Wenn eine Windows-Box Sicherheitsprobleme hat oder aus Neugier einfach mal genauer untersucht werden soll, stehen verschiedene hervorragende Tools zur Verfügung. Zu den top Adressen gehört das inzwischen Microsoft angeschlossene Label sysinternals von Mark Russinovich.

Autoruns. Listet die automatisch startende Software des Systems und ist unverzichtbar auf der Suche nach Malware oder nach Trash, der die Bootzeit verlängert und das System belastet. Die neueste Version listet auch Codecs auf und wir können beispielsweise nur staunen, was beispielsweise Nero 7 Essentials alles auf ein System pumpt. Die Übersicht kann durch das Ausblenden von Microsoft-Komponenten erhöht werden. Profis können direkt den Start von Komponenten wegknipsen. Es empfiehlt sich, zumindest die Einträge des Virenschutzes nicht anzutasten…

Process Explorer. Zeigt live die Prozess Struktur von Windows bis hinunter zu den einzelnen Threads. Für die einzelnen Applikationen wird etwa auch angezeigt, ob Sicherheitsmechanismen wie DEP oder ASLR verwendet werden.

Process Monitor. Pumpt die enormen Aktivitäten von Registry, Filesystem, Netzwerk und Prozessen auf den Bildschirm. Es können Bereiche selektiert und Filter gesetzt werden, was etwas Einarbeitung erfordert.

Tcpview. Visualisiert die laufenden Netzwerkverbindungen.

Streams. Bringt die verborgenen NTFS-Streams ans Tageslicht. 

Ein Index der Utilities findet sich HIER. Zum Schluss noch der Hinweis auf den Siteblog mit den laufenden Neuerscheinungen und Updates.

Browsing Security  9

Letzte Woche haben wir in einer Diskussionsrunde zum Thema Browsing Probleme und Lösungsansätze auch über die Möglichkeiten gesprochen, unter Windows Browser sicherer zu machen. Da kommen Plugins und Parametersettings in Frage.

Gewisse Optimierungen gegenüber dem Default-Zustand der Browser sind möglich. Allerdings erscheint Zurückhaltung angebracht. Wenn überhaupt Verbesserungen in Sachen Sicherheit zu erreichen sind, müssen bei Plugins Sekundärrisiken und Pflegeaufwand in Betracht gezogen werden. Grundsätzlich bieten die hier betrachteten Firefox 3.x und Internet Explorer 7.x einen robuste Grundausstattung, die nur selektiv ergänzt oder verändert werden sollte.

JavaScript

JavaScript ist an vielen DriveBy Infektionen beteiligt. Idealerweise sollte man es für alle ausserbetrieblichen Sites wegschalten. Das führt aber zu erheblichen Funktionseinschränkungen und Problemen. Ein siteweises Verwalten des Scripting kann für Poweruser sinnvoll sein, Standardusern aber kaum zugemutet werden.

Firefox: Das Plugin NoScript warnt vor Scripts und erlaubt, für Sites Scripting zuzulassen oder zu blocken.

IE: Unter Internet Options / Security kann für jede Zone ein Custom Level für das Active Scripting gesetzt werden. Der Default für die Zone Internet ist enabled. Wer das auf disabled setzt, muss Websites mit erwünschtem Scripting in eine andere Zone eintragen, zum Beispiel in Trusted.

Firefox mit NoScript ist für Endanwender einfacher zu handhaben. Das Zonenmodell von Internet Explorer bietet out of the Box sinnvolle Settings und kann auch zentral mit Policies verwaltet werden – für Endanwender, die Site für Site Scripts zulassen wollen, ist es umständlicher und weniger granular.

Managed Code

Beide Browser bevorzugen ihre offensichtlich naheliegenden Code-Umgebungen mit einer Politik der offenen Tür. Beim Firefox ist out of the Box Java zugelassen, beim Internet Explorer .NET. In betrieblichen Umgebungen mit erhöhten Sicherheitsanforderungen sollte geprüft werden, ob das wirklich benötigt wird.

