I liked the idea of having a “bomb” as wallpaper if a user has administrative rights to show the user: “Be careful what you do!”.
I saw this on some linux distributions when you logged on to the X-Server as user “root” you get bombs as wallpaper to remind you about your responsiblity.

I created a small AutoIT Script that includes a wallpaper image of a “bomb”. When executed it checks:

1. Has the user administrative rights?
   If so, we set the “bomb” wallpaper and exit
2. If the user has no administrative rights (maybe if UAC is turned on)
   we check if the user is member of the group with the SID S-1-5-32-544.
   This is the representation of the localized Administrators group.
   If the user is a member of this group we also set the “bomb”!

To setup this eg. on a server machine, just place the executable in the autostart folder for “All Users” and logon. If one of the 2 checks applies you will see a “bomb” as wallpaper. The wallpaper is set per user.

A great challenge was to get the name of the local administrators group via the SID to make sure this program will work on any localized version of windows, too. The source code is included. Use the program at your own risk!

Downloadlink: bomb_wallpaper_for_admins (with UAC).zip

Alexander Svensson hat in diesem Video versucht, den vom CCC (Chaos Computer Club) analysierten “Staatstrojaner (Bundestrojaner)” in einfachen Worten zu erklären. Wichtig ist meiner Meinung nach der letzte Punkt. Zitat: “Da der “Staatstrojaner” auch Dateien auf dem Zielsystem ablegen kann, ist seine Beweiskraft in Frage zu stellen.” Beim CCC gibt es eine Analyse einer Regierungs-Malware als PDF zu diesem Thema. In verschiedenen Zeitungen wird auch über den Trojaner berichtet. u.a. in der FAZ.

Hier das Video auf YouTube.

Links:
Der Staatstrojaner in dreieinhalb Minuten (Alexander Svensson)
Analyse einer Regierungs-Malware (CCC)
Anatomie eines digitalen Ungeziefers (FAZ)

Wer wie ich ein Fan der Artikelserie “Tatort Internet“, des heise Verlags ist, hier die Links zu den mir bis dato bekannten Episoden.
Danke an dieser Stelle an meinen Kollegen Tobias für die Recherche.

S01E01: Tatort Internet – Alarm beim Pizzadienst
S01E02: Tatort Internet – Zeig mir das Bild vom Tod
S01E03: Tatort Internet – PDF mit Zeitbombe
S01E04: Tatort Internet – Angrif der Killervideos
S01E05: Tatort Internet – Matrjoschka in Flash
S02E01: Tatort Internet – Nach uns die SYN Flut
S02E02: Tatort Internet – Ferngesteuert
S02E03: Tatort Internet – Eine Reise ins RAM
S02E04: Tatort Internet – Operation am offenen Herzen

…to be continued.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ein IT-Grundschutz-Überblickspapier zu den typischen Gefährdungen bei Smartphones sowie zu den entsprechenden Gegenmaßnahmen veröffentlicht. Hier gehts direkt zum PDF: Überblickspapier Smartphones

heise Security hat heute einen sehr guten Artikel zur Offline-Analyse eines Windows Rechners per Memory-Dump veröffentlicht. Im Artikel wird sehr genau erläutert, wie man in einem vorher erstellten Memory-Dump eines Windows Rechners “Trojaner” aufspürt, dabei werden die Tools

• MoonSols Windows Memory Toolkit
• The Volatility Framework: Volatile memory artifact extraction utility framework
  

eingesetzt und genau beschrieben.

Der Autor Frank Boldewin hat auch eine eigene Homepage, unter reconstructer.org kann man obigen Artikel im englischen Original und weitere sehr interessante Artikel nachlesen.

Es ist ja bekannt, dass UPnP (Universal Plug & Play) schon auf dem privaten Interface eines Routers eine Sicherheitslücke darstellt und deswegen standardmäßig ausgeschaltet sein sollte. Bei der Fritz!Box ist das z.B. dieses Häkchen:

Ausgeschaltetes UPnP ist natürlich unbequem. Hat man z.B. eine XBox 360, so beschwert sich diese gleich massiv darüber, dass man nun nicht mit anderen Personen (aus dem Internet) spielen kann usw. und man muss die entsprechenden Ports dann manuell öffnen.

Der Sicherheitsanalyst Daniel Garcia hat nun herausgefunden, dass einige Router der Firmen Edimax, Linksys, Sitecom und Thomson auf UPnP Anfragen am öffentlichen Interface des Routers reagieren.

An diesen Geräten können von außen Ports geöffnet werden und zwar ohne Passwort oder Rückfrage (das ist bei UPnP so). Auf der Seite http://www.toor.do/ gibt es einen Scanner, mit dem man angreifbare Router finden kann. Man kann mit diesem Programm auch mal testen, ob der eigene Router angreifbar ist.

Bei angreifbaren Routern können folgende Konfigurationsparameter verändert werden:

  SetConnectionType
  GetConnectionTypeInfo
  ConfigureConnection
  RequestConnection
  RequestTermination
  ForceTermination
  SetAutoDisconnectTime
  SetIdleDisconnectTime
  SetWarnDisconnectDelay
  GetStatusInfo
  GetLinkLayerMaxBitRates
  GetPPPEncryptionProtocol
  GetPPPCompressionProtocol
  GetPPPAuthenticationProtocol
  GetUserName
  GetPassword
  GetAutoDisconnectTime
  GetIdleDisconnectTime
  GetWarnDisconnectDelay
  GetNATRSIPStatus
  GetGenericPortMappingEntry
  GetSpecificPortMappingEntry
  AddPortMapping
  DeletePortMapping
  GetExternalIPAddress

Deshalb sollte grundsätzlich UPnP ausgeschaltet werden. Nutzer von betroffenen Routern, die auf UPnP angewiesen sind, sollten unbedingt nach Firmware-Updates bei den entsprechenden Herstellern nachfragen. – Immer nur das Einschalten, was man wirklich braucht!

Als Geek wird man ja das eine oder andere Mal zu einem total mit Viren infizierten PC-Notfall gerufen. Immer gut, wenn man die wichtigsten Tools auf einer CD oder einem USB-Stick dabei hat. Ich persönlich bin eher ein Fan des USB-Sticks, da er einfach handlicher ist und auch leichter zu befüllen. Manchmal fragt man sich aber: “Was, wenn der infizierte Rechner nun meinen USB-Stick infiziert?”

Ein kleiner Trick schafft Abhilfe. Man schreibt einfach mit dem Program “dd” (die Windows-Version gibt es bei chrysocome.net) ein ISO-File auf einen USB-Stick. Da das ISO9660-Dateisystem per Definition nur lesend ist, wird kein normales Betriebssystem auf diesen USB-Stick schreibend zugreifen können. Theoretisch wäre dies zwar möglich, aber mir sind keine Computerviren bekannt, die so intelligent sind, ein ISO9660-Dateisystem auf einem USB-Stick zur Laufzeit zu modifizieren. Die Methode mit dem ISO9660-Dateisystem ist meiner Meinung nach sicherer als so mancher Schalter an bestimmten USB-Sticks, da diese gelegentlich auch per Software ausgehebelt werden können.

Das ISO-File kann man sich ganz einfach mit seinem Lieblings-CD-Brennprogramm erstellen oder für die Liebhaber der Kommandozeile mit dem Programm “mkisofs” (Windows Version gibt es in den cdrtools).

Natürlich kann man auch DVD-Images (und somit noch größere Kapazitäten) nutzen und diese mit “dd” auf Stick schreiben. Möglicherweise auch eine gute Art, “nur lesende” Sicherungskopien seiner Fotos zu machen? – Jedes Jahr ein Stick und ab damit in den Schrank, fragt sich nur, was hält länger, ein USB-Stick oder eine DVD. Ihr könnt mir ja mal Eure Meinung in den Kommentaren hinterlassen.

Wenn Internetseiten Passwörter im Klartext speichern, brauchen diese eigentlich nur noch zu warten, bis jemand kommt und sie entwendet. (siehe Sony und andere gehackte Seiten). Es spielt keine Rolle, wie gut das Passwort ist, es ist einfach als Text abgespeichert und braucht nur ausgelesen zu werden. Es genügt ein kleiner Fehler in der Webseite oder der illegale Zugriff, z.B. auf ein Backup.
Leider speichern ca. 30% aller Webseiten ihre Passwörter im Klartext anstatt sie vernünftig zu hashen.
Plain Text Offenders hat es sich zur Aufgabe gemacht, solche Seitenbetreiber öffentlich anzuprangern. Man kann selbst Seiten übermitteln oder einfach nur in den bereits gemeldeten Seiten schmökern.

Ich fand auf die Schnelle:

• wg-gesucht.de
• boomshoes.de
• secure.comodo.com
• uvm.

Wirklich erschreckend!

Die Amerikaner machen es uns vor. Sie haben mit der Website onguardonline.gov ein tolles Portal geschaffen, wenn es um die Themen “Internetbetrug”, “Computesicherheit” und “Schutz von persönlichen Daten” geht. Die Webseite ist toll gegliedert und bietet zu jedem Thema Videos, Anleitungen und jede Menge Material zum Herunterladen.
Zu einigen wichtigen Punkten gibt es auch kleine Spiele. Es gibt auch speziell auf Teenager abgestimmte Dokumente, die Eltern nutzen können, um ihren Kindern “Computersicherheit” als Thema näher zu bringen.

Leider ist die Seite nur in Englisch und Spanisch verfügbar, jedoch ist der Inhalt absolut Spitze.

Sehr spassig gemacht sind auch die Videos. Mir gefallen besonders die “Phishy Videos“:

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) berät Firmen im Zusammenhang mit dem Computervirus “Stuxnet”. Unter der e-Mail-Adresse: stuxnet [at] bsi.bund.de kann man Informationen zu diesem Thema anfordern und erhält sachdienliche Unterstützung. Unter anderem gibt es auch folgendes PDF, welches sehr detailiert und hilfreich ist. Desweiteren empfiehlt es sich die Information von Symantec genau durchzulesen. Meine persönliche Meinung dazu ist, wer die monatlichen Microsoft-Updates schleifen lässt und beim Virenscanner-Update nicht immer am Ball bleibt, hat nicht nur mit Stuxnet Probleme. Stuxnet ist aber meiner Einschätzung nach das Werk von Geheimdiensten, denn ich wüsste nicht, wer sonst 2 bis vor kurzem unbekannte schwere Sicherheitslücken in Windows “in der Schublade” hatte und diese in einen Virus einbauen hätte können.
Weiterführende Links: Siemens Support zum Thema Stuxnet