochschule Luzern Technik amp Architektur Horw 3 Juni 2009 Seite 45 47 PC Security Algorithmen gew hlt werden Dies ist dann sinnvoll wenn der Anwender die Existenz der Informationen verschleiern will Das Programm bietet verschiedene Verschl sselungsalgorithmen an Es lassen sich Benchmarktests f r verschiedene Dateigr ssen durchf hren Bei der Erstellung eines neuen verschl sselten Bereichs werden die unbenutzten Bits mit Zufallszahlen berschrieben sodass m glichst wenig Angriffsfl che bleibt E TrueCrypt Yolume Creation Wizard Mie sl Encryption Options Encryption Algorithm tes FIPS approved cryptographic algorithm Rijndael published in 1998 that may be used by US federal departments and agencies to cryptographically protect sensitive information 256 bit key 14 rounds AES 256 published in 2001 Benchmark Hash Algorithm ZS SHA 1 RIPEMD 160 Help lt Prev Cancel Abbildung 17 Verschl sselung einstellen Laden Sie die aktuellste Version von TrueCrypt herunter
83. ymmetrisches Verfahren verwendet das RSA Verfahren Der Absender verschl sselt den symmetrischen Schl ssel mit dem ffentlichen Schl ssel des Empf ngers w hrend das Entschl sseln nur mit dem privaten Schl ssel des Empf ngers m glich ist Um eine elektronische Signatur zu erzeugen wird aus dem zu unterschreibenden Text eine Pr fsumme gebildet die sich bei der kleinsten Text nderung ebenfalls ndern w rde Diese Pr fsumme wird mit dem privaten Schl ssel des Absenders verschl sselt Der Empf nger entschl sselt die Pr fsumme mit dem ffentlichen Schl ssel des Absenders und vergleicht sein Ergebnis mit der Pr fsumme die er erh lt wenn er selbst mit dem gleichen Verfahren wie der Absender aus dem Text die Pr fsumme bildet Stimmen beide berein weiss er erstens dass die Nachricht tats chlich von dem Absender stammt zu dem der ffentliche Schl ssel geh rt und zweitens dass die Nachricht nach dem Unterzeichnen nicht ver ndert wurde SA Gpg4win Gpg4win ist ein Installationspaket f r Windows 2000 XP 2003 Vista mit Computer Programmen und Handb chern zur E Mail und Datei Verschl sselung Gpg4win selbst und die in Gpg4win enthaltene Software sind freie Software Ziel von Gpg4win ist ein aktuell gehaltenes Windows Installationspaket f r die Verschl sselungs Software GnuPG sowie zugeh rige Anwendungen und Dokumentation Gepflegt werden insbesondere die Handb cher Einsteiger und Durchblicker Das Softw
Download Pdf Manuals
Related Search