1. Portscanner |
2. Trojanische Pferde und Würmer |
3. Viren |
4. 0190 Dialer |
5. Firewall Links |
Was sind
Portscanner?
Wozu soll man überhaupt Ports scannen? Zunächsteinmal handelt es sich
bei den Ports um verschiedene spezifische
Kommunikationskanäle, die auf TCP/IP aufsetzen. Jeder dieser Ports stellt
einen Dienst bereit! Dienste wie SMTP
(hauptverantwortlich für die Übertragung von Mails) oder HTTP (zuständig
für die Übertragung von HTML-Datein) besitzen einen
eigenen reservierten Port.
Beispielsweise besitzt ein sehr bekannter Dienst wie HTTP die Portnummer 80.
Weitere sehr bekannte Dienste FTP, Telnet oder
SMTP belegen jeweils die Ports 21, 23 und 25.
Ein Portscanner kann dementsprechend Informationen über den Status der
jeweiligen Ports eines Servers liefern.
Was erreicht
man mit Portscanner?
Mit einem einfachen Portscanner kann ermittelt werden, welche Dienste auf dem
entsprechenden Server laufen, unter welcher User-ID
diese Dienste laufen, die Zulassung von anonymen Logins und ob eine Authentifizierung
für entsprechende Dienste erforderlich ist.
So ist Beispielsweise der SMTP-Port von www.fbi.gov gesperrt.
Sind Scanner
ein Sicherheitsrisiko?
Scanner sind der erste Schritt um Schwachstellen in einem Netzwerk aufzuspüren.
Nicht selten erzeugt man deshalb mit solchen
Scanvorgängen, schnell die Aufmerksamkeit der jeweiligen Systemadministratoren.
Selbstverständlich handelt es sich dann nicht mehr um einfache Scanner.
So existieren eine Reihe von Freeware-Scannern die
zahlreiche Angriffsmuster enthalten und diese auch automatisch austesten.
Eine nahezu unerschöpfliche Quelle an Scannern und andern Tools stellt
der Navigator von ParaMind bereit.
Handhabung von
Scannern
Einfache Portscanner begnügen sich mit der Eingabe einer IP-Adresse. Daraufhin
werden alle Ports nach verfügbaren Diensten
gescannt. Die ermittelten Ergebnisse können in den meisten Fällen
als ein Logfile abgespeichert werden.
2. Trojanische Pferde und Würmer
Was sind Trojanische Pferde?
Trojanische Pferde sind Programme, die eine schädliche Funktion beinhalten.
Nicht selten verfügen Trojanische Pferde über ein für Anwender
sehr nützliche Funktion. Die schädliche Funktion läuft lediglich
im Hintergrund ab, ohne das dieses bemerkt wird.
Bekannte Trojaner sind z.B.:
Back Orifice
- der erste
NetBus - der bedienungsfreundliche
SubSeven - der gefährliche
Trojanische Pferde
arbeiten nach verschiedenen Mustern. Zu einem gibt es Programme (Exe-Dateien),
die keinerlei für den Anwender nützliche Funktionen aufweisen. Lediglich
wird nach einem Start des vermeintlichen Programmes ein Trojaner auf dem PC
installiert. Damit kein Verdacht geschöpft wird, erscheinen Fehlermeldungen,
dass eine bestimmte Datei nicht vorhanden ist, um das vorgegebende Programm
zu starten.
Der Anwender löscht enttäuscht dieses unbrauchbare Programm und macht
sich weiter keine Gedanken darüber.
Desweiteren gibt es auch wesentlich "klügere" Trojanische Pferde,
die sich hinter einem durchaus brauchbaren Programm verbergen. Wird das Programm
installiert, kann es oft Monate dauern, bis ein Anwender bemerkt, dass sich
ein schädliches Programm auf seinem System befindet.
Viele Trojaner installieren sich so auf dem System, damit dieses bei jedem Systemstart ebenfalls mitgestartet wird. - Somit läuft dieses Programm ständig im Hintergrund mit.
Andere Trojanische Pferde starten erst, wenn ein bestimmter Vorgang (Start eines anderen Programmes) auf dem System stattfindet.
Wozu sind Trojaner
in der Lage?
Die meißten Trojaner sind darauf aus, Benutzerdaten eines Online-Dienstes
auszuspähen, nicht selten nur von einem bestimmten Provider. Trojaner,
die ständig im Hintergrund im betroffenden System mitlaufen, zeichnen mitunter
sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die der Anwender
über die Tastatur eingibt. - Hier nutzt es leider gar nichts, wenn der
Anwender sein Passwort für einen Online-Dienst nicht abspeichert, sondern
erst bei der Anmeldung eingibt. Die gesammelten Daten werden nach der Einwahl
unbemerkt an den Autor des Trojanischen Pferdes geschickt.
Da die gesammelten Daten nach der soeben genannten Arbeitsweise, häufig
viel zu gross und undurchsichtig für den Autor des Trojaners sind, arbeiten
viele Trojanische Pferde weitaus intelligenter.
Die "besseren" Trojaner, zeichnen lediglich die Tastaturfolgen auf,
die den "Hacker" interessieren. Dazu könnten Eingaben von Passwörtern
für Online-Dienste/ Mail-Accounts/Webseiten/FTP/ Kreditkarten-Nr., Konten
usw. gehören. - In einigen Fällen werden sogar Home-Banking-Programme
überwacht und die Daten weitergeschickt. Für den Hacker hat es den
Vorteil, er gelangt nur an die für ihn relevanten Daten und muss diese
somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese Arbeitsweise
von Trojaner ist als sehr gefährlich einzustufen, da diese die Eigenschaften
besitzen können, an sämtliche Daten eines Anwenders zu gelangen.
Beseitigung
Trojanischer Pferde
Du hast ein Trojanisches Pferde auf Deinem System entdeckt. Bei der Beseitigung
ist einiges zu beachten, damit Du in Zukunft wieder Trojanerfrei arbeiten kannst.
