heise Security hat heute einen sehr guten Artikel zur Offline-Analyse eines Windows Rechners per Memory-Dump veröffentlicht. Im Artikel wird sehr genau erläutert, wie man in einem vorher erstellten Memory-Dump eines Windows Rechners „Trojaner“ aufspürt, dabei werden die Tools

• MoonSols Windows Memory Toolkit
• The Volatility Framework: Volatile memory artifact extraction utility framework
  

eingesetzt und genau beschrieben.

Der Autor Frank Boldewin hat auch eine eigene Homepage, unter reconstructer.org kann man obigen Artikel im englischen Original und weitere sehr interessante Artikel nachlesen.

Ich benutze nun schon sehr lange ein 100GByte STRATO HiDrive zum Sichern meiner Fotosammlung und bin von den verschiedenen Zugriffsmöglichkeiten (u.a. auch rsync, WebDAV uvm.) absolut begeistert (siehe auch Bild). Wie mir gerade Philipp vom pcliebhaber-Blog mitteilte gibt es jetzt eine kostenlose 5Gbyte Version. Einfach schnell und unkompliziert hier registrieren und schon gehts los. Das schöne daran ist, man kann mehrere Accounts anlegen und somit auch anderen Personen die Möglichkeit geben, Dateien hochzuladen. – Und natürlich gibt es auch die HiDrive-App für Android und diverse kompatible Programme für das iPhone (OverTheAir, Net Portal Lite, ezShare Files).

Auf das STRATO HiDrive lässt sich wirklich plattformunabhängig zugreifen und man merkt, die Jungs von STRATO haben Ahnung!

Momentan läuft übrigens auch eine IFA-Special Aktion zur Funkausstellung. 100 GB Speicher für 1 Jahr nur 1,– € (1)

(1) Aktion bis 30.09.2011: STRATO HiDrive Media 100 für einmalig 1 € im 1. Jahr, danach 6,90 €/Mon.. Mindestvertragslaufzeit 12 Monate. Preise inkl. MwSt.

Es ist ja bekannt, dass UPnP (Universal Plug & Play) schon auf dem privaten Interface eines Routers eine Sicherheitslücke darstellt und deswegen standardmäßig ausgeschaltet sein sollte. Bei der Fritz!Box ist das z.B. dieses Häkchen:

Ausgeschaltetes UPnP ist natürlich unbequem. Hat man z.B. eine XBox 360, so beschwert sich diese gleich massiv darüber, dass man nun nicht mit anderen Personen (aus dem Internet) spielen kann usw. und man muss die entsprechenden Ports dann manuell öffnen.

Der Sicherheitsanalyst Daniel Garcia hat nun herausgefunden, dass einige Router der Firmen Edimax, Linksys, Sitecom und Thomson auf UPnP Anfragen am öffentlichen Interface des Routers reagieren.

An diesen Geräten können von außen Ports geöffnet werden und zwar ohne Passwort oder Rückfrage (das ist bei UPnP so). Auf der Seite http://www.toor.do/ gibt es einen Scanner, mit dem man angreifbare Router finden kann. Man kann mit diesem Programm auch mal testen, ob der eigene Router angreifbar ist.

Bei angreifbaren Routern können folgende Konfigurationsparameter verändert werden:

  SetConnectionType
  GetConnectionTypeInfo
  ConfigureConnection
  RequestConnection
  RequestTermination
  ForceTermination
  SetAutoDisconnectTime
  SetIdleDisconnectTime
  SetWarnDisconnectDelay
  GetStatusInfo
  GetLinkLayerMaxBitRates
  GetPPPEncryptionProtocol
  GetPPPCompressionProtocol
  GetPPPAuthenticationProtocol
  GetUserName
  GetPassword
  GetAutoDisconnectTime
  GetIdleDisconnectTime
  GetWarnDisconnectDelay
  GetNATRSIPStatus
  GetGenericPortMappingEntry
  GetSpecificPortMappingEntry
  AddPortMapping
  DeletePortMapping
  GetExternalIPAddress

Deshalb sollte grundsätzlich UPnP ausgeschaltet werden. Nutzer von betroffenen Routern, die auf UPnP angewiesen sind, sollten unbedingt nach Firmware-Updates bei den entsprechenden Herstellern nachfragen. – Immer nur das Einschalten, was man wirklich braucht!

Beim Versuch Linux zu installieren (mehrere Varianten) wurde während des Setups die Festplatte vom Installer nicht erkannt, bzw. es wurde gemeldet „no root filesystem defined“.
Mit fdisk -l war die Festplatte sauber erkennbar.

Ursache war eine im Bootsektor der Festplatte verankerte „ehemalige“ Raid-Konfiguration, da die Festplatte vorher in einem Software-Raid-Verbund war.

Durch die Eingabe von

  sudo dmraid -E -r /dev/sda
und
  sudo apt-get remove dmraid

wurde die Raid-Konfiguration von der Festplatte entfernt und eine Installation wurde möglich.

Als Geek wird man ja das eine oder andere Mal zu einem total mit Viren infizierten PC-Notfall gerufen. Immer gut, wenn man die wichtigsten Tools auf einer CD oder einem USB-Stick dabei hat. Ich persönlich bin eher ein Fan des USB-Sticks, da er einfach handlicher ist und auch leichter zu befüllen. Manchmal fragt man sich aber: „Was, wenn der infizierte Rechner nun meinen USB-Stick infiziert?“

Ein kleiner Trick schafft Abhilfe. Man schreibt einfach mit dem Program „dd“ (die Windows-Version gibt es bei chrysocome.net) ein ISO-File auf einen USB-Stick. Da das ISO9660-Dateisystem per Definition nur lesend ist, wird kein normales Betriebssystem auf diesen USB-Stick schreibend zugreifen können. Theoretisch wäre dies zwar möglich, aber mir sind keine Computerviren bekannt, die so intelligent sind, ein ISO9660-Dateisystem auf einem USB-Stick zur Laufzeit zu modifizieren. Die Methode mit dem ISO9660-Dateisystem ist meiner Meinung nach sicherer als so mancher Schalter an bestimmten USB-Sticks, da diese gelegentlich auch per Software ausgehebelt werden können.

Das ISO-File kann man sich ganz einfach mit seinem Lieblings-CD-Brennprogramm erstellen oder für die Liebhaber der Kommandozeile mit dem Programm „mkisofs“ (Windows Version gibt es in den cdrtools).

Natürlich kann man auch DVD-Images (und somit noch größere Kapazitäten) nutzen und diese mit „dd“ auf Stick schreiben. Möglicherweise auch eine gute Art, „nur lesende“ Sicherungskopien seiner Fotos zu machen? – Jedes Jahr ein Stick und ab damit in den Schrank, fragt sich nur, was hält länger, ein USB-Stick oder eine DVD. Ihr könnt mir ja mal Eure Meinung in den Kommentaren hinterlassen.

Ich bin gerade auf eine sehr nette Seite gestoßen, auf der es wunderschöne Cartoons zu den Themen

• Spoofing
• Malware
• Phishing
• Pharming
• Passwords
• Politics
• Fightback

gibt. Die Cartoons sind in Englisch und eignen sich sehr gut, um Sicherheitsprobleme im Internet mit ein paar Bildern zu erklären. Das aktuellste Cartoon kann man auch in die eigene Homepage, z.B. mit folgendem HTML-Code einbinden:

<script src="http://www.securitycartoon.com/today.js"></script>

wobei man natürlich immer vorsichtig sein sollte, wenn man externe Javaskripte einbindet. Ich habe mir mal das RSS-Feed von SecurityCartoon.com in meinen Newsreader eingetragen.

Filesync-Tools wie z.B. Dropbox sind praktisch, oft aber traut man dem Anbieter nicht über den Weg. Warum also so etwas nicht selber nachbauen?
Mit einem eigenen FTP-Server und dem Open-Source-Programm FTPbox ist das kein Problem.

Nach dem Start des Programms muss man nur die Zugangsdaten zum FTP-Server eingeben und einstellen, welcher lokale Ordner synchron gehalten werden soll.

Ein großer Nachteil von FTPbox ist, dass es derzeit nur unter Windows funktioniert und das .NET Framework 4 benötigt.

Ich wollte es hier trotzdem mal erwähnt haben, da man gelegentlich ja mal schnell eine Lösung aus dem Ärmel schütteln muss.

Ein vielversprechendes (Cloud-)Backup-System scheint mir das OpenSource-Projekt Duplicati zu sein. Man kann damit lokale Dateien und Ordnern verschlüsselt in verschiedene Ziele sichern. Die dabei unterstützten Ziele sind:

• lokale Ordner
• Netzlaufwerke
• USB-Laufwerke
• FTP-Server
• encrypted SSH Server
• WebDAV
• Strato HiDrive (WebDAV oder SSL)
• Amazon S3
• CloudFiles
• Tahoe-LAFS (Least Authority File System)

Wenn man also Zugriff auf ein solches Ziel hat, kann man nun wunderbar Backup-Jobs einrichten und dank integrierter Bandbreitenregulierung sauber im Hintergrund sichern. Dadurch kann man z.B. kostenpflichtige Dienste wie Carbonite selbst abbilden und hat eine saubere AES256 (eingebaut) oder GNU Privacy Guard (extern) Verschlüsselung.
Es ist also möglich seine Dateien (verschlüsselt) auf einem unverschlüsseltem Speichermedium (z.B. FTP) abzulegen.

Derzeit gibt es Versionen für Windows (x86/x64) und Linux.

Die neueste Preview-Version unterstützt auch:

• OpenStack
• SkyDrive (25GB kostenlos)

Ich vermute es wird bald noch mehr unterstützte Systeme geben.

Duplicati ist definitiv ein Projekt, welches ich im Auge behalten werde.

Bei YouTube gibt es ein schönes Video zur Installation und Verwendung von Duplicati.

Gleich vorneweg, der kostenlose „Storage Plan“ von ADrive ist unverschlüsselt und bietet nicht mal SSL-Verschlüsselung, aber man erhält 50GB Online-Speicher gratis. ADrive ist also bestens geeignet, nicht geheime Dokumente mit anderen Benutzern zu teilen, sonst nichts.

Natürlich kann man mit TrueCrypt oder LockNote verschlüsselte Drives und Textdateien anlegen, aber man hat eben wieder den entsprechenden Mehraufwand.

Alternativ kann man natürlich auch die kostenpflichtigen Angebote von ADrive nutzen, diese enthalten dann z.B. auch:FTP-Zugang

• File History Recovery
• ADrive Desktop for Windows, Mac & Linux
• SSL Verschlüsselung
• WebDAV Zugriff
• Mehrere gleichzeitige Sessions
• 24/7 Support
• keine Werbung

Mehr dazu auf der Übersichtsseite von ADrive.

Gelegentlich sollte man daran denken, seine Daten zu sichern, wie uns folgendes Video unmissverständlich erklären möchte.
Gerne auch zum Mitsingen. Die Melodie ist von „Yesterday“, einem Titel der Beatles.

Und immer daran denken 3-2-1 Backup ist die beste Lösung!

3 Sicherungskopien von allen wichtigen Daten auf
2 unterschiedlichen Speichermedien anfertigen.
1 Kopie an einem anderen Ort aufbewahren!

Yesterday (the backup song)

Yesterday (The backup song)

♫ Yesterday,
♫ All those backups seemed a waste of pay.
♫ Now my database has gone away.
♫ Oh I believe in yesterday.
♫ Suddenly,
♫ There’s not half the files there used to be,
♫ And there’s a milestone hanging over me
♫ The system crashed so suddenly.
♫ I pushed something wrong
♫ What it was I could not say.
♫ Now all my data’s gone
♫ and I long for yesterday-ay-ay-ay.
♫ Yesterday,
♫ The need for back-ups seemed so far away.
♫ I knew my data was all here to stay,
♫ Now I believe in yesterday.