Kategorie: IT-Sicherheit

Veröffentlicht am von

Dear Mr. Scammer Exp0_77

Der Quelltext des Mailheaders
Bild: Der Quelltext des Mailheaders

… I am sorry to say it that clear, but it seems you are a dumb moron!

Why? Look at the mail header to the left, you may find the answer yourself.

Nanu. Was ist denn das jetzt wieder?

Es ist wieder an Zeit etwas Aufklärung zu betreiben.

Momentan häufen sich Mails, in denen ein selbsternannter Hacker vorgibt, alle Details eines Mailkontos ausgespäht zu haben und im Besitz belastender Informationen zu sein:

Der Mailtext
Bild: Der Mailtext

 

Vorweg die (ziemlich sichere) Entwarnung.

Sollten auch Sie solche Mail bekommen haben, dürfen Sie von ganzen Herzen grinsen. Das in der Mail angegebene Mailkonto stammt mit hoher Wahrscheinlicheit aus einem uralten Datenverlust bei Adobe, Yahoo oder sonst irgendeiner Internetgröße.

(Direkt der erste TIPP: Nehmen Sie für jeden Zugang ein eigenes Passwort. Es sind damals nämlich wirklich Passworte im Klartext verloren gegangen.)

Aber: Abhanden gekommen ist hierbei nicht das Passwort zu Ihren Mailkonto, sondern das des jeweiligen Zugangs. Eigentlich alle Anbieter mit so einem Leck haben das mittlerweile zugegeben und aktiv zur Änderung des Passworts aufgefordert. In meinem Fall war es zum Beispiel der Zugang bei Adobe, den ich seinerzeit komplett geändert habe.

Sehen wir uns das Ganze einmal näher an

Im Text spricht der „Hacker“ von einem bestimmten Mailaccount, hier „info@vico.de“.

Das ist dann schon sein erstes Problem. Diese Mailadresse existiert zwar, ist aber kein echtes Mailkonto, sondern nur eine Mailweiterleitung an ein anderes Konto, das nirgendwo hinterlegt ist.

Das zweite Problem ist der angebliche Zugang zu meinen Social Media Profilen. Auch diese Drohung läuft ins Leere. Ich benutze für jedes Profil im Netz eine darauf personalisierte Mailadresse anhand derer ich sofort erkennen würde, welcher Dienst meine Zugangsdaten verloren hat.

(Der zweite TIPP am Rande: Wenn Sie Zugriff auf Ihrer Mailverwaltung haben, legen Sie sich einfach ein eigenes Mailalias für jedes Soziale Netwerk an. Ihr Sysadmin kann Ihnen da bestimmt etwas zu sagen.)

Sein drittes Problem: Ich benutze auf dem Mailserver und meinen Endgeräten zwei verschiedene Mailscanner. Damit wird es relativ unwahrscheinlich, dass selbst ein neuer Trojaner auf meinen Rechner gelangt. Selbst wenn der Scanner auf dem Mailserver den Trojaner nicht findet, wird der interne Scanner ihn vermutlich finden, da mein Mailabruf auf jeden Fall zeitverzögert stattfindet und die Update-Routine des internen Scanner sich in sehr kurzen Abständen aktualisiert.

Sein viertes Problem: Die angebliche Benachrichtigung kann nur funktionieren, wenn der Server eine sogenannte „Sender Delivery Notification“ versendet. Das machen meine Server aber nicht.

Sein fünftes und finales Problem: Der angebliche Beweis durch den Mailheader ist eigentlich das schwächste Argument. Den Absender kann man manuell auf jeden beliebigen Wert ändern. Betrachtet man sich den Mailheader im ersten Bild, so ist dort in der Tat im „FROM:“ meine Adresse. Nur leider steht weiter oben der angeblich einliefernde Mailserver z5.3xp0.pro mit der IP 185.24.233.189. Und das ist keiner von mir benutzten Server. Die IP der Maschine gehört zu einem irischen Hostingprovider, der Hostname verweist auf einen panamaischen DNS Anonymisierer. Vermutlich ist die Maschine beim Hostingprovider nur für den Zweck des Mailscam Versands installiert worden.

Die einzig korrekte Umgehensweise mit so etwas

Löschen!

Nicht einmal draufklicken und maximal noch den Provider über die im Whois enthaltene Mailadresse „abuse-report@servebyte.com“ in Kenntnis setzen. Aber das kostet eigentlich schon zu viel Zeit und bedarf ein wenig Hintergrundrecherche.

(Der dritte TIPP: Schalten Sie die Anzeige von HTML Inhalten im Mailprogramm aus. Damit lösen Sie keine im HTML Code versteckten Trackingpixel aus, die als Bild nachgeladen werden. Idealerweise schalten Sie die komplette Nachrichtenvoransicht aus und löschen anhand des Betreffs erst einmal den klar identifizierbaren SPAM.)

Veröffentlicht am von

WordPress – Datensicherung

WordPress DatensicherungMeine WordPress Daten sind sicher.

Gut, das kann man glauben.
Oder man geht mit einem Konzept an die Sache heran und weiß es dann.

Gleich vorab: Datensicherung und Datensicherheit sind zwei verschiedene Dinge. Also klar gesagt: Es wird hier um die Datensicherung einer vorhandenen WordPress Installation gehen.

Die wichtigste Erfahrung aus der Praxis: Die Datensicherung selbst ist oft nicht das Problem. Die Probleme fangen da an, wenn es um die Frage geht, welche Datensicherung ist aktuell und wo liegt sie eigentlich? Wo sind die Zugangsdaten vom ftp-Server und wieso liegen da eigentlich nur alte Daten?

Das sind typische Schrecksekunden im Leben eines WordPress Administrators.

Aber fangen wir einmal ganz vorne an: Bei der Planung was bei einer WordPress Installation zu sichern ist.

Was muss eine WordPress Datensicherung beinhalten?

WordPress besteht aus zwei Teilen: Den html, php und css Dateien auf dem Webserver, die für die Darstellung und die Funktionalität sorgen und den eigentlichen Daten in einer MySQL Datenbank. Hinzu kommen dann noch die von den Usern auf den Server hoch geladenen Daten im Verzeichnis „wp-content/uploads“. Für eine vollständige Wiederherstellung einer WordPress Installation brauche ich all diese Bestandteile. Nur einzelnen Teile zu sichern, macht keinen Sinn.

