| Gefahren
aus dem Internet |
| |
| FAQ zu IP und IP-Adresssierung |
| Adressierung mit
IP oder IP-Adressklassen |
|
Viren |
|
Trojaner |
| Nuker |
|
Portscanning und Sniffing |
|
Cookies - Nutzen und Gefahren |
|
Spyware |
| Gefahren,
Sicherheitslücken und Angriffe bei ICQ |
|
Firewalls |
| Java,
JavaScript und ActiveX - Gefahren und Risiken |
| |
| FAQ zu IP und IP-Adresssierung |
|
Gibt es eine Zuordnung von IP-Adressen zu Ländern,
Providern etc.? |
Nein, es gibt keine grafische Zuordnung von IP (wie z.B. Vorwahl beim Telefon).
Die Adressen werden nach Bedarf/ Anforderungen durch die lokalen Provider (ISPs)
vergeben, die wiederum den nationalen NICs (Network Information Center), wie
z.B. das DENIC bzw. den regionalen Registrierungsbehörden (RIPE (Réseaux IP
Européens), ARIN (American Registry for Internet Numbers ), APNIC (Asia-Pacific
Network Information Center) unterstellt sind. Die oberste Instanz (in
Deutschland würde man sagen Regulierungsbehörde) ist das ICANN bzw. die IANA
(das NIC vergibt nur DNS-Namen). |
|
Wichtige Informationen über die vergebenen IP-Adressen (und DNS-Namen) erhält
man aus den Whois-Datenbanken der oben genannten Organisationen (RIPE, ARIN und
APNIC). |
Umfangreicher und eleganter mit Trace-Route-Funktion, Informationen zu jedem
Knoten unter anderem, kann dies über das Programm Visual-Route erfolgen.
Wenn Sie nur wissen wollen, wer der Eigentümer eines bestimmten Domain-Namens
ist, dann gehen Sie am besten zu www.checkdomain.com. |
|
Kann ich meine IP-Adresse selbst ändern oder bestimmen? |
|
Nein, das geht nicht! |
Diese Adresse wird Ihnen ja von Ihrem Provider zugeteilt und ist Bestandteil
eines IP-Adressplans, der durch die oben genannten Organisationen verwaltet
wird.
Sie können ja auch nicht frei über die Adresse bzw. Hausnummer Ihrer Wohnung
verfügen. Diese ändert sich nur dann wenn Sie umziehen. Das ist aber mit einem
Providerwechsel gleichzusetzen. |
|
Kann ich meine IP-Adresse vor dem Netz verstecken? |
|
Nein, das geht prinzipiell nicht! |
|
Das wäre so, als wenn man auf einem (normalen) Paket keinen bzw. einen falschen
Absender angibt und sich wundert, warum man keine Antwort darauf bekommt. Da die
(IP-)Kommunikation vom Paketaustausch lebt, ist es logisch, dass das nicht
funktionieren kann. |
|
Das einzige was man machen kann, ist seine IP-Adresse vor dem Ziel (Server) zu
verbergen, indem man ein Gateway/ Proxy (vgl. auch IP-Masquerading)
zwischenschaltet. Allerdings ist dann bei diesem Gerät die Adresse des Clients
bekannt, da sie hier ja in die neue Adresse übersetzt werde muss. |
|
Wie kann ich die IP-Adresse eines fremden Rechners
herausbekommen? |
|
Sollten Sie den Namen dieses Rechners kennen, ist das kein Problem. Sie gehen
einfach ein einer der obigen Datenbanken oder lösen diesen Namen hier in eine
IP-Adresse auf. In Abhängigkeit
des verwendeten Betriebssystems funktionieren auch Befehle wie nslookup,
resolve und andere. |
|
Weitere Links zum Thema Traceroute, Adressabfrage etc. finden Sie bei
www.traceroute.org. |
|
Mit etwas Geschick können Sie die Adresse des Absenders aus dem erweiterten
SMTP-Header herauslesen. Allerdings haben Sie dann natürlich nur die Adresse
zum Sendezeitpunkt! |
|
Kennen Sie den Namen des Rechners nicht und besitzen auch keine Verbindung (z.B.
per ICQ oder Chat) dorthin, besteht keine Möglichkeit die Adresse ausfindig zu machen. |
|
Das ist genau so, als wenn Sie die Adresse oder Telefon-Nr. eines Freundes
suchen würden, von dem sie bestenfalls den Vornamen kennen aber nicht
wissen, in welchem Land oder Stadt er wohnt. |
|
Wie kann ich die IP-Adresse meines eigenen Rechners
herausbekommen? |
Hierzu gibt es - je nach Betriebssystem - verschiedene Befehle:
Bei richtigen Betriebssystemen (also z.B. UNIX) und bei Windows NT geht dies über
den Befehl ipconfig. |
|
Bei Windows 9x gibt es hierzu den Befehl winipcfg.exe (am besten in einem
DOS-Fenster ausführen). |
|
Darüberhinaus kann sich jeder Rechner über die IP-Adresse 127.0.0.1 erreichen. |
| Adressierung mit
IP oder IP-Adressklassen
Seitenanfang |
|
Warum IP-Adressen?
|
Mithilfe der IP-Adressen können Rechner und Router einfach den Standort eines
Rechners ermitteln und den optimalen Weg (Routing) des Paketes dorthin
ermitteln.
