Windows - Sicherheit

Aus AdminWiki

Dies ist ein Artikel zum Thema Internetsicherheit für Windows-User. Weil es im Forum fast täglich Anfragen gibt, was zu tun ist, sobald sich der Rechner diverse Malware eingefangen hat, wurde hier das wichtigste zusammengeschrieben.

Inhaltsverzeichnis 1 Sicherheitsmaßnahmen vor der Infektion 1.1 Grundsätzliches 1.2 Schlecht: "Personal Firewalls" 1.3 Besser: Dienste abschalten 1.4 Noch besser: NAT-Router 1.5 Unsichere Software 1.6 Sicherheitsupdates 1.7 Virenscanner, Teil 1 2 Maßnahmen nach der Infektion 2.1 Virenscanner, Teil 2 2.2 Der richtige Weg 3 Sicher im Wireless LAN 3.1 Verschlüsselung? 3.2 Welche Verschlüsselung passt zu mir? 3.2.1 WEP 3.2.2 WPA 3.3 Diverse Tipps 4 Links 4.1 Browser 4.2 Mail Clients 4.3 Virenscanner 4.4 Spyware Scanner 4.5 Seminare des CCC zum Thema Sicherheit 4.6 Sicherheitsrelevante Webseiten 4.7 Diverse

Sicherheitsmaßnahmen vor der Infektion

Dieser Abschnitt behandelt Vorbeugungsmaßnahmen, wie man eine Kompromittierung des Systems verhindern kann. Er ist lang, aber der wichtigere Teil des Artikels.

Grundsätzliches

Die wichtigste Gegenmaßnahme ist, nicht zuzulassen, dass sich solche Programme einnisten können. Das bedeutet, man darf keine Software ausführen, von denen man nicht mindestens demjenigen vertraut, von dem man sie hat, und demjenigen, der ihr Urheber ist.

Schlecht: "Personal Firewalls"

Malware, die sich unaufgefordert einnistet, ist eine andere Sache, da man ja scheinbar keinerlei Möglichkeit hat, ihre Einnistung zu verhindern. Die übliche Vorgehensweise ist hier die Installation einer sog. "Personal Firewall". Diese ist grundsätzlich absolut falsch. Eine "Personal Firewall" kann nur eine Sache zuverlässig, nämlich den Zugang auf laufende Dienste von außen zu verhindern. Alle anderen angepriesenen Features erfüllt eine "Personal Firewall" entweder nicht, oder nicht zuverlässig.

Insbesondere können sie nicht zuverlässig verhindern, dass Kommunikation vom Rechner selbst nach außen, also bspw. ins Internet gelangt. Dies liegt an einem grundsätzlichen Fehler im Design dieser Programme. Sie Filtern ausgehenden Verkehr nach einer Liste "lieber" und "böser" Programme und unterbinden Verkehr von Programmen, die in der Liste als "böses" Programm stehen. Das klingt sinnvoll, ist aber in Wahrheit nicht zuverlässig machbar.

Ein sehr schönes Feature von Windows, mit der laufende Prozesse miteinander kommunizieren können, sind sog. Nachrichten (nicht mit dem Windows-Nachrichtendienst verwechseln, den du im nächsten Schritt abschalten wirst). Ein Prozess mit ausreichenden Rechten, kann jedem anderen Prozess beliebige Nachrichten schicken. Dies ist ein praktisches Feature, beispielsweise ist das die Methode, mit der ein MP3-Player an einen IRC-Client übermittelt, welches Lied gerade läuft, damit der Benutzer dies im IRC kundtun kann. Problematisch hieran ist, dass Schadsoftware auch Nachrichten an durch die "Personal Firewall" zugelassene Programme schicken kann. Ein guter Tip für ein solches Programm ist der Microsoft Internet Explorer, den du bald nie wieder verwenden wirst. Diesem kann man, wie jedem anderen Browser (keiner ist in dieser Hinsicht sicher), die Nachricht schicken, er möge eine Verbindung nach draußen vornehmen. Diese Verbindung kann von der "Personal Firewall" nicht unterbrochen werden, da das Programm, das die Verbindung aufbauen will, ja für die "Personal Firewall" ein "liebes" Programm ist, das Verbindungen aufbauen darf.

