Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Windows XP SP2 auf deutsch


Hier ist die offizielle deutsche Seite zum Windows XP Service Pack2. Da gibts das Download einen Link zum 'neuen' Windows-Update und Texte und Dokumentationen rund um das Programm. Der Fokus der Seite liegt zwar auf Entwickler, aber auch sonst jedermann kann da natürlich das deutsche SP2 erhalten.


Windows XP SP2: Änderungen bei Work&Cash


Ab Montag dem 16. August beginnt Microsoft damit das Service Pack 2 für Windows XP auch an 'Normale' Anwender auszuliefern. Wenn Sie die Funktion fürs automatische Update von Windows verwenden, dann wird ihr Windows im Laufe der nächsten Tage automatisch aufs SP2 umgestellt.

Das SP2 ist im wesentlichen ein Sicherheitsupdate. Warum Sie das SP2 auf jeden Fall einsetzen sollten habe ich bereits hier geschrieben.

Auswirkungen des SP2 auf unsere Statikprogramme

Wir haben in den letzten Monate sowohl am öffentlichen wie auch am nichtöffentlichen Betatest des SP2 teilgenommen und konnten in dessen Verlauf keinerlei Auswirkungen des SP2 auf unsere Programme feststellen.

Sie müssen nach der Installation des SP2 allerdings einmalig tätig werden um die Statiksoftware normal weiter nutzen zu können - und zwar dann, wenn Sie unsere Programme im Rahmen eines Work&Cash Vertrages nutzen.

Der Grund dafür ist der, das das SP2 mit einer eingebauten und von Haus aus eingeschalteten Firewall ausgestattet ist. Das ist eine gute Sache, und Sie sollten diese Firewall auf jeden Fall nutzen - zumindest dann, wenn Sie über keine andere aktuelle Firewall verfügen.

Diese Firewall blockiert Netzwerkverbindungen: Wenn auf Ihrem System ein Programm läuft das solche Verbindungen annimmt - wenn es also als Server fungiert - dann wird dies von der ins SP2 eingebauten Firewall zunächst unterbunden. Startet ein solches Programm, dann zeigt die Firewall eine Meldung an um darauf hinzuweisen, das ein Server-Programm entdeckt wurde.

Der 'TimeWise' Server der zu Ihrer Work&Cash Lizenz gehört ist ein solches Programm. Beim TimeWise Server handelt es sich um die Software die Ihre Zeiteinheiten verwaltet, und von der die einzelnen Programme Zeitblöcke fürs arbeiten abholen können. Der TimeWise Server läuft lokal auf Ihrer Workstation (oder einer in Ihrem LAN). Ob der TimeWise Server läuft oder nicht, können Sie an einem kleinen roten 'D' in der Taskleiste neben der Uhr erkennen.

Wenn der TimeWise Server nach der Installation des SP2 zum ersten Mal gestartet wird, dann erhalten Sie die folgende Meldung der Windows Firewall:

Damit Ihre Statikprogramme mit dem Server kommunizieren können müssen Sie diese Kommunikation freigeben. Das tun Sie, indem Sie auf diesem Dialog den Button 'Nicht mehr blocken' drücken. Danach startet der TimeServer und damit auch die Statikprogramme ohne Probleme.

Wenn Sie dann über die Systemsteuerung in die Einstellungen der Windows-Firewall gehen, dann finden Sie dort folgenden Dialog vor:

Der TimeWise-Server ist in dieser Abbildung das Programm ganz unten in der Liste der Programme. (XTimeWise Server-Part for local and LAN setups). Das Häkchen neben dem Programm besagt, das für dieses Programm die Blockierung durch die Firewall aufgehoben ist.

Die Blockierung wird dabei von Haus aus völlig aufgehoben - das ist aber deutlich freier als notwendig: Der TimeServer muss nämlich nur vom eigenen Rechner oder von Rechnern in Ihrem LAN (Subnetz) erreichbar sein. Das können Sie mit dem Button 'Bearbeiten' einstellen: Wenn Sie hir die Option für 'Subnetze' wählen, dann ist ihr TimeWise Server nur noch aus dem eigenen LAN erreichbar - genau so sollte das auch sein.