Hierbei ist es hilfreich, daß die IP-Adresse aus zwei Teilen besteht: Dem sogenannten
Netzwerk-Teil, der eine grobe Beschreibung darstellt, wo sich ein Rechner
befindet, vergleichbar mit dem Namen und der Postleitzahl einer Stadt und dem
sogenannten Rechner- oder Host-Teil, vergleichbar mit Straße und Hausnummer. |
|
Aufbau der IP-Adressen |
|
Die IP-Adressen bestehen aus 4 Octetten ("Byte"), die normalerweise
dezimal dargestellt und durch Punkte getrennt werden (dotted decimal notation);
also z.B. 194.62.15.2 |
|
Diese Darstellungsweise dient jedoch nur zur Eingabe in bzw. Anzeige durch den
Rechner. Intern arbeitet der Rechner jedoch immer mit der dualen Darstellung;
also z.B. 11000010.00111110.00001111.00000010 ,die Punkte zwischen den einzelnen
Octetten setzt der Rechner natürlich nicht. Sie wurden hier nur zur
Orientierung verwendet, bzw. um die Zuordnung der einzelnen Werte zur "Dotted
Decimal Notation" zu erleichtern. |
|
Um flexibel zu sein, sind die beiden bereits erwähnten Teile der Adresse
(Netzwerk-Teil und Host-Teil) nicht fest vorgegeben (z.B. die ersten beiden Byte
für den Netzwerk-Teil, die letzten beiden Byte für den Host-Teil), sondern
variabel und zwar in Abhängigkeit der höchstwertigsten Bit im höchstwertigsten
Byte. Man erhält auf diese Weise verschiedene sogenannte Adressklassen. Es
liegt auf der Hand, daß durch die unterschiedliche Wertigkeit der höchstwertigsten
Bit der Wert des ersten Byte beeinflußt. |
|
Beispiel: |
|
Bei der oben erwähnten Adresse 194.62.15.2 hat das erste Byte (Octett)
folgendes Aussehen: 11000010. Da die ersten beiden Bit den Wert 1 haben, handelt
es sich um eine Class C-Adresse (dezimaler Wert zwischen 192 und 223). Das bedeutet,
daß 194.62.15 die Adresse ("Postleitzahl") des Netzwerkes darstellen,
die 2 die Adresse des Rechners ("Hausnummer"). |
|
Die Adresse 127.0.0.1 |
|
Eine besondere Rolle spielt die Adresse 127.0.0.1 - diese Adresse adressiert,
per Definition, immer den lokalen/ eigenen Rechner. Dieser Adresse wird im
allgemeinen immer der Name Localhost zugewiesen. Laut Standard, ist die
Verwendung des Netzes 127.x.x.x unzulässig ("A address 127.x.x.x should
never be seen on a network!"). |
|
Die 127.0.0.1 kann demnach lediglich genutzt werden, um die Installation des
eigenen Rechners (Layer 3 bis 7) zu überprüfen! |
|
Die Subnetzmaske/ Bildung von Subnetzen |
|
Die Subnetzmaske dient dem Rechner intern dazu, die Zuordnung von Netzwerk-Teil
und Host-Teil vorzunehmen. |
Sie hat denselben Aufbau wie eine IP-Adresse (32 Bit bzw. 4 Byte). Per
Definition sind alle Bit des "Netzwerk-Teils" auf 1 zu setzen, alle
Bit des "Host-Teils" auf 0.
Für die oben genannten Adressklassen hat die Subnetzmaske demnach folgendes
Aussehen: |
Adress-Klasse Subnetzmaske (binär) Subnetzmaske (dezimal)
Class A 11111111.00000000.00000000.00000000 255.0.0.0
Class B 11111111.11111111.00000000.00000000 255.255.0.0
Class C 11111111.11111111.11111111.00000000 255.255.255.0 |
|
Diese Subnetzmaske (auch "Default Subnetzmaske" genannt) kann manuell
überschrieben werden. |
|
Das bedeutet, die "Nullen" können bitweise durch "Einsen"
ersetzt werden. Hieraus ergibt sich, daß nun einzelne Bits (und nicht mehr nur
ganze Byte) netzwerkrelevant werden. Pro jedem auf "1" gesetzten Bit
verdoppelt sich hierdurch die Anzahl der zur Verfügung stehenden Netze und
halbiert sich die Anzahl der darin befindlichen Rechner. |
|
Ein Beispiel (anhand einer Class A-Adresse) sehen Sie auf Folie 38 meiner
Schulung. Hier befinden sich alle Rechner der Adresse von 126.001.xxx.xxx bis
126.127.xxx.xxx auf einem Netzwerk, die Rechner von 126.128.xxx.xxx bis
126.255.xxx.xxx auf einem anderen. |
|
Adressen für private Netze |
|
Für den Gebrauch in privaten Netzen hat die IANA drei Adressen bzw.
Adressklassen reserviert, die im "Public Internet" nie vergeben werden
werden. Es handelt sich hierbei um folgende Adressen/ Adressbereiche: |
10.x.x.x eine Class A-Adresse
172.16.x.x - 172.31.x.x 16 Class B-Adressen
192.168.x.x 256 Class C-Adressen |
|
Diese Adressen werden im Internet nicht geroutet - und sind damit von dort aus
nicht sichtbar! |
|
Diese Adressen kommen auch zum Einsatz, wenn Sie sich mittels WinGate einen
eigenen Proxy/ Firewall aufbauen oder NAT/ PAT (IP Masquerading) nutzen, um mehr
als einen Rechner an einen Provideranschluß zu bringen. |
|
Network Address Translation (NAT) und IP Masquerading |
|
Die begrenzte Verfügbarkeit von IP-Adressen hat dazu geführt, daß man sich
Gedanken über verschiedene Möglichkeiten machen mußte, wie man mit den
existierenden Adressen ein größeres Umfeld abdecken kann. |
Eine Möglichkeit, um private Netze (und dazu gehört letztendlich auch ein
privater Anschluß mit mehr als einem PC) unter Verwendung möglichst weniger
Adressen an das Internet anzukoppeln stellen NAT, PAT und IP Masquerading. Alle
Verfahren bilden private Adressen gemäß RFC 1918 oder einen proprietären
(nicht registrierten) Adressraum eines Netzes auf öffentliche registrierte
IP-Adressen ab.