Ein wesentlich einfacheres Beispiel wäre, dass die Schadsoftware an die "Personal Firewall", die den Benutzer darauf hinweist, dass ein Programm nach außen kommunizieren will, die Nachricht sendet, der Benutzer habe auf "OK" geklickt. Damit ist die Schadsoftware von nun an auf der Liste der "lieben" Programme.

Darüberhinaus baut eine "Personal Firewall" weitere Sicherheitsrisiken in das System ein. Wunderschöne Beispiele, wie man jemandem das Leben schwer machen kann, weil er eine "Personal Firewall" installiert hat, kann man in einem Vortrag des CCC sehen:

Besser: Dienste abschalten

Wenn man möchte, dass Dienste von außen nicht erreichbar sein sollen, wie z.B. der verwundbare Dienst, über den sich der bekannte Virus Sasser installiert, sollte diese abschalten. Dann benötigt man keine "Personal Firewall" mehr, denn wenn ein Dienst nicht erreichbar sein soll, sollte man ihn abschalten, wenn doch, kann die "Personal Firewall" da auch nichts machen. Ein Programm, dass unbewusst laufende Dienste abschaltet, gibt es auf dingens.org

Noch besser: NAT-Router

Ein NAT-Router ist ein Gerät, das zwischen die Computer, die ins Internet verbinden möchten, und die Internetverbindung geschaltet wird. Er verwaltet jeden Verkehr, der zwischen dem Internet und den angeschlossenen Computern stattfindet, und man kann ihm sagen, auf welche Dienste man Zugriff erlauben möchte. Standardmäßig ist idR. kein Dienst zugelassen.

Unsichere Software

Jetzt, wo kein Angriff von außen mehr möglich ist, bleibt die Gefahr, dass ein Programm von innen unerwünscht nach außen kommuniziert. Diese Gefahr kann man umgehen, indem man die ersten beiden Tips beherzigt (Nicht vertrauenswürdige Software nicht einsetzen; Dienste abschalten). Dann kann sich keine Software mehr unerkannt installieren und mangels Existenz auch nicht nach außen kommunizieren.

Man sollte allerdings ebenfalls darauf achten, keine Software einzusetzen, die bekanntlich unsicher ist. Solche software ist insbesondere der leider immer noch viel zu häufig eingesetzte Microsoft Internet Explorer. Es gibt heutzutage keinen Grund mehr, diesen einzusetzen. Von seiner Unsicherheit abgesehen stellt er nicht einmal annähernd die Features zur Verfügung, die aktuelle Browser bieten. Empfehlenswerte Browser findet man in den Weblinks.

Auch Outlook express sollte man nicht einsetzen, weil es Teile des unsicheren Internet Explorers benutzt und deshalb ebenso unsicher ist. Hier sollte auf alternative Mailclients gewechselt werden. Beispiele findet man in den Weblinks.

Darüberhinaus bieten viele häufig eingesetze Programme Angriffsmöglichkeiten, bei denen man es auf den ersten Blick nicht vermutet. Der beliebte Mediaplayer Winamp kann beispielsweise dazu überredet werden, Schaden am System zu verursachen. Deshalb ist es anzuraten, regelmäßig entsprechende Seiten, die über Sicherheitsrisiken informieren, wie u.A. Heise Security, zu lesen.

Sicherheitsupdates

Es ist sehr empfehlenswert, das Angebot von Windows XP, sicherheitsupdates von Microsoft automatisch zu beziehen, anzunehmen. Auch wenn unsichere Dienste jetzt abgeschaltet sind, bietet eine Standardinstallation von Windows weitere Angriffsmöglichkeiten, die nicht von unsicheren Diensten herrühren. Diese liegen in Sicherheitslücken standardmäßig laufender Software, wie beispielsweise dem Windows Taskplaner. Über sie ist es, teilweise mit Hilfe des Benutzers, -- sog. social-engineering attacks (zu Deutsch: Verarsche) -- teilweise ohne, möglich, Schaden am System anzurichten.