Wir brauchen also ein Werkzug oder Plugin, das uns die Datenbank als sogenannten SQL-Dump sichert, ein Dateiübertragungsprogramm und Speicherplatz wo die Sicherung abgelegt wird. Für das Anlegen der  Datenbank Sicherung reicht dann ein Plugin wie XM-Backup oder BackWPup.

Bis hierher ist es auch egal, ob wir nur Webspace bei einem Hostinganbieter oder einen echten „Root“-Server besitzen. Wer einen kompletten Server im Zugriff hat, der hat natürlich viel mehr Möglichkeiten die Daten zu sichern. Sei es ein cron-Job, der automatisch alle Daten zusammen kopiert und danach die Datenbank sichert oder ein explizites Datensicherungstool eines Drittherstellers.

Auf jeden Fall kommt an diesem Punkt aber der Ablageort und damit ein Konzept ins Spiel

Je nach gewählter Hostingvariante unterscheiden sich die Vorgehensweisen ganz erheblich. Bei einigen Hostinganbietern gibt es keinen ausreichenden Platz, wo man den SQL-Dump automatisiert ablegen kann. Oder es sind cron-Jobs einfach nicht erlaubt.
Häufig ist es auch nicht möglich, Daten in einem anderen als dem Webverzeichnis zu sichern.
Bei wieder anderen gibt es nicht einmal eine Trennung zwischen dem ftp-Benutzer und dem Benutzer unter dem der eigentliche Webserver-Prozess läuft.

Es gehört zwingend dazu, Benutzer- und Datensicherungskonzept schon beim Vertragsabschluss mit dem Provider zu berücksichtigen.

Kurzer Einschub zum Thema Datensicherheit:
Die Datensicherung über einen Cloudspeicher wird von einigen PlugIns auch angeboten, hier muss man sich aber die Frage stellen, ob man diesem Anbieter wirklich vertraut. Der Datenbank-Dump enthält auch Zugangsdaten für das Blog. Und eventuell auch die Email-Adressen der registrierten Benutzer. Solche Daten aus dem eigenen Kontrollbereich zu geben, halte ich für grenzwertig.

Das gilt auch schon für die Ablage der Datenbank-Dumps im lokalen Verzeichnis des Webservers. Bei Kenntnis der Dateibenennungs-Konvention ist es durchaus denkbar, diese Daten einfach über den Webserver abzurufen!

Gehen wir einmal davon aus, dass der Provider einen ftp-Zugang und ausreichend Platz bietet, um alles zu sichern und wir daher nicht auf einen Cloudspeicher zurückgreifen müssen.

Meine erste Empfehlung lautet, die Daten nicht in das eigentliche Webserver-Verzeichnis abzulegen, sondern in einen eigens dafür angelegten Ordner mit einer Zugangssperre. Diesen Ordner kann man zum Beispiel über eine „.htaccess“-Datei absichern und so einen unbefugten Abruf verhindern.

Jetzt wird es trotzdem spannend

Wir haben die Daten erfolgreich lokal auf dem Server gesichert. Und nur wir selbst haben Zugriff darauf. Aber was passiert, wenn der gesamte Server ein Problem hat? Einfachster Fall: Ein Festplattendefekt.

Auch hier sollte wieder bei Vertragsabschluss nachgefragt werden, wie der Server physikalisch gegen so etwas abgesichert ist. Gibt es eine Spiegelung der Festplatte? Oder wird der Server vom Anbieter 1:1 in ein Backup gesichert, welches dann automatisiert den letzten wieder herstellt? Und das zuverlässig? Oder mietet man nur ein Stück virtuelle Hard- und Software um deren Sicherung man sich selbst kümmern muss?

Wenn das so sein sollte, ist ein klares Kriterium für mich:
Der direkte Zugriff auf die Datensicherung ist unabdingbar, sonst kann ich mir die Arbeit auch sparen.

Ein schlüssiges Sicherungskonzept sieht so aus:

  • Die Daten werden täglich automatisiert lokal auf dem Server in ein separates Sicherungsverzeichnis gespeichert..
  • Dieses Verzeichnis wird aus dem Rechenzentrum jeden Tag auf ein zweites Laufwerk im Büro oder Zuhause gespiegelt. (rsync ist zum Beispiel unter Linux und MacOS ein kostenlose Möglichkeit Daten per SSL-Tunnel direkt zu synchronisieren.)
  • Die Daten im Büro/Zuhause gehen auf eine im Wochenturnus getauschte USB-Festplatte. (Bewährt hat sich eine Rotation auf vier Medien. Damit komme ich vier Wochen in die Vergangenheit und verliere maximal eine Woche Arbeit.)
  • Bis auf eine sind ein bis drei dieser USB-Festplatten an einem anderen Ort. (Freund, Familie, Bank)

Ein ziemlicher Aufwand für ein simples Blog?

Einerseits ja, denn ich brauche Zeit so etwas einzurichten und auch die entsprechende Hardware. Andererseits spart so ein Konzept unglaublich viel Zeit, wenn ich das Blog nach einem Fehler wieder herstellen möchte.

Mit der obigen Routine decke ich die folgenden Fehler ab:

  • Lokale Sicherung:
    • Hilft bei einem versehentlichen Löschen von Dateien oder der Datenbank.
    • Die Rücksicherung kann aus den lokal vorhandenen Daten sehr schnell erfolgen.
  • Gespiegelte Sicherung auf einem Server im Büro:
    • Bei einem kompletten Serverausfall oder einer Kompromittierung habe ich eine Kopie der Daten im direkten Zugriff im Büro.
    • Im Fall einer Infektion mit Malware kann ich offline im Büro prüfen, welche Dateien betroffen sind und diese bereinigen oder ersetzen ohne Dritte zu gefährden.
  • USB-Festplatte:
    • Bei einem Ausfall des primären Sicherungsziels im Büro existieren noch immer Sicherungen auf einem externen Medium.
    • Bei Benutzung von mehreren externen Laufwerken und der Lagerung bei einem Freund, der Familie oder dem Bankschließfach kann sogar das Haus und der Server gleichzeitig abbrennen und das Blog ist immer noch zu retten.

