Veröffentlicht am

Dear Mr. Scammer Exp0_77

Der Quelltext des Mailheaders
Bild: Der Quelltext des Mailheaders

… I am sorry to say it that clear, but it seems you are a dumb moron!

Why? Look at the mail header to the left, you may find the answer yourself.


Nanu. Was ist denn das jetzt wieder?

Es ist wieder an Zeit etwas Aufklärung zu betreiben.

Momentan häufen sich Mails, in denen ein selbsternannter Hacker vorgibt, alle Details eines Mailkontos ausgespäht zu haben und im Besitz belastender Informationen zu sein:

Der Mailtext
Bild: Der Mailtext

 

Vorweg die (ziemlich sichere) Entwarnung.

Sollten auch Sie solche Mail bekommen haben, dürfen Sie von ganzen Herzen grinsen. Das in der Mail angegebene Mailkonto stammt mit hoher Wahrscheinlicheit aus einem uralten Datenverlust bei Adobe, Yahoo oder sonst irgendeiner Internetgröße.

(Direkt der erste TIPP: Nehmen Sie für jeden Zugang ein eigenes Passwort. Es sind damals nämlich wirklich Passworte im Klartext verloren gegangen.)

Aber: Abhanden gekommen ist hierbei nicht das Passwort zu Ihren Mailkonto, sondern das des jeweiligen Zugangs. Eigentlich alle Anbieter mit so einem Leck haben das mittlerweile zugegeben und aktiv zur Änderung des Passworts aufgefordert. In meinem Fall war es zum Beispiel der Zugang bei Adobe, den ich seinerzeit komplett geändert habe.

Sehen wir uns das Ganze einmal näher an

Im Text spricht der „Hacker“ von einem bestimmten Mailaccount, hier „info@vico.de“.

Das ist dann schon sein erstes Problem. Diese Mailadresse existiert zwar, ist aber kein echtes Mailkonto, sondern nur eine Mailweiterleitung an ein anderes Konto, das nirgendwo hinterlegt ist.

Das zweite Problem ist der angebliche Zugang zu meinen Social Media Profilen. Auch diese Drohung läuft ins Leere. Ich benutze für jedes Profil im Netz eine darauf personalisierte Mailadresse anhand derer ich sofort erkennen würde, welcher Dienst meine Zugangsdaten verloren hat.

(Der zweite TIPP am Rande: Wenn Sie Zugriff auf Ihrer Mailverwaltung haben, legen Sie sich einfach ein eigenes Mailalias für jedes Soziale Netwerk an. Ihr Sysadmin kann Ihnen da bestimmt etwas zu sagen.)

Sein drittes Problem: Ich benutze auf dem Mailserver und meinen Endgeräten zwei verschiedene Mailscanner. Damit wird es relativ unwahrscheinlich, dass selbst ein neuer Trojaner auf meinen Rechner gelangt. Selbst wenn der Scanner auf dem Mailserver den Trojaner nicht findet, wird der interne Scanner ihn vermutlich finden, da mein Mailabruf auf jeden Fall zeitverzögert stattfindet und die Update-Routine des internen Scanner sich in sehr kurzen Abständen aktualisiert.

Sein viertes Problem: Die angebliche Benachrichtigung kann nur funktionieren, wenn der Server eine sogenannte „Sender Delivery Notification“ versendet. Das machen meine Server aber nicht.

Sein fünftes und finales Problem: Der angebliche Beweis durch den Mailheader ist eigentlich das schwächste Argument. Den Absender kann man manuell auf jeden beliebigen Wert ändern. Betrachtet man sich den Mailheader im ersten Bild, so ist dort in der Tat im „FROM:“ meine Adresse. Nur leider steht weiter oben der angeblich einliefernde Mailserver z5.3xp0.pro mit der IP 185.24.233.189. Und das ist keiner von mir benutzten Server. Die IP der Maschine gehört zu einem irischen Hostingprovider, der Hostname verweist auf einen panamaischen DNS Anonymisierer. Vermutlich ist die Maschine beim Hostingprovider nur für den Zweck des Mailscam Versands installiert worden.

Die einzig korrekte Umgehensweise mit so etwas

Löschen!

Nicht einmal draufklicken und maximal noch den Provider über die im Whois enthaltene Mailadresse „abuse-report@servebyte.com“ in Kenntnis setzen. Aber das kostet eigentlich schon zu viel Zeit und bedarf ein wenig Hintergrundrecherche.

(Der dritte TIPP: Schalten Sie die Anzeige von HTML Inhalten im Mailprogramm aus. Damit lösen Sie keine im HTML Code versteckten Trackingpixel aus, die als Bild nachgeladen werden. Idealerweise schalten Sie die komplette Nachrichtenvoransicht aus und löschen anhand des Betreffs erst einmal den klar identifizierbaren SPAM.)

Veröffentlicht am

Nach dem Virus ist vor dem Virus

VirusentfernungVor Kurzem ging es wieder durch die Presse: „Wie reinige ich meinen Rechner von Viren?“

Das ist auch im Jahr 2014 noch immer eine berechtigte Frage.

Das kann auch dieser Beitrag nicht ad hoc ändern. Letztendlich muss jeder Anwender selbst entscheiden, inwieweit er nach einem Viren- oder Trojanerbefall seinem Rechner noch trauen will. Danach richtet sich nämlich der Reinigungsaufwand.

Fangen wir einmal mit dem Grundsätzlichen an

Grundlage eines sauberen Rechners ist ein Virenscanner. Punkt. Wer in der heutigen Zeit, die vom Datenaustausch lebt, einen Rechner ohne Virenschutz betreibt, handelt fahrlässig.

Das gilt heute leider auch für Anwender mit Betriebssystemen unter Linux, Android oder MacOS.

Diese sind vielleicht nicht unmittelbares Ziel einer Attacke, aber über diese Rechner können Viren verbreitet werden. Ich betrachte diese Rechner daher als eine Art „Zwischenwirt“. Denn auf diesen Rechnern finden Viren eine Ruhezone, in der sie eine unternehmensweite Reinigung überstehen können. Nämlich als Anhang in einer darauf abgelegten E-Mail. Wenn diese dann dem vom Virus betroffenen Kollegen freundlicherweise noch einmal zur Verfügung gestellt wird, schließt sich der Kreis.

Damit sind wir beim Punkt „Saubermachen“

Wichtigster Punkt nach einem Viren- oder Trojanerbefall: ALLE Geräte sollten zumindest als befallen betrachtet und nach möglichst objektiver Risikobewertung geprüft werden. Das gilt insbesondere, wenn der Befall durch eine Email ausgelöst wurde.

Und wie reinige ich richtig?

Der beste Weg bleibt eine Formatierung

Den Rechner komplett formatieren, alle Daten und Programme neu aufspielen. Das ist der Weg, der am meisten Arbeit kostet und gerade unter Windows eine endlose Installationskette nach sich zieht. Denn welche Applikation ist noch in dem Versionsstand, der auf der Installations-DVD vorliegt? Und überhaupt, wo ist die?

Oft fängt es schon mit den auf dem Rechner vorhandenen Werksimages an. Die sind nämlich in der Regel auf dem Auslieferungsstand. Hand auf’s Herz: Spielen Sie wirklich regelmäßig auch die Herstellerupdates für den Rechner ein? Lassen Sie da nicht meist genau dieses „Recovery“-Update weg, weil das ja über 1GB groß ist?

Die zu erwartende Größe der Downloads lässt viele an diesem Punkt grübeln.

Hier kürzen dann auch die meisten Betroffenen ab

Aufgrund des zu erwartenden Aufwands wird leider mehr oder weniger optimal abgekürzt. Oft wird nur auf einen vorhandenen Wiederherstellungszeitpunkt unter Windows zurückgegangen. Aber ob da der Virus oder Trojaner nicht schon leise im Hintergrund auf die Befehle seines Kontroll-Servers gewartet hat? Dann könnte er nämlich mit dem nächsten Kontaktversuch direkt wieder aktiv werden.

Auch hier kommen wieder Zweifel auf.

Die „Zwischenwirte“ sind im Vergleich einfach zu reinigen. Hier reicht es in der Regel aus, einen Virusscanner mit AKTUELLEN Virendefinitionen die GESAMTEN Laufwerke scannen zu lassen. Damit schließt man diese Geräte im ersten Schritt als Infektionsquelle für einen erneuten Befall aus und kann sich den anderen Geräten widmen.

Wie gehe ich am besten am befallenen Rechner vor?

Wenn es also ohne Formatierung gehen soll, bleiben nur wenige Wege. Einer wäre, den Rechner von einem USB-Stick oder einer CD mit einem Linux-System zu starten und die Festplatte zu scannen. Hierfür gibt es spezielle Distributionen, die man sich auch selbst zusammenstellen kann. Vorteil hierbei: die Netzwerkfunktionen sind aktiv, der Virenscanner kann also jederzeit problemlos aktuelle Definitionsdateien aus dem Internet nachladen.

Der zweite Weg: Festplatte ausbauen und an einem anderen Rechner als externes Laufwerk anschließen. Empfehlenswert hierbei ist ebenfalls ein Nicht-Windows Betriebssystem um Nebenwirkungen auszuschließen.

Diese Wege führen aber ganz oft auch nicht zum gewünschten Ergebnis. Viren und Trojaner ersetzen nämlich gerne auch einmal für das Betriebssystem notwendige Dateien oder modifizieren sie. Beim Scan am externen Rechner werden dies infizierten Dateien dann in der Regel gelöscht, weil die Modifikation nicht problemlos erfolgen kann. Im Endergebnis habe ich dann zwar einen vom Virus befreiten Rechner der nicht mehr startet.

Danach muss meist erst einmal eine Systemrettung laufen, die dann aber aufgrund der zwischenzeitlich installierten Systemupdates auch für einige Überraschungen und unkalkulierbaren Mehraufwand sorgt.

Meine Empfehlung daher: Vorbereiten auf den Moment der Formatierung

So leid es mit tut, aber ich halte nach wie vor die Formatierung des Rechners auch unter betriebswirtschaftlichen Aspekten für die beste Lösung. Kalkulieren Sie doch einmal eine unbedient ablaufende Datensicherung gegen manuelle Rettungsversuche durch einen Administrator, der an anderer Stelle fehlt.

Aufgrund der eingesparten Zeit rechnen sich Sicherungsfestplatten und -software sofort. Ganzheitliches Denken ist in der IT ein Kostensenker, der völlig falsch bewertet wird.

Mein Vorschlag: Nach Installation ein Festplattenimage des Rechners sichern

Für mich hat sich bewährt, nach einer Grundinstallation aller Programme und der Aktualisierung des Betriebssystems ein komplettes Festplattenimage auf eine externe USB-Platte zu sichern. Damit hat man die Sicherheit, relativ schnell zu einem funktionsfähigen Basisrechner zu kommen.

Diese Sicherung sollte man gut verwahren und nur noch bei einem absolut sauberen Rechner in regelmäßigen Abständen ersetzen! Sinnvollerweise nach einem zwei Generationen Prinzip. Damit erhält man nämlich ein zusätzliches Backup falls der Rechner aktuell doch nicht einwandfrei war.

Danach gehören diese Laufwerke an einem Platz in der dunkelsten Ecke des Betriebs verwahrt. Am besten sogar außer Haus, damit man nicht in Versuchung kommt, „mal eben“ ein paar Dateien zusätzlich darauf zu sichern.

Aktuelle Daten regelmäßig auf den Server oder einen USB-Stick sichern

Mit diesem Datenträgern kann man im Zweifel mit relativ wenig Aufwand wieder einen betriebsfähigen Zustand herstellen nachdem man den Rechner formatiert hat.

Problematisch ist an diesem Punkt immer wieder die Sicherung der Outlook-Dateien! Hierin findet sich nach Wiederherstellung nämlich meistens der ein oder andere Trojaner als Anhang.

Ebenfalls nicht gesichert gehören Ordner wie „Temporäre Internetdateien“ oder „Downloads“. Auch hier warten nach einer Recovery gerne Überraschungen.

Obacht auch bei serverbasierten Profilen

In vielen Unternehmen werden Benutzerprofile auf dem Server gespeichert. Hier sollte umgehend der Serveradministrator einen kompletten Scan des Benutzerprofils vornehmen. Hier kann der Trojaner durchaus auch noch „überwintern“ und dann nach Wiederherstellung des Profils wieder aktiv werden.

Und immer gilt: Don’t Panic

Das gilt nicht nur bei Reisen durch die Galaxis, sondern im Falle eines Virusbefalls.

Durch vorbeugende Sicherungsmaßnahmen kann man einen Rechner lächelnd durchformatieren.

Veröffentlicht am

Flashback?

 


DerTrojaner oder nicht? Gute Frage. Flashback-Trojaner für den Mac.

 

Risiko oder Hoax? Niemand kann (oder will) das genau sagen.

Überhaupt wird viel über Statistiken argumentiert. Nirgendwo gibt es belastbares und nachprüfbares Material zum Thema.

Nähern wir uns dem Thema einmal völlig subjektiv und versuchen Licht in die Sache zu bringen.

Seit Wochen geistern Meldungen über einen gefährlichen Trojaner durch die On- und Offline Medien. Er tarnt sich als Flash-Installer und nistet sich unter Mac OS-X in den Browsern Safari und Firefox ein.

Und an dem Punkt begannen schon die Ungereimtheiten. Zuerst hieß es, der Trojaner nistet sich ohne Frage nach dem Passwort ein. Belegt wurde diese Behauptung mit einem Screenshot, auf dem aber genau diese Abfrage zu sehen war. Wie seltsam ist das denn? Mittlerweile wurde dieser Irrtum wohl erkannt und alle Quellen geben an, dass bei der initialen Infektion der User aktiv mithelfen muss.

Es ging aber merkwürdig weiter. Die Entdecker belegten die Gefährlichkeit mit einer hohen Zahl an gemessenen Infektionen. 600.000 Rechner seien befallen. Gemessen mit einem in der IT üblichen System, einem Honey-Pot. Angeblich versuchte man, über diese Falle die Nachladeserver zu emulieren und die Mechanismen des Trojaners zu untersuchen.

Kurz darauf kam dann allerdings heraus, dass die Adresse des einzigen Nachladeservers auf der IP 95.215.63.38 allerdings fest in der Software hinterlegt ist. Wie kann man eine feste IP-Adresse nachahmen? Ist der Antivirus-Hersteller so mächtig, globale BGP-Routing Informationen für einen einzelnen Host zu modifizieren? Schwer nachvollziehbar wenn man das System dahinter kennt.

Aber die Zahlen und die aufkommende Panik in der Presse reichten wohl, das Apple in vorauseilendem Gehorsam eine Entfernungs-Software über die systemeigene Update-Funktion verteilte. Als Beleg für die Wirksamkeit der Maßnahme kam dann ein Virensoftware-Anbieter mit 50.000 noch vorhandenen Infektionen nach 24 Stunden, weil die Anwender alle den Download von Apple eingespielt haben.

Das grenzt für mich an ein Wunder. Und es wurde auch binnen 24 Stunden direkt wieder entzaubert. Man habe falsch gemessen. Mittlerweile sind angeblich noch immer zwischen 500.000 und 1.000.000 Rechner infiziert. Trotz all des Medien-Hypes tut sich also nichts? Der Grund: Mac-User machen Updates nur zögerlich.

Interessant. Meine Wahrnehmung aus der Praxis ist da anders. Und selbst wenn dem so ist, ließe sich aus der Zahl auch noch etwas anderes folgern: Mac-User (ausser den betroffenen 600.000) surfen nicht im Internet. Denn die Infektionszahlen bleiben ja gleich. (Okay, das ist nach eigener Wahrnehmung auch eine gewagte These. Aber die Statistik gibt das genauso gut her…)

Da niemand die ausliefernden Websites benennen kann, kann auch niemand die Websites reinigen. Die Infektionsherde bleiben somit aktiv. Wie kann es dann sein, dass die Zahl der Infektionen nicht weiter steigt?

Einzig mögliche Erklärung: die Infektionsherde müssen als Special-Interest Sites sehr prominent und gleichzeitig nur für einen kleinen Kreis von Rezipienten bestimmt sein, denn anders ist die anfänglich schnelle Zahl an Infektionen und die jetzt wahrgenommene Stagnation nicht zu erklären.

 

Alles in allem nimmt man in den Medien auch eine sehr dürftige Faktenlage wahr.

Betrachten wir einmal die Empfehlungen (Quelle: F-Secure), wie der gefährliche Trojaner zu entfernen ist. Im Grunde werden einfach ein paar Einträge in den Programmen gelöscht, einige Dateien entfernt und das System ist wieder sauber. Verglichen mit dem Aufwand, einen Windows-PC zu „entwanzen“ ist das ein Witz.

Da fehlen komplett Mechanismen, die normalerweise von den „Bad Guys“ benutzt werden. Keinerlei verschlüsselt abgelegte Installationsroutine, Keine versteckten Einträge in den Startdateien um den Trojaner zu starten, keine Veränderung von System-Hooks um sich vor einer Antivirensoftware zu verstecken. Sind Mac-Programmierer also weniger begabt, als die Windows-Pendants? Oder ist das System insgesamt doch sicherer oder besser strukturiert?

 

Auch die Funktion des Flashback-Trojaners bleibt noch immer unklar:

„Trojan-Downloader:OSX/Flashback.I connects to a remote site to download its payload; on successful infection, the malware modifies targeted webpages displayed in the web browser.“, (Quelle: F-Secure siehe oben)

Der Schädling modifiziert also Webseiteninhalte. Was auch sonst, denn er klinkt sich ja lediglich in die Webbrowser ein, die bei OS-X eigentlich eine recht gut gesicherte Sandbox mitbringen. Viel mehr ist da eigentlich auch nicht drin, ohne das der Nutzer ständig sein Passwort eingeben müsste.

Immer wieder fällt das Buzzword „Payload“ auf. Versucht man konkrete Informationen zu diesem so bösen „Payload“ zu bekommen, stößt man selbst nach Wochen immer noch auf sprachloses Nichts.

Was für ein „Payload“ könnte nachgeladen werden? Der Trojaner bleibt ja offenbar in der Sandbox des jeweiligen Browsers eingesperrt. Es gibt keine Hinweise ob und wie ein bösartiges Script den Sicherheitskontext des Browsers verlassen kann. Auch gibt es keinerlei Hinweise auf real wahrgenommene Änderungen am System.

Mittlerweile habe ich auch mehrfach per Twitter und auf Sicherheitslisten nachgefragt, wer denn schon einmal Payload gesehen hat. Und vor allem: Wo man den Trojaner eigentlich bekommt. Er soll sich ja über Webseiten unter WordPress verbreiten. Nur leider kann niemand auch nur eine Antwort geben.

 

Kommen wir zu den Veröffentlichungen über den Trojaner.

Bei der Recherche zum Thema trifft man immer wieder nur auf mehr oder weniger modifizierte Pressemitteilungen der Antivirus-Hersteller. Es gibt nichts an frei recherchierten Ergebnissen, die die Gefährlichkeit des Trojaners belegen.

Die ersten vier fünf sechs Seiten der Suchergebnisse bei Google beziehen sich alle auf die Informationen Antivirus-Hersteller. Nicht ein einziger Bericht, bei dem auch nur eine einzige weitere Quelle benannt wurde. Journalistische Grundsätze sagen eigentlich aus, dass man erst veröffentlicht, wenn weitere Quellen geprüft sind. Wenn diese dann aber ein zweiter Antivirus-Hersteller ist, dessen Artikel sich auch wieder auf die erste Quelle stützt, sollte man stutzig werden.

Was mich persönlich noch stutziger macht: Apple-User kommunizieren gern, Offline und Online. Aber es finden sich keinerlei Berichte darüber, dass jemand die Auswirkungen des Trojaners selbst bemerkt hat. Es sind alles lediglich Beschreibungen der Antivirus-Hersteller.

(Anmerkung: Ab Seite 6 der Suchergebniss habe ich nur noch stichprobenartig weitergesucht. Bis Seite 74 der Ergebnisse nur immer die gleichen Zitate und keinerlei Userforen, die sonst spätestens ab Seite 3 mit in den Ergebnissen auftauchen! An dem Punkt habe ich dann aufgehört zu suchen. Falls jemand in den 9.5 Millionen Suchergebnissen etwas Auswertbares findet: bitte mitteilen.)

 

Mein Fazit: Es mag da durchaus etwas geben, das sich in den Browsern eingetragen hat. Insgesamt könnte es aber einfach eine vor Urzeiten einmal fehlgelaufene Installation von Flash sein. Irgendeine Talkback-Funktion eines Plugins. Was auch immer.

Ich neige jetzt nach Wochen dazu, das Thema einfach zu begraben. Wenn es dann im Sommerloch wieder hochkocht, sind vielleicht mehr Fakten wahrnehmbar. Mal sehen, ob dann etwas Verwertbares dabei ist.

Veröffentlicht am

Noch ein Kriechtier: KOOBFACE

KOOBFACE ist unterwegs.

Und da es kein Karnevalsumzug ist, ist das auch nicht so lustig.

KOOBFACE ist ein Wurm, der die Rechner seiner Opfer auf Trojanerseiten lenkt. Stellt man die Buchstaben in eine andere Reihenfolge wird auch sofort der Verbeitungsweg klar: FACEBOOK.

Der Wurm verbreitet sich, indem er Pinwandeinträge bei Freunden auf Facebook auslöst.

Wie findet er geeignete Pinwände? Ganz einfach. Er nutzt ein menschliche Schwäche. Er nutzt die Freundelisten um seine nächsten Ziele zu finden. Fündig geworden, versucht er, dort einen Eintrag zu hinterlassen. Wer denkt schon an Böses bie einem Pinwandeintrag eines Freundes? Und wenn dort dann auch noch ein Link auf Youtube steht… hängt man am Fliegenfänger.

Um unnötige Panik zu vermeiden: Mit einem aktuellen Virenscanner, der nach Möglichkeit auch Gefahren auf Webseiten erkennt, kann man aufatmen. Aber da es auch eine menschliche Schwäche ist, diese Hilfsprogramme nicht auf dem Laufenden zu halten, ist das Restrisiko durchaus hoch.

Da menschliche Schwächen nicht einfach zu beseitigen sind, muss eine andere Lösung her, um die Verbreitung zu stoppen.

Neben der Entseuchung des Rechners muss daher die Privatsphäreneinstellung bei Facebook zentrales Thema sein. Die meisten Würmer können sich zum Beispiel nicht mehr verbreiten, wenn die Freundelisten nicht einsehbar sind. Sie finden einfach keine neuen Ziele mehr.

Und die zweite Sicherheitsmaßnahme ist auch ganz klar. Wenn der Wurm sich darüber verbreitet, dass er einen Eintrag auf einer befreundeten Pinwand macht, sollte man das einfach unterbinden.

Also kann an dieser Stelle die Empfehlung nur lauten:

  • Freundeslisten sind nur einsehbar für einen selbst
  • An die Pinwand darf man auch nur selbst posten

Im Grunde ist es vor dem Hintergrund des sozialen Netzwerks nicht wirklich sinnvoll, das zu tun. Ein soziales Medium lebt nun einmal von der Interaktion seiner Nutzer. Aber da es von Seiten Facebook keine wirklichen Sicherheitsmaßnahmen gegen solche Würmer gibt, bleibt eigentlich keine andere Wahl, wenn man Sicherheit ernst nimmt.

Ergänzend sei noch angemerkt, dass es neben KOOBFACE für Facebook auch für andere Netzwerke ähnliche Schädlinge gibt. Verbreitungswege und Gegenmaßnahmen? Siehe oben….

 

Veröffentlicht am

Wurmkur erforderlich?

Wurm - Verbreitung RamnitMomentan wird auf Facebook wieder einmal vor einem Wurm gewarnt.

Leider sind die verbreiteten Informationen nicht ganz korrekt. Es gibt in der Tat einen Wurm namens Ramnit. (Mehr Infos finden sich hier und in Englisch hier) Dieser verbreitet sich aber nicht direkt per Facebook, sondern verbreitet sich auf anderen Wegen. Hauptverbreitungsweg ist offenbar das Öffnen von infizierten .exe-Dateien auf Windows-basierten Rechnern. Sehr beliebt ist der Weg über eine Autorun.inf auf einem USB Stick.

Facebook ist momentan eher Angriffsziel als Verbreitungsweg. Ramnit ist bereits in anderen Formen bekannt. Es handelt sich um einen modifizierbaren Wurm, der nach definierbaren Informationen sucht. In der Vergangenheit waren das unter anderem Zugangsdaten fürs Onlinebanking. Hier werden in den kursierenden Warnungen offenbar Informationen vermischt.

Also keine Panik, die Ramnit-Varianten werden eigentlich von allen bekannten Virenscanner gefunden. Der Tip, einen aktuellen Virenscanner zu benutzen, kann man nicht oft genug wiederholen.Der alleinige Einsatz einer Firewall hilft nicht gegen solche Malware.

[ UPDATE: Grafik eingefügt, um das Alter und die Infektionsrate zu belegen ]

Veröffentlicht am

Es wird Zeit

So langsam wird es wirklich Zeit, über die eigenen Sicherheitsregeln nachzudenken und eingefahrene Wege zu verlassen.

Heute ging die Meldung über einen neuen Trojaner durch die Blätterwelt, der es zur Abwechslung wieder auf Industriesteuerungen abgesehen hat. Nach den Meldungen zum Staatstrojaner der vergangenen Tage jetzt wieder ein anderes Betätigungsfeld.

Aus unserer Sicht kann die Konsequenz nur sein: Weg von der Bequemlichkeit eines zu allem fähigen Arbeitsplatzrechners, hin zu einem sicheren Werkzeug in einer abgegrenzten Zone.

Ein paar Denkanstöße:

  • Klare Regeln für die Nutzung des Internet definieren.Und zwar auch für Geschäftsführung und Abteilungsleitung!
  • Eingehende und ausgehende Datenströme genau analysieren und beschränken.
  • Aufbau eines mehrstufigen Forewall und Paketfilter-Konzepts.
  • Einrichtung eines zentralen Proxy-Servers um direkte Kommunikation der Arbeitsplätze zu unterbinden.
  • Raus mit Telefon- und Videoconferencing-Tools aus dem internen Netz.
    • Aufbau einer logischen Zone dafür, die vom internen LAN abgetrennt ist.
    • Benutzung eigener Rechner für diese Funktionen. Diese dürfen dann nicht mehr ins interne Netz verbracht werden.
  • Aufbau eines regelbasierten Monitorings im Netzwerk um Anomalitäten zu bemerken.
  • Rigoroses Eingreifen bei Unregelmäßigkeiten.

Sprechen Sie uns an, wie das in Ihrer IT-Umgebung umgesetzt werden kann. Die Zeit ist reif dafür.

 

Veröffentlicht am

Malware nun auch für Mac….

Da haben wir den Salat.

Für den Mac ist jetzt auch Schadsoftware aufgetaucht. Sie tarnt sich als angebliche Schutzsoftware „MacDefender“.

Malware für den MacPanik ist aber fehl am Platz. Die Software installiert sich über eine Website von der sie heruntergeladen wird und sich bei zu lascher Einstellung in Safari automatisch zu installieren versucht.

Bitte überprüfen Sie bei den Einstellungen in Safari den Punkt „Sichere Dateien nach dem Laden öffnen“. Es empfiehlt sich diesen Punkt immer zu deaktivieren, damit Programme nicht automatisch nach dem Download aktivert werden.

Eine Anleitung zur Entfernung der Schadsoftware finden Sie hier.

Näheres findet sich hier.

[Update]: Süffisant schein der Umgang vom Apple Support mit dem Thema zu sein. Offenbar gibt es eine internen Anweisung, wonach die Mitabeiter die Kenntnis über die Schadsoftware verneinen sollen. (Quelle: Heise online)