Leider hat sich Microsoft entschlossen, wichtige Updates nicht mehr herauszugeben, sobald die Sicherheitslücken entdeckt sind, sondern erst einen Monat später. Das ist bedauerlich, aber so sind diese Lücken, falls Microsoft sie für entfernenswert hält, immerhin nach einem Monat entfernt.

Virenscanner, Teil 1

Es ist sinnvoll -- allerdings nicht die ultimative Lösung -- einen Virenscanner einzusetzen, der vor dem Ausführen einer Datei prüft, ob diese möglicherweise ein Virus ist. Sobald dieses Programm gestartet wurde und sich herausstellt, dass sie einen Virus enthielt, ist der Virenscanner nutzlos geworden (Siehe unten).

Deshalb ist es notwendig, falls ein Virenscanner ein Programm, das zuvor noch nicht gestartet wurde, als Virus erkennt, diese zu löschen, und denjenigen, von dem man das Programm hat, darüber ggf. zu informieren, falls man sicher ist, dass dieser den Virus nicht absichtlich in Umlauf gebracht hat. Eine unschädliche Datei, die von jedem Virenscanner erkannt werden sollte findet sich in den Weblinks. Mit ihr kann überprüft werden, ob der eingesetzte Virenscanner ordnungsgemäß funktioniert.

Es ist allerdings auch nicht blind davon auszugehen, dass eine Datei, die von einem Virenscanner für gut befunden wurde, virenfrei ist. Dass der Scanner nichts gefunden hat, heißt nichts anderes, dass er nicht weiß, ob die Datei einen Virus enthält oder nicht. Wenn man seinen Schlüssel verloren hat, und ihn nicht findet, heißt das auch nicht, er habe sich in Luft aufgelöst.

Möchte man einen Virenscanner einsetzen, so sollte man ihn von einem System, von dem man sicher ist, dass es sauber ist, auf eine CD brennen, die bootfähig ist, und mit dieser CD auf dem möglicherweise verseuchten Rechner booten. Nur so ist gewährleistet, dass der Virenscanner nicht verarscht wird, da der Virus nicht läuft, und so auch nicht verarschen kann.

Sollte der Virenscanner dann keinen Befall melden, heißt das aber leider auch bei dieser Vorgehensweise immer noch nicht, dass man auch Virenfrei ist. Es ist möglich, dass der Virus nicht in der Datenbank des Scanners vorhanden ist, oder sich anderweitig versteckt. Diese Vorgehensweise ist nur eine Möglichkeit, sicher zu gehen, befallen zu sein; mit ihr kann man nicht sicherstellen, nicht befallen zu sein.

Maßnahmen nach der Infektion

Dieser Abschnitt ist wesentlich kürzer, dafür auf den Punkt.

Virenscanner, Teil 2

Falls man bereits einen Virus hat, weil man diese Tips nicht beherzigt hat, hat ein Virenscanner keine Chance mehr, zu helfen. Denn ein Virus ist wie der Virenscanner ein Programm, das auf dem betreffenden Rechner läuft. Er kann das System beliebig manipulieren und täuschen. Beispielsweise kann er behaupten er sei nicht da, behaupten er wäre gesäubert worden, behaupten, wichtige Systemdateien seien infiziert, und so weiter und so fort. Auf die letzte genannte Art, kann der Virenscanner sogar dazu ausgenutzt werden, Schaden am System zu verursachen.

Darüberhinaus muss man sich im klaren sein, dass der Virus auf irgend eine Weise ins System gelangt ist. Wenn ein Virenscanner die erkannten Viren tatsächlich entfernt hat, und keine weiteren mehr findet, heißt das nicht, dass nicht weitere Viren oder ähnliche Schadsoftware auf dem selben Weg ins System gelangt ist. Das heißt leider auch, dass sobald einmal ein Virenscanner einen Virus entdeckt hat, der bereits Schaden verursachen konnte, das System nicht wieder zuverlässig gerettet werden kann.

Der richtige Weg

Die o.g. Behauptung ist nicht aus der Luft gegriffen, sondern auch die Überzeugung der Firma Microsoft, wie man auf ihrer Webseite nachlesen kann:

Dort steht auch die einzig zuverlässige Methode, das System sauber zu bekommen, wenn es einmal infiziert ist.

The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications).