Ich gebe Dir eine Schritt für Schritt Anleitung, wie Du vorgehen mußt, um diesem "Plagegeist" entgültig an den Leib zu rücken.
Wichtig: Der Trojaner "Sockets de Troie" kann nicht über die beschriebenen Wege entfernt werden. - Dazu empfehle ich Kaspersky AntiVirus (ehemals AVP)
Anleitung Version 1
Schritt 1
Nachdem Du eine Eintragung gefunden hast (siehe unbedingt Rubrik "Erkennung)",
notiere Dir diese bitte, bevor Du den Eintrag löschst. Es ist unerheblich,
wo sich der Eintrag befindet (Win.ini, Registrierung usw.), wenn Du diesen Schritt
vornimmst.
Schritt 2
Lösche die gefundene Eintragung und starte Windows neu. Nun wurde der Trojaner
nicht mehr bei Systemstart erneut geladen. - Dieser Schritt hat den Hintergrund:
Dateien, die noch ausgeführt (also im System mitlaufen) können nicht
gelöscht werden.
Schritt 3
Die notierte Eintragung (siehe Schritt 1) muss jetzt auf Deinem System gesucht
werden. Es handelt sich nämlich auch um den Programmnamen des Trojanischen
Pferdes. Suchen geht am Besten wie folgt: Windows-Start-Button - Suchen - Dateien/Ordner
- Programmnamen eingeben und suchen lassen. Die gefundene Datei löschen.
Es kann passieren, dass diese Datei sogar mehrfach auf Deinem System vorhanden
ist. - Manche Trojaner, legen mehrere Kopien auf einem System an, jedoch stets
im Laufwerk C.
Vorsichtshalber lasse auch alle anderen Laufwerke (falls vorhanden) durchsuchen
und lösche gegebenfalls auch diese Dateien. Es kann durchaus sein, dass
sich immer noch die Original-Datei auf Deinem Computersystem befindet, womit
Du den Trojaner "zum Leben" erweckt hast.
Schritt 4
Starte aus Sicherheitsgründen nochmal Dein System neu. Jetzt gehe bitte
erneut die einzelnen Möglichkeiten aus meiner Rubrik "Erkennung"
durch. - Wenn Du nichts mehr finden kannst, ist der Trojaner entfernt.
Solltest Du das Trojanische Pferd auf diese Weise nicht entfernen können,
musst Du bitte folgendes tun:
Gehe vor dem Schritt 1 in den abgesicherten Modus ! ! ! So kommst Du in den
abgesicherten Modus von Windows:
Starte Dein System neu. Bei Windows 98: Die "Strg-Taste" beim Start
gedrückt halten, bei Windows 95 die "F8-Taste" drücken,
wenn die Meldung "Windows wird gestartet" erscheint. Jetzt kommt ein
Menü, aus dem Du "abgesicherten Modus" wählst. Der Start
wird jetzt länger dauern als gewohnt. Nicht erschrecken, sollte Deine Festplatte
wie verrückt rattern, ist normal, genau wie die grosse Auflösung,
die dann erscheinen wird.
Anleitung Version
2 (Die Einfachste und Schnellste)
Nachdem Du den Trojaner identifiziert hast und den Namen, sowie Pfad kennst
(z.B. schon mit Hilfe eines ProcessViewers), beende dieses Programm mit Hilfe
eines Process Viewers (findest Du unter meiner Rubrik "Security - Tools".
Gleich danach kannst Du den Trojaner löschen, OHNE Windows dauernd neu
starten zu müßen. Sei jedoch vorsichtig und sorgsam, WAS Du löschst.
Eine wichtige, gelöschte Systemdatei könnte unter Umständen Dein
gesamtes System zerstören ! ! !
Danach entferne noch den "Run-Eintrag" (z.B. aus Win.ini, Registrierung
etc.). Solltest Du vergessen, den Run-Eintrag zu löschen kann es eventuell
passieren, dass Windows nach jedem Neustart des Systemes eine Fehlermeldung
über eine nicht gefundene Datei ausgibt (kann, aber muss nicht sein, je
nach Eintragungsort).
Ein sehr gutes Hilfsprogramm unter dem Namen "TrojanCheck" erleichtert dir die Arbeit erheblich. Das Programm ist Freeware und unter: http://www.trojancheck.de erhältlich.
ACHTUNG !
Man könnte durchaus auch die DOS-Ebene nutzen um Trojaner zu entfernen.
Da sich ein grosser Teil von Anwendern jedoch mit DOS nicht auskennt (ich selber
auch nicht so besonders :-o), verzichte ich auf derweilige Beschreibungen. Desweiteren
gibt es Trojaner, die sich ohnehin auch in der DOS-Ebene nicht entfernen lassen,
da diese auf DOS basieren bzw. unter DOS gestartet werden oder entsprechende
Verweise enthalten. Für diese Art von Trojanern erweist sich die die "Anleitung
Version 2" am Besten ! !
Was sind Würmer?
Bei
Würmern handelt es sich - im Gegensatz zu den Viren - nicht um Fragmente,
die sich an andere Programme anhängen, sondern um eigenständige Programme.
Oftmals sind es VBS Skripte die als Anhänge von e-Mails versand werden
(ein bekanntes Beispiel ist der "I LOVE YOU" Virus, der genau genommen
kein Virus war).
Würmer bewegen sich aktiv fort. Z.B. versenden sie sich automatisch an
alle Adressen des MS-Outlook-Adressbuchs des infizierten Computers (diese Fortbewegung
ist gleichzeitig eine Vermehrung). Die Mehrheit der Würmer hat eine Schadensfunktion.
Was sind Computerviren?