Kern bei allem ist eine realistische Risikoabschätzung und die Bewertung wie wichtig einem das eigene Blog ist. Wer auch nur ein wenig an den geschriebenen Artikeln hängt, sollte sich Gedanken zum Thema Datensicherung machen.

Es muss aber klar sein, dass dieses Datensicherungskonzept nur funktioniert, wenn es regelmäßig und mit Konsequenz umgesetzt wird, Sonst kommt nämlich irgendwann der Punkt, dass nicht mehr klar ist, wo die aktuellen Daten liegen.

Veröffentlicht am von

WordPress – Safety first!

WordPressWordPress wird als Content Management System (CMS) immer beliebter. Es kann ohne weitreichende technische Kenntnisse aufgesetzt und betrieben werden.

Das sollte auch so sein, denn warum sollte sich ein Autor mit der Technik herumschlagen?

Es gibt aber in der Planungs- und Installationsphase einige Dinge zu beachten, damit das neu aufgesetzte Blog nicht binnen kürzester Zeit zur „Malware-Schleuder“ wird.

Fangen wir da an, wo es eigentlich schon zu spät ist.

Eigentlich sollte die Installation damit starten, dass man sich Gedanken um die Sicherheit des Blogs macht. Das bedeutet aber den direkten Einstieg in die Themen „Dateirechte“, „Datenbankverwaltung“ und „Fehlerlog“. Ein erster Beitrag dazu findet sich an anderer Stelle hier im Blog.

Die meisten Blogbetreiber machen sich nach dem Aufsetzen des Blogs aber erfahrungsgemäß erst einmal Gedanken um das Design der Website. Das verwundert nicht, denn es wird ja um Inhalte und deren Wahrnehmung gehen.

Ich setze daher erst einmal an diesem Punkt an. Denn auch an dieser Stelle gibt es einige Möglichkeiten ein Mehr an Sicherheit zu bekommen.

Daher stelle ich hier ein paar Plugins vor, die hierbei einen guten Dienst verrichten und sofort nach der Grundinstallation hinzugefügt werden sollten.

 

Simple Login Lockdown

Dieses Plugin sorgt dafür, dass nach einer zu definierenden Anzahl fehlgeschlagener Login-Versuche der Zugang zur Administrationsoberfläche für die betreffende IP gesperrt wird. Keine Angst, nicht für immer, sondern nur für eine bestimmte Zeit. Angreifer warten nicht, ob nicht sie in einer Stunde erneut versuchen können, sondern ziehen weiter. Zeit ist Geld.

Antispam Bee

Die fleißige Biene gegen SPAM. Seit es Email und Blog-Kommentare gibt, gibt es auch SPAM. Also unerwünschte Zusendungen oder Einträge unter Blogbeiträgen. Zumindest im Bereich der WordPress Installationen gibt es dieses Plugin, das eine Menge SPAM abfängt, ohne das man sich als Autor damit herum plagen muss.
Passend dazu gibt es noch einen „Blacklist Updater“, mit dem eine automatische Liste von Spammern für Antispam Bee abonniert werden kann.

Stop Spammers Registration

Eine schöne Ergänzung zur kleinen Biene. Dieses Plugin verhindert, dass sich jedermann/jederfrau/jederbot als Benutzer an der Seite anmelden kann. In den Basiseinstellungen von WordPress kann man sich nach Eingabe seiner Mail nämlich ohne viel Aufwand registrieren lassen und kann dann nahezu automatisch Kommentare mit SPAM einstellen.

WP Author Slug

Eine oft gesehene Angriffsmethode sind „Brute-Force“ Angriffe, bei denen einfach willkürliche Loginname/Passwort Kombinationen benutzt werden. Da es bei WordPress in der Standardinstallation der Loginname dem Autorennamen entspricht, ersetzt dieses Plugin den sichtbaren Namen.

XM-Backup

Wie der Name schon sagt, macht dieses Plugin nichts anderes, als Backups. Und zwar von der Datenbank und den Inhalten. Wohin, kann man sich aussuchen. Für mich hat sich bewährt, die Daten auf dem lokalen Host in einem eigens dafür vorgesehenen Verzeichnis per ftp abzulegen. Dieses Verzeichnis wird dann nachts über eine VPN-Verbindung auf einen lokalen Server im Büro kopiert. Damit existiert neben dem lokalen Backup auf dem Webserver auch noch ein weiteres im direkten Zugriff. Sehr nützlich um eine saubere Neuinstallation vorzunehmen, falls der Server doch einmal kompromittiert ist.

 

Mit diesen fünf Plugins sind schon einmal ein paar Angriffsmöglichkeiten entschärft.

Das ist aber noch längst nicht alles, was getan werden sollte.

Ein wichtiger Punkt ist immer auch die technische Absicherung einer WordPress-Installation. Hierzu gehört zum Beispiel die Absicherung des Administrationsbereiches per .htaccess-Datei. Oder eben die Prüfung der Dateirechte im System. Sobald jeder von außen etwas hochladen kann, wird das ein echtes Risiko.

Ebenso sollte es heute selbstverständlich sein, den Zugang zum Adminstrationsbereich mit einem SSL-Zertifikat abzusichern, damit ein Lauscher an der Leitung keine Login-Daten abfangen kann.

Hier wird es dann aber sehr schnell technisch. Zu technisch für die meisten Betreiber.

Sprechen Sie mich an, ich prüfe ihr WordPress-System und gebe Tipps zur sinnvollen Absicherung.

 

Veröffentlicht am von

Der Mensch muss in den Mittelpunkt

Eigentlich sollte es schon lange eine Grundregel sein, Mails verschlüsselt oder zumindest signiert abzuwickeln. Dies beim Nutzer einzuführen ist aber seit vielen Jahren sehr schwer. Die Gründe variieren stark. Oft hört man als Argumente: Bequemlichkeit oder Angst durch neue Technik überfordert zu werden.

Arbeitsanweisungen und das Durchsetzen von technischen Verfahren durch die Geschäftsführung sind der falsche Ansatz. Beides sind Punkte, die man primär durch Gespräche und Weiterbildung in den Griff bekommt.

