Aller Anfang ist….

… ja, was denn?

Nun habe ich mich auch entschlossen, einen Blog im Netz bereitzustellen.
War recht einfach…Blog erstellen, Design ein wenig anpassen, fertig.
ABER.. was nun?
Ein leerer Blog? Was schreibt man als erstes? Soll ich hier wirklich mit wenigen Artikeln beginnen? Was macht das für einen Eindruck auf die neuen Leser?

Etliche Fragestellungen…. aber auch ein klares “Statement” von mir:
Ja, er ist neu.. der Blog.. und.. ich muss mich nicht dafür schämen, noch nicht tausende an Beiträgen online zu haben.

Ich habe den Anfang gemacht und das ist, finde ich, das Wichtigste.

Somit begrüße ich alle Leser und wünsche zukünftig viel Spaß an den Artikeln, die von mir und meinen Gastautoren hier zu lesen sind.

Ihr

Guido Hartmann

Veröffentlicht unter Allgemein | Kommentare deaktiviert

Das war der 21. EDV Gerichtstag in Saarbrücken

Alles Schöne ist irgendwann auch mal vorbei. So ging es mir auch nach dem 21. EDV Gerichtstag, der im der Zeit vom 12. -14.09.2011 in Saarbrücken stattgefunden hat.

Ich muß zugeben, es waren für mich drei sehr schöne und aufklärende Tage mit vielen neuen Kontakten, interessanten Beiträgen und heißen Diskussionsrunden.

Erstmals wurde dieses Jahr ein neues Konzept versucht.
So gab es Mittwochs einen Hacker Camp, der Gelegenheit bot, im Rahmen der Fachinteressierten über Themen in den Bereichen EDV, Datenschutz, Systemsicherheit, sowie Forschung und Entwicklung zu sprechen. Ebenfalls wurden parallel offene Arbeitskreise durchgeführt.

Vorgestellt wurden u.a. Methoden der Browser-Sicherheit und Track-Analytic sowie die Möglichkeiten alternativer Browser etwas abseits der Mainstream-Anwendungen.

Hier hat mir das FireFox-Plugin PrimeLife Privacy Dashboard sehr gut gefallen. Mithilfe des Dashboards lässt sich z.B. sehr gut zeigen, welche zahlreichen Cookies von der besuchten Webseite aus gespeichert werden und.. was viel interessanter ist… welche fremden Sites noch alle so ihre Informationen hierbei Querverlinken.
Der Funktionsumfang des PrimeLife Privacy Dashboard ist meines Erachtens noch einen gesonderten Beitrag wert. Ich hoffe, das ich beizeiten die Gelegenheit finde, hierüber mehr zu berichten.

Aber auch die weiteren Themen- und Arbeitskreise sorgten dafür, dass keine Langeweile auftrat. So musste ich doch meine vorbereitete Liste der zu besuchenden Seminare ein paar mal umplanen und hätte mich am liebsten zweigeteilt, damit auch die parallel laufenden Themen verfolgt werden konnten.

Für angeregte Diskussionen sorgte auch der Beitrag von Herrn Prof. Dr. Ory, der den aktuellen Stand zum Thema “Abmahnung wegen illegaler Downloads” und auch der Folgen in Verbindung des jüngst gesprochenen  BGH-Urteils (“Alles kann besser werden”) moderierte.

Fazit für mich: Ich habe drei wichtige Tage in Saarbrücken verbringen dürfen, eine Einladung als Referent zum 22. EDV GT erhalten und sehr nette Menschen kennengelernt.

Daher freue ich mich jetzt schon auf den kommenden Gerichtstag im nächsten Jahr.

Veröffentlicht unter EDV Gerichtstag, IT-Forensik | Kommentare deaktiviert

Großangelegter Trojaner-Test von BSI, BKA und Telekom

Die jüngsten Nachrichten auf allen bekannten Kanälen berichten von einem akuten Virenbefall auf weltweit betroffenen PCs.

Eine groß angelegte Aktion, unterstützt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), dem BKA und der Telekom, soll hierbei einen möglichen Befall des eigenen Rechners anzeigen. Das BSI empfielt jedem Nutzer eines Computers, ob sie von der Schadsoftware “DNS-Changer” betroffen sind. Erstaunlicherweise sind diesmal sogar Nutzer von PC- und auch Mac-Systemen betroffen. Die Schadsoftware manipulierte hierbei die Netzwerkeinstellungen der befallenen Systeme und teilweise auch die Einstellungen angeschlossener Router.

Das Problem ist den Behörden allerdings bereits seit dem November des vergangenen Jahres bekannt. Zu diesem Zeitpunkt hatte das FBI in Zusammenarbeit mit den estnischen Behörden die Betreiber eines der größten Bot-Netze verhaften können und in diesem Zusammenhang mehr als hundert Server beschlagnahmt. Eine weitere Gefahr für den User besteht im Zusammenhang mit diesem Bot-Netz nun zwar nicht mehr, allerdings werden die verseuchten Rechner noch immer auf bestimmte Serveradressen umgelenkt. Das FBI hat daher die betroffenen IP-Adressräume auf extra hierfür eingerichtete Server verlinkt um somit den betroffenen Usern die Möglichkeit zu geben, ihre Systeme zu prüfen und bereinigen. Diese Server werden allerdings im März abgeschaltet. Bis dahin sollten daher alle Systeme bereinigt sein.

Schlimmstenfalls können ab diesem Zeitpunkt betroffene Rechner nicht mehr die sogenannten DNS-Einträge auflösen und somit keine Inhalte im Netz mehr erreichen.

Über die Webseite  www.dns-ok.de , betrieben von der Telekom, kann jeder Nutzer prüfen, ob sein eigener PC vom Trojaner “DNS-Changer” betroffen ist. Im Falle einer positiven Untersuchung wird eine Hinweisseite mit einem roten Balken dargestellt und die Anleitung zur Beseitigung angegeben.

Durch einen grünen Balken wird dargestellt, dass der PC nicht von diesem einen Trojaner befallen ist.

An dieser Stelle ein wichtiger Hinweis: Die Webseite scannt nicht das eigene System auf Befall, sondern es wird lediglich getestet, über welchen DNS-Server die Seite aufgerufen wurde. Falls der eigene PC Opfer des Trojaners ist, kann wirklich nur dieses Fehlverhalten hierdurch erkannt werden.

Um nun aber den ganzen Paranoikern und Verschwörungstheoretikern den Boden zu entziehen, die jegliche Behörde unter Generalverdacht stellen, ihre Mitbürger auszuspähen  (wie z.B. das BSI mit dem Bundestrojaner), wende ich mich nun einmal einer Möglichkeit zu, die eigenen Einstellungen ohne Aufruf besagter Webseite  zu Untersuchen.

Daher zunächst zum besseren Verständnis ein kurzer Ausflug in die Arbeitsweise des Internets und dem DNS in einer stark vereinfachten  und leicht verständlichen Darstellung:

Man kann das DNS (Domain Name System) als eine Art Adressbuch des Internets sehen. Das Internet “spricht” keine menschliche Sprache, sondern es kommuniziert nur in Form von Zahlenreihen. Damit ein Server die für Menschen lesbare Webseite (z.B. www.guidohartmann.de) verstehen kann, muss zunächst eine Art Dolmetscher hinzugezogen werden. Ein solcher Dolmetscher ist der DNS-Server, der nun diesen Webseitennamen in eine Zahlenreihe, die sogenannte IP-Adresse übersetzen kann. Nach Eingabe der Adresse wird also zunächst ein DNS-Server aufgerufen, der diesen Namen in die IP-Adresse übersetzt (in unserem Falle die IP-Adresse  82.165.68.193)
Anders gesagt, hinter dem Alias-Namen “www.guidohartmann.de” verbirgt sich die Serveradresse 82.165.68.193.
(Und für die ganz schlauen, das DNS ist nicht ein einzelner Server, sondern eine verteilte Datenbank, die sich über mehrere Hosts erstreckt…)

Nehmen wir nun einmal an, dass unser System von einem Virus oder Trojaner befallen wurde, der sich genau an dieser Stelle dazwischenhängt, so könnte die Schadsoftware die Browseranfrage zum Dolmetschen nicht an den normalen DNS-Server senden lassen, sondern biegt die Anfrage auf einen gehackten DNS-Server um.
Dieser DNS funkt nun eine falsche IP-Adresse zurück und unser Browser surft zu der kompromittierten Webseite in dem Glauben, die Adresse www.guidohartmann.de vor sich zu haben.
Auf diese Weise arbeitet der aktuell genannte Trojaner DNS-Changer. Somit muss also an unserem System ein fehlerhafter Eintrag existieren, der unsere DNS-Anfragen umleitet.

Nun wurde glücklicherweise bei den Ermittlungen des FBI bekannt, welche IP-Zahlenräume von diesem Angriff betroffen sind.
Wir brauchen daher lediglich zu prüfen, ob unsere DNS-Einstellungen zu einem dieser Adressräume geleitet werden.

Die betroffenen IP-Räume lauten:
85.255.112.0 bis 85.255.127.255
67.210.0.0 bis 67.210.15.255
93.188.160.0 bis 93.188.167.255
77.67.83.0 bis 77.67.83.255
213.109.64.0 bis 213.109.79.255
64.28.176.0 bis 64.28.191.255

Da nun verschiedene Betriebssysteme betroffen sein können und auch eine große Anzahl verschiedener Router im Einsatz sind, kann ich hier nicht alle Wege beschreiben, wie der Anwender seine Einstellungen finden kann. Aber am Beispiel von Windows 7 lässt sich der Weg nachvollziehen.

Zunächst öffnen wir die Kommandoeingabe-Ebene und schauen uns die Netzwerkeinstellungen an.

Hierzu klicken wir auf den Start-Button und geben dann in das Eingabefeld ganz unten einfach “cmd.exe” ein und drücken die Enter-Taste (Return).

Im nun geöffneten Fenster geben wir den Befehl “ipconfig /all” ein und bestätigen die Eingabe mit “Enter”
Hier sehen wir uns nun die Einstellungen des DNS-Servers an.

In unserem Beispiel sehen wir, dass der DNS auf einen verdächtigen IP-Adressraum verweist. Hier kann man davon ausgehen, dass das System befallen ist. In diesem Fall sollten technisch nicht so versierte User vorsichtshalber einen Experten beauftragen, das System genauer zu untersuchen.

Aber in jedem Fall ist das oberste Gebot: Keine Panik, immer mit Ruhe an das Problem gehen. Ein solcher Trojaner ist, einmal erkannt, keine große Gefahr.

Bei Heimnetzwerken, die über einen Router in das Netz gehen, sollten ebenfalls die Routereinstellungen geprüft werden. Auch wenn die DNS-Einstellungen des PCs  keine Auffälligkeiten zeigen, kann immer noch die Routereinstellunge befallen sein. Der DNS-Changer schafft es auch, bei nicht abgesicherten Routern die dortigen Einstellungen zu verändern.

Das FBI hat, kurz nachdem die Systeme beschlagnahmt wurden, auch eine ausführliche Anleitung zu diesem Thema herausgegeben.

Diese Anleitung steht als PDF-Datei zum Download über das FBI zur Verfügung.

http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

(Alle Angaben ohne Gewähr)

Veröffentlicht unter Archiv | Kommentare deaktiviert