NAT (Network Address Translation) |
|
Beim NAT (Network Address Translation) werden die Adressen eines privaten
Netzes über Tabellen öffentlich registrierten IP-Adressen zugeordnet. Dieses
hat den Vorteil, daß Rechner, die innerhalb eines provaten Netzes miteinander
kommunizieren müssen keine öffentlichen IP-Adressen benötigt werden. |
|
IP-Adressen interner Rechner, die eine Kommunikation mit Zielen im Internet
aufbauen müssen erhalten in dem Router, der zwischen dem Internet Service
Provider (ISP) und dem privaten Netzwerk steht, einen Tabelleneintrag. Durch
diese Eins-zu-Eins-Zuordnung, sind diese Rechner nicht nur in der Lage, eine
Verbindung zu Zielen im Internet aufzubauen, sondern sie sind auch aus dem
Internet erreichbar. Die interne Struktur des Firmennetzwerkes bleibt jedoch
nach außen verborgen. |
|
IP Masquerading/ PAT (Port and Address Translation) |
|
Beim IP Masquerading - manchmal auch als PAT (Port and Address Translation)
bezeichnet - bildet alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche
(dynamische) IP-Adresse ab. Dies geschieht dadurch, daß bei einer existierenden
Verbindung zusätzlich zu den Adressen auch die Portnummern (vgl. IP Header)
ausgetauscht werden. Auf diese Weise benötigt ein gesamtes privates Netz nur
eine einzige registrierte öffentliche IP-Adresse. |
|
Nachteil dieser Lösung: Die Rechner im privaten Netzwerk können nicht aus dem
Internet angewählt werden. Diese Methode eignet sich daher hervorragend dazu,
zwei und mehr Rechner eines privaten Anschlusses per DFÜ-Netzwerk an das
Internet zukoppeln. |
|
IP Masquerading rückt mit dieser Funktionalität sehr nahe an Proxy- und
Firewall-Lösungen heran, wobei ein Proxy explizit für ein Protokoll (z.B. HTTP)
existieren und aufgerufen werden muß. |
|
IP Masquerading wird von den neuesten LINUX-Kernels unterstützt. |
|
Viren
Seitenanfang |
|
Was sind Viren?
|
|
Viren sind kleine Programme, die sich selbst an andere Programme anhängen können. Wird dann dieses Programm gestartet, ist der Virus aktiviert und kann nun andere
Programme befallen. Neben dieser Vermehrungsfunktion haben Viren meistens eine Schadensfunktion. Diese kann bewirken,
daß Programme nicht mehr funktionieren, daß Daten
verschwinden oder überhaupt der Inhalt der Festplatte gelöscht wird. Sehr viele Viren lassen ihre Schadensfunktion nicht sofort erkennen, um sich möglichst weit zu verbreiten bevor sie erkannt werden (der Virus
Michelangelo wird z.B. nur am 6.März wirksam). |
|
Welche Arten von Viren gibt es? |
|
Es gibt Computerviren, die sich an Programme anhängen. Sie werden auch als File- oder Link-Viren bezeichnet. Andere Computerviren befallen den Boot-Sektor (den Startbereich) von Disketten und Festplatten. Nicht alle Viren hängen sich Huckepack an ein Programm, manche Viren überschreiben wichtige Teile der Programme, die sie befallen. Diese Programme sind dann irreparabel zerstört. |
|
Es gibt noch eine ganze Reihe mehr Virenarten (Makroviren, Wormviruses etc. etc.
etc.). |
|
Viren sind eine gefährliche Angelegenheit und man kann sie nicht ernst genug
nehmen. Genau aus diesem Grund lässt sich mit dieser Angst auch trefflich
Schindluder treiben. Eine dieser Methoden besteht darin, Meldungen über sogenannte
E-Mail-Viren zu verbreiten und damit unerfahrene Anwender in Angst und Schrecken
zu versetzen. |
|
Es gibt keine Viren, die durch E-Mails übertragen werden können. Alle
Warnungen hiervor sind demzufolge böswillige Falschmeldungen, sog. Hoaxes. Im
Prinzip kann man die Meldungen vor diesen Meldungen selbst als Viren bezeichnen. |
|
Warum gibt es keine E-Mail-Viren gibt |
|
Viren können sich nur in ausführbaren Dateien befinden. Bei E-Mails handelt es
sich um reine ASCII-Texte, die keinen ausführbaren Code enthalten. Der Hinweis,
es gäbe aber doch auch Viren in Word-Dateien übersieht, daß es sich hier um
Viren handelt, die in Macros enthalten sind. Aus diesem Grund kann man z.B. ohne
Gefahr auch jedes Word-Dokument öffnen kann, so lange es keine Macros enthält
bzw. der Aufruf unterbunden wird. |
|
Verschiedentlich wird behauptet, daß sich Viren in HTML-Dokumenten verstecken können,
die GIF-Bilder beinhalten. Diese Aussage konnte bisher nicht bestätigt werden,
was auch durch die Tatsache unterstützt wird, daß kein Virenscanner der Welt
GIF-Dateien scannt. |
|
Worauf man trotzdem achten sollte |
|
Anlagen in E-Mails können ausführbare Programme und damit auch Viren
enthalten. Diese Anlagen sollten daher vor dem Aufruf durch einen Virenscanner
überprüft werden. |
|
Sollte ein E-Mail-Client HTML und ActiveX unterstützen, können hiermit Viren
verbreitet werden, da hier beim Starten automatisch das Applet aufgerufen und
damit ein Programm ausgeführt wird. |
|
Trojaner
Seitenanfang |
|
Was sind Trojaner?
|
|
Trojaner sind genaugenommen Remote-Controller; der Haken an der Sache ist aber, dass der Wirt meistens nicht mitbekommt, wenn sein Rechner manipuliert
wird und deren Möglichkeiten sind vielfältig. Der "Fernsteuerer" des Trojaners hat (je nach Typ) volle Kontrolle über den Rechner des Opfers solange dieser online
ist. Vom einfachen Screenshot bis zum logen der Tastatureingabe über die Manipulation sämtlicher Daten auf dem Rechner des Opfers! |
|
Wie funktionieren Trojaner?
|
|
Ein Trojaner besteht immer aus einem Client und einem Server; wobei der Server, getarnt durch ein anderes harmloses Programm (z.B.
Bildschirmschoner, Bilddateien, oder selbstextrahierende Programme) auf den Rechner des Opfers geschleust wird wo er, sobald das Trägerprogramm gestartet wird aktiviert wird. Je nach Art des Trojaner nimmt der Server dann mit seinem Besitzer per E-Mail Kontakt auf und übermittelt diesem bei jedem Onlinegang die aktuelle IP-Adresse des Opfers. |
|
Sind Trojaner gefährlich? |
Diese Frage kann man nicht pauschal beantworten, grundsätzlich ja (es kommt natürlich
immer darauf an, wer den Trojaner bedient und zu welchem Zweck).
Speziell für Leute, die Onlinebanking machen oder ihre Kreditkartennummer auf dem Rechner gespeichert haben, können Trojaner
unter Umständen Existenz bedrohend sein. Denn der Bediener des Trojaners hat (je nach Sicherheitsstufe der Datenübermittlung) den gleichen Zugriff auf das Konto des Opfers wie das Opfer selbst. |
|
Wer seinen Rechner nur zum surfen benutzt und keine sensiblen Daten auf der Festplatte hat (auch nicht die Passwörter für den
Internetzugang oder ähnliches) hat im Grunde nicht viel zu befürchten. |
|
Wie kann ich mich infizieren?
|
Infektionsquelle Nummer 1 sind ganz klar Downloads von unbekannten oder nicht vertrauenswürdigen Quellen. Wie schon beschrieben sind Trojaner in ausführbaren Programmen aller Art versteckt und werden bei dessen Start aktiviert.
Wie erkenne ich, dass ein Trojaner auf meinem Rechner ist? |
Meist gar nicht, das ist das Problem! Ist der Trojaner erst einmal aktiviert, kann er sich auch vor Virenscannern verschleiern. Es gibt jedoch zwei Möglichkeiten; mit einem Processviewer kann man sämtliche Prozesse, die auf dem Rechner laufen überwachen. Wenn also z.B. ein Prozess Namens
.exe (blank.exe) läuft, kann man davon ausgehen, dass dies ein Trojaner ist, muss aber nicht zwangsläufig sein.
Die zweite Möglichkeit ist, eine Firewall wie z.B. At-Guard mitlaufen zu lassen, der sämtliche ein-und ausgehenden Aktivitäten anzeigt und
gegebenenfalls verhindert. |
| Wie kann ich mich schützen?
|
|
Natürlich zuerst einmal, indem man nichts auf seinem Rechner installiert, von dem man nicht genau
weiss, woher es kommt. |
|
Des Weiteren hat man bedingten Schutz durch einen aktuellen Virenscanner, der (wenn rechtzeitig installiert) verhindert, dass Programme ausgeführt werden können, die mit einem Trojaner infiziert sind. Bedingter Schutz deshalb, weil schon kleine Manipulationen im Quellcode der Trojaner (z.B. von Back
Orifice) diesen für den Virenscanner
unter Umständen nicht mehr erkennbar machen. Die einzige Möglichkeit, einigermassen wirkungsvoll zu verhindern, dass der Rechner bei Trojanerbefall missbraucht wird, ist der Einsatz einer Firewall wie z.B. AT-Guard
oder ähnlichen Programmen. Auch wenn der Trojaner auf dem Rechner installiert wurde ist er doch so lange harmlos, solange er nicht von
außen aktiviert wird. |
| Nuker
Seitenanfang |
|
Was sind Nuker?
|
Nuker sind Programme die es dem Nutzer ermöglichen falsch
dimensionierte Datenpakete an einen offenen Windows-Internet-Zugang zu schicken.
Die Windowsbetriebssysteme kommen damit überhaupt
nicht zurecht und quittieren dies mit Verbindungsabbrüchen. Um dies zu beenden hilft
nur ein Neustart, da das Betriebssystem immer noch auf eine Datenübertragung
wartet. |
Ping of Death sendet übergroße Datenpakete an den Empfänger. Da dadurch
Problem beim
empfangen vorkommen hilft auch hier nur ein Neustart. |
|
SYN-Flooding darunter versteht man das verschicken von Datenpaketen mit einem
falschen Absender. |
|
Wenn man nun bestätigt kann zwar keine Verbindung geöffnet werden da es sich
um eine falsche Adresse handelt aber der Absender hat sein Ziel erreicht eine halb offene Datenleitung
zu öffnen. Dieser Vorgang wird so oft wiederholt bis das System des Empfängers zusammenbricht! |
|
Portscanning und Sniffing
Seitenanfang |
|
Was ist Portscanning?
|
|
Beim scannern überprüft ein Tool, ob und wenn welche IP-Ports auf dem
Zielrechner offen sind. Die Suche kann auf bestimmte Bereiche eingeschränkt
werden, sich aber auch über die ganzen Bereich erstrecken (was speziell im
Internet sehr zeitaufwendig ist.
|
|
Ist Portscanning gefährlich? |
|
Portscanning alleine ist normalerweise völlig ungefährlich. Aber in
aller Regel hat dieses Scannen einen Zweck, nämlich eben offene Ports am
Rechner zu finden und dort unter Umständen einzudringen. Oft kommt es vor, dass man von
einem Trojaner gescannt wird, das ist in der Regel reiner Zufall da man mit den meisten Trojanern ganze IP-Gruppen nach
eventuell vorhandenen Opfern absuchen kann. Ist auf ihrem Rechner ein Trojaner
installiert, haben Sie Pech gehabt, wenn nicht passiert auch nichts. Da sie
solche Scannings in aller Regel nur mitbekommen, wenn Sie eine Firewall
installiert haben, sind Sie gegen viele Übergriffe normalerweise sowieso schon
abgesichert.
|
|
Was ist Sniffing?
|
|
Beim sniffen hängt zwischen dem Sende-und Empfangsrechner ein dritter
Rechner, der die vom Sender gesendeten IP-Pakete abfängt, ausliest und unter
Umständen verändert.
In der Regel funktioniert diese sniffen aber nur in Diffusionsnetzwerken
(Ethernet), da dort an allen Rechnern alle Signale anliegen |
| Ist Sniffing gefährlich?
|
|
Teilweise sehr gefährlich, da der Datenverkehr zwischen zwei Rechnern abgefangen
und ausgelesen werden kann. Umso sensibler die Daten sind, desto gefährlicher
ist das sniffen für die Opfer. |
|
Cookies - Nutzen und Gefahren
Seitenanfang |
|
Was sind Cookies?
|
|
Cookies sind Informationen in ASCII-Text, die durch die aufgerufene HTML-Datei
generiert (z.B. per Java-Script) und dem Browser zum Ablegen auf der lokalen
Platte übergeben werden. Ein Cookie kann also nur das "tun", was der
Browser zuläßt. Und das ist bei modernen Browsern relativ wenig: Es können nämlich
nur die Dinge abgefragt werden, die von dem Browser in den speziell für Cookies
reservierten Bereich hineingeschrieben worden sind (bei Netscape ist das die
Datei cookies.txt, beim MS IE das Verzeichnis \cookies). Nach den Definitionen dürfen
pro Server außerdem nicht mehr als 20 Cookies abgelegt werden, insgesamt max.
300 mit max. 4 MB.
|
| Was ein Cookie nicht kann
|
Es kann keine Viren übertragen - da ASCII-Zeichenstring, der nicht ausgeführt
wird
Es kann keine E-Mail-Adressen auslesen
Es kann keine Platteninhalte auslesen (Bug seit NS 2.0 behoben)
Es kann die History-Datei nicht übertragen (Bug seit NS 3.0 behoben)
Es kann keine unbemerkten E-Mails versenden (Warnung durch Browser!)
Es kann Ihnen nicht Ihre gesamte Platte voll schreiben oder gar löschen |
| Gefahren durch Cookies
|
Diese Risiken beziehen sich meistens auf die Privatsphäre ("Privacy")
des Anwenders. Dadurch, daß ein Server sozusagen eine "Duftmarke" auf
Ihrer Platte hinterläßt und dieser (bekannte) Bereich von anderen Servern
ausgelesen werden darf, kann man natürlich einiges über Ihre Interessen,
Vorlieben und Neigungen erfahren - und zwar um so genauer, je mehr Cookies sich
auf Ihrer Platte befinden.
Sie können das Ablegen von Cookies auf Ihrem Rechner allerdings verhindern.
Indem Sie z.B. immer Cookies ablehnen, indem Sie die entsprechende Option bei
Ihrem Browser einschalten (»Cookies immer ablehnen«) oder in dem Sie das File/
Verzeichnis "Cookies" löschen bzw. schreibschützen. |
|
Allerdings können Sie dann einiges nicht mehr nutzen: |
|
Die Vorteile von Cookies |
|
Diese ergeben sich beim "bestimmungsgemäßen" Gebrauch. Das sind die
Einsatzbereiche, für die die Cookies seinerzeit "erfunden" wurden:
Das Netz an die Bedürfnisse jedes einzelnen Anwenders anzupassen und ihm seine
Arbeit zu erleichtern. Im einzelnen geben sich z.B. folgende Einsatzgebiete: |
Das Abspeichern von Einstellungen (Preferences), die ein Anwender einmal ausgewählt
hat; z.B. Hintergrundfarbe, Auswahlmöglichkeiten (z.B. My Yahoo!).
Das Erleichtern des Zugangs durch das lokale Abspeichern des Passworts, so daß
es nicht mehr jedes Mal eingegeben werden muß. Achtung: Dieses Password liegt
dann auf Ihrer Platte und kann von jedem, der Zugang zu Ihrem Rechner hat
ausgelesen bzw. genutzt werden! (z.B. My Excite oder WhoWhere). |
|
Das Festellen des letzten Besuches, um so dem Anwender nur die Dinge anzubieten,
die sich seitdem verändert haben. |
|
Zum Erstellen anonymisierter, aber genauer Besucherstatistiken (z.B. bei
Webcountern), um so dem Webmaster die Möglichkeit zu geben, seine Seiten den
Bedürfnissen der Besucher anzupassen. |
|
Das Abspeichern von Registrier-Nr. für einen automatisch autorisierten, angepaßten
Software-Update (z.B. bei Realaudio). |
|
Diese Liste ließe sich wahrscheinlich noch eine zeitlang fortsetzen; ich glaube
aber sie zeigt schon bis hierher, wo und wann der Einsatz von Cookies notwendig
oder zumindest angenehm ist. |
|
Auf den generellen Einsatz von Cookies kann wohl kaum verzichtet werden.
Andererseits ist es genau so falsch, Cookies immer zuzulassen, am besten ist von
Fall zu Fall individuell zu entscheiden! |
|
Spyware
Seitenanfang |
|
Was ist Spyware?
|
|
Unter Spyware versteht man Programme, die immer dann, wenn ein Anwender online ist, Informationen über den Rechner, die Surfgewohnheiten etc. in das Netzwerk senden und damit die Privacy des
Anwenders zerstören. Auf diese Weise kann man gewaltige Datenbanken aufbauen, die wesentlich mehr und detailliertere Informationen bieten, als es durch Cookies je denkbar wäre. Abgesehen davon, dass man beide Mechanismen natürlich auch kombinieren kann! |
|
Wer nutzt Spyware bzw. welche Programme sind "verseucht"?
|
|
Neben so bekannten Programmen wie Go!Zilla 3.5 sind auch Programme zum Virenschutz bzw. zum Abwehren von Hackerangriffen (z.B.
ProtectX)
verseucht. Dass Programme, die vorgeben, sich um die Sicherheit/ Privacy des PCs zu bemühen solche Mechanismen benutzen ist unverständlich, um nicht zu sagen
gemein!
|
|
Kann ich ein Spyware verseuchtes Programm löschen?
|
|
Gehen wir einmal davon aus, Sie wüssten, dass sie ein solches Programm auf Ihrer Festplatte haben. Dann könnten Sie auf die Idee kommen, dieses Programm zu löschen - was auch funktioniert. Leider ist es so, dass dadurch nur das Programm selbst, nicht aber die Komponenten der Spyware von Ihrem Rechner löschen. Denn es bleiben sowohl die Dateien, als auch die Registry-Einträge auf Ihrem PC erhalten, die auch weiterhin fröhlich Informationen über Ihren Rechner und Ihre Surfgewohnheiten in das
Internet senden.
|
|
Wie funktioniert das genau und wie erkenne ich Spyware?
|
|
Die Aureate Software z.B. arbeitet auf dem Port 1975 und hinterlässt wie alle Spyware Spuren auf Ihrem PC.
|
|
Da Aureate Media keine kriminellen Ziele verfolgt, tarnen sich die dazugehörigen Programme nicht (z.B. durch wechselnde
Dateinamen). Die wichtigsten Dateien (meistens dll- oder ocx-Dateien) finden Sie in den Systemverzeichnissen (also
c:\windows\system\ bzw. c:\winnt\system32\). Die wichtigsten Dateien heißen advert.dll und
amcis.dll. Suchen Sie also am Besten nach den Namen advert, amcis und - eine weitere Spydatei
anad, so dass sie diese durch eine
Suche finden können.
|
|
Optout - der Helfer in der Not?
|
|
Eine umfassendere und bequemere Überprüfung Ihrer Festplatte und Ihrer
Registry, so wie die die vollautomatische
Entfernung aller Spuren (Files, Registry-Einträge etc.) jeglicher Spyware erhalten Sie durch ein kleines Programm mit dem Namen
OptOut.
Weitere Informationen und andere sehr nützliche Utilities bekommen sie auf der Optout Homepage.
|
|
Wie kann ich mich gegen Spyware und andere Privacy-Verletzungen schützen?
|
|
Die Verletzung der Privacy geschieht immer dadurch, dass (unbemerkt) Informationen über Ihren Rechner ins Internet geschickt werden. Dies kann neben Spyware auch durch Cookies und Trojaner wie netbus oder subseven erfolgen. Sie müssen also "nur" Ihren ausgehenden Datenstrom überwachen bzw. kontrollieren. |
|
Ein sehr gutes - und vor allem kostenloses - Tool ist ZoneAlarm (von ZoneLabs), das Sie sich unbedingt anschauen und installieren sollten. |
|
Gefahren, Sicherheitslücken und Angriffe bei ICQ
Seitenanfang |
|
ICQ-Exploits oder Attacke
|
|
ICQ hat sich in der letzten Zeit zu einem der Renner auf dem Internet entwickelt. Natürlich haben Hacker dieses umfassende Gebiet
für sich entdeckt. Daran hat auch der Kauf durch AOL nichts geändert. Inzwischen liegt zwar die neue Version
vor, an den Gefährdungen hat sich jedoch nichts geändert, da die prinzipielle Arbeitsweise dieselbe geblieben ist. |
|
Gefahren und Bedrohungen Exploits und Attacks! |
|
Es gibt Programme, die zur Störung des ICQ-Betriebes (bombing, flooding,
spamming) bzw. zum Ausspionieren (hacking, spoofing) von verdeckten Informationen verwendet werden können. |
| Bombing,
Flooding, Spoofing
|
|
Hierbei handelt es sich um Programme, die einen Partner mit größeren Mengen unsinniger Messages überschütten und hierbei
gegebenenfalls sogar eine andere Identität vorzutäuschen, so dass das Opfer noch
nichteinmal nachvollziehen kann, wer den Angriff durchgeführt hat. |
|
Darüberhinaus gibt es auch Patches, die einen normalen "E-Mail-Bomber" für den Gebrauch bei ICQ adaptieren. |
| Trojanische Pferde, Fakes
|
|
"Retail_10.exe" (auch "Final 1.0") installiert Ihnen einen unsichtbaren "NetBus 2.0" Server, der sich automatisch bei jedem Windows-Start aktiviert und
darüber hinaus auch die Loggingfunktion abgeschaltet hat. |
| "ickiller.zip" ist ein Trojanisches Pferd, das auf Ihrem Rechner einen Prozess mit dem Namen "Explorer" startet, der es erlaubt, von außen auf Ihr System zuzugreifen,
das heißt Daten auszuspionieren und zu löschen. Nebenbei soll es auch noch ICQ-Bomben verschicken! |
| Sniffing, Hacking
|
|
Mit solchen Programmen ist es möglich verschiedene Informationen (auch ohne das Wissen und den Willen des Anwenders) auszulesen. Hierzu gehören z.B. die (versteckte)
IP-Adresse, das ICQ-Password oder auch den ganzen Datenstrom! Diese Utilities bereiten hiermit sozusagen den Weg für den Einsatz anderer Hacker-Tools (z.B.
WinNuke). |
|
Sicherheitsloch beim ICQ 99a im Webserver |
|
Seit Version 99a (BUILT 1700) kann unter "Services" der Punkt "Activate Homepage" aufgerufen werden, mit dem Dateien, die auf dem eigenen PC im Verzeichnis
/ICQ99/Hompage/Root/<ICQ-Nummer>/personal abgelegt sind anderen ICQ-Anwendern zur Verfügung gestellt werden können. Durch einen Bug ist es möglich, daß man sich im Verzeichnisbaum ind die nächst höheren Verzeichnisse begibt. Hierbei sind für jedes höhere Verzeichnis nur vier Punkte ("/...../" = ein Verzeichnis höher, "/........../" = 2 Verzeichnisse höher usw.) einzugeben. Die Datei
c:\test.html erreichen Sie demnach mit dem Befehl http://<ICQ-Nr.>/............./test.html. Dateien mit einer anderen Endung als
.html sind normalerweise nicht abrufbar - über einen Trick funktioniert es dennoch. Die Datei
c:\config.sys erreichen Sie z.B. über http://<ICQ-Nr.>/.html/............./config.sys. |
|
In der neuesten Version (BUILT 1701) hat sich Mirabilis bemüht, diesen Bug zu beheben - was jedoch nur teilweise gelungen ist. Man kann zwar jetzt keinen Download von Files mehr durchführen, es ist aber weiterhin möglich, die Existenz eines Files abzufragen und eigene Files auf den anderen
Rechner zu transferieren (Upload). |
|
Ich kann also nur folgenden dringenden Tip geben: Nutzen Sie die Funktion "Activate Homepage" unter keinen Umständen! |
| ICQ-Hackprogramme |
|
ISoaQ Mit diesem Prgramm können alle denkbaren Patches bequem unter Windows durchgeführt werden; außerdem funktioniert es mit allen existierenden ICQ-Versionen
(incl. ICQ99a), die es automatisch erkennt. |
|
icqsniff.zip Programm zum Ausspähen von IP-Adressen, wenn sie vom Anwender auf "nicht sichtbar" gestellt worden sind. |
|
icqprotector.zip schützt durch Öffnen von vielen Ports vor möglichen Bombs/Floods! |
|
Firewalls
Seitenanfang |
|
Was ist ein Firewall? |
|
Ein Firewall ist ein Rechner oder eine Software, die den Traffic auf einen (oder eine Gruppe von Rechner) Rechner kontrolliert und überwacht. Es können Restriktionen für einzelne IP-Adressen auferlegt werden oder der Zugriff kann auch komplett verweigert werden. Des Weiteren können Ports gesperrt werden und einzelne Pakete (im Netzwerk) gezielt weitergeleitet oder abgelehnt werden. |
|
Was nützt mir ein Firewall? |
|
Wer Wert auf ein Mindestmaß an Sicherheit beim surfen legt, kommt an einer Firewall nicht vorbei. Man hat einen ziemlich konkreten Überblick was der Rechner empfängt und was vom Rechner gesendet
wird, womit in den meisten Fällen Trojanerzugriffe abgefangen werden können. Des Weiteren werden auch Nuke-Attacken sehr wirkungsvoll abgefangen. In den Logdateien kann man auch nachsehen, wer wann welchen Kontakt mit dem eigenen Rechner aufgenommen hat. |
|
Welche Risiken birgt ein Firewall? |
|
Vor Allem einmal das der Fehlkonfiguration; denn jeder Firewall ist nur so gut wie seine
Konfiguration, das soll heißen, lassen Sie (beabsichtigt oder nicht) den Zugriff z.B. auf einen bestimmten Port zu, besteht natürlich immer das Risiko, dass diese Schwachstelle auch ausgenutzt wird. |
|
Man sollte sich auch trotz Firewall nicht in unbedingter Sicherheit wiegen, denn bisher wurde noch jeder Sicherheitsmechanismus
geknackt, die Frage ist nur, ob sich Spezialisten ausgerechnet ihren Rechner
aussuchen. |
|
Firewall-Techniken (Filterverfahren) |
Man unterscheidet zwischen:
Paketfiltern, Application Level Firewalls, Stateful Inspection, für den Einsatz
auf einem direkt ans Internet angeschlossenen PC gibt es außerdem noch die sog.
Personal Firewalls (oder Desktop Firewalls). |
Paketfilter:
Paketfilter stellen die einfachste Variante einer Firewall dar. Hierbei wird
immer der sog. Header der einzelnen Protokolle (IP-Header, ICMP-Header,
TCP-Header, UDP-Header) überprüft und in Abhängigkeit der eingestellten
Filter-Regeln verarbeitet. man unterscheidet hierbei drei Varianten:
allow Paket wird durchgelassen
deny Paket wird verworfen
(Sender bekommt einen "Time Out" bzw. keine Meldung)
reject Paket wird zurückgewiesen
(Sender bekommt eine Fehlermeldung)
Vorteile:
gute Performance, aufgrund der vergleichsweise geringen Funktionalität
einfache Konfigurierbarkeit bei wenig komplexen Problemstellungen
Nachteile:
Missbrauch von Protokollen nicht erkennbar (z.B. Fragmentation-Attack, bei der
der TCP-Header auf das erste und zweite Paket aufgeteilt wird)
Ausnutzung von Schwachstellen (Buffer Overflow, WinNuke)
nur eingeschränkte Möglichkeiten zur Protokollierung
keine Content-Filterung (z.B. Active-X, Cookies, FTP-PUT)
unübersichtlich bei großer Anzahl von Filterregeln (Fehlerquelle!)
|
Application Level Firewalls (ALF)
Das Application Level Firewall wird in den Datenstrom zwischen Client und Server
geschaltet und "spielt" in Richtung Client den Server und stellt gegenüber
dem Server den Client da. Für jeden TCP-Dienst wird daher ein eigenes Programm
(der sog. Proxy) benötigt!
Vorteile:
ein Proxy arbeitet systembedingt richtungsabhängig
eine Fehlfunktion des Proxy stellt weitestgehend keine Sicherheitslücke dar,
sondern unterbindet im Zweifelsfall die Kommunikation
Nachteile:
aufgrund der Bearbeitung auf OSI-Layer 7 geringere Performance
nicht für alle Firewalls und Applikationen gibt es Proxies (Abhilfe ggf. "Generic
Proxy") |
Stateful Inspection
Diese von Checkpoint eingeführet Filtertechnik (Informationen gibt's als
Checkpoint Produktbeschreibung bzw. in den Checkpoint Tech Notes) ist in der
Lage, sich die aktuellen Status- und Kontextinformationen zu merken bzw. diese
bei der Filterung zu berücksichtigen. Auf diese Weise kann z.B. die
Fragmentierungs-Attacke abgewendet oder ein manipulierter Verbindungsaufbau
erkannt werden. Firewalls stellen daher ein Zwischending zwischen reinen Filtern
und Application Level Firewalls dar. Dies gilt auch für die Vor- und die
Nachteile. |
| Aufbau eines (sicheren) Firewall-Systems
|
Bei geringen Anforderungen reicht es, vor das zu schützende Netzwerk (Intranet)
einen einzigen Firewall-Rechner zu stellen. Bei mittleren bis hohen
Anforderungen sollten Sie sich jedoch für ein zweistufiges System entscheiden.
Hier sind zwei Firewalls (eine äußere und eine innere Firewall) über eine
sog. demilitarisierte Zone (DMZ) - manchmal auch Grenznetz genannt - miteinander
verbunden.
Auf diese Weise ist das Intranet noch geschützt, selbst, wenn die äußere
Firewall kompromittiert worden sein sollte. Außerdem können in dieser DMZ
Rechner/ Server aufgestellt werden, die einer ausgewählten Öffentlichkeit
(z.B. Kunden) zugänglich gemacht werden sollen, ohne dass diese gleich Zugriff
auf das gesamte interne Netzwerk benötigen.
|
|
Personal Firewalls/ Desktop Firewalls
|
|
Die sogenannten Personal Firewalls (auch Desktop Firewalls genannt) laufen, wie
der Name schon sagt, auf dem PC selbst. Ihre Aufgabe ist es - oder besser: soll
es sein, Unzulänglichkeiten des Betriebssystems auszugleichen, das heißt den
Rechner vor Angriffen von außen zu schützen. Hierzu gehören neben Java- bzw.
ActiveX-Angriffen, Denial of Service-Attacken vor allem auch das Verhindern von
fremden Zugriffen von außen. Da ein Windows PC normalerweise nur als Client
verwendet wird, demnach also keine Server (z.B. FTP-Server, Mail-Server)
gestartet sind, über die aktiv auf den PC zugegriffen werden könnte, ist dies
nur möglich, wenn der Rechner mit einem Trojaner (z.B. netbus oder subseven)
verseucht ist. Wer seinen PC sauber hält, weil er entweder keine dubiosen
Dateien annimmt bzw. downloaded oder weil er einen Virenscanner benutzt,
benötigt hierfür keine Personal Firewall. Da man sich vor Java-/
ActiveX-Angriffen durch entsprechende Browser oder zumindest
Browser-Einstellungen schützen kann und gegen Denial of Service-Attacken i.a.
sichere bzw. gepatchte Betriebssysteme weiterhelfen, ist die Sinnhaftigkeit
solcher Personal Firewalls wohl mehr in den Bilanzen der Unternehmen, als in
einer (sicherheits-)technischen Notwendigkeit beim Anwender zu finden.
|
|
Sollte man sich dennoch für eine Personal Firewall entscheiden, muss man berücksichtigen,
dass diese Software auch Systemressourcen "frisst" (und teilweise
nicht zu knapp!), den PC unter Umständen destabilisiert und auch nicht alle
oben genannte Probleme erkennt bzw. beseitigt. Deshalb sollte man über eine
Kombilösung aus mehreren Produkten nachdenken und auch lieber nicht den
Versprechungen der Hersteller vertrauen. Ziehen Sie besser unabhängige Tests
heran. |
|
Java, JavaScript und ActiveX - Gefahren und Risiken Seitenanfang |
|
Was ist Java - wie funktionieren Java-Programme bzw. Java-Applets? |
|
Java ist eine Programmiersprache, die ursprünglich für die Programmierung von
Elektrogeräten gedacht war (und dort auch eingesetzt wird). Erfinder ist SUN. Java
ist vom WWW unabhängig und auf allen Betriebssystem-Plattformen lauffähig. |
|
Man muß unterscheiden zwischen Java-Programmen und Java-Applets. |
|
Java-Programme sind vollwertige Anwendungen, die auf Rechnern genauso lauffähig
sind, wie andere Applikationen. |
|
Java-Applets bestehen aus Programmcode, der nur auf einem Browser lauffähig
ist. Sie laufen dort innerhalb der sogenannten Sandbox. |
|
Javascript ist eine ursprünglich von Netscape entwickelte Scriptsprache, die
sich an Java anlehnt, aber nur als Erweiterung des Browsers läuft. |
| Was ist
ActiveX? |
|
ActiveX ist eine von Microsoft entwickelte Technologie, die aus mehreren
Komponenten besteht z.B.OCX-Bedienelementen. |
|
ActiveX-Elemente greifen sind Bestandteil des Betriebssystems (dadurch sehr
schnell), was aber zur Folge hat, daß diese nur auf Windows-Rechnern laufen
(MAC/OS in Planung). |
|
Bei ActiveX gibt es keine Unterscheidung zwischen Programmen und
"Applets". |
|
Wie funktioniert ActiveX? |
ActiveX-Elemente werden durch den Browser sozusagen nur aufgerufen und laufen
dann unabhängig (außerhalb des "Einflußbereiches" des Browsers).
Zur Ausführung muß hier die sogennante Java Virtual Machine (Java VM) zur Verfügung
stehen. |
| Wie funktionieren
Java-Applets?
|
|
Der Java-Sourcecode wird in Maschinensprache übersetzt, zur Ausführung müssen
"Klassenbibliotheken" zur Verfügung stehen. Sie laufen nur in einem
java-fähigen Browser. Der Maschinencode wird vor der Ausführung unter
anderem auf Richtigkeit, Virenfreiheit und Konformität mit den
Java-Spezifikationen überprüft. |
| Was dürfen Java-Applets bzw. was dürfen sie nicht?
|
|
Sie dürfen nur das, was ihnen die Sandbox zugesteht - dadurch wir "untrusted
code" zu "trusted code". |
|
Sie dürfen nicht auf Speicher (oder andere Hardware) direkt zugreifen und
keine Betriebssystemfunktionen aufrufen. |
|
Sie darf nicht auf das File-System des Rechners (Clients) zugreifen und
auch keine Netzwerkverbindungen aufbauen. |
| Was dürfen
ActiveX-Elemente? |
|
Sie dürfen alles, was Windows (DLLs) auch darf. Hierzu gehören insbesondere den
Zugriff auf den gesamten Arbeitsspeicherund dem File-System des Clients, Aufruf
aller Betriebssystemfunktionen und Nutzung des Netzwerkanschlusses. |
| Gefahren durch Java-Applets |
|
Sind gering, da durch Bytecodeverifier, und "Sandbox" abgesichert,
Risiken treten nur durch Programmierfehler (Bugs) in den Browsern auf. |
| Gefahren durch ActiveX-Elemente |
|
Sind unüberschau- und momentan nicht einschätzbar! |
| Schutzmechanismen für Java/ Java-Script und ActiveX
|
|
Netscape Navigator |
|
Abschalten von Java bzw. Java-Script (getrennt). Hierdurch ist eine Gefährdung
durch Programm-Bugs (bei Java) 100%-ig auszuschließen. ActiveX ist prinzipiell
nicht möglich |
|
Microsoft Internet Explorer
|
|
Verschiedene Sicherheitsstufen (wenig, mittel, hoch, individual). Diese bezieht
sich dann sowohl auf Java, ActiveX, Cookies und Plugins! |
| |
|
Viel
Spass beim A1port - das A1port Team! |