Zertifikatsprüfung

Mit Version 3 behandelt auch Firefox hausgemachte Zertifikate als nicht vertrauenswürdig und bringt wie Internet Explorer bei entsprechenden HTTPS Verbindungen eine Warnung. Heise kritisiert allerdings die stiefmütterliche Markierung von Standard SSL-Zertifikaten gegenüber hiEnd EV-SSL. Schwerer ins Gewicht fällt allerdings, dass Firefox die Revocation List von Zertifikatsstellen nicht immer verarbeiten kann.

Ob die Validierung der Zertifikate hinreichend ist oder ob zB die SSL Blacklist Extension für Firefox eingesetzt werden soll, kann in Umgebungen mit erhöhten Sicherheitsanforderungen angesehen werden. Für den Standardbetrieb drängen sich keine Zusatzmassnahmen auf.

Werbeblocker

Das Blocken von Werbung oder zumindest gewisser Teile ist aus Sicherheitsgründen erwünscht, wenn Code mit unbestimmter Qualität von Drittquellen ins Browserfenster eingeblendet wird.

Firefox: Das Plugin Adblock Plus hat in Sachen Funktionalität einen guten Ruf (die Qualität ist schwierig einzuschätzen).

Internet Explorer blockt PopUps (wenn das am Initialisieren zugelassen wurde).

Phishing, Malware Sites

Beide Browser kommen mit Anti-Phising Mechanismen. Firefox greift auf eine Google-Datenbank zu, Internet Explorer auf Microsoft-Listen.

Statt Plugins zu installieren erscheint es sinnvoller, einen Virenschutz mit effizientem Site-Blocker zu betreiben.

Der Conficker Wurm treibt seit Wochen seit Unwesen. Aufgrund der zahlreichen ungepflegten PCs und mehrfachen Verbreitungsmethoden ist die Epidemie wohl abgeflacht, aber nicht am Erlöschen. So wurden kürzlich wieder mehrere hundert Computer der Bundeswehr befallen. Die IT-Community hat nun ihre Anstrengungen erhöht. Sicherheitsfirmen stellen Informationen und Removal Tools zur Verfügung, die Internetbehörde ICANN schaltet sich ein und Microsoft hat eine Belohnung ausgeschrieben. Inzwischen konnte zumindest für einzelne Versionen der Kontaktmechanismus der Malware geknackt werden. Für die nächsten Wochen erwarten wir einen Rückgang der Epidemie.

Generell sind vor allem private PCs betroffen, die meisten betrieblichen Umgebungen sind kaum tangiert. Im Hochschulumfeld macht sich der Semesterbeginn bemerkbar. Studis mit vereinzelten infizierten Laptops tauchen im dem Hochschulnetz auf.

Verbreitungsmechanismen
Vulgärdarwinismus lässt sich natürlich auch aufs Internet projizieren und wir können mindestens von einem temporären Survival of the Fittest sprechen. Conficker verfügt über drei effiziente Verbreitungsmechanismen. Patchen mit MS08-067 stopft nur einen dieser drei Pfade:
1) Server-Service Verletzlichkeit. Verhindert durch: Patch MS08-067
2) Kopieren in das $ADMIN Share (normalerweise Windows-Ordner) eines Drittcomputers. Dazu versucht Conficker Kontonamen und eine Passwortliste aus, was zur Sperrung betroffener Konten führen kann. Verhindert durch: Windows-Firewall geschlossen; sicheres Passwort.
3) Kopie auf portablen Medien mit einem .inf File, das die Installation der Malware startet, wenn ein PC AutoPlay eingeschaltet hat.
Aktuelle Virenscanner verhindern den Befall und die Verbreitung von Conficker.

Hinweise für Private
Die üblichen Hinweise auf Patchen, geschlossene Windows Firewall und Arbeiten unter Standarduserrechten greifen auch hier. Die aktuelle Lage könnte der Anlass sein, den Virenschutz auf Aktualität zu checken.

Besonders exponiert sind Haushalte, die einen gemeinsamen Medienserver betreiben oder sonst Shares und USB-Sticks in einem wenig gesicherten Umfeld austauschen. Die Geschäftslaptops der Eltern sollten keinen allzu familiären Umgang mit der Kamikaze-Box des Juniors pflegen.

Risiken in betrieblichen Umgebungen
Gut gepflegte betriebliche Umgebungen sind kaum von grösseren Infektionen betroffen. Verletzlich erscheinen besondere Umgebungen, etwa eine abgeschottete Gruppe von offenen Messrechnern. Da kann sich das Auftauchen eines infizierten Privatlaptops oder USB-Sticks verheerend auswirken.

Das Auftauchen eines einzelnen infizierten Rechners in einer Windows-Domain kann dazu führen, dass im direkten Umfeld alle Konten geblockt werden. Der infizierte Rechner hat meistens Leserechte für die Objekte der Organisationseinheit und kann darum effizient die Computer und Konten scannen. Scanartige Muster auf Port 445 im Firewall-Log können auch ohne Konto-Lockout auf die Präsenz eines infizierten Rechners hinweisen.

Informationen, Removal
Eine Linksammlung zu weiteren Informationen und Removal-Tools findet sich bei SANS. Detailreiche Beschreibung bei SRI. Für PrivatandwenderInnen “Protect yourself from the Conficker computer worm“. Background von Microsoft zu Conficker.B / Verbreitung  /  disable Autorun .

UPDATE 20.2.
Neben den Varianten .A und B. beginnt sich in den letzten Tagen eine neue Version Conficker.B++ zu verbreiten. Die Malware Autoren haben offenbar auf die Offenlegung und Sperrung der Kontaktpunkte reagiert. Offen ist momentan, wie die Virenschutzprodukte mit B++ zurechtkommen.

UPDATE 1.4.
Der heutige Wechsel des Kommunikationsmechanismus von Conficker bewirkt vorderhand erwartungsgemäss keine neue Bedrohung sauberer Maschinen. Möglicherweise wird das Netz der betroffenen Maschinen nun in Richtung eines ‘produktiven’ Botnets weiterentwickelt.

Virtuelle Maschinen eigenen sich ausgezeichnet, um erste Tests mit Software durchzuführen. Als ich kürzlich auf einem weit verbreiteten HP dc7800p eine virtuelle Version von Windows7 aufsetzte, kamen mir die 28 Minuten ziemlich lange vor. Auf einer vergleichbaren Maschine hatte das Gleiche 20 Minuten gedauert.

Ein erstere Blick auf die Optionen von „Virtual PC“ erhärtet den Verdacht: Das Programm arbeitet ohne Hardware-Beschleunigung, weil das System diese nicht anbiete. Kann es sein, dass der etwa ältere Core2Duo E6850 Virtualisierung noch nicht unterstützt? Ein Blick auf die Wikipedia „Liste der Intel-Core-Prozessoren“ zeigt, dass auch dieses Modell Intel Virtualization Technology IVT an Bord hat.

Ein rascher Blick ins BIOS bringt nix. Die Suche auf dem Web fördert aber den Hinweis zutage, dass manche Hersteller den Virtualisierungssupport per Default wegknipsen. Auf der HP-Box finden sich dann im BIOS tatsächlich zwei Virtualisierungseinträge (Security / System Security). Nachdem die enabled sind werden auch noch die Einträge im Virtualisierungstool und bei den einzelnen Virtuellen Maschinen angeknipst. Siehe da: Die Installatioszeit sinkt von 28 auf 19 Minuten. Das ist für ein zwei Jahre altes 0815 System ganz ordentlich.

Ein Teil davon geht allerdings noch auf eine zweite Optimierung zurück. Das ISO-Image wird diesmal von einer externen USB-Harddisk gelesen, sodass auf der Zieldisk beim Installieren nur geschrieben werden muss.