SECURITY 2

Wissenswertes zu Ports und Sicherheitslücken

Bitte beachten Sie:
Alle hier genannten Programme sind nur als Beispiele für einen sinnvollen Schutz aufgeführt und entsprechen nicht automatisch den neuesten Versionen im Netz. Um immer die aktuellsten Infos und Downloadmöglichkeiten zu erhalten, informieren Sie sich bitte in meiner AMBULANZ auf der Startseite oder unter TOOLS in der Navigationsleiste.

DER TECHNODOCTOR

Was ist ein Port?

Ein Port (Tür) im PC ist als eine Art Softwareschnittstelle im Betriebssystem, bzw. eine Adress-Komponente in Netzwerkprotokollen zu verstehen, über welche aktive Programme oder Systemkomponenten Daten senden und auch empfangen können. Dies gilt sowohl für externe Verbindungen dieser Programme mit dem Internet oder Intranet (Netzwerk), als auch für den Datenaustausch bestimmter systeminterner Komponenten untereinander, wie etwa dem Antivirenprogramm und den bei jedem Systemstart automatisch mitgestarteten Diensten, wie z. B. automatischem Update oder Nachrichtendiensten. Ist ein solcher Port einmal von einem lokalen Programm geöffnet, kann er theoretisch auch von einem Angreifer von außen durchschritten werden und Datentransfer vom Rechner ins Netz oder auch umgekehrt ermöglichen. Da ein potentieller Angreifer aber vorab nicht wissen kann, wann und unter welcher IP-Adresse ein solcher Port gerade geöffnet und mit dem Netz verbunden ist, nutzt er z.B. bestimmte Programme, wie Sniffer um offene Ports im Netz aufzuspüren und dort Schadprogramme wie Trojaner oder Viren einzuschleusen, welche sich zunächst auf dem System installieren und dann fortan eigenständig weitere Ports öffnen können. Ein derart kompromittierter Rechner wird auch als "Zombierechner" bezeichnet und kann mit entsprechenden Steuerprogrammen leicht in bestehende Botnetze integriert werden. Ein offener Port stellt also grundsätzlich auch immer eine potentielle Gefahr dar. Leider lassen sich aber nicht alle Ports einfach dauerhaft schließen, da sonst auch bestimmte Programme und Funktionen des Betriebssystems nicht mehr funktionieren können. Allerdings kann man sie mit externen Programmen wie einer Firewall sowohl im Netz unsichtbar machen (Stealthmodus) als auch über fest definierte Regeln und Freigaben eine strenge Zugangskontrolle einrichten, welche einen gewissen Schutz verspricht. Ich hoffe, folgender Beitrag kann Ihnen ein wenig dabei helfen, Ihr System so gut wie möglich abzusichern.

Siehe dazu auch Security 5.

Eine Aufstellung der wichtigsten Ports und ihrer Aufgaben finden Sie hier:

http://www.user-archiv.de/netzwerk-ports.html

http://de.wikipedia.org/wiki/Port_%28Protokoll%29

http://www.chebucto.ns.ca/~rakerman/port-table.html#Table

Sicherheitsmaßnahmen + Port-scan

Als erstes sollte überprüft werden welche Sicherheitslücken ein Rechner aufweist und an welchen Stellen er leicht angegriffen werden kann:

Ich empfehle dazu die professionelle Seite von STEVE GIBSON: www.grc.com

Es öffnet sich die Homepage der Gibson Research Corporation und mit einem Klick auf den Link " Shields UP ! "wird ein Scheinangriff auf den Rechner gestartet und dabei dessen Verhalten genau analysiert.

Das Verfahren soll jetzt hier nicht näher beschrieben werden; bitte nur genau den Anweisungen der Gibsonseite folgen!

Keine Angst: Die Seite ist absolut vertrauenswürdig....Zum Schluss wird eine Zusamenfassung der Analyse gezeigt, welche man sich unbedingt ausdrucken sollte um später einmal mit den Ergebnissen weiterer Tests vergleichen zu können.

Nur so ist es möglich, die Effizienz der ergriffenen Sicherheitsmaßnahmen verlässlich und neutral zu beurteilen.

Das erste Ergebnis der Gibsonanalyse wird wohl erwartungsgemäß katastrophal ausfallen, es sei denn, der Rechner ist schon entsprechend abgesichert worden.....In diesem Falle möchte ich aufrichtig gratulieren!- Sollte dagegen meine erste Vermutung zutreffen und Gibson der Angriff gelungen sein, klickt bitte auf folgenden LINK: Sicherheitseinstellungen erhöhen!!

ACHTUNG!

