 |
|
 |
Gebrauchsspuren 1
(Innere
Sicherheitsrisiken von Windows)
Bitte
beachten Sie auch unbedingt Seite 2 dieses Beitrages!!!
Siehe auch:
Win98trojaner
Das Winsysproblem
Spycrosoft
Vorratsdatenspeicherung
Wie Sie ja bereits wissen:
Es gibt keine absolute Sicherheit vor Datenspionage und Manipulationen !
Sie sind schon
wieder beunruhigt,weil Sie hier plötzlich
den Inhalt Ihrer Festplatte sehen können?
Oder sehen Sie stattdessen evtl. eine der folgenden Warnungen?
|
|
|
Keine Sorge, auch dies ist
immer noch der gleiche, ganz simple Trick,
den Sie eigentlich bereits von der Seite Security
1 kennen
sollten.
Wirkliche
Gefahren jedoch kommen nicht nur aus dem Internet,
sondern drohen leider grundsätzlich auch von innen.
Zum Beispiel durch
Dateien, in welchen Ihre gesamten PC-Aktivitäten,
sowohl online als auch offline mitgeloggt werden,
und die für jeden unverschlüsselt zugänglich sind,
der in irgendeiner Weise legal oder illegal Zugang zu Ihrem
System hat.
Das kann die Ehefrau ebenso sein wie der Sohn, der Chef
oder ein Ermittlungsbeamter im Rahmen einer Hausdurchsuchung.
Fakt ist nämlich, dass es eine Reihe von systeminternen
Gebrauchsspuren
in Form von Logdateien
und Verläufen gibt,
die Sie vielleicht nicht unbedingt anderen Menschen zeigen
wollen.
Allen voran nenne ich da nur die USER.DAT,
eine der versteckten Registrydateien in Windows,
die Sie sich einmal ganz in
Ruhe anschauen sollten.
Klicken Sie einfach auf Start....Suchen und geben
Sie dort User.dat ein.
 |
Allerdings müssen
Sie vorher auch alle versteckten Dateien sichtbar machen,
falls dies bisher noch nicht geschehen ist.
Wie das geht, erfahren Sie hier: security 3.
Zuweilen gibt es auch andere Dateien gleichen Namens,
die von Programmen angelegt wurden um userbezogene Einstellungen
eben dieses Programms zu speichern.
Sie liegen aber in der Regel in einem Programmverzeichnis
wie z.B.: C:\Programme\Name\xyz
oder als Kopien der Original User.dat zu Sicherungszwecken gar direkt im Hauptverzeichnis
unter C:\user.xyz
wobei die Endung .xyz eine eigens vom betreffenden Programm
definierte Dateierweiterung darstellt.(*.nav *.nu4...usw.)
Dies ändert allerdings nichts an der Tatsache, dass dort
ebenfalls alle sensiblen Einträge der User.dat verewigt sind.
 |
Wie Sie sehen,
haben sich im aktuellen Beispiel sowohl die Norton Utilities 4.0
als auch das schon längst nicht mehr vorhandenes Norton Antivirus mit jeweils einer eigenen Kopie
verewigt.
Die windowseigene Datei User.dat (Blau unterlegt) liegt standardmäßig und direkt
daneben ebenfalls
im Verzeichnis C:\WINDOWS
und ist
normalerweise so um die 1-2
MB groß.
Öffnet man solch eine User.dat nun mit Hilfe von Notepad, einem
beliebigen Hexeditors
oder noch bequemer mittels des Fileanalyzers von Spybot ,
kann man alle Einträge in der Datei sortiert nach Urls, Guids und Dateinamen sichten,
und mit Hilfe der integrierten Suchfunktion sogar ganz geziehlt
nach bestimmten
Urls durchsuchen
lassen, wie im folgenden Screenshot am Beispiel der User.d97 (einer umbenannten User.dat)
recht eindrucksvoll dokumentiert ist.
 |
Ich brauche wohl nicht extra zu betonen,
dass Ihre Anonymität unter diesen Aspekten
wie blanker Hohn erscheint. Bedenken Sie bitte auch, dass im
Falle einer Trojanerinfektion
mittels eingeschleuster Backdoor hier ebenfalls online Klartext gelesen werden kann.
INFO....
Wozu benötigt Windows die User.dat?
Windows speichert in den Dateien System.dat,
User.dat
, alle
Registry-Informationen.
Und bei Win ME gibt es auch noch die Classes.dat,
auf welche aber hier nicht näher eingegangen werden soll.
In der User.dat werden nur benutzerbezogene
Daten und Profile,
in der System.dat dagegen benutzerunabhängige Daten gespeichert.
Beide Dateien
befinden sich wie gesagt im Windows-Verzeichnis,
haben die Attribute "System" und "Versteckt" und werden daher
selbst unter DOS nur angezeigt, wenn man den Befehl
"Dir"
mit dem Kommandoparameter "/a"
verwendet.
Windows 98/SE/ME legt bei jedem ersten Start eines Tages
Sicherheitskopien dieser Dateien im Verzeichnis C:\Windows\Sysbckup an.
Sie heißen
dann Rb00n.cab. (Laufende Numerierung bis
standardmäßig Rb005.cab)
Die auf 5 voreingestellte Anzahl der Sicherungen
und die Dateien,
welche in der Sicherung enthalten sein sollen, können Sie in der
Datei
C:\Windows\Scanreg.ini selbst festlegen.
Wie das genau geht, erfahren Sie hier: Mein Tipp zur Registry
Diese
automatische Sicherung kann man auch abschalten,
indem man mittels des windowsinternen Tools Msconfig.exe
unter der Registerkarte "Autostart" den Eintrag "Scanregw /autorun" deaktiviert.
Allerdings ist dringend davon abzuraten.
Eine bessere Alternative wäre in diesem Falle, eine Bearbeitung
der Scanreg.ini
indem man dort einfach ein anderes Laufwerk als Ziel
einträgt,
welches man notfalls komplett verschlüsseln und ebenfalls
verstecken kann.
Haben Sie
mehrere Benutzer in ihrem System angemeldet (Profile),
legt Windows für jeden
Benutzer eine individuelle User.dat an,
die sich im jeweiligen Userverzeichnis befinden
(z.B. findet man die User.dat von <Hans im Glück>
im Verzeichnis..."C:\Windows\Profiles\<Hans
im Glück>").
Gegenmaßnahmen
Gebrauchsspuren wie normale
Verläufe und Logdateien kann man recht sicher mit externen Tools
wie Spybots S&D erfassen und löschen lassen. Dies gilt
sowohl für Registryeinträge
als auch Dateien in Haupt und Programmverzeichnissen.
 |
Wie Sie in obiger Grafik
deutlich sehen können,
hat S&D auch hier reichlich Gebrauchsspuren entdeckt,
welche man allesamt markieren und vom Tool automatisch entfernen
lassen kann.
 |
Das gleiche Programmfenster
nach erfolgter Reinigung.
S&D hat alle markierten Einträge in der
Registry sowie die entsprechenden
Ordner und Logdateien gelöscht.
Die Programme legen diese allerdings bei jedem Programmstart auf
Neue an,
weshalb man S&D auch regelmäßig
zur Entfernung nutzen sollte.
Weniger erfolgreich war dabei die
Bereinigung der User.dat,
welche S&D noch nicht eimal in der Liste
aufzählte.
Aus gutem Grunde:
Jede Manipulation in dieser Datei könnte die Zerstörung der
Registry
und des gesamten Betriebssystems zur Folge haben,
da es sich ja um eine windowsinterne System-Datei handelt.
Auch vom manuellen Bearbeiten
der Einträge in der User.dat
oder gar vom Löschen der gesamten Datei muß daher dringenst
abgeraten werden.
Selbst wenn Sie vorher eine Sicherung erstellen um diese später
zurückzuspielen, kann die Aktion sehr unangenehme Folgen haben.
Bedenken Sie, dass Windows möglicherweise überhaupt nicht mehr
hochfährt und damit wird das Wiederherstellen nicht gerade
einfach.
Aber mit einem kleinen Trick lässt sich das Problem dennoch
umgehen.
Legen Sie einfach vor jeder datensensiblen Session einen neues
Nutzerprofil als Besucher
(z.B. mit dem Namen "Geheim") an. Suchen Sie dann die
dazugehörige User.dat wie oben beschrieben und merken Sie sich
den genauen Dateinamen.
Nach erfolgter Session lassen Sie dieses Profil einfach komplett
wieder von Windows entfernen.
Damit sollte auch normalerweise die entsprechende User.dat gelöscht sein.
Überprüfen Sie dies aber anschließend trotzdem widerum mittels
Suchfunktion.
Falls die User.dat von "Geheim" wider
Erwarten dennoch vorhanden sein sollte,
sollten Sie diese nun gefahrlos manuell löschen können.
Geben Sie dazu den vorher
notierten Dateinamen ins Suchfenster ein
und Löschen Sie diese per Hand.
Besser ist in diesem Falle
allerdings das Überschreiben mit einem speziellen
Sicherheits-Löschprogramm, damit die Datei anschließend
auch nicht mehr wiederhergestellt werden kann.
Solch ein Tool zum Überschreiben finden Sie unter anderem im
Advanced-Modus
von S&D unter der Registerkarte Werkzeuge...Aktenvernichter. Dort können Sie die Anzahl der
Löschungen (=Überschreibungen) unten links sogar vorgeben.
ACHTUNG!
Bedenken Sie
aber bitte dabei, dass mit jeder der automatischen
Sicherheitskopien (Siehe oben) leider auch alle sensiblen
Einträge
der aktuellen User.dat Dateien rückwirkend
und für einen Zeitraum von standardmäßig 5 Tagen mitgesichert
werden.
Somit verbleiben diese auch in Form von Cab-Dateien auf Ihrem
Rechner.
Das heißt im
Klartext, dass Sie noch vor
der ersten
Bereinigung
alle bereits unter C:\Windows\Sysbckup
gespeicherten
alten CAB-Dateien unbedingt von Hand löschen müssen.
Windows erstellt zwar am nächsten Tag eine neue CAB-Datei.
Sicherheitshalber sollten Sie aber sofort nach erfolgreicher Reinigung
durch Eingeben des Befehls "scanregw" in
die Kommandozeile
von Start....Ausführen manuell
Windows zu einer Überprüfung der Registry
veranlassen und anschließend sofort eine neue Kopie erstellen,
wie es Ihnen im Dialogfenster von scanregw.exe
angeboten wird.
 |
Verunsichert???
Das sollten Sie auch durchaus
sein,
denn auf der nächsten
Seite erfahren Sie einige unangenehme
Einzelheiten
über die Wiederherstellbarkeit und damit verbundenen,
schweren Sicherheitsrisiken angeblich gelöschter Dateien.
Siehe auch:
Win98trojaner
Das Winsysproblem
Spycrosoft
Vorratsdatenspeicherung