Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Friday, July 30, 2010

System sicher konfigurieren

Source
Weit verbreitet ist der Irrtum, man könne und solle sein System einzig und allein durch Installation von Sicherheitssoftware schützen. Dass diese Auffassung falsch sein muss, zeigt sich bereits an der Tatsache, dass jede Software potentiell Schwachstellen enthalten kann und dass die Wahrscheinlichkeit, dass in mindestens einem installierten Softwareprodukt eine ausnutzbare Schwachstelle bekannt wird, mit der Anzahl der installierten Produkte steigt. Keineswegs entschärft wird diese Problematik dadurch, dass sich vermeintliche Sicherheitssoftware (um überhaupt arbeiten zu können) oft tief im System verankert und dadurch eine mögliche Schwachstelle auch entsprechend grössere Auswirkungen hat, etwa die Kompromittierung des gesamten Systems erlaubt.
Deshalb sollte ausschliesslich Sicherheitssoftware installiert werden, die einen klar ersichtlichen Vorteil bietet. Weniger ist in diesem Zusammenhang oft mehr.
Dementsprechend sind nachfolgend die wichtigsten Punkte eines Sicherheitskonzepts aufgelistet, das geeignet ist, um den überwiegenden Anteil der aktuell verbreiteten (und in Zukunft zu erwartenden) Malware von deinem System fernzuhalten.
2.1. Schwachstellen in Programmen
Sehr oft verbreitet sich moderne Malware durch Ausnutzung von Schwachstellen in Anwendungssoftware oder dem Betriebssystem. Daher ist es wichtig, das Risiko unbekannter Schwachstellen möglichst gering zu halten und bekannt gewordene umgehend zu schließen.
Ein sehr häufig vorkommendes Szenario, in dem die Ausnutzung einer Schwachstelle in einem Programm möglich ist, ist der Besuch einer Webseite. Der Browser lädt fremde und somit potenziell bösartige Daten aus dem Internet. Durch eine Schwachstelle im Browser oder den darin verfügbaren Plugins kann es mit entsprechend präparierten Daten ohne weiteres Zutun des Nutzers zur Ausführung von Schadcode kommen. Dabei ist zu beachten, dass auch große, bekannte Sites durch dort vorhandene Schwachstellen manipuliert worden sein können und somit ebenfalls Schadcode ausliefern können. Solche Fälle gab es in der Vergangenheit immer wieder und es wird sie auch in Zukunft weiterhin geben. Schwachstellen auf dem eigenen System sind daher selbst dann gefährlich, wenn man ausschließlich seriöse, bekannte Websites besucht.
2.1.1. Schwachstellen vermeiden
Je mehr Programmcode vorhanden ist, desto wahrscheinlicher werden auch Schwachstellen. Daher ist es sinnvoll, keine unnötigen Programme zu installieren und nicht benötigte Funktionen zu deaktivieren.
Dabei sind insbesondere die im Browser verfügbaren Plugins zu erwähnen. Obwohl die meisten Nutzer kaum mehr als den Flash-Player benötigen werden, haben sie (oft unbewusst) viele andere Plugins im Browser aktiv, die ein unnötiges Sicherheitsrisiko darstellen, da eine Schwachstelle von jeder besuchten Webseite ausgenutzt werden könnte. Schwachstellen in Plugins von Adobe Reader und Java wurden z. B. in der Vergangenheit schon sehr oft zum Einschleusen von Malware ausgenutzt, während kaum jemand diese Plugins tatsächlich benötigt.
Daher ist es ratsam, regelmäßig die im Browser nutzbaren Plugins zu prüfen und unbewusst installierte unnötige oder gar unbekannte Plugins zu deinstallieren oder zumindest zu deaktivieren. In Firefox (und SeaMonkey) ist das Prüfen und Deaktivieren sehr einfach über Extras->Add-ons->Plugins möglich. In anderen modernen Browsern kann man zumindest über den Aufruf von about:plugins in der Adressleiste die nutzbaren Plugins einsehen und dann ggf. durch Löschen der Plugins Abhilfe schaffen, sofern diese nicht getrennt von benötigten Programmen deinstallierbar sind.