Zusätzlich zum Online-Scan empfehle ich die Verwendung
von lokalen Portscannern und weiteren Tools,
wie ich Sie u.a. hier beschrieben habe: Seite 5

Einfache und kostenlose Portscanner
finden Sie u.a. hier:

lps.software.informer.com/download

all-nettools.com/de/download

Wer noch weiter testen möchte, kann dies auch
mal mit folgenden Servern versuchen:

Falls die Sicherheit Ihres Systems ausreicht,
sollten die Testserver nur folgende
oder ähnliche Analysen abgeben:

Bitte denken Sie daran, dass jeder Scan normalerweise
nur die Ports des Zielrechners anzeigt,
dessen IP-Adresse am Anfang des Scans angezeigt wird.

Falls Sie über einen Proxyserver arbeiten,
wird also nicht Ihr eigenes System gescannt,
sondern ausschließlich das Proxysystem:

Werden hier offene Ports angezeigt,
ist das für einen Proxyserver völlig normal !
Für Sie entsteht dadurch keine Sicherheitslücke.
Scannen des eigenen Systems ist also nur
über eine proxyfreie Direktverbindung möglich!
Eine Ausnahme ist das Erfassen der realen IP-Adresse.
Mittels eines Javascrips kann die Proxyadresse
umgangen werden. (Siehe unten)

Bitte beachten Sie:

Echte Anonymytät im Internet ist eine Utopie!

Umgehen der Proxyadresse:

Trotz der Verwendung eines
High anonymity Proxyservers
kann Ihre tatsächliche IP-Adresse zusätzlich
zur Proxy-IP abgefragt werden,
wenn Sie JAVA in ihrem Browser
aktiviert haben.
Mittels eines einfachen Javabefehls
kann ihr Browser selbst dann zum Senden
der realen IP-Adresse veranlasst werden!!!

Um dies zu vermeiden deaktivieren Sie JAVA
in den Sicherheitseinstellungen der Internetoptionen
für die entsprechende Zone (z.B.:"Internet")

Testen Sie danach die Sicherheit nochmals
mit den folgendenCheckservern:

Browserlücken:

Fast alle üblichen Browser sind zumindest in den Standardeinstellungen über
Aktive-X-Scripting und Javascript schwerst sabotagegefährdet.
Lücken in Browsern sind allerdings nicht neu.
Seit dem Internet Explorer 4 ist unter anderem die Interaktion mit dem Clipboard möglich, aber erst seit Version 5 standardmäßig erlaubt.
Für Microsoft ist die Funktion und kein Bug. Sie lässt sich mit wenigen Zeilen JavaScript ausnutzen.
Auf den c't-Browsercheck-Seiten können Anwender mit verschiedenen Demos die Sicherheit ihres Browsers selbst prüfen und bekommen bei festgestellten Mängeln auch gleich die nötigen Kniffe verraten, wie die jeweilige Lücke zu schließen ist.
Ich möchte allerdings ausdrücklich darauf hinweisen, dass diese Tests auf eigene Gefahr erfolgen,
da unter bestimmten Umständen manche Rechner abstürzen oder möglicherweise Dateien beschädigt werden könnten.
Bitte beachten Sie in diesem Zusammenhang auch meinen Disclaimer,

Ich verweise im übrigen ausdrücklich auf den erklärenden Text und die expliziten Anweisungen der Heise-Seite,
die Sie unbedingt vor jedem dort angebotenen Einzeltest lesen und auch entsprechend beachten sollten.

Zusätzlich sollten Sie auch noch folgende Tests machen.......

Mozilla Plugin-Check:
(Nicht nur für FireFox)

Fast alle üblichen Browser sind in der Lage mit sogenannten "Plugins" zusammenzuarbeiten,
um auf diese Weise zusätzliche Optionen und erweiterte Funktionalitäten zu bieten.
Aus Gründen der Sicherheit und um eine möglichst 100%ige Kompatibilität Ihrer PlugIns
mit der jeweiligen Browserversion zu gewährleisten, sollten regelmäßig, oder zumindest
nach jedem Browserupdate, unbedingt auch alle bereits installierten Plugins getestet und bei Bedarf aktualisiert werden.

Mozilla bietet dazu einen Online-Checkup an, welchen Sie bequem und gleich von hier aus starten können.
Bitte beachten Sie dabei, dass der Scan vor allem für den FireFox optimiert wurde.
Andere Browser werden bei aktiviertem Java Script zwar ebenfalls unterstützt,
jedoch könnte es dabei zu teilweisen Funktionseinschränkungen der Scan-Engine kommen.

Innere Sicherheitslücken:

Leider gibt es auch eine ganz andere Art von indirekter, stiller Überwachung im Hintergrund.
Windows selbst loggt nämlich in verschiedenen Dateien alle Ihre Aktionen mit und erzeugt damit sogenannte

GEBRAUCHSSPUREN.