Der ängstliche Anwender

Die Technik entwickelt sich rasant. Viele Anwender sind neben den täglichen Anforderungen im betrieblichen Alltag gezwungen, sich ständigen Änderungen zu stellen. Dies müssen Geschäftsführung und IT-Verantwortliche sehen und verstehen.

Zu diesem durch konkrete Aufgaben verursachten Stress kommt nun noch der Faktor Technik.

Ist es nicht verwunderlich, wenn Anwender dann durch Neuerungen in der IT überfordert sind?
Hier muss die IT-Abteilung mit interner Weiterbildung gegensteuern.

Wie muss diese Weiterbildung aussehen?

Diese Weiterbildung muss jemand übernehmen, der mit Menschen umgehen kann. Dazu nimmt man keinen der begnadeten Coder aus der Webdesign-Abteilung. Klar, könnte der das machen, weil er ja nur von Zeit zu Zeit in Projekten richtig ausgelastet ist. Er ja eh da und kennt sich bestens aus. Aber eben nicht mit Menschen.

Das ist der häufigste Fehler in Unternehmen. Weiterbildung wird als Kostenfaktor gesehen und nicht als gewinnbringende Zukunftsinvestition.

Für eine nachhaltige Entwicklung der Menschen im Unternehmen braucht es eine „Rampensau“. Jemanden, der die Zuhörer fasziniert und nicht nur mit Fachbegriffen bewirft. Der aber trotzdem fundiertes Wissen hat, um die Fragen der Anwender auf deren Level zu beantworten. Der eben nicht in jedem zweiten Satz zum Ausdruck bringt, wie simpel das doch alles sei. IT ist komplex. Punkt.

Der bequeme Anwender

Diesem Anwendertypus muss man sich etwas anders nähern. Bequemlichkeit ist schwer abzubauen. Aber auch das geht. Über die Neugier neues zu entdecken.

 

Veröffentlicht am von

WordPress und der Admin

20140729-_IMG0028Ich lese seit einer ganzen Weile bei Facebook in einer Gruppe mit, bei der es um WordPress und SEO geht. Bei der Lektüre erstaunt mich immer wieder, wie viele WordPress-Installationen im Internet aktiv sind, ohne dass deren Administratoren sich um grundlegende Dinge der IT-Sicherheit Gedanken machen.

Leider hat sich in der Szene nämlich ein Denken breit gemacht, das es zu hinterfragen gilt.

Sicherheitsfunktionen werden im WordPress Bereich oft über einfach zu installierende Plugins realisiert, die aus Sicht des (Unix-/Linux) Serveradmins eigentlich schon auf einer Ebene weit unter WordPress abzufangen wären. Und das vielfach auch noch ohne jedes Verständnis, was eigentlich dahinter steckt. Für mich ist das manchmal, als wenn jemand auf Basis seiner Erfahrung aus Lego-Technik-Bausätzen anfängt Sportwagen in Serie zu produzieren.

Der erste Dankanstoß: Warum soll sich ein http-Dienst um Dateirechte kümmern?

Das kann er auf einem vernünftig aufgesetzten System ja nicht einmal. Der httpd läuft aus Sicherheitsgründen gar nicht als root und hat im Normalfall nicht einmal das Recht, das eigene Installationsverzeichnis zu verlassen. Wer seine Installation per ftp-Client oder manuell rekursiv auf 777 (rwxrwxrwx) setzt, nur damit alles läuft, hat einfach den falschen Ansatz gewählt.

Eine .htaccess mit Zugriffssperren macht auch wenig Sinn, wenn diese die falschen Rechte hat. Gleiches gilt für die htpasswd. Also nach Möglichkeit die Zugangsbeschränkungen direkt in die Apache-Konfiguration. Da kommt so leicht niemand hin.

Der zweite Denkanstoß: Der eigentliche Server.

Die Krux: Ganz viele Betreiber entscheiden sich aus Kostengründen für einen vServer. Die kann man in der Regel mit so einem schönen grafischen Werkzeug konfigurieren. Außerdem maximiert diese Wahl ja den eigenen Rohgewinn.

Wie oft habe ich schon verzweifelte Hilferufe gelesen, wenn dann doch ein Server kompromittiert wurde. Konfigurationstools haben meist alle Rechte ins System. Und wie viele andere Installationen noch auf der gleichen Hardware laufen ist bei so einer Wahl meist auch nicht so ganz klar. Wenn bei einem was schief läuft, nimmt es oft andere Installationen mit.

Der eigentliche Denkanstoß muss also sein: Hört auf zu basteln und lasst Spezialisten ran!

Das gilt nicht nur für Hard- und Software! Mir ist bei alledem klar, dass nicht jeder WordPress-Admin auch ein Unix-Spezialist ist. Genau deswegen sollte zumindest jeder Webserverbetrieber einen echten Systemadmin kennen und den in die Installation einbinden und regelmäßig die Logs checken lassen.

Bleiben wir im Bild: Das Auto. Die Funktionen gibt der Hersteller (Systemadmin) vor, schon das Design wird zugekauft (Webdesigner). Auch die Sicherheitseinrichtungen wie Bremsen oder ABS werden in der Regel zugekauft so wie sie am besten passen. So etwas kommt nicht vom Hersteller selbst. Das wird exakt auf das jeweilige Modell abgestimmt oder nach Vorgabe passend gemacht (Systemadmin).

Der Designer wird in der Regel nicht wissen wissen wie die Bremse oder ABS und ESP funktioniert. Es gibt nämlich Spezialisten, die sich damit auskennen. Und die nimmt man mit in so ein Projekt.

Dieser Ansatz sollte sich beim Betrieb von Servern im Netz auch etwas mehr herumsprechen.
Ein Webdesigner ist ein Webdesigner ist ein Webdesigner. Und eben KEIN Server-Admin!

Veröffentlicht am von

Nach dem Virus ist vor dem Virus

VirusentfernungVor Kurzem ging es wieder durch die Presse: „Wie reinige ich meinen Rechner von Viren?“

Das ist auch im Jahr 2014 noch immer eine berechtigte Frage.

Das kann auch dieser Beitrag nicht ad hoc ändern. Letztendlich muss jeder Anwender selbst entscheiden, inwieweit er nach einem Viren- oder Trojanerbefall seinem Rechner noch trauen will. Danach richtet sich nämlich der Reinigungsaufwand.

Fangen wir einmal mit dem Grundsätzlichen an

Grundlage eines sauberen Rechners ist ein Virenscanner. Punkt. Wer in der heutigen Zeit, die vom Datenaustausch lebt, einen Rechner ohne Virenschutz betreibt, handelt fahrlässig.

Das gilt heute leider auch für Anwender mit Betriebssystemen unter Linux, Android oder MacOS.

Diese sind vielleicht nicht unmittelbares Ziel einer Attacke, aber über diese Rechner können Viren verbreitet werden. Ich betrachte diese Rechner daher als eine Art „Zwischenwirt“. Denn auf diesen Rechnern finden Viren eine Ruhezone, in der sie eine unternehmensweite Reinigung überstehen können. Nämlich als Anhang in einer darauf abgelegten E-Mail. Wenn diese dann dem vom Virus betroffenen Kollegen freundlicherweise noch einmal zur Verfügung gestellt wird, schließt sich der Kreis.

Damit sind wir beim Punkt „Saubermachen“

Wichtigster Punkt nach einem Viren- oder Trojanerbefall: ALLE Geräte sollten zumindest als befallen betrachtet und nach möglichst objektiver Risikobewertung geprüft werden. Das gilt insbesondere, wenn der Befall durch eine Email ausgelöst wurde.

Und wie reinige ich richtig?

Der beste Weg bleibt eine Formatierung

Den Rechner komplett formatieren, alle Daten und Programme neu aufspielen. Das ist der Weg, der am meisten Arbeit kostet und gerade unter Windows eine endlose Installationskette nach sich zieht. Denn welche Applikation ist noch in dem Versionsstand, der auf der Installations-DVD vorliegt? Und überhaupt, wo ist die?

Oft fängt es schon mit den auf dem Rechner vorhandenen Werksimages an. Die sind nämlich in der Regel auf dem Auslieferungsstand. Hand auf’s Herz: Spielen Sie wirklich regelmäßig auch die Herstellerupdates für den Rechner ein? Lassen Sie da nicht meist genau dieses „Recovery“-Update weg, weil das ja über 1GB groß ist?

Die zu erwartende Größe der Downloads lässt viele an diesem Punkt grübeln.

Hier kürzen dann auch die meisten Betroffenen ab

Aufgrund des zu erwartenden Aufwands wird leider mehr oder weniger optimal abgekürzt. Oft wird nur auf einen vorhandenen Wiederherstellungszeitpunkt unter Windows zurückgegangen. Aber ob da der Virus oder Trojaner nicht schon leise im Hintergrund auf die Befehle seines Kontroll-Servers gewartet hat? Dann könnte er nämlich mit dem nächsten Kontaktversuch direkt wieder aktiv werden.

Auch hier kommen wieder Zweifel auf.

Die „Zwischenwirte“ sind im Vergleich einfach zu reinigen. Hier reicht es in der Regel aus, einen Virusscanner mit AKTUELLEN Virendefinitionen die GESAMTEN Laufwerke scannen zu lassen. Damit schließt man diese Geräte im ersten Schritt als Infektionsquelle für einen erneuten Befall aus und kann sich den anderen Geräten widmen.

Wie gehe ich am besten am befallenen Rechner vor?

Wenn es also ohne Formatierung gehen soll, bleiben nur wenige Wege. Einer wäre, den Rechner von einem USB-Stick oder einer CD mit einem Linux-System zu starten und die Festplatte zu scannen. Hierfür gibt es spezielle Distributionen, die man sich auch selbst zusammenstellen kann. Vorteil hierbei: die Netzwerkfunktionen sind aktiv, der Virenscanner kann also jederzeit problemlos aktuelle Definitionsdateien aus dem Internet nachladen.

Der zweite Weg: Festplatte ausbauen und an einem anderen Rechner als externes Laufwerk anschließen. Empfehlenswert hierbei ist ebenfalls ein Nicht-Windows Betriebssystem um Nebenwirkungen auszuschließen.

Diese Wege führen aber ganz oft auch nicht zum gewünschten Ergebnis. Viren und Trojaner ersetzen nämlich gerne auch einmal für das Betriebssystem notwendige Dateien oder modifizieren sie. Beim Scan am externen Rechner werden dies infizierten Dateien dann in der Regel gelöscht, weil die Modifikation nicht problemlos erfolgen kann. Im Endergebnis habe ich dann zwar einen vom Virus befreiten Rechner der nicht mehr startet.

Danach muss meist erst einmal eine Systemrettung laufen, die dann aber aufgrund der zwischenzeitlich installierten Systemupdates auch für einige Überraschungen und unkalkulierbaren Mehraufwand sorgt.

Meine Empfehlung daher: Vorbereiten auf den Moment der Formatierung

So leid es mit tut, aber ich halte nach wie vor die Formatierung des Rechners auch unter betriebswirtschaftlichen Aspekten für die beste Lösung. Kalkulieren Sie doch einmal eine unbedient ablaufende Datensicherung gegen manuelle Rettungsversuche durch einen Administrator, der an anderer Stelle fehlt.

Aufgrund der eingesparten Zeit rechnen sich Sicherungsfestplatten und -software sofort. Ganzheitliches Denken ist in der IT ein Kostensenker, der völlig falsch bewertet wird.

Mein Vorschlag: Nach Installation ein Festplattenimage des Rechners sichern

Für mich hat sich bewährt, nach einer Grundinstallation aller Programme und der Aktualisierung des Betriebssystems ein komplettes Festplattenimage auf eine externe USB-Platte zu sichern. Damit hat man die Sicherheit, relativ schnell zu einem funktionsfähigen Basisrechner zu kommen.

Diese Sicherung sollte man gut verwahren und nur noch bei einem absolut sauberen Rechner in regelmäßigen Abständen ersetzen! Sinnvollerweise nach einem zwei Generationen Prinzip. Damit erhält man nämlich ein zusätzliches Backup falls der Rechner aktuell doch nicht einwandfrei war.

Danach gehören diese Laufwerke an einem Platz in der dunkelsten Ecke des Betriebs verwahrt. Am besten sogar außer Haus, damit man nicht in Versuchung kommt, „mal eben“ ein paar Dateien zusätzlich darauf zu sichern.

Aktuelle Daten regelmäßig auf den Server oder einen USB-Stick sichern

Mit diesem Datenträgern kann man im Zweifel mit relativ wenig Aufwand wieder einen betriebsfähigen Zustand herstellen nachdem man den Rechner formatiert hat.

Problematisch ist an diesem Punkt immer wieder die Sicherung der Outlook-Dateien! Hierin findet sich nach Wiederherstellung nämlich meistens der ein oder andere Trojaner als Anhang.

Ebenfalls nicht gesichert gehören Ordner wie „Temporäre Internetdateien“ oder „Downloads“. Auch hier warten nach einer Recovery gerne Überraschungen.

Obacht auch bei serverbasierten Profilen

In vielen Unternehmen werden Benutzerprofile auf dem Server gespeichert. Hier sollte umgehend der Serveradministrator einen kompletten Scan des Benutzerprofils vornehmen. Hier kann der Trojaner durchaus auch noch „überwintern“ und dann nach Wiederherstellung des Profils wieder aktiv werden.

Und immer gilt: Don’t Panic

Das gilt nicht nur bei Reisen durch die Galaxis, sondern im Falle eines Virusbefalls.

Durch vorbeugende Sicherungsmaßnahmen kann man einen Rechner lächelnd durchformatieren.

Veröffentlicht am von

Hinter dem Horizont geht’s weiter

Horizont und KommunikationEine alte Weisheit sagt, dass der Blick über den eigenen Tellerrand manchmal hilfreich ist.

Soll sagen: Man muss technische Dinge immer hinterfragen und die Tragweite des eigenen Handelns abschätzen.

Machen wir uns an einem fast fiktiven Beispiel klar, warum das wichtig ist.

Das Beispiel ist ein aktueller Vorgang rund um den DynDNS (Dynamic Domain Name Service) des Anbieters „NoIP“.

DynDNS ist eine Möglichkeit, um von unterwegs auf den heimischen Datenbestand zuzugreifen. Oft haben kleiner Unternehmen und Privatanwender keine feste IP-Adresse auf die sie zugreifen, sondern bekommen vom Provider nur eine dynamische IP zugeteilt.

Welche IP-Adresse das dann genau im Moment ist, bekommt man aber nur heraus, wenn man im eigenen Netz ist. Der VPN-Client auf dem Smartphone oder das Musikprogramm, das die eigenen Lieder unterwegs abrufen soll, wissen das von aussen nicht.

Hier hilft es, einen festen Namen wie „homeserver.no-ip.org“ einzustellen und der DynsDNS-Server der Zone „no-ip.org“ kümmert sich darum, welche IP das dann im Moment ist.

Was ist denn in unserem Beispiel eigentlich passiert?

Da scheiden sich noch die Geister, der eigentlich Sachverhalt WARUM ein großer Software-Anbieter aus den USA den Dienst übernommen hat, spielt aber für meine Betrachtung keine Rolle.

Mir geht es um das WIE.

Offenbar hat der Software-Hersteller bei Gericht beantragt, die Domains von „NoIP“ im DNS übernehmen zu dürfen, um so eine größere Anzahl von Servern mit Schadsoftware unschädlich zu machen. Also ist die Rechtsabteilung mit einer eigentlich sinnvollen Idee los marschiert und hat Recht bekommen.

(Die Frage, warum sich ein privatwirtschaftliches Unternehmen dazu berufen fühlt, einen solchen im Grunde bei der Exekutive angesiedelte Aufgabe zu übernehmen, lasse ich erst einmal offen im Raum stehen. Was aber nicht heißt, dass dieser Aspekt so ganz unbemerkt bleiben sollte!)

Jetzt kommt das Problem.

Offenbar hat man im Vorfeld nicht genau genug bei der Technik nachgefragt wie man so eine Übernahme denn realisieren könnte. Die Technik hat vermutlich geantwortet „Kein Problem, wir machen das als Proxy DNS, holen uns die Originaldaten von den Servern bei NoIP und filtern die bösen Hostnamen einfach heraus“.

Der Weg ist technisch prinzipiell durchaus gangbar. Nur leider hat die Rechtsabteilung entweder bei der Frage vergessen die Anzahl der aktiven Kunden zu nennen, oder hat bei der Antwort aus der Technikabteilung ein einschränkendes „Wir setzen das auf einer VM auf, damit können wir etwa x Requests pro Sekunde abwickeln“ einfach überhört.

Das passiert ganz oft in der Kommunikation zwischen Technikern und Nicht-Technikern. Die einen reden ihre eigene Sprache (siehe oben) und bei den anderen kommt ein Teil der Kommunikation nur als nutzloses Rauschen an. Denn eins ist klar: Was man nicht auf Anhieb versteht, das übersieht man.

Das Resultat?

Nun, momentan sind wohl die DNS-Proxies gnadenlos überlastet oder das Filtern der Domains per Script ist doch langsamer als gedacht. Fakt ist jedenfalls, dass eine riesige Anzahl an DNS Abfragen leer laufen. Natürlich mit dem Resultat, dass die dahinter liegenden Rechner im heimischen Netz nicht mehr erreichbar sind.

Im Ergebnis hat man also jetzt um ein Dutzend Server mit Schadsoftware zu blockieren, Tausende von anderen Servern einfach lahmgelegt. Man nennt so etwas wohl Kollateralschaden. Das Wissen wie man das nennt, hilft den Betroffenen nur leider nicht.

Was hilft?

Nachdenken und Kommunikation, die den anderen erreicht.

Ist es denn so schwer, den Juristen zu entgegenen: „Das ganze können wir unter Beachtung der aktiven Benutzer des Dienstes machen. Von wie vielen Anwendern reden wir? Wie viele Kunden hat der Dienst? Wie viele Servernamen sind zu erwarten?“

So eine Rückfrage entschleunigt den Prozess, das ist sicher. Aber ist das denn schädlich? Bei so einer Rückfrage hätten die Juristen nämlich durchaus auf die Idee kommen können, diese Zahlen zu hinterfragen. Da wäre dann vermutlich schnell heraus gekommen, das man ein Dutzend Schadsoftware-Schleudern blocken will und dafür aber Abertausende von anderen DNS-Abfragen bearbeiten muss. Dann wäre die nächste Frage an die Technik vermutlich gewesen: „Können wir das stemmen, was kostet der Betrieb intern und funktioniert das ohne, dass uns fälschlich Betroffene mit Regress kommen?“.

„Ihr macht das jetzt einfach mal und dann sehen wir schon…“ ist einfach der falsche Ansatz, wenn es um IT geht. Man sollte sich nicht zu schade sein zuzugeben, dass die eigenen Kenntnisse von anderen Bereichen (insbesondere technischen Bereichen!) unzureichend sind und man sich auf den Sachverstand der anderen verlassen und mit den Experten aus der Technik kommunizieren muss.

Solange Unternehmensprozesse aber immer weiter und weiter aufgespalten werden, damit jeder Anlernling sie mit Hilfe eines einzelnen A4-Zettels ohne Nachfrage ausführen kann, sind solche Sachen einfach vorprogrammiert.

Hier sollten Entscheider in Unternehmen ganz schnell gegensteuern und dafür sorgen, dass Menschen im Unternehmen verbleiben, die den Überblick haben.

Denn sonst passiert einem Unternehmen das, wovor die Wikinger am meisten Angst hatten: Das die Erde eine Scheibe ist und man am Ende des Horizonts einfach herunter fällt.
Veröffentlicht am von

TrueCrypt am Ende?

TrueCryptDie Entwickler der Software TrueCrypt warnen vor ihrem eigenen Produkt.

Himmelfahrt 2014 gibt es bei Twitter viel Seltsames zum Thema „TrueCrypt“ zu beobachten. Unter dem Hashtag #truecrypt tauchen Meldungen auf, wonach die Entwickler der Verschlüsselungssoftware TrueCrypt das eigene Produkt als unsicher erachten:

“WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues”

Das Ganze wirkt im ersten Moment wie ein schlechter Scherz. Die frei verfügbare Software TrueCrypt wird von vielen Sicherheitsexperten eigentlich noch immer empfohlen, da sie für alle gängigen Betriebssysteme zur Verfügung steht. Sie ist sogar in der Lage komplette Festplattenpartitionen zu verschlüsseln.

Wenn man dann den Vorgang genauer betrachtet, erscheint er noch seltsamer.

Für einen bloßen Scherz oder ein Webseiten-Defacement (Also das Entstellen einer Website durch Hacker), sind einige Fakten viel zu strukturiert. So leitet die originale Website unter truecrypt.org mit Hilfe einer Webserver-Direktive auf die Entwicklerplattform Sourceforge um. Hierzu benötigt man entweder Zugriff auf die Konfiguration der eigentlichen Server-Software oder muss zumindest das Recht haben per .htaccess-Datei bestimmte Funktionen des Servers zu steuern.

Zeitgleich wurde auch eine neue Version 7.2 der Software bei Sourceforge veröffentlicht. Diese ist neu kompiliert und es wurde die Funktionen zur Verschlüsselung entfernt. Dafür aufgenommen wurden offenbar Warnhinweise, dass man auf andere Produkte ausweichen möge.

Es wurden auch alle vorherigen Versionen bei Sourceforge entfernt.

Allein das würde bedeuten, dass ein Hacker nicht nur Zugriff auf den Webserver von truecrypt.org erlangt haben müsste, sondern auch auch sehr weitreichende Rechte auf das Entwicklerportal hatte.

Die neue Version wurde auch mit einem private Key der Entwickler signiert, was bedeuten würde, dass auch dieser in fremde Hände gefallen sein müsste.

Ebenfalls spannend: Scheinbar sind auch alte Versionen der Website von TrueCrypt aus Web-Archiven wie der WayBack-Machine entfernt worden.

Das ist alles schon sehr merkwürdig und ist bestimmt kein Unfall.

Noch seltsamer wird der Vorgang nämlich wenn man weiß, dass vor einiger Zeit eine externe Sicherheitsfirma begonnen hat, den Code von TrueCrypt zu auditieren. Hierbei kam in der ersten Auditierungsstufe heraus, dass es keine eklatanten Sicherheitslücken gibt. Das steht in krassem Widerspruch zur jetzt vorgenommenen Selbsteinschätzung der Entwickler.

An diesem Punkt sprießen die Verschwörungstheorien.

TrueCrypt gehörte genau wie der E-Mail Anbieter Lavabit zu den bevorzugten Werkzeugen von Edward Snowden. Lavabit erhielt vor einiger Zeit von US-amerikanischen Behörden eine Aufforderung, sämtliche Verschlüsselungs-Keys herauszugeben, damit die verschlüsselten Inhalte entschlüsselt werden können. Lavabit hat daraufhin von einem Tag auf den anderen den Dienst eingestellt und sämtliche Daten gelöscht.

Aufforderungen dieser Art beinhalten in den USA stets auch die Aufforderung nicht über den Vorgang zu sprechen oder sich zu äußern.

Ist so etwas jetzt auch bei TrueCrypt passiert? Natürlich kommen sofort Gerüchte dieser Art auf. Es besteht aber erst einmal kein Grund zu einer Panikreaktion.

Gehen wir einmal besonnen mit der Situation um:

TrueCrypt sagt, die Software ist nicht mehr sicher.

Gut, das ist nicht schön, aber kein Grund zur Panik. Die letzte Version 7.1a ist jetzt seit fast zwei Jahren unverändert. Es gibt also keinen Grund sie nicht zumindest noch für die Umspeicherung der eigenen Daten zu benutzen.

Auch der angegebene auslaufende XP-Support ist kein ausreichender Grund von jetzt auf gleich an der Sicherheit der Software zu zweifeln. Die Entwickler benutzen zwar einen uralten Compiler unter Windows XP um die Software zu übersetzen, aber das war in den vergangenen Jahren aber auch kein Problem.

TrueCrypt empfiehlt, Tools nutzen die die Betriebssysteme mitbringen.

Das ist nicht wirklich zielführend. TrueCrypt hatte eben den charmanten Vorteil, dass verschlüsselte in der Cloud abgelegte Daten unabhängig vom Betriebssystem genutzt werden konnten. Das geht mit diesem Ansatz nicht.