2.1.2. Sicherheitsupdates zeitnah einspielen
Mit einer minimalen Softwareausstattung lässt sich zwar das Risiko minimieren, dennoch werden regelmäßig Schwachstellen bekannt. Deshalb ist - insbesondere bei Software, welche mit aus dem Internet stammenden, potentiell bösartigen Daten in Kontakt kommt (z.B. Browser samt Plugins, E-Mail-Client, ...) - unbedingt darauf zu achten, unsichere Versionen zu erkennen und von den Entwicklern bereitgestellte Sicherheitsupdates zeitnah zu installieren.
2.1.2.1. Automatisierte Überprüfung auf Schwachstellen
Während viele verbreitete Linux-Distributionen über einen Paketmanager Update-Automatiken für sämtliche installierten (Anwendungs-)Pakete bereitstellen, werden in aktuellen Windows-Versionen über die Windows-Update-Funktion nur Updates für das System selbst und einige der standardmässig installierten Microsoft-Komponenten verbreitet. Dies ändert selbstverständlich nichts an der Tatsache, dass man diese Automatik in aller Regel nutzen und keinesfalls ohne einen guten Grund deaktivieren sollte. Auch bieten einige Programme (z.B. Firefox) von Haus aus eine automatische Update-Funktion, die man üblicherweise unbedingt nutzen sollte.
Für Benutzer von Windows 2000, XP, Vista, und 7 der Sicherheitsdienstleister Secunia mit dem Personal Software Inspector ein kostenloses Programm an, mit dem sich Schwachstellen auf dem System finden lassen. Dazu werden wie bei einem Malwarescanner die Dateien auf der Festplatte auf bestimmte Signaturen geprüft, bloß dass die Software eben nicht Malware sondern unsichere Programme erkennt.
Alternativ bietet Secunia auf seiner Website auch mit dem Online Software Inspector die Möglichkeit, dein System direkt aus dem Browser heraus (über ein Java-Applet) auf bekannte Sicherheitslücken in Betriebssystem und gängiger Software zu überprüfen. Hier werden aber deutlich weniger Programme überprüft, sodass nach Möglichkeit der Personal Software Inspector genutzt werden sollte.
Hinweis: Die Java-Sicherheitsabfrage beim Aufruf des Online Software Inspector erscheint, weil das Applet ja die Dateien auf der Festplatte scannen muss. Normalerweise ist dies einem Java-Applet natürlich nicht gestattet, daher muss es um Erlaubnis fragen.
2.2.1.2. Manuelle Überprüfung auf Schwachstellen
Falls du ein vom Personal/Online Software Inspector nicht unterstütztes Betriebssystem verwendest, keine Java-Umgebung installiert hast oder dem Applet nicht vertraust, kannst du natürlich auch selbst nach unsicheren Versionen suchen. Die Versionsinformationen der Programme finden sich normalerweise im Hilfe/?-Menü (ganz rechts) unter dem Punkt Über . Ansonsten finden sich Versionsangaben unter Windows oft auch unter Systemsteuerung->Software. Einen Überblick über installierte Browser-Plugins bekommt man in Firefox/SeaMonkey/Opera, wenn man about:plugins in der Adressleiste aufruft.
Mit dem Wissen über die installierten Versionen kannst du dich nun u.a. auf den Websites der Entwicker selbst auf die Suche nach aktualisierter Software machen. Insbesondere im Bezug auf Browser pflegt aNtiCHrist seit einiger Zeit im Browser-Forum eine Liste von Browser- und Plugin-Versionen, welche bekannte Schwachstellen aufweisen und keinesfalls verwendet werden sollten.
2.2. Umgang mit fremden ausführbaren Dateien
Ebenfalls eine häufige Ursache für die Infektion mit Malware und die daraus folgende Kompromittierung des Systems ist der zu sorglose Umgang mit ausführbaren Dateien aus häufig dubiosen Quellen. Dabei kann es sich entweder offensichtlich um ausführbare Dateien handeln (Dateierweiterung z.B. exe), die einem vermeintlich anderen Zweck dienen (trojanische Pferde im engeren Sinne), oder auch um ausführbare Dateien, welche den Eindruck erwecken sollen, es handle sich um eine vermeintlich ungefährliche Daten-Datei, z.B. um ein Bild.
