Um eine Social-Engineering-Attacke durchzuführen setzt ein Angreifer menschliche Interaktion ein (soziale Fähigkeiten), um Information über [...]]]>

Geben Sie sensible Informationen an niemanden weiter, ausser Sie sind sich ganz sicher, dass die betreffende Person diejenige ist, für die sie sich ausgibt, und dass diese Person auch tatsächlich Zugang zu diesen Daten braucht.

Was ist eine Social-Engineering-Attacke?

Um eine Social-Engineering-Attacke durchzuführen setzt ein Angreifer menschliche Interaktion ein (soziale Fähigkeiten), um Information über eine Organisation oder ihre Computersysteme zu erhalten oder zu kompromittieren. Ein Angreifer erscheint vielleicht unauffällig und respektabel, behauptet möglicherweise, ein neuer Mitarbeiter zu sein, ein Mechaniker oder Forscher, und weist vielleicht sogar Papiere oder sonstige Beweismittel vor, um diese Identität zu stützen. Aber, indem er Fragen stellt, kann er sich vielleicht in die Lage versetzen, genügend Informationen zusammenzustückeln, um das Netzwerk einer Organisation zu infiltrieren. Falls ein Angreifer nicht fähig ist, genug Information aus einer Quelle zu beschaffen, dann kontaktiert er vielleicht weitere Quellen innerhalb derselben Organisation und benutzt dabei die Informationen der ersten Quelle, um seine Glaubwürdigkeit zu erhöhen.

Was ist eine Phishing-Attacke?

Phishing ist eine Form von Social Engineering. Phishing-Attacken benutzen Email oder böswillige Webseiten, um persönliche Informationen zu sammeln, häufig finanzieller Art. Angreifer senden vielleicht ein Email, das anscheinend von einer Kreditkartenfirma mit gutem Ruf stammt, oder von einem Finanzinstitut, das Kontoinformationen abfragt, häufig mit dem Hinweis, dass es ein Problem gäbe. Wenn ein Benutzer mit der geforderten Information antwortet, kann sie der Angreifer dazu benutzen, Zugang zu den Konten zu erlangen.

Wie vermeidet man, ein Opfer zu werden?

• Seien Sie unverlangten Anrufen, Besuchen oder Emails gegenüber misstrauisch, bei denen Personen nach Mitarbeitern oder internen Informationen fragen. Falls ein Unbekannter oder eine Unbekannte behauptet, von einer legitimern Organisation zu sein, versuchen Sie, seine oder ihre Identität direkt mit der betreffenden Firma zu klären.
• Geben Sie keinerlei persönliche Informationen heraus, oder Informationen über ihre Organisation, einschliesslich ihrer Strukturen oder Netzwerke, ausser sie sind sich ganz sicher darüber, dass die Person die Autorisierung hat, über diese Informationen zu verfügen.
• Geben Sie keine persönlichen oder finanziellen Informationen per Email preis, und reagieren Sie nicht auf Anfragen nach diesen Informationen. Dieses nicht-Reagieren bedeutet nicht nur, keine Email-Antwort zu senden, sondern auch, keine im Email angegebenen Links anzuklicken.
• Senden sie sensitive Information nicht über das Internet, bevor Sie nicht die Sicherheit einer Webseite überprüft haben. Dazu gehört insbesondere die Ãœberprüfung der Gültigkeit eines Zertifikats.
• Achten Sie auf die URL einer Webseite. Böswillige Webseiten sehen vielleicht genauso aus wie die legitime Seite, aber die URL benutzt wahrscheinliche eine leichte Variation in Schreibweise oder eine ganz andere Domäne (etwa .com gegenüber .net).
• Falls Sie unsicher sind, ob eine Email-Anfrage legitim ist oder nicht, versuchen Sie, das direkt mit der betreffenden Firma zu klären. Benutzen Sie nicht die Kontaktinformation, die auf einer Webseite angegeben ist, die im Email erwähnt ist. Benutzen Sie stattdessen die Kontaktinformation aus früherer Post. Informationen über bekannten Phishing-Attacken ist auch Online verfügbar von Gruppen wie der Arbeitsgruppe Anti-Phishing (http://www.antiphishing.org/phishing_archive.html).
• Installieren und Updaten Sie Anti-Virus Software, Firewalls, und Email-Filter um einigen von diesem unerwünschten Verkehr zu reduzieren (siehe Understanding Firewalls,Understanding Anti-Virus Software, und Reducing Spam für mehr Information dazu).

Was tun, wenn Sie glauben, Sie seien ein Opfer geworden?

• Wenn Sie glauben, Sie hätten sensitive Information über Ihre Organisation preisgegeben, dann informieren Sie die zuständigen Personen innerhalb Ihrer Organisation, einschliesslich der Netzwerkadministratoren. Das kann sie auf verdächtige oder ungewähnliche Aktivitäten aufmerksam machen.
• Wenn Sie glauben, Ihre Finanzkonten seien kompromittiert worden, kontaktieren Sie sofort Ihr Finanzinstitut und schliessen Sie alle Konten, die möglicherweise kompromittiert worden sind. Seien Sie auf der Hut vor unerklärlichen Belastungen auf Ihren Konten.
• Ziehen Sie eine Anzeige bei der Polizei in Betracht.

Die schlimmsten Probleme kommen von denjenigen Kettenbriefen, die einen Virus oder eine sonstige bösartige Aktivität tarnen. Aber auch jene, [...]]]>

Kettenbriefe kennt jeder, der ein Email-Konto besitzt, seien sie nun von Fremden oder von gutmeinenden Freunden oder Familienmitgliedern verschickt worden. Versuchen Sie, die Informationen nachzuprüfen, bevor Sie die Nachricht weiterschicken.

Warum sind Kettenbriefe ein Problem?

Die schlimmsten Probleme kommen von denjenigen Kettenbriefen, die einen Virus oder eine sonstige bösartige Aktivität tarnen. Aber auch jene, die harmlos erscheinen, können negative Folgen haben, wenn Sie sie weiterleiten:

• Sie verbrauchen Bandbreite und Speicherplatz in der Inbox der Empfänger.
• Ihre Bekannten werden gezwungen, Zeit damit zu verschwenden, die Nachrichten zu sichten und womöglich ihrerseits Zeit aufzuwenden für das Nachprüfen der Informationen.
• Sie verbreiten Aufregung und, häufig unnötigerweise, Angst und Paranoia.

Welches sind ein paar Typen von Kettenbriefen?

Es gibt zwei Haupttypen von Kettenbriefen:

• Scherze (Hoaxes) — Scherze versuchen die Anwender zu überlisten oder zu betrügen. Ein Scherz kann bösartig sein und den Benutzer dazu zu verführen versuchen, eine Datei, die für die Funktion des Computers wichtig ist, zu löschen, indem er behauptet, es handle sich um einen Virus. Er könnte auch Abzocke sein, indem versucht wird, die Benutzer zu überzeugen, Geld oder persönliche Informationen herauszurücken. So genannte “Phishing Attacken” könnten in diese Kategorie gehören.
• Moderne Legenden (Urban legends) — Moderne Legenden sind darauf angelegt, möglichst weit verbreitet zu werden und gewöhnlich warnen sie Benutzer vor einer Bedrohung oder behaupten, dass sie eine wichtige oder dringliche Information darstellen würden. Eine weitere verbreitete Form davon sind Emails, die einem Benutzer für das weiterleiten der Nachricht monetäre Belohnungen versprechen, oder die nahelegen, dass sie etwas unterzeichnen, was einer bestimmten Gruppe vorgelegt wird. Moderne Legenden haben keine negativen Auswirkungen abgesehen von verschwendeter Bandbreite und Zeit.

Wie kann man beurteilen, ob eine Email ein Scherz oder eine moderne Legende ist?

Einige Nachrichten sind suspekter als andere, aber seien Sie besonders vorsichtig, wenn eine Nachricht eine der folgenden Charakteristiken aufweist. Diese Charakteristiken sind nur Leitlinien — nicht jeder Scherz oder jede moderne Legende hat diese Attribute, und die eine oder andere legitime Nachricht könne einige dieser Charakteristiken aufweisen:

• sie suggeriert tragische Konsequenzen bei nicht-Durchführung einer Aktion
• sie verspricht Geld oder Geschenkgutscheine für die Durchführung einer Aktion
• sie bietet Anweisungen oder Anhänge an, von denen behauptet wird, sie würden vor einem Virus schützen, der von Anti-Virus-Software nicht erkannt wird.
• sie behauptet, sie sei kein Scherz bzw. kein Hoax
• es gibt mehrere grammatikalische Fehler, oder die Logik ist widersprüchlich
• es gibt einen Satz, der einen zum weiterschicken der Nachricht auffordert
• sie ist schon mehrmals weitergeschickt worden (wie sich aus der Abfolge von Mail-Header-Zeilen im Inhalt der Nachricht ergibt)

Falls Sie die Gülltigkeit einer Email überprüfen wollen, so gibt es ein paar Webseiten, die Informationen über Scherze/Hoaxe und urbane Legenden enthalten:

• Hoax Info Service der TU Berlin - http://hoaxinfo.de/
• Uni Ulm, Kettenbriefe - http://www.mathematik.uni-ulm.de/admin/kettenbriefe/
• Hoaxbusters, Wir haben keine Angst vor Gespenstern - http://www.hoaxbusters.de
• Moderne Sage - http://de.wikipedia.org/wiki/Moderne_Sage
• Symantec Threat Explorer -http://www.symantec.com/de/de/business/security_response/threatexplorer/risks
• McAfee Security Virus Hoaxes - http://de.mcafee.com/virusInfo/default.asp?id=hoaxes

Autoren: Mindi McDowell, Allen Householder - Original in Englisch beim US-CERT
Copyright 2004 Carnegie Mellon University. ]]> http://heinigerengineering.ch/archives/150/warum-sind-kettenbriefe-ein-problem/feed/ 0 http://heinigerengineering.ch/archives/224/heimnetzwerk/ http://heinigerengineering.ch/archives/224/heimnetzwerk/#comments Sat, 23 Feb 2008 11:50:33 +0000 Daniel http://localhost/heinigerengineering/?p=224 In diesem Beitrag dokumentiere ich noch einmal ausführlich mein Heimnetzwerk (hier der erste Beitrag zu diesem Thema) und stelle ein paar Überlegungen darüber an, ob dieses so geeignet ist, oder ob es noch bessere Varianten gibt. Der interessierte Computerheimwerker sollte daher weiterlesen. Ich würde mich sehr freuen, Kommentare dazu zu lesen.

Grundkomponenten meines [...]]]>

In diesem Beitrag dokumentiere ich noch einmal ausführlich mein Heimnetzwerk (hier der erste Beitrag zu diesem Thema) und stelle ein paar Überlegungen darüber an, ob dieses so geeignet ist, oder ob es noch bessere Varianten gibt. Der interessierte Computerheimwerker sollte daher weiterlesen. Ich würde mich sehr freuen, Kommentare dazu zu lesen.

Grundkomponenten meines Heimnetzwerkes sind:

• Büro-LAN mit an Switch angeschlossenem PC, Server und Drucker. Zusätzliche Geräte anschliessbar nach Bedarf, etwa ein Surf-PC für Gäste oder ein Firmenlaptop. Der Server läuft unter Debian/Adamantix und bietet alle möglichen und nützlichen Linux-Dienste nach Bedarf, insbesondere DHCP, DNS, Firewall, NAT, Samba, SSH.
• WLAN mittels der beiden Basisstationen AVM Fritz! Box und D-Link-WLAN-Bridge. Sie bilden eine Brücke zum Anschluss des kabelgebundenen MP3-Spielers im Schlafzimmer. Das WLAN wird selbstverständlich WPA2-verschlüsselt betrieben. Zusätzliche Geräte wie etwa der Firmenlaptop können sich jederzeit von jedem Ort der Wohnung her einklinken.
• Die Fritz! Box betreibt zusätzlich einen VoIP Knoten mit zwei angeschlossenen Telefonapparaten. Dies erfordert freien Zugang zum Internet mittels SIP, sowie idealerweise bevorzugtes Routing der VoIP-Daten. Die Fritz! Box selber beherrscht entsprechendes Traffic Shaping.
• Anschluss ans Internet mittels Cablecom-Modem, also durchs TV-Kabelnetz.

Folgende Bedürfnisse möchte ich gerne durch gelungene Verbindung dieser Teile erfüllen:

1. Der MP3-Player benötigt Zugriff auf die auf dem Server gespeicherte Musik, sowie auf Radiostationen im Internet. Das erfordert freien Zugang aufs Internet inklusive funktionierendem DNS, sowie Kommunikation mit dem Server mittels SMB bzw. Samba.
2. Alle Teile sollen vom Büro-LAN (PC) aus wartbar sein. Die Konfigurationsseiten der Fritz-Box, beispielsweise, sind nur aus dem (aus der Sicht der Fritz-Box) internen LAN (LAN B) oder dem WLAN her erreichbar.
3. Der Server soll mittels SSH und/oder FTP aus dem Internet erreichbar sein für mich selber, aber auch für meine Freunde.
4. Traffic Shaping über alle relevanten Knoten soll gewährleisten, dass
   • VoIP-Telefonie ungestört arbeitet
   • Verkehr, der von aussen angestossen wird (von meinen Freunden, etwa SFTP) den eigenen Verkehr, den ich selber auslöse von innen (HTTP, FTP, sonstige Downloads), nicht ausbremst.
5. Die Sicherheit der restlichen Infrastruktur soll so hoch wie möglich sein.
   • Es wäre vorteilhaft, wenn das WLAN in einer besonderen Sicherheitszone wäre (weil der WLAN-Sicherheit generell nur bedingt zu trauen ist).
   • Eine DMZ wäre ebenfalls von Vorteil. Diese kann möglicherweise mit der WLAN-Zone zusammenfallen.

Es stellt sich nun die Frage, wie genau diese Teile miteinander verschaltet werden sollen. Die einfachste Lösung ist im folgenden Bild dargestellt. Und das ist auch die, die ich als erstes in Betrieb genommen habe:

Die Fritz-Box dient als Haupt-Firewall, VoIP und WLAN-Gateway, sowie Router ins Büro-LAN. Der Server dient nur als Server im internen LAN. Seine Firewall-Funktionalität wird nicht benutzt, da seine zweite Ethernet-Schnittstelle ungenutzt bleibt. Grundsätzlich wird an der Fritz-Box jegliche Kontaktaufnahme von aussen gesperrt, ausser SSH und FTP, die mittels Port Forwarding an den Server weitergeleitet werden. Dies ist auch gleichzeitig die einzige Schwachstelle an dem Ganzen: Falls ein Passwort kompromittiert wird und jemand auf den Server kommt, hat er von da aus Zugriff auf den ganzen Rest meines Netzwerks. Diese Problematik gilt allerdings bei genauerer Betrachtung für alle Szenarien, auch für die weiter unten folgenden.

Verglichen mit der obigen Wunschliste weist diese Konfiguration folgende Probleme auf:

• Traffic-Shaping: Nur VoIP-Verkehr wird bevorzugt behandelt. Die Fritz-Box kümmert sich darum (aber nur darum). FTP-Uploads können normales Browsen ausbremsen.
• Es gibt keine DMZ und keine WLAN-Zone.

Ich überlege jetzt, ob die Firewall-Funktionalität des Servers nicht doch auch noch sinnvoll in Betrieb genommen werden kann. Das könnte dann ungefähr so aussehen:

Das Büro-LAN ist hier also nicht mehr direkt mit der Fritz-Box verbunden, sondern der Server dient als Router dazwischen. Dadurch kann er als Firewall sowie als Traffic Shaper den Verkehr nach innen steuern. Somit wird das gesamte WLAN und das angeschlossene Schlafzimmer-LAN zur DMZ. Das ist sicherlich eine Erhöhung der Sicherheit des Büro-LANs. Allerdings erfüllt das die Forderungen nur teilweise:

• Traffic Shaping auf dem Server kann zwar die Bandbreite des von aussen ausgelösten Verkehrs beschränken. Allerdings ist es schwierig, dabei zwischen Verkehr aus dem Internet und Verkehr vom MP3-Player zu unterscheiden. Es besteht somit die Gefahr, dass der MP3-Player eingeschränkt wird. Die Zugriffsgeschwindigkeit des via WLAN angeschlossenen Firmenlaptops auf die Dateien auf dem Server würde dabei möglicherweise ebenfalls auf DSL-Geschwindigkeit reduziert.
• Es müssen zwei getrennte Firewalls unterhalten werden. Dabei darf der Server den SMB bzw. Samba-Verkehr von und zum MP3-Player nicht unterbinden.

Oder als dritte Variante:

Hier dient der Server als Haupt-Firewall, anstelle der Fritz-Box. Jene dient stattdessen nur noch als WLAN-AP sowie als VoIP-Knoten. Dies hat folgende Vor– und Nachteile:

1. + Es ist nur noch eine Firewall zu unterhalten und diese Firewall bietet viel feinere Einstellungsmöglichkeiten als das simple Port-Forwarding der Fritz-Box.
2. - Dafür ist auch das Risiko grösser, bei fehlerhaften Firewall-Einstellungen Tür und Tor zu öffnen.
3. + Das Traffic-Shaping lässt sich mit Hilfe der üblichen Linux-Hilfsmittel viel feiner und vielfältiger einstellen als das VoIP-Traffic-Shaping der Fritz-Box.
4. - Die Fritz-Box lässt sich nur noch aus dem WLAN bzw. aus dem Schlafzimmer konfigurieren, weil Zugriff auf die Konfigurationsseiten über das aus Sicht der Fritz-Box nun externe Büro-LAN gesperrt sind.
5. - WLAN und Schlafzimmer-LAN bilden jetzt ebenfalls ein eigenes Netzwerksegment. Allerdings ist der Zugriff vom Büro-LAN zum WLAN gesperrt und nicht umgekehrt. Der Sicherheitsaspekt läuft also genau in der anderen Richtung als eigentlich gewünscht.
6. - Damit ich telefonieren kann, müssen jetzt noch mehr Geräte eingeschaltet sein und funktionieren, als in den anderen Szenarien. Bisher musste Cablecom-Modem und Fritz-Box laufen, um die Telefonfunktion zu gewährleisten. Jetzt müssen zusätzlich der Server sowie der Switch aktiv sein.

Genau genommen war diese dritte Variante meine allererste. Wegen der obigen Punkte 4 und 6 ging ich allerdings rasch zur aktuellen und nun als Variante 1 bezeichneten Kombination über.

Nach all diesen Ãœberlegungen bin ich noch unschlüssig, ob und wie ich etwas ändern soll und belasse daher erst mal alles so, wie es grade ist, sondern bitte um Kommentare.

Meine Internet-Anbindung ist ja ADSL von Green. Bei der Einrichtung meines ADSL-Anschlusses vor Jahren kaufte ich mir einen ADSL-Router von ZyXEL. Letztes Jahr hat der seinen wohlverdienten Ruhestand auf dem Elektroschrottplatz angetreten. Er hatte zwar [...]]]>

Als mein alter ADSL-Router seinen Dienst aufgab musste ein neuer her. Lesen Sie hier, was ich vom neuen Gerät halte.

Meine Internet-Anbindung ist ja ADSL von Green. Bei der Einrichtung meines ADSL-Anschlusses vor Jahren kaufte ich mir einen ADSL-Router von ZyXEL. Letztes Jahr hat der seinen wohlverdienten Ruhestand auf dem Elektroschrottplatz angetreten. Er hatte zwar seinen Dienst nicht vollständig eingestellt, aber am Ende war er nach ein paar Betriebsstunden überhitzt und die Verbindung zum Internet brach ab. Dann musste ich ihn jeweils abstellen, eine Weile auskühlen lassen, und dann erst wieder in Betrieb nehmen. Da bei mir Zuhause der eine oder andere Rechner rund um die Uhr läuft, war das ziemlich lästig.

Also kaufte ich mir, auf Empfehlung eines guten Freundes, eine AVM Fritz! Box Fon WLAN 7050von Steg Computer. Eine tolle Maschine! ADSL, WLAN, Telefonie — alles in einem Gerät.

Die Inbetriebnahme war einigermassen kurz und schmerzlos. Ein Internet-Telefonie-Abonnement (VoIP) habe ich zwar nicht, aber das Gerät ist trotzdem nützlich als Haustelefonieanlage. Mein beiden Telefone (einmal ISDN und einmal Analog) sind jetzt beide an der Fritz! Box, diese ihrererseits am ISDN-NT2ab angeschlossen. Weiterhin dient es als erste Firewall in meine interne DMZ. Dahinter steht dann meine Linux-Firewall, die sicherstellt, dass weder vom Internet noch vom WLAN jemand zu meinen LAN-Geräten durchbrechen kann.

Naja, wie auch immer: sporadisch stelle ich fest, dass die Fritz! Box abstürzt. Das muss ich zumindest vermuten, weil die Internet-Verbindung weg ist und manchmal funktionieren sogar die Telefone nicht. Dann muss kurz der Stromstecker raus und wieder rein, dann geht es wieder. Ist aber bisher, in den drei Monaten, in denen das Gerät bisher in Betrieb ist, erst zwei / drei mal passiert. Ãœberhitzt scheint das Gerät nicht zu sein. Ich muss halt öfter mal auf die AVM-Homepage gehen und nach Firmware-Updates suchen.