In letzter Zeit interessiere ich mich immer mehr für Sicherheitsangelegenheiten bei PC-Anlagen. Da interessiert mich speziell die Absicherung von Rechneranlagen gegenüber Angriffen aus dem Internet bzw. aus dem Netzwerk.

Wo kann ich da mehr Informationen herbekommen? Oder wo kann ich mich da noch drüber informieren (außer dem Internet), da wird es doch sicher auch Seminare oder Studiengänge geben?

Ich bin dankbar für jeden Vorschlag! :)

Dieses Anliegen betrifft ja die Sicherheitstechnologie, deshalb frage ich auch hier.

Ich weiss eigentlich willst du nichts aus dem Internet aber das (http://www.netzmafia.de/skripten/sicherheit/index.html) ist eine Uni Vorlessung glaub ich zumindest.

BlackArchon

Trick 77 für alle Windows Umgebungen

Man ändere alle "ausführbaren" Extensions... Kein Wurm oder Virus kann Dich dann noch gefährden.

Original geschrieben von Haarmann
BlackArchon

Trick 77 für alle Windows Umgebungen

Man ändere alle "ausführbaren" Extensions... Kein Wurm oder Virus kann Dich dann noch gefährden.
Hoffentlich hast du das nicht ernst gemeint, dass ist wohl der grösste Schmu den ich seit langem als "Sicherheitshinweis" gehört habe!

eine sehr gute und aktuelle News und Sicherheitsinfoseite :
http://cert.uni-stuttgart.de/

Uni-Vorlesungsmaterialien IT-Sicherheit I:

http://www.sec.informatik.tu-darmstadt.de/de/lehre/WS03-04/itsec1/index.html

Zugangsdaten:

user: itsec
pass: lhasw

mrdigital

Dann sag mir mal wie ein vbs Wurm sich ausführt, wenn vbs Dateien nicht definiert sind...

jetzt sprichst du von VBS Würmern, oben hast du ALLE WÜRMER UND VIREN geschrieben, sorry Harrman, wenn du zum Thema Sicherheit dich äusserst, dann solltest du schon auf auf so kleine Feinheiten achten. Oder besser, wenn du vom Thema nicht wirklich Plan hast, dann verkneif dir einfach mal ein Kommentar, am Ende verlässt sich noch jemand auf deine Aussagen und was dann?

Original geschrieben von Haarmann
BlackArchon

Trick 77 für alle Windows Umgebungen

Man ändere alle "ausführbaren" Extensions... Kein Wurm oder Virus kann Dich dann noch gefährden. Das ist absolut falsch....Beweis durch Gegenbeispiel:

W32.Blaster schleust sich durch einen RPC-Exploit ins System ein....der so eingeschleuste Code lädt den eigentlichen Wurm aus dem Internet, lädt ihn und setzt ihn in den Autostart....Extensions kommen bei diesem Vorgang absolut nirgends vor.

Original geschrieben von Muh-sagt-die-Kuh
Das ist absolut falsch....Beweis durch Gegenbeispiel:

W32.Blaster schleust sich durch einen RPC-Exploit ins System ein....der so eingeschleuste Code lädt den eigentlichen Wurm aus dem Internet, lädt ihn und setzt ihn in den Autostart....Extensions kommen bei diesem Vorgang absolut nirgends vor.
das ist aber kein VBS Virus ;D

Original geschrieben von mrdigital
das ist aber kein VBS Virus ;D Oben hat er diese Einschränkung nicht gemacht :D

Muh-sagt-die-Kuh und mrdigital

Wer in ner Firma RPC Probleme hatte, der hat wirklich was falsch gemacht... ne kleine Firewall, die son paar Ports dicht hält sollte man sich wirklich gönnen. Bei RPC reichte ein 50€ NAT Router schon.
Andererseits gehen die eingeschleusten Dateien dann - Endung sei Dank, auch gleich nicht. .EXE führt sich nämlich nicht zwingend aus, sowenig wie .LNK nen Link darstellen muss.

Der schlimmste Feind jeder IT sind Monokulturen. Das wird aber gerne verschwiegen - es ist halt einfacher 1000 gleiche Geräte zu warten, denn verschiedene. Es reicht dann aber halt auch ein Fehler und dann liegen 1000 Geräte flach ;).

Haarmann, bitte lass es, ich hab schon ein grundlegendes Verständniss von IT SIcherheit, wobei ich bei dir da schon ernsthaft zweifeln muss, wenn ich mir deine "Hinweise" so durchlese. Ich will hier nun echt nicht anfangen das alles breit zu treten, aber du stellst hier schon ein paar sachen falsch / arg vereinfacht dar, und das sollte man sich bei diesem Thema einfach mal verkneifen können. Dazu musst du dir halt mal eingestehen, dass IT-Sicherheit eben nicht das Thema ist, in dem du der Checker bist (nicht das ich der IT-Sicherheitschecker wäre, aber ich verkneif mir ja auch solche "Tipps"). Aber wie gesagt, ich will dich nu nicht weiter anpampen oder sonst was, nimm es nicht als persönlichen Angriff.