2.2.1. Erkennung von Malware - Einschätzung ausführbarer Dateien; Malwarescanner
Es gibt keinen allgemein gültigen Weg, jegliche Malware zuverlässig zu erkennen.
Ein Malwarescanner kann dich bei der Beurteilung, ob einer bestimmten Datei zu trauen ist, nur unterstützen, indem er verbreitete, bekannte Malware erkennt. Jedoch solltest du dir unbedingt darüber im Klaren sein, dass ein negatives Ergebnis keineswegs die Unbedenklichkeit einer bestimmten Datei garantieren kann.
Wie unabhängige Vergleiche verschiedener Scanner - etwa http://www.av-comparatives.org/ - zeigen, muss es nicht unbedingt ein kostenpflichtiger Scanner sein - auch das kostenlose Avira AntiVir Personal bietet eine gute Erkennungsrate, wenn auch bei einer verhältnismässig hohen Rate an falsch-positiven Ergebnissen.
Zudem erlauben es Dienste wie VirusTotal oder Jottis Malwarescanner, einzelne verdächtige Dateien von verschiedenen verbreiteten Malwarescannern untersuchen zu lassen, ohne diese lokal installieren zu müssen. Auch dort garantiert ein unauffälliges Ergebnis natürlich nicht die Unbedenklichkeit.
Sofern der Malwarescanner bei einer bestimmten Datei keinen offensichtlichen Fund vermeldet, ist insbesondere die Herkunft der Datei für deine Beurteilung entscheidend. Stammt sie aus einer dubiosen Quelle?
Die Praxis zeigt etwa, dass insbesondere User, welche auf wenig vertrauenswürdigen Websites nach Cracks, `Hacking`- oder Cheat-Tools suchen, oft ein leichtes Opfer für Script-Kiddies sind, die auf diesem Weg ihre Malware verteilen wollen. Insbesondere von neuen Benutzern in Boards, Warez-Sites u.ä. gepostete ausführbare Dateien sind in dieser Hinsicht höchst verdächtig. Solche dubiosen Angebote sind unbedingt zu meiden.
Bei an sich vertrauenswürdiger, frei erhältlicher Software empfiehlt sich stets der Download von der Website der Entwickler.
Es ist natürlich nicht auszuschliessen, dass eine vermeintlich vertrauenswürdige Website Opfer eines Angriffs wird und danach Malware zum Download anbietet. Sofern der Austausch der angebotenen Dateien in geschickter Weise erfolgt, ist dies kaum zu erkennen; es ist dennoch ratsam, vor der Ausführung einer heruntergeladenen Datei darauf zu achten, ob der Inhalt plausibel erscheint, etwa die Dateigrösse zum mutmasslichen Inhalt passt.
Wenn es unumgänglich ist, eine verdächtige Datei auszuführen, bietet sich ein Test in einer virtuellen Maschine an - dazu kannst du Virtualisierungslösungen wie VirtualBox oder VMWare nutzen. Beachte allerdings, dass ...
  • ... auch eine Virtualisierungslösung Schwachstellen enthalten kann, welche das Ausbrechen aus der virtuellen Umgebung erlauben. Deshalb solltest du zumindest die benutzte Virtualisierungssoftware stets aktuell halten.
  • ... Malware erkennen kann, dass sie in einer virtuellen Umgebung ausgeführt wird und sich dementsprechend zahm verhalten kann. Wenn du die Datei danach auf einem physischen System ausführst, wird der Schadcode aktiv.
  • ... die virtuelle Maschine auch kompromittiert werden kann. Nach jedem Test solltest du sie von Aussen zurück in einen definierten Zustand bringen (z.B. durch einen Wiederherstellungspunkt der Virtualisierungslösung oder durch anfertigen einer Kopie der VM vor einem Test)
2.2.2. als Daten getarnte ausführbare Dateien
Einige Malware-Verbreiter versuchen, ihre ausführbaren Dateien als an sich unbedenkliche Daten-Datei, z.B. als Bild, zu tarnen. Dazu kann einerseits eine von einem Laien nicht sofort mit einer ausführbaren Datei assoziierte Dateiendung (z.B. scr) zum Einsatz kommen, andererseits eine doppelte Erweiterung der Form jpg.exe genutzt werden.