Das lässt den Teil zur Vorbeugung nicht ganz so schlimm aussehen, oder?

Sicher im Wireless LAN

Verschlüsselung?

Wenn ich mitten in der Stadt sitze, schalte ich immer mal wieder meine WLAN-Karte ein um gemütlich zu surfen. Auch zuhause lässt sich über WLAN schnell mal die Ausfallzeit des ISP's überbrücken oder der grosse Download welchen man nicht über die eigenen Leitung ziehen will herunterladen. Was ich dazu benutze und wie ich in fremde WLAN Stationen einbrechen kann willst du wissen? Dazu gehört heutzutage weder ein spezielles Tool, noch brauche ich dazu ein gehacktes passwort, sondern lediglich ein User welcher zu faul oder zu unerfahren ist sein WLAN abzusichern. Ein nicht verschlüsseltes WLAN wird im Fachjargon "offenes WLAN" genannt, ein sehr treffender Ausdruck. Denn wenn keinerlei Verschlüsselung da ist kann auch jeder damit tun was er will. Noch schlimmer, meistens sind auch die Passwörter der Accesspoints noch nicht geändert und ein versierter "Einbrecher" kann so schnell mal die Internetleitung kappen oder für eigene Zwecke komplett umstellen. Wie kann man das verhindern? Ganz einfach.. weiterlesen.

Welche Verschlüsselung passt zu mir?

Die Wahl der verschlüsselungsart fällt eigentlich sehr leicht. Wenn immer möglich, dann ist WPA-PSK mit einem mindestens 7 Zeichen langen Passwort zu benutzen. Doch da greife ich wahrscheinlich etwas zu weit vor also das Ganze nochmal langsam.

WEP

Die älteste und damit auch mit den meisten Geräten kompatible WLAN-Verschlüsselung. Die kompatibilität ist aber auch schon der einzige Vorteil dieser Methode. Da sie sehr alt ist, kann sie mit entsprechenden Tools auch sehr schnell geknackt werden. Auch ist der Key-Exchange, also der austausch der Schlüssel fürs WLAN, sehr aufwendig da es sich um lange Zeichenketten handelt. -> Verwenden falls ein Gerät kein WPA beherrscht

WPA

WPA ist die Weiterentwicklung von WEP. Bei WPA wird der verwendete Schlüssel dauernd ausgetauscht, weshalb ein Angriff auf ein solches Netzwerk faktisch bislang unmöglich ist. Bei WPA gibt es zwei Methoden. Die erste WPA verwendet ebenso wie WEP eine Zeichenkette. Die zweite von mir empfohlene Variante wird WPA-PSK genannt. PSK steht hier für Pre-Shared key, also einen zuvor ausgetauschten Schlüssel. Dieser ist hier zum Glück ein beliebig auswählbares Passwort und keine ellenlange Zeichenkette. Desweiteren gibt es hier noch die Moi AES und TKIP. Hier reicht TKIP völlig aus. Einstellungen: Modus: WPA-PSK Art: TKIP Key: Test123 (mindestens 7 Zeichen, gemischt klein und gross zusätzlich Zahlen!) -> Falls möglich verwenden!

Diverse Tipps

- Das Passwort des Accesspoints sollte unbedingt geändert werden! - Falls der WLAN-Adapter kein WPA unterstützt, ein Treiberupdate bringt manchmal Unterstützung für WPA!

Links

Browser

• Mozilla Firefox
• Opera

Mail Clients

• Thunderbird

Virenscanner

• AVAST
• Antivir
• Trend Housecall
• Kapersky
• Virenscanner Testdatei

Spyware Scanner

• Microsoft Windows Defender
• Ad-Aware
• CWShredder

Bei Diesen Scannern und den Virenscannern sind die Benutztungsratschläge im Haupttext zu beachten!

Seminare des CCC zum Thema Sicherheit

• "Personal Firewalls"
• Sicherheit unter Windows

Sicherheitsrelevante Webseiten

• Heise Security
• Heise Antivirus
• Heise Browsercheck
• Heise Netzwerkcheck

Diverse

• Unsichere Dienste abschalten
• Der Rat von Microsoft
• IT-Grundschutzhandbuch des BSI