Original geschrieben von Haarmann
Muh-sagt-die-Kuh und mrdigital

Wer in ner Firma RPC Probleme hatte, der hat wirklich was falsch gemacht... ne kleine Firewall, die son paar Ports dicht hält sollte man sich wirklich gönnen. Bei RPC reichte ein 50€ NAT Router schon.Fakt ist und bleibt, dass dein "Trick 77" nicht wirklich etwas bringt. Jeder Exploit der sich Admin-Rechte beschafft kann solch eine "Sperre" umgehen.Andererseits gehen die eingeschleusten Dateien dann - Endung sei Dank, auch gleich nicht. .EXE führt sich nämlich nicht zwingend aus, sowenig wie .LNK nen Link darstellen muss.Sehe ich das richtig, dass du die Ausführung von allen Programmen unterbinden willst? Klasse, dann läuft nämlich nichts mehr...Der schlimmste Feind jeder IT sind Monokulturen. Das wird aber gerne verschwiegen - es ist halt einfacher 1000 gleiche Geräte zu warten, denn verschiedene. Es reicht dann aber halt auch ein Fehler und dann liegen 1000 Geräte flach ;). Das ist ein rein statistisches Problem....man wählt die Alternative mit den geringsten zu erwartenden Kosten.

Ich glaube jeder hier ist mit mir einig, dass wohl das grösste Sicherheitsleck vor den Bildschirmen sitzt.

Nun steht meisst Sicherheit vs (pseudo) Komfort und in 99% der Firmen gewinnt der Komfort - hier sollte man ev mal umdenken.
Ich werds an einem praktischen Beispiel aus der Vergangenheit zeigen (Swisscom und I love U - 2 Tage lang sendete dort kaum einer mehr ein mail, weil die Server gleich wieder zusammenklappten). Der Schaden dürfte gross sein in so nem Fall.

Grössere Firmen neigen dazu ihre Nutzer mit Outlook und einem gut gefüllten Adressbuch aller Mitarbeiter zu versorgen. Natürlich ist das praktisch, aber dabei muss man auch immer einrechnen, dass ein User dumm genug ist einen jeglichem Virenkiller unbekannten Virus/Wurm auszuführen. Gleichzeitig ists auch Fakt, dass es immer wieder Möglichkeiten für Schädlinge geben wird ins Netz zu gelangen. Die Folge ist absehbar. Der Wurm nutzt das Adressbuch und verbreitet sich sofort. Wenn man 10'000 Leute hat und nur jeder 100ste das mail wiederum "ausführt", dann liegen innert Minuten die Mailserver flach und je nach Schädling sind die Clients auch bald mal alle tot. Der Schaden geht dabei schnell in die Millionen. Ohne integriertes Adressbuch wär der Schadensfall also bereits nicht eingetreten. Auch mein "dummes" Extensionändern kann das verhindern, was die Millionen, die man in Virenkiller und Firewalls, nebst Proxys investiert hat nicht konnten. Und das war nicht der Einzige Fall.

mrdigital

Ich hab mich mit Deiner URL nicht gross befasst. Es sah nicht gerade interessant aus aufn ersten Blick. Ich hoffe das ist verständlich. Natürlich ist die Seite informativ, wenn man die neusten Lücken sehen will. Leider ists dann oft schon zu spät.

Muh-sagt-die-Kuh

War interessant zum Einlesen. Allerdings störte mich die CISCO Lastigkeit ein wenig (Sicherheit und CISCO würde ich nicht wirklich als Synonyme verwenden...). Auch deren Vorliebe für Router als "Firewall" konnt ich nicht nachvollziehen.
Ich musste mich bei diversen Teilen auch wundern, wieso man nicht noch gleich ein paar weitere Optionen gezeigt hat. Besonders bei den Proxys vermisste ich einige Ideen, die sich in der Praxis gut bewährt haben. Stichwort Virenkiller im Proxy. Entweder hab ichs übersehen oder es stand wirklich nicht dort, dass man Proxys so nutzen kann.

Original geschrieben von Haarmann
Ich glaube jeder hier ist mit mir einig, dass wohl das grösste Sicherheitsleck vor den Bildschirmen sitzt.

Nun steht meisst Sicherheit vs (pseudo) Komfort und in 99% der Firmen gewinnt der Komfort - hier sollte man ev mal umdenken.
Ich werds an einem praktischen Beispiel aus der Vergangenheit zeigen (Swisscom und I love U - 2 Tage lang sendete dort kaum einer mehr ein mail, weil die Server gleich wieder zusammenklappten). Der Schaden dürfte gross sein in so nem Fall.

Grössere Firmen neigen dazu ihre Nutzer mit Outlook und einem gut gefüllten Adressbuch aller Mitarbeiter zu versorgen. Natürlich ist das praktisch, aber dabei muss man auch immer einrechnen, dass ein User dumm genug ist einen jeglichem Virenkiller unbekannten Virus/Wurm auszuführen. Gleichzeitig ists auch Fakt, dass es immer wieder Möglichkeiten für Schädlinge geben wird ins Netz zu gelangen. Die Folge ist absehbar. Der Wurm nutzt das Adressbuch und verbreitet sich sofort. Wenn man 10'000 Leute hat und nur jeder 100ste das mail wiederum "ausführt", dann liegen innert Minuten die Mailserver flach und je nach Schädling sind die Clients auch bald mal alle tot. Der Schaden geht dabei schnell in die Millionen. Ohne integriertes Adressbuch wär der Schadensfall also bereits nicht eingetreten. Auch mein "dummes" Extensionändern kann das verhindern, was die Millionen, die man in Virenkiller und Firewalls, nebst Proxys investiert hat nicht konnten. Und das war nicht der Einzige Fall.

mrdigital

Ich hab mich mit Deiner URL nicht gross befasst. Es sah nicht gerade interessant aus aufn ersten Blick. Ich hoffe das ist verständlich. Natürlich ist die Seite informativ, wenn man die neusten Lücken sehen will. Leider ists dann oft schon zu spät.

Muh-sagt-die-Kuh

War interessant zum Einlesen. Allerdings störte mich die CISCO Lastigkeit ein wenig (Sicherheit und CISCO würde ich nicht wirklich als Synonyme verwenden...). Auch deren Vorliebe für Router als "Firewall" konnt ich nicht nachvollziehen.
Ich musste mich bei diversen Teilen auch wundern, wieso man nicht noch gleich ein paar weitere Optionen gezeigt hat. Besonders bei den Proxys vermisste ich einige Ideen, die sich in der Praxis gut bewährt haben. Stichwort Virenkiller im Proxy. Entweder hab ichs übersehen oder es stand wirklich nicht dort, dass man Proxys so nutzen kann.

wo ist der Punkt, worauf willst du hinaus? Schön, das du hier was von Outlook erzählst und CISCO nicht toll findest (hast du eigentlich je ne CISCO in live gesehen?). Aber wirkliche Info kommt da keine rüber, du "schwafelst" hier vor dich hin und täuscht wissen vor, statt mal einen brauchbaren Beitrag zu liefern. Was kannst du hier zum Thema IT-Sicherheit sagen, ausser absoluten Unfung oder bestenfalls Halbwahrheiten und Trivialerkenntnissen? - Sorry wenn ich das nun so harsch formuliere, aber das ist halt das was mir da an deinen Beiträgen so auffält.

mrdigital

Ich glaube nicht, dass Du je dahinterkommen wirst, wie mein Konzept funktioniert, aber ich glaub ich kann guten Gewissens sagen, dass mein Konzept wenigstens funktioniert.
Mir ist natürlich klar, dass mans an der Uni anders lehrt und an Kursen, denn jeder Kurs wird einem indirekt etwas verkaufen wollen - davon lebt die Branche ja. Die Alternative ist natürlich günstiger und daher von der Wirtschaft verpönt - verkauft sie einem ja weniger dabei. Man sollte sich aber immer vor Augen halten, dass jedes Gerät und jede Software, welche man einsetzt automatisch ein weiteres potentielles Sicherheitsleck darstellen.
Ich mach drum sowas sogar bei Firmen... Ich gehe nicht nur an die Uni und lese mir etwas durch und berufe mich danach auf solche Dokumente - ich denke gerne etwas mehr selber.
Meinste eigentlich "Hacker" seien Analphabeten und lesen das Kursmaterial nicht auch durch? Weisste wieviel einfacher es ist Schaden anzurichten, wenn man Insiderwissen hat?

welches Konzept? Du spricht hier nun echt in wirren Rätseln... aber gut sei es drum, dem Threadstarter hilft das nun alles nichts...

es hat den anschein das hier fast jeder nur in vorgegebene richtung sieht.


Original geschrieben von Muh-sagt-die-Kuh

Sehe ich das richtig, dass du die Ausführung von allen Programmen unterbinden willst? Klasse, dann läuft nämlich nichts mehr...

ach wie lustig

Gast

Ich dachte es sei klar, dass ändern nicht gleich Ausschliessen heisst...
Diese Idee stammt übrigens nicht von mir selber, die hab ich übernommen und sie funktioniert hervorragend, auch wenn sie nen grossen Aufwand hervorruft.

mrdigital

Das Konzept heisst reduziere Dich aufs Minimum und verdecke alle Vorkehrungen, die getroffen hast, so gut wies geht. Es tappt sich leichter in ne Falle, die man nicht kennt... Daher Bridge statt Router.

Muh-sagt-die-Kuh

Windows unterscheidet alles nach Endungen und hat dazu ne Datenbank. Die lässt sich auch manipulieren, so dass z.B. die Endung EEE die Funktion der bisherigen EXE hat und EXE ins leere geht (kannst das sogar exakt so definieren). Daher laufen die Programme schon - nur heissens halt etwas anders hinterm Punkt.

Original geschrieben von Haarmann
Muh-sagt-die-Kuh

Windows unterscheidet alles nach Endungen und hat dazu ne Datenbank. Die lässt sich auch manipulieren, so dass z.B. die Endung EEE die Funktion der bisherigen EXE hat und EXE ins leere geht (kannst das sogar exakt so definieren). Daher laufen die Programme schon - nur heissens halt etwas anders hinterm Punkt. Ich kenne die Assoziationen....und genau deshalb halte sie für einen wirkungslosen schutz:

Umbenennen einer Executable von "abc.exe" zu z.B. "abc.xyz" hat zur Folge, dass Windows meckert, wenn man "abc" in der Kommandozeile ausführen will => unbekannter Dateityp. "abc.xyz" in der Kommandozeile startet das Programm aber absolut problemlos...ohne dass für .xyz eine Assoziation besteht.

Der Grund dafür ist auch recht einfach....die Dateiassoziationen sind dafür zuständig, dass Datenfiles mit dem richtigen Programm geöffnet werden....Executables brauchen das nicht, sie sind die Programme.

Muh-sagt-die-Kuh

Kommt nur drauf an, ob wer die Kommandozeile, die ja nimmer CMD.EXE heissen muss resp. COMMAND.COM auch noch findet...
Wie oft wird das Ding noch gebraucht? Würdest Du es ev nicht einfach weglassen wollen, eben weils allgemein sehr gefährlich ist, dies aktiv zu haben imho. Viele Würmer konnten/können auf dem System vorhandene Dateien ausführen in der Vergangenheit - und wer blockiert schon ne "TXT" Datei? Viele Virenscanner würden die Datei defaultmässig nichtmals scannen.
Zu Deutsch - die Kommandozeile ist eh ein Scheunentor. In Verbindung mitem AT Kommando zum planen von Kommandos übrigens ein lustiger Gag um paar Leute zu erschrecken.

Original geschrieben von Haarmann
Muh-sagt-die-Kuh

Kommt nur drauf an, ob wer die Kommandozeile, die ja nimmer CMD.EXE heissen muss resp. COMMAND.COM auch noch findet...
Wie oft wird das Ding noch gebraucht? Würdest Du es ev nicht einfach weglassen wollen, eben weils allgemein sehr gefährlich ist, dies aktiv zu haben imho. Viele Würmer konnten/können auf dem System vorhandene Dateien ausführen in der Vergangenheit - und wer blockiert schon ne "TXT" Datei? Viele Virenscanner würden die Datei defaultmässig nichtmals scannen.
Zu Deutsch - die Kommandozeile ist eh ein Scheunentor. In Verbindung mitem AT Kommando zum planen von Kommandos übrigens ein lustiger Gag um paar Leute zu erschrecken. Die Kommandozeile führt Befehle aus, nicht mehr und nicht weniger.....sie zu deaktivieren bekämpft nicht die Ursachen von Sicherheitsproblemen....wie alle deine Ansätze....du gehst, meiner Meinung nach, von der falschen Seite an das Problem heran.

Am besten deaktiviert man unter UNIXen auch gleich die Shell...ist ja ein Scheunentor :eyes:

[QUOTE][SIZE=1]Original geschrieben von Haarmann
Gast

Ich dachte es sei klar, dass ändern nicht gleich Ausschliessen heisst...
Diese Idee stammt übrigens nicht von mir selber, die hab ich übernommen und sie funktioniert hervorragend, auch wenn sie nen grossen Aufwand hervorruft.

Und ich dachte es sei seit berichten in Print Medien algemein bekannt;)


@Muh-sagt-die-Kuh
Du solltest nochmal intensiv darüber nachgrübeln :bigl:

Ahm was wolt den der starter threads nochmal hrhr

Das wissen die Cracks hier schon lange nicht mehr.

Original geschrieben von Gast
@Muh-sagt-die-Kuh
Du solltest nochmal intensiv darüber nachgrübeln :bigl: Und du solltest lernen zu quoten und aufhören, Selbstgespräche zu führen ;)

Um diesen Beitrag noch einen Sinn zu geben:

Die Kommandozeile zu deaktivieren ist absolut kein Schutz gegen Würmer und Viren, die Extensions zu ändern auch nicht...schafft ein Wurm / Virus es, sich z.B. durch einen Buffer-Overflow lokale Admin-Rechte zu beschaffen, so kann er in diesem Kontext einen einfachen "CreateProcess" Syscall zum starten von Programmen absetzen...

Original geschrieben von Muh-sagt-die-Kuh
Und du solltest lernen zu quoten und aufhören, Selbstgespräche zu führen ;)

Um diesen Beitrag noch einen Sinn zu geben:

Die Kommandozeile zu deaktivieren ist absolut kein Schutz gegen Würmer und Viren, die Extensions zu ändern auch nicht...schafft ein Wurm / Virus es, sich z.B. durch einen Buffer-Overflow lokale Admin-Rechte zu beschaffen, so kann er in diesem Kontext einen einfachen "CreateProcess" Syscall zum starten von Programmen absetzen... wie steht da nicht son post über mir hrhr ;)

:naughty:
schon geht aber trotzdem nicht :P

Original geschrieben von Gast
wie steht da nicht son post über mir hrhr ;)

:naughty:
schon geht aber trotzdem nicht :P Dein Post erfüllt ziemlich genau die Definition von "SPAM"....entweder du sagst was sinnvolles zum Thema oder jemand wird deine unqualifizierten Kommentare mit Freuden löschen.

Muh-sagt-die-Kuh

Nenn mal ne Funktionsweise eines solchen Wurmes bitte und woher er kommen soll, damit ich mir das plastischer vorstellen kann. Beschreib son Teil einfach mal zu Deutsch.

Haarmann, was du als "Sicherheitskonzept" vorstellst ist haarsträubend ;) (sorry den konnt ich mir nicht verkneifen)
und verdecke alle Vorkehrungen, die getroffen hast, so gut wies geht
Du argumentierst so wie Microsoft argumentiert, dein "Konzept" heisst "Security by Obscurity" - sprich Sicherheit durch Verschleierung und das ist gelinde gesagt ein Kamikaze Konzept. Microsoft sagt das selbe, nur weil man den Sourcode geheim hält, bietet man Angreifern weniger Chancen eine Schwachstelle zu finden. Das ist natürlich Schwachsinn, sonst müsste BSD ja das unsicherste OS überhaupt sein. Sicherheit steht immer im Spannungsfeld mit dem Komfort, aber deswegen alles so wegzuändern, dass nur du noch weisst, wie man ein Programm startet ist in meinen Augen nur eine Arbeitsplatzsicherungsmassnahme und keine Hilfe für den Kunden, wie Muh schon gesagt hat, gibt es mehr als genug Schädlinge, die gar nicht als ausführbare Datei daherkommen, du sugerrierst deinem Kunden ein Gefühl von Sicherheit das er gar nicht hat. Statt dich auf deine "Hackerfähigkeiten" zu berufen, solltest du lieber mal ein anständiges Konzept entwickeln. Hast du dir mal überlegt, dass die meisten Viren und Wurmattacken von innen kommen? Mitarbeiter, die Datenträger von zuhause mitbringen oder Laptops die mal im Firmennetz und mal "alleine" im Internet waren sind Virenquelle No.1. Wo schützt deine versteckte Kommandozeile oder deine geänderten Fileextensions vor diesen Problemen?
Daher Bridge statt Router.
Was ist das nun? Du verbindest das Firmennetz mit dem Internet mit einer Bridge? Ist dir der Unterschied zwischen einem Router und einer Bridge überhaupt klar oder verwendest du hier mal wieder deine eigenen "Spezialbegriffe" für Dinge die alle anderen anders bezeichnen?

Original geschrieben von mrdigital
Microsoft sagt das selbe, nur weil man den Sourcode geheim hält, bietet man Angreifern weniger Chancen eine Schwachstelle zu finden. Das ist natürlich Schwachsinn, sonst müsste BSD ja das unsicherste OS überhaupt sein.

Das kann man meiner Meinung so keines Wegs vergleichen. Wo sind denn bitte im Windows Kernel (>=2000) große Sicherheitsprobleme aufgetreten? Die Sicherheitsprobleme treten zum Großteil bei Anwendungsprogrammen auf und weniger betriebssysteminternen Features. Da kannst du nicht pauschal behaupten, BSD wäre problemgefreit, da man dort die selben Programme wie unter Linux etc. ausführen kann (z.T. sogar binärkompatibel). Das einzig erwähnenswerte ist, dass ein bestimmtes BSD Derivat (Open BSD?) einen Schutz vor Buffer Overflows bietet und die Ausführung der Executables dann unterbindet. Aber das kann ja dann auch das SP2 von XP. Im übrigen halte ich es führ absolute Augenwischerei, dass ein offener Quellcode die Qualität/Sicherheit einer Software erhöht.

MfG

Das habe ich ja auch nicht behauptet, dass sich die Qualität zwangsläufig verbessert, ich habe nur gesagt, dass es der Sicherheit (offensichtlich) keinen Abbruch tut. Und das BSD fehlerfrei wäre hab ich auch nicht gesagt, nur das der offene Sourcecode nicht per se zu Sicherheitsproblemen führt! Wie viele Fehler / Sicherheitslücken aus dem Kern von W2K / Xp stammen kann man ja leider nicht überprüfen, magels Sourcode, deswegen werde auch ich dir diese Frage nicht beantworten können.

Original geschrieben von grakaman
Das kann man meiner Meinung so keines Wegs vergleichen. Wo sind denn bitte im Windows Kernel (>=2000) große Sicherheitsprobleme aufgetreten?RPC ist ein Systemdienst...

Original geschrieben von Haarmann
Muh-sagt-die-Kuh

Nenn mal ne Funktionsweise eines solchen Wurmes bitte und woher er kommen soll, damit ich mir das plastischer vorstellen kann. Beschreib son Teil einfach mal zu Deutsch. Du meinst, das Allheilmittel gegen Viren und Würme unter Windows gefunden zu haben und erwartest von mir, dass ich dir das Standardkochrezept eines Wurmes erkläre? :|

Nun dann:

1. Buffer- / Heap-Overflow in einem Serverdienst zum einschleusen von Code
2. Ausführen dieses Codes, dient meistens dem Erlangen von Systemprivilegien und...
3. Whatever you want...

Original geschrieben von Muh-sagt-die-Kuh
RPC ist ein Systemdienst... [/SIZE]

Was hat das mit dem Kernel zu tun? Und ob etwas ein _Windowsdienst_ (vormals NT Dienst) ist oder nicht, hat überhaupt nichts mit einer Betriebsystemzugehörigkeit zu tun oder nicht. Ich habe auch schon Windows Dienste geschrieben. Der RPC ist hier nicht _zwingend_ erforderlich, damit das BS läuft. Außerdem setzt er auf Middleware Komponenten auf wie COM+ auf.

Original geschrieben von grakaman
Was hat das mit dem Kernel zu tun? Und ob etwas ein _Windowsdienst_ (vormals NT Dienst) ist oder nicht, hat überhaupt nichts mit einer Betriebsystemzugehörigkeit zu tun oder nicht. Ich habe auch schon Windows Dienste geschrieben. Der RPC ist hier nicht _zwingend_ erforderlich, damit das BS läuft. Außerdem setzt er auf Middleware Komponenten auf wie COM+ auf. Wenn man wirklich nur den Kernel in Betracht zieht hast du wohl recht, mir fällt da auch nichts großartiges ein.

Aber ob nun der Kernel selbst fehlerhaft ist, oder eben Systemdienste / Anwendungen von Microsoft ist für die Sicherheit irrelevant. Der Kernel selbst kann noch so sicher sein, wenn ein Dienst mit Administratorprivilegien offen wie ein Scheunentor ist hat man trotzdem ein riesiges Problem...

mrdigital

Och den Spruch find ich gut ;). Von daher das vertrag ich und fühl mich nicht angegriffen.

Das ist nur ein Eckpfeiler, aber Du musst zugeben, es ist einfacher ne Firewall des Typs X auszuschalten, denn ne Firewall, deren Typ man nicht kennt. Von daher sind Sicherheitsmassnahmen, die versteckt arbeiten ungemein schwierig zu erkennen und damit auch zu umgehen.

Es ist auch noch ne Frage, wieviel man in ein OS pappt. Wie grakaman schon sagte, scheint der Kernel von Windows bisher recht gut zu sein und die Lücken gehen eigentlich immer von ner Anwendung aus. Je weniger Anwendungen man also laufen lässt, desto weniger Sicherheitslücken wirds haben. Nicht wirklich kompliziert das einzusehen.

Bei des Swisscom wurden solche Sachen recht gut unterbunden und trotzdem liegt die Firma immer wieder flach. Waren nicht die Laptops schuld wohl - auch wenns davon wohl mehr denn 5000 gab. Lustigerweise ists dort nicht erlaubt und auch recht schwer für nen Normaluser ein eigenes Gerät dranzuhängen. Dazu musst schon über nen gültigen Administrator der Domäne verfügen und das ist wohl nur bei der Minderheit der Leute der Fall. Trotzdem half all das schöne Zeugs nie irgendwie gegen diese trivialen Attacken. Beim klassische I Love U Desaster der Swisscom wars übrigens lustig, dass die Swisscom selber nicht ein VBS Skript eingesetzt hat, aber den Skripting Host installiert hat - irgendwie auch nicht gerade schlau...

Also gegen solche RPC Spielchen helfen eben PF-Bridges hervorragend und ja, ich meine explizit Bridges und nicht Router - Router erkennt man zu einfach, weil sie als GW vorhanden sind bei den Clients. Haste je ne FW gesehen, die nur ne Bridge ist? Wie erkennst eigentlich als "böser Hacker" eine Bridge im LAN? Wie sprichst sie an? Solange Du das nicht weisst, solange kannst Du sie nicht angreiffen und somit auch nicht umgehen.

Das Umbenennen der Endungen hilft übrigens schlicht gegen Skriptkiddies und triviale Attachement "Scherze". Da gerade diese allerdings recht gut zu funktionieren scheinen gegen Grossfirmen, ist es wichtig diese zu unterbinden. Die einfachste Lösung ist hier eben, dass man sie mit Boardmitteln abstellt, denn Boardmittel haben den Vorteil, dass ich keinerlei neue HW oder SW, die selber Probleme machen kann, nutzen muss.

Muh-sagt-die-Kuh

Nenn mal konkret son Wurm/Virus bitte, damit ich den gleich nachschlagen kann und meine Fragen drauf abstimmen, resp meine Antworten. Wäre der Sache imho dienlich.

Haarmann, wie soll eine Bridge deine Rechner ins Inet bringen können? (eine Bridge verbindet zwei Ethernets (transparent) zu einer Broadcastdomain, aber nicht verschiedene IP Netze) Du brauchst ein Router (oder Gateway, das ist nur ein anderes Wort für das selbe Ding) oder besser noch, es gibt keine direkte Verbindung ins Internet, du ziehst ne FW hoch und setzt konsequent auf Proxies. Wenn dein Proxy auch noch einen Contentfilter hat und mit Blacklists / Whitelists arbeitet, dann kann man doch recht viel abblocken.
Und eigentlich ist es nicht einfach eine FW "abzuschalten" (hast du es je versucht / gemacht?), denn wenn die FW gut ist, dann hilft es dem Angreifer ncihts, dass er weiss, was für eine FW man einsetzt.
Dein "Tipp", nur die Dienste auf nem Rechner zu installieren, die ich auch wirlich brauche ist nun ein echt trivialer Hinweis, sorry aber das ist ja wohl selbstverständlich.

Original geschrieben von Haarmann
Muh-sagt-die-Kuh

Nenn mal konkret son Wurm/Virus bitte, damit ich den gleich nachschlagen kann und meine Fragen drauf abstimmen, resp meine Antworten. Wäre der Sache imho dienlich. W32.Blaster, W32.CodeRed,...Original geschrieben von mrdigital
Haarmann, wie soll eine Bridge deine Rechner ins Inet bringen können? (eine Bridge verbindet zwei Ethernets (transparent) zu einer Broadcastdomain, aber nicht verschiedene IP Netze) Du brauchst ein Router (oder Gateway, das ist nur ein anderes Wort für das selbe Ding) oder besser noch, es gibt keine direkte Verbindung ins Internet, du ziehst ne FW hoch und setzt konsequent auf Proxies. Wenn dein Proxy auch noch einen Contentfilter hat und mit Blacklists / Whitelists arbeitet, dann kann man doch recht viel abblocken.
Und eigentlich ist es nicht einfach eine FW "abzuschalten" (hast du es je versucht / gemacht?), denn wenn die FW gut ist, dann hilft es dem Angreifer ncihts, dass er weiss, was für eine FW man einsetzt.
Dein "Tipp", nur die Dienste auf nem Rechner zu installieren, die ich auch wirlich brauche ist nun ein echt trivialer Hinweis, sorry aber das ist ja wohl selbstverständlich.Dem ist eigentlich nichts mehr hinzuzufügen.

mrdigital

Ich habe nie gesagt, dass ich mit Bridges ins Internet will... Weiss nicht wie hier alle aus diesen Gedanken kommen.
Ich hab nur einfach mal ne Option angeboten, die normalerweise vergessen wird. Mögliche Anwendungen für dies Teil gibts schon. Und da es in Muh's Dokumentation gefehlt hat wollt ichs erwähnen. Ne Bridge mit Filter drinnen kann sehr viele Schäden abblocken ohne, dass ihre Anwesenheit verraten wird.
Das man Proxys noch mit nem Virenkiller kombinieren kann wiederum hab ich auch schon erwähnt. Dementsprechend ist das nicht ganz so neu erwähnt worden von Dir grad eben mitem Content Filter.
Ne Firewall von Aussen her abzuschalten ist durchaus schwierig, aber von innen her sind die Dinger oft löchriger als ein Scheunentor. In der Schweiz gabs mal ne Studie, dass z.B. 90% aller Zyxel Geräte noch mitem Std Passwort 1234 bestückt waren... Tragisch aber wahr.

Es gab nahezu unzähliche FWs, die bei nem vollen Log alles durchliessen - das Experiment hab ich mal gemacht an einem Exempel, dass ich zur Verfügung hatte. Ansonsten darf man ja nichts gemacht haben...

Tja - so trivial wie dieser Hinweis erscheint, so wenig wird er umgesetzt. Alle mir bekannten Grossfirmen und Banken (also wo ich Leute kennen, die damit zu tun haben) verstossen gegen dieses Prinzip. Mags also trivial sein - es ist trotzdem angebracht etwas zu erwähnen, was viele Firmen schlicht nicht beachten.
Auch nutzen viele Firmen einheitliche lokale Admisistrator Passwörter. Auch nicht gerade ne glorreiche Idee.

Muh-sagt-die-Kuh

W32.Blaster
Harmloses Ding - wird von jedem NAT abgewehrt und keiner wird wohl die 135-139 Port offen haben - auch intern nicht bidirektional. Kenne eigentlich keine FW, die den nicht blockiert hätte ;).

W32.CodeRed
Der frisierte doch den Indexdienst, falls IIS drauf war. Da ich weder den IIS, noch den Indexdienst für notwendig erachte...

Original geschrieben von Haarmann
W32.CodeRed
Der frisierte doch den Indexdienst, falls IIS drauf war. Da ich weder den IIS, noch den Indexdienst für notwendig erachte...

Ich erachte den IIS aber für notwendig ;)

grakaman

Selbst der IIS ist eigentlich immun - wenn man weiss wie. Ich mag den IIS selber nur nicht, und finde auch nicht, dass er auf jedes Gerät gehört. WEB-Server stehen zudem selten nicht geschützt rum.
"Proxys" gehen bekanntlich auch andersrum. Damit ist der IIS plötzlich so "sicher" wie der Proxy selber, den man davor im Einsatz hat. Natürlich nur, wenn mans wirklich isoliert. Ist aber ein alter Hut. Abgesehen davon würde ich den Indexdienst trotzdem abgeschaltet lassen -> Er landete im Gulli. Und war da nicht noch die Datei Explorer.EXE, die aufs C geschrieben wurde? Soweit ich mich entsinne, war da bei meinem Ansatz weder C, noch EXE zu gebrauchen.
Ich kann mich aber irren, da ich die Vireninfos nur bei Symantec ausm Lexikon der Viren gelesen hab.

P.S. Der Webserver und auch die anderen Server kennen übrigens keinen Gateway...

Original geschrieben von Haarmann
Muh-sagt-die-Kuh

W32.Blaster
Harmloses Ding - wird von jedem NAT abgewehrt und keiner wird wohl die 135-139 Port offen haben - auch intern nicht bidirektional. Kenne eigentlich keine FW, die den nicht blockiert hätte ;).

W32.CodeRed
Der frisierte doch den Indexdienst, falls IIS drauf war. Da ich weder den IIS, noch den Indexdienst für notwendig erachte... Sagt dir die Bedeutung des Wortes "Beispiel" etwas? Das Prinzip, das hinter diesen Würmern steckt ist vielfältig anwendbar. :eyes:

Original geschrieben von Haarmann
Und war da nicht noch die Datei Explorer.EXE, die aufs C geschrieben wurde? Soweit ich mich entsinne, war da bei meinem Ansatz weder C, noch EXE zu gebrauchen.Dein "Schutz" ist wirkungslos, ich verweise gerne nochmal auf die Dokumentation zum "CreateProcess" Syscall.

Muh-sagt-die-Kuh

Wie schreibt man denn aufs LW C:, welches gar nicht da ist? Ich hab bei Symantec nicht gefunden, dass es Systemlaufwerk hiess, sondern deutlich c:\. Ich hab keines in so nem Fall...

Ich wollte nur anmerken, dass ich eine FW nicht ausgeschlossen hab in meinem System. Im Gegenteil - ich nutze ne ganze Menge mehr davon, als der Durchschnitt - je nach Sicherheit, die gewollt ist. Allerdings nicht "Routerfirewalls".