Unbedingt zu beachten und zu verändern ist eine in dieser Hinsicht sehr bedenkliche Standardeinstellung des Windows-Explorers, die gewisse Dateierweiterungen ausblendet und dadurch die Identifikation von auf diese Weise getarnten ausführbaren Dateien unnötig erschwert. Aus diesem Grund sollte Dateinamenerweiterung bei bekannten Dateitypen ausblenden in den Ordneroptionen deaktiviert werden. Das Vorgehen unter Windows Vista ist etwa in http://windows.microsoft.com/de-DE/w...ame-extensions beschrieben.
Nicht von dieser Einstellung betroffen sind jedoch die Dateiendungen, die üblicherweise von Verknüpfungen genutzt werden - pif und lnk. Deren Erweiterungen werden erst nach einer Änderung in der Windows-Registry angezeigt. Insbesondere für pif-Dateien sollte das Anzeigen der Erweiterung unbedingt aktiviert werden, da diese direkt ausführbaren Code enthalten können.
Vorsicht ist auch bei einem Laien ggf. unbekannten Dateierweiterungen geboten, so transportieren etwa scr-Dateien (Windows-Bildschirmschoner) ebenso ausführbaren Code wie com-Dateien. Selbst Microsoft-Office-Dokumente können unter Umständen bösartige Makros enthalten.
2.2.3. Verbreitung über Wechselspeicher; AutoRun/AutoPlay
Eine weitere Verbreitungsstrategie für Malware ist die Kompromittierung von Wechselspeichern, etwa externer Festplatten oder USB-Sticks - ein prominentes Beispiel ist etwa der Conficker-Wurm, der diese Verbreitungsmöglichkeit nutzt. Mit AutoRun und AutoPlay existieren in aktuellen Windows-Versionen zwei Features, welche dazu führen können, dass auf eine auf einem Wechselspeicher abgelegte, ausführbare Datei direkt beim Anstecken (AutoRun) oder nach Auswahl eines präparierten, unauffälligen Eintrags im AutoPlay-Dialog ausgeführt wird.
Das genaue Verhalten hängt von der Windows-Version ab: Während Windows 7 ausschliesslich CDs/DVDs den AutoPlay-Dialog modifizieren lässt, erlauben ältere Windows-Versionen auch USB-Sticks und externen Festplatten die Modifikation der Einträge und führen Inhalte von CDs und DVDs mittels AutoRun ungefragt aus.
Microsoft bietet einen Patch an, welcher das sicherere AutoRun-/AutoPlay-Verhalten von Windows 7 auf Windows XP und Vista überträgt. Dieser sollte unbedingt eingespielt werden, wenn du AutoRun/AutoPlay nicht komplett deaktivieren willst.
2.3. Meidung administrativer Konten
Da sich Malware wie in den vorhergehenden Abschnitten beschrieben häufig durch das Fehlverhalten des Benutzers oder durch Schwachstellen in mit Benutzerrechten ausgeführten Anwendungsprogrammen verbreitet, sollte unter Windows - ebenso wie unter unixoiden Systemen üblich - nur dann ein Administrator-Konto genutzt werden, wenn tatsächlich administrative Tätigkeiten durchgeführt werden. Denn durch die Verwendung eines Admin-Kontos hat auch eventuell ausgeführter Schadcode sofort Vollzugriff auf das gesamte System. Nutzer von Windows 2000 und XP sollten zumindest zum Surfen ein eingeschänktes Konto nutzen, Nutzer von Windows Vista und Windows 7 die Benutzerkontensteuerung nicht ausschalten und ihre Dialoge nicht leichtfertig wegklicken.
