infobase: EDV - Sicherheit

Allgemein

Ausspionieren eines PCs, Thiefware, Trojaner, ct 2002 15 S. 128
Ausspionieren des Arbeitsplatzes, ct 2002 15 S132
Trojaner-Schutzprogramme, ct 2002 15, S.138
Bereinigung von unerwünschter Software, ct 2002 15 S. 144

Internet

Noch einfacher (ohne Anmeldung) geht das mit www.trash-mail.com.
Man läßt sich einfach eine Mail an eine Dummymailadresse der Form xyz@trash-mail.com schicken und besucht danach die Webseite. Dort gibt man den Dummynamen ein und sieht, welche Mails eingegangen sind. Die Gültigkeitsdauer beträgt 6h.

Beide Dienste erlauben es, eingegangene Mails selbst zu löschen.

Nachteil:

In den genannten Fällen erfolgt die Deaktivierung wiederum mittels eines Cookies.
Wer die mal von Zeit zu Zeit ausmistet, setzt damit auch die Deaktivierung zurück.

Es ist mind. interessant zu sehen, was sich alles aus deren Sicht auf dem eigenen Rechner eingenistet hat.

Das Google-interne Webprotokoll kann für einen angemeldeten User auf der Seite Webprotokoll löschen entfernt werden.

Alternativen:

Wer die Annahme von Cookies beeinflussen kann (evtl. sogar mit Ausnahme- bzw. Sperrlisten), kann so Sachen wie adsense, doubleclick und andere analytics-Dienste dauerhaft sperren.

Cookies manuell deaktivieren:

Masochisten deaktivieren das gleich ganz und schalten Cookies nur einzeln im Ausnahmefall ein.
Das ist eine echte Ochsentour (im Beispiel anhand des Firefox-Browsers):
Im Menü Extras / Einstellungen im Bereich Datenschutz auf der Reiterkarte Cookies können diese kleinen Helferlein durch Entwerten der Option "Cookies akzeptieren" komplett abgeschaltet werden.
Wer ausgewählten Webseiten dennoch das Cookie-Vertrauen aussprechen möchte, kann das wieder einschalten - zusammen mit den Optionen "nur von der ursprünglichen Webseite" und im Folter-Modus "jedes Mal nachfragen".
Z.B. bei einer einfachen ebay-Anmeldung erwartet einen dann eine Cookie-Lawine.
Damit sollten nur die für den aktuellen Vorgang benötigten Cookies akzeptiert werden, was für einen Laien nicht möglich sein dürfte. Wenn danach Cookies wieder allgemein abgeschaltet werden, sollte sich die gerade verarztete Webseite auch später einwandfrei benutzen lassen. Das führt dann zu einer handgepflegten Cookie-Liste.

Alternativ kann man auch ein Browser-Plugin installieren.
Z.B. bei Firefox-Addons nach dem Begriff privacy suchen.

****

Flash-Cookie:

Offiziell können die Flash-Cookies des aktuell benutzten Browsers auf dieser Macromedia-Seite gelöscht werden.

****

Google Analytics:

Die "Google Analytics"-Elemente werden per javascript in eine Webseite eingebettet.

Wer mit einem Browserplugin wie NoScript unterwegs ist, kann diesen Mist getrost vergessen.

Ansonsten hilft der Laien-feindliche Weg über das Anpassen der lokalen hosts-Datei, in die der Eintrag 127.0.0.1 google-analytics.com eingefügt wird. Nach einer Neuanmeldung des Betriebssystemes werden Aufrufe von google-analytics.com an den eigenen Rechner weitergeleitet.

Inhalte der Felder von Web-Formular-Mails sichern

Webformulare können zum Versand von Spam-Mails mißbraucht werden.

Böse Menschen versuchen, den Formularfeldern zusätzliche Inhalte zuzuweisen, die z.B. Angaben zu weiteren Empfängern enthalten.

Wenn die vom Formular übermittelten Daten server-seitig nicht entsprechend geprüft werden, dann kann das ins Auge gehen.

Beispiele für das Überprüfen von Formular-Daten:

// bei Bedarf UTF8-kodieren
$absender = utf8_decode($_POST['absenderemail']);

// angegebene Mailadresse mit regulärem Ausdruck prüfen
$absender = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $absender );

// sowie ALLE Formularfelder von evtl. Mail-Header-Kennzeichen befreien
$absender = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $absender );
...

****

Eine Umsetzung in php kann so aussehen:

- CleanFormFieldData () liefert bereinigte Inhalte für übermittelte Formularfeld-Werte

function CleanFormFieldData ($val, $ConvertToUTF8, $CleanFromSpecialChars)
{
// bei Bedarf UTF8-kodieren
if ($ConvertToUTF8 == true)
$val = utf8_decode($val);

// angegebene Mailadresse mit regulärem Ausdruck prüfen
if ($CleanFromSpecialChars == true)
$val = preg_replace( "/[^a-z0-9 !?:;,.\/_\-=+@#$&\*\(\)]/im", "", $val );

// sowie ALLE Formularfelder von evtl. Mail-Header-Kennzeichen befreien
$val = preg_replace( "/(content-type:|bcc:|cc:|to:|from:)/im", "", $val );

return $val;
}

Microsoft Office

Eines vorneweg:

Wer mit Microsoft-Produkten arbeitet, ist selbst schuld !

und

Dummheit schützt vor Strafe nicht.

Es begab sich zu der Zeit, als ich aus der Ecke Bosch-Rexroth im Jahre 2006 einen Auftrag erhielt, der darin bestand, aus ganz arg vielen Excel-Listen zusammenhängende Daten zu machen.

Bei einer näheren Betrachtung der Excel-Dateien in einem vernünftigen Editor (NICHT von Microsoft!) stellte ich fest, daß alle Dateien, die ich im Excel NUR geöffnet hatte, meinen Namen enthielten.

Aber es kommt noch besser:

Ein originaler Eintrag wie z.B. 'klp2siied Seyffer' wurde stillschweigend durch meine Angaben überschrieben, ohne daß z.B. Änderungen am Dateidatum oder der Größe sichtbar waren. Selbst, wenn ich die Original-Datei parallel in meinem
Edel-Editor geöffnet halte (der Editor meckert immer, wenn eine andere Anwendung sich am Inhalt geöffneter Dateien vergreift!), schreibt Microsoft über 'geheime' Betriebssystem-Routinen 'unsichtbar' Benutzerdaten in solche Dateien, ohne daß selbst Werkzeug-Programme davon etwas mitbekommen.

Big Brother is fucking you !

Die Brüder wissen, wer wann zuletzt auf welchem Drucker gedruckt hat, da sind Details zu Eurer Laufwerk-Struktur hinterlegt und derlei Dinge mehr. Das ist doch absolut irre, oder ?

Ein Mitarbeiter einer anderen Firma klagte einmal erfolgreich seine abgelehnte Gehaltserhöhung ein, da er im binären
Inhalt des Word97-Dokumentes, das sein Chef ihm zusandte, den Inhalt diverser anderer Antworten mit Bewilligungen an andere Mitarbeiter erkannte und diesen Sachverhalt vor's Arbeitsgericht brachte (stand irgendwann mal in einer alten ct-Ausgabe).

Ein Hoch auf die Versagertruppe aus Redmond, Seattle.

Dem Speichern unerwünschter persönlicher Daten kann man nicht ganz entkommen, wenn man mit diesem Microsoft-Dreck arbeitet, aber für das unerwünschte Ansammeln früherer Inhalte und anderer Most-Geschichten gibt es einen Tipp:
Bevor man ein Dokument in fremde Hände gibt, sicherheitshalber mittels "Speichern unter ..." neu anlegen und diese Datei dann weitergeben.

Wer ganz sicher gehen will, sollte sich Gedanken machen, was er wirklich außer Haus zu geben gedenkt.

Wenn Sie also eine Liste mit Zahlen und anderen Angaben anderen Personen zur Verfügung stellen wollen, und zwar genau diese Daten und NICHTS anderes, dann speichern Sie z.B. die Daten in einem "sauberen" Format, bei Microsoft Excel z.B. als "Tab-getrennter Text". Sie werden sich wundern, wieviel weniger Platz diese Daten beanspruchen. Wenn Sie solche Daten an Fachleute weitergeben, tun Sie denen eher einen Gefallen, da diese Leute solche Daten evtl. mit ganz anderen Mitteln bearbeiten und gerade für solche "unvorhersagbaren" Sachen ist das Textformat die sauberste Angelegenheit.

online / offline arbeiten

Gerade in Zeiten, in denen Laien und Amateure mit hochgradig Netzwerk-fähigen Betriebssystemen arbeiten, ist es aus meiner Sicht sinnvoll, selbst entscheiden zu können, ob ein Computer sich im online- oder offline-Modus befindet.

Wer, ohne Ahnung zu haben, online auf alles klickt, was nicht bei 3 auf den Bäumen ist und das auch noch mit unsicheren Betriebssystemen und ebenso unsicheren Software-Anwendungen, muß sich gefallen lassen, daß man ihm besser eine Firewall und einen sog. OnAccess-Virenscanner vor die Nase setzt. Die damit verbundenen Performance-Einbußen machen das hoffentlich unterbundene Risiko allemal wett.

Als unsichere Betriebssysteme sind allem voran die neueren Microsoft-Windows-Systeme und zunehmend die Mac-Systeme zu nennen. Unsichere Programme sind als Klassiker der Microsoft Internet Explorer (>4) und die entsprechenden Outlook bzw. Outlook Express - Versionen, die geradezu ein gefundenes Fressen für online-Schädlinge aller Art (Viren, Würmer, Trojaner etc.) sind. Und wer einmal die aktuellen Meldungen zu Sicherheitslücken in Mac-Programmen verfolgt, muß sich wundern, daß diese Welt jemals als eine "sichere" angesehen wurde (s. a. eine Meldung von heise.de zu diesem Thema vom Mai 2006). Ein Auszug: "Apple machts ähnlich wie Microsoft und veranstaltet im Mai einen Patchday: Das Unternehmen schließt mehr als 25 schwerwiegende Lücken in seinen Betriebssystemen und 9 im populären Quicktime Player."

Und aus ist's mit dem Traum vom "sicheren" Betriebssystem.

Die in dem als Tüftler-System angesehenen Linux enthaltenen Module bedürfen erst Recht regelmäßiger sicherheitskritischer Betrachtungen und Wartungen, aber das ist bei einem professionellem Betriebssystem, das von professionellen Administratoren gewartet wird, auch völlig in Ordnung.

Aus der Sicht eines fortgeschrittenen Bastlers finde ich es reizvoll, meiner Maschine per Mausklick die Lizenz zum online-Sein zu erteilen und auch wieder zu entziehen.

Auf meinen Windows NT 4 - Systemen läuft das über Batchdateien, die mit den Kommandos net start dhcp und net stop dhcp den sog. DHCP-Client-Dienst starten oder beenden. Dieser Dienst holt sich bei einer LAN-Anbindung von einem Kabel-Modem oder einem DSL-Router eine IP-Adresse ab. Sobald er beendet wurde, sind online-Verbindungen nicht mehr möglich. Das mag pingelig und umständlich erscheinen, aber alleine die Möglichkeit gibt mir wieder etwas von dem Gefühl zurück, daß ich der Herr über die Maschine bin und nicht jemand anders.