Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Zeit fürs Updaten


Ich habe schonmal darauf hingewiesen, aber ein weiteres Mal wird wohl nicht schaden: Ab 13 Juni dieses Jahres stellt Microsoft den Support für Windows XP SP2 ein - es gibt dann auch keine Sicherheitsupdates mehr: Keine gute Situation, und damit dringend Zeit, das eigene Betriebssystem mal auf den neuesten Stand zu bringen. Das ist relativ einfach - und kostenlos, denn das Service Pack 3 kann man einfach von Microsoft runterladen und installieren. (Alternativ entscheidet man sich vielleicht für Windows 7...)

Eine Anleitung wie man das SP3 installiert, und wie man überprüft welches SP man hat, findet sich hier.


Ein paar Zahlen zu Spam


Ich musste heute mal wieder auf unseren Mailserver schauen und dachte mir, das sich vielleicht auch andere für ein paar (ganz kleine) Statistiken über Spam interessieren.

Als Mailserver verwenden wir schon seit einigen Jahren den MDaemon von Alt-N - und ich bin damit auch sehr zufrieden. Der MDaemon hat diverse mehrstufige Filter, um mit der Spam-Last fertig zu werden. Einige davon arbeiten bereits zu dem Zeitpunkt, zu dem der andere Rechner versucht die Netzwerkverbindung aufzubauen, andere erst dann, wen tatsächlich eine eMail übertragen werden soll und weitere erst dann, wenn der Inhalt der Mail auch tatsächlich bekannt ist.

Über die Anzahl der blockierten Verbindungsaufnahmen habe ich leider keine Statistik: Ich kann allerdings sehen, das immer wieder Verbindungen nicht zustande kommen - und wenn ich "immer wieder" sage, dann meine ich "mehrmals pro Minute". Bei den Verbindungen die zustande kamen, hatten wir heute (bis ca. 17.00) insgesamt etwa 8000 Versuche, eine eMail zuzustellen. (Das sind so um die 480 pro Stunde. Jede Stunde.)

Von den 8000 Versuchen wurden so viele SMTP-Verbindungen schon vor dem Eingang der Mail blockiert, das insgesamt nur ca. 500 Mails tatsächlich entgegen genommen wurden. Und davon wurden nachträglich nochmal 150 als Spam erkannt und weggeworfen - von 8000 Verbindungen blieben also ganz 350 eMails über: Alles andere war Spam.

Nun gibt es 2 Dinge an Spam die nicht so schön sind: Zum einen eben die Tatsache das man eine Mail bekommt, die man nicht will. Bei den meisten wird es aber so sein, das sich die auf vielleicht eine handvoll am Tag beschränken - blöd, aber nicht wirklich dramatisch. Was weniger schön ist: Spam-Mails werden im allgemeinen unter gefälschten Absender-Adressen versendet. Aber dabei werden natürlich (oft) solche verwendet, die es sehr wohl gibt. Zum Beispiel Ihre. Das ist weniger schön - denn irgendwann wird jemand so ein Ding mit Ihnen als Absender erhalten und sich deswegen beschweren - und dann hat man halt den Ärger an der Backe, ohne irgendwas gemacht zu haben. Wie beweist man denn dem Empfänger, das man nicht der Absender war?

Was kann man also machen, damit Spammer die eigentliche Adresse nicht als Absender-Adresse verwenden?

SPF und DKIM verwenden bzw. einen EMail-Dienstleister der das tut. Wenn das der Fall ist können Mailserver beim verschiedene Informationen abrufen - und unter anderen sicherstellen, das der Mailserver der gerade eine Mail mit dem Absender "@IhrBuero.de" verschickt, auch tatsächlich Mails von "@IhrBuero.de" versenden darf.

Man kann damit also nicht verhindern, das Spammer versuchen eine bestimmte Absender-Adresse zu verwenden, kann aber zumindest Mailserver dazu befähigen, diese als gefälscht zur erkennen.


Zeit für ein neues Windows


Wer noch immer mit "uralt" Windows-Versionen arbeitet, der sollte sich langsam darauf einstellen, das Updates anstehen: Ab Mitte des Jahres fällt der Support für Windows 2000 vollständig - es gibt ab dann auch keine Sicherheitsupdates mehr von Microsoft. Gleichzeitig wird auch der Support für Windows XP mit Service Pack 2 eingestellt: Es wird also wirklich langsam Zeit, auf XP mit SP3 umzusteigen - oder vielleicht besser gleich auf Windows 7.


Alle Patches da?


Von Secunia gibt es ein praktisches (für privaten Gebrauch kostenloses) Tool: der Secunia Personal Software Inspector untersucht die auf einem Rechner installierten Programme und überprüft dabei, ob alle bekannten Sicherheitsupdates für dieses Programme installiert wurden. Wenn man die Automatischen Updates für Windows eingeschaltet hat, dann bekommt man natürlich die Windows-Patches (und mit Microsoft-Update auch die für andere Microsoft-Produkte) automatisch: Was aber ist mit der Software von anderen Herstellern? Sind auch tatsächlich die Apple-Programme wie iTunes und Safari auf dem neuesten Stand? Und was ist mit Software von Adobe, Paint.Net und weiteren? Secunia PSI sagt es einem. Download hier.


Interessanter Versuch


Wir filtern bereits auf unserem Mailserver Viren und Spam aus den eingehenden eMails aus - ich habe daher schon sehr lange keinen Angriffsversuch mehr auf meinem Desktop gesehen. Heute ist aber mal wieder einer durchgekommen, und ich finde, der ist sogar recht geschickt gemacht.

Die Mail hat die Betreffzeile "1. Rate" und folgenden Inhalt:

Sehr geehrte Damen und Herren!

Die Anzahlung Nr.850375402599 ist erfolgt

Es wurden 3887.00 EURO Ihrem Konto zu Last geschrieben.

Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

 

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

 

Darunter befindet sich die vollständige Anschrift einer Inkasso-Firma, mit allen notwendigen Angaben. Ein kurze Suche in Google liefert auch sofort einen Treffer: Es gibt diese Firma und auch den angegebenen Geschäftsführer. (Nachdem die aber natürlich nichts damit zu tun haben, nenne ich die hier auch nicht.)

Der Schadcode befindet sich in einer Zip-Datei im Anhang der Mail. In der ZIP-Datei befinden sich zwei Dateien mit den Namen "Rechnung.txt" und "zertifikat.sll". "Rechnung.txt" ist aber in der Tat eine Verknüpfung auf den Windows-Kommandoprozessor cmd.exe mit dem Parameter "/c zertifikat.ssl". Beabsichtigt ist also, das "zertifikat.ssl" ausgeführt wird. In der Tat handelt es sich bei zertifikat.sll auch nicht um ein zertifikat, sondern um eine Programm. Extrahiert man also beides aus der ZIP-Datei und doppelklickt auf "Rechnung.txt" (Sowohl Windows als auch Outlook warnen davor - zumindest bei mir), dann wird in der Praxis der Kommandoprozessor cmd.exe gestartet und damit das Programm in zertifikat.ssl ausgeführt. Ich habe nicht weiter untersucht was das eigentlich tun soll - aber in irgend einer Form wird es wohl zusätzliche Schadcode installieren oder ähnliches.

 

Als Absender der eMail wird (zumindest bei mir) eine Person in einer Domäne genannt, die einer belgischen (?) Papierverarbeitugnsfirma gehört. Auch die haben natürlich nichts damit zu tun (Haben aber offensichlich keine SPF-Records, denn sonst könnte niemand fremdes deren Absenderadresse verwenden. ).

 

Ich fand das ganz interessant gemacht - auch aus psychologischen Gründen: Der Text in der eMail klingt einerseits irgendwie plausibel, andererseits verunsicht er ein wenig: Hat man nun Geld bekommen oder bezahlt ist die Frage - und das verleitet natürlich zum doppelklick auf die Rechnung.... die keine ist.


Wieso muss man beim installieren von Updates immer wieder administrative Daten eingeben?


Heute kam bei einem Kundengespräch die Frage auf, wieso man beim installieren der Updates für die Baustatik, immer wieder den Namen und das Passwort eines administrativen Kontos eingeben muss - immerhin hätte man das ja einmal bei der Erstinstallation getan. Hätte man da nicht einfach diese Daten irgendwo speichern können, um sie dann bei späteren Installation zu verwenden? Das würde doch die Installation der Updates viel einfacher machen, weil man nicht jedesmal den Administrator zur Hilfe holen müsste.

Interessante Frage, und zwar eine aus der Kategorie, die man am besten mit einer Gegenfrage beantwortet. Die Gegenfrage ist bei Fragen dieser Kategorie immer die gleiche, und zwar wörtlich die gleich. Sie lautet.

Was würde denn passieren, wenn wir das täten?

Das Programm das nach den administativen Rechten fragen würde, wäre ja einfach die Baustatik, und die läuft nunmal (zumindest sollte man sie so betreiben) ohne administrative Rechte. Das tut sie darum, weil der Benutzer der das Programm gestartet hat, sich selbst mit Daten angemeldet hat, die eben keine administativen Rechte haben. Das ist ja der Grund dafür, weshalb nach solchen Daten gefragt werden muss.

Wir haben also ein Programm, das ohne administrative Rechte läuft - und dieses Programm würde nun die Daten eines administrativen Accounts speichern. Und wo würde es diese Daten speichern? Natürlich innerhalb eines Bereiches auf der Festplatte, auf den der Benutzer OHNE administrative Rechte Zugriff hat - denn ansonsten könnte das Programm ja "später", also bei der Installation der Updates, nicht mehr darauf zugreifen.

Effekt: Die Daten eines administrativen Accounts lägen nun plötzlich ungeschützt einfach so auf der Festplatte, und zwar an einer Stelle, auf die JEDES Programm zugreifen kann, das unter dem Account des angemeldeten Benutzers läuft.

Mit anderen Worten: Das administrative Konto wäre plötzlich völlig ungeschützt und kann dann von jeder Schadsoftware die unter dem Benutzeraccount ohne administrative Rechte läuft verwendet werden. Zum Beispiel, um irgendwelche Trojaner oder sonstigen Kram zu installieren - und zwar für ALLE Benutzer auf dem System. [Natürlich ist die Sache nicht ganz so einfach, vom Prinzip her ist das aber völlig korrekt.] 

Mit anderen Worten: Wenn die Baustatik sich die Daten des Administator-Kontos in einer Form merken würde die es erlaubt, spätere Updates ohne einen administrative Account zu installieren, würde das die komplette Sicherheit des Systems aushebeln.

Und das ist der Grund, wieso wir das nicht tun. Und sollte ein anderer Hersteller das tun, dann mag er das vielleicht als "einfachere Bedienbarkeit" verkaufen - in Wirklichkeit handelt es sich aber einfach nur um die Einführung einer massiven Sicherheitslücke.