Sinnvoll erscheint mir momentan, das eigene Sicherheitskonzept zu hinterfragen.

Wer seine Daten in einem TrueCrypt-Container in Dropbox oder sonst einem Cloudspeicher aufbewahrt, tut gut daran, das zu ändern. Was vor einiger Zeit noch als gangbarer Weg galt, um das Sicherheitsrisiko von Daten in der Cloud zu minimieren, muss mit diesem Tag als überholt betrachtet werden.

Sensible Daten raus aus der Public Cloud muss die aktuelle Devise sein.

Also Daten zurückholen in eine sichere Umgebung, entschlüsseln und nur das auf einem Stick mitnehmen was man unterwegs braucht. Diese Entscheidung ist ja jederzeit reversibel, wenn sich der aktuelle Wirbel um TrueCrypt legt und die Situation sich nachhaltig klärt.

Meine Empfehlung zum Thema Nachhaltigkeit: Zurück zu einem Konzept mit eigenen Servern und VPNs um an die Daten zu gelangen.

Durch den Aufbau einer sicheren „Privaten Cloud“ lässt sich durchaus der gleiche Nutzen erreichen ohne das Risiko offener Daten bei einem fremden Diensteanbieter einzugehen.

Veröffentlicht am von

2014 – Zeit für Veränderung

ÜberwachungSeit Mitte 2013 dürfte allen klar geworden sein, wie wenig vertraulich Kommunikation heute noch ist.

Noch immer gibt es jede Woche neue Nachrichten welche Daten und Dienste von den Geheimdiensten abgefangen und ausgewertet werden.

Langsam entwickelt sich auch eine breitere Diskussion rund um die Thematik. Offenbar ist die Phase überwunden, wo das Kaninchen in Schreckstarre vor der Schlange verharrt.

Private Nutzer reagieren eher mit anwachsender Skepsis auf diese Nachrichten. Viele „Soziale Netzwerke“ verzeichnen eine gewisse Müdigkeit bei den Nutzern. Ob sich diese Müdigkeit je wieder legen wird ist fraglich. Nicht ohne Grund kämpfen die großen der Branche in den USA um mehr Rechte Transparenz zu schaffen. Wenn die früher freiwillig in die Auslage springende „Ware“ nicht mehr am Netzwerk teilnimmt, bricht das Geschäftsmodell weg.

Professionelle Nutzer reagieren anders. Sie nutzen die Dienste resigniert weiter. Denn es gibt ja scheinbar keine Alternative zu den lieb gewonnen Tools Marketing und dezentrale Organisation. Es wurde ja gerade erst mit viel Geld und Aufwand dafür gesorgt, dass bislang interne Prozesse und Strukturen als Cloud-Service abgebildet wurden. Da kann man doch nicht einfach zurück.

Das Risiko einfach auszublenden ist eine Möglichkeit damit umzugehen. Aus Sicht des IT-Experten aber die Falsche. Die bessere Möglichkeit ist nachzufragen, ob es wirklich keine Alternativen gibt.

Wir als IT-Berater müssen uns der Diskussion stellen und Alternativen aufzeigen, die für mehr Vertraulichkeit in der Kommunikation in Unternehmen sorgen können.

Es muss in dieser Zeit klar darum gehen, Daten als ein wertvolles Gut zu betrachten mit dem man sorgfältig umgeht.

Aus aktueller Sicht rund um das Thema Überwachung gibt es kaum noch Argumente, die klar für Dienste in der Cloud sprechen. Mittlerweile scheint sich sogar zu bewahrheiten, dass ausgespähte Daten aus Cloud-Rechenzentren auch für einen wirtschaftlichen Zweck ausgewertet werden.

Was wirklich schade ist, denn einige Ansätze rund um die Cloud sind wirklich sinnvoll und gut.

Vielleicht ist es aber auch möglich, an bestimmten Punkten nicht auf die überall beworbenen Dienste von US-amerikanischen IT Multis zuzugreifen, sondern die Idee im kleinen für den eigenen Betrieb umzusetzen.

Konkrete Ansätze, die umgesetzt werden können:

  • Aufbau einer firmeneigenen Crypto-Key Infrastruktur
  • Absicherung von E-Mail durch komplett verschlüsselte Abwicklung
  • Kommunikation per VPN für Laptop und Smartphone
  • Zentraler Webproxy im Unternehmen
  • Firmeninternes Cloud-System zum Abgleich von Terminen, Kontakten und Dokumenten

In Zukunft finden Sie hier auf der Website in loser Folge neben der Reihe zum Aufbau einer eigenen Cloud auch Artikel, die sich mit Ideen und Lösungen beschäftigen, die weg von Mainstream gehen.

Es wird Zeit gegen den Strom zu schwimmen. Denn nur tote Fische schwimmen mit dem Strom.

Veröffentlicht am von

Sicherheit geht vor

SSLSicherheit ist uns wichtig.

Um das Thema noch weiter voranzutreiben werden wir zum 1.2.2014 die Übermittlung beim Mailabruf von unseren Servern komplett auf „SSL Only“ umstellen.

Wir haben schon vor langer Zeit unsere Mailservices komplett auf den Zugang über SSL (Secure Socket Layer) bzw. TLS (Transport Layer Security) umgestellt. Sie als Kunde merken das in der Regel nicht, da eigentlich alle Mailprogramme den verschlüsselten Abruf bevorzugen und SSL daher schon benutzt wird.

Ab dem genannten Datum gehen wir einen Schritt weiter. Es ist dann kein Abruf in unverschlüsselter Form mehr möglich. Die entsprechenden Ports werden gesperrt.

Sollten Sie dann beim Mailabruf eine Fehlermeldung bekommen, setzen Sie sich bitte mit uns in Verbindung, die Änderungen können mit Anleitung auch am Telefon vorgenommen werden.

Wir werden nach und nach auch weitere Dienste auf SSL umstellen. Wir halten Sie auf dem Laufenden.

Hinweis: Sollten Sie beim Zugriff auf unseren Mailserver eine Zertifikatswarnung bekommen, kann dies wie in einem speziellen Bereich unserer Website beschrieben, abgestellt werden.