Der letzte Bericht der auf German-Secure veröffentlicht wurde hat seine Kreise geschlagen und die Reaktionen haben mir gezeigt, dass sich die Menschen mit dem Thema der privaten Sicherheit durchaus beschäftigen.

Ich möchte hier gleich einmal beginnen.
Viele Besucher und Gäste von German-Secure haben uns über Probleme und Sorgen mit Schädlingen geschrieben.
Aber was ist in den Firmen? Sie als Arbeitnehmer oder Angestellter sollten ebenso für die EDV mehr Verantwortung in der Firma zeigen.
Haben Sie sich mal Gedanken über Ihren Arbeitsplatz gemacht?

Sicherlich nicht , denn wie uns von German-Secure ein Fall bekannt wurde, hat eine kleine Firma in Deutschland den TROJ_MTX.A wissentlich oder unwissentlich verbreitet.
Ja das sind schwere Behauptungen mag der eine oder andere sagen, aber:
Würden sich die Firmen besser schützen, dann würde diese Firma bei erhalten des TROJ_MTX.A einen Alarm bekommen durch ein AV-Schutzprogramm und die Kette wäre dort unterbrochen gewesen.
Nein, die Firma sendet stattdessen den Trojaner munter weiter und verbreitet Ihn durch das gesamte Firmenadressbuch und setzt somit einen drauf. (TROJ_MTX.A ist der der Schädlinge, der sich im Jahre 2000 sehr schnell verbreitet hat und einen großen Schaden weltweit anrichtete)

Das sagt uns: Immer noch nichts gelernt !

Stellen Sie sich vor, dass Ihrer Firma das passiert und jemand würde auf Fahrlässigkeit gegen diese Firma agieren. Gegen Ihre Firma.
Die Nachwirkungen können fatale folgend für alle Beteiligten habe.

Unglaublich dabei erscheint mir dennoch folgende Tatsache:
Ein recht wirksames AV-Schutzprogramm kann man im Handel erwerben und kostet durchschnittlich ca. 30,00 -80,00 Euro !
Rechnet man dann einmal welche Kosteneffektivität dahinter steht, dass man somit 365 Tage im Jahr wesentlich besser geschützt ist, so ist jeder investierte Euro ein Schritt näher an der Sicherheit.

In Firmennetzwerken sieht das ganze natürlich schon anders aus, aber auch hier gilt:
Je mehr Computer an ein Netzwerk angeschlossen sind, um so effektiver ist die Anschaffung einer Virenwall. (Virenwall = Virenschutzsystem vor Arbeitscomputern zum Internet als Verbindung zwischen Netzwerk und Internet)
Ein Virenwall kontrolliert alle eingehenden E-Mails und je nach Typ der Software, werden die Mails zunächst in eine "Sandbox" gelagert und auf unsichere Anhänge geprüft.
Ist dann die Email "sauber" wird diese automatisch an den Empfänger weiter geleitet und er kann diese wie bisher gewohnt wieder lesen.
So ein Vorgang geschieht nicht merklich langsamer als gewohnte E-Mailabrufe.
Findet aber ein Virenwall einen Virus oder einen schädlichen Anhang, dann kann das Programm diesen Ahnhang selektiv entfernen und sendet die E-Mail dennoch sauber an den Empfänger.
Eine ordentliche und pflichtbewusste Administration ist hierfür absolut erforderlich.
Feine Sache sagen Sie ? Dann denken Sie darüber nach.

Ich beschäftige mich bereits seit langem mit dem Phänomen:

"WAS GEHT MICH DAS AN oder MACHE ICH SPÄTER DANN."

Nun, ich habe in den letzten Wochen viel Post bekommen, die ich dann gemeinsam mit meinem verehrten Kollegen Jürgen bearbeitet habe.
Gleich bleibend konnten wir feststellen, daß die Aussagen der User fast immer ähnlich waren und die Auswirkungen dann doch verheerender als vorhergesehen. ;-(

Folgendes Beispiel hierzu:
"Hallo Herr Rogge.
Ich habe vor kurzem bei mir einen Trojaner entdeckt und frage mich wie ich diesen Entfernen kann......"

Sicherlich sind wir von German-Secure sehr gerne bereit zu helfen und geben dann Tipps zur Entfernung von eben solchen Schädlingen.
Aber jeder User sollte sich im Vorfeld Gedanken machen zur Vorbeugung. Das ist doch entschieden wichtiger, denn hierdurch kann man das Risiko einer solchen Infektion schon sehr stark eingedämmt werden.

Wollen wir das mal etwas exakter erläutern:
Nicht jeder User der einen Sub7 hat oder damit "hacken" will ;-) ist ein Profi und kennt noch nicht einmal die Grundbegriffe und die Grundelementare des Internet.(Sub7 oder Sub-Seven ist einer der bekanntesten Trojaner mit sehr vielen Funktionen)
Denn einen Sub7-Modul senden kann jeder, aber wer kann sich auch dahinter verstecken? Wer kann denn dieses Gerät wirklich bedienen?
Nun kommen wir zu dem Bereich, wo sich die "Newbies" einschalten und wild loslegen.
Er scannt das Netz wild nach einem Server ab und findet einen, den bei Ihnen ;-)
Der Trojaner Sub7 bringt die erforderlichen Programmteile dafür gleich mit und man muß nur eine IP-Adresse eingeben.
Sie haben ein Sub7 Server bei sich auf dem Computer liegen, da Sie vor wenigen Tagen eine Daten bekommen haben.
Diese Datei kann z.B. "winupdate.exe, supergirls.exe" heißen oder andere Namen, die das anklicken vereinfachen.
Nun die Freude ist groß und er kann beginnen sich mit Ihrem Rechner zu beschäftigen und sich alle möglichen Daten anzuschauen. Naja oder er löscht einfach Ihre Daten, oder die Passwörter?
Also genau kann man nie sagen wozu diese Leute ambitioniert sind im Handeln.
Da Sie sich als privater Anwender denken: naja was kann bei mir schon wichtig sein, kann er sich ohne Probleme ihres Computers bemächtigen. Sie sind ja recht ungeschützt!
Der vermeintliche "Hacker" schaut sich bei Ihnen durch, löscht ein paar uninteressante Daten und dann verlässt er nach einigen Tagen wieder den Computer, aber nicht ohne zerstörerische Anwendungen zu hinterlassen, so dass Sie sich auf jeden Fall daran erinnern das er da war.
Manch einer der Script Kiddies bleibt auch länger auf dem Computer, wenn es sich lohnt Passwörter auszuspionieren oder vergleichbare Daten zu ergaunern.

Ihr Computer leidet an "schweren Ausnahmefehlern" und das System läst sich schwer booten.(starten)
Ihrem Computer fehlen Daten die Sie für Ihre Diplomarbeit bräuchten?
Die Zugangspasswörter für Ihre Emails gehen auch nicht mehr?
Die Bilder Ihrer Freundin die Sie sich immer so gerne angesehen haben sind weg?

Nun dann ist der Schaden für Sie schon ausreichend hoch genug!

Verschiedene Möglichkeiten bieten sich dem Benutzer an, um sich gegen solch "kleine" Angriffe zu sichern und zu schützen.
Aber man muß sich leider damit beschäftigen, um entsprechenden Erfolg zu erzielen.

Ich zeige Ihnen nun folgend verschiedene Wege auf, sich entsprechend abzusichern, um "frei" im Internet arbeiten zu können oder einfach um Spaß zu haben.

Zunächst sollten Sie sich eines der Anti-Virus-Schutzprogrammes bemächtigen.
Diese AV-Schutzprogramme bieten Ihnen grundsätzlich zunächst den Schutz vor den bekanntesten Viren und Trojanern. Hierbei sind durchaus 40-70000 Signaturen und mehr möglich.
Achten Sie darauf, dass der von Ihnen gewünschte AV-Scanner (AV-Schutzprogramm) die Möglichkeit hat, sich über das Internet die neuesten Updates zu holen.
Das AV-Programm sollte möglichst auch über einen Schutzmechanismus für Emails verfügen, denn dann sind Sie schon sehr gut ausgestattet.
Der Anti-Viren Scanner sorgt für einen permanenten Scann Ihrer E-Mails beim Eintreffen im Posteingangsordner.
Was aber, wenn Ihnen jemand per Diskette oder per Stealthdatei einen Trojaner oder Virus-Hybriden zusendet?
Dann sind Sie in den meisten Fällen dennoch schutzlos.

Hierbei sagt GERMAN-SECURE: Sie sollten grundlegend die Arbeitsweise eines Trojaners kennen, denn dann verstehen Sie richtig welche Gegenmaßnahmen ergriffen werden müssen.

Ein Trojaner muß grundlegend eine "Connection" (Verbindung) zum Internet und seinem "Herrchen" ;o) aufnehmen. (Herrchen=Angreifer=Besitzer des Trojaner)
Dies kann er aber nur über eine der Ports und Protokolle machen, die ihm das Internet zur Verfügung stellt.
In der Regel geht man davon aus, dass TCP/IP/TCMP und UDP verwendet werden und gelegentlich auch HTML!
Bei HTML ist es möglich ein Skript in eine E-Mail zu integrieren, daß von Ihnen nicht eingesehen werden kann.
Je nach Einstellung Ihres Computers, können sich solche Skripte automatisch starten und die Schadenswirkung ausführen.

Genau hier ist der Punkt, wo Sie an Ihrem Computer wirkungsvoll eingreifen können.

Hier haben Sie schlichtweg die Möglichkeit die Portkontrolle Ihres Computers zu übernehmen und das ganze selbst zu kontrollieren.
Wie geschieht das ?
In der Regel würde ich im rein privaten Bereich eine Personal-Desktop-Firewall empfehlen.
Folgende Anbieter sind möglich:

Conseal PC Firewall
Esafe Protektion Alladin
ZoneAlarm Firewall
AT Guard (in Norton Internetsecurity enthalten)
Secure4you Firewall
SPHINX PC Firewall
SyGate Firewall
Tinyfirewall
Kerio Firewall oder Outpost.
(die meisten sind für den privaten Gebrauch kostenlos)

Eine Firewall übernimmt dann die Steuerung der Ports und "achtet" darauf, welche Programme Zugriff auf das Internet nehmen dürfen.
(Zur Erklärung: Ports steuern die Dienste eines Computers zum Internet oder im Netzwerk, POP, SMTP, FTP etc.)
Dennoch dürfen Sie nicht vergessen: Sie treffen die Entscheidung was eine Firewall exakt ausführen soll oder nicht!
Somit muß auch ein Trojaner als Beispiel sich bei der Firewall anmelden um sich mit dem Clienten zu verbinden.
Da Sie aber eine Firewall haben, können Sie das hier schon verhindern.
Leider sind die Angreifer immer weiter am basteln und finden auch hier wieder weitere Wege, dies zu umgehen.
Aber einfach ausgedrückt: Dies ist zunächst für den privaten Anwender ein etwas sichere Möglichkeit sich vor unliebsamen Angriffen zu schützen.

Aber lassen Sie sich gesagt sein: Auch hier sind bereits "fiese" Tricks bekannt, die man beachten sollte damit man nicht doch mal aus Versehen einen Trojaner durchlässt.

Hier ein gutes Beispiel:
Trojaner HackaTack mit dem Serverelement Explorer32.exe

Der Trojaner hat die Angewohnheit sich mit C:\Windows\Expl32.exe (235KB) in das System einzupflanzen und dann seinen Schaden zu nehmen.
Wenn nun das Serverelement den Versuch unternimmt sich Zugang zum Internet zu verschaffen, dann würde die Abfrage in etwa so lauten:
Hallo User, darf der Explorer ins Internet?
Nun sagt sich der User, ja klar darf Explorer ins Internet, den Explorer kenne ich ja.
Das ist dann schon ein Fehler, denn wenn die Firewall den Zugang genehmigt, dann besteht die dauerhafte Nutzung Ihres Computers durch einen zweiten User von außen.
Der Trojaner hat ein Programm von Windows vorgetäuscht und man würde diesem trojanischem Programm nun Zugang zum Internet gewähren.

Ich möchte hier keinesfalls Panik schüren, aber Aufmerksamkeit.
Wenn Sie eine gute Kombination aus Anti-Trojan- und Anti-Virusprogrammen haben, dann können Sie schon ruhiger arbeiten.
Schauen Sie doch einfach mal auf die Programme die in Ihrem Computer verwaisen, weil keiner dieser Programme benutzt.

Nun was nützen mir die besten Vorkehrungen, wenn mein Angreifer direkt aus meinem persönlichem Umfeld kommt?
Wieso soll denn sowas passieren? Ja das fragen Sie sich, aber viele Menschen haben keine Ahnung, dass sehr oft alles im persönlichen Umfeld durchaus vorbereitet wird.

Der folgende "Fall" sollte dies zunächst deutlich zeigen:

Ich wurde im Forum von Anti-Trojan Network auf "Enja" aufmerksam, die Hilfe suchend dort gepostet hatte.
Nun also schrieb ich mal schlaue Kommentare rein und versuchte auf diese Weise meine Ratschläge an sie weiterzugeben, wie sie sich am besten verhalten könne.
Sie hatte aber nach 4 oder 5 Postings immer noch arge Probleme und ich bot ihr meine direkte Hilfe am Telefon an.
Nach langen Gesprächen am Telefon hat sie mir dann auch etwas mehr erzählt und mir Einblicke in die Hintergründe geliefert, warum es zu einem Fall wie ihrem kommen konnte.

Enja also lernte im Internet einen Mann kennen, wie das eigentlich viele Menschen weltweit machen. Nichts daran ist schlimm oder verwerflich, aber immer mit einer gewissen Vorsicht zu genießen.
Als dieser besagte Mann aber aus seinem Gefühl heraus entschieden hat, mal die Enja zu überwachen, hat er kurzerhand den Computer mit einem TROJ_MTX.A verseucht und hatte somit regend Zugriff auf ihren Computer.
Dabei hatte er auch Zugriff zu eher persönlichen Daten und kam per Zufall dann an die Emails, die ihr geschickt wurden oder die sie empfangen hatte.
Da sie auch regen Kontakt zu anderen Usern im Internet hatte, wurde dies natürlich gleich private ausgeschlachtet, so dass Mails abgeglichen und sogar weiterleitend versendet wurden.
Nun folgte das was eigentlich noch heftiger ist als das was vorher schon geschah, denn die Angriffe wurden häufiger und Drohungen folgten auf dem Fuße.
Durch rechte schnelle Maßnahmen versuchten wir Enja Hilfe zu geben, dass der "Angreifer" nicht mehr jede Möglichkeit ausnutzen konnte um sie zu schädigen.
Hier kann man sehr gut den "LogFile" ihrer Firewall sehen und man erkennt deutlich, daß es sich hierbei nicht um einen Ping handelt.
(PING= Abfrage ob ein Computer online ist, ein Computer antwortet dann mit einem Echo)

Ich zeige hier nur einen Auszug und jeder wird sich sagen: Wie kann man nur die IP veröffentlichen! Da es sich aber hier um eine variable IP handelt, ist diese für den aktuellen Zeitraum nicht mehr gültig.
Die Einwilligung von Enja liegt mir vor und zufällig gleiche Daten müssen heute nicht mehr übereinstimmen ;-)

………

FWIN,2000/11/26,15:47:48 +1:00 GMT,212.144.200.32:1762,213.6.25.74:27867,TCP
FWIN,2000/11/26,15:48:22 +1:00 GMT,209.252.154.122:3792,213.6.25.74:27374,TCP
FWIN,2000/11/26,15:54:40 +1:00 GMT,212.144.200.32:1855,213.6.25.74:27867,TCP
FWIN,2000/11/26,15:55:32 +1:00 GMT,212.144.200.32:1857,213.6.25.74:27867,TCP
FWIN,2000/11/26,15:57:18 +1:00 GMT,212.144.200.32:1868,213.6.25.74:27867,TCP
FWIN,2000/11/26,15:58:10 +1:00 GMT,212.144.200.32:1872,213.6.25.74:27867,TCP
FWIN,2000/11/26,15:59:48 +1:00 GMT,212.144.200.32:1881,213.6.25.74:27867,TCP
FWIN,2000/11/26,16:00:38 +1:00 GMT,212.144.200.32:1882,213.6.25.74:27867,TCP
FWIN,2000/11/26,16:02:48 +1:00 GMT,212.144.200.32:1897,213.6.25.74:27867,TCP
FWIN,2000/11/26,16:04:22 +1:00 GMT,212.144.200.32:1914,213.6.25.74:27867,TCP
FWIN,2000/11/26,16:05:24 +1:00 GMT,212.144.200.32:1915,213.6.25.74:27867,TCP
FWIN,2000/11/26,16:05:46 +1:00 GMT,172.177.102.41:3162,213.6.25.74:1243,TCP
..............

FWIN,2000/11/26,22:23:08 +1:00 GMT,212.144.200.32:3757,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:26:36 +1:00 GMT,212.144.200.32:3787,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:28:00 +1:00 GMT,212.144.200.32:3788,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:29:28 +1:00 GMT,212.144.200.32:3792,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:32:34 +1:00 GMT,217.1.72.232:4244,213.7.40.118:27374,TCP
FWIN,2000/11/26,22:33:44 +1:00 GMT,212.144.200.32:3795,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:35:54 +1:00 GMT,212.144.200.32:3797,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:38:34 +1:00 GMT,212.144.200.32:3809,213.7.40.118:6184,TCP
FWIN,2000/11/26,22:40:34 +1:00 GMT,212.144.200.32:3810,213.7.40.118:6184,TCP
............

Wie konnte das geschehen?
Enja hatte einen gravierenden Fehler gemacht!
Sie benutzte zum Zeitpunkt der Angriffe bereits Norton Anti Virus 2000 aber leider ohne ein aktuelles Update.
Manch einer von Ihnen wird sagen: Selbst schuld.
Ich sage Ihnen aber, daß kann jeden so treffen, denn ich bin mir sicher das jetzt einige von Ihnen bereits das AV-Programm prüfen um das neueste Update zu erhalten.
Na, waren Sie auch dabei ;-)

Aber wieso muß es soweit erst kommen, dass so genannte "Hacker" ihr Wissen an "Spinner" und verkränkte Leute verkaufen und vergeuden.

Nun scheinbar ist es wie ich in meinem ersten Report berichtet habe, auch das Interesse der Industrie solche "Aktionen" zu fördern.
Natürlich distanziert sich die Industrie klar von Angriffen im privaten Bereich, was ich auch nicht bezweifle oder gar behaupten möchte.
Klar ist aber, dass diverse Unternehmen so genannte Hackercontest anbieten, um die Sicherheit verschiedenster Systeme zu prüfen.

Hier liegen Vorteile und Nachteile klar auf der Hand.

Mehr und mehr werden User die sich in der Materie des Internet noch nicht einmal annähernd mit den verschiedensten Methoden oder Protokollarten auskennen dazu animiert, sich mit dem "hacken" dennoch intensiver zu beschäftigen.

Jüngstes Beispiel das für Aufsehen erregt: Trojaner auf Computer Heft-CDs ! (Ende des Jahres 2000)

Eine heftige Diskussion wurde entfacht, als man das PC-Magazin am Kiosk erwerben konnte und somit die Trojanischen Pferde (z.B. BackOrifice, Sub7...) gleich mitgeliefert bekam.
Man sollte zunächst auch den Eindruck erweckt bekommen, daß es sich hierbei um reine "Fernwartungstools" handelt und nicht um "Hackertools".

Nun wurde in diversen Foren und auf verschiedenen Seiten darüber berichtet und diskutiert, aber geändert hat sich nichts.
Die Zeitung hat sich so rasant verkauft, daß diese Auflage recht schnell vergriffen war.
Das läst bei mir die Frage aufkommen, ob es denn sein muß die Verkaufszahlen mit solch dubiosen Mitteln nach oben zu treiben?

Berichte von Usern wurden kurz darauf an uns (German-Secure) und auch an Anti-Trojan gesendet, in dem User sich falsch verhalten haben im Umgang mit diesen "Fernwartungstools".
Aber dann ist es schon zu spät, denn der Schaden ist bereits entstanden und oftmals war der Computer auch nicht mehr zu retten.
Hat die Zeitschrift auch Hilfeanfragen bekommen von den Usern, die durch falschen Umgang sich selbst geschädigt haben?

Nun möchte ich langsam zum Abschluss kommen und meinen Bericht beenden.
Das Jahr geht langsam zu Ende und ich möchte Ihnen persönlich gerne noch ein Paar Tipps mit auf den Weg geben:

- Seien Sie achtsam im Umgang mit Ihrer Emailadresse und geben diese nicht an jeden aus, wenn der Zweck nicht bekannt ist.
- Achtet auf die Email - Anhänge, denn diese sind oft tückischer als vermutet, im Zweifelsfall löschen
- Vor dem öffnen von Anhängen immer erst scannen mit einem aktuellen AV-Programm (im Zweifelsfall zwischenspeichern und dann scannen)
- Da die Weihnachtszeit naht und der Jahreswechsel, werden auch dieses Jahr wieder diverse Rundmails (Spammails) in den Umlauf gebracht, die Viren und Trojaner enthalten
- Investieren Sie lieber ein paar Euro in die Sicherheit Ihres Computers und die Privatsphäre, denn die sollte erhalten bleiben
- Achten in Chats und Foren darauf, wem Sie was erzählen und seien Sie nicht zu leicht für Fremde zugänglich

Ich hoffe mit diesem Bericht etwas helfen und Aufklären zu können und stehe gerne jedem für Fragen oder Kritik zur Verfügung.

Written & © 2000-2002 by Marko Rogge
Überarbeitete Fassung: März 2002

Kontakt zum Verfasser:

E-Mail: marko.rogge@kryptocrew.de
Telefon: 0049/173/474 486 1

Der Verfasser Marko Rogge beruft sich auf verlässliche Quellen, eigenen Erfahrungswerten und gibt diese nach bestem Wissen und Gewissen hiermit bekannt.
Der Autor übernimmt keine Haftung für die 100%ige Richtigkeit des Inhaltes sowie deren Folgen oder Anwendungen.

Verwendete Warenzeichen oder Urheberrechte bleiben natürlich erhalten und Eigentum des jeweiligen Inhabers oder Besitzers.

Sollte hier natürlich ein Name oder ein Link auftauchen der nicht gewünscht ist, bitte ich nur darum, mich zu informieren damit dies sofort geändert wird.
Sicherlich können auch Verwechslungen auftreten oder zufällige Gemeinsamkeiten, die sind dann aber nicht beabsichtigt ;o)

Ohne vorherige schriftliche Genehmigung des Verfasser darf dieses Schriftstück in keiner Form kopiert / reproduziert werden.
Weder in fotomechanischer noch in elektronischer Form.

Adressen und Verzeichnisse:

- http://www.kryptocrew.de (Roland, Snakebyte-Eric, Alphatar…)
- http://www.computec.ch (Marc Ruef Security)
- http://www.network-secure.de (Uwe Bergers Projekt)
- http://www.mixtersecurity.de (Mixters Securityseiten)
- http://www.codito.de (Martin J.Muench EDV Service)
- http://www.anti-trojan.net (Anti-Trojan Network)

Ich bedanke mich für die Hilfe bei diesem Bericht und grüße:

Jürgen Ziemke, Uwe Berger, Marc Ruef, Katrin Feldmann, Anti-Trojan Network, Roland Brecht, meine Familie, Enja, Josef Tesar, Sven B. und allen anderen die es mir ermöglicht haben.