RootKits: Was ist das


Ich hatte gestern abend ein Gespräch mit einem Ingenieur (Maschbau) der nun als EDV-Berater tätig ist. Der Mann führt Schulungen für allgemeine IT-Geschichten durch: Word, Excel, Windows XP - derlei Dinge. Trotzdem natürlich eigentlich ein IT-Profi und darum hat mich etwas verwundert: Er wusste nicht besonders viel über IT-Sicherheit. Ging davon aus, das seine 12 Schulungsrechner die seit 2 Jahren mit Windows 98 online sind, keinerlei Sicherheitsprobleme haben. Die würden sich nämlich ganz normal verhalten. Mit anderen Worten: Er wusste nicht was Root-Kits sind. Ich gehe also mal davon aus das das kein wirklich weit verbreitetes Wissen ist... daher: Hier eine kurze Erklärung.

Ich stelle immer wieder fest das viele Leute glauben, ihre Antiviren-Software würde schon mit jeglichen Eindringlingen fertig. Das ist aber nicht der Fall. Die Sache geht sogar deutlich weiter: Ist ein Rechner einmal infiziert, dann kann man keinerlei Information die dieser Rechner von sich gibt mehr trauen - dazu verwenden Angreifer sogenannte Root-Kits.

Das Root-Kit verändert dabei die Installation des Betriebssystems derart, das die Informationen die Sie vom Betriebssystem erhalten nicht mehr stimmen. Der Task-Manager zeigt in der Liste der Tasks den vom Angreifer initiierten Prozess schlichtweg nicht an. Der Explorer zeigt das Verzeichnis in dem sich die Dateien des Angreifers befinden nicht an - und auch ein 'dir' Befehl auf der Kommandozeile führt nicht dazu das man irgendwas sieht.

Ebensowenig finden irgendwelche Antiviren-Programme irgend eine verdächtige Spur. Der Rechner läuft einfach ganz normal, eben so, wie man das erwarten würde und es gibt keinerlei Spuren das das System übernommen wurde. 

Trotzdem kann der Angreifer mit dem System machen und tun was er will: Im Normalfall bedeutet das, der Rechner wird als Zwischenlager für Bilder und Filme mit nackten Menschen drauf benutzt, oder aber er soll für den Versand von Spam-Mails verwendet werden.

Das beste: Root-Kits sind kein Science-Fiction Erfindung, sondern extrem einfach im Netz verfügbar. Auch nur mittelmäßig begabte Computeranwender können solche Dinger einsetzen. Bei einem angreifbaren Rechner kann die Übernahme mehr oder minder vollautomatisch erfolgen.  

Es gibt auch Wege Rootkits zu erkennen. Dummerweise braucht man dafür passende Tools - zum Beispiel an nicht befallenes Betriebssystem. Microsoft Research hat hier ein interessantes Paper zu diesem Thema.

Lange Rede kurzer Sinn: Wenn Sie mit Ihrem Rechner online gehen - dann verwenden Sie keine Spielzeuge wie Windows 98 oder ME, sondern besorgen Sie sich eine Kopie von Windows XP und installieren Sie dann das SP2. (Wenn Sie mehrere Rechner updaten wollen, dann gibts das SP2 hier. Wenn Sie nur einen Rechner haben - schalten Sie automatische Updates ein, dann bekommen Sie die Sache ganz von alleine.)


Systemsteuerung verwenden: Probleme als Nicht-Admin


Hier und hier habe ich bereits darauf hingewiesen das es aus Gründen der Sicherheit sinnvoll ist, nicht mit unter einem administrativem Account zu arbeiten. Dabei hatte ich auch schon angesprochen, das das nicht immer ganz einfach ist, weil einige Programme unbedingt unter einem administrativem Account laufen wollen. Das kann man mit dem 'run as' (ausführen als) Dienst aber meist in den Griff bekommen.