Fachzeitschriften, Fernsehen und sonstige Medien geben immer wieder Horromeldungen
über Computer-Viren heraus. - Es ist schon richtig, dass jeden Monat zwischen
150-250 neue Viren auf dem "Markt" kommen. Hierbei sei jedoch erwähnt,
nicht alle Viren gelangen in der Tat in die "freie Wildbahn". Die
grösste Anzahl der Virenprogrammierer ist gar nicht darauf aus, ihre Viren
auf die "Computerwelt" loszulassen. - Lediglich werden diese Viren
in Bulletin Boards, WWW-Seiten zum Download/Tausch angeboten. Sehr häufig
werden diese Viren auch den Herstellern von Anti-Viren-Programmen zugespielt.
Nicht umsonst besitzen die Anti-Viren-Software-Hersteller die grössten
Virendatenbanken weltweit. Erstaunlich ist es, die meissten Viren, die sich
in "freier Wildbahn" befinden, werden selbst von recht alten Anti-Viren-Programmen
gefunden und beseitigt. In letzter Zeit sorgten jedoch Virenmeldungen wie über
den Melissa-/CIH Virus für Furore und versetzte viele User in Angst und
Schrecken. Zur Zeit ist zu beobachten, dass vor allem viele Trojanische Pferde
sich im Umlauf befinden. Siehe hierzu jedoch meine Trojaner-Rubrik.
In der Umgangssprache
wird meisstens nur das Wort Virus genannt, wenn man an Programme mit schädlichen
Wirkungen denkt. Hiermit sind Viren im eigentlichen Sinne, Trojanische Pferde,
logische Bomben, Internetwürmer oder auch Hoaxe gemeint. Der Fachmann nennt
derartige Programme/Dateien "Malicious" (böswillige Software),
kurz gesagt wird jedoch meisst von "Malware" gesprochen.
In dieser Rubrik sind jedoch hauptsächlich Informationen zu Computerviren zu lesen.
Viren sind Codefragmente, die sich an andere Daten anhängen und sich bei der Ausführung oder weiteren Bearbeitung vermehren. Daten können nicht nur Programme, sondern auch Dokumente, Bootsektoren und sogar in manchen Fällen Bilddateien (betrifft jedoch nicht alle Formate) sein, welche befallen werden.
In der Regel kann
sich ein Virus im herkömmlichen Sinne nicht selber verbreiten. Sich selber
verbreitende Viren sind als Würmer oder Trojanische Pferde zu bezeichnen.
Somit kann man die Verbreitung mit Krankheitsviren im normalen Leben mit Computerviren
durchaus bezüglich ihrer Verbreitung vergleichen. - Ein Grippevirus wird
auch meisst von Mensch zu Mensch übertragen....
Verschiedene Virenarten
Dateiviren
Dies sind Viren, die sich selbst an .COM- und .EXE-Dateien (ausführbare
Programme) anhängen (oder Teile davon ersetzen). In einigen Fällen
werden auch Dateien mit den Erweiterungen .SYS, .DRV, .BIN, .OVL und .OVY befallen.
Diese Virenart infiziert Programme in der Regel, wenn sie ausgeführt werden,
während sich der Virus im Arbeitsspeicher befindet. In anderen Fällen
werden Dateien infiziert, wenn sie geöffnet werden (z.B. mit dem DOS-Befehl
DIR), oder der Virus infiziert einfach alle Dateien in dem Verzeichnis, aus
dem er gestartet wurde (Direktinfektion).
Bootsektorviren
Jedes logische Laufwerk, sowohl Festplatte als auch Diskette, enthält einen
Bootsektor. Das gilt auch für Datenträger, die nicht startfähig
sind. Der Bootsektor enthält spezielle Informationen über die Formatierung
des Datenträgers und die darauf gespeicherten Daten. Er enthält außerdem
eine kleines Programm, das Startprogramm, das die Systemdateien lädt. Dieses
Startprogramm zeigt auch die geläufige Meldung "Non-system Disk or
Disk Error" (Keine Systemdiskette oder Diskettenfehler), wenn die DOS-Systemdateien
nicht auf dem Datenträger vorhanden sind. Dieses Programm wird von den
Bootsektorviren infiziert. Ein Bootsektorvirus wird übertragen, wenn eine
infizierte Diskette im Laufwerk liegt und wenn der Computer gestartet wird.
Bei der Ausführung des Startprogramms wird der Virus in den Arbeitsspeicher
geladen und infiziert den Bootsektor der Festplatte. Da jede Diskette einen
Bootsektor hat, ist es auch möglich EDV-Systeme durch eine Diskette zu
infizieren.
MBR (Master
Boot Record)-Viren
Der erste physische Sektor jeder Festplatte enthält den Master Boot Record
(Hauptstartbereich) und die Partitionstabelle. Der Master Boot Record enthält
das Hauptstartprogramm, das in der Partitionstabelle die Werte für den
Startbereich der startfähigen Partition ermittelt und das System anweist,
dorthin zu gehen und den dort vorgefundenen Code auszuführen. Bei einer
korrekt eingerichteten Festplatte befindet sich an dieser Stelle ein gültiger
Bootsektor. Auf Disketten infizieren diese Viren den Bootsektor.
Ein MBR-Virus wird auf dieselbe Weise übertragen wie ein Bootsektorvirus
- durch Starten des Computers mit einer infizierten Diskette im Laufwerk. Wenn
das Startprogramm gelesen und ausgeführt wird, gelangt der Virus in den
Arbeitsspeicher und infiziert den MBR der Festplatte.
Mehrteilige
Viren
Mehrteilige Viren sind eine Kombination aus den bisher vorgestellten Virenarten.
Sie infizieren sowohl Dateien als auch Bootsektoren bzw. MBRs. Diese Virenart
ist noch ziemlich selten, aber die Anzahl der Vorkommnisse wächst ständig.
