Deadman veranschaulichte über eine Grafik:
svhost.exe /s
Zeitlich versetzter Nachtrag - Dein System wurde gemäss Deiner Grafik vermutlich über den "AGOBOT-LN WORM" kompromittiert. Unter Umständen wurde bei Dir auf der Socks-Ebene 8080 ein trojanisierender Port geöffnet.
Der Active Setup Key Deiner Registry veranschaulicht meiner Ansicht nach, dass Du Dich bereits u.U. im Vorfeld über das MS-Netmeeting oder über ein IE-Update infiziert haben müsstest.
Oliver
Road-Runner schlug vor:
Ich tippe mal auf SC-QuickStart als Übeltäter.[...]
Könnte man fast meinen - ist aber leider Unsinn. SC-QuickStart ist ein separater Hotkey-Starter, der über simple Tastatur-Shortcuts spezielle im Vorfeld definierte Programme und Anwendungen starten kann und somit ganz bestimmt keine Malware darstellt.
Deadman fragte:
[...]Sobald ich ihn beende (Task-Manager), öffnet er sich von alleine wieder (im Hintergrund). Ich habe mit "Process Explorer" unter dem Tab "TCP/IP" etwas aufgefangen, weiss jedoch nicht ob es wirklich was damit zu tun hat. Ich habe bereits Firefox deinstalliert (musste die "firefox.exe" von Hand beim Neustart löschen) und nochmals neu installiert. Ergebnis ist dasselbe[...]
Klingt ganz nach einem XPCom Event Receiver - Kill Out. Bei so einer Meldung spielen notwendige Dateien des Firefoxes, mit dem Betriebssystem eine gewisse Rolle. Downloade folgendes Programm und installiere es anschliessend als Erweiterung.
http://releases.mozilla.org/pub/mozilla.or…2/xpi/xpcom.xpi
Beantworte Dir darüberhinaus die folgenden Fragen:
a.Lässt sich der native FF-Prozess nur noch über Root-Rechte aus dem Task-Manager entfernen?
b. Läuft der FF-Prozess vielleicht als "Leiche" im System weiter und "frist" obendrein noch CPU-Leistung? Wird der nächste Start einer FF-Session bei Dir eventuell als zweite Instanz gestartet?
c.Hattest Du bereits aus dem abgesicherten Start heraus versucht, die profiles.ini oder die eventuell vorhandene parent.lock innerhalb des Profil-Ordners zu löschen?
d.Sind Java, Acrobat Reader aktuell oder wurden die vorherigen Versionen vielleicht deinstalliert?
Oliver
Lumberjack fragte
Ich benutze den neusten Firefox Browser mit AdBlock Plus, und dennoch kommt immer wieder Werbung in Form von Pop-Up Fenstern, es werden irgendwelche pseudo-antyviren software etc. vorgestellt wie z.B. die von DriveCleaner.de. Wie kann ich diese Werbung ausschalten? Muss ich mir einen Opera Browser holen?
Du benötigst weder den neuen Opera-Browser noch eine neue Ad-Block Filter-Liste, denn Dein System wurde bereits schon im Vorfeld mit Spyware kompromittiert. DriveCleaner ist Malware und arbeitet i.d.R. eine Stufe tiefer und somit auf "System" - und daher nicht mehr auf der (alternativen) "Browser-Ebene".
Was Du in Zukunft für Dich tun könntest wäre, Dein System neu aufzusetzen, abzusichern und anschliessend einmal die Zusammenhänge zwischen System und Anwender im Allgemeinen zu begreifen.
DriveCleaner.de ist bereits schon als eine Art "zertifizierte" Malware bekannt. Die Entfernung solcher Malware ist nicht neu und hat darüberhinaus inzwischen fast schon "historischen" Wert im Internet.
Du hättest daher bereits schon per Suchmaschine fündig werden können, ohne erst eine separate Anfrage stellen zu müssen...
Oliver
http://www.entfernen-spyware.de/drivecleaner-entfernen.html
http://64.233.183.104/search?q=cache…&gl=de&ie=UTF-8
Wolfram2605 stellte folgendes dar:
Hallo zusammen,
bin da heute drauf gestoßen, dass es eine neue Version von Ad-Aware gibt.http://www.lavasoftusa.com/products/ad_aware_free.php
Weiß jemand, ob nun der Support und somit auch das Definitionsdatei-Update eingestellt wird? War eigentlich immer sehr zufrieden mit der alten Version "Ad-Aware SE". Hat schon jemand die neue Version eingespielt? [korrigiert]
Ganz nebenbei, Ad-Aware 2007 Free läuft meiner Erfahrung nach bisher noch nicht unter Windows-Vista (bis August 2007) und kommt darüberhinaus auch immer noch nicht mit Rootkits, klar.
Unabhängig Deiner Anfrage, kannst Du meiner Ansicht nach keinem Malware-Scanner wirklich trauen, da Du immer nur durch die jeweilige Linse der individuellen Interpretation so eines Scanners schauen musst - und das unabhängig davon, was auf Deinem System wirklich vor sich geht.
a. Es kommt vor, dass ein Freeware-Scanner nicht immer alles auf Deinem Ziel-System findet und zwar unabhängig davon, was immer auch für Dich genügen sollte...
b. Es kann auch vorkommen, dass ein professioneller Pay-Scanner u.U. Dinge auf Deinem Ziel-System findet, die es i.d.T. nicht wirklich gibt - und das nicht ganz ohne Grund 
Es hängt somit einiges von Deinen persönlichen Systemkenntnissen und im Resultat auch von Deiner zum Einsatz kommenden Systemstabilität ab. Setzte Dich daher auf den Hosenboden und fange endlich an zu lernen...
P.S. Eigener Beitrag wurde korrigiert am 07.07.2007 / UTC-8 / 05:45 MEZ
Oliver
uffha fragte:
[...]Ist das network.IDN.blacklist_chars nun ein ganz normaler Eintrag und was wäre das denn übersetzt? Oder ist mir da irgend woher (aber wie) etwas untergejubelt [worden]?
Stichwort: idn urlbar spoofing
Im Klartext geht es meiner Ansicht nach eigentlich bloss darum, dass eine bereits bekannte und somit vertrauenswürdige Webseite nicht illegal über ähnlich analog aussehende Zeichen (Unicode > Punicode > DNS-Abfrage) verfälscht werden kann. Ein argloser Anwender, der sich zwar im guten Treu und Glauben auf der eigentlich korrekten Seite wähnt, könnte auf so einer äusserlich gefälschten Webseite u.U. vielleicht vertrauenswürdige Eingaben hinterlassen.
Als Beispiel sieht z. B. das kyrillische "n" unserem europäischen "n" zum Verwechseln ähnlich. Sowohl der DNS-Adress- als auch der Hexadezimale Spielraum lassen zu viele Variationsmöglichkeiten offen, die im Negativen ausgenutzt werden könnten. Es gäbe somit als Beispiel die Möglichkeit, "http://www.sparkasse.de" mit einem ausländischen Zeichensatz dahingehend zu verfälschen, dass die Original-URL (also "Sparkasse.de") im Zuge der verfälschten Zeichen, auf den ersten Blick, der eigentliche Domain zum Verwechseln ähnlich sieht. Das menschliche Auge könnte das nicht immer auf den ersten Blick unterscheiden - der Computer kann das schon...
Hier versucht die Firefox-Konfiguration meiner Ansicht nach dem Anwender durch eine Configuration Property und dem sogenannten Pacta Sunt Servanda (im Guten Treu und Glauben) eine Hilfestellung zu geben, in dem über eine Blacklist gewisse Zeichensätze erst gar nicht zugelassen werden, was meiner Ansicht nach wünschenswert ist.
uffha stellte darüberhinaus dar:
[...]Längere Zeit hat mir der FF Probleme beim Start verursacht. Er hat sich immer gleich eingewählt. Letztendlich waren das die mitgelieferten Lesezeichen, - Tagesschau - , RSS-Feed oder wie die heißen.
Gelöscht und schon macht er es so wie ich es will. Die Kontrolle behalte ich und kein anderes Programm.[...]
Wenn es denn, wie in Deinem Falle wirklich die Additional Feeds waren - nun gut. Achte dennoch auf Dein System und zwar als ausgereinigte Grundlage.
Oliver
Naturfreund fragte:
[...]Wie groß ist Eures Erachtens mein Sicherheitsrisiko bei dieser Art von HBCI?
Gering...
...denn somit würden Deine bereits über "Quicken" generierten und vertraulichen Bank-Daten, als lokal verschlüsselte und abgesicherte Informationen - auf Basis einer 128 Bit-Verschlüsselung über Port 443 des angewählten Bankservers - ihrer Bestimmung zugeführt werden und umgekehrt. Dieses lokale Verschlüsselungs-Verfahren gilt bisher "noch" als nicht kompromittierbar - unerheblich davon, was anderweitig dargestellt wird.
Mache Dir also keine unnötigen Gedanken, denn eine auf Deinem System eingesetzte Bank-Software (wie Quicken / MS.Money / etc.), gilt i.d.T. als ein Sicherheitsgewinn, da die vertraulichen Daten über solche Bank-Programme bereits im Vorfeld lokal auf Deinem System verschlüsselt werden, bevor sie jemals das Internet "zu Gesicht" bekommen. Ein Kartenleser wäre meiner Ansicht nach dagegen bloss ein bedingt notwendiges und obendrein noch eher unhandliches Übel.
Wohlgemerkt, gemeint ist dabei nur das von zu Hause aus initiierte Online-Banking.
Solltest Du jedoch einmal in die Verlegenheit kommen OB von unterwegs aus betreiben zu müssen, dann gelten meiner Ansicht nach eher andere Sicherheitszugangsvorkehrungen - wie z.B. virtuelle PW´s, PW-End-Suspects, Tokens, variable Time-Outs etc. Du müsstest Dich dann diesbezüglich mit Deiner Bank kurzschliessen - obwohl man dort u.U auch auf Sicherheitsmenschen treffen könnte, die noch "sehr lernfähig" sind.
Oliver
Börsenfeger sagte:
[...]Mit Inform Enter kannst du natürlich auch deine persönlichen Daten in Webformulare einfacher eingeben.
Nun, ganz offen gesprochen - ich kenne das "Ding" nicht - und es geht dabei ja auch nicht bloss um die Eingabe in Webformulare, wie Du bereits schon richtig erkannt hattest.
Oliver
Naturfreund fragte:
ich möchte meine Passworte gerne über Maus eingeben, um Keylogger draußen vor zu halten. Kennt jemand ein entsprechendes Programm?
Hard - oder Software-Keylogger? Ganz unter uns - Dir ist schon klar, dass u.U. auch ein bereits installierter Hardware-Keylogger Deine Bildschirmtastatur-Eingaben "abfangen" könnte? - Obwohl dieses Verfahren in Deutschland, (nicht jedoch in den USA) gerade firmenspezifisch sehr umstritten ist. Um jedoch absolut sicher zu gehen, müsstest Du meiner Ansicht nach, das verschlüsselte Zugangswort per separaten Flash-Speicher (USB) in das aktuelle System "einspeisen", wobei die Authorisierung des PW´s auf dem Flash angestossen und der anschliessende Transfer in des System verschlüsselt erfolgen sollte. Es gibt bereits kostenlose Kombi-Lösungen, (Hard-Software) die so etwas können, sofern Du Zugang zu einem externen Port auf dem zum Einsatz kommenden System haben solltest. Achte bei Zugängen in fremde WLAN´s, über Notebook, Blackberry, IPod etc. auf absolut saubere Systeme, mit integrierter Verschlüsselung. Dies nur am Rande.
Firefox ist in der Tat ein toller Browser - nur damit hat es sich leider auch schon. Wenn es um sicherheitskritische Zugangs-Eingaben geht, also z.B. um die Passwörter Deines Online-Bankings oder vielleicht sogar um vertrauensspezifische Zugangswörter eines Firmen-Netzwerkes etc. - kann ich Dir nur separate Programme und Lösungen empfehlen - jedoch ganz bestimmt nicht den PW-Manager des Firefoxes. Gleiches gilt, meiner Erfahrung nach auch für den "Wand" des Opera-Browsers.
Kein und ich wiederhole es hier gerne nocheinmal, absolut kein Browser-Passwort-Manager sollte jemals Deine wirklich sensiblen Passwörter "verwalten" dürfen - und wir reden dabei nicht von unwichtigen Zugangswörtern für Tausch- oder Chat-Kommunities für Kiddies.
bugcatcher
die Möglichkeiten der Windows-Bildschirm-Tastatur liegen in der Tat verdammt nahe, denn diesen Gedanken hatte ich auch zuerst - ich wage dennoch zu vermuten, dass dieses Feature von Microsoft ursprünglich eher unter Berücksichtigung behinderter Menschen entwickelt worden ist und somit nicht in erster Linie, bezüglich wirklich sicherheitsrelevanter Anwendungen erfolgen sollte. Wir reden hier ja nicht von einem Siemens-Bay-Log-In: "SIMATIC Logon V1.4" 
Oliver
CrazyCurle schrieb:
[...] Nur bei Firefox ist das irgendwie schief gegangen. Alles andere ist wieder an alter Stelle (Lesezeichen, Starseite). Jetzt habe ich die die Dateien signons2.txt und key3.db nochmal manuell in das richtige Verzeichnis kopiert, aber auch hier funktioniert es nicht. Mache ich hier irgendwo einen Gedankenfehler?
Du könntest Dein Mozilla-Firefox System auch über ein automatisiertes Script auf Kommandozeilenebene absichern lassen, sofern Du den Firefox im Vorfeld bereits innerhalb der vorgegebenen Standard-Ordner installiert hattest. Besagtes Script macht unter XP dabei eigentlich auch nichts anderes als das, was Du manuell initiieren könntest und sichert dabei Profil, Extensions und die Themes.
Bezüglich des unten stehenden Skriptes, könnten eventuell einige individuelle Anpassungen erforderlich werden, und zwar in Bezug auf die einzelnen Strings und Variablen - z.B: (set /p profile= | type profiles.ini | find "Path=" / in Zeile 40) um die Mozilla-Destination per Variable ausfindig zu machen, sofern diese von Dir nicht als Default-Destination ausgewählt wurde. Eine gewisse framedyn.dll sollte obendrein auf dem System präsent sein. Die Mozilla-Sicherungsdaten würden dann in einem separaten Ordner: "MozTemp" abgelegt werden, der von dem Script erst angelegt werden würde. Aus diesem heraus würden dann später die BackUp-Daten, im Zuge einer Wiederherstellung, auch wieder abgerufen werden.
Echo Off
CLS
REM ======================================================================
REM NAME: FFProfile-Backup-Script
REM Author: Established
REM DATE : June 27.2007
REM COMMENT: Backup or Restore a Standard Firefox Profile Folder
REM ======================================================================
CLS
color 4c
title Firefox Profile Backup und Restore
set err=
set mozprof=
set moztemp=
set param1=%1
set param2=%2:MAIN
call :SUB_CINFO
call :FF_CHECK
call :SUB_CINFO
call :SUB_CHECK
goto :ENDREM *************************************************************
:SUB_CINFO
REM *************************************************************
CLS
echo ***********************************************************
echo Firefox Profile Backup und Restore
echo ***********************************************************
echo.
echo.
goto :EOFREM *************************************************************
:FF_CHECK
REM *************************************************************
call :SUB_CINFO
ver | find /i "5.1" >nul: && (set xp=1)(set xp=0)
echo hier
if "%xp%" equ "1" (
tasklist | find /i "firefox.exe" >nul 2>&1 && (
echo Bitte beenden Sie Firefox, sonst kann nicht weiter kopiert werden!
echo Wenn Sie fertig sind, dann..
pause
goto :FF_CHECK
)
)
if "%xp%" equ "0" (
echo Bitte beenden Sie Firefox, sonst kann nicht weiter kopiert werden!
echo Wenn Sie fertig sind, dann..
pause
)
call :SUB_CINFO
goto :EOFREM *************************************************************
:SUB_CHECK
REM *************************************************************
@if not "%ECHO%"=="" echo %ECHO%
@if not "%OS%"=="Windows_NT" (set err=48 & goto :err)
if "%param1%" equ "" goto :syntax
echo Parameter1: %param1%
echo Parameter2: %param2%
set mozprof="%userprofile%\anwendungsdaten\mozilla\firefox"
set moztemp="%temp%\firefox"
if "%param2%" neq "" (
if not exist "%param2%" (
md "%param2%" & set moztemp=%param2%
)
)if "%param1%"=="" set err=51 & goto :error
if "%param1%"=="backup" goto :backup
if "%param1%"=="restore" goto :restore
set err=51 & goto :error
goto :EOFREM *************************************************************
:backup
REM *************************************************************
cls
call :SUB_CINFO
set /p ask=Sollen die aktuellen Einstellungen fuer Firefox gesichert werden [J/N]?
if /i "%ask%" equ "n" set err=52 & goto :error
if /i "%ask%" neq "j" set err=53 & goto :error
call :SUB_CINFO
if exist %moztemp% (
echo ein altes Sicherungsverzeichnis existiert im Pfad %moztemp%
echo Verzeichnis %moztemp% wird geloescht
rmdir /q /s %moztemp%
)
echo ein Sicherungsverzeichnis wird in %moztemp% angelegt
md %moztemp%
echo Profil wird gesichert
echo von %mozprof%
echo nach %moztemp%
xcopy %mozprof% %moztemp% /e /y >nul 2>&1
call :SUB_CINFO
echo das aktuelle Firefox-Profile wurde nach %moztemp% gesichert
goto :EOFREM *************************************************************
:restore
REM *************************************************************
call :SUB_CINFO
set /p ask=Wollen Sie die aktuellen Einstellungen fuer Firefox ueberschreiben [J/N]?
if /i "%ask%" equ "n" set err=52 & goto :error
if /i "%ask%" neq "j" set err=53 & goto :error
call :SUB_CINFO
echo Sicherungsverzeichnis %moztemp%
echo Profileordner %mozprof% wird geloescht
rmdir /q /s %mozprof%
echo Profileordner %mozprof% wird neu angelegt
md %mozprof%
echo Sicherung von %moztemp% wird in %mozprof% wiederhergestellt
xcopy %moztemp% %mozprof% /e /y >nul 2>&1
echo Firefox-Profile wurde in %mozprof% wiederhergestellt
goto :EOFREM *************************************************************
:error
REM *************************************************************
call :SUB_CINFO
if %err%==49 echo der angegebene Backup-Pfad existiert nicht!
if %err%==50 echo Firefox laeuft noch, bitte beenden Sie Firefox.
if %err%==51 (
echo es wurde ein falscher Parameter angegeben!
goto :syntax
)
if %err%==52 echo der Vorgang wurde vom Benutzer abgebrochen.
if %err%==53 echo Es sind nur j / J / n / N als Antwort erlaubt, Abbruch.
echo **********************************************************
goto :ENDREM *************************************************************
:syntax
REM *************************************************************
echo Syntax:
echo "FFProfileBackup.cmd backup [Backup-Pfad]" zum Sichern
echo "FFProfileBackup.cmd restore [Backup-Pfad]" zum Wiederherstellen
goto :EOFREM *************************************************************
:END
REM *************************************************************
echo.
pause
call :SUB_CINFO
echo ..Fertig!
echo.
Ich kann Dir dennoch nur wärmstens zu einem ausgereinigten und optimierten HD-Image raten.
Oliver
Beemy stellte dar:
[...]Bei mir war das Zusammenspiel zwischen Kaspersky AV 6.0 und Firefox 2.0.0.2 der Auslöser. Das hat zwar vorher alles reibungslos funktioniert, aber eventuell ist da ja ein automatisches Update der Schuldige.[...]
Erkläre uns Unwissenden doch einmal ganz genau warum? Sprichst Du dabei von Browserschwächen oder vielleicht eher von Systemschwächen? Kaspersky oder System? Firewall oder Netzwerk? Ich freue mich schon jetzt auf Deine Antwort, von der wir hier nur lernen dürfen...
Port 443 (TLS/SSL) ist, nach meinen bescheidenen Erfahrungen, eher eine Sicherheits-Standard Verbindung, und somit bekannt für vertrauliche SSL-Übertragungen. Bezüglich Deines Falles gälte daher eher eine Gegenüberstellung, und zwar bezüglich einer Remote Server Authentication (in diesem Falle die Update-Übertragungen von Kaspersky) und Deinem eingesetzten System als Basis.
Beemy stellte folgendes dar:
[...]Dadurch, dass ich bei Kaspersky die Datenstromeinstellung geändert hatte, wurde ich bei erneutem Aufruf der Seiten Volksbank und ebay gefragt, wie mit der Überprüfung des Datenstroms verfahren werden soll. Hier habe ich "überspringen" gewählt, das soll ja laut Hilfe bei vertrauenswürdigen Verbindungen auch kein Problem sein.[...]
... was meiner Ansicht nach mehr als "naiv" von Dir war, ohne es dabei böse gegen Dich zu meinen. Die (vertrauliche) Zertifikats-Verifizierung liegt zwar zuguterletzt immer in Deiner Hand und niemals in der von Kaspersky oder Firefox. Du hättest in so einem Falle dennoch über Kaspersky einen vertraulichen Lizenzschlüssel, bezüglich Deines Online-Bank-Zuganges, erstellen lassen können. Kaspersky verwaltet solche DNS-Daten, nach meinen bisherigen Erfahrungen, in einer eigenen Datenbank, die sich obendrein noch auf auf einen transportablen Solid-State-Speicher (USB) portieren lässt.
Beemy erkannte folgendes:
Es kam KEINE Kaspersky - Fehlermeldung.
Was für ein Wunder. Verlasse Dich besser auf Deinen Kopf. Gemäss Deiner hier geäusserten Darstellungen, kann ich Dir nur dringendst von jeglicher Online-Nutzung, bezüglich irgendwelcher virtuellen "Zahlungs-Verkehrsströme", gegenüber öffentlichen Finanzdienstleistern, abraten.
Oliver
http://www.grc.com/port_443.htm
https://isc.sans.org/diary.html?date=2007-03-02
Thx, für Deine Betrachtungsweise.
Oliver
madblueimp fragte nach:
Damit sind aber doch Datenfragmente aus der vorherigen Benutzung der Festplatte gemeint, oder nicht? Also nicht Daten aus der aktuellen Benutzung?
Richtig!!! Ich merke schon, hier weiss jemand wovon er spricht
Solange der Weg der (sensiblen) Daten, über den Hauptspeicher eines Systems nicht zu einer indirekten, willkürlichen und dauerhaften Abspeicherung in den unalloziierten Bereichen des Datenträgers führt, braucht man sich, meiner Ansicht nach, auch keine allzugrossen Sorgen zu machen.
UNIX/Linux-Systeme verbrauchen meiner Erfahrung nach, i.d.R. ohnehin weniger RAM als vergleichbare Windows-Systeme. UNIX/Linux-Systeme arbeiten somit eher Festplatten-Orientiert, und können darüberhinaus "systemtechnisch" auch keinen RAM-Slack auf so einer Festplatte abbilden - was letztendlich der Sicherheit unverschlüsselter Passwörter, welche sich zum Zeitpunkt eine Authorisierung gerade im RAM befanden, eigentlich mehr als zugute kommen müsste.
Auslesen liessen sich solche unverschlüsselten PW´s einer aktiven Sitzung aus dem RAM heraus dennoch - und zwar über "dd if=/dev/mem | hexdump -C | grep `x`" unter Linux / bzw. durch "WinHex" unter Windows. Gilt jedoch alles nur bis zum nächsten Reboot.
OT und ganz nebenbei: Glaubst Du vielleicht auch daran, dass der Binär-Code, als eine Art universale Sprache, auch von anderen Welten verstanden werden könnte?
Oliver
leckertasskaff fragte folgendes:
[...]Und weil ich nicht immer dabei bin, wenn die Kleine im Internet ist, möchte ich diese Webseite (http://happytreefriends.atomfilms.com/) sperren. Geht das mit Firefox? Wäre über ein paar Tips dankbar. Gruß Thomas
Nur um auf den Ursprung Deiner Anfrage zurückzukommen hast Du, meiner Ansicht nach, die Grundprinzipien zwischen dem eingesetzten Browser (in diesem Falle dem Firefox) und dem zugrundeliegenden Betriebssystem leider noch nicht verstanden - ohne es dabei böse gegen Dich zu meinen. "Juristisch" gesprochen, "brechen" Betriebssystemfunktionen immer noch Browserfunktionen - was für ein Wunder...
a. Firefox ist bloss ein Browser-Systemaufsatz - er kann somit nur solche Daten verwerten, die ihm bereits durch (u.U. bereits infizierte) Betriebssystemdaten übermittelt wurden. Dein Anliegen, in Bezug auf eine Kindersicherung, müsste daher eine Stufe tiefer, also bereits auf System-Ebene greifen - und zwar über eine separate Proxy-Filter-Lösung ( Squid / Proxomitron, etc.). Firefox alleine stellt somit noch keine Lösung Deines Problems dar.
b. Als Basis wäre, meinen Erfahrungen nach, ein Profilschreibschutz des Firefox-Ordners über das System einzurichten, wobei dagegen der Kinderschutz-Proxy (mit samt seiner Update-Listen) als (transparenter) Server fungieren sollte. Dabei müsste jedoch sichergestellt werden, dass sich diese Proxy-Einstellungen des Browsers nicht aushebeln lassen können. Alle eingesetzten Nutzer (also auch Deine Kinder ) sollten daher nur mit eingeschränkten Rechten des Systems und somit auch nur mit eingeschränkten Rechten innerhalb des eingesetzten Browsers, operieren dürfen.
c. So eine Kinderschutz-Proxy-Lösung kann als eine lokale oder externe Proxy-Lösung eingerichtet werden.
d. Einzelne Seiten zu sperren, liesse sich auch über Einträge in der Windows-Hosts-Datei realisieren (%SystemRoot%\system32\drivers\etc)
Oliver
Toot fragte:
[...]ich benutze neben Antivir BitDefender 8, aber die Lizenz von dem Programm läuft immer ab, obwohl es doch Freeware ist.
Wisst ihr woran das liegt und/oder könnt ihr mir Alternativen empfehlen?
Ist der Scanner bereits schon nicht mehr Nutzbar oder bekommst Du bloss die Meldung, dass die Lizenz in absehbarer Zeit ablauft? Das geht aus Deiner Anfrage nicht hervor.
a. Hattest Du im Vorfeld vielleicht eine Testversion der kommerziellen Vollversion installiert und anschliessend wieder heruntergenommen, so dass sich noch Rückstände dieser Version in der Windows-Registrierdatenbank befinden?
b. Hattest Du vielleicht irrtümlicherweise die Bitdefender 8 bis 24 Uhr Gratis -Version heruntergeladen? (Diese wäre nur für ein Jahr gültig, incl. der automatischen Updates).
c. Das angekündigte Ende Deiner Nutzer-Lizenz kann sich, meiner Ansicht nach, auch bloss "verdeckt" auf die automatischen Signatur-Updates beziehen - jedoch nicht unbedingt auf den Scanner selbst. Die Unternehmen versuchen auf diese Art gerne den Anwender "zu verunsichern", um ihn somit zum Kauf der Vollversion "anzustupsen"
Ich würde einfach abwarten...
Oliver
madblueimp fragte:
Hmmmm... du hast nicht zufällig etwas mit der Firma Siber Systems zu tun?
Freelancer, im Consulting-Bereich eines Sicherheits-Netzwerkaustatters.
madblueimp behauptete:
ext3 z.B. schreibt keine RAM-Inhalte in die Slack-Bereiche, sondern füllt die Cluster mit NULL-Bytes auf.
Richtig !!! ext2/3, als I-Node-basierendes Dateisystem unter Linux / VFS, schreibt i.d.T. keine Arbeitsspeicherinhalte in die File-Slack-Bereiche der Datenträger zurück und stellt somit definitiv ein Sicherheits-Vorteil für Linux dar.
madblueeimp stellte dar:
Das von mir eingesetzte System ist jedoch für meine Sicherheits-Bedürfnisse ausreichend:
- /home Partition mit verschlüsseltem Dateisystem (darauf aufsetzend ext3)
- /tmp als tmpfs (Dateisystem im RAM)
- kein Swapspace (ausreichend RAM vorhanden)
- kein Hibernate
...ist meiner Ansicht nach, `ne gute Voraussetzung.
madblueimp schrieb:
[...]In dem Fall hilft dann nur die Verschlüsselung des gesamten Betriebssystems.[...]
Darauf wollte ich eigentlich hinaus. Entspricht die Grösse des OS in Deinem Falle auch der Grösse Deiner gesamten Festplatte - oder anders herum ausgedrückt - verschlüsselst Du die gesamte HD als eine einzige (virtuell gemountete) Partition, so dürften meiner Ansicht nach, Daten-Fragmente nicht wiederherstellbar sein. Lässt Du jedoch eine oder mehrere Partitionen Deiner Festplatte unverschlüsselt, so lassen sich (auch unter ext2/3), sowohl innerhalb der Partition Gaps, als auch auf den unverschlüsselten Partitionen selber, immer noch rückwirkend Daten-Fragmente aus den unalloziierten Bereichen der Festplatte wiederherstellen.
Oliver
madblueimp stellte folgendes dar:
[...]D.h. falls ihr den Verdacht habt einen Keylogger, Virus, Trojaner oder sonst welche Malware wurde oder wird auf eurem Rechner ausgeführt, dann könnt ihr nur durch eine komplette Neuinstallation sicher gehen, das euer System wieder sauber ist. Und um ganz sicher zu gehen, solltet ihr auch von euren gesammten Daten ein Backup wiederherstellen - denn auch das Öffnen von z.B. manipulierten Bildern, kann im Falle von verwundbaren Applikationen ausreichen um euer System zu infizieren.
Du hast Recht bezüglich lokaler Systeme, die Du selber beeinflussen kannst. Nur was machst Du, wenn Du mit Deinen Passwörtern und den dazugehörigen Log-In-Daten professionell auf Reisen gehen musst? Du wärst in so einem Fall doch dem Zielkonflikt ausgesetzt, Deine auf dem USB-Stick abgespeicherten Zugangsdaten auch auf einem fremden und somit Dir unbekannten System einsetzen zu müssen und zwar ohne damit selber rückverfolgbare Daten-Spuren zu hinterlassen - und das alles noch unter der Voraussetzung, dass der Transfer der sensiblen Daten nicht u. U. über eine "Man-in-the-Middle Attack" MITM, innerhalb des entsprechend eingesetzten Netzwerkes abgefangen werden kann. Im Grunde genommen das, was Du bereits angedeutet hattest.
Solltest Du vielleicht einmal wie ich, mit sensiblen Firmen-Zugangs-Daten professionell auf Reisen geschickt worden sein und dabei im Vorfeld eine vertraglich geregelte "Mitschuldnerhaftung in Bezug auf Datenschutzverletzung" (Eigenverantwortlichkeit in Bezug auf Datenübertragung und Datenübermittlung) eingegangen sein, dann weisst Du wovon ich hier spreche. Datenschutz und die dazugehörigen Programme bekommen dann für Dich eine ganz andere Bedeutung und haben überhaupt nichts mehr mit dem zu tun, was wir zu Hause machen.
[...]In dem Fall hilft dann nur die Verschlüsselung des gesamten Betriebssystems.
Dir ist schon klar, dass sich somit immer noch Daten im Klartext, auch innerhalb einer verschlüsselten OS-Partition und zwar über die nichtverschlüsselten File-Slack-Bereiche der HD wiederherstellen lassen?
[...]Und dann könnte immer noch jemand einen Hardware-Keylogger anbringen.
Falls Du den "PS/2-Connector" meintest (zwischengeschaltet zwischen Keyboard und CPU, im Kabel integriert), dann wage ich fast zu behaupten, dass diese Form des Loggings fast schon "antiquare" Züge trägt und, nach meiner Erfahrung, heutzutage kaum noch praktiziert wird.
O.T. Haben wir es hier vielleicht mit einem Extension-Entwickler zu tun? https://blueimp.net? Ist das "Ding" etwa auf Deinem Mist gewachsen?
Oliver
soelli schrieb:
[...]konkret geht es um ca. 20 Rechner in einer 2003er Domäne, die angemeldeten User haben auf den Rechnern nur Benutzerrechte.
Du meinst den Windows Server 2003 als Domain Controller (DC)?
Nun - wie sind denn da in Eurem Netzwerk genau die Instanzen geregelt? Root als MS und verteilte Branches (Clients) als Open-Source? Wie wollt ihr denn da ein kollektives und integriertes Netzwerk-Update hinbekommen? Da steckt doch ´ne ganz andere System-Struktur drunter.
Nach meinen bisherigen Erfahrungen, lassen sich die propetiären MS-Netzwerk-Applikationen nicht so einfach clientseitig mit lokalen Browserprogrammen, wie Firefox oder Opera innerhalb eines Netzwerkes synchronisieren, auch wenn uns die Werbung, bezüglich der TCP/IP Network Stacks / Cluster Computing oder Socket-Based API´s, etwas anderes suggerieren möchte. MS war meiner Ansicht nach schon seit jeher dahingehend bestrebt, eine Art "Alleinstellungsmerkmal" gegenüber anderen Programmen zu erwirken. Out of Function-Policy.
Ich würde mich dennoch freuen, wenn Du Dich hier noch einmal mit Ergebnissen zurückmelden könntest, denn eine heterogene Netzwerkstruktur, in Kombi mit Open-Source ist meiner Ansicht nach, verdammt interessant.
Lasse mal hören, wie Ihr klargekommen seit...
Oliver
soelli schrieb:
[...]wie sieht es mit dem Installieren der Sicherheitsupdates unter Benutzerrechten aus?
Lasse grundsätzlich die Finger von dieser automatischen FF-Update-Geschichte. Kannst Du wirklich mit 99% er Gewissheit sagen, wohin Dich genau der Firefox-Update-Automatismus führt, und was dort genau heruntergeladen wird? Du kannst zwar lokal auf Deinem System alle Sicherheitsvorkehrungen treffen - sobald jedoch der "Dienstweg" zum FF-Update-Server über die Netzwerke kompromittiert worden sein sollte, wirst Du Dich mit der Situation konfrontiert sehen, das komplette FF-Paket jeweils doch besser von der Original-Seite herunterzuladen- wobei Du dabei gut beraten wärest wirklich sicher zu sein, Dich dabei auch auf der originalen Mozilla-Download-Seite zu befinden.
a. Verleihe Dir kurzfristig Admin - bzw. uneingeschränkte System-Rechte für das Firefox-Update - oder downloade jeweils gleich das komplette Firefox-Packet. Wenn Du wirklich sicher gehen willst, solllte der komplette Download (also die Install-Daten) des Firefoxes auf einem separaten System "landen" (z.B. Flash-Speicher oder USB), von welchem Du dann anschliessend die lokale Installation des Firefoxes - Adminrechte vorausgesetzt, auch ohne aktive Internet-Verbindung anstossen könntest.
[...]wir haben vorwiegend WinXP und ein paar 2000er clients.
b. Also ein kollektives Update? Auf wie viele Systeme verteilt genau? Innerhalb eines Netzwerkes? Ich kenne hier bisher bloss den „Windows Server Update Services (WSUS)“, der jedoch Adminrechte erfordert und diese Updates automatisch auch auf die vordefinierten Clients verteilt (Compute Cluster Pack). Ist aber ´ne MS-Story und vermutlich keine Lösung Deines Problems.
c. Ansonsten gilt es: Dem FF Ordner die entsprechenden Adminrechte zuzuweisen.
Oliver
BeeHaa schrieb:
[...] Keylogger machen mir ehrlich gesagt mehr Angst.
... was nicht ganz unbegründet ist und zwar bezüglich der Frage, wo genau solche PW´s, über welche Wege und auf welchen eingesetzten Systemen (vielleicht sogar im Klartext), zwischengespeichert werden. Dies ist meiner Ansicht nach mehr als verdammt wichtig!!!
Eine mit AES verschlüsselte Passwort Datenbank, auf einem separaten U3 USB-Stick, in Kombination mit einer mobilen RoboForm oder KeePass-Version hinterlässt, meinen bisherigen Erfahrungen nach, keine rückverfolgbaren Daten-Spuren auf den eingesetzten Systemen - wobei ich RoboForm (10 freie PW´s) eher favorisiere würde, da durch RoboForm auch der Import der Passwörter aus den Browsern heraus automatisch erfolgt und nicht erst manuell über die Systemebene angestossen werden muss. Darüberhinaus können über das virtuelle Bildschirm-Keyboard bereits lokal vorhandene Keylogger umgangen werden.
Oliver
http://www.roboform.net/dist/AiRoboForm-Portable.exe
http://www.roboform.com/anti-keylogger.html
http://keepass.info/download/v1/KeePass-1.06.u3p