Der geht aber leider bei einigen Dingen nicht - zum Beispiel bei den Anwendungen aus der Systemsteuerung. Dazu geht unter anderem auch das Applet zur Einstellung der Netzwerkverbindungen, und damit stellt man unter anderem die XP Firewall ein. Besonders mit einem Laptop muss man an dieser Konfiguration aber häufiger etwas ändern: Es braucht also einen Weg auch Applets aus der Systemsteuerung ausführen zu können, ohne sich jedesmal abmelden, und als Administrator anmelden zu müssen. In der Systemsteuerung findet sich auch das TimeWiseServer Control Panel, mit dem Sie die Work & Cash Einstellungen für unsere Statiksoftware konfigurieren - ein Grund mehr, die Systemsteuerung auch als nicht-Admin benutzen zu können.

Das geht aber erstaunlich einfach, wenn man einmal weiss wo die Stolpersteine liegen. Die Systemsteuerung wird im Kontext des Explorers (oder des Internet Explorers) ausgeführt. Es liegt also nahe, einfach eine Kopie des Explorers oder des Internet Explorers mit 'Ausführen als' zu starten. Aufrund eines bestimmten Verhaltens des normalen Explorers ist das damit nicht ganz einfach, mit dem Internet Explorer ist die Sache hingegen (fast) kein Problem: Man muss zunächst also herausfinden, wie man den IE per 'Ausführen als' startet.

Das wiederum ist einfach, wenn man folgendes weiss: Es gibt nicht überall einen “Ausführen Als' Befehl beim IE. So gibt es bei einem Rechtsklick auf das IE Icon am Desktop keinen solchen Befehl, und auch das Icon links oben im Start-Menü hat den Befehl nicht. Das Icon im 'Progamme' Teil des Startmenüs, und auch das Icon in der Schnellstartleiste hat hingegen diesen Befehl.

Mit anderen Worten: Sie klicken mit der rechten Maustaste auf das IE Icon in der Schnellstart-Leiste und starten dann den IE als Administrator.

Dann geben Sie in der Adress-Leiste einfach einen Laufwerksbuchstaben an, z.b.: 'c:\\'. Der IE verändert sich dann leicht und sieht schon sehr ähnlich aus wie der normale Explorer. Wenn Sie dann noch in der Werkzeuleiste auf 'Ordner' klicken, haben Sie einen ganz normalen Explorer vorliegen. Und der hat in seinem Baum unter anderem einen Eintrag für die Systemsteuerung - und darüber können Sie dann auch wieder alle Applets, einschließlich dem zur Konfiguration des Netzwerkes und der Firewall erreichen.

Dann bleibt noch eine Sache zu klären: Sie können nun (Internet) Explorer Fenster mit und ohne administrative Privilegien öffnen. Da wäre es hilfreich, wenn man sehen könnte welches Fenster mit welchen Rechten ausgestattet ist. Dafür gibt es einen einfachen Trick: Es gibt eine 'per User' Einstellung, mit der man den Hintergrund des (Internet) Explorer-Toolbars einstellen kann. Vergeben Sie einfach ein (vielleicht rot signalisierendes?) Bild als Hintergrund für den Explorer mit dem Admin-Account: Dann ist das immer sofort sichtbar.

Das geht am einfachsten mit dem Programm TweakUI aus den Powertoys.


Mehr zu sicheren eMail-Passworten


Gestern habe ich erklärt wie wichtig es ist, das man seine Sitzungen mit dem eMail-Server nur mit einem SSL-Schutz durchführen sollte. Dabei bin ich über einen recht wichtigen Punkt fast hinweggegangen: Das Server-Zertifikat.

SSL aktivieren - leider schwieriger als man denkt

Um SSL in Outlook (Express) zu aktivieren brauchen Sie bei den Einstellungen zum eMail-Konto nur die gestern angegebene Option einzuschalten. Wenn Sie dann aber versuchen eMail abzuholen, dann gehts nicht: Sie erhalten eine Fehlermeldung.

Es wäre ja schon schön, wenn einmal etwas so einfach wäre wie es aussieht: Ein Option einschalten - schwupps - schon ist die Sache sicher. Tja, wäre schön - so ist es aber eben nicht.

Grund fürs Problem

Es gibt aber einen guten Grund, wieso das so sein muss: Sinn der Sache ist ja, das Ihre Account-Daten nicht mehr im Klartext übertragen werden. Statt dessen sollen diese Daten von Ihrem eMail-Programm verschlüsselt werden, und dann in der verschlüsselten Form an den Mailserver übertragen werden. Dadurch ist sichergestellt, das niemand durchs abhören von Netzwerk-Paketen an die Daten drankommt - denn die sind ja verschlüsselt.

Das ist aber auch genau das Problem: Die Daten sind verschlüsselt worden. Und zwar von Ihnen. Wenn also kein anderer die Daten entschlüsseln kann (zumindest nicht in absehbarer Zeit) - wie soll das dann der Mailserver tun? Und wenn der Mailserver die Daten nicht entschlüsseln kann - wie soll er dann überprüfen ob Ihre in verschlüsselter Form vorliegenden Account-Daten richtig sind?

Gute Frage. :-)

Des Rätsels Lösung

Der Trick an der Sache besteht darin, das Sie vorher einmal Informationen mit dem Mailserver austauschen - bzw. der Mailserver mit Ihnen. Wie das im Detail funktioniert würde etwas weit führen, aber im Kern läuft die Sache so ab:

Sie erhalten vom Betreiber des Mailservers eine Datei mit Informationen über den Mailserver. Diese Datei nennt man auch 'Zertifikat'. Ein Teil dieser Informationen gibt dabei an, wie Ihr Computer Daten verschlüsseln muss, damit der Mailserver Sie entschlüsseln kann.

Was Sie also tun müssen ist das folgende: Sie müssen das Zertifikat in Ihrem Computer installieren. Das tun Sie (bei XP), indem Sie mit der rechten Maustaste auf das Zertifikat klicken, und dann den Befehl 'Zertifikat installieren' wählen. Der Befehl öffnet einen Assistenten, denn Fragen Sie alle mit den vorgegebenen Vorschlägen beantworten können. Ist der Assistent durchgelaufen, dann ist das Zertifikat installiert.

Jedesmal wenn Outlook dann Kontakt mit Ihrem Mailserver aufnimmt, überprüft das Programm ob es ein Zertifikat für diesen Mailserver kennt. Nachdem das Zertifikat installiert ist, wird es von Outlook auch gefunden. Anhand des Zertifikates kann Outlook dann ermitteln wie Ihre Account-Daten zu verschlüssen sind. Und der Mail-Server kann die derart verschlüsselten Daten auch wieder entschlüsseln. Mit anderen Worten: Sie können dann wieder Mails abholen und versenden.

Lange Rede kurzer Sinn...

Sie sollten Ihren eMail-Verkehr auf jeden Fall per SSL schützen. Dazu müssen Sie in Outlook eine Option aktivieren - und ein SSL-Zertifikat vom Mailserver installieren. Das Zertifikat erhalten Sie von Ihrem ISP (oder Sie suchen sich einen neuen... :-))


Ist Ihr eMail Passwort sicher?


Sichere eMail ?

Wenn Sie Ihr eMail-Programm einrichten - also zum Beispiel Outlook oder Outlook Express - dann müssen Sie für das Mail-Konto ein Passwort eingeben. Nur mit diesem Passwort können Sie die eigene Mail vom Mail-Server abholen und auf Ihrem eigenen Rechner lesen. Nachdem es unpraktisch ist das Passwort jedesmal neu eingeben zu müssen, speichert Outlook das Passwort ab, und überträgt es beim nächsten Mal automatisch.

Wenn Sie das Passwort eingeben, dann erscheinen im zugehörigen Fenster nur Sternchen ( **** ). Das vermittelt den Eindruck das die Sache schon recht sicher ist: Wie sollte schon jemand an das Passwort gelangen, wenn man das noch nicht einmal lesen kann während es eingegeben wird?

Leider täuscht dieser Eindruck - und zwar mehr als Sie vermutlich erahnen. Das Protokoll zum abholen von eMail vom Mailserver ist wie so viele Protokolle eines aus der Steinzeit der vernetzten Rechner: POP3 (Post Office Protocol Version 3). Und wie für alle der uralt-Protokolle gilt auch für POP3: Die Uebertragung von Texten - und von zwar von allen Texten - erfolgt im Klartext.