Hoax-"Viren"
Hoaxes sind im eigentlichen Sinne keine Viren, sondern Programme die nur so
tun. Dazu gehören insbesondere Emails die es darauf anlegen den Leser mit
falschen Behauptungen zu verunsichern. Mit Betreffzeilen soll Neugierde oder
auch Mitleid erzeugt werden. Der Empfänger wird gebeten die betreffende
Mail an möglichst viele andere Emailadressen weiterzuleiten. Zweck solcher
eMails ist es ausschließlich den Emailverkehr zu belasten und damit unerwünschte
Kosten zu verursachen.
Wenn Sie ein Mail von einem unbekannten Absender erhalten und den Verdacht hegen
es könnte sich um ein Hoax handeln, dann tun Sie nicht das was der Absender
sich erhofft, sondern löschen die Mail.
Makroviren
Makroviren infizieren keine Programme, sondern Dateien von Textverarbeitungen,
Tabellenkalkulationen und Datenbanken. Dies geschieht dadurch, daß der
Makrovirus in einem Dokument oder einer Dokumentenvorlage gespeichert ist. Wird
solch ein Dokument geöffnet, so wird der Makrovirus aktiviert, auf den
Computer übertragen und in der Dokumentvorlage Normal (normal.dot) gespeichert.
Ab diesem Zeitpunkt wird jedes Dokument, das Sie neu erstellen und speichern
automatisch mit dem Makrovirus infiziert. Öffnet nun ein anderer Benutzer
ein infiziertes Dokument, wird das Makro auch auf dessen Computer übertragen.
Makroviren können Schäden in gleichem Umfange anrichten wie Computerviren
schlechthin.
Ermöglicht wird die Herstellung von Makroviren durch die leistungsfähigen
Makrosprachen, wie etwa WordBasic und VBA (Visual Basic for Applications), die
alle notwendigen Befehle enthalten um komplexe Programme und somit auch voll
funktionsfähige Viren zu schreiben.
Bekannt sind Makroviren unter anderen für Microsoft Word 2.0, 6.0, 7.0,
8.0 (Word97), Excel 4.0, 5.0, 7.0 und 8.0 (Excel97), Access 2.0 und Access97.
Insbesondere Makroviren für Word 6.0/7.0 und Excel sind stark verbreitet.
Es sind einige wenige Makroviren für anderen Textverarbeitungen und Datenbanken
bekannt, wie etwa "AmiPro/GreenStripes.A", diese gelten jedoch als
reine Laborviren und sind bei den Anwendern nie aufgetreten.
Word kann keine
Disketten, Festplatten oder Netzlaufwerke überprüfen, um Makro-Viren
zu suchen und zu entfernen. In Word kann jedoch eine Warnmeldung angezeigt werden,
wenn Sie ein Dokument öffnen, bei dem Makros eingebunden sind, die möglicherweise
einen Virus enthalten. In diesem Fall können Sie das Dokument mit oder
ohne die eingebundenen Makros öffnen:
Enthält das Dokument nützliche Makros ,möchten Sie es möglicherweise
mit den eingebundenen Makros öffnen.
Enthält das Dokument vermutlich keine Makros, oder ist die Quelle unbekannt
bzw. mißtrauen Sie der Quelle, sollten Sie das Dokument ohne Makros öffnen,
um die mögliche Übertragung von Makroviren zu vermeiden. Dies gilt
z.B., wenn Sie das Dokument als Anlage einer E-Mail-Nachricht oder über
ein unsicheres Netzwerk bzw. Internet-Site erhalten.
Die Überprüfung auf Makroviren kann in Word folgendermaßen aktiviert
werden: Klicken Sie im Menü Extras auf Optionen. Klicken Sie danach auf
die Registerkarte Allgemein, und aktivieren Sie dann das Kontrollkästchen
Makrovirus-Schutz.
HTML-Viren
Diese Viren sind sämtlich SB-Viren (Script-based) und wurden erstellt und
auf Hacker-Websites deponiert, um Löcher im Sicherheitssystem des MS Internet-Explorers
offenzulegen. HTML Offline, HTML Redirekt Companion und HTML Internal sind die
bekanntesten HTML-Viren. Die Schäden die diese Viren verursachen sind nicht
zu unterschätzen, da diese z.T. alle HTML-Dateien überschreiben oder
auch die Startseite einer WEB-Anwendung (Datei: Index.htm) durch eine Seite
mit anderem Inhalt ersetzen.
Trojanische
Pferde
Trojanische Pferde sind Programme, die neben der eigentlichen Funktion eine
verborgene und schädliche Wirkung beziehungsweise Nebenwirkung zeigen.
So tarnen sie sich zum Beispiel als nützliches Tool und richten statt dessen Schaden an, ohne sich aber wie ein Virus zu vermehren. Dabei kann z.B. das "nützliche Tool" den Anschein normaler Funktionalität erwecken. So wird normalerweise das "trojanische Programm" als bekanntes Spiel oder Programm angepriesen, doch das ursprüngliche Programm durch ein meist bösartiges Programm vollständig oder teilweise ausgewechselt oder das bösartige Programm "angehängt".
Genau genommen ist dabei das "bösartige Programm" allein kein Trojanisches Pferd. Erst im Zusammenspiel mit dem Trägerprogramm (welches den Benutzer dazu "motiviert", es zu starten) ist es ein Trojanisches Pferd. Dies ist auch der Grund, warum die Trojaner nicht in die Gruppe der Viren eingestuft werden. Denn sie vermehren sich nicht von selbst, sondern über Trägerprogramme, die von den Anwendern unbewußt (oder auch bewußt) verbreitet werden.
Das sogenannte "bösartige Programm" muß nicht zwangsläufig immer ein Backdoor-Programm sein. Genauso kann z.B. ein Programm verborgen sein, welches die Verzeichnisstruktur zerstört, Daten löscht oder Netzwerkfreigaben auf dem Rechner durchführt.
Würmer
(Worms)
Würmer sind eigenständige Programme, die sich in einem Netzwerk beliebig
oft selbst vermehren und dabei Rechenzeit blockieren. Würmer infizieren
keine anderen Dateien. Durch den Aufruf eines Wurmprogramms werden das Netzwerk
und die daran angeschlossenen Rechner verlangsamt. Je mehr sich das Wurmprogramm
vermehrt, um so langsamer wird das Netzwerk oder der Rechner, bis hin zum Stillstand
oder Zusammenbruch von geschlossenen oder offenen Netzwerken wie das Internet.
Was sind
0190-Dialer ?
Viele Webseiten
bieten Ihre Angebote nicht mehr nur auf herkömmliche Art und Weise an.
Früher musste der Interessent sich registrieren lassen und bezahlte die
Leistung per Kreditkarte, Überweisung, Abbuchung o. ä. Heute kann
der Kunde "bequem" und "anonym" per Telefonrechnung bezahlen,
indem die Verbindung über eine 0190-Servicenummer (oder eines Providers,
der seine Gebühren selber bestimmen kann - z.B. 0193....) aufgebaut wird.
Um dem Kunden diese Sache zu erleichtern, werden sogenannte Dialer oder auch
Highspeedzugänge zum Download angeboten. Der Kunde lädt sich das Programm
herunter, installiert es und wählt sich ein. Der Preis für eine Minute
kann von Anbieter zu Anbieter schwanken, doch sind 1,863 €/Min. die Regel
geworden.
In der Regel wird eine neue DFÜ-Verbindung erstellt, die mit einer definierten Benutzerobfläche gekoppelt wird. Siehe "Arbeitsplatz" -> "DFÜ-Netzwerk", hier sind alle definierten DFÜ-Verbindungen sichtbar.
Die angebotenen Dienstleistungen mittels 0190-Zugänge reichen von erotischen Materialien (Adult Branche) über Software bis zu Klingeltöne für Handys oder Informationen aller Art.
Das ganze Konzept ist in seiner Grundidee sicherlich nicht die schlechteste Art und Weise um etwas zu verkaufen. Vorausgesetzt, der Kunde wird genauestens über die anfallenen Kosten informiert bzw. während der Verbindung über die bisher aufgelaufenen Gebühren aufgeklärt. Leider gibt es jedoch auch hier (wie in vielen anderen Geschäftsbereichen) sehr dubiose Anbieter, die den Anwender mit voller Absicht täuschen und abzocken. Dazu sollten die anderen Themen dieser Rubrik gelesen werden.
Dialer - Programme wenden unterschiedliche Methoden zum Aufbau einer Verbindung auf. Wie bereits erwähnt, geschieht das in den allermeissten Fällen mittels einer neu definierten DFÜ-Verbindung.
Doch könnte ein Dialer auch mittels der CAPI (bei ISDN Nutzern !) eine Verbindung aufbauen. Diese Dialer wählen eigentlich nur so eine teure Rufnummer an um damit Geld zu verdienen. - Für diese Einwahlen bekommt der Anwender in den meissten Fällen überhaupt keine Gegenleistung.
Auch mittels Create Sockets, öffnen von Ports, TAPI wäre es denkbar einen Verbindungsaufbau zu einer Rufnummer mittels PC zu realisieren.
Wie gelangt
so eine Software auf mein System?
Viele Webseiten bieten Ihre Angebote nicht mehr nur auf herkömmliche Art
und Weise an. Früher musste der Interessent sich registrieren lassen und
bezahlte die Leistung per Kreditkarte, Überweisung, Abbuchung o. ä.
Heute kann der Kunde "bequem" und "anonym" per Telefonrechnung
bezahlen, indem die Verbindung über eine 0190-Servicenummer (oder eines
Providers, der seine Gebühren selber bestimmen kann - z.B. 0193....) aufgebaut
wird. Um dem Kunden diese Sache zu erleichtern, werden sogenannte Dialer oder
auch Highspeedzugänge zum Download angeboten. Der Kunde lädt sich
das Programm herunter, installiert es und wählt sich ein. Der Preis für
eine Minute kann von Anbieter zu Anbieter schwanken, doch sind 3,63 DM/Min.
die Regel geworden.
In der Regel wird eine neue DFÜ-Verbindung erstellt, die mit einer definierten Benutzerobfläche gekoppelt wird. Siehe "Arbeitsplatz" -> "DFÜ-Netzwerk", hier sind alle definierten DFÜ-Verbindungen sichtbar.
Die angebotenen Dienstleistungen mittels 0190-Zugänge reichen von erotischen Materialien (Adult Branche) über Software bis zu Klingeltöne für Handys oder Informationen aller Art.
Das ganze Konzept ist in seiner Grundidee sicherlich nicht die schlechteste Art und Weise um etwas zu verkaufen. Vorausgesetzt, der Kunde wird genauestens über die anfallenen Kosten informiert bzw. während der Verbindung über die bisher aufgelaufenen Gebühren aufgeklärt. Leider gibt es jedoch auch hier (wie in vielen anderen Geschäftsbereichen) sehr dubiose Anbieter, die den Anwender mit voller Absicht täuschen und abzocken. Dazu sollten die anderen Themen dieser Rubrik gelesen werden.
Dialer - Programme wenden unterschiedliche Methoden zum Aufbau einer Verbindung auf. Wie bereits erwähnt, geschieht das in den allermeissten Fällen mittels einer neu definierten DFÜ-Verbindung.
Doch könnte ein Dialer auch mittels der CAPI (bei ISDN Nutzern !) eine Verbindung aufbauen. Diese Dialer wählen eigentlich nur so eine teure Rufnummer an um damit Geld zu verdienen. - Für diese Einwahlen bekommt der Anwender in den meissten Fällen überhaupt keine Gegenleistung.
Auch mittels Create Sockets, öffnen von Ports, TAPI wäre es denkbar einen Verbindungsaufbau zu einer Rufnummer mittels PC zu realisieren.
Wie kann
ich mich dagegen schützen ?
In jedem
Fall sollten keine automatisch angebotenen Downloads einer EXE-Datei bei Eintritt
einer Webseite angenommen werden. Hin und wieder passiert es im übrigen
auch, dass bei Erwähnung einer Webseite (wo auch immer) ein direkter Download-Link
genannt wird. In dieser Webadresse erscheint zwar keine Datei unter der Endung
".exe", doch wird diese URL auf einen Download-Link umgeleitet.
Das Programme unbekannter Herkunft nicht aus dem Web heruntergeladen und ausgeführt werden sollten, müsste eigentlich an dieser Stelle nicht mehr erwähnt werden. Das Gleiche gilt natürlich auch für ausführbare Dateien, die einem unverwünscht per E-Mail übermittelt worden sind. Dabei spielt es keine Rolle, ob der Absender bekannt ist oder nicht. Häufig werden derartige Spam-Mails mit gefälschten Absendern verschickt.
Da auch immer mehr Webseitenbetreiber dazu übergehen, mittels ActiveX einen Dialer auf dem System des Besuchers zu installieren ohne das es dieser überhaupt bemerkt, sollte der Browser entsprechend konfiguriert werden. Da nur der Internet Explorer ActiveX kennt und ausführen kann, sollten diese Funktionen in den Einstellungen (unter Internetoptionen) unbedingt deaktiviert werden. Andere Browser wie Netscape, Opera oder Mozilla ignorieren ActiveX und bieten lediglich den Download einer Datei an, sollte man über eine entsprechend modifizierte Seite im Netz stolpern. Diesen Download nicht bestätigen, sondern ablehnen ! Für den Netscape Browser gibt es zwar auch ein ActiveX Modul, welches durch den Anwender nachträglich installiert werden kann. Doch sollte darauf in jedem Fall verzichtet werden.
Man sollte sich immer vor Augen halten, dass Profis der Adult-Branche wirklich alle Tricks und Kniffe kennen, die Besucher auf ihr Webangebot zu locken. - Aber nicht nur das, wer diese ganze Rubrik aufmerksam liest.... Wie weit gewisse Methoden angewendet werden, hängt selbstverständlich von dem jeweiligen Betreiber selber ab. Auch sei nochmals erwähnt, dass es durchaus Anbieter gibt, die absolut seriös arbeiten und keinerlei faule Tricks anwenden.
Der beste Schutz
überhaupt - 0190 sperren lassen
Diese Möglichkeit stellt sich als die beste und auch effektivste Möglichkeit
zum Schutz hoher Telefonrechnungen dar !
Die Anwahl bestimmter Vorwahlbereiche kann für einen Telefonanschluss auch gänzlich gesperrt werden. Dabei können auch andere Vorwahlen zusätzlich einbezogen werden (z.B. 0193). Es muß jedoch auch erwähnt werden, dass die Telefongesellschaften hierfür in der Regel eine einmalige Gebühr verlangen (um die 7 bis 8 Euro). Dieser Betrag kann sich jedoch sehr schnell bezahlt machen und sollte in jedem Fall investiert werden. Andere Telefongesellschaften als die Deutsche Telekom werden so etwas sicherlich ebenfalls anbieten können, einfach mal beim jeweiligen Anbieter nachfragen.
Es ist jedoch zu empfehlen, die Sperrung später einmal zu überprüfen. Einige User berichten davon, dass die Gebühren für die Sperrung zwar erhoben worden sind, jedoch die 0190-Einwahl weiterhin möglich gewesen wäre. Ein Fehler seitens der Telekom, den man leicht per Telefon austesten kann, indem man mal kurz eine 0190-Rufnummer anwählt.
Folgende Vorwahlbereiche
sollten in jedem Fall gesperrt werden:
0190 (die altbekannte Servicenummer)
0193 (hier kann jeder Anbieter die Gebühren selber festlegen und diese
Nummer kann, aber muss nicht, genauso oder noch teurer als 0190 sein. Aber Vorsicht
! Auch einige seriöse Internetprovider benutzen diese Vorwahl zur Einwahl
in das Internet. 0193 bedeutet also nicht immer gleich teuer !
0900 (diese Nummer wird im Laufe der Zeit die 0190 Vorwahlen ablösen. Hintergrund:
Diese Rufnummer kann auch aus dem Ausland angewählt werden und wird entsprechend
abgerechnet)
Bei dieser Methode hat kein Dialer mehr die Chance eine dieser Servicenummern durch den Anwender gewollt oder ungewollt anzuwählen.
Entgegen vieler Behauptungen, die Sperrung der 0190-Vorwahl kann durch vorangestellte Call by Call Rufnummern umgangen werden, ist laut Auskunft der Deutschen Telekom nicht möglich. Der Kunde kann zwar vor jeder Servicenummer (z.B. 0190, 0180, 0900, 0137 usw.) die Vorwahl einer anderen Telefongesellschaft wählen, doch wird diese durch die Technik der Telekom ignoriert. Uns ist auch schon häufig zu Ohren gekommen, die Hotline der Deutschen Telekom erteile diesbezüglich entgegengesetzte Informationen. - Wir haben uns das mehrmals von "höheren" Technikern der Deutschen Telekom bestätigen lassen !
Im übrigen bietet die Telekom verschiedene sogenannte Sperrklassen an. Hier steht einem der T-Punkt oder die Hotline mit Rat und Tat zur Seite.
Gänzliche "0190-Sperren" können seitens der Telekom vorgenommen werden oder es bietet sich auch eine andere Variante, indem der Kunde selber manuell über sein Telefon verschiedene Sperrmöglichkeiten mittels einer PIN einstellen kann. Die letzte Variante muss jedoch auch zunächst einmal freigeschaltet werden.
Browser, Betriebssystem
und Mailprogramm sicherer konfigurieren
Wie das geht, kann in unserer Anleitung "Erste Hilfe im Internet"
nachgelesen werden. In dieser FAQ sind auch andere wertvolle Tipps enthalten,
auch wie man einen Browser sicher konfiguriert. Jeder sicherheitsbewusste Anwender
sollte sich diese Anleitung ruhig einmal "antun". Denn das schützt
nicht nur vor Dialern, sondern auch vor Trojanischen Pferden, die ebenfalls
ein grosse Gefahr darstellen können.
Sicherheitsupdates
für Internet Explorer aufspielen
Immer wieder werden neue Sicherheitslücken im genannten Browser aufgedeckt.
Viele unseriöse Webseitenbetreiber nutzen schon längst bekannte (oder
auch neue) Sicherheitslücken zur unbemerkten Dialerinstallation aus. Auch
bei deaktiviertem ActiveX wäre die Installation eines Dialers möglich.
In der Regel reicht es schon aus, wenn der Anwender die von Haus aus mitgelieferte
"Windows Update" Funktion hin und wieder mal betätigt. - Dann
geht sogar alles fast wie von selbst. Hier werden zwar nicht wirklich alle Sicherheitspatches
tagesaktuell installiert, aber die wesentlichen Dinge sind sehr wohl schon mit
dabei. Diese Verfahrensweise ist auch für Computer-Laien einfach durchführbar.
Sperrung über eine eventuell vorhandene Telefonanlage
Sehr viele Haushalte verfügen heutzutage schon über kleine Telefonanlagen,
insbesondere ISDN-Teilnehmer.
Auch viele Telefonanlagen für den privaten Haushalt bieten die Möglichkeit
bestimmte Rufnummern zu sperren oder freizugeben. Ob und welche Möglichkeiten
diesbezüglich bestehen, hängt ganz von dem jeweiligen Modell ab. Hier
sollte jeder Anwender sich mal die Bedienungsanleitung seines Gerätes vornehmen
und entsprechend studieren. Wir können hier nicht alle Telefonanlagen beschreiben.
Oft kann man bestimmte Vorwahlbereiche (wie eben auch 0190 & Co.) sperren. Eine andere Variante wäre noch, einem bestimmten Port der Anlage nur die Rufnummern zu erlauben, die für den Internetzugang notwendig sind. Alle anderen Rufnummern werden geblockt und eine Einwahl durch Dialer ist nicht mehr gegeben. Jedoch sei dabei noch erwähnt, dass einige Dialer der 0190 Rufnummer noch eine Call by Call Vorwahl voranstellen (z.B. 01033, 01050 etc.). Hier kann es sein, dass die Telefonanlage dann nicht mehr blockt. Besser also nur benötigte Rufnummern in der Telefonanlage freigeben und den Rest blocken lassen. Sicher ist sicher !
Auch hier gilt
wieder:
Nachdem alle Einstellungen vorgenommen worden sind, sollte man das Ganze mal
mittels einer Testeinwahl zum Service 0190 überprüfen. Kontrolle ist
immer gut.
Im übrigen reicht es, wenn sich der Anwender für eine der beiden Sperrmöglichkeiten entscheidet. Wer das über seine Telefonanlage kann, der sollte das auch ruhig tun.Das spart die Gebühren der Telefongesellschaften und es funktioniert genauso gut.
DFÜ-Verbindung neu einstellen
Sollte das Zugangspasswort für den Onlinezugang abgespeichert worden sein,
so ist dieses zu entfernen. Man gewöhnt sich sehr schnell daran, das Zugangspasswort
vor dem Aufbau einer Verbindung einzugeben.
Ich selber habe
die DFÜ-Verbindung weder mit dem Browser noch Mailprogramm verknüpft.
Lediglich habe ich aus dem Ordner "DFÜ-Netzwerk" die jeweilige
Verbindung auf den Desktop verknüpft. Ich wähle mich zunächst
ein und erst dann nehme ich meine Aktivitäten im WWW auf. Genauso erfolgt
auch die Abfrage meiner Mailboxen.
Diese Prozedur hat den Vorteil, indem auf diese Art und Weise hin und wieder
auf die Einwahlnummer geschaut wird. Alles geht nicht so schnell und man achtet
mehr auf die Dinge, welche da geschehen. Ich selber habe mir das angewöhnt
und praktiziere das seit vielen Jahren.
Schutzsoftware
gegen ungewünschte 0190 Einwahl
Zwischenzeitlich gibt es auch immer mehr Programme zum Schutz vor unerwünschter
Einwahl mittels eines Webdialers. Wir stellen hier lediglich eine kleine Auswahl
von Programmen vor, die auch unabhängig der Hardware (ISDN- Modem u.Karten,
analoge Modems) arbeiten.
Was kann eine
Firewall für mich tun ?
Eine Firewall kann Aufschluss darüber geben, welches Programm sich wann
und womit verbinden will.
Allerdings sind Desktop Firewalls angreifbar, und überdies nutzlos, wenn
das System der Firewall nicht überblickt wird.
Desktop Firewalls bieten keinen 100%igen Schutz, was man sich stets vor Augen
halten sollte. Wenn man sich an die wichtigsten Grundregeln zum sicheren Surfen
hält, sind Desktop Firewalls sogar überflüssig. Solange man nichts
aus unsicheren Quellen herunterläd, sein System optimal konfiguriert, auf
sichere Software zurückgreift, und allgemein umsichtig im Internet unterwegs
ist, stellt eine Softwarelösung keinen zusätzlichen Schutz dar. Lediglich
die Logfunktionen wären dann noch sinnvoll.
Was kann eine Firewall NICHT für mich tun ?
Eine Desktop Firewall benutzen heisst nicht automatisch Schutz. Eine Firewall
kann nichts ausrichten, solange der Benutzer keine Ahnung von den zu erstellenden
Regeln hat.
Zwar gibt es bei einigen Programmen die Option der automatischen Regelerstellung,
welche aber in den meisten Fällen zu grosszügig oder fehlerhaft erfolgt.
Meine Firewall hat Alarm geschlagen, aber ich verstehe die Meldung nicht....
Einige Elemente finden sich in fast allen Alarmmeldungen wieder:
remote host = Adresse des entfernten Rechners
remote port = Entfernter Port, von dem die betreffende Aktion ausgeht
local port = Lokaler Port, für den Zugriff erfragt wird
inbound/outbound = Die Richtung des gewünschten Datentransfers (eingehend/ausgehend)
service = Die Anwendung, die angesprochen wird
protocol = Art des Protokolls (TCP,POP3, UDP, ICMP etc)
Der "remote host" lässt sich via Whois bei ripe.net ermitteln;
mit dieser Angabe ist das Rätsel oft schon gelöst.
Und wie immer gilt: Unbekannten Anwendungen niemals Zugriff aufs Internet gestatten
!
Meine Firewall fragt, ob ich ICMP zulassen will. Was bedeutet das?
Hierbei muss unterschieden werden, denn es gibt verschiedene ICMP-Typen.
Die wohl häufigsten sind Echo request (Ping) und Echo reply (Antwort auf
Ping). Diese beiden Typen können wie auch Destination unreachable und Time
exceeded ohne grössere Risiken zugelassen werden.
Genauere Angaben zur Funktion der einzelnen ICMP-Typen sind im Glossar zu finden.
Norton Internet Security blockt häufig Trojaner. Ist mein Rechner infiziert?
Wenn die Meldung nach dem folgenden Muster aufgebaut ist, dann ist davon auszugehen,
das es sich um einen Portscan handelte: Standard Trojanername blockieren (Details:
Eingehende Verbindung)
Erklärend dazu: NIS benennt die Ports nach den Trojanern, die diese standardmässig
nutzen. So ist der Standardport des Trojaners Sub7 beispielsweise 1243. Bei
einem Zugriffsversuch auf den Port 1243 meldet NIS nicht Port1243, sondern Sub7.
Allerdings ist es ein Leichtes, Trojanern einen anderen Port zuzuweisen.
Daher ist die Meldung von NIS irreführend und unnötig verunsichernd.
Ich werde seit Minuten immer von derselben Adresse auf verschiedenen Ports angegriffen.
Was passiert da?
Hierbei handelt es sich in der Regel um einen Portscan.
Meine Firewall meldet, das eine Anwendung ersetzt wurde. Was soll ich tun
?
Wenn vor kurzem ein Update der betreffenden Anwendung oder ein vergleichbarer
Eingriff erfolgt ist, ist die Veränderung der Software mit grosser Sicherheit
darauf zurückzuführen.
Wenn allerdings nichts in der Art durchgeführt wurde, so ist es möglich,
das ein Trojaner o.Ä. die Anwendung ersetzt hat. Hier sollte dem Programm
der Zugriff aufs Internet auf jeden Fall verwehrt bleiben, und weitere Nachforschungen
angestellt werden. Es ist ratsam, ein aktuelles, gutes Antiviren-/Antitrojanerprogramm
zu benutzen, um die Datei zu überprüfen. Weiteren Aufschluss bietet
auch unsere Dokumentation "Trojaner-Erkennung".
Schützt mich meine Firewall vor Trojanischen Pferden ?
Eine Firewall kann nicht vor der Installation schützen, allerdings kann
sie den Server blocken, sodas keine Verbindung möglich ist.
Manche Trojaner tunneln die Firewall jedoch dadurch, das sie freigegebene Anwendungen
ersetzen. Firewalls ohne Prüfsummencheck können diesen Austausch dann
nicht erkennen.
Schützt mich meine Firewall vor Dialern ?
In der Regel nicht. Näheres dazu unter der Rubrik 0190-Dialer.
Meine Firewall meldet, dass sich eine mir nicht bekannte Anwendung mit dem Internet
verbinden will. Soll ich es zulassen ?Nein ! Es sollte niemals unbekannten
Programmen Zugriff aufs Internet gestattet werden.
Ich habe mit
Zonealarm unter XP folgendes Problem...
Zonealarm läuft unter WindowsXP nicht zuverlässig. So werden mitunter
die erstellten Regeln nach dem Neustart vergessen, weitere Probleme ergeben
sich bei Internet Connection Sharing oder im Zusammenspiel mit AOL. Anscheinend
ist ZA unter XP nicht ausgereift, und es gibt keine befriedigenden Lösungen.
Daher ist der Rat bis auf weiteres, bei ZA-Problemen unter XP auf eine andere
Firewall zu wechseln.
Ich kann Zonealarm nicht sauber deinstallieren, es treten Probleme auf.
Zonelabs haben eine Anleitung zur sauberen Deinstallation von Zonealarm herausgegeben,
die in den meisten Fällen hilfreich ist.
Zonealarm: Ein kleines, undefinierbares Symbol blinkt in der Systray, was bedeutet
es ?
Dieses kleine Symbol erscheint in der Regel dann, wenn die Popup-Alarmfenster
deaktiviert wurden. Hierdurch zeigt Zonealarm an, das sie dabei ist, etwas zu
blocken.
Zonealarm: Das
Programm ist ja englisch und ich bin dieser Sprache kaum bis gar nicht mächtig.
Gibt es eine Anleitung ?
Es gibt ! - Wir bieten ein Deutsche Bedienungsanleitung für ZoneAlarm an.
Auch hier werden viele Fragen praktisch von selbst beantwortet.
-=Quellenangabe:=-
Die Inhalte dieser Seite wurden folgender Seite entnommen: