Informationssicherheit Gefährdungen im Internet

Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche Vertraulichkeit, Verfügbarkeit und Integrität von Informationen gewährleisten soll. Eine weltweite Informationssicherheit soll Informationen von Gefahren, Bedrohungen, Risiken schützen und ist anderseits vielschichtigen Bedrohungen ausgesetzt. Informationssicherheit kann sich u.a. an der ISO/IEC Standard-Reihe 2700x und zunehmend auch an ISO/IEC 15408 orientieren und Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria) nutzen. Weblinks: Sicherheit im Internet , Angriffen aus dem Internet , Intrusion-Detection-Systeme , de.wikipedia de.wikipedia: Sicherheit von Webanwendungen , en.wikipedia Computer security

Übersicht zu den Gefährdungen

Aus einer Microsoft-Sicherheitsstudie von 2004 (siehe auch den Fragebogen_KES_Sicherheitsstudie_EV_TESIS_SYSware_DE.pdf):

  Server / Zentrale Clients / Endstellen mobile Endgeräte
realisiert geplant nicht
vor-
gesehen 		realisiert geplant nicht vorgesehen realisiert geplant nicht
vor-
gesehen
Firewalls 95 % 2 % 3 % 43 % 11 % 46 % 41 % 20 % 39 %
Virenschutzmechanismen 97 % 1 % 2 % 93 % 2 % 5 % 86 % 6 % 8 %
Datensicherung (Backup) 99 % 1 % 1 % 51 % 4 % 45 % 44 % 11 % 46 %
Intrusion Detection Systems 44 % 26 % 31 % 13 % 7 % 79 % 7 % 7 % 86 %
Benutzerverzeichnis mit Security-Policy 63 % 13 % 24 % 32 % 11 % 57 % 28 % 7 % 64 %
Authentifizierung
... Hardware-Token 15 % 9 % 76 % 7 % 14 % 79 % 17 % 17 % 67 %
... Passwort 95 % 1 % 5 % 94 % 2 % 5 % 85 % 1 % 14 %
... Chipkarte 11 % 14 % 74 % 7 % 19 % 74 % 10 % 20 % 70 %
... biometrische Verfahren 1 % 4 % 95 % 1 % 4 % 95 % 0 % 3 % 97 %
Protokollierung unberechtigter Zugriffe 76 % 14 % 10 % 35 % 15 % 50 % 20 % 15 % 65 %
Content Inspection/Filtering 52 % 15 % 33 % 19 % 11 % 70 % 12 % 10 % 78 %
Spam-Abwehr 56 % 28 % 15 % 36 % 16 % 48 % 24 % 16 % 60 %
Verschlüsselung
... sensitive Dateien 41 % 22 % 37 % 31 % 12 % 57 % 39 % 17 % 44 %
... Festplatten (kpl./ partitionsw.) 17 % 18 % 65 % 12 % 13 % 75 % 36 % 22 % 43 %
... Archivdatenträger/Backups 23 % 12 % 65 % 8 % 5 % 87 % 8 % 7 % 85 %
... LAN/Intranet-Verbindungen 28 % 11 % 61 % 16 % 7 % 77 % 20 % 4 % 76 %
... WLAN-Verbindungen 24 % 15 % 61 % 18 % 14 % 69 % 24 % 17 % 59 %
... WAN/Internet-Verbindungen 47 % 8 % 45 % 33 % 8 % 60 % 33 % 10 % 57 %
... Telefon 5 % 3 % 92 % 2 % 1 % 98 % 2 % 0 % 98 %
... Fax 4 % 4 % 93 % 2 % 1 % 98 % 2 % 0 % 98 %
... E-Mail 34 % 23 % 43 % 37 % 20 % 43 % 32 % 18 % 49 %
Physische Sicherheit
... Zutrittskontrolle, biometrisch 4 % 4 % 93 % 0 % 1 % 99 %  
... Zutrittskontrolle, sonstige 81 % 4 % 15 % 45 % 1 % 54 %
... Bewachung 49 % 3 % 49 % 26 % 1 % 73 %
... Video-Überwachung 39 % 3 % 58 % 11 % 1 % 88 %
... Einbruchmeldesysteme 72 % 4 % 24 % 39 % 4 % 57 %
... Schutz von Glasflächen gegen Durchbruch/Durchwurf 55 % 3 % 41 % 22 % 2 % 77 %
... Sicherheitstüren 76 % 3 % 21 % 25 % 1 % 74 %
... Brandmeldesysteme 83 % 2 % 15 % 47 % 1 % 52 %
... Löschanlagen 57 % 3 % 40 % 20 % 2 % 79 %
... andere Meldesysteme (z. B. Gas, Staub, Wasser) 37 % 6 % 57 % 9 % 2 % 89 %
... Datensicherungsschränke/-räume 85 % 3 % 12 % 24 % 2 % 75 %
... Schutz gegen kompromittierende Abstrahlung (TEMPEST) 13 % 1 % 86 % 2 % 2 % 96 % 2 % 1 % 97 %
... Maßnahmen gegen Hardwarediebstahl 63 % 3 % 33 % 32 % 6 % 63 % 35 % 11 % 54 %
physikalisches Löschen von Datenträgern 53 % 8 % 39 % 30 % 11 % 59 % 26 % 9 % 64 %
Unterbrechungsfreie Stromversorgung 91 % 3 % 6 % 17 % 7 % 77 % 8 % 2 % 91 %
Klimatisierung 83 % 3 % 13 % 12 % 3 % 85 %  
Rückrufautomatik bei Modemzugriff 47 % 4 % 49 % 20 % 2 % 78 % 21 % 3 % 77 %
Reserve-Netzzugang (IT/TK) zur Ausfallüberbrückung 55 % 9 % 36 % 20 % 3 % 77 % 13 % 1 % 86 %


Wie wird der Computer infiziert?

Die Infektion mit einem Schadprogramm kann auf verschiedenen Wegen geschehen. Schadprogramme werden oft mittels eines Virus oder Wurms auf Ihren Computer eingeschleust.

Dies kann geschehen, wenn Sie im Internet surfen oder E-Mail-Anhänge öffnen. Schützen kann man sich hier durch entsprechende Sicherheitsmaßnahmen. Ein "Bot" installiert sich nach der Einschleusung selbsttätig auf Ihrem PC und machtsich zum "Teilbesitzer eines Zombie-PC".

Nach einer Untersuchung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) gelten Schwächen in Webbrowsern als Hauptinfektionsquellen (Infektionen von Bots etwa 65%, Einschleusung durch E-Mail Anhänge etwa 13%, Lücken im Betriebssystem etwa 11% Dateien-Downloads aus dem Internet etwa 9%).

statistik-bedrohungen


Historie zu Computer Viren, Würmer, Trojaner und Spyware

Einige Jahreszahlen zur Geschicht von Viren, Würmer, Trojaner, Spionageprogramme (Spyware):

Viren-, Würmer-, Trojaner-Historie
1949 veröffentlichte John von Neumann "Theory and Organization of Complicated Automata“ und beschreibt darin die These, dass ein Computerprogramm sich selbst wiederherstellen kann. Dies entspricht einem computervirenähnlichen Softwareverhalten
1982 beschrieb Rich Skrenta ein Computerprogramm, das sich selbst über Disketten auf Apple-II-Systemen verbreitete
1986 liefert Fred Cohen (Doktorarbeit in Theorie und Experiment) ein funktionierendes Virus für das Betriebssystem UNIX. Dieses gilt heute als das erste Computervirus
1986 verbreiteten 2 Software-Händler aus Pakistan das erste Virus für das Betriebssystem MS-DOS (Pakistani-, Ashar- oder auch Brain-Virus genannt)
1992 veröffentlichte Dark Avenger (ein Virenschreiber) den ersten polymorphen Programmgenerator MTE, der sich selbst vor seiner Erkennung schützte
1995 Mit Microsoft Windows 95 und der wachsenden Benutzernzahl wurden entstanden eine wachsende Vielfalt von Viren (auch für MS-Office)
1995 erschien das erste Makrovirus für Microsoft Word
1998 erschienen die ersten VBS- und JavaScript-Viren
1999 erschienen die ersten HTML-Viren, die (das damals unsichere) Zusatzprogramm "Windows Scripting Host" benutzten
2002 kamen anstelle von Viren mehr Würmer auf
2006 wurden StarOffice- und OpenOffice-Makroviren entdeckt


Übersicht zu möglichen Gefährdungen

Das Bundesamt für Sicherheit in der Informationstechnik beschreibt das IT-Sicherheitsmanagement und Risikoanalysen (Baustein-, Maßnahmen- und Gefährdungskataloge, Vorgehensweise nach IT-Grundschutz, usw.):
BSI-Magazin_2018
umfangreiche Downloads.
aktuelle Bedrohungen (Symantec, täglich aktualisiert, Gefahrenstufe der Bedrohungen, Risiken, Schwachstellen aktuelle Spionageprogramme, Dialer-Programme, Hacker-Tools, Scherzprogramme, Programme für den Remote-Zugriff, Virusfalschmeldungen, Trackware, Irreführende Anwendungen, Kindersicherung, Potenziell unerwünschte Anwendungen, Sicherheitsbewertungs-Tools)

Aktive Nutzer Welches sind die gegenwärtigen Nutzer? Sind oder waren Benutzer zu ungewöhnlicher Zeit angemeldet? Gab es Logins von ungewöhnlichen Systemen? Gibt es neue Benutzer, die so nicht auf das System gehören? Haben bekannte oder neue Nutzer erweiterte Privilegien ? Hat die Gruppe Administratoren neue Mitglieder ? Bei Windows: Local Security Settings einstellen. Tool: psloggedon von www.sysinternals.com
Tool: ntlast -f -r oder ntlast -v
Laufende Prozesse Welche Prozesse sind aktiv/schlafen? Mögliche Ungereimtheiten bei den laufenden Prozessen:
Wird viel Rechenzeit verbraucht (Sniffer, der Netzwerkverkehr protokolliert)?
Läuft ein Prozess unter einer falschen Benutzerkennung?
Laufen evtl. mehrere Prozesse mit ähnlich klingendem Namen (Z.B.: "winlogin.exe"? und "winlogon.exe")?
Laufen Prozesse mit ungewöhnlichen Pfaden oder Argumenten?
Läuft ein Prozess mit einer ungewöhnlichen Shared-Library (.dll)
Tool: pslist von www.sysinternals.com
Ctrl+Alt+Enf für Windows Task Manager
Netzwerk-
verbindungen 		Ähnlich wie bei den Prozessen: Haben ungewöhnliche Prozesse eine Netzwerkverbindung oder nehmen sogar selber auf einem Port Verbindungen an?
Läuft ein Service, der nicht laufen sollte ?
Ist ein bekannter Service an einen falschen Port gebunden?
Protokollstatistiken und aktuelle Rechnernetz-Verbindungen (Ports, Adresse der Gegenstelle, Prozess-ID's) können (ab Windows XP) mit netstat -ano angezeigt werden.
NetBIOS-Dump liefert die Zuordnung von Namen und IP-Adressen nbtstat -c
Die Zuordnung von Hostnamen zu IP-Adressen liefert type hosts
Tool: tcpvcon -anc von www.sysinternals.com, Liste der standardisierten Ports
System-
programme 		Integrität der Systemprogramme?
Dateisystem Gibt es Spuren im Dateisystem?
Wird eine unbenutzte Platte mißbraucht (psinfo -d)?
Logfiles Protokollierungen können Unregelmäßifkeiten aufdecken. Das Mitschreiben ist unter Windows etwas umständlich (> doskey /history )
Gibt es unerwartete Neustarts von Diensten (z.B.Eventlogs)?
Gibt es unerwartete Abschaltungen von Diensten (z.B.Antivirenprogramme)?
Gibt es ungewöhnliche Fehlermeldungen oder Abstürze von Diensten?
Gibt es komische "Steuerungszeichen" in den Logfiles (z.B. infolge von Buffer Overflows)?
Registry-
Änderungen 		Wird regedit per Programm geändert, wie z.B. regedit /s firewallXYZ.reg
Systemstart/
Einloggen 		Welche Programme werden beim Systemstart/Einloggen des Benutzers gestartet (Autorun Keys)?
autorunsc (von www.sysinternals.com) und auditpol
Rootkit Ein Angreifer-Rootkit installiert sich unsichtbar


WLAN-Gefährdungen

WLAN-Netze können auszuspionieren und mitbenutzt werden.


Cloud-Gefährdungsmuster

Anbieter von Cloud-Computing-Dienstleister und -Betreiber versuchen kritische IT ausfallsicherer und effizienter zu machen. Für Kunden ergeben sich neue positive Möglichkeiten und auch Risiken für die Datensicherheit . Cloud Security Alliance (CSA) versucht, diese Sicherheitsrisiken zu bewerten. Siehe z.B. cloudsecurityalliance.org , en.wikipedia CSA .



Was sind Tracking-Cookies?

Durch die Benutzung von Cookies erweitern Browser das zustandslose HTTP-Protokoll. Cookies sind kleinere ( bis ca. 4 KB ) und auch grössere Datenpakete ( bis ca. 5 MB ), die auf dem lokalen Rechner oder Mobilgerät des Users von einer serverseitigen Webseite gespeichert werden. Cookies ermöglichen eine gewisse Kontrolle von Web-Nutzer-Daten. Cookies enthalten dabei oft Daten wie persönliche Seiteneinstellungen, Anmeldeinformationen und Passwörter. Bei einem erneutten Besuch der Webseite werden diese Cookie-Daten direkt abgerufen. Dadurch kann z.B. das Passwort automatisch und ohne erneute Eingabe von der Webseite benutzt werden. Dies kann bequem und bedingt unsicherer sein und natürlich eine serverdominierte Verarbeitungen "beflügeln". Ein ausspähen von Zugangsdaten ist bedingt möglich.

Eine Website kann vielfe HTML-Seiten haben. HTTP ist ein zustandloses Protokoll, d.h. eine angezeigte HTML-Seite im Browser "weiß" nichts von weiteren Seiten. Jede HTML-Seite kann i.a. auf der Client-Seite ein Cookie (ca. max 4 kB) (mit verfallsdatum) speichern. Tracking-Cookies können die Aufrufe der Seiten mitverfolgen und damit die Aufrufverteilung ("Kundeninteresse", "contain personal information") ausspionieren.



Was sind Computer Viren?

Wie ein biologische Virus in den Zellkern eindringt und dessen Wirtsressourecn nutzt und sich selbstählich vermehrt, so schaden auch häufig die Computer-Viren dem Computer in seiner Leistungsfähigkeit. Viren haben i.a. keine eigenständigen Systemroutinen, sonder nutzen die beim Wirt bereits vorhandenen Systemroutinen.

Einige Bemerkungen zu Viren, Würmer, Trojaner, Trojaner, Spionageprogramme (Spyware), die unterschiedliche und auch vielfältige Aufgaben und Wirkungen haben. Es gibt Antivirenprogramme ( de.wikipedia )

Ein Computervirus ist ein (meist kleines und selbstvermehrendes) Computerprogramm, welches sich in andere Programme einschleust und damit reproduziert. Fragen sind: Wie wird der Computer infiziert und was mach das Virus (Verbreitungs- und Infektionsprozeß).

Viren zählen zur Malware. Ist ein Virus-Programm erst einmal gestartet, so ist es nicht so ohne weiteres zu kontrollieren, denn es kann als Programm mit den nötigen Zugriffsrechten auch den Hardware-Status und andere und eigene Prioritäts- und Zugriffsreche ändern (Hardwareeinstellungen, Passworte, Netzwerkverbindungen).

Viren können vom Virenautor (Einzelpersonen, Gruppen, Geheimdieste, Firmen) mit einem nützliche Auftrag ("heilend") oder schädlichem Auftrag ("schädigend") programmiert worden sein.

Die von Virenautor eingebauten Schadfunktionen können von harmlosen grafischen Effekten und unwesentlichen Störungen hin bis zu Datenverlust (dem "Sterben des Comuters") bis zur Zerstörung von Hardware gehen. Ein Virus kann z.B. die Systemzeit nutzen, um seine "schlafende Tätigkeit" zu einem gewünschten Zeitpunkt zu erwecken, kann sich dann selbst zu manipulieren oder Systemkomponenten zu kontrollieren.

Viren brauchen den Wirt, nutzen den Wirt und sind auf den speziellen Wirt angepaßt.


Was sind Computer Würmer?

Weil Rechner heute meist in einem Rechnerverbund (lokale Rechnernetze, Internet) zusammenwirken, sind Viren zunehmend durch Würmern verdrängt worden.

Gegenüber Viren strebt ein Wurm nach größerer Verbreitung von sich und seiner Wirkung möglichst im gesamten Netz. Viren sind mehr dem Wirt zugehörig, Würmer netzbezogen.

Es gibt Joke-Programme, Macroviren, Script- und Popup-Blockierer, Funktionsblocker, Trojaner, Infizierungswächter, html-Täuschungsseiten, Phishing, unerwünschte Massenmails, Spam, Spionangeprogramme, Spyware, Adware, Dialer, Remote-Zugriffsmanipulationen und andere Hacker-Tools.

Schad- und Spionageprogramme, die sich selbst verstecken, das Versteck und die Art des Versteckens ändern, und sich stets neu und gewandelt tarnen werden Rootkits genannt. Spionageprogramme (Spyware) nutzen gewöhnlich diese Möglichkeit, um lange und von außen ungestört netzweite Überwachungs- und Spionageaufgaben durchzuführen.



Was meint Spoofing?
Internet mit Spoofing-Adressen2 Bildquelle: wikipedia Im Internet gibt es zahlreiche Täuschungsversuche, die Authentifizierungs- und Identifikationsverfahren untergraben. In Netzwerkprotokollen können die Hostnamen und Adressen manipuliert werden. Spoofing (englisch) meint eine Verschleierung, Vortäuschung, Manipulation ( siehe z.B. de.wikipedia: Spoofing ).
  • ARP-Spoofing auch ARP Request Poisoning entspricht einer Anfrageverfälschung. Die kann z.B. eine falsche Quell-MAC Adresse im Ethernet-Rahmen sein.
  • DHCP-Spoofing entspricht einer DHCP-Manipulation. DHCP-Clients akzeptieren jeden DHCP-Server.
  • DNS-Spoofing auchr DNS-Poisoning entspricht einer Manipulation der Zuordnung zwischen einem Hostnamen und der zugehörigen IP-Adresse (Sicherheitslücken beim DNS-Servers, DNS-Server-Manipulationen, Cache Poisoning, Man-in-the-middle-Angriff, Reverse Domain Hijacking)
  • IP-Spoofing: Betriebssysteme erlauben es, mit Dienstprogrammen MAC-Adresse, wie z.B. 'ifconfig' ( UNIX, Linux ) oder 'ip link' (Linux) zu manipulieren
  • Mail-Spoofing entspricht dem Vortäuschen anderer Identitäten ( Identity ) bei E-Mails.
  • URL-Spoofing entspricht dem Vortäuschen einer falschen URL ( falsche Identität ) auf einer Webseite (sichtbar Link-Spoofing, unsichtbar Frame-Spoofing ).
  • GPS-Spoofing ist eine Methode, GPS-Empfänger zu einer falschen Positionsbestimmung zu verleiten, indem ein Störsender das GPS-Signal von Satelliten einstreut.


Was bedeutet Cross Site Scripting (XSS) ?

Browsereingaben, die über URL und/oder Cookies zum Server gelangen sind potentiell unsicher (könnten gefälscht sein) und müssen auf dem Server zumindest einer Plausibilitätsprüfung unterworfen werden, bevor sie per Programm verwendet werden. Bei PHP macht htmlspecialchars($_REQUEST['...']) die Zeichen "<" und ">" (und damit Javascript-Einschleusungen) unschädlich.

Unter "Cross Site Scripting" versteht man das "Einschleusen" von fremden "Tags" auf eine WWW-Seite um z.B. Falsche Anzeige der WWW-Seite: die www-Seite zu verunstalten (z.B. unleserlich machen) oder fremde Inhalte (Texte, Bilder) anzuzeigen. Auch ist das ausspähen von Zugangsdaten (insb. Cookies), durch Einbringen von ECMAScript -Code bedingt möglich.


Sicherheitsprogramme Welche gib's?

Vielfach nutzen und modifizieren Programme von Drittanbietern das Betriessystem. Dadurch ist es für das Betriessystem oft schwer möglich, die System-Integrität zu gewährleisten. Um Sicherheitsmängel "aufzufangen" werden ( 2016 ) Schutzprogramme, wie z.B. Vierenscanner verwendet. Diese Schutzprogramme können tief in das Betriessystem eingreifen und den Betriebsystem-Kern verändern. Oft sind diese Schutzprogramme erschwert mit "Bordmitteln" zu deinstallieren. Natürlich gibt es auch sog. Schutzprogramme, die private/persönliche Daten und mehr uploaden. "Für deine vollkommene Sicherheit nutzen wir alle deine Daten". MmHhh...

Vorsicht! Unvollständig und ggf. fehlerhaft. Bitte erst Web-Adressen, Verträge, Rechte, usw. prüfen/beachten. 

Avast       http://www.avast.com/uninstall-utility
AVG         http://www.avg.com/us-en/utilities
Avira       http://www.avira.com/en/support-for-free-knowledgebase-detail/kbid/88
BitDefender http://kb.bitdefender.com/site/article/333/
BullGuard   http://www.bullguard.com/support/product-guides/bullguard-internet-security-guides-12/getting-started/uninstalling-bullguard.aspx
CA Antivirus Total Defense Anti-Virus
Comodo Internet Security  https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=298
CounterSpy  http://www.google.com/#q=counterspy+uninstall
Cyber Defender Early Detection Center  http://www.ustechsupport.com/faq.html#q4
Dr. Web     https://support.drweb.com/support_wizard/?lng=en
(Nur registrierte Dr. Web Nutzer haben zu den support-Inhalten Zugang.)
eScan       http://www.microworldsystems.com/download/tools/esremove.exe
ESET        /kb2788/?viewlocale=de_DE
FRISK       F-PROT Antivirus for Windows  http://www.f-prot.com/support/windows/fpwin_faq/25.html
F-Secure    ftp://ftp.f-secure.com/support/tools/uitool/UninstallationTool.zip
http://community.f-secure.com/t5/Security-for-PC/How-do-I-uninstall-the-product/ta-p/15384
G Data      https://www.gdatasoftware.co.uk/?eID=PushFile&dl=f4b2f2fd23%3AAFEIBgU%3D
Kaspersky   http://support.kaspersky.com/common/service.aspx?el=1464
K7 Total Security  http://www.k7computing.com/en/tools/K7RT.exe
LavaSoft    http://www.lavasoftsupport.com/index.php?showtopic=28
Malwarebytes  http://www.malwarebytes.org/mbam-clean.exe
McAfee      http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe
Microsoft Security Essentials  http://support.microsoft.com/kb/2435760
Norman Virus Control/Norman Security Suite  http://www.norman.com/support/support_issue_archive/67798/en
Norton (Symantec)  ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe
Norton Security Scan  ftp://ftp.symantec.com/public/english_us_canada/removal_tools/NSSRT.exe
Panda       http://www.pandasecurity.com/resources/sop/UNINSTALLER_08.exe
Panda Cloud Internet Protection  http://www.pandasecurity.com/resources/sop/Cloud_AV_Uninstaller.exe
Pareto Logic  http://www.paretologic.com/resources/help/xoftspyse/195.htm
Sophos      http://www.sophos.com/support/knowledgebase/article/11019.html
Spybot Search & Destroy  http://www.safer-networking.org/faq/how-to-uninstall-2/
Total Defense Anti-Virus (formerly CA Anti-Virus)   http://totaldefense.iyogi.com/?p=368
Trend Micro http://esupport.trendmicro.com/solution/en-us/1056551.aspx
Trend Micro Titanium  http://esupport.trendmicro.com/solution/en-us/1059018.aspx
Trend Micro Worry-Free Business Security Agent  http://esupport.trendmicro.com/solution/en-us/1057237.aspx
Vipre (Sunbelt Software)  http://kb.threattracksecurity.com/articles/SkyNet_Article/How-to-Uninstall-VIPRE-Antivirus-and-VIPRE-Internet-Security
Webroot     http://www.webroot.com/prodCheck/?pc=64150&origrc=1&oc=221&mjv=7&mnv=0&rel=6&bld=38&lang=en&loc=AUS&kc=ppc%60lkik^^afhgpewgfa&opi=2&omj=6&omn=1&osl=en&errid
Windows Defender  /kb2390/
Windows Live OneCare  http://download.microsoft.com/download/4/c/b/4cb845e7-1076-437b-852a-7842a8ab13c8/OneCareCleanUp.exe
Windows Security Essentials  http://support.microsoft.com/kb/2435760
Zone Alarm  http://download.zonealarm.com/bin/free/support/download/clean.exe

Sicherheitsattacken im Internet Welche Attacken gib's?

Vielfach werden für ("return into libc")-Dateninjektions-Attacken Shellcodes in Pufferüberläufe eingeschleust (siehe z.B. de.wikipedia: Webanwendung , wikipedia: Shellcode Beispiele (technisch): projectshellcode , win32-shellcoding ). Nach der Kaspersky-Lab-Malware-Statistik entfallen 2009 auf die Top 20 der Schadprogramme im Internet 27.443.757 erfassten Vorfälle.

Name Anzahl der Angriffe %-Anteil
1 HEUR:Trojan.Script.Iframer 9858304 13,39
2 Trojan-Downloader.JS.Gumblar.x 2940448 3,99
3 not-a-virus:AdWare.Win32.Boran.z 2875110 3,91
4 HEUR:Exploit.Script.Generic 2571443 3,49
5 HEUR:Trojan-Downloader.Script.Generic 1512262 2,05
6 HEUR:Trojan.Win32.Generic 1396496 1,9
7 Worm.VBS.Autorun.hf 1131293 1,54
8 Trojan-Downloader.HTML.IFrame.sz 935231 1,27
9 HEUR:Exploit.Script.Generic 752690 1,02
10 Trojan.JS.Redirector.l 705627 0,96
11 Packed.JS.Agent.bd 546184 0,74
12 Trojan-Clicker.HTML.Agent.aq 379872 0,52
13 HEUR:Trojan-Downloader.Win32.Generic 322166 0,44
14 Trojan.JS.Agent.aat 271448 0,37
15 Trojan-Downloader.Win32.Small.aacq 265172 0,36
16 Trojan-Clicker.HTML.IFrame.ani 224657 0,31
17 Trojan-Clicker.JS.Iframe.be 216738 0,3
18 Trojan-Downloader.JS.Zapchast.m 193130 0,27
19 Trojan.JS.Iframe.ez 175401 0,24
20 not-a-virus:AdWare.Win32.GamezTar.a 170085 0,23
TOP 20 insgesamt 27443757 37,3


Welche Programme (fast nur Trojaner) nutzen welche Liste der standardisierten Ports Ports (nach chip.de von 2002)?

Portliste
Port/System-Ports Programm/Name 
0 ICMP Click attack
9 UDP discard
15 netstat
19 chargen
21 TCP ftp
22 SSH
23 TCP telnetd
25 TCP smtp
37 Time
39 rlp
53 TCP Domain
67 bootp
69 TFTP
79 fingerk
80/8080 http
80/8080/5580 military http
87 link
110 pop3
111 SUN RPC
113 identd
119 nntp
129 TCP PGP (nuke) Password 
Generator Protocol
137 TCP Netbios name (nuke)
138 TCP Netbios datagram (nuke)
139 TCP Netbios session (nuke)
144 newsk
161 SNMP
445 Microsoft-DS
512 execk
513 login
515 pkill
517 ktalk
518 ntalk
533 netwall
560 rmontior
561 montior
750 kerberos
1000-40000 Icq Ports 
(Port is ramdomly choosen)
2 Death
21 Doly Trojan 1.1 , Back Construction, 
Blade Runner , Fore , FTP trojan, 
Invisible FTP, Larva, MBT, Motiv, 
Net Administrator, 
Senna Spy FTP Server, WebEx, WinCrash
23 Tiny Telnet Server , Truva Atl
25 Antigen , Aji , Email Password Sender,
Gip , Happy 99 , I Love You , Kuang 2, 
Magic Horse, Moscow Email Trojan, 
Naebi, NewApt, ProMail trojan, 
Shtrilitz, Stealth, Tapiras, 
Terminator, WinPC, WinSpy
31 Agent 31, Master's Paradise, 
Hacker's Paradise
41 Deep Throat
48 DRAT
50 DRAT
58 DM Setup
59 DM Setup
79 Firehotcker
80 Executor, Back End, Hooker, RingZero
99 Hidden Port 2.0
110 ProMail Trojan
113 Invisible Identd Deamon , Kazimas
119 Happy 99
121 BO , Jammer KillahV
123 Net Controller
133 Farnaz, 146 - Infector
146 Infector
170 A-trojan
421 TCP Wrappers
456 Hackers Paradise
531 Rasmin
555 NeTadmin , Stealth Spy , Phase 0,
Ini-Killer
606 Secret Service
666 Attack FTP, Satanz Backdoor, 
Back Construction, NokNok, 
Cain & Abel, ServeU, Shadow Phyre
667 SniperNet
669 DP Trojan
692 GayOL
777 AimSpy
808 WinHole
911 Dark Shadow
999 DeepThroat , WinSatan
1000 Der Spaeher 3
1001 Silencer, WebEx, Le Guardien, 
Silencer
1010 Doly trojan v1.35
1011 Doly trojan
1012 Doly trojan
1015 Doly trojan v1.5
1016 Doly Trojan 1.6
1020 Vampire
1024 Netspy, Bla1.1
1027 ICQ
1029 ICQ
1032 ICQ
1033 Netspy
1042 Bla 1.1
1045 Rasmin
1050 Mini Command 1.2
1080 Firewall Port, 
Wingate (Socks-Proxy)
1081 WinHole
1082 WinHole
1083 WinHole
1090 Xtreme
1095 RAT
1097 RAT
1098 RAT
1099 BFevolution, RAT
1170 Psyber Stream Server , 
Streaming Audio Trojan , Voice
1200 NoBackO
1201 NoBackO
1207 SoftWar
1212 Kaos
1225 Scarab
1234 Ultors Trojan
1243 SubSeven, BackDoor-G, Apocalypse, 
Tiles
1245 VooDoo Doll , GabanBus, NetBus
1255 Scarab
1256 Project nEXT
1269 Maverick's Matrix
1313 NETrojan
1338 Millenium Worm
1349 Back Orifice DLL
1492 FTP99CMP

1509 Psyber Streaming Server
1524 Trinoo
1600 Shivka-Burka
1777 Scarab
1807 SpySender
1966 FakeFTP
1969 OpC BO
1981 Shockrave
1999 BackDoor , Transcout 1.1 + 1.2
2000 Der Spaeher 3, Transscout, 
Insane Network 4
2001 Trojan Cow, DerSpaeher 3, 
TransScout
2002 TransScout
2003 TransScout
2004 TransScout
2005 TransScout
2023 Pass Ripper
2080 WinHole
2115 Bugs
2140 Deep Throat , The Invasor
2155 Illusion Mailer
2283 HVL Rat5
2300 Xplorer
2565 Striker
2583 WinCrash , Wincrash2
2600 Digital RootBeer
2716 The Prayer
2773 SubSeven
2801 Phineas Phucker
2989 Rat
3000 Remote Shutdown
3024 WinCrash No
3128 RingZero
3129 Master's Paradise
3150 Deep Throat (TCP & UDP), 
The Invasor
3389 Win 2k Remote Terminal Service
3456 Teror Trojan
3459 Eclipse 2000 , Sanctuary
3700 Portal of Doom
3791 Total Eclypse 1.0
3801 Eclypse
4000 Skydance
4092 WinCrash
4242 Virtual hacking Machine
4321 Schoolbus 1.0 , BoBo
4444 Prosiak , Swift remote
4567 FileNail
4590 ICQTrojan
4950 ICQTrojan
5000 Sockets de Troie , Socket23,
Bubbel , Back Door Setup
5001 Sockets de Troie 1.x , 
Back Door Setup
5010 Solo
5011 OOTLT + OOTLT Cart
5031 Net Metropolitan 1.0
5032 Net Metropolitan 1.04
5321 Firehotcker
5343 wCrat
5400 BackConstruction1.2, Blade Runner
5400 Blade Runner, Back Construction
5401 Blade Runner 1.x, Back Construction
5402 Blade Runner 2.x, Back Construction
5512 Illusion Mailer
5521 Illusion Mailer
5550 Xtcp 2.00 + 2.01
5555 ServeMe
5556 BO Facil
5557 BO Facil
5569 Robo-Hack
5631 PC-Anywhere
5637 PC Crasher
5638 PC Crasher
5714 WinCrash
5741 WinCrash
5742 Wincrash
5882 Y3K RAT
5888 Y3K RAT
6000 The tHing 1.6
6006 The tHing
6272 Secret Service
6400 The tHing
6666 TCPShell.c
6667 Schedule Agent
6669 Vampire, HostControl 1.0
6670 DeepThroat 1,2,3.x, 
BackWeb Server, 
WinNuke eXtreame
6671 DeepThroat 2.0 & 3.0
6711 Sub Seven
6712 Sub Seven, Funny Trojan
6713 Sub Seven
6723 Mstream
6771 DeepThroat
6776 Sub Seven, 2000 Cracks, 
BackDoor-G
6838 Mstream
6883 DeltaSource (DarkStar)
6912 Shitheep
6939 Indoctrination
6969 GateCrasher, Priority, 
IRC 3, NetController
6970 Gate Crasher
7000 Remote Grab, Kazimas, SubSeven
7001 Freak 88
7215 SubSeven
7300 NetMonitor
7301 NetMonitor 1.x
7306 NetMonitor 2.x
7307 NetMonitor 3.x
7308 NetMonitor 4.x
7424 Host Control
7789 ICQKiller , Back Door Setup
7983 Mstream
8080 RingZero
8787 Back Orifice 2000
8879 Hack Office Armageddon
8897 BacHack
8988 BacHack
8989 Rcon
9000 Netministrator
9325 Mstream
9400 InCommand 1.0+1.1+1.2+1.3+1.4
9872 Portal of Doom
9873 Portal of Doom 1.x
9874 Portal of Doom 2.x
9875 Portal of Doom 3.x
9876 Cyber Attacker , RUX
9878 TransScout
9989 iNi-Killer
9999 ThePrayer 1.x

10067 Portal of Doom 4.x
10101 BrainSpy
10167 Portal of Doom 5.x
10520 Acid Shivers
10528 Host Control
10607 Coma , Danny
10666 Ambush
11000 Senna Spy Trojans
11050 Host Control
11051 Host Control
11223 Progenic trojan , Secret Agent
12076 Gjamer
12223 Hack´99 KeyLogger
12345 Netbus, Ultor's Telnet Trojan, 
GabanBus, My Pics, 
Pie Bill Gates, 
Whack Job, X-bill
12346 NetBus 1.x , GabanBus , X-bill
12349 BioNet
12361 Whack-a-mole
12362 Whack-a-mole 1.x
12623 DUN Control
12624 Buttman
12631 WhackJob
12701 Eclipse 2000
12754 Mstream
13000 Senna Spy
13010 Hacker Brazil
13700 Kuang2 The Virus
14141 BO2K-Plugin BO_Peep , Hijack
15092 Host Control
15104 Mstream
15151 BO2K-Plugin , BO_Peep-VidStream
16484 Mosucker
16660 Stacheldracht
16772 ICQ Revenge
16969 Priority
17166 Mosaic
17300 Kuang2 theVirus
17777 Nephron
18753 Shaft
19864 ICQ Revenge
20000 Millennium
20001 Millennium
20002 AcidkoR
20034 NetBus Pro , NetBus 2 Pro , 
NetRex , Whack Job
20203 Chupacabra , Logged!
20331 Bla
20432 Shaft
21544 GirlFriend , Schwindler 1.82 , 
Kidterror , WinSp00fer
21554 GirlFriend
22222 Prosiak 0.47
23023 Logged
23432 Asylium Family
23456 Evil FTP, Ugly FTP, WhackJob
23476 Donald Dick
23477 Donald Dick
26274 Delta Source
26681 Spy Voice
27374 Sub7 2.1
27444 Trinoo
27573 SubSeven
27665 Trinoo
29104 Host Control
29891 The Unexplained
30001 TerrOr32
30029 AOLTrojan1.1
30100 NetSphere
30101 NetSphere
30102 NetSphere
30103 NetSphere
30129 Masters Paradise
30133 Netsphere Final
30303 Sockets de Troie
30947 Intruse Pack 1.27b
30999 Kuang
31335 Trinoo
31336 Bo Whack , ButtFunnel
31337 Back Orifice, Netpatch, DeepBO, 
Freak, Baron Night
31338 Back Orifice, DeepBO, NetSpy, 
ButtFunnel
31339 NetSpy DK
31666 BOWhack
31785 Hack'a'Tack
31787 Hack'a'Tack
31788 Hack'a'Tack
31789 Hack'a'Tack
31791 Hack'a'Tack
32100 Peanut Brittle, Project nEXT
32418 Acid Battery 1.0
33333 Prosiak , Blakharaz
33577 PsychWard
33777 PsychWard
33911 Trojan Spirit 2001 a
34324 BigGluck, Tiny Telnet Server
34555 Trinoo (Windows)
35555 Trinoo (Windows)
37651 YAT
40412 The Spy
40421 MastersParadise
40422 Masters Paradise 1.x
40423 Masters Paradise 2.x
40425 Masters Paradise
40426 Masters Paradise 3.x
41666 Remote Boot
43210 Schoolbus 1.6 & 2.0
44444 Prosiak, 
Stealthy TCP IO(BO2K Plugin)
47252 Delta Source
47262 Delta Source
49301 Online Keylogger
50505 Sockets de Troie
50766 Fore, Schwindler
51996 Cafeini
52317 Acid Battery 2000
53001 Remote Windows Shutdown
54283 SubSeven
54320 Back Orifice 2000
54321 Schoolbus 1.6 & 2.0, Back Orifice
57341 NetRaider
58339 ButtFunnel
60000 Deep Throat 2.0 & 3.0
60068 Xzip 6000068
60411 Connection
61348 Bunker-Hill
61466 Telecommando
61603 Bunker-Hill
63485 Bunker-Hill
65000 Devil 1.03, Stacheldracht
65432 The Traitor
65535 RC

Sicherheit und ECMAScript Ist ECMAScript sicher?

Client-Server-Webanwendung (Bildquelle: wikipedia)

Eine Domain (auch Domäne) ist ein zusammenhängender Teilbereich des hierarchischen Domain Name System (DNS). Ein "Fully Qualified Domain Name" (FQDN z. B. www.example.com.) ist oft Bestandteil von URLs und kann durch das DNS in eine IP-Adresse aufgelöst werden. Eine .de-Domain ein rechtlich geschützter Vermögenswert und „eigentumsähnlich“. Cross-Site Scripting: Eine schwache Cross-Site Authentication kann Computersicherheitslücken im Cross-Site Scripting (XSS) ausnutzen, um sich in einen vertrauenswürdigen Kontext einzuschleichen und zu eigenen Zwecken benutzen ( Identitätsdiebstahl, sensible Benutzerdaten stehlen ). Es gibt reflexive (reflected, z.B. zurück geliefert bei der jeweiligen Webseite-Generierung), persistente (persistent) und DOM-basierte Cross-Site-Scripting-Angriffe. 

Beispiel:
http://example.com/my.htm?arg=<script type="text/javascript">alert("XSS")</script>

Es gibt Header-Injection, Computersicherheit, Webanwendung, SQL-Injection, Session Hijacking, Cross-domain Ajax with Cross-Origin Resource Sharing, Cross-Origin Resource Sharing (CORS). Mögliche CSS-Attack-Gefahren werden hier fundiert beschrieben CSS Attacks(.pdf)

Beispiel:

Bei "unsauberer" Javascript-Programmierung kann ein Angreife kritischen Scripttext direkt einfügen. Oft werden die Funktionen eval(), new Function(), setTimeout([string], ...), and setInterval([string], ...) verwendet. Zu Vermeiden ist inline Templating mit Strings zur Laufzeit. 

 setTimeout("document.querySelector('a').style.display = 'none';", 10);

 // besser:
 setTimeout(function () {
    document.querySelector('a').style.display = 'none';
 }, 10);

Method of performing XMLHttpRequests across domains

  IE Firefox Safari Chrome Opera iOS Safari Opera Mini Opera Mobile Android Browse
Three versions back 5.5: Unknown 2.0: Unknown 3.1: Unknown 6.0: Yes 10.0-10.1: Unknown        
Two versions back 6.0: Unknown 3.0: Unknown 3.2: Unknown 7.0: Yes 10.5: Unknown 3.2: Yes     2.1: Yes
Previous version 7.0: Unknown 3.5: Yes 4.0: Yes 8.0: Yes 10.6: Unknown 4.0-4.1: Yes     2.2: Yes
Current 8.0: Partial 3.6: Yes 5.0: Yes 9.0: Yes 11.0: Unknown 4.2: Yes 5.0: Unknown 10.0: Unknown 2.3: Yes
Near Future (early 2011) 8.0: Partial 4.0: Yes 5.0: Yes 10.0: Yes 11.1: Unknown        
Future (mid/late 2011) 9.0: Partial 5.0: Yes 6.0: Yes 11.0: Yes 11.1: Unknown        

Hinweise: en.wikipedia: Cross-Origin_Resource_Sharing , w3.org: CORS, Resources: Mozilla Hacks blog post Alternative implementation by IE8 Demo and script with cross-browser support



Links

Referenzen und Werkzeuge zum Download:

Foundstone Homepage
Sysinternals Homepage
Somarsoft Homepage
Heysoft Homepage
F-Secure Blacklight
NAI Stinger
Microsoft Anti-Spyware (Windows Defender)

Im Internet gibt es zahlreiche Werkzeuge (Download), die Gefährdungen eindämmen und/oder beheben:
BSI-Magazin_2018
umfangreiche Downloads.