Das bedeutet: Wenn Ihr eMail-Programm Ihre Mail vom Mail-Server abholt, dann sendet es zuvor Ihre Account-Daten (also Benutzername und Passwort) an den Mail-Server: Und zwar als unverschlüsselter, direkt lesbarer Text.

Passworte als Klartext

Das klingt noch nicht so dramatisch, denn schließlich ist dabei ja nur Ihr eigener Rechner und der eMail-Server beteiligt, richtig? Falsch! Sogar ganz falsch: Alle Daten die zwischen Ihrem Rechner und dem Mailserver ausgetauscht werden - und dazu gehören auch die Benutzerdaten - können von jedermann mitgelesen werden der sich in Ihrem Subnetz, dem Subnetz des Mailservers oder irgend einem der Subnetze zwischen den beiden Mail-Rechnern befindet.

Mit anderen Worten: Wenn Ihr Rechner in einem Firmen-LAN steht, dann kann jedermann in diesem LAN Ihr Passwort im Klartext lesen.

Dazu braucht es auch keine speziellen 'Hacker' Tools oder besonders tiefgreifende Kenntnisse... ein bisschen Grundwissen über TCP und eines der gängigen und frei verfügbaren Tools reichen aus. Ganz ehrlich: Das mithoeren ist auch nicht wesentlichen schwieriger als das eigentliche versenden der eMail.

Wenn Ihr LAN dann über einen ISP ans Internet angeschlossen ist, dann läuft dieser Anschluss über einen Rechner des ISP. Jedermann der dort sitzt kann mithoeren. Ferner kann natürlich jedermann mithoeren der sich in dem LAN befindet, in dem auch der Mailserver steht. Und schließlich kann auch noch jederman mithoeren, der sich in irgendeinen Netz dazwischen befindet. Und nein - der Lauscher muss nicht direkt am belauschten Rechner sitzen - es reicht, wenn er sich im gleichen LAN befindet.

Das ist übrigens kein Sicherheitsproblem von Outlook oder Microsoft, sondern eines von POP3: Und damit eines der Industrie im Ganzen.

Was kann man dagegen tun

Wenn man nun nicht möchte das das eigene eMail-Passwort in fremde Hände gelangt, kann man sich aber schützen: Dazu gibt es SSL (Secure Socket Layer) für POP3 und SMTP. Das wird von allen ernst zu nehmenden eMail-Clients unterstützt. Bei POP3 über SSL werden die Verbindungsdaten verschlüsselt an den Mail-Server übertragen: Die Daten können weiterhin mitgelesen werden - nur eben nicht mehr im Klartext. Wer lauscht, der muss zunächst die Verschlüsselung umgehen, und das schafft einen durchaus ernst zu nehmenden Schutz für Ihre Mail-Kommunikation.

Die Aktivierung von SSL für POP3 (und SMTP) ist dabei ganz einfach: Meist muß man nur eine Option einschalten. In Outlook-Express (und Outlook) findet man die unter den 'Erweiterten' Eigenschaften der Mail-Konten mit der Beschriftung 'Dieser Server erfodert eine sichere Verbindung (SSL).

Der Haken

Der Haken an der Sache ist dabei: Ihr Mail-Server muss ebenfalls SSL unterstützen, und Sie benötigen ein Zertifikat vom Mail-Server, das Sie in Windows installieren müssen. Die Installation des Zertifikates ist kein Problem - und auch praktisch alle Mail-Server Programme die es gibt unterstützen POP3 über SSL. Die Frage ist aber: Unterstützt Ihr eMail-Provider das auch - bzw.: gibt der diese Möglichkeit an Sie weiter?

Das gilt es herauszufinden. Unterstützt Ihr Mail-Provider diese Möglichkeit nicht, dann ist das in meinen Augen ein guter Grund, sich einen anderen Provider zu suchen. Und zwar sofort. Würde die Post nur noch Briefe ohne Umschlag befördern, dann würden Sie Ihre Post ja auch mit einem alternativen Dienst wie UPS verschicken.