2.4. Direkte Angriffe von Aussen
... sind in der heutigen Zeit verhältnismässig selten. Dies hat zum einen den Grund, dass seit einiger Zeit aus dem Internet direkt ausnutzbare Schwachstellen in einem standardmässig aktivierten Windows-Diensten sehr selten sind (bekannte Beispiele solcher Schwachstellen in der Vergangenheit wurden z.B. durch Würmer wie Sasser oder Blaster ausgenutzt), zum anderen erlauben die heute sehr weit verbreiteten Heim-(DSL-)Router in der Standardkonfiguration prinzipbedingt keine eingehenden Verbindungen. Grundsätzlich gilt dennoch, dass ein System keine nicht benötigten Dienste im Netzwerk anbieten sollte.
2.4.1. Für und wider Personal Firewalls
Wenn du die obigen grundlegenden Sicherheitsrichtlinien befolgst, ist entgegen den häufig zu lesenden Empfehlungen eine separat installierte Personal Firewall (auch Desktop-Firewall genannt) oder eine Internet-Security-Suite in aller Regel nicht notwendig.
Damit Unbefugte nicht von Aussen auf das System zugreifen können, reicht die Windows-Firewall oder ein handelsüblicher DSL-Router oder ein sauber konfiguriertes System, das keine nicht benötigten Dienste im Netzwerk anbietet, bereits aus.
Oft soll eine Personal Firewall auch dazu dienen, ausgehenden Netzwerkverkehr basierend auf der verursachenden Anwendung zu filtern. Da Programme allerdings untereinander kommunizieren können und dadurch z.B. Schadcode im Namen deines als vertrauenswürdig eingestuften Standard-Browsers von einer Personal Firewall unbemerkt Verbindungen nach aussen aufbauen kann, kann dieses Konzept prinzipbedingt keinen zuverlässigen Schutz bieten. Deshalb leuchtet ein, dass es weit sinnvoller ist, durch oben genannte Sicherheitsmassnahmen eine Infektion zu verhindern, als mit höchst ungewissem Ausgang gegen eventuelle Symptome zu kämpfen. Wenn dein System dennoch kompromittiert wird, musst du unabhängig von einer eventuell installierten Personal Firewall davon ausgehen, dass sämtliche Daten dem Angreifer in die Hände gelangt sind (mehr dazu im nächsten Kapitel). Eine interessante Diskussion zu diesem Thema findest du auch im Thread http://board.gulli.com/thread/708783-sinn-und-unsinn-von-desktop-personal-firewalls/.
2.5. Backup-Strategien; Disaster Recovery
Selbst das beste Sicherheitskonzept kann nicht garantieren, dass dein System nicht kompromittiert wird, sondern nur das Risiko minimieren. Deshalb ist es ratsam, sich bereits im Voraus darüber Gedanken zu machen, wie du im Falle einer Kompromittierung reagieren willst (vgl. nächstes Kapitel) - insbesondere solltest du regelmässige Datensicherungen anlegen, um eventuellem Datenverlust vorzubeugen. Auch eine Komplettsicherung deines fertig konfigurierten Systems ist ratsam - sie erspart dir ein langwieriges manuelles Neuaufsetzen. Dazu bietet sich etwa Acronis' TrueImage oder jede andere Backup-Lösung, welche inkrementelle Backups anlegen kann, an.
Zu beachten ist, dass die Datensicherung auf einem Medium abgelegt werden sollte, das nicht ständig mit deinem System in Kontakt ist, da, sofern dein System kompromittiert wird, jeglicher Kontakt mit einer bestehenden Datensicherung dazu führt, dass diese auch als potentiell kompromittiert angesehen werden muss - eine externe Festplatte, welche nur zum Anlegen von Datensicherungen an den Rechner angeschlossen wird, eignet sich gut.
Zudem solltest du bereits jetzt das nächste Kapitel durchlesen und im Falle einer Kompromittierung benötigte Werkzeuge, insbesondere eine Live-CD/DVD (z.B. Knoppix) zum zeitnahen Ändern deiner Zugangsdaten und zum Retten privater Daten bereits jetzt anfertigen, sofern du dir nicht sicher bist, diese im Bedarfsfall (z.B. mit einem Zweitrechner) schnell herstellen zu können.

No comments: