Meldungen zur IT-Sicherheit

Böse E-Mails

Grüß Gott zusammen,

wir erhalten gerade in unserer Behörde unfreundliche E-Mails. Hier die Warnung des zentralen Dienstes in NRW dazu:

-------------------------------------------------------------------------------------------------------------------
[h=4]Aktuelle Warnunug vor E-Mail-Phishing[/h]Sehr geehrte Damen und Herren,

im Moment werden E-Mails mit bekannten E-Mailadressen aus verschiedenen
Behörden verschickt. Das Absenderfeld zeigt einen Kontakt aus dem Adressbuch
an, doch bei genauem Hinsehen ist jedoch eine andere E-Mailadresse
hinterlegt.
Innerhalb der E-Mail ist ein Link enthalten, mit dem eine Worddatei
heruntergeladen werden kann. Diese Datei enthält ein Makro, dessen Wirkung
vom CERT als eindeutig bösartig klassifiziert wurde.

Wurde eine Datei nach dem anklicken heruntergeladen und diese geöffnet, so
ist der entsprechende Rechner sofort vom Netz zu trennen und neu zu
installieren.
In diesem Fall sollte der zuständige IT-Sicherheitsverantwortliche
informiert werden.

Falls Sie eine solche E-Mail erhalten, schicken Sie diese bitte als Anlage
direkt an spam@xxxxx.nrw.de

Mit freundlichen Grüßen
Ihr CERT NRW

Meldung erstellt am: Mo, 26 Jun 2017 12:01:39 CEST
------------------------------------------------------------------------------------------------

Waidmannsheil
zero-error

Zitat von Nice;304244

Zum Browser:
Leider ist der nicht nur mit aktiviertem Java-Script identifizierbar, sondern u. a. auch durch Canvas-Fingerprinting und wie Du auch schon gepostet hattest durch die individuelle Konfiguration...da gibt´s viele Lecks.
Man kann natürlich versuchem möglichst viele Lecks abzudichten und den ganzen Spaß dann über Seiten wie ipleak.net oder ipleak.com validieren, aber wie gesagt: MMn hat man kaum eine Chance, wenn man wirklich direkt auf "der Liste" steht.
Da hilft auch Tails und ähnliches nicht zu 100%

Aufpeppen lässt sich das ganze mit ein paar Add-Ons und "Verhaltensweisen":
Adblocker nach Wahl:[INDENT] Seinen Lieblings-blog kann man natürlich davon ausnehmen, damit der weiter Werbeeinnahmen hat. Aber mal ehrlich, Werbung braucht man nicht und setzt einem auch ganz gerne mal Cookies, etc
[/INDENT]
NoScript:[INDENT] Cross Site Scripting und "Verfolgung" durch Fratzenbuch und Co sind nciht möglich, wenn WerbeFrames und Like-Buttons nicht angezeigt werden. Einfach gesagt: Man gibt selbst an, welche "Teile" einer Seite geladen werden dürfen.
[/INDENT]
HTTPSEveryWhere :[INDENT] Sorgt dafür, das immer das HTTPS: Pendant einer Seite geladen wird, auch, wenn man selbst nicht darauf achtet. Wieso HTTPS ? Bei HTTPS werden die Daten zwischen Server und eurem Gerät vershclüsselt, Angriffe durch Hacker mit DNS-SNiffern usw sind nicht mehr möglich, DNS-Spoofing ist erschwert,.... Unabhängig davon wird es auch für euren Provider schwerer mitzulesen, WAS ihr macht. WELCHE Seiten ihr besucht, da könnt ihr euren Provider nur durch zB VPNs , Proxies, Tor, etc blenden.
[/INDENT]
User Agent Switcher nach Wahl :[INDENT] Jedes mal wenn ihr eine Seite besucht, sagt euer Gerät der Seite, was es ist. Ist natürlich komfortabel, da die Seiteninhalte angepasst werden und euch entsprechende Werbung angezeigt wird. Teils werden auch Preise angepasst (zB geben ja MAC-User potentiell mehr Geld aus...). Der USer Agent Switcher "fälscht" diese Informatonen.
[/INDENT]
CSS Style changer nach Wahl :
[INDENT]Einmal könnt ihr damit eure Lieblingsseiten individuell anpassen, bei mir ist zB der Hintergrund dieses Forums auf schwarz geschaltet, zum anderen fallen ein, zwei Optionen zum Fingerprinting durch HTML% Canvas weg.[/INDENT]
Browserfenster nicht maximieren : [INDENT]Die Seite kann eure Bildschirmgröße nicht unbedingt feststellen. Diese ist auch ein Teil des Fingerprintings.
[/INDENT]

Zu VPNs und Proxies wurde schon genug gesagt. Interessant sind hier vor allem die, die direkt im Browser aktiviert werden können und nur den Browserverkehr tunneln. Dadurch laufen Musikstreamingdienste und Kommunikationsmedien immer noch verzögerungsfrei und der -meist auf ein gewisses Limit begrenzte - Traffic wird nicht so schnell verbraucht.

[HR][/HR]
Betreffend "Meldungen zur IT-Sicherheit":
Neben Cryptotrojanern (jüngstes Beispiel Petya) sind auch Wiper im Umlauf, die vorgaukeln Cryptotrojaner zu sein (notPetya als jüngstes Beispiel).Tschernobyl wurde wohl auch infizert und die dortigen Arbeiter müssen die Radioaktivitäts-Messungen jetzt manuell vornehmen, da die entsprechenden automatischen Anlagen ausgefallen sind.
Sollte euch so etwas treffen und ihr bekommt es irgendwie mit ( Rechner friert ein, komische Prozesse im Taskmanager,..) hilt es, den Rechner direkt vom Netzwerk zu trennen und auszuschalten um eventuell noch Daten retten zu können. Der Spruch "Kein Backup - kein Mitleid" gilt natürlich auch hier ;-).
Zudem gibt es die Möglichkeit, seinen Rechner gegen die Infektion durch bestimmte auf Petya basierende, Cryptotrojaner zu"impfen". Dabei werden bestimmte Dateien angelegt, die quasi "den Killswitch des Trojaners treffen". Stichwort für die Suchmaschine der Wahl : "petya vaccine" .

Revedere Romal

Zitat von lord_helmchen;308206

Könntest du das näher erläutern?

Beim Schreiben von Schadprogrammenwird oft etwas eingebaut, das eine Ausführung auf den "eigenen" Maschinen verhindert. Im Falle von Petya und darauf aufbauenden Varianten schaut das Programm nach, ob Dateien namens "perfc.dat" und "perfc.dll" im "nur lesen"-Modus im Windows-Ordner existiert. Ist dies der Fall, bricht der Trojaner die Auaführung ab. ZB. hier (Heise.de) findet man hierzu ein Batchskript, welches diese Dateien anlegt und in den "read-only"-Modus setzt.
Bei anderen Trojanern gibt es teils auch "Killswitches", die auch die Verbreitung des Trojaners aufhalten können, jüngstes Beispiel ist WannaCry, genauer nachzulesen hier (Heise.de).

Revedere Romal

Eine Interessante Sichtweise zu Antiviren-Programmen. (Link ist tendenziell technisch und eher für IT-affine Personen geschrieben. )
https://blog.fefe.de/?ts=a6015c0e
Wer den Blog nicht kennt, Fefe hat immer wieder mal interessante Beiträge.
hier der Wikipedia-Eintrag über Ihn:
https://de.wikipedia.org/wiki/Felix_von_Leitner

In der Tat ist das ein Problem. Genug Anti-Virus Programme sind voller "Fehler". Da die Scanner mit Systemrechten laufen sind sie sowieso ein attraktives Ziel, gegenüber der Applikation, die nur mit User-Rechten läuft. Das ganze Thema ist eine Krux. Nutzt man ein Anti-Viren Kit und schützt sich oder nutzt man z.B. nur die Windows-Bordmittel oder nutzt man gar nichts - je nach Benutzerverhalten macht das einen großen Unterschied oder nicht.

Viele Infektionen, die ich so gesehen habe, hatten ihren Ursprung im Benutzer, der auf irgendwas draufklickte,... mhnm komisches Zeug dachte er noch ggf. wenn überhaupt und schon war das Ereignis vergessen. Zum Beispiel eine exe-Datei mit PDF Symbol, die 4MB groß ist und nach dem Klicken sich selbst löscht. Die wird dann auch noch dreimal heruntergeladen,... oder das typischen Anklicken jedes Inhalts aus Mails.

"Oh, mein Apple-Konto, dass ich gar nicht habe, muss aktualisiert werden, da folge ich gleich dem Link und gebe mal schnell irgendwas in das Formularfeld ein, wie an besten mein überallgenutztes Standardpasswort. Jetzt noch schnell das Aktualisierungsprogramm herunterladen und mit Adminrechten ausführen. Steht doch da. Aber ich habe doch gar kein Apple-Konto. Naja, egal." Was ich teils nur noch mit Humor nehmen kann, wurde von Unternehmen in Unternehmen oft praktisch getestet und die Quote der Leute, die solchen Mails am Arbeitsplatz folgen ist riesig - trotz Aufklärungsversuche.

Vor sowas schützen oft gut die AV-Tools, die meist die gängige Malware erkennt. Alles was richtig neu ist, erkennt sie nicht. Vielleicht später, wenn die Malware keine Tarneigenschaften mitbringt, die das AV-Programm aushebelt. Falls natürlich der Angriff erfolgreich war. Sowieso werden professionelle Infektionen oft mittels In-Memory-Trojanern vollführt, die bis zum Neustart da sind und dann weg. Das hat den Vorteil das die Entdeckung unwahrscheinlich wird, die Analyse damit auch und man unerkannter agieren kann. Mit so Angriffen werden die wichtigen Informationen beschafft, um später dann richtig Hand anlegen zu können. Die kommen über sauber gestrickte Browser-Exploits reingewatschelt oder tatsächlich durch den Angriff eines AV-Programms, dass das selbst den Code ausführt. Das sind keine Massenangriffe, sondern sehr gezielte gut geplante Aktionen, die normale User zu Hause in der Regel nicht treffen.

Der typische 0815 Benutzer ist von Browserangriffen, oft nicht davon betroffen, unter der Voraussetzung, dass keine uralte Java-Version und Flash auf seinem Browser läuft und der auch einigermaßen aktuell ist. Auch die Browserhersteller haben nachgelegt und die Browser sind deutlich sicherer geworden. Dazu weiter auch die Betriebssysteme.

Was fefe anspricht ist gar nicht so weit hergeholt und durchaus eine Diskussion wert. Sein PDF Beispiel fand ich gut. Durch den Transfer der PDF Datei wird das System schon infiziert und das ohne Systemrechte aufwendig aufgehebelt werden müssen. Wäre der fehlerhafte PDF Parser gar nicht da, würde das Dokument nur erstmal auf der Platte rumliegen. Aufgerufen durch einen zb. anfälligen Reader infiziert das dann auch das System, aber mit den Rechter der PDF Applikation, also mit den niedrigen Userrechten. Der Trojaner hat viel weniger Möglichkeiten sich tiefer einzunisten, ist erkennbarer und kann selbst keine höheren Aktionen administrativ vornehmen, ohne sich durch andere Tricks höhere Rechte zu erschleichen. Das macht die Entwicklung von dem aufwendiger. Ein weiterer Aspekt, der auch im Raum steht, die PDF Reader werden oft schneller gepatcht, als die allumfassenden Universal-Parser, die unheimlich viele Dateistrukturen kennen und analysieren. Mehr Programmcode, weniger Übersicht und größere Fehleranfälligkeit. Und viele Entwickler, die rotieren und Code der lange umherschleppt wird, ohne dass einer drüberguckt....

Ob man AV-Programme gleich als Schlagenöl bezeichnet, geht vielleicht etwas weit, tritt aber durchaus durch die Bezeichnung eine wichtige Diskussion in Gang, die bisher keiner führen will. Nämlich dass ein fehlerhaftes AV-Programm gefährlicher ist, als gar keins. Und wie man die Codegüte in den AV-Produkten sicherstellen will - auch die Entwickler arbeiten unter Zeitdruck. Auch eine gute Frage.

Eine kleine Anekdote von mir. Ein AV-Programm, ungenannt welches, hatte bei mir einen unangenehmen Fehler. Es setzte alle Firewallfunktionen außer Funktionen und gaukelte mir Schutz vor, der in keinster Weise vorlag. Zum Beispiel, dass in WLANs die Windows-Freigaben gesperrt werden etc. pp. Der Fehler war ne ganze Weile da und wurde still und heimlich irgendwann vom Hersteller gepatcht, ohne großes Zutun oder Kommentierung. Die AV-Programme werden sooft gepatcht, man weiß gar nicht, welche Fehler mit jedem Zwischenschritt mal ne Weile ins System reinkommen und mal wieder verschwinden. Manchmal hängt dann halt das System mit dem nackten Arsch im öffentlichen WLAN und behauptet, alles firewalled. Passiert. Da sind dann regelmäßige Updates nützlich und die Vergabe von Kennwörtern für die Freigabe und die Limitierung der Freigaben auf das nötigste, wenn überhaupt.

Meine Erfahrung ist auch, dass manche Hersteller deutlich bessere Qualität liefern, als andere.

Gruß SBB

Ja, man hört immer mal wieder von so was. Stelle man sich vor, es trifft mal einen Windows Update Server? Oder ein Knoten wird mit einem Infection-Proxy beglückt und liefert fein fröhlich signierte Updates aus. Dazu, welch Wunder, bei genug Software findet keine SSL Zertifikatsprüfung statt. Da kann man z.B. den Maustreiber eine neue Version vorgaukeln und er lädt das Setup völlig frei herunter und fragt den User nach einer Installation. Leider sind genug Einfallstore da, dass es nun Avast erwischt hat, sehr schade.

Wo ich allerdings etwas staune.... wieso nur die 32-Bit Version?! Lag es an diversen Windows-Schutzfunktionen oder wollte man ein gewissen Kundenkreis infizieren? 32-Bit OSes sind ja in der Regel gerade nicht bei den Unternehmen vertreten. Die rotieren ihre Rechner und verteilen meist Windows 7 Enterprise in der 64 Bit Version oder halt Windows 10 entsprecht. Auf jeden Fall hat man damit eine riesige Armee von Zombies gehabt. Und wer weiß, was alles nachgeladen wurde. Vor allem kann das auch sehr individuell sein. zb. Mitglied einer Domäne, Modul B, nur ein User, Modul A etc. Auf jeden Fall ist es etwas wunderlich. Vielleicht auch nur ein groß angelegter Test, um praktische Erfahrung zu sammeln. Immerhin wurde das nur zufällig entdeckt.

Google hatte auch Apps aus dem Store entfernt, die mit Malware versetzt war. Bei Mobiltelefonen hat man leider aufgrund der Updateintensität kaum eine Chance wirklich eine Analyse der Pakete zu machen. Das läuft automatisch und ist auch fehleranfällig.

Auf jeden Fall danke für den Hinweis hier.

Gruß SBB

Die öffentliche Verwaltung läuft auf einem Windows 7 Enterprise mit 64 Bit oder besser. Niemand mit Verstand benutzt noch XP, auch Behörden sind schlau genug, die Maschinen zu verschrotten. Office 365 ist verpönt, weil es cloudbasierend ist. Da werden ganz normale Volumenlizensen ausgerollt. Meist Office 2010. Und alle 5 Jahre werden die Rechner erneuert.

Neee, für mich kein plausibler Grund, die Malware im 32 Bit Setup zu platzieren.

meint der IT-sicherheitsaffine SBB

Vielleicht war die Maleware gerade für 32 bit geschrieben und die "Hacker" hatten keine Lust/Ahnung auf 64 bit umzuschreiben :Cool: Die müssen ja auch auf Kosten und so schauen. Vlt. ist die 32bit auch im Verhältnis verbreiteter.

Ich kann es nur für Österreich beantworten: Da haben die Ministerien über die BBG (BundesBeschaffungsGesellschaft) ziemlich gute Preise was Windows Volume Modelle betrifft und setzen daher immer etwas relativ Frisches ein. Windows 7 (x64) mit Office 2010 (x86) ist quasi der Mindeststandard, vielerorts wird bereits auf Windows 10 mit Office 2016 upgegradet.

Auf Landes und Gemeindeebene schaut es da schon anders aus. Je kleiner die Verwaltungseinheit um so bunter ist der Softwarepark, Wie halt auch in der Privatwirtschaft. Erst ab einer gewissen Größe werden die IT Überlegungen systematisch betrieben und als eigene Dienststelle geführt. Der kleine Bäcker und der kleine Bürgermeister kaufen ihre IT bei MediaMarkt und Aldi ... Was jetzt nicht zwingend schlecht ist, aber auf alle Fälle unstrukturiert.

Ein kleiner Einwurf meinerseits:

Ja, viele Systeme liefen sehr lange auf veralteten Betriebssystemen, was aber daran liegt, dass die Entwicklung neuer Software immens teuer ist.
Auf die Lizenzkosten sch*** sie idR.
Bei uns das Finanzamt z.B. bekam letztes Jahr eine neue Software. Die Umstellung verlief nicht gerade reibungslos (meine Tochter existierte ohne Eltern und ich ohne Kind)
Wurde schnell aufgelöst, kann aber halt mal passieren.
Auch läuft der Support derartiger Systeme aus (nicht der von Microsoft, der von den Systemhäusern) und niemand will sich mehr mit den Altlasten beschäftigen, oder gar Gewähr geben, dass nichts passieren sollte.

Was niemals passieren wird: es wird niemals die neueste Software eingesetzt. Niemals das neueste Betriebssystem.
Der Grund dafür ist naheliegend: unausgegorene Software. Erst bewähren lassen, dann ausrollen.
Aus diesem Gesichtspunkt: Ja, es wird natürlich nur veraltete Software eingesetzt. Alles Andere wäre grob fahrlässig und einen Tod muss man schlussendlich sterben.

Ein Beispiel, was mir kürzlich unterkam:
Ich besuchte einen Lehrgang und sprach dort mit einem jungen Mann, der im Öffentlichen angestellt war. Er besuchte bereits seine 10. Schulung mit dem Kommentar: ist doch egal was das kostet.

Vergesst niemals, XP war mal neu und sicher. Bis man die Probleme erkannt hat. Jetzt will es niemand mehr einsetzen.

[COLOR="silver"]- - - AKTUALISIERT - - -[/COLOR]

Zitat von wit4r7;311125

Vielleicht war die Maleware gerade für 32 bit geschrieben und die "Hacker" hatten keine Lust/Ahnung auf 64 bit umzuschreiben :Cool: Die müssen ja auch auf Kosten und so schauen. Vlt. ist die 32bit auch im Verhältnis verbreiteter.

32bit läuft auf 64bit Betriebssystemen, andersherum ist es nicht möglich.
Ich würde es auch so machen.

Zitat von lord_helmchen;318245

So, jetzt gehen wir alle in den Knast:

Da hat es noch Platz?

Man stelle sich vor, aufgrund dieser Tatsache wird von allen Providern WhatsApp geblockt, da die Regierung den Betrieb des Dienstes in Deutschland untersagt.