Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik-Blog

Wieso muss man beim installieren von Updates immer wieder administrative Daten eingeben?


Heute kam bei einem Kundengespräch die Frage auf, wieso man beim installieren der Updates für die Baustatik, immer wieder den Namen und das Passwort eines administrativen Kontos eingeben muss - immerhin hätte man das ja einmal bei der Erstinstallation getan. Hätte man da nicht einfach diese Daten irgendwo speichern können, um sie dann bei späteren Installation zu verwenden? Das würde doch die Installation der Updates viel einfacher machen, weil man nicht jedesmal den Administrator zur Hilfe holen müsste.

Interessante Frage, und zwar eine aus der Kategorie, die man am besten mit einer Gegenfrage beantwortet. Die Gegenfrage ist bei Fragen dieser Kategorie immer die gleiche, und zwar wörtlich die gleich. Sie lautet.

Was würde denn passieren, wenn wir das täten?

Das Programm das nach den administativen Rechten fragen würde, wäre ja einfach die Baustatik, und die läuft nunmal (zumindest sollte man sie so betreiben) ohne administrative Rechte. Das tut sie darum, weil der Benutzer der das Programm gestartet hat, sich selbst mit Daten angemeldet hat, die eben keine administativen Rechte haben. Das ist ja der Grund dafür, weshalb nach solchen Daten gefragt werden muss.

Wir haben also ein Programm, das ohne administrative Rechte läuft - und dieses Programm würde nun die Daten eines administrativen Accounts speichern. Und wo würde es diese Daten speichern? Natürlich innerhalb eines Bereiches auf der Festplatte, auf den der Benutzer OHNE administrative Rechte Zugriff hat - denn ansonsten könnte das Programm ja "später", also bei der Installation der Updates, nicht mehr darauf zugreifen.

Effekt: Die Daten eines administrativen Accounts lägen nun plötzlich ungeschützt einfach so auf der Festplatte, und zwar an einer Stelle, auf die JEDES Programm zugreifen kann, das unter dem Account des angemeldeten Benutzers läuft.

Mit anderen Worten: Das administrative Konto wäre plötzlich völlig ungeschützt und kann dann von jeder Schadsoftware die unter dem Benutzeraccount ohne administrative Rechte läuft verwendet werden. Zum Beispiel, um irgendwelche Trojaner oder sonstigen Kram zu installieren - und zwar für ALLE Benutzer auf dem System. [Natürlich ist die Sache nicht ganz so einfach, vom Prinzip her ist das aber völlig korrekt.] 

Mit anderen Worten: Wenn die Baustatik sich die Daten des Administator-Kontos in einer Form merken würde die es erlaubt, spätere Updates ohne einen administrative Account zu installieren, würde das die komplette Sicherheit des Systems aushebeln.

Und das ist der Grund, wieso wir das nicht tun. Und sollte ein anderer Hersteller das tun, dann mag er das vielleicht als "einfachere Bedienbarkeit" verkaufen - in Wirklichkeit handelt es sich aber einfach nur um die Einführung einer massiven Sicherheitslücke.


Vista: Sicherheitswarnung loswerden


Wenn man unter Vista ein Programm startet, das man aus dem Internet heruntergeladen hat, dann bekommt man folgenden Warnhinweis:

Der ist durchaus berechtigt und will darüber aufklären, das der Autor des Programms nicht bekannt ist - was bei runtergeladenen Programmen ja durchaus richtig ist. Die Meldung kommt auch bei späteren Programmstarts - nicht nur beim ersten Mal.

In der Theorie ist es nun so, das man - so man sich seiner Sache wirklich sicher ist - die Option "Vor dem Öffnen dieser ..." ausschaltet: Dann wird man in der Zukunft nicht mehr befragt. Das klappt aber nicht immer: In einigen Fällen kann man die Option so oft ausschalten wie man will - die Frage kommt trotzdem immer wieder.

Grund: Die Datei befindet sich auf der Festplatte in einem "sicheren" Bereich, wie zum Beispiel im Ordner "Programme". Dort hat man aber normalerweise keine Schreibrechte - und darum kann sich Windows die veränderte Option auch nicht melden. Für diesen Fall gibt es verschiedene Workaround. Der meiner Ansicht nach einfachste funktioniert, indem man eine Kommandozeilenfenster als Administrator öffnet, und dann folgendes tut:


IRBI - Der Internet Risk Behaviour Index


IRBI ist ein Projekt von Microsoft und dem Lehrstuhl für Psychologie der LMU. Ziel der Sache ist es, auf eine spielerische Arte ein besseres (und hoffentlich sichereres) Verhalten im Internet anzutrainieren. Nach dem anmelden auf der Website wird man mit verschiedenen Situationen konfrontiert, in denen man sicherheitsrelevante Entscheidungen treffen muss. Je "richtiger" die Entscheidung ist, um so mehr Punkte erhält man.

Die Idee finde ich eigentlich gar nicht schlecht, allerdings gibt es zur Zeit erst einen Test mit einer handvoll Situationen - ich kann mir kaum vorstellen, das das durchspielen dieser wenigen Fälle tatsächlich irgend eine Veränderung bei einer großen Menge an Internetbenutzern hervorrufen wird.

Offenbar soll das ganze auch noch mit der Möglichkeit ausgestattet werden, eine Community aufzubauen - und die Tests und Situationen sollen durch diese Community erweitert werden. Davon ist aber zur Zeit noch nichts zu sehen. Zumindest war ich nicht in der Lage, solche Möglichkeiten zu finden.


Unterhaltsames Phishing


Jetzt verwenden sie maschinelle Übersetzungen. Da kann doch einfach keiner drauf reinfallen, oder ?

--------

Dieser Brief könnte zu Ihnen als eine Überraschung kommen; jedoch gibt es kein Bedürfnis

dazu Sorge, wie wir das einzige gesicherte und vertrauliche Medium verwenden verfügbar

dafür suchen Sie für die Auslandshilfe/Partnerschaft in einem Geschäft. Was ist mehr

wichtig ist, dass sich die erwähnte Transaktion erweisen wird, von gegenseitig zu sein

Vorteil zu beiden eingeschlossenen Parteien

Mein Name ist phil boateng, bin ein 53 jährigerLeiter des Research Department

Committee in der Standard Bank in South Africa.

------


Wieso es Leute gibt, die Botnets betreiben


Ich hatte gestern eine interessante Diskussion zum Thema Botnets. Ein "Botnet" ist ein Netzwerk von Computern, bei denen die Computer zum Netz gehören, ohne das die Eigentümer etwas davon wissen: Der Computer wird irgendwie infiziert (falsche Mail angeklickt, falsches Programm gestartet... da gibt es viele Möglichkeiten) und befindet sich nach der Infektion eigentlich unter der Controlle des Botnets bzw. dessen Betreibers - und nicht mehr unter der seines Eigentümers.

Wenn der Botnet-Betreiber die Ressource der Zombies (so nennt man die Rechner unter fremder Kontrolle) nun nicht besonders aggressiv ausnutzt, wird der eigentliche Eigentümer nie bemerken, das sein Rechner von Fremden benutzt wird.

Das "Storm" Botnet allein wird auf eine Größe zwischen einer und fünfzig Millionen PCs geschätzt - und Storm ist nicht das einzige Botnet. Die interessante Frage ist aber natürlich  - wie verdienen die Betreiber damit eigentlich Geld, denn darum gehts ihnen ja schließlich.

Offensichtlich kann man Botnets für DDoS Attacken und zum Spam-versenden benutzen, allerdings ist es ja nun so, das bei einer Erpressung per DDoS das gleiche Problem gilt wie bei alle Erpressungen: Die Geldübergabe ist halt schwierig.

Ich glaube das einen zentrale Einkommensquelle für solche Leute was ganz anderes, viel unauffälligers ist. Und zwar ein vorgehen, bei dem der größte Beteiligte [in diesem Fall Google, die Sache betrifft aber auch jeden anderen, der Pay-Per-Click Werbung verteilt] (abgesehen von den Bösen) Geld verdient (und damit kein wirklich großes Interesse hat was dagegen zu unternehmen) und die Geschädigten gar nicht mitbekommen, das Sie geschädigt werden. Obendrein wird der Betrug auch noch durch völlig unbeteiligte durchgeführt und sieht ohne näheres Hinsehen auch gar nicht wie Betrug aus.

Und so geht das ganze: Der Botnet-Betreiber installiert auf seinen Zombies einen kleinen Web-Proxy. Jede Anfrage vom Browser muss durch diesen Proxy, wird davon aber nicht weiter belastet: Der unschuldige Surfer bemerkt nichts. Klickt der Surfer aber auf eine Google AdSense Werbung, dann fängt der Proxy den Request auf, und änder die Publisher-ID, die sich darin befindet: Statt der Id des Webseitenbetreibers trägt er einfach seine eigene ein, und lässt dem Request ansonsten freien Lauf.

Bei Google geht der Request dann ein: Da freut sich Google, weil die dafür schließlich Geld bekommen. Den Anteil den der Webseitenbetreiber bekommen würde bekommt aber der Botnet-Betreiber - ganz legal gutgeschrieben von Google. Der Seitenbetreiber ist also der Dumme - merkt das aber nicht: Er sieht vielleicht eine etwas schlechtere "Klickrate" - nur kann das viele Gründe haben.

Wie gesagt: Um die Sache zu verdeutlichen haben ich Google genannt - klappen tut das aber mit praktisch jeder Pay-Per-Klick Werbung im Internet. (Google hat mit dieser Werbeform in 2006 etwa 10 Milliarden Dollar Umsatz gemacht.)

Mal angenommen "Storm" hätte nur 10 Millionen Rechner, und vor jedem sitzt ein Surfer, der nur einmal pro Tag auf eine Werbebotschaft klickt. Das wären dann 10 Mio Klicks am Tag. Ein Klick auf eine AdSense Werbung bringt (je nach beworbenem Wort) zwischen 5 Cent und 50 Euro. Mal angenommen, es sind nur 10 Cent - dann verdienen die Betreiber von Storm immer noch locker 1 Mio Euro pro Tag. Jeden Tag. Ohne das dies jemand bemerkt, und ohne das Google besonders großes Interesse daran hätte, irgendwas dagegen zu unternehmen.




Baustatik Demoversion ausprobieren »