Und es kommt noch doller:
Zahlreiche Programme, die Sie eigentlich schützen sollten, indem sie Gebrauchspuren löschen,
legen standardmäßig selbst wieder eine Kopie genau dieser gelöschten Gebrauchsspuren an
um fälschlich gelöschte Einträge mit einem Klick wiederherstellen zu können.
Und denken Sie nicht, dass Gebrauchsspuren immer harmlos wären...
Gefahren drohen von vielen Seiten:
Ein unbemerkt eingeschleuster Trojaner etwa kann diese Gebrauchsspuren
ebenso auslesen und ins Internet übermitteln wie eifersüchtige Partner
oder Ermittlungsbeamte im Falle einer Hausdurchsuchung.
Und mal ganz im Vertrauen:
Wissen Sie denn wirklich genau, ob Ihre Internetbesuche und Downloads alle 100% legal waren......?

Ausserdem:

Zumindest Ihr Provider wird zwecks Abrechnung Ihre
Festnetznummer oder Mobilfunknummer
und damit in der Regel auch Ihre wahre Identität kennen!
Die meisten Provider schreiben außerdem Logfiles aller Verbindungen mit und speichern diese für einen bestimmten Zeitraum in Logdateien ab.-Das gleiche gilt für Proxyserver, so dass man selbst bei Verwendung von anonymisierenden Diensten nur die Logfiles kombinieren müßte, um einen lückenlosen Beleg aller Internetaktivitäten zu erhalten!

Aber es geht auch noch einfacher:

So lassen sich mittels zwischengeschaltetem Sniffern und Portscannern von Seiten der Provider ausnahmslos zumindest alle unverschlüsselten Daten analysieren, die (...von wo auch immer...)ja in ihre Telefonleitung eingespeist werden.
Meist sind dabei selbst übertragene Passwörter im Klartext lesbar.

Jüngere Aktivitäten der Telekom etwa weisen offensichtlich ganz eindeutig auf den
automatischen Einsatz von Portscannern und Sniffern hin, wie man leicht feststellen kann,
wenn man sich, wie ein guter Freund von mir, via Telekomzugang und Programmen wie Kazaa
einmal probeweise in Tauschbörsen bewegt und danach die Logdateien der eigenen Firewall auswertet.

Dann bemerkt man, dass ständig ein bestimmter Port des Rechners gescannt wurde.
Dieser Port, nämlich TCP 1214,
ist genau der Port, der von Kazaa genutzt wird:

23.02.03 11:41:54 Verbindungsversuch 217.229.119.151 TCP(1214)

23.02.03 11:40:49 Verbindungsversuch 80.137.124.31 TCP(1214)

23.02.03 11:38:46 Verbindungsversuch 62.82.188.165 TCP(1238)......... usw.

Also versucht jemand herauszufinden, ob Kazaa auf dem Rechner läuft.

Rückverfolgung der IP: 80.137.124.31 zum Beispiel führte dann zu folgendem Ergebnis:


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Registrant:

Deutsche Telekom Online Service GmbH (T-DIALIN2-DOM)

Waldstraße 3

Weiterstadt

DE
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Das bedeutet zunächst nur, dass ein bisher noch Unbekannter
über den Zugangsserver eines bestimmten Providers (hier T-Online)
ganz offensichtlich versucht herauszufinden,
wer an den sogenannten Tauschbörsen teilnimmt.

Dieser Unbekannte muß nicht zwangsläufig mit T-Online identisch sein,
aber die Vermutung liegt doch sehr nahe,
dass T-Online aufgrund seiner bisher bekannt gewordenen Überwachungspraxis
zumindest Kenntnis von derartigen Aktionen haben sollte und möglicherweise
auch selbst daran beteiligt ist.
Zudem sollte man wohl auch grundsätzlich davon ausgehen,
dass es sicherlich eine ganze Menge andere Provider gibt,
die ihre User schon länger derart ausspionieren.
Vermutlich ist dies ohnehin nur die Spitze eines Eisberges.

QUELLE: Bekannt

Das Fazit:

Völlige Anonymität kann man also ohnehin höchstens nur kurzzeitig über
öffentliche Zugänge in Internetcafes, Telefonzellen
oder Handys mit älteren Prepaidkarten (Ohne Namensregistrierung) realisieren.

Wenigstens kann man mit geeigneten Sicherheitsvorkehrungen
kriminellen Webseiten sowie Wald- und Wiesenhackern wie Script-Kids etc.
einen brauchbaren Schutzwall vor die Nase zaubern.
Und das ist doch auch schon mal was! -Oder??

DER TECHNODOCTOR