Datenspione stoppen!
Unser Online-Tipp für noch mehr Wissen …
... aktuelles Fachwissen rund um die Uhr – zum Probelesen, Downloaden oder auch auf Papier.
www.InformIT.de
'DWHQVSLRQH VWRSSHQ 12 maßgeschneiderte Workshops HAGEN GRAF
eBook Die nicht autorisierte Weitergabe dieses eBooks ist eine Verletzung des Urheberrechts!
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.
Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Marken oder sollten als solche betrachtet werden. Alle Angaben zu diesem Buch dienen aussschließlich der Information über technische Fragen und Softwarefragen. Sie dienen nicht dem Zweck, den Absatz von Waren und Dienstleistungen zu fördern. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt.
10 9 8 7 6 5 4 3 2 1
06 05 04 03
ISBN 3-8272-6493-6 © 2003 by Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Coverkonzept: independent Medien-Design, München Coverlayout: Sabine Krohberger Lektorat: Boris Karnikowski,
[email protected] Herstellung: Philipp Burkart,
[email protected] Fachlektorat: Redaktionsbüro SRG, Robert und Gabriele Schoblick Sprachliches Korrektorat: Dr. Florence Maurice, www.maurice-web.de Satz: mediaService, Siegen Druck und Verarbeitung: Bosch Druck, Ergolding Printed in Germany
Inhaltsverzeichnis
Inhaltsverzeichnis Das finden Sie auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Der Autor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Workshop 1: Windows XP vorbereiten
19
1.1 1.2 1.3 1.4 1.5 1.6 1.7
20 24 26 31 33 34 39
Windows Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wiederherstellungsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Phone home und XP-AntiSpy . . . . . . . . . . . . . . . . . . . . . . . . . . . Antiviren-Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Browser und E-Mail-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Office-Programm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Workshop 2: Vertrauliche Daten verschlüsselt senden
41
2.1 2.2 2.3 2.4 2.5
42 42 47 48
2.6 2.7 2.8 2.9
Die Erfindung des Briefumschlags . . . . . . . . . . . . . . . . . . . . . . . Ver- und Entschlüsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . S/MIME . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PGP, GnuPP und OpenPGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unterschiede zwischen S/MIME und OpenPGP, PGP und GnuPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . S/MIME in Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pretty Good Privacy (PGP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gnu Privacy Project (GnuPP) . . . . . . . . . . . . . . . . . . . . . . . . . . . Steganos Security Suite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Workshop 3: Sensible Daten schützen und verwalten 3.1 3.2 3.3
48 52 59 72 76
85
Ist eine gelöschte Datei gelöscht? . . . . . . . . . . . . . . . . . . . . . . . . . 85 Windows XP und die Dateiverschlüsselung . . . . . . . . . . . . . . . . 87 PGPdisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
W E R K S TAT T
5
Inhaltsverzeichnis
3.4 3.5
Steganos Safe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Steganos Portable Safe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Workshop 4: Den Zugang zum PC vor gezielten Angriffen schützen 4.1 4.2 4.3 4.4 4.5 4.6
97
Das unknackbare Kennwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Zugangsschutz für den einzelnen PC . . . . . . . . . . . . . . . . . . . . . 98 Diebstahlschutz für das Notebook . . . . . . . . . . . . . . . . . . . . . . . 99 Festplattenfreigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Login-Daten so aufbewahren, dass sie nicht gefunden werden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Hintergrund: Was taugen Biometrieverfahren? . . . . . . . . . . . . 103
Workshop 5: Vorsicht bei Office-Dokumenten 5.1 5.2
6
105
Microsoft Office . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Sun StarOffice – OpenOffice.org. . . . . . . . . . . . . . . . . . . . . . . . 113
Workshop 6: Schutz vor Viren und Würmern
117
6.1 6.2 6.3 6.4 6.5 6.6
119 121 132 132 134 135
Verschiedene Arten von Viren. . . . . . . . . . . . . . . . . . . . . . . . . . Was tun gegen Viren und Würmer? . . . . . . . . . . . . . . . . . . . . . Windows Based Scripting Host . . . . . . . . . . . . . . . . . . . . . . . . . ActiveX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sicherheitslöcher in Standardsoftware . . . . . . . . . . . . . . . . . . . Den eigenen Schutz testen lassen. . . . . . . . . . . . . . . . . . . . . . . .
Workshop 7: Scripte, Trojaner und Dialer
137
7.1 7.2 7.3 7.4 7.5
137 140 141 146 149
Gefährliche Scripte und PopUps . . . . . . . . . . . . . . . . . . . . . . . . Trojanische Pferde mit Cracker-Fernsteuerung. . . . . . . . . . . . Dialer und 0190-Fallen erkennen und ihnen ausweichen. . . . Keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spyware, Adware und die Gegenmaßnahmen . . . . . . . . . . . . .
W E R K S TAT T
Inhaltsverzeichnis
Workshop 8: Firewalls 8.1 8.2 8.3
Windows XP-Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 ZoneAlarm Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Firewalls prüfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Workshop 9: Sicherer Zahlungsverkehr und sicheres Online-Banking 9.1 9.2 9.3 9.4
155
Das Sicherheitskonzept im Homebanking . . . . . . . . . . . . . . . . Online-Banking mit StarMoney . . . . . . . . . . . . . . . . . . . . . . . . Zahlungsmethoden, die für den Kunden am wenigsten riskant sind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bargeldlos bezahlen und doch anonym bleiben. . . . . . . . . . . .
Workshop 10: Anonym im Internet
167 169 173 176 176
179
10.1 Was passiert eigentlich hinter den Kulissen, wenn Sie im Internet surfen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2 Anonym surfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3 Download JAP-Installationsdateien und Überprüfung auf Echtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.4 Installation und Konfiguration eines JAP-Clients . . . . . . . . . . 10.5 Anonym mailen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.6 Spuren des eigenen Surfens verwischen . . . . . . . . . . . . . . . . . . 10.7 Spuren jeglicher PC-Benutzung verwischen . . . . . . . . . . . . . . 10.8 Spuren im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.9 Schutz vor Spam und Werbung. . . . . . . . . . . . . . . . . . . . . . . . .
186 189 194 202 204 206 209
Workshop 11: Sicher in Tauschbörsen
217
11.1 11.2 11.3 11.4 11.5 11.6 11.7
217 218 219 223 223 229 229
Phänomen Tauschbörse – vom Geben und Nehmen . . . . . . . Die Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protokolle und Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unverschlüsselte Tauschbörsen. . . . . . . . . . . . . . . . . . . . . . . . . Verschlüsselte Tauschbörsen . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewalls gezielt für P2P öffnen . . . . . . . . . . . . . . . . . . . . . . . . . Sandkastensysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
W E R K S TAT T
179 184
7
Inhaltsverzeichnis
Workshop 12: Sicher drahtlos kommunizieren
233
12.1 Was ist Bluetooth?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 Bluetooth und Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.3 Bluetooth sicher konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . 12.4 Was ist ein WLAN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.5 WLAN-Architekturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.6 Weitere Konfigurationseinstellungen . . . . . . . . . . . . . . . . . . . . 12.7 WLAN und Windows XP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.8 WLANs sicher konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.9 Wie bekomme ich ein WLAN denn nun wirklich sicher?. . . . 12.10 Beispiel für ein WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234 235 235 237 238 238 240 241 242 244
Anhang A: Installation der Programme von der CD
247
A.1 A.2 A.3 A.4 A.5 A.6
247 250 251 255 258 267
Installation Antiviren-Programm AntiVir . . . . . . . . . . . . . . . . Tool zur Konfiguration des Internet Explorers . . . . . . . . . . . . Installation und Konfiguration des Mozilla-Browsers . . . . . . Installation OpenOffice.org . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation von Ghostscript als PDF-Druckertreiber . . . . . . . Installation StarMoney 4.0 Sparkassen-Edition . . . . . . . . . . . .
Anhang B: Glossar
273
Danksagung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
8
W E R K S TAT T
Die CD
Das finden Sie auf der CD Die Installation und Konfiguration einiger Softwarepakete habe ich aus Platzgründen nicht in den jeweiligen Workshops beschrieben, sondern in den Anhang ausgelagert. Auf der CD zum Buch sind die in den Workshops verwendeten Programme enthalten. Für jeden Workshop existiert ein Ordner. Workshop
Name des Programms Dateiname
Funktion
1
XP-AntiSpy \xp-antispy\setup.exe
Verhinderung der Phone-HomeFunktionen durch Änderungen in der Registry
1
Internet Users’ Glossary Rfc\rfc1983.txt.pdf
Glossar der wichtigsten Begriffe im Internet
2
GNUPP \gnupp\gnupp-1.1-de-installer.exe
Verschlüsselungssoftware
2
GNUPP \gnupp\einsteiger.pdf \gnupp\durchblicker1.1.pdf
Handbücher
2
Steganos Security Suite 5.04 \Steganos\SSS5\
Verschlüsselungs-Sicherheitspaket Demoversion 5.04 für 7 Tage
2
Steganos Security Suite 4.00 \Steganos\SSS4\
Verschlüsselungs-Sicherheitspaket Vollversion 4.00
5
Hexeditor 2000 \hexeditor\hexedit.zip
Editor zur Anzeige von Hexadezimaldaten
7
Ad-Aware \adaware\aaw6.exe
Programm zum Aufspüren von AdWare
7
Dialer Control \dialercontrol\dcsetup \dialercontrol\ chilfe20021106.pdf
Programm zur Überwachung von Dialerprogrammen und eine Bedienungsanleitung
7
Keylogger \keylogger\keylog5.exe
Programm zum Sammeln von Tastaturanschlägen und Bildschirmfotos zur Überwachung
7
SpyBot \spybot\spybotsd12.exe
Programm zum Auffinden von Adund SpyWare
8
ShieldsUp \shieldsup\IP_Agent.exe
Testsoftware
W E R K S TAT T
9
Die CD
10
Workshop
Name des Programms Dateiname
Funktion
8
ZoneAlarm \zonealarm\zaSetup_37_142.exe
Firewall
9
HBCI \hbci\HBCI_Kompendium_V2.2.pdf
Das HBCI-Kompendium
10
AsteriskKey \asteriskkey\ariskkey.exe
Programm zum Sichtbarmachen von durch Sternchen geschützten Passwörtern
10
JAP \JAP\
Programm zum anonymen Surfen im Internet. Vier Programmversionen wegen unterschiedlicher JAVAUmgebung (wird im Workshop erläutert) und der PGP-Schlüssel des JAP-Teams
10
Quicksilver \remailer\QS.9b20.11.exe \remailer\QS.9b20.11.exe.sig
Remailer zum anonymen Versenden von E-Mails
10
Webwasher \webwasher... ...\wash33.exe ...\webwasher-3_0-linuxi386_rpm_.rpm ...\webwasher-3_0-linuxi386_tgz_.gz ...\ww211rc-ger_sit.hqx
Programm zur Unterdrückung von Bannern und PopUps (für Windows, Linux und MacOS)
11
Blubster \blubster2\setup2b2.exe
Filesharing-Client
11
Filetopia \filetopia\ftop3.exe
Verschlüsselter Filesharing-Client
11
Freenet \freent\freenet-webinstall.exe
Verschlüsselte Internetauftritte
11
Tiny Personal Firewall \sandbox\tpf45.exe
Firewall mit Sandboxfunktionen
Anhang
Acrobat Reader \AcrobatReader5.0\ar500deu.exe
PDF-Viewer
Anhang
Antivir \antivir\avwinsfx.exe \antivir\avpersonal.pdf
Antiviren-Programm mit Bedienungsanleitung
W E R K S TAT T
Die CD
Workshop
Name des Programms Dateiname
Funktion
Anhang
IE-Controller \iecontroller\iecontroller.zip \iecontroller\iec_filter.zip
Tool, um den Internet-Explorer sicherer zu betreiben, sowie eine Filterliste.
Anhang
Mozilla 1.3 \mozilla1.3\mozilla-win32-1.3deAT-talkback.zip
Open Source Browser in Deutsch
Anhang
OpenOffice.org \openoffice1.0.3.1\ OOo_1.0.3.1_Win32Intel_install_de. zip
Office Suite mit Textverarbeitung, Tabellenkalkulation und einem Präsentationsprogramm
Anhang
PDF-Drucker \pdfdrucker\gs704w32.exe \pdfdrucker\GS-PPDs.zip \pdfdrucker\redmon17de.zip \pdfdrucker\winstger.exe
Verschiedene Dateien zur Realisierung eines PDF-Druckertreibers.
Anhang
StarMoney 4.0 S-Edition \StarMoney4.0\
60 Tage Version der Software StarMoney 4.0 Sparkassen-Edition
Dateien und Programme auf der Buch-CD
W E R K S TAT T
11
Der Autor
Der Autor In der EDV ist Hagen Graf ein echter Allrounder. Der ehemalige Taxifahrer, Rettungssanitäter, Postbote und Verkaufsleiter arbeitet seit vielen Jahren als Programmierer und EDV-Trainer und wollte immer schon Bücher schreiben – am liebsten solche, mit denen er „Neulinge“ und „alte Hasen“ auf den riesengroßen Spielplatz EDV zum Spielen und Verweilen einladen kann. Nach dem erfolgreichen „Jetzt lerne ich Apache 2“ ist „Datenspione stoppen!“ sein zweites Buch. Sein Credo: Komplexe Sachverhalte einfach und für jeden verständlich erklären. Didaktische Erfahrungen sammelte er als Online-Dozent, praktische Erfahrungen bei verschiedenen On- und OfflineProjekten.
12
W E R K S TAT T
Einleitung „Datenspione stoppen!“ heißt dieses Buch. Es wendet sich an PC-Benutzer, die mit dem Betriebssystem Windows XP Home arbeiten oder beabsichtigen, das zu tun. Grundsätzlich gelten die beschriebenen Dinge aber auch für alle anderen WindowsSysteme. Unter Spionage versteht man meist die Tätigkeit von mehr oder weniger schillernden Geheimagenten, die in abgelegenen Hochtälern, einsamen Wüsten oder quirligen Großstädten irgendwelche Verbindungen zu Landesfürsten und Banditen knüpfen um ... ja, da geht es schon los. Warum tun die das eigentlich? Sie benötigen Daten. Daten an sich haben jedoch noch keinen Wert. Die Daten, die eine Person liefern kann, sind oftmals auf den ersten Blick unwichtig und überflüssig. Wenn diese Daten aber mit denen von möglichst vielen anderen Personen verglichen und interpretiert werden, so kann man daraus natürlich Schlüsse ziehen. Diese Schlüsse nennt man Informationen und die haben einen Wert. Je nach Interessenlage sogar einen sehr großen Wert. Da wir ja bekanntlich auf dem Wege in eine Informationsgesellschaft sind, beruht der Kern dieser Gesellschaft auf Daten. Warum sind Informationen so wichtig? Auf der Basis von Informationen werden von jedem Menschen Entscheidungen getroffen. Wenn man die Möglichkeit hat, Informationen zu beeinflussen, so kann man damit die Entscheidungen der Menschen beeinflussen. Man kann Wahlen, Kriege, Hauptversammlungen von Aktiengesellschaften und natürlich das Konsumverhalten beeinflussen. Wer ist „man“? Das hängt sehr von der Interessenlage ab. Das können die besagten Geheimagenten sein. Viel wahrscheinlicher ist aber, dass ganz weltliche Interessen dahinter stecken, beispielsweise das Interesse vieler Firmen für Ihre Person. Ich gebe zu, das Interesse beschränkt sich meist auf den Inhalt Ihres Portemonnaies, aber sei es drum. Das Wissen
über Ihre Vorlieben und Abneigungen, sowie Ihr Verhalten, Ihren Status und Ihre Gewohnheiten in der realen Welt kann ein sehr wertvolles Gut für manche Firmen sein. Dieser „man“, der sich für Ihre Daten interessiert, kann natürlich aber auch ein Nachbar, eine verflossene Liebschaft oder die lieben Kollegen sein. Jeder ist „man“! Ein Blick in die Vergangenheit: George Orwell - 1984 Orwells Roman beschreibt einen totalitären Staat. Die Welt wird von drei Supermächten beherrscht. Sie heißen Ozeanien, Eurasien und Ostasien und führen permanent Krieg um ein paar nicht fest zugeteilte Gebiete. An der Spitze einer dieser totalitären Staaten steht der Große Bruder. In jedem Zimmer eines jeden Einwohners steht ein Fernseher mit eingebauter Kamera, der nicht abgeschaltet werden kann. Damit wird zum einen Propaganda und zum anderen die totale Überwachung ermöglicht. Der Slogan Big Brother is watching you wird noch heute oft zitiert. Im Roman wird auch die Sprache im Staat verändert. Wörter, die dem Staat schaden könnten, wie beispielsweise Freiheit oder Gleichheit, werden aus dem Sprachumfang entfernt. Der Roman wurde im Jahr 1949 geschrieben, stellt jedoch auch heute noch eine allgemeingültige Metapher totalitärer Gesellschaftsverhältnisse dar. Volkszählung in Westdeutschland 1986 Ein Staat zählt sein Volk und fragt bei dieser Gelegenheit auch gleich ein paar Dinge. Warum? Auf Basis dieser Daten kann man bessere Entscheidungen treffen. Für wen besser? Für die Regierung oder für das Volk? Damals gab es eine umfangreiche Diskussion über diese Fragestellungen und mögliche Schlussfolgerungen daraus. Und heute? Fast 20 Jahre sind nach Orwells 1984 vergangen und es ist völlig normal, eine Kreditkarte, einen Ausweis der Krankenversicherung, diverse Zugehörigkeitskarten zu Arbeitgebern, Supermarktrabattkarten und natürlich ein Handy und einen InternetPC zu besitzen und zu benutzen. Ein eingeschaltetes Handy kann bis auf wenige Meter geortet und im Regelfall auch abgehört werden. Zahlungsbelege von Kreditkarten erlauben die Erstellung von Konsumprofilen. Zugangskarten bei Arbeitgebern ermöglichen Abrechnungssysteme, von denen Gewerkschaften anfangs nichts wissen wollten, mittlerweile den Kampf aber längst aufgegeben haben. Na, und der Supermarkt freut sich natürlich auch, wenn der hauseigene Einkauf weiß, wann und vor allem wo wir unsere Milch kaufen (und welches Wetter an diesem Tag war und welche Temperatur im Supermarkt herrschte und wo genau die Milch stand – oben oder unten im Regal ...). „Da draußen tobt ein Krieg, alter Freund, ein Weltkrieg. Und es geht nicht darum, wer die meiste Munition hat, es geht darum, wer die Informationen kontrolliert, was wir sehen und hören, wie wir arbeiten, was wir denken. Es geht alles nur um die Information.“
14
W E R K S TAT T
Dieses Zitat stammt aus dem Film Sneakers – „Die Lautlosen“ und wird von Ben Kingsley als „Cosmo“ gesprochen. Der Film ist aus dem Jahre 1992 – die Realität ist längst dort angekommen. Und morgen? Ja, wie geht es weiter? Ich bezeichne es als Modellpflege. Die Basis zum Datensammeln ist installiert und funktioniert hervorragend. Unter dem Deckmäntelchen der Sicherheit wird nun versucht, auch noch hinter das letzte Geheimnis Ihrer Person zu kommen. Kreditkarteninformationen sind ja schon gut, aber was ist das gegen eine detaillierte Auflistung Ihres Surfverhaltens? ■ Wann besuchen Sie welche Internetseite? ■ Wie lange verweilen Sie dort? ■ Wann lesen Sie welche E-Mail? ■ Wem schicken Sie eigentlich E-Mails? ■ Was steht drin? ■ Wie oft rufen Sie E-Mails ab? ■ Was steht überhaupt so auf Ihrem Computer? ■ Welche CD hören Sie so? ■ Welche DVD sehen Sie auf Ihrem PC? ■ Welche Software von welchem Anbieter benutzen Sie? Wie reagieren Sie auf bestimmte Ereignisse, beispielsweise auf das Attentat auf das World Trade Center oder auf die letzte Bundestagswahl oder auf den Kauf der neuen Fischdose mit Ihrer Supermarktkarte? Kennen Sie den Regensensor von Daimler-Chrysler? Das ist ein kleines Bauteil, das dafür sorgt, dass sich die Scheibenwischer Ihres PKW anschalten, wenn es regnet – schön nicht? Langsam, aber unaufhaltsam finden es die Menschen einfach bequemer, wenn ihr Auto das Richtige tut oder die Softwarefirma, die das Programm zur Verfügung stellt und der dazugehörige Computer für sie die Steuererklärung machen. Es wäre doch nett, wenn Ihr PC bemerkt, dass Sie sich beispielsweise für griechische Geschichte interessieren und Ihnen immer zum richtigen Zeitpunkt die richtigen Informationen liefert. Doch halt ... Informationen von Dritten sind für Sie Daten. Sie werden erst zu Informationen in Ihrem Gehirn. Nur Sie persönlich können für sich Daten bewerten und einordnen. Diesen Vorgang nennt man Denken. Auch den richtigen Zeitpunkt kennen nur Sie.
W E R K S TAT T
15
Vielleicht wollen Sie ja gar nicht, dass sich jetzt der Scheibenwischer einschaltet? Sie können sich natürlich fremde Meinungen, nämlich die des Regensensors, zu Eigen machen, aber auch dazu müssen Sie das Angebot an Daten, das von außen kommt, für sich bewerten. Das Ziel der weiteren Entwicklungen auf diesem Gebiet wird sein, diese Phasen des Denkens zu minimieren. Es ist unmöglich, nicht an unserer Informationsgesellschaft teilzunehmen. In dem Moment, in dem Sie Ihren Computer an das Internet anschließen, sind Sie prinzipiell ein Teil dieses weltumspannenden Netzes. Sie können jeden erreichen und jeder kann Sie erreichen. Wenn Sie beginnen, ein unkontrollierbares Eigenleben zu führen, so stellen sich für Dritte, die Ihre Daten auswerten, natürlich auch interessante Fragen. ■ Haben Sie kein Vertrauen? ■ Könnten Sie eine Bewegung gründen? ■ Könnten Sie gefährlich werden? ■ Könnten Sie nützlich sein? ■ Wer sind Sie eigentlich? Was hat das alles mit Windows XP zu tun? Nun, Windows XP könnte so ein Fernseher sein, wie ihn George Orwell beschreibt. Je genauer Sie diesen Fernseher kennen, umso genauer können Sie kontrollieren, was er über Sie aufzeichnet, berichtet und weitergibt. Es gibt zwei Versionen von Windows XP, die sich in Preis und Leistung unterscheiden. Windows XP Home ist die Consumer-Variante für zu Hause und Windows XP Professional die Firmenversion mit zahlreichen Erweiterungen. Dieses Buch bezieht sich auf die Consumer-Variante Windows XP Home. Seit den achtziger Jahren trugen alle Windows-Versionen auch dazu bei, den Hardware-Umsatz zu steigern. Bei jeder Version mussten größere Festplatten und mehr Speicher her. Besser gleich ein neuer PC. Und so wurden die Programme immer aufwändiger, komplexer und vordergründig bequemer. Für den typischen Consumer war das in Ordnung. In Firmen tauchten allerdings sehr schnell Sicherheitsfragen und steuerliche Abschreibungsfragen auf und Microsoft reagierte 1993 mit der Erfindung von Windows NT (New Technology). Nun gab es zwei Produktlinien. Die eine war Windows 95/98/ME mit vielen grafischen Spielereien und die andere war Windows NT/2000 mit einem sicheren Dateisystem, einer Benutzerverwaltung und zahlreichen anderen Dingen, die das System sehr stabil machten. In sehr vielen Firmen laufen noch Windows NT 4.0 Server, die seit Jahren funktionieren und deren Administratoren immer noch zögern, auf das neue Betriebssystem umzusteigen. Mit der Einführung von Windows XP im Herbst 2001 sollten diese beiden
16
W E R K S TAT T
Welten, die teilweise auch Inkompatibilitäten zueinander aufwiesen, zusammengeführt werden. Nun soll es mehr Sicherheit im Consumer-Bereich (XP Home) und mehr „Spielereien“ im Business-Bereich (XP Professional) geben. Beide Varianten basieren jetzt auf Windows NT. Das gute alte DOS ist also nicht mehr notwendig, kann aber für alte DOS-Programme emuliert werden. In Windows XP Home fehlen viele Funktionen, die zum Betrieb in einem Netzwerk benötigt werden. Dazu gehört unter anderem auch, dass die Benutzer- und Gruppenverwaltung im Vergleich zu Windows XP Professional nur eine sehr grobe Rechteverwaltung zulässt. Parallel zur Einführung von Windows XP änderte Microsoft seine Lizenzierungpolitik und führte erstmals eine Produktaktivierung ein. Das bedeutet, dass Sie sich nach der Installation des Systems bei Microsoft anmelden und Ihren Produkt-Aktivierungs-Schlüssel angeben müssen. Bei der Online-Registrierung werden Identifikationsdaten Ihres Rechners an Microsoft übertragen. Wenn Sie beispielsweise den Prozessor Ihres Rechners austauschen, so müssen Sie sich neu registrieren lassen. War es bei den alten Produkten noch möglich, Kopien auf anderen Rechnern zu installieren, ist das unter XP weder möglich noch von Microsoft gewünscht. Viele Firmen schreckten auch aus diesem Grund bisher vor einem Wechsel auf Windows XP zurück. Im Privatbereich ist Windows XP Home dagegen sehr weit verbreitet und Microsoft wird in den nächsten Monaten (Stand Mai 2003) dafür sorgen, dass die Firmen ebenfalls nachziehen. Das Problem bei der Datenspionage sitzt vor dem Rechner! An diesem Satz ist eine Menge dran. Ihr Grad an Sicherheit und Anonymität hängt entscheidend von Ihrem Verhalten ab. Wenn Sie einen Computer haben, der automatisch Ihre Daten an verschiedene Dritte verteilt, so können Sie das meistens verhindern – Sie müssen es aber erst einmal wissen!!
PROFITIPP
Überlegen Sie bei jeder technischen Innovation genau, wem sie am meisten nutzt. Auch bei scheinbar unwichtigen Dingen. Gehen Sie den Innovationen auf den Grund und versuchen Sie, die Motivation der Hersteller für bestimmte Schritte zu verstehen. Lassen Sie die Marketinggewitter für neue Produkte verrauchen und versuchen Sie einen Blick auf das zu erhaschen, was dahinter steckt. Blättern Sie mal zwei, drei Jahre alte Computerzeitschriften durch und überprüfen Sie, was aus den Dingen geworden ist.
Dieses Buch erhebt nicht den Anspruch, alle Formen von Datenspionage und ihre möglichen Abwehrmechanismen vorzuführen. Das ist unmöglich. Ich möchte aber
W E R K S TAT T
17
dazu beitragen, dass Sie von nun an die eine oder andere Pressemitteilung doch stutzig macht und Sie sich überlegen, wem das jetzt eigentlich nutzt, bzw. was es in den falschen Händen bedeuten kann. Wie im wirklichen Leben hat jeder die Wahl, in welcher Rolle er an der Informationsgesellschaft teilhaben will. Ich lade Sie ein zu einer Rundreise durch die Gefahren der Datenspionage und die Möglichkeiten, die Ihnen zur Verfügung stehen, um Ihren persönlichen Grad an Sicherheit und Anonymität zu erhöhen.
18
W E R K S TAT T
Workshop 1 Windows XP vorbereiten Windows XP kommt meist in Form eines sanften Zwangs auf Ihren PC. Man kann es auch netter als Erstausrüstung formulieren. Dieser Erstausrüsterstatus bietet natürlich gewaltige Vorteile für die Verbreitung eines bestimmten Systems und deswegen ist Windows in seinen verschiedenen Versionen das meist benutzte Betriebssystem der Welt. Auch Ihnen bietet diese Tatsache Vorteile. Wenn Sie einmal mit der Bedienung der Software klarkommen, können Sie den Großteil aller PCs auf dieser Welt bedienen. Das ist für Sie ein Wettbewerbsvorteil, der unter Umständen Ihrer eigenen Karriere sehr hilfreich sein kann. Diese Verbreitung von Windows ist praktisch für alle Beteiligten, aber auch gefährlich, denn es handelt sich um eine Monokultur. Innerhalb von Monokulturen im Agrarbereich können Schädlinge in kürzester Zeit immensen Schaden anrichten. Ähnliches kann Ihnen auch mit Windows widerfahren. Da Windows XP ein sehr komplexes Produkt ist, hat es natürlich starke und schwache Seiten. Zu den schwachen Seiten gehören Programmierfehler. Menschen programmieren und Menschen machen Fehler. Also hat Windows XP auch Fehler. Microsoft bemüht sich, für bekannte Fehler schnellstmöglich so genannte Patches (Flicken) bereitzustellen, aber dies ist naturgemäß ein schwieriges Unterfangen. Bei unbekannten (oder nur bestimmten Menschen bekannten) Fehlern ist es unmöglich, sie zu beheben. Oftmals zieht ein schnell bereitgestellter Patch wieder neue Sicherheitslöcher nach sich und verlangt wiederum nach einem neuen Patch. Manche Patches setzen das Vorhandensein anderer Patches voraus. Um das Einspielen dieser Patches zu erleichtern, schaut Windows XP selbstständig nach, ob es etwas Neues gibt, und lädt es bei Bedarf von Microsofts Servern auf den heimischen PC. Ja, Sie haben richtig gehört. Windows XP sieht automatisch auf den Microsoft-Servern nach, was es Neues gibt, und installiert es auch auf Ihrem privaten Rechner. Merken
Workshop 1 – Windows XP vorbereiten
Sie etwas? So privat kann Ihr Rechner nicht sein, wenn Dritte dort Programme installieren dürfen und Zugriff auf Dateien haben, oder? Doch gehen wir einfach mal davon aus, dass Microsoft die fairste Firma der Welt und nur am Wohl ihrer Kunden interessiert ist.
1.1
Windows Update
Windows Update ist ein Service von Microsoft, den Sie unter Start/Alle Programme/ Windows Update erreichen und der es Ihnen ermöglicht, die neuesten BetriebssystemUpdates, Patches, Microsoft-Komponenten-Updates wie für den Internet Explorer und den Media Player sowie aktuelle Gerätetreiber auf Ihren Computer zu laden und zu installieren. Sie sollten mindestens alle zwei Wochen dieses Angebot nutzen, um nicht Opfer irgendwelcher Angriffe zu werden, die bekannte Programmfehler in Windows XP ausnutzen, um Ihrem System Schaden zuzufügen. Auch heute noch gibt es zahlreiche ungepatchte Systeme, die dann bei Auftreten eines bestimmten Wurms oder Virus ein leichtes Opfer sind. Bei den meisten großflächigen Viren- und Wurmangriffen der letzten Zeit waren Hunderttausende von Rechnern betroffen, obwohl die eigentlich schützenden Patches von Microsoft bereits seit Monaten zur Verfügung standen. Alle diese Opfer hatten ihr System allerdings nicht gepatcht! Von Zeit zu Zeit gibt es so genannte Service Packs für die einzelnen Softwareprodukte von Microsoft. Diese Service Packs bündeln wichtige Patches und installieren darüber hinaus Weiterentwicklungen in der Software. Diese Weiterentwicklungen können verschiedener Natur sein: Manchmal dienen sie der Abwehr von Raubkopierern. Beim Erscheinen von Windows XP war die neue Aktivierungspflicht ein Quell ständiger Diskussionen und findige Hacker stellten in kürzester Zeit Zugangscodes im Internet bereit, mit denen es möglich war, das Betriebssystem zu aktivieren. Es gab sogar Programme, die beliebige Aktivierungscodes erzeugen konnten. Diese Situation war für Microsoft natürlich ausgesprochen unbefriedigend und so gab es im September 2002 das erste Service Pack für Windows XP. Dieses Service Pack kannte die meisten illegalen Aktivierungscodes und ließ sich auf den entsprechenden Rechner nicht installieren. Bereits eingespielte Patches wurden wieder überschrieben. Auch für dieses Service Pack gibt es heute Möglichkeiten, die notwendige Freischaltung zu umgehen. Mit zunehmender Vernetzung und Verzahnung der Programme untereinander wird die Überlistung solcher Systeme immer schwieriger. Außer diesen strategischen Korrekturen brachte das Service Pack 1 auch Neuerungen, die im damals laufenden Kartellverfahren gegen Microsoft gefordert wurden. Die Neuerungen ermöglichen nun die freie Wahl von Browser, E-MailClient, Media Player, Messenger-System und Java Virtual Machine (JVM). Ganz de-
20
W E R K S TAT T
Windows Update
installieren lassen sich die Microsoft Produkte immer noch nicht und beispielsweise für das automatische Windows Update kann man auch nicht darauf verzichten. Trotz Deaktivierung des Programms Internet Explorer und Nutzung eines anderen Browsers startet der Internet Explorer und besucht die Update-Seite. Die Deaktivierung der Microsoft-Programme lässt sich leicht wieder rückgängig machen. Drittanbieter werden gezwungen, bestimmte Spezifikationen einzuhalten, damit eine Auswahl ihrer Produkte auf Ihrem Rechner überhaupt möglich wird. Die Nutzung des zur Zeit kostenlosen Windows Update-Angebotes ist nur mit dem Internet Explorer möglich. Was genau zwischen Microsoft und Ihnen beim UpdateVorgang übertragen wird, weiß momentan nur Microsoft. Auf jeden Fall sind es mindestens die Versionsnummern aller installierten Microsoft-Produkte sowie diverse Identifikationsnummern der Hardwarekomponenten. Andere Browser sind nicht in der Lage, die Patches zu installieren.
Abbildung 1.1: Systemeigenschaften – Automatische Updates
Sie können die Bedingungen, unter denen dieser Update-Vorgang abläuft, selbst festlegen. Standardmäßig ist Windows XP so konfiguriert, dass bei jeder Online-Verbindung ein kurzer Zustandsbericht an Microsoft gesendet wird. Abhängig von diesem Bericht entscheidet dann das Update-Programm, ob etwas zu laden und zu installieren ist.
W E R K S TAT T
21
Workshop 1 – Windows XP vorbereiten
Unter Start/Systemsteuerung/System können Sie im Reiter Automatische Updates diese Einstellung verändern (Abbildung 1.1). In der ersten Checkbox („Den Computer auf dem neuesten Stand halten ...“) entscheiden Sie grundsätzlich darüber, ob Sie die Funktionalität nutzen wollen (inkl. Nachfrage bei jeder Online-Verbindung). In den drei Radiobuttons darunter legen Sie die Details fest. Sie können sich vor dem Download und vor der Installation benachrichtigen lassen, Sie können automatisch downloaden, aber die Installation bestätigen, und Sie können das Update nach einem festgelegten Zeitplan völlig automatisiert ablaufen lassen. Entsprechend Ihren Wünschen müssen Sie sich für eine Variante entscheiden. Für Anfänger halte ich die Option, automatische Updates zu erlauben, aber mit Benachrichtigung vor dem Download und der Installation durchaus für sinnvoll. Allerdings nur dann, wenn Sie sich bei den Benachrichtigungen auch kundig über deren Sinn machen. Oft sind die Hinweise, die bei der Abfrage angezeigt werden, wenig aussagekräftig und Sie müssen erst einmal herausbekommen, was überhaupt installiert werden soll. Das geht auf der Microsoft Homepage oder wenn man sich auf den Webseiten der einschlägigen Fachzeitschriften umsieht. Während ich dieses Buch schreibe, gibt es gerade den Fall, dass Microsoft einen Patch für Windows XP herausgibt, der dann das System verlangsamt und durch einen weiteren Patch gestopft werden muss, an dem Microsoft fieberhaft arbeitet1. So etwas ist natürlich schlecht und sicherlich auch nicht im Interesse vom Microsoft, kommt aber immer mal wieder vor. Ein weiteres Highlight in diesem Zusammenhang ist ein Patch für den Media Player, der veränderte Lizenzbedingungen enthielt, und Windows XP fit für Digital Rights Management (DRM) machte (Q320920). Dieser Patch war nicht mehr deinstallierbar und wurde dann später mit dem Service Pack 1 verbunden, so dass man keine Wahl mehr hatte und diese Funktionen nun in jedem Windows XP verdrahtet sind. Grundsätzlich ging es dabei um das Abspielen kopiergeschützter Dateien und die Möglichkeit, dass Microsoft automatisch Programme auf Ihrem Rechner installieren darf2. In allen anderen Fällen bestand bisher die Möglichkeit, bereits installierte Patches über Start/Systemsteuerung/Software wieder zu deinstallieren (Abbildung 1.2). Sie sollten allerdings bei der Deinstallation bedenken, dass es zwischen den einzelnen Softwarepaketen Verbindungen und Abhängigkeiten geben kann, die eine Deinstallation zwar möglich machen, aber das Problem unter Umständen nicht lösen. Wenn nach dem „schlechten“ Patch bereits drei andere installiert worden sind, kann kein Mensch ernsthaft voraussagen, wie genau Ihr Rechner darauf reagieren wird. Kurz nach Erscheinen eines Patches gibt es meist Erfahrungsberichte im Netz, von denen Sie 1. 2.
22
http://www.heise.de/newsticker/data/ola-24.04.03-002/ http://www.heise.de/newsticker/data/nij-07.07.02-002/
W E R K S TAT T
Windows Update
profitieren können. Wenn Sie Zeit und Lust haben, können Sie sich auch aktiv an diesen Diskussionen beteiligen.
Abbildung 1.2: Installierte Patches in Windows XP
Auf automatische Updates verzichten Es ist durchaus möglich, auf automatische Updates zu verzichten.
PROFITIPP
Wenn Sie die AutoUpdate-Funktion deaktivieren und sich die Patches selektiv laden und auf der Festplatte speichern, können Sie sich ein „Patch-Archiv“ anlegen. Das hat den Vorteil, dass Sie die Patches bereits zur Verfügung haben, beispielsweise auf CD, wenn Sie ein neues Windows XP installieren und dann nicht erst Dutzende Megabytes aus dem Netz laden müssen.
Damit das funktioniert, deaktivieren Sie die erste Checkbox in den Systemeinstellungen/Automatische Updates (Abbildung 1.1) und schauen regelmäßig unter dem URL http://www.microsoft.com/germany/ms/windowsxp/ nach, ob es etwas Neues gibt. Wenn ja, können Sie die Dateien ganz normal mit jedem Browser downloaden und dann installieren. Hier ein Beispiel mit Mozilla (Abbildung 1.3).
W E R K S TAT T
23
Workshop 1 – Windows XP vorbereiten
Abbildung 1.3: Download von XP-Patches mit dem Browser Mozilla
Im weiteren Verlauf dieses Buches gehe ich davon aus, dass Sie regelmäßig Ihr System updaten.
1.2
Wiederherstellungsfunktion
Wenn Sie Software installiert haben und es hinterher zutiefst bereuen, weil irgendetwas anderes nicht mehr funktioniert, dann können Sie Ihr System auf einen bestimmten Installationsstand zurücksetzen.
Abbildung 1.4: Systemeigenschaften – Systemwiederherstellung
24
W E R K S TAT T
Wiederherstellungsfunktion
Allerdings muss die grafische Benutzeroberfläche noch starten, um die Wiederherstellung anzustoßen. Die Systemwiederherstellung ist standardmäßig aktiviert. Sie können die Funktion ein- und ausschalten sowie den zur Verfügung stehenden Plattenplatz einstellen, damit sich das System die alten Daten merken kann (Start/Systemsteuerung/System im Reiter Systemwiederherstellung, Abbildung 1.4). Achten Sie darauf, genug Plattenplatz zur Verfügung zu stellen (> 1 Gigabyte). Aufgezeichnet werden bei dieser Aktion nur Veränderungen innerhalb des Systems von Windows XP. Darin eingeschlossen sind alle installierten Treiber, Systemdienste, Registry-Schlüssel und Teile der Programm- und Systemdateien, nicht aber die installierte Software an sich. Wenn Sie beispielsweise die Software XY installieren wollen, so sollten Sie sich vorher einen so genannten Wiederherstellungspunkt setzen (Abbildung 1.5).
Abbildung 1.5: Systemwiederherstellung
Dann installieren Sie die gewünschte Software und prüfen, ob alles funktioniert. Ist dies nicht der Fall, so müssen Sie zunächst die fehlerhafte Software über Start/Systemsteuerung/Software entfernen und können danach die Systemwiederherstellung benutzen, um Ihr Windows XP auf den Stand vor Installation des Programms zurückzusetzen.
W E R K S TAT T
25
Workshop 1 – Windows XP vorbereiten
Gewöhnen Sie sich an, Ihre eigenen Dokumente und Dateien nur im Ordner C:\Dokumente und Einstellungen\Ihr Benutzername abzulegen. Dieser Ordner wird garantiert nicht von der Systemwiederherstellung angerührt.
1.3
Benutzerverwaltung
Mit Windows XP Home ist es erstmalig im Consumer-Bereich von Microsoft möglich, Benutzerprofile einzurichten. Die Benutzerverwaltung rufen Sie auf über Start/Systemsteuerung/Benutzerkonten (Abbildung 1.6).
Abbildung 1.6: Benutzerkonten in Windows XP
Sie erhalten eine Übersicht über die vorhandenen Benutzer, können neue Benutzer anlegen und die Eigenschaften und Rechte vorhandener Benutzer ändern.
Warum so viele Benutzer? Wenn mehrere Menschen Zugang zu einem Computer haben, so ist es praktisch, wenn gewisse Einstellungen, wie Aufteilung und Farben des Bildschirms, die persönlichen Favoriten im Internet Browser oder die eigenen Dateien für andere Benutzer nicht zu sehen sind. Außerdem ist es gut, wenn manche Benutzer mehr dürfen und manche weniger. Wenn jemand, der zu Besuch bei Ihnen ist, nur mal kurz E-Mails im Webinterface des E-Mail-Providers ansehen will, so kann er sich als Gastbenutzer einloggen, den Browser starten, aber beispielsweise keine Software installieren und keine Dateien löschen. Er kann auf das gemeinsam genutzte Verzeichnis zugreifen (C:\Dokumente und Einstellungen\All Users\Gemeinsame Dokumente), nicht aber auf die Dateien der anderen Benutzer.
26
W E R K S TAT T
Benutzerverwaltung
Der Gastzugang ist standardmäßig eingerichtet, kann aktiviert oder deaktiviert werden und man kann ihm aus einer Liste ein Bild zuweisen, das dann im Anmeldebildschirm diesem User zugeordnet wird. Alle anderen User unterscheiden sich in ihrer Funktion. Entweder sind sie Benutzer mit Administratorrechten oder ohne. Ein Benutzer mit Administratorrechten darf: ■ Konten erstellen, ändern und löschen ■ systemweite Änderungen durchführen ■ Programme installieren ■ auf alle Dateien zugreifen Ein eingeschränkter Benutzer darf: ■ das eigene Kennwort ändern oder entfernen ■ eigene Desktopeinstellungen und Designs festlegen, sowie seinem Benutzer ein Bild zuordnen ■ selbst erstellte Dateien anzeigen und bearbeiten ■ die Dateien im Ordner Gemeinsame Dokumente lesen ■ in eingeschränktem Maß Programme installieren. Eingeschränkt deshalb, weil zum einen nicht alle Programme Windows XP kompatibel programmiert sind und dadurch teilweise Administratorrechte für die Installation benötigt werden. Zum zweiten kann es sich bei manchen Programmen um ausführbare Dateien handeln, die keinen Installationsdialog mit Änderungen in der Registry benötigen und somit ohne Administrationsrechte installierbar sind.
PROFITIPP
Bei der normalen Arbeit mit Anwendungen ist es sinnvoll, sich selbst ein eingeschränktes Benutzerkonto einzurichten und damit zu arbeiten. Allein die Tatsache, dass Sie bestimmte Dinge einfach nicht tun dürfen, wie beispielsweise Systemdateien verändern, bietet schon einen gewissen Schutz vor Viren und Trojanern.
Benutzerkonto erstellen Wenn Sie es nicht bereits getan haben, so erstellen Sie sich jetzt ein eingeschränktes Benutzerkonto mit Ihrem Namen. Wir wissen alle nicht, welche Daten an Microsoft übertragen werden, können jedoch davon ausgehen, dass gerade der Benutzername ein Bestandteil der Übermittlung ist. Damit liefern wir bereits einen Teil des Puzzles,
W E R K S TAT T
27
Workshop 1 – Windows XP vorbereiten
vielleicht Ihren Vornamen. Das sollten Sie vermeiden und statt dessen einen Fantasienamen wählen. Start/Systemsteuerung/Benutzerkonten/Neues Konto erstellen
1
Sie werden nach dem Namen des Kontos gefragt. Geben Sie Ihren Vornamen ein. Je nach Einstellung wird dieser Name im Anmeldebildschirm und Startmenü mit dem zugeordneten Bild angezeigt. Im nächsten Dialog müssen Sie entscheiden, ob Sie Administratoren- oder eingeschränkte Rechte haben wollen. Wählen Sie Eingeschränkt (Abbildung 1.7).
Abbildung 1.7: Benutzerkonten – Auswahl des Kontotyps
2
Nach einem Klick auf Konto erstellen wird Ihr neues Benutzerkonto erstellt und standardmäßig mit dem Bild einer Bassgitarre versehen und in der Übersicht angezeigt. Um diese und weitere Einstellungen zu ändern, klicken Sie einfach auf den neuen Benutzer und das Änderungsmenü wird aufgerufen (Abbildung 1.8).
Abbildung 1.8: Benutzerkonten – Änderungsdialog
28
W E R K S TAT T
Benutzerverwaltung
3
Das Wichtigste, was nun zu tun ist, ist die erstmalige Erstellung eines Passworts für diesen User. Bisher könnte er sich nämlich ohne Passwort einloggen. Klicken Sie also auf Kennwort erstellen und eine entsprechende Maske erscheint. Dort legen Sie Ihr Passwort fest und können zur Sicherheit noch eine Beschreibung dazu ergänzen, falls Sie es mal vergessen (Abbildung 1.9).
Abbildung 1.9: Benutzerkonten – Passworterstellung
4
Die Beschreibung „Wie heißt der kleine Hund von Rita Meyer im Dunkeln“ könnte für das Passwort ieeluoiemu stehen, das sich aus dem jeweils zweiten Buchstaben jedes Wortes dieser Beschreibung ergibt. Hinweise zum Erstellen eines guten Passwortes finden Sie auf im Workshop 4. Ihr neuer Benutzer hat nun ein Passwort und ist einsatzbereit. Wenn Sie nun an Ihrem PC einfach „nur“ mit Ihren Programmen arbeiten, im Internet surfen oder Mails abrufen, so sollten Sie mit diesem eingeschränkten Benutzerkonto arbeiten. Bei Konfigurationsarbeiten oder Programminstallationen können Sie sich dann als Administrations-Benutzer anmelden.
5
Löschen Sie alle nicht benötigten Benutzer inklusive evtl. bereits vorhandener Dateien.
Art der Benutzeranmeldung ändern Standardmäßig werden auf der Windows-Willkommenseite alle vorhandenen Benutzer mit ihrem Bild und dem Hinweis, ob sie gerade eingeloggt sind oder nicht, in einer Übersicht angezeigt. Wenn nun ein Benutzer keinen Passwortschutz hat, so wie der Gastbenutzer, kann ein Datenspion einfach mal diesen Benutzer ausprobieren und auf Ihren Rechner schauen. Aus der Art der installierten Programme kann er seine Schlüsse ziehen oder einfach die gemeinsamen Dokumente durchsuchen.
W E R K S TAT T
29
Workshop 1 – Windows XP vorbereiten
Um das zu verhindern, sollten Sie den Gastbenutzer deaktivieren, wenn Sie ihn nicht unbedingt benötigen (Änderungsdialog für Benutzer Gast). Des Weiteren sollten Sie in der Benutzerkontenübersicht die Art der Benutzeranmeldung ändern. Sie haben mehrere Möglichkeiten. In der Standardeinstellung können Sie zwischen verschiedenen Benutzern schnell hin- und herspringen: Sie klicken einfach auf das Bild in der Anmeldemaske und schon sind Sie „drin“. Ihre Anmeldung, sowie Ihre geöffneten Programme bleiben aktiv, bis Sie sich wieder einloggen. So ist es möglich, dass mehrere Benutzer gleichzeitig am Rechner angemeldet sind. Das ist praktisch, wenn Sie am PC arbeiten und ein Kollege oder ein Familienmitglied will mal kurz etwas tun. Sie müssen dann nicht alle Anwendungen schließen, sondern derjenige kann kurz an den Rechner und anschließend können Sie wieder in Ihr Benutzerprofil wechseln und weiterarbeiten. Die sicherere Variante ist jedoch, keine Willkommenseite anzuzeigen. Es erscheint dann nur ein Minimal-Dialog, der Benutzernamen und Passwort abfragt und keine Namensvorschläge macht. Das hat den Vorteil, dass ein Datenspion nicht weiß, welche Benutzer es überhaupt gibt und bei deaktiviertem Gastzugang ist es wieder eine Hürde mehr, um an Ihre Daten zu kommen. Um diese Variante zu verwenden, deaktivieren Sie alle Checkboxen in den Anmeldeoptionen (Abbildung 1.10).
Abbildung 1.10: Benutzerkonten – Anmeldeoptionen
Nachdem Sie diese Änderung vorgenommen haben, können Sie jedoch nicht mehr den schnellen Benutzerwechsel benutzen. In der Windows XP Professional Version ist es möglich, weitere Angaben, wie eine allgemeine Beschreibung des Benutzers oder einen vollständigen Namen, zu machen. Bei Windows XP Home kann man das auch mit dem Kommandozeilen-Tool net user realisieren. Wenn Sie net user ohne weitere Parameter von der Kommandozeile (Start/Alle Programme/Zubehör/Eingabeaufforderung) aufrufen, werden Ihnen alle im System vorhandenen Benutzer angezeigt (Abbildung 1.11).
30
W E R K S TAT T
Phone home und XP-AntiSpy
Abbildung 1.11: Alle Benutzer auf Ihrem Rechner
Wenn Sie nun net user hagen eingeben, so werden Ihnen die einzelnen Einstellungen des eben erstellten Benutzers angezeigt. Alle diese Einstellungen können Sie wie in Windows XP Professional verändern, allerdings nur mit dem doch recht archaischen Tool net user. Was aber sofort auffällt: Hier sind mehr Benutzer aufgeführt als in den Benutzerkonten! Das SUPPORT_388945a0-Konto dient laut Microsoft dazu, in die Online-Hilfe von Windows XP aktive Inhalte eines Original Equipment Manufacturer (OEM) mit eingeschränkten Rechten einzubinden. Normalerweise ist das Konto gesperrt. Der Benutzer darf sich weder lokal noch übers Netzwerk anmelden. Das einzige Recht, das XP ihm zugesteht, ist das Anmelden als Stapelverarbeitungsauftrag. Auch die weiteren Benutzer führen nichts Böses im Schilde, sondern dienen ähnlichen Aufgaben. Wir wollen hier aber kein Windows XP Professional nachbauen, sondern für eine gewisse Sicherheit sorgen.
1.4
Phone home und XP-AntiSpy
Windows XP und viele seiner Komponenten sind dafür bekannt, dass sie bei jeder Online-Verbindung Kontakt zu Microsoft aufnehmen und gewissermaßen wie E.T. nach Hause telefonieren (Phone home). Je nach Komponente kann das Bequemlichkeitsgründe (Windows Update) oder schlicht Datenspionage-Gründe (der Media Player steht diesbezüglich auch unter Verdacht) haben. Dies sind zwei Extremfälle, die meisten Phone home Dienste dienen Ihrer Bequemlichkeit. XP-AntiSpy ist ein Tool, das die Phone home Einstellungen im System automatisch oder nach Vorauswahl deaktiviert. Alle diese Einstellungen könnte man freilich auch manuell vornehmen, einfacher geht es jedoch mit XP-AntiSpy von Chris Taubenheim. Die Einstellungen, die das Programm vornimmt, sind frei wählbar und beim Start auf die empfohlenen Werte voreingestellt. Benutzer, die bereits mehr über das Betriebssystem und seine Anforderungen wissen, können diese Optionen an ihre Vorstellun-
W E R K S TAT T
31
Workshop 1 – Windows XP vorbereiten
gen anpassen. Alle Veränderungen, die das Tool vornimmt, können selbstverständlich auch wieder rückgängig gemacht werden.
Abbildung 1.12: XP-AntiSpy
Auf der Homepage von XP-AntiSpy http://www.xp-antispy.de/ gibt es unter anderem auch ein Forum und eine FAQ-Liste mit ausführlichen Erklärungen.
AUF DER
CD-ROM
Abbildung 1.13: XP-AntiSpy Legende
Das Programm ist Freeware und im entsprechenden Workshop-Verzeichnis auf der Buch-CD in der Version 3.71 enthalten.
Nach einem Doppelklick auf die Datei setup.exe installiert sich das 84 Kbyte kleine Programm und zeigt die wichtigsten Einstellungen an (Abbildung 1.12). Sie sehen, dass es doch einige Funktionen dieser Art in Windows XP gibt. Die Legende zu den einzelnen Punkten finden Sie im ?-Menü (Abbildung 1.13). Die meisten Punkte sind auch auf Anhieb verständlich, aber was bedeutet beispielsweise Fehlerberichterstattung?
32
W E R K S TAT T
Antiviren-Software
Wenn ein Programm abstürzt, so erhalten Sie in Windows XP die Aufforderung eine Fehlermeldung an Microsoft zu schicken. Bei der Fehlermeldung werden möglicherweise Teile Ihrer Dateien mitversendet, beispielsweise die gerade abgestürzte ExcelDatei mit Ausschnitten Ihrer Steuererklärung. Wenn Sie über die einzelnen Einträge mit der Maus fahren, werden Ihnen im unteren Abschnitt des Fensters Erklärungen angezeigt.
PROFITIPP
Überlegen Sie sich, was Sie tun, bevor Sie die vorgeschlagenen Einstellungen ändern. Sie können alles wieder rückgängig machen, aber oftmals liegt der Fehler im Detail. So funktioniert unter Umständen Norton Antivirus nicht korrekt, weil Sie in XP-AntiSpy die Taskplaner-Funktionalität ausgeschaltet haben.
Genauere Informationen zu den einzelnen Optionen finden Sie in den FAQs auf der Homepage von XP-AntiSpy.
1.5
Antiviren-Software
Ohne aktuelle Antiviren-Software haben Ihr PC und Ihre Daten keine große Überlebenschance. Vor ein paar Jahren betrafen Virenprobleme nur Menschen, die mal fremde Disketten auf ihrem Rechner benutzt haben. Heute dagegen kommt das Böse meist über E-Mail-Anhänge, Programmfehler oder Ihre eigene Unaufmerksamkeit auf Ihr System (siehe Workshop 6 und 7). Windows XP bietet in diesem Bereich von Haus aus keinen Schutz und Sie sind auf eine externe Antiviren-Software angewiesen. Die gängigen Produkte bieten eine komfortable Oberfläche und zeitgesteuerte Updates. Auch hier gilt es, mindestens wöchentlich nachzuschauen, ob ein Virendefinitions-Update zur Verfügung steht und eine komplette Überprüfung aller Laufwerke vorzunehmen. Im Anhang ist die Installation des für den persönlichen Gebrauch kostenlosen Produktes AntiVir beschrieben. Ich gehe im weiteren Verlauf des Buches davon aus, dass Sie eine Antiviren-Software installiert haben.
W E R K S TAT T
33
Workshop 1 – Windows XP vorbereiten
1.6
Browser und E-Mail-Client
Standardmäßig kommen in Windows XP der Internet Explorer und das E-Mail-Programm Outlook Express zum Einsatz. Auch diese Programme benötigen natürlich Pflege, sprich Updates. Über das Windows Update können Sie beide Programme auf dem aktuellen Stand halten. Momentan (Mai 2003) ist die Version 6.0 mit dem Service Pack 1 sowie diversen Patches aktuell. Außer diesen Sicherheits-Updates „unter der Haube“ bieten der Internet Explorer und Outlook Express noch viele Einstellungsmöglichkeiten für die verschiedenen Webtechnologien. Es gibt auch noch einen weiteren Browser in Ihrem Betriebssystem.
MSN Explorer Außer dem Internet Explorer befindet sich auch der MSN Explorer auf Ihrem Rechner. Der MSN Explorer ist in den USA als Konkurrenzprodukt zur AOL-Software konzipiert worden und regelt den einfachen Umgang mit dem Microsoft Network Dienst (http://www.msn.de/). Dieser Dienst ist in den USA weit verbreitet, konnte aber in Deutschland noch nicht richtig Fuß fassen.
Internet Explorer Der Internet Explorer ist der Dreh- und Angelpunkt vieler Funktionen von Windows XP. Immer, wenn Sie eine Online-Verbindung erstellen, hat auch der Internet Explorer in irgendeiner Weise seine Finger im Spiel. Er ist sehr tief im System verankert und daher können Sie ihn auch nicht vollständig deinstallieren, sondern nur deaktivieren. Wegen der zahlreichen Sicherheitslöcher wurde er immer wieder überarbeitet. Bei der Standard-Installation ist der Internet Explorer so konfiguriert, dass möglichst viele Internetseiten korrekt dargestellt werden. Diese korrekte Darstellung eröffnet aber auch viele Sicherheitslücken, siehe Workshops 6 und 6. Als Otto-Normal-Surfer stecken Sie in einem Dilemma: Einerseits sind JavaScript und ähnliche Webtechnologien Sicherheitsrisiken, andererseits funktionieren viele Angebote im Internet nicht ohne sie. Ein ständiges An- und Ausschalten ist mühselig und so bleiben die gefährlichen Einstellungen meist freigeschaltet. Einen Ausweg bietet das Zonenmodell des Internet Explorers. Das Zonenmodell des Internet Explorers Hier lassen sich „vertrauenswürdige Websites“ definieren, die mehr dürfen als „nicht vertrauenswürdige Websites“. Letztere müssen dann evtl. ohne aktive Inhalte auskommen und stellen kein potenzielles Risiko mehr dar. In die Einstellungen gelangen Sie im Internet Explorer über Extras/Internetoptionen/Sicherheit (Abbildung 1.14).
34
W E R K S TAT T
Browser und E-Mail-Client
Abbildung 1.14: Internetoptionen – Sicherheit – Zonenmodell
Im Internet Explorer lassen sich vier verschiedene Zonen unterscheiden: Internet Mit den Einstellungen dieser Zone werden zunächst alle Seiten im Internet angezeigt. Lokales Intranet Die Einstellungen dieser Zone gelten zunächst für alle Seiten im lokalen Intranet (Firmennetz). Vertrauenswürdige Sites Hier können Sie vertrauenswürdige Seiten mit lockereren Sicherheitseinstellungen eintragen. Eingeschränkte Sites Hier können Sie Seiten aufnehmen, die Sie als gefährlich erachten. In der Standardeinstellung surfen Sie im Internet nur in der ersten Zone. Das heißt, jede Seite, die Sie aufrufen, unterliegt den Einstellungen, die Sie für diese Zone festgelegt haben. Die Einstellungen können Sie mit einem „Sicherheits-Schieberegler“ auf hoch oder sehr niedrig stellen und zusätzlich noch jede Stufe in Einzelheiten verändern. Wenn Sie die Sicherheit in der Internetzone auf hoch stellen, kristallisiert sich nach und nach heraus, welche Seiten Sie häufig besuchen und vor allem, ob diese Seiten
W E R K S TAT T
35
Workshop 1 – Windows XP vorbereiten
irgendwelche Einstellungen benötigen, die Sie nicht freigegeben haben. Sie erkennen die Zone beim Surfen in der Statuszeile des Internet Explorers (Abbildung 1.15).
Abbildung 1.15: Eine Seite in der Internetzone
Wenn Sie nun Seiten, die Sie kennen und denen Sie vertrauen, in die Zone Vertrauenswürdige Sites aufnehmen, können sie dort den Schieberegler auf niedrig stellen und sich sicher sein, dass dort nichts Fürchterliches passieren wird. Hierzu gehen Sie in den Internetoptionen auf die entsprechende Zone und klicken auf Sites (Abbildung 1.16).
Abbildung 1.16: Zone Vertrauenswürdige Sites
Wenn Sie nun diese Seite mit dem Internet Explorer aufrufen, so merkt er, dass es sich um eine vertrauenswürdige Seite handelt, und benutzt die Einstellungen für diese Zone. Außerdem wird in der Statuszeile ein entsprechender Hinweis angezeigt (Abbildung 1.17).
36
W E R K S TAT T
Browser und E-Mail-Client
Abbildung 1.17: Eine Seite aus der vertrauenswürdigen Zone
Durch einen Doppelklick auf dieses Symbol erreichen Sie die Sicherheitseinstellungen am schnellsten. Die vier Zonen symbolisieren letztlich verschiedene Sicherheitseinstellungen, in die Sie einzelne Seiten einordnen können. Spezielle Einstellungen für einzelne Seiten sind nicht möglich. Grundsätzlich sollte man sich gut überlegen, ob man einem Anbieter wirklich das nötige Vertrauen ausspricht, bevor man seine Seite für vertrauenswürdig erklärt. Die meisten Seiten werden heute dynamisch aus Datenbankinhalten beim Aufruf zusammengebaut und teilweise mit Fremdinhalt versehen. Im Auktionshaus Ebay geht es beispielsweise recht zivilisiert in Sachen Webtechnologien zu. Es gibt keine PopUps oder andere nervige Dinge (zumindest momentan). Also eine vertrauenswürdige Seite! Doch Ebay bietet seinen Benutzern die Möglichkeit, eigene Inhalte in Form der Artikelbeschreibung zu hinterlegen. Diese Inhalte können natürlich auch aus bösartigem Code bestehen, der die Filter von Ebay umgeht, und dann wegen der laschen Sicherheitseinstellungen auf Ihrem Rechner Schaden verursachen, bzw. Sie dazu verleiten kann, etwas zu bestätigen, was Sie sonst nicht machen würden. Neben der Verwendung des Schiebereglers können Sie auch die mehr als 20 Möglichkeiten Schritt für Schritt durchsehen und manuell konfigurieren. Eine genaue Darstellung der einzelnen Punkte mit ihren Vor- und Nachteilen würde ein ganzes Buch füllen und deswegen möchte ich hier darauf verzichten. Im weiteren Verlauf des Buches werden wir auf die eine oder andere Einstellung zu sprechen kommen3. Ein kurzes Beispiel: Es ist eine gute Idee, Active Scripting zu deaktivieren. Active Scripting bietet Internetseiten die Möglichkeit, Ihren Rechner komplett fernzusteuern. Das muss nichts Schlechtes sein. Das Windows Update funktioniert beispielsweise über Active Scripting. Grundsätzlich kann man mit dieser Technologie aber auch den größtmöglichen Schaden anrichten und beispielsweise Dateien löschen oder mal eine E-Mail an alle 476 Einträge Ihres Adressbuches verschicken oder vielleicht auch nur zwei oder drei .
-
3.
Eine detaillierte Erklärung der einzelnen Punkte finden Sie unter http://www.heise.de/ct/browsercheck/ ie60anpassen.shtml.
W E R K S TAT T
37
Workshop 1 – Windows XP vorbereiten
Nach Abschalten von Active Scripting versteht der Internet Explorer leider auch kein JavaScript mehr. JavaScript wird verwendet, um Dynamik auf Webseiten zu erzeugen und Tätigkeiten vom Server auf Ihren Browser zu verlagern. Es ist weitgehend harmlos, da es keinen Zugriff auf das Dateisystem hat. JavaScript wird meist für Navigationselemente benutzt, beispielsweise wenn Sie mit der Maus über einen Link fahren und dieser die Farbe wechselt, außerdem für Formularüberprüfungen (besteht die eingebene Postleitzahl aus Ziffern?) und dynamische Gimmicks (eine Webseite dimmt sich hell oder dunkel je nach Tageszeit). Da nach der Abschaltung dieses Feature nicht mehr funktioniert, wird man notgedrungen Active Scripting wieder aktivieren, um alle Webseiten sehen und bedienen zu können. Für dieses Problem gibt es von der Zeitschrift c't ein Tool, das die Trennung von JavaScript und Active Scripting ermöglicht (siehe Anhang A).
Outlook Express Outlook Express interpretiert HTML-E-Mails so, wie es im Zonenmodell des Internet Explorers festgelegt ist. D. h. es führt unter Umständen auch ActiveX-Komponenten oder sonstige Dinge aus. Wählen Sie daher in Outlook Express unter Extras/Optionen/ Sicherheit die Zone für eingeschränkte Seiten aus. In dieser Zone ist die Standardeinstellung für die Sicherheit hoch und Sie vermeiden dadurch schon viele Gefahren. Eine ausführliche Erklärung zu diesem Thema finden Sie im Workshop 6 über E-Mail-Würmer.
Die Alternative Mozilla Wenn Sie von den Möglichkeiten des Service Packs 1 Gebrauch machen, so können Sie eine alternative Browser- und E-Mail-Software installieren. Es gibt ein Open Source-Projekt namens Mozilla mit einem integriertem E-MailClient (Installation siehe Anhang A). Sicherheitsprobleme sind hier weitgehend unbekannt. Das hat damit zu tun, dass der Quellcode des Programms im Gegensatz zum Internet Explorer einsehbar ist und jeder ihn überprüfen kann. Durch diese Offenheit stellen solche Projekte selten ein Feindbild für Cracker4 dar. Die Herausforderung ist eher, den unsicheren Code besser zu machen. Das Mozilla-Projekt ist eine echte Alternative zum Internet Explorer und Outlook Express, da es sich sehr dynamisch weiterentwickelt und vor allem einen plattformneutralen Ansatz verfolgt.
4.
38
Ein Cracker ist jemand, der unbefugt und vorsätzlich mit bösartiger Absicht in fremde Rechner eindringt. Ein Cracker ist die Negativ-Variante eines Hackers. Ein Hacker ist immer ein wohlwollender Computerfreak (aus RFC 1983, die auf der Buch-CD im Verzeichnis zu diesem Workshop enthalten ist).
W E R K S TAT T
Office-Programm
1.7
PROFITIPP
Probieren Sie es einfach mal aus. Installieren Sie den Mozilla, wie im Anhang beschrieben. Die Zeiten sind vorbei, in denen manche Internetseiten ausschließlich mit dem Internet Explorer vernünftig angezeigt wurden. Benutzen Sie den Internet Explorer für das Windows Update (wenn Sie die automatische Variante bevorzugen) und nehmen Sie zum Surfen im Internet den Mozilla sowie dessen E-Mail-Programm.
Office-Programm
Jeder PC-Benutzer benötigt meistens eine Textverarbeitung, eine Tabellenkalkulation und eine Präsentationssoftware. Microsoft Office XP bietet das alles und noch viel mehr, kostet aber natürlich Geld. Office XP setzt momentan die Standards im OfficeBereich, wird meistens bei Firmen als Standard installiert und gilt als Cash Cow der Firma Microsoft. Sollten Sie im Besitz des Programms sein, so achten Sie wieder auf die Update-Problematik. Auch Office XP ist über das Windows Update steuerbar. Sollten Sie noch kein Office-Programm auf Ihrem PC installiert haben, so gibt es zwei interessante Alternativen.
Sun StarOffice In den 80er Jahren lebte der damals 16-jährige deutsche Schüler Marco Börries als Austauschschüler im Silicon Valley und begann dort Office-Software zu entwickeln. 1986 gründete er die Firma StarDivision mit Sitz in Hamburg und entwickelte zahlreiche Office-Programme. Die Firma wurde 1999 für 73,5 Millionen Dollar von Sun Microsystems aufgekauft. Sun StarOffice 5.1a war die erste Version der Software, die unter Sun's Namen veröffentlicht wurde. Die aktuelle Version 6.0 von StarOffice erschien im Mai 2002. SUN StarOffice 5.2 für Windows und Linux gibt es mittlerweile kostenlos. Die weiterentwickelte Version 6.0 muss käuflich erworben werden. Das hat mit Lizenzrechten bei der Rechtschreibprüfung und einigen anderen Codeteilen zu tun. StarOffice 5.2 ist etwa auf dem Niveau von Office 97 und reicht für normale Office-Tätigkeiten völlig aus. Außerdem im Paket enthalten sind ein HTML-Editor und ein E-Mail-Client.
OpenOffice.org Das Projekt OpenOffice.org wurde im Oktober 2000 von Sun als Open Source Projekt gegründet, um das führende internationale Office-Paket zu entwickeln, das auf allen wichtigen Plattformen läuft und ein XML-basiertes Dateiformat besitzt. Als Grundlage dient der Quellcode von StarOffice 5.2. Der Quellcode ist in C++ geschrieben und es werden Programmier-Schnittstellen (API) zur Verfügung gestellt, die es erlauben,
W E R K S TAT T
39
Workshop 1 – Windows XP vorbereiten
OpenOffice.org eingebettet in anderen Anwendungen zu verwenden. Im Mai 2002 wurde dann die erste offizielle Version freigegeben. Zwischenzeitlich gibt es OpenOffice.org in der deutschen Version 1.03 und darüber hinaus in vielen anderen Sprachen. Beide Office-Pakete sind weitgehend mit dem Office-Paket von Microsoft kompatibel. Alle MS Office-Formate (doc, xls, ...) können importiert und exportiert werden. Bei komplexen Excel-Makros und aufwändig geschachtelten Tabellen mit Grafikeinbindung in Word funktioniert die Import-Funktion nicht immer korrekt, aber für den normalen Brief mit Kopf und Fußzeile, sowie eingebundenen Logos reichen beide Systeme locker aus. Die Komponenten, die zwar in StarOffice, nicht aber in OpenOffice.org verfügbar sind, sind: ■ bestimmte Schriftarten (einschließlich spezieller asiatischer) ■ das Datenbank Modul (Adabas D) ■ Vorlagen ■ eine umfassende ClipArt-Gallerie ■ besondere Sortierfunktionen (asiatische Version)
PROFITIPP
■ spezielle Dateifilter
Wenn Sie zu den 95 % Microsoft Office-Benutzern gehören, die sich noch niemals mit den Feinheiten der Makroprogrammierung oder der komplexen Vorlagen-Erstellung, mit dem Schützen von Bereichen oder ausgefeilten Pivot-Tabellen in Excel beschäftigt haben, und Sie der Meinung sind, dass für Ihre täglichen Aufgaben eigentlich seit Jahren alle wichtigen Funktionen im Überfluss vorhanden sind, so sollten Sie einen ernsthafteren Blick auf OpenOffice.org werfen. Die Entwicklung von OpenOffice.org begann etwa auf dem Level von Microsoft Office 97 und entwickelt sich durch das offene Dateiformat und die engagierte Entwicklergemeinde zu einer in Teilen auch einfacheren Lösung.
Die Installation von OpenOffice.org in der Version 1.03 wird im Anhang A beschrieben.
40
W E R K S TAT T
Workshop 2 Vertrauliche Daten verschlüsselt senden Bei der Darstellung von E-Mails verwenden die meisten Programme als Symbol einen Brief. „You’ve got mail“, der sagenumwobene Satz von AOL, wird meistens mit „Sie haben Post bekommen“ übersetzt. Und wenn man Post bekommt, dann befindet die sich normalerweise in einem verschlossenen Umschlag. Nur Postkarten, die einen darüber informieren wie das Wetter und das Frühstücksbuffet auf Mallorca sind, werden ohne Umschlag verschickt und sind für jeden lesbar. Alle E-Mails, die Sie verschicken, haben einen Empfänger und einen Absender. Der Weg, den die E-Mail durch das Internet geht, ist nicht vorhersehbar. Abhängig von verschiedenen Faktoren werden mehrere Wege eingeschlagen und so ist es durchaus normal, wenn Ihre E-Mail über vier oder fünf Vermittlungsstellen weitergeleitet wird. Das aber, was da weitergeleitet wird, ist im oben beschriebenen Sinne eine Postkarte und keineswegs ein Brief. Das heißt, jeder, der ein Interesse an Ihrer E-Mail hat, kann sie lesen. Wenn Sie sich beispielsweise bei Amazon oder Ebay mit Ihren persönlichen Daten und Kontoverbindungen anmelden, so erhalten Sie eine Bestätigungsmail. Wenn Sie mal Ihr Passwort vergessen, so erhalten Sie ebenfalls eine E-Mail, in der Ihr Passwort steht. Diese E-Mails sind für alle am Transport Beteiligten problemlos lesbar. Amazon und Ebay versuchen über das Post Ident-Verfahren und/oder über SSL (= Secure Socket Layer) verschlüsselte Browserverbindungen die Risiken zu minimieren. Blättern Sie mal ein wenig in den E-Mails der vergangenen sechs Monate und überlegen Sie sich, welche Informationen jemand aus Ihrem E-Mail-Verkehr gewinnen könnte.
Workshop 2 – Vertrauliche Daten verschlüsselt senden
2.1
Die Erfindung des Briefumschlags
„Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich“ (Grundgesetz Art. 10, Abs. 1). Was in der realen Welt eine Selbstverständlichkeit darstellt, wird im Internet durch Methoden der Kryptografie möglich. Kryptografie ist die Wissenschaft von der Verschlüsselung von Daten und deren Anwendung. Mit kryptografischen Methoden kann man E-Mails verschlüsseln und damit in einen Umschlag packen, den nur der Empfänger öffnen kann.
2.2
Ver- und Entschlüsseln
Ein Schlüssel ist ein individuelles Konstrukt. Sie können beispielsweise Ihren Namen verschlüsseln, indem Sie statt der Buchstaben die Stelle im Alphabet angeben. Aus Graf wird dann 7*18*1*6. Die Sterne dienen nur der Abgrenzung. Wenn Sie nun noch das Tagesdatum abziehen (heute ist der 17. März), so erhalten Sie –10*1*-16*-11. Um es für Dritte schwerer zu machen, denken Sie sich noch eine Zahl aus und bauen Sie sie in Ihren Rechenweg mit ein. Das ist der Schlüssel. Das, was wir hier tun, ist die Entwicklung eines sehr einfachen Verschlüsselungsalgorithmus. Sie erfinden einen Weg, um eine Nachricht komplizierter als normal darzustellen. Es gibt viele verschiedene öffentlich bekannte und überprüfte Verschlüsselungsalgorithmen. Das Ziel ist immer, eine auf der einen Seite möglichst unlösbare Verkomplizierung des ursprünglichen Textes zu erzeugen und auf der anderen Seite eine einfache Entschlüsselung beim Empfänger zu ermöglichen. Wenn diese öffentlich bekannten Algorithmen mit geheimen Schlüsseln versehen werden, so kann kein Dritter ohne Kenntnis des Schlüssels die Nachricht mitlesen.
Symmetrische Verschlüsselung Schon im antiken Griechenland wurde die symmetrische Verschlüsselung benutzt, bei der Sender und Empfänger den gleichen Verschlüsselungsalgorithmus verwenden. Die verschlüsselte Nachricht und der Schlüssel wurden getrennt voneinander transportiert. Die Nachricht konnte ruhig in die Hand von Dritten fallen, ohne den Schlüssel war sie wertlos. Der Schlüssel allein nutzte auch nichts. Dieses Verfahren ist besonders bei pro Nachricht wechselnden Schlüsseln sehr effektiv und wurde lange Zeit von Diplomaten eingesetzt.
42
W E R K S TAT T
Ver- und Entschlüsseln
Abbildung 2.1: Symmetrische Verschlüsselung
Bis zum Jahre 1976 änderte sich an dem Verfahren im Wesentlichen nichts.
Asymmetrische Verschlüsselung Das größte Problem bei der symmetrischen Verschlüsselung war der Transport der Schlüssel. 1976 wurde das Prinzip der asymmetrischen oder „Public Key“-Verschlüsselung entdeckt. Hierbei gibt es einen öffentlichen, für jeden zugänglichen, und einen privaten, geheimen Schlüssel. Der öffentliche Schlüssel steht beispielsweise auf der eigenen Homepage. Den privaten Schlüssel hat nur der Eigentümer.
Abbildung 2.2: Asymmetrische Verschlüsselung
Das Prinzip ist so einfach wie genial. Beispiel: Müller will Schulze eine verschlüsselte Nachricht schicken. Müller kopiert sich Schulzes öffentlichen Schlüssel von dessen Homepage und verschlüsselt damit und mit seinem privaten Schlüssel die Nachricht. Dann schickt er sie an Schulze. Schulze kann die Nachricht mit seinem geheimen Schlüssel und Müllers öffentlichen Schlüssel wieder entschlüsseln und lesen. Wenn Schulze an Müller schreiben will, wird das umgekehrte Verfahren eingesetzt.
W E R K S TAT T
43
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Dieses Verfahren stellt sicher, dass nur der rechtmäßige Empfänger (der Inhaber des geheimen privaten Schlüssels) in der Lage ist, die an ihn gerichtete Nachricht zu entschlüsseln. Vor allem aber ist der Transport des Schlüssels kein Problem mehr, da es „den einen Schlüssel“ nicht mehr gibt und eine Rekonstruktion des privaten Schlüssels mit heutigen Mitteln unmöglich ist. Durch die Kombination der öffentlichen und privaten Schlüssel ist es nach einem einmaligen, ungefährlichen Austausch der öffentlichen Schlüssel möglich, die verschlüsselte Nachricht zu verschicken. Das Hauptproblem der symmetrischen Verschlüsselung ist damit gelöst.
Digitale Signatur Um zu überprüfen, ob eine Nachricht wirklich von dem stammt, der sich als Absender ausgibt, ist es möglich, eine Nachricht mit dem eigenen, nur Ihnen bekannten, Schlüssel zu signieren. Die Nachricht an sich ist unverschlüsselt. Außerdem kann der Empfänger mit Hilfe des öffentlichen Schlüssels des Senders überprüfen, ob das Dokument seit der Signierung (Unterschrift) verändert worden ist. Die Signatur ist also nur ein Prüfmerkmal, das anzeigt, ob eine Nachricht oder ein Dokument seit der „digitalen Unterschrift“ verändert wurde und ob sie tatsächlich von demjenigen stammt, der als Absender angegeben ist. Dies kann in der Tat jeder prüfen, der den öffentlichen Schlüssel kennt. Die Unverfälschtheit (Integrität) der Nachricht kann mit einfachen Einweg-Hash-Funktionen überprüft werden. Solche Einweg-Hashfunktionen ermöglichen die Verschlüsselung ausschließlich in eine Richtung. Sie können aus der verschlüsselten Zeichenfolge nicht mehr auf das Original schließen. Auch die Algorithmen dieser Funktionen sind öffentlich bekannt. Das Ergebnis einer solchen Einwegverschlüsselung ist ein sogenannter Hash-Wert oder auch Fingerprint.
Hybride Verschlüsselung Bei der hybriden Verschlüsselung werden beide Verfahren kombiniert. Da die asymmetrische Verschlüsselung mehr Rechenleistung für das Ver- und Entschlüsseln benötigte, kombinierte man beide Verfahren und verschickte per asymmetrischer Verschlüsselung den relativ kleinen Schlüssel und anschließend per symmetrischer Verschlüsselung die meist erheblich größere Nachricht. Dadurch wurden die Vorteile beider Techniken gebündelt. Im Zeitalter heutiger Rechenleistungen ist dieses Problem nicht mehr so gravierend. Die hybride Verschlüsselung kommt beispielsweise bei der Steganografie und beim Online-Banking im Falle des Protokolls HBCI zum Einsatz.
44
W E R K S TAT T
Ver- und Entschlüsseln
Schlüssellänge Je länger der Schlüssel ist, desto länger dauert es, ihn durch Ausprobieren zu erraten. Die momentan sicherste Variante sind 2048 Bit lange Schlüssel. Mit zunehmender Rechenleistung ist natürlich jeder Schlüssel zu knacken, aber bis diese Rechenleistung für jeden zur Verfügung steht, werden noch ein paar Jahrzehnte ins Land gehen. Sie können jetzt selbst darüber spekulieren, ob die schnellen Spionagerechner der USA diesen Schlüssel in erheblich schnellerer Zeit knacken können oder nicht.
Steganografie Das Wort Steganografie kommt aus dem Griechischen und bedeutet soviel wie „verborgenes Schreiben“. Sie dient dazu, eine Nachricht in ein neutrales Trägermedium einzubetten. Der Empfänger benutzt denselben Algorithmus wie der Absender und einen vorher vereinbarten Schlüssel (Kennwort) zur Entschlüsselung. So kann eine Nachricht in eine Bild- oder Musikdatei (BMP, TIF, WAV etc.) „geschmuggelt“ werden, ohne dass sich die Funktionalität der Datei verändert. Das Bild sieht immer noch gleich aus und die WAV-Datei lässt sich problemlos abspielen. Bei unkomprimierten Bilddateien als Trägermedium kann man beispielsweise die Nachricht in den niedrigsten Farbwerten eines Bildpunktes (Pixel) unterbringen. Änderungen an diesen Stellen haben keinen Einfluss auf die Bildwahrnehmung durch den Betrachter. Das Verfahren funktioniert nur bei Formaten, bei denen nicht mit Verlusten komprimiert wird. Wenn geringfügige Veränderungen des Bildes bei der Komprimierung auftreten, wie beispielsweise beim für Fotos benutzten JPEG-Format, müssen komplexere Algorithmen verwendet werden. So genannte adaptive steganografische Algorithmen passen darüber hinaus die Einbettungsoperation sogar an den jeweiligen Bildinhalt an. Die Nachricht sieht dann quasi so ähnlich aus wie der Himmel auf dem Foto. Viele Algorithmen verteilen die Nachricht über den gesamten Bereich des Trägermediums. Dadurch wird eine leichte Entdeckung vermieden, denn Einbettungen, die beispielsweise nur im ersten Drittel einer Datei stehen, werden schneller entdeckt. Traurige Berühmtheit erlangten Steganografie-Programme nach den Anschlägen des 11.09.2001. Die Zeitung USA Today wies bereits am 1. Mai 2001 darauf hin, dass Osama Bin Ladens Terrororganisation Pornobilder im Internet dafür benutzt, steganografisch verschlüsselte Nachrichten auszutauschen. Nach den Attentaten führte dieser Hinweis zu umfangreichen Diskussionen1. Ob wirklich Steganografie für diesen Zweck benutzt wurde, ist nicht geklärt. Die Technik des Versteckens von Informationen in Bildern wurde aber mit einem Mal einer breiten Öffentlichkeit bekannt.
1.
http://www.heise.de/tp/deutsch/special/info/12884/1.html
W E R K S TAT T
45
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Eine nette und besonders anschauliche Form der Steganografie finden Sie auf der Seite http://www.spammimic.com. Hier werden kurze Mitteilungen in Spam-E-Mails untergebracht.
PROFITIPP
Spam
Abbildung 2.3: Eine Dose SPAM
-
Der Begriff stammt ursprünglich aus dem Jahre 1936. Jay C. Hormel, von der Hormel Foods Corporation aus Austin, USA. Dieser nannte seine neueste Kreation aus Schinken, Schweineschulter und einer geheimen Würzmischung SPAM luncheon meat. SPAM ist ein Kunstwort aus den jeweils ersten und letzten zwei Buchstaben von „Spicy Ham“. Bei uns in Deutschland wurde der Gaumengenuss unter „Frühstücksfleisch“ bekannt. Im Internet versteht man darunter Werbe-E-Mails, die unaufgefordert im eigenen Postfach landen. Offiziell heißt das Phänomen Unsolicited Broadcast Email (UBE). Das Frühstücksfleisch wird übrigens groß geschrieben (SPAM), die E-Mail-Plage klein (Spam). Die Verbindung zwischen der Dose und dem Phänomen im Internet stellte übrigens die Komikertruppe Monty Python durch einen Sketch her, in dem sie sich ein Frühstück servieren läßt und in allen Speisen SPAM enthalten ist. Immer wenn das Wort SPAM auftaucht, ertönt ein Lied darüber. Sketch und Lied finden Sie unter:
http://www.detritus.org/spam/skit.html
Sie geben eine kurze Nachricht ein, beispielsweise „Siemens bei 800 Euro verkaufen“ und spammimic macht daraus einen Text, der aussieht wie eine dieser Nachrichten, die sicherlich auch in Ihrem E-Mail-Postfach täglich zu finden sind (Abbildung 2.4).
46
W E R K S TAT T
S/MIME
Abbildung 2.4: Eine steganografische Methode bei spammimic.com
Dann kopieren Sie den Text in eine E-Mail. Der Empfänger muss das Prinzip natürlich kennen und kann dann seinerseits die Nachricht auf der Seite von spammimic.com wieder decodieren.
2.3
S/MIME
Das Secure/Multipurpose Internet Mail Extensions (S/MIME) Protokoll ist eine Sicherheits-Erweiterung des Multipurpose Internet Mail Extensions (MIME) Protokolls und wurde ursprünglich von der Firma RSA Data Security Inc. entwickelt. MIME wiederum ist eine Erweiterung des E-Mail-Standards um die Möglichkeit, Anhänge zu verschicken. Prinzipiell geht es also darum, außer einfachen Textbotschaften, E-MailGebilde zu erstellen, die eine Nachricht und beliebig viele Anhänge in verschiedenen Formaten haben. Und das Ganze bitte sicher und verschlüsselt. S/MIME beruht auf der asynchronen Verschlüsselungsmethode und benutzt die Public Key Cryptografics Standards (PKCS). Es wurde durch eine Gruppe von Herstel-
W E R K S TAT T
47
Workshop 2 – Vertrauliche Daten verschlüsselt senden
lern entwickelt und Microsoft setzt es beispielsweise in Outlook Express als Verschlüsselungsmethode ein. Mit S/MIME lassen sich auch E-Mail-Anhänge verschlüsseln.
2.4
PGP, GnuPP und OpenPGP
Philip Zimmermann2 programmierte im Jahre 1991 die erste Version von Pretty Good Privacy (PGP). Das Programm benutzte das Public Key-Verfahren und war zunächst von keiner Instanz der Welt kontrollierbar. Es folgten 12 aufregende Jahre, in denen die amerikanische Regierung versuchte, Zugriff auf die verschlüsselten Daten bzw. eine Hintertür im Verschlüsselungsverfahren zu erhalten. Einen großen Teil der Story können Sie auf Philip Zimmermanns Homepage nachlesen. In dieser Geschichte ist so ziemlich alles enthalten, was eine perfekte Kinostory ausmachen würde. Aus PGP ist heute ein öffentlicher Standard (OpenPGP3), ein Projekt (GnuPP4) und eine kommerzielle Version von PGP (mittlerweile in der Version 8.0) geworden und die US-Regierung hat auch eine Lösung gefunden. OpenPGP ist ein offener Standard. Die daraus entwickelte Software muss nicht den Quelltext offen legen. GnuPP steht unter der GPL-Lizenz, die besagt, dass der Quelltext für jeden überprüfbar ist und alle Weiterentwicklungen ebenfalls diese Eigenschaft haben müssen. Das Projekt wird vom deutschen Bundesministerium für Wirtschaft und Technologie gefördert. Ein wichtiges Ziel dabei ist die Entwicklung einer komfortablen Benutzeroberfläche, die möglichst plattformneutral, also unter Windows, Unix, Linux, Apple etc. einsetzbar ist.
2.5
Unterschiede zwischen S/MIME und OpenPGP, PGP und GnuPP
Alle Ansätze verwenden die gleichen Verschlüsselungsalgorithmen und können gewissermaßen als Briefumschlag für eine E-Mail angesehen werden. Aber was sind dann die Unterschiede zwischen S/MIME und den anderen Tools?
Quellcode Ein Unterschied liegt in der Offenheit bzw. Geschlossenheit des Quellcodes. GnuPP und PGP 8.0 in der Freeware-Variante legen ihren Quellcode offen. Dadurch kann jeder die Verschlüsselungsalgorithmen im Programm-Quelltext überprüfen und sicher 2. 3. 4.
48
http://www.philzimmermann.com http://www.openpgp.org http://www.gnupp.de
W E R K S TAT T
Unterschiede zwischen S/MIME und OpenPGP, PGP und GnuPP
gehen, dass keine dritte Instanz, wie beispielsweise ein Geheimdienst oder die Firmenleitung, Zugang zu den Schlüsseln hat.
Netze des Vertrauens und Organisationen des Vertrauens Bei GnuPP und PGP werden die Schlüssel vom Benutzer selbst erzeugt und bewertet. Dadurch entsteht ein „Netz des Vertrauens“ zwischen den Benutzern, die miteinander kommunizieren. Jeder Benutzer kann die Schlüssel anderer Benutzer nach verschiedenen Kriterien bewerten und baut sich damit einen persönlichen Vertrauenspool auf, der keinen Dritten etwas angeht. S/MIME dagegen beruht auf der Idee von Zertifikatsketten. Eine Institution des Vertrauens (Certification Authority, CA) stellt die höchste Zertifizierungsinstanz dar (Root CA). Sie zertifiziert andere untergeordnete Instanzen (CA), die dann an Firmen oder Privatpersonen gegen einen nicht unerheblichen Geldbetrag Zertifikate ausgeben dürfen. Dabei überprüft die CA die Angaben des Antragstellers und bürgt dafür gegenüber Dritten. Diese strenge Hierarchie nennt man Zertifikatskette. Zertifikatsketten werden auch bei der SSL-Verschlüsselung (zwischen Browser und Webserver) und IPSec (innerhalb eines WLANs zwischen Access-Point und Client-Rechner) eingesetzt. Normalerweise entscheidet der Benutzer darüber, ob eine CA für ihn vertrauenswürdig ist oder nicht. In Windows XP nimmt Microsoft dem Benutzer diese Arbeit ab! Das Betriebssystem gleicht die Daten der vorhandenen Zertifikate der gängigen CAs mit dem MicrosoftServer ab. Betrachtet Microsoft eine Zertifizierungsinstanz als vertrauenswürdig, so gilt das auch für Ihr Windows XP und letztlich für Sie. Sie können manuell weitere CAs hinzufügen und vorhandene löschen. Wie so oft ist es eine Form der Bequemlichkeit, wenn Microsoft eine Auswahl bereits bereitstellt. Auch über das Windows Update hat Microsoft die Möglichkeit, Zertifikate zu installieren oder zu löschen. Im Media Player ist eine solche Funktion tatsächlich integriert und erlaubt einen Abgleich mit dem Microsoft-Server bzgl. der verwendeten Lizenzen (Abbildung 2.5).
W E R K S TAT T
49
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Abbildung 2.5: Media Player – Optionen
Auf dieser Basis ist es möglich, Digital Rights Management (DRM) zu betreiben und beispielsweise eine Musikdatei anzubieten, die nur ein paar Tage funktioniert und nach einer gewissen Zeit nicht mehr abspielbar ist. Auch hier ist der Hintergrund kein schlechter, es ist einfach wichtig zu wissen, welche Möglichkeiten sich Dritten bieten!
Digitale Signatur mit Zertifikat Ein digitales Zertifikat ist ein elektronischer Ausweis, mit dem Sie sich in der digitalen Welt gegenüber anderen ausweisen können. Um ein Zertifikat zu erhalten, muss die CA eine Identitätsprüfung vornehmen. Danach wird ein digitales Zertifikat ausgestellt, das bestätigt, dass Ihre Angaben im Zertifikat mit den tatsächlichen Daten (E-MailAdresse, Name, Anschrift etc.) übereinstimmen und dass der öffentliche Schlüssel wirklich Ihnen gehört. Die Zertifikate werden mit dem privaten Schlüssel der CA digital unterschrieben und es ist für jeden ersichtlich, welche CA das Zertifikat ausgestellt hat. Das Standardformat für Zertifikate ist X.509. Es wird von den gängigen Browsern und E-Mail-Programmen unterstützt. X.509-Zertifikate beinhalten den Namen des Ausstellers, die CA, Informationen über die Identität des Inhabers sowie die digitale Signatur des Ausstellers. Viele CAs bieten sowohl X.509- als auch PGP-Zertifikate an.
50
W E R K S TAT T
Unterschiede zwischen S/MIME und OpenPGP, PGP und GnuPP
Man unterscheidet zwischen verschiedenen Zertifikatsklassen. Diese beschreiben die Art der Überprüfung der Inhalte sowie die Art der Identitätsfeststellung – und damit der Vertrauenswürdigkeit. Bei Zertifikaten für Einzelpersonen gibt es: Class 0 Die Class 0-Zertifikate sind meist Demo-Zertifikate für Testzwecke und haben oft eine beschränkte Gültigkeitsdauer (30 Tage). Class 1 Class 1-Zertifikate bestätigen, dass die angegebene E-Mail-Adresse existiert, und der Besitzer des zugehörigen öffentlichen Schlüssels Zugriff auf diese E-Mail-Adresse hat. Sie stellen damit nur einen sehr geringen Nachweis der Identität dar. Da keine Überprüfung anhand von Unterlagen stattfindet, können Class 1-Zertifikate (ExpressZertifikat) binnen weniger Minuten ausgestellt und an den Kunden ausgeliefert werden. Class 1-Zertifikate sind ideal für private Nutzer, die erste Schritte auf dem Weg zur sicheren Internet-Kommunikation gehen wollen und den Umgang mit verschlüsselten E-Mails ausprobieren möchten. Class 2 Bei Class 2-Zertifikaten, meist für Unternehmen, wird auf eine persönliche Identitätsfeststellung verzichtet. Eine einfache Kopie des Handelsregisterauszuges zur Feststellung der zeichnungsberechtigten Person und ein schriftlicher Auftrag sind ausreichend. Diese Zertifikate sind hauptsächlich für die gesicherte Kommunikation zwischen einander bereits außerhalb des Internets bekannten Partnern gedacht. Class 3 Class 3 beinhaltet neben der E-Mail-Überprüfung eine persönliche Identitätsprüfung der Person. Mit der Ausstellung eines Class 3-Zertifikats wird von der CA bestätigt, dass diese Person anhand eines amtlich anerkannten Papiers, wie Personalausweis oder Reisepass, identifiziert worden ist und dass die im Zertifikat enthaltenen Angaben zur Person mit den Angaben im Ausweis übereinstimmen. Werden Class 3-Zertifikate für die geschäftliche Nutzung benötigt, so ist neben der Überprüfung der antragstellenden Person auch die Überprüfung der juristischen Person notwendig. Dazu ist u.a. ein beglaubigter Handelsregisterauszug (oder vergleichbare Dokumente) erforderlich. Class 3-Zertifikate sind vor allem für Anwendungen im E-Commerce gedacht wie beispielsweise Internetbanking und Online-Shopping.
W E R K S TAT T
51
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Die Kryptokampagne des Heise-Verlages Der Heise-Verlag bietet seit 1997 die Möglichkeit, bei verschiedenen Messen und Veranstaltungen PGP-Keys zu erzeugen und dann zu zertifizieren. Unter http://www.heise.de/ ct/pgpCA/ können Sie sich informieren und teilnehmen.
Widerruf von Schlüsseln Es kann immer passieren, dass man seinen geheimen Schlüssel vergisst oder dass die Zertifizierungsinstanz plötzlich das Vertrauen in einen Kunden verliert. Was passiert dann? PGP Mit PGP lässt sich eine Widerrufsurkunde für den bekannten öffentlichen Schlüssel erstellen, aus der hervorgeht, dass der öffentliche Schlüssel nicht mehr benutzt werden sollte. Bei bereits verschickten Dokumenten funktioniert er natürlich immer noch und somit wird sichergestellt, dass unterschriebene Dokumente weiterhin ihre Gültigkeit behalten. X.509 Zertifikate Hier werden so genannte Certificate Revocation Lists (CRLs) zusammengestellt, die dann auf speziellen Servern zum Download bereitgestellt werden.
2.6
S/MIME in Windows XP
Als Erstes wollen wir Verschlüsselung mit S/MIME über Outlook Express und das Mozilla-E-Mail-Programm ausprobieren. Ich habe mir zwei E-Mail-Adressen bei dem Freemailer http://www.yahoo.de angelegt. Sie heißen
[email protected] für mich und
[email protected] für Christine. Die 39393 ist übrigens die Postleitzahl meines Wohnortes Ausleben. Hagen arbeitet mit Mozilla Mail und Christine mit Outlook Express. Um die Verschlüsselung bei sich zu Hause auszuprobieren, können Sie ebenfalls die Familienadressen nehmen oder Sie greifen auf einen Bekannten zurück, der Verschlüsselung ebenfalls kennen lernen möchte.
E-Mail-Zertifikat erstellen Woher bekommen wir ein möglichst kostenloses Zertifikat? Bekannte CAs in Deutschland sind http://www.trustcenter.de und http://www.dfnpca.de/certify/. International sind die Firmen http://www.verisign.de und http://www.thawte.de die Marktführer.
52
W E R K S TAT T
S/MIME in Windows XP
Momentan (Mai 2003) bietet http://www.trustcenter.de ein Class 1-Zertifikat für ein Jahr kostenlos an. Also werden wir uns das zunächst einmal erstellen.
1
VORSICHT!
Überlegen Sie sich, welche Ihrer E-Mail-Adressen Sie zertifizieren lassen wollen. Dieses Zertifikat ist echt und gültig. Die CA bürgt dafür mit ihrem Namen.
Gehen Sie auf die deutsche Homepage für Privatanwender (Abbildung 2.6).
Abbildung 2.6: Kostenloses Class 1-Zertifikat bei trustcenter.de
2
Dort erwartet Sie ein fünfteiliger Dialog. Trustcenter.de fordert Sie auf, zunächst die eigenen Zertifikate zu installieren. Das ist in beiden Browsern nicht mehr nötig, denn sie sind bereits installiert. Sie können das überprüfen: im Internet Explorer unter Extras/Internetoptionen/Zertifikate/Vertrauenswürdige Stammzertifizierungsstellen (Abbildung 2.7) und im Mozilla unter Bearbeiten/Einstellungen/Sicherheit/Zertifikate/Authorities (Abbildung 2.8).
W E R K S TAT T
53
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Abbildung 2.7: Vorgegebene CAs im Internet Explorer
Abbildung 2.8: Vorgegebene CAs im Mozilla
3
54
Nach der Eingabe Ihrer Daten werden Sie aufgefordert, mit Ihrem Browser einen Schlüssel zu generieren. Dazu werden Ihnen verschiedene Verschlüsselungsmodule angeboten. Falls Sie Schwierigkeiten mit dem Standard haben, wählen Sie bitte „Microsoft Base Cryptographic Provider 1.0“ aus und erstellen den Schlüssel.
W E R K S TAT T
S/MIME in Windows XP
4
Sie erhalten eine Auftragsnummer und eine E-Mail an die angegebene Adresse. Im Text werden Sie aufgefordert, diese E-Mail in einer bestimmten Art zu beantworten, damit die CA sicher sein kann, dass die E-Mail-Adresse echt ist. Danach erhalten Sie eine zweite E-Mail mit einem Link zur Installation im Internet Explorer. Nachdem Sie auf den Link geklickt haben, wird das Zertifikat per VBSScript installiert (mehr zum Thema Visual Basic Script im Workshop 6).
5
Ich habe beide Zertifikate mit dem Internet Explorer angefordert und entsprechende signierte E-Mails erhalten. Die Signatur erkennt man an bestimmten Zeichen in beiden Mailprogrammen (Abbildung 2.9 und Abbildung 2.10 durch einen Kreis markiert).
Abbildung 2.9: Eine signierte Mail von trustcenter.de in Outlook Express
Abbildung 2.10: Eine signierte Mail von trustcenter.de in Mozilla
W E R K S TAT T
55
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Bei Microsoft ist es eine Art Orden und bei Mozilla ein schreibender Stift. Nach einem Klick auf die Symbole erhält man Informationen über das Zertifikat des Absenders.
6
Nun haben wir die größte Hürde genommen und sind in der Lage, digital signierte und verschlüsselte E-Mails zu verschicken und zu empfangen.
Signierte E-Mail in Outlook Express verschicken Um in Outlook Express eine signierte E-Mail zu verschicken, müssen Sie nichts Besonderes mehr einstellen. Verfassen Sie einfach eine neue E-Mail und klicken auf das Signatur-Icon. Ihre E-Mail wird als signiert markiert und kann ganz normal verschickt werden (Abbildung 2.11). Die Signatur ermöglicht dem Empfänger nur zu überprüfen, ob Sie wirklich der Absender sind, die E-Mail selbst ist nicht verschlüsselt!
Abbildung 2.11: Eine signierte Mail in Outlook Express erstellen
Signierte E-Mail in Mozilla Mail verschicken
56
1
Da ich beide Zertifikate im Internet Explorer installiert habe, muss ich das Zertifikat für Hagen von dort exportieren und in Mozilla importieren (Abbildung 2.12).
2
Gehen Sie im Internet Explorer auf Extras/Internetoptionen/Inhalte/Zertifikate, markieren Sie das zu exportierende Zertifikat und klicken den ExportierenDialog mit den Standardeinstellungen durch. Speichern Sie es an einer Stelle, die Sie wieder finden!
3
Jetzt rufen Sie den Mozilla auf, wählen Bearbeiten/Einstellungen/Privatsphäre & Sicherheit/Zertifikate/Zertifikate verwalten und importieren die eben erstellte Datei. Mozilla liest das Zertifikat ein (Abbildung 2.13).
W E R K S TAT T
S/MIME in Windows XP
Abbildung 2.12: Exportieren von Zertifikaten aus dem Internet Explorer
Abbildung 2.13: Importiertes Zertifikat in Mozilla
W E R K S TAT T
57
Workshop 2 – Vertrauliche Daten verschlüsselt senden
4
Jetzt müssen Sie Mozilla Mail noch erklären, welches Zertifikat Sie benutzen wollen. Starten Sie Mozilla Mail, gehen Sie auf Bearbeiten/Mail & Newsgroup-AccountEinstellungen/Sicherheit und ordnen Sie dort Ihr Zertifikat zu (Abbildung 2.14).
Abbildung 2.14: Konfiguration von Mozilla Mail für die Nutzung von Zertifikaten
5
Sie können nun auch mit Mozilla Mail signierte E-Mails verschicken und empfangen. Hierzu gehen Sie ganz normal auf das Icon Verfassen und klicken dann auf das Schloss-Symbol in der oberen Leiste. In der Statuszeile erscheint dann wieder der kleine schreibende Stift.
Abbildung 2.15: Eine signierte Mail in Mozilla Mail verfassen
Jetzt sind Sie in der Lage, zwischen Mozilla Mail und Outlook Express mit Zertifikat signierte Mails zu verschicken. Das Gute an diesen Zertifikaten ist, dass sie plattformneutral sind und somit auch unter Linux oder auf Apple-Rechnern funktionieren.
58
W E R K S TAT T
Pretty Good Privacy (PGP)
E-Mails verschlüsseln Das Verschlüsseln von E-Mails ist jetzt eigentlich nur noch eine Formsache. Da die Signatur des jeweils anderen nun vorhanden ist, kann in Mozilla Mail durch ein weiteres Kreuzchen im Sicherheits-Icon die Verschlüsselung aktiviert werden. In der Statuszeile erscheint dann ein Schloss. In Outlook Express ist es ebenfalls ein Schloss, das dann zusätzlich rechts neben den Empfangsfeldern auftaucht. Damit ist es uns gelungen, unseren E-Mail-Verkehr zu verschlüsseln und zu signieren. Die Verschlüsselung ist allerdings nur so gut, wie die CA als übergeordnete Instanz ist. CAs werden regelmäßig überprüft. Trotzdem schleichen sich auch hier hin und wieder Fehler ein. So kursierten im Januar 2001 beispielsweise zwei von der Firma Verisign ausgestellte Microsoft-Zertifikate, die nicht von Microsoft beantragt wurden. Mit diesen Zertifikaten hätte jemand „sichere“ Programme erstellen können, die dann ohne weitere Nachfragen ausgeführt worden wären5. Inzwischen ist das Problem natürlich behoben, aber der damals erteilte Ratschlag, Verisign-Zertifikaten bis zur Bereitstellung eines Patches vorerst nicht mehr zu trauen, hätte fatale Folgen für Ihre eigene Firma haben können, falls Sie Ihre Zertifikate bei Verisign gekauft hätten. Dieses Problem hat nichts mit der Firma Verisign zu tun, die ja auch nur von Betrügern benutzt worden ist. Das Problem ist in solchen Fällen einfach das fehlende Vertrauen.
2.7
Pretty Good Privacy (PGP)
Das Faszinierende an PGP ist das Netz des Vertrauens. Es gibt keine übergeordnete Instanz und somit auch keine Chance für Dritte, den E-Mail-Verkehr zu belauschen. Auf so genannten PGP-Signing Parties werden regelmäßig Schlüssel getauscht, um das Vertrauensnetz zu erweitern (siehe Abschnitt „Netze des Vertrauens und Organisationen des Vertrauens“ weiter oben). Außerdem gibt es PGP-Schlüssel-Server. Das Zentrum für sichere Netzdienste GmbH, DFN CERT, bietet eine Suche auf ihrem deutschen Key-Server an. Er ist wie ein Telefonbuch zu benutzen und Teil der internationalen Domain http://www.pgp.net, die einen weltweiten Verbund aller Key-Server bildet. Die Server synchronisieren sich untereinander; es reicht also, Ihren Key an einen der Key-Server zu schicken – innerhalb weniger Tage wird Ihr Key von allen Servern der Welt abrufbar sein.
5.
http://www.gdata.de/article/articleview/2347/1/1/
W E R K S TAT T
59
Workshop 2 – Vertrauliche Daten verschlüsselt senden
PGP installieren PGP hat eine wechselvolle Geschichte hinter sich. Es ist jetzt ein ganz normales Unternehmen, das Gewinne erwirtschaften muss, sich seiner Geschichte aber durchaus bewusst ist. So heißt es denn auf der Webseite: Wir setzen die PGP Tradition fort und stellen auch weiterhin eine Freeware-Version von PGP Mail für nicht-kommerzielle Nutzung zur Verfügung. PGP Freeware ist ein Einzelbenutzerprodukt, die auf derselben PGP Mail Software wie PGP Personal, Desktop und Enterprise basiert. PGP Freeware ermöglicht die Verschlüsselung von Dateien sowie des Zwischenablageinhalts und die Erstellung und Verwaltung von PGP Schlüsseln. Im Gegensatz zu den anderen Varianten der PGP Software enthält PGP Freeware aber weder Plug-Ins für Integration mit elektronischer Mail oder IM-Clients noch PGP Disk. PGP Freeware wird nur an einzelne Benutzer für nicht kommerzielle Verwendung lizenziert. Freeware darf NICHT für kommerzielle Zwecke verwendet werden. Benutzer in kommerziellen Umgebungen müssen sofort kommerzielle PGP Produkte lizenzieren.
AUF DER
CD-ROM
Alle Versionen benutzen das gleiche Installationsprogramm und werden durch verschiedene Registrierungsschlüssel freigeschaltet. Ich zeige hier die Installation der deutschen Freeware-Variante in der Version 8.01.
1
60
Allerdings: Aus US-exportrechtlichen Gründen konnte ich Ihnen die Software nicht auf CD beilegen und muss Sie daher leider an http:// www.pgp.com/products/freeware.html verweisen – dort erhalten Sie die jeweils aktuelle Version – sogar in deutscher Sprache.
Packen Sie die Datei PGP801DE-PF-W.zip aus (rechte Maustaste/Alle Extrahieren) und benutzen Sie den Extrahier-Assistenten. Es entsteht ein Unterverzeichnis PGP801DE-PF-W. Dort befindet sich die Datei pgp8.exe. Starten Sie die Installation mit einem Doppelklick auf diese Datei. Bestätigen Sie die vorgegebenen Werte und stimmen Sie den Lizenzbedingungen zu. Bei der Abfrage, ob Sie bereits Schlüsselbunde besitzen, wählen Sie „Nein, ich bin ein neuer Benutzer“ (Abbildung 2.16).
W E R K S TAT T
Pretty Good Privacy (PGP)
Abbildung 2.16: PGP 8 Installation: Benutzertyp
2
Bestätigen Sie die weiteren Angaben in den Installationsmasken und starten Sie den Rechner dann neu. Beim Neustart werden Sie aufgefordert, sich zu lizenzieren. Klicken Sie nicht wie vorgeschlagen auf Jetzt kaufen, sondern auf Später (Abbildung 2.17).
Abbildung 2.17: PGP 8 Installation: Lizenzierungsaufforderung
3
Als Nächstes begrüßt Sie der Schlüsselerstellungs-Assistent. Wählen Sie die Schaltfläche Weiter.
W E R K S TAT T
61
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Abbildung 2.18: PGP 8 Installation: Schlüsselerstellung Name und E-Mail
VORSICHT!
4
62
Sie werden nach Ihrem vollständigen Namen und Ihrer E-Mail-Adresse gefragt. Tragen Sie diese Daten ein (Abbildung 2.18). Als Nächstes müssen Sie eine so genannte Passphrase eingeben. Diese Passphrase kann beispielsweise ein Satz sein wie „Alle 10 Elefanten haben graue Ohren“. Merken können Sie sich das etwa so: Schreiben Sie sich die Anfangsbuchstaben der einzelnen Wörter an einem sicheren Ort auf. Diese Passphrase ergibt A10EhgO. Sie können sich die im Passphrase-Fenster eingegebenen Zeichen anzeigen lassen, um zu überprüfen, ob Sie es richtig geschrieben haben. Unter diesem Fenster zeigt Ihnen ein Laufbalken die kryptografische Qualität Ihrer Passphrase an. Probieren Sie ruhig verschiedene Varianten aus (Abbildung 2.19).
Die Passphrase, die Sie jetzt festlegen, wird bei verschiedenen Aktionen zu Ihrer eigenen Sicherheit von PGP abgefragt werden. Merken Sie sich den Satz!
W E R K S TAT T
Pretty Good Privacy (PGP)
Abbildung 2.19: PGP 8 Installation: Eingabe der Passphrase
5
Auf der Basis der eingegebenen Daten generiert PGP nun die erforderlichen Schlüssel in mehreren Schritten. Je nach Rechnergeschwindigkeit kann das durchaus ein paar Minuten dauern. Nach der Meldung, dass der Vorgang abgeschlossen ist, wählen Sie Weiter und Sie sind in der letzten Maske angekommen. Hier werden Sie noch darauf hingewiesen, dass Sie den eben generierten Schlüssel aus PGPkeys heraus an einen Schlüsselserver senden können. Wenn Sie auf Fertig klicken, haben Sie die größte Hürde bereits genommen und ohne Beteiligung einer dritten Instanz einen Schlüssel erstellt. Die Grundlage für eine Verschlüsselung ist nun gegeben, aber das Vertrauen müssen Sie sich noch erarbeiten.
PGPkeys In der rechten Seite der Statuszeile (Tray) finden Sie nun ein Schloss (PGPtray). Mit einem linken Mausklick können Sie das Programm PGPkeys aufrufen. Ihr Schlüssel sollte jetzt dort enthalten sein (Abbildung 2.20).
Abbildung 2.20: PGPkeys nach der Schlüsselgenerierung
W E R K S TAT T
63
Workshop 2 – Vertrauliche Daten verschlüsselt senden
In PGPkeys können Sie Ihre Schlüssel verwalten und an Key-Server weitergeben. Sie können die Passphrase ändern und Teilschlüssel benutzen. Für unsere Zwecke reicht aber das, was wir bisher gemacht haben. Um Ihren öffentlichen Schlüssel der Menschheit bekannt zu machen, sollten Sie ihn an den PGP Key-Server senden. Gehen Sie dazu in PGPkeys auf das Menü Server/Senden an/ldap://keyserver.pgp.com. Wenn jetzt jemand nach Ihrem Namen sucht, so kann er Sie finden. Schauen Sie mal, ob Sie mich finden und senden Sie mir eine nette Mail (Sie müssen sie nicht unbedingt verschlüsseln ).
-
PGPmail Ziel der Aktion ist ja, eine verschlüsselte Mail zu verschicken. Also los! Da wir nur Besitzer der Freeware-Variante sind, sind wir in unseren Möglichkeiten in Sachen Bequemlichkeit ein wenig beschränkt. Das Mozilla- und das Outlook Express-Plug-In gibt es erst in der Kaufversion. Die entsprechenden Icons werden zwar bereits angezeigt, sind aber grau hinterlegt. Es geht aber auch so. Zunächst einmal benötigen Sie jemanden, der ebenfalls PGP benutzt und einen öffentlichen Schlüssel auf einem KeyServer zur Verfügung stellt. Ich habe einen Bekannten mit dem Namen Dirk Kuepper. Er betreibt die Seite http://www.pgpfueralle.de und hat bestimmt einen öffentlichen Schlüssel. Also gehe ich in PGPkeys/Server/Suchen und suche nach dem Namen (Abbildung 2.21).
Abbildung 2.21: PGPkeys Suchfenster für öffentliche Schlüssel
Mit einem rechten Mausklick auf den gewünschten Schlüssel öffnet sich ein Kontextmenü und nach Klick auf In lokalen Schlüsselbund importieren erscheint der Name Dirk Kuepper ebenfalls im PGPkey-Fenster (Abbildung 2.22).
Abbildung 2.22: PGPkeys nach Übernahme in den lokalen Schlüsselbund
64
W E R K S TAT T
Pretty Good Privacy (PGP)
Wenn ein Schlüssel nicht auf dem Key-Server zu finden ist, so ist das auch kein Problem. Schreiben Sie Ihren E-Mail-Partner einfach unverschlüsselt an und hängen Sie dabei Ihren öffentlichen Schlüssel an die Mail. Dazu gehen Sie in PGPkeys mit der rechten Maustaste auf Ihren Schlüssel und klicken dann im Kontextmenü auf Kopieren.
Abbildung 2.23: Unverschlüsselte E-Mail mit meinem öffentlichen Schlüssel
In Ihrem E-Mail-Programm fügen Sie am Ende des Textes Ihren öffentlichen Schlüssel ein (Rechte Maustaste/Einfügen). Das funktioniert übrigens mit jedem E-Mail-Programm, selbst im Web mit Freemailern wie Yahoo, Freenet oder GMX. Der Screenshot zeigt die Mail an Dirk in Mozilla Mail (Abbildung 2.23).
E-Mails mit PGP ver- und entschlüsseln Bevor Dirk antwortet, können wir ja schon überlegen, wie wir ihm eine verschlüsselte E-Mail schicken können. Grundsätzlich benötigen wir seinen öffentlichen Schlüssel (haben wir) und unseren eigenen privaten Schlüssel zum Signieren (haben wir auch).
W E R K S TAT T
65
Workshop 2 – Vertrauliche Daten verschlüsselt senden
1
Also schreibe ich eine ganz normale E-Mail (Abbildung 2.24).
Abbildung 2.24: Mail-Entwurf mit markiertem Text
2
Dann markiere ich den Text der Nachricht und rufe mit einem linken Mausklick PGPtray auf (Abbildung 2.25). Achtung, das E-Mail-Fenster muss das aktive Fenster sein.
Abbildung 2.25: Verschlüsseln & Signieren mit PGP
3
66
Nun will ich die E-Mail verschlüsseln und mit meinem privaten Schlüssel signieren. Also klicke ich auf Verschlüsseln & Signieren. Es erscheint das Fenster mit den zur Verfügung stehenden Schlüsseln in meinem Schlüsselbund. Ich muss den öffentlichen Schlüssel des Empfängers (also in meinem Fall Dirk) aus der oberen Liste auswählen und auf OK klicken (Abbildung 2.26).
W E R K S TAT T
Pretty Good Privacy (PGP)
Abbildung 2.26: PGP Schlüsselbund von Hagen Graf
4
Der markierte Text wird durch die verschlüsselte Variante ersetzt und ich kann die E-Mail ganz normal versenden. Achtung! Die E-Mail-Adressen im Kopf sowie die Betreffzeile bleiben unverschlüsselt (Abbildung 2.27).
Abbildung 2.27: Mit PGP verschlüsselte Mail
W E R K S TAT T
67
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Lesen einer mit PGP verschlüsselten Nachricht Dirk hat zwischenzeitlich geantwortet und seine E-Mail mit seinem privaten und meinem öffentlichen Schlüssel verschlüsselt und signiert. Um die E-Mail lesen zu können, kopiere ich sie mir in die Zwischenablage und dechiffriere sie über PGPtray. Ich muss meine Passphrase eingeben und bekomme den Inhalt angezeigt.
E-Mail mit Anhang, Verschlüsselung und Signatur von Dateien Um eine E-Mail mit Anhang zu verschicken, benötigen Sie eine separate Datei, die Sie dann an die E-Mail anhängen. Diese Datei muss natürlich auch verschlüsselt und signiert werden. Dazu gehen Sie mit PGP folgendermaßen vor: Außer über PGPtray (das Schloss-Icon in der Statuszeile) können Sie PGPmail auch ganz normal über Start/Alle Programme/PGP/PGPmail starten (Abbildung 2.28). Diese Übersicht hieß in den Vorgängerversionen PGPtools, was meines Erachtens besser zu diesem Tool passte.
Abbildung 2.28: PGPmail: Übersicht
Es erscheint ein kleines Übersichtsfenster mit sieben Icons. ■ Zwei Schlüssel: Über dieses Icon können Sie das Programm PGPkeys aufrufen und Ihre Schlüssel verwalten. ■ Schloss über Briefumschlag: Hier können Sie Dateien verschlüsseln. ■ Bleistift über Brief: Zum Signieren einer Datei ■ Bleistift und Schloss über geschlossenem Briefumschlag: Um eine Datei zu verschlüsseln und zu signieren ■ Bleistift und Schloss über geöffnetem Briefumschlag: Zur Dechiffrierung einer Datei ■ Radiergummi über Briefpapier: Hier können Sie eine Datei säubern. ■ Radiergummi über Festplatte: Zur Säuberung der Festplatte Wir wollen eine Datei verschlüsseln und signieren und wählen daher das Icon mit Schloss und Bleistift über dem geschlossenen Briefumschlag. Es erscheint ein Dateidialog, der nach der gewünschten Datei fragt. Nachdem Sie eine Datei ausgewählt haben, erscheint der Dialog zur Schlüsselauswahl (Abbildung 2.26). Hier müssen Sie den öffentlichen Schlüssel des Empfängers auswählen. Nach Eingabe Ihrer Passphrase (Abbildung 2.29) wird die ausgewählte Datei verschlüsselt, signiert und mit der Endung .pgp versehen. Diese Datei können Sie nun wie gewohnt an Ihre E-Mail anhängen.
68
W E R K S TAT T
Pretty Good Privacy (PGP)
Abbildung 2.29: PGPmail: Passphrase eingeben
Das Lesen (Dechiffrieren) einer verschlüsselten Nachricht funktioniert analog zum Schreiben (Chiffrieren). Sie benötigen den öffentlichen Schlüssel des Senders und Ihren privaten Schlüssel. Wenn Sie eine E-Mail mit einem verschlüsselten Dateianhang (.pgp) erhalten haben, so speichern Sie diesen Anhang ab und wählen in PGPmail das Icon mit dem Schloss, dem Bleistift und dem offenen Briefumschlag. Nach einem Klick auf das Symbol erscheint ein Dateidialog, in dem Sie die gewünschte Datei auswählen können. PGP können Sie auch über den Desktop oder im Windows Explorer starten.
Abbildung 2.30: Kontextmenü mit PGP-Eintrag
Mit der rechten Maustaste rufen Sie das Kontextmenü der Datei auf, können auch hier sehr komfortabel die Datei dechiffrieren und müssen sich nicht erst durch Dateidialoge klicken (Abbildung 2.30). Nach Eingabe Ihrer Passphrase können Sie die Datei dechiffriert speichern und haben somit einen perfekten Datenspionage-Schutz bei wirklich wichtigen Dateien. Die Passphrase kann in PGPtray zwischengespeichert werden, damit man sie nicht immer eingeben muss. Dieses Feature können Sie unter PGPtray/Optionen konfigurieren. In meinem Fall wird die Passphrase 2 Minuten zwischengespeichert (Abbildung 2.31).
W E R K S TAT T
69
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Abbildung 2.31: PGP Optionen
Mit der Tastenkombination Strg-F12 leeren Sie diesen Cache übrigens.
Was ist PGP/MIME? Im Optionsfenster von PGPtray können Sie im Reiter E-Mail-Optionen PGP/MIME ein- und ausschalten. PGP/MIME und S/MIME basieren auf derselben Idee, haben aber unterschiedliche Schlüsselverwaltungen. Daher sind sie nicht miteinander kompatibel. In den E-Mail-Plug-Ins der kostenpflichtigen Varianten besteht die Möglichkeit, dass sich zwei PGP/MIME Benutzer ihre E-Mails auf diesem Wege verschlüsselt und signiert zusenden lassen.
Was heißt Säubern? Unter Säubern versteht PGP das wirkliche Löschen von Daten auf Ihrer Festplatte. Windows XP löscht die Dateien nicht wirklich, sondern verschiebt sie in den Papierkorb. Wenn der Papierkorb geleert wird, so sind die Dateien immer noch nicht verschwunden, sondern befinden sich weiterhin auf der Platte. Wenn neue Dateien geschrieben werden, werden diese alten Reste nach und nach überschrieben. Wenn nicht viele neue Dateien dazukommen, kann es sein, dass gelöschte Dateien noch monatelang auf Ihrer Festplatte zu finden sind. Um das zu verhindern, hält PGPmail die beiden Funktionen mit den Radiergummi-Icons bereit (Abbildung 2.28). Mit dem Papier und Radiergummi-Icon können Sie einzelne Dateien endgültig löschen.
70
W E R K S TAT T
Pretty Good Privacy (PGP)
PROFITIPP
Gewöhnen Sie sich an, Dateien, die sensible Daten enthalten, „endgültig“ zu löschen.
Da grundsätzlich noch ein gewisses Wiederherstellungs-Risiko besteht, gibt es noch das PGPwipe (Festplatten/Radiergummi-Icon), das die ganze Platte nach Dateifragmenten untersucht und diese mit beliebigen Zeichen überschreibt. Nach einem Klick auf das entsprechende Symbol öffnet sich der „Assistent für Säuberung des freien Speichers“ und fragt nach der Menge der Überschreibvorgänge. Wer ganz sicher gehen will, sollte seine Daten zwischen 3 und 26 Mal überschreiben lassen (Abbildung 2.32).
Abbildung 2.32: PGP Säuberungs-Assistent
PGP und ICQ ICQ (I seek you) ist eine extrem verbreitete Variante eines so genannten Instant Messaging Programmes. ICQ ist Freeware6. Sie können eine Liste von Personen auswählen, die ebenfalls ICQ benutzen, und dann feststellen, ob jemand online ist. Wenn das der Fall ist, können Sie mit dieser Person chatten. In der kommerziellen Variante von PGP ist es möglich, über Instant Messenger wie ICQ verschlüsselt zu kommunizieren. In der kostenlosen Variante ist diese Option jedoch nicht enthalten.
6.
http://www.icq.com
W E R K S TAT T
71
Workshop 2 – Vertrauliche Daten verschlüsselt senden
2.8
Gnu Privacy Project (GnuPP)
AUF DER
CD-ROM
Die nächste Steigerung in Sachen Verschlüsselung bietet GnuPP. Ist PGP doch in erster Linie ein kommerzielles Programm und eben keine freie Software, so handelt es sich bei GnuPP um Open Source und freie Software. Der gesamte Quellcode ist einsehbar und man kann das Programm daraus kompilieren. Diese Option stellt für Behörden und sicherheitsrelevante Bereiche eine echte Alternative dar. Ist es doch der einzige Ansatz, der 100%ig sicherstellt7, dass keiner mitlesen kann. GnuPP ist Partner der Aktion „Sicherheit im Internet“ des Bundesministeriums für Wirtschaft und Arbeit (BMWA) und des Bundesministeriums des Innern (BMI). Spezialisten entwickeln hier eine frei verfügbare Verschlüsselungssoftware, die Sie privat und kommerziell kostenlos verwenden dürfen.
Eine vorkompilierte Version finden Sie auf der Buch-CD. Aktuellere Versionen können Sie unter http://www.gnupp.de downloaden.
GnuPP installieren GnuPP beinhaltet mehrere Programme. ■ Gnu Privacy Guard (GnuPG) – zu finden unter http://www.gnupg.org/ – ist der zentrale Bestandteil des Projektes und führt die eigentliche Ver- und Entschlüsselung der Daten durch. ■ Gnu Privacy Assistant (GPA) ist eine grafische Benutzeroberfläche. Sie dient zur Verwaltung der öffentlichen Schlüssel (Schlüsselbund) und zum Ver- und Entschlüsseln von Dateien, die einer E-Mail angehängt werden sollen. Sie müssen separat verschlüsselt werden. ■ Windows Privacy Tray (WinPT) ist ein Taskleistenwerkzeug, mit dem man so wie bei PGP über die Zwischenablage E-Mails ver- und entschlüsseln kann. Das Programm ist eine grafische Benutzeroberfläche für den GnuPG. Man kann es mit jedem Mail-Programm verwenden und so komfortabel seine privaten Daten schützen. Außerdem lassen sich problemlos Schlüssel exportieren oder umgekehrt diese aus der Zwischenablage importieren. Auch eine E-Mail-Signierung ist möglich. ■ Outlook-Plug-In: Das von der Firma GDATA für GnuPG entwickelte Plug-In stellt eine Schnittstelle zwischen dem E-Mail-Programm Microsoft Outlook und dem GNU Privacy Guard (GnuPG) dar. Es ermöglicht die schnelle und unkomp7.
72
Auch wenn das Verfahren an sich zu 100% sicher ist, so sollten Sie daran denken, das es niemals 100%ige Sicherheit geben kann und wird!
W E R K S TAT T
Gnu Privacy Project (GnuPP)
lizierte Handhabung verschlüsselter E-Mails ohne den bislang notwendigen Umweg über die Kommandozeile oder die Zwischenablage. Leider funktioniert es nicht gemeinsam mit Outlook Express.
1
Die Installation erfolgt sehr unspektakulär. Nach einem Doppelklick auf die Datei gnupp-1.1-de-installer.exe übernehmen Sie einfach die Standardeinstellungen, bis der Installationsdialog beendet ist.
2
Danach rufen Sie bitte das Programm Start/Alle Programme/Gnupp/Windows Privacy Tray auf. GnuPP hat wie PGP auch ein solches Tray-Werkzeug, um die Arbeit bequemer zu gestalten.
3
Es erscheint die Abfrage, ob Sie einen Schlüsselring erstellen wollen. Da hier bei mir Christine mit der E-Mail-Adresse
[email protected] noch keinen Schlüssel hat, fülle ich die Maske entsprechend aus (Abbildung 2.33). Sie können es ja mit einer anderen E-Mail-Adresse probieren.
Abbildung 2.33: Erzeugung eines Schlüsselrings mit GnuPP
4
Nachdem Sie auf Start geklickt haben, wird ein Schlüsselring erzeugt. Anschließend fragt das Programm, ob Sie eine Sicherung (Backup) der Schlüssel erstellen wollen. Da das grundsätzlich eine gute Idee ist, sollten Sie auf den Vorschlag eingehen und auf Ja klicken.
5
Jetzt können Sie genau wie bei PGP E-Mails über die Zwischenablage signieren & verschlüsseln.
W E R K S TAT T
73
Workshop 2 – Vertrauliche Daten verschlüsselt senden
E-Mails und Dokumente mit GnuPP ver- und entschlüsseln Nachdem wir das letzte Mal feste E-Mail-Clients benutzt haben, will ich Ihnen diesmal zeigen, wie es auch mit dem Webinterface von Freemailern geht.
1
Rufen Sie Ihr Webmailer-Interface auf und achten Sie darauf, dass Sie eine TextMail verschicken. Ihre öffentlichen Schlüssel erhalten Sie wie bei PGPtray aus dem GnuPP Programm WinPT und dort aus der Schlüsselverwaltung (Abbildung 2.34).
Abbildung 2.34: GnuPP Schlüsselverwaltung
2
Klicken Sie mit der rechten Maustaste auf Ihren Schlüssel und befördern Sie ihn damit in die Zwischenablage. In Ihren Webmailer fügen Sie ihn einfach ein.
Abbildung 2.35: Weitergabe des öffentlichen Schlüssels über einen Webmailer
3
74
Hagen empfängt die E-Mail, arbeitet mit PGP 8.01 und ebenfalls mit einem Webmailer. Den öffentlichen Schlüssel von Christine kopiert er in seine Schlüsselverwaltung über die Zwischenablage und schickt Christine seinen öffentlichen PGP-Schlüssel. Christine kopiert ihn in die GnuPP-Schlüsselverwaltung und will Hagen jetzt eine E-Mail mit Datei-Anhang senden.
W E R K S TAT T
Gnu Privacy Project (GnuPP)
4
Dazu muss sie die Datei (in unserem Fall test.txt) verschlüsseln und signieren. Im Gegensatz zu PGP sind das im GnuPP zwei Arbeitsschritte. Zuerst ruft sie den Dateimanager über WinPT auf und lädt dort die zu verschlüsselnde Datei test.txt hinein (Abbildung 2.36).
Abbildung 2.36: GnuPP Dateimanager
5
Durch einen Rechtsklick mit der Maus erhält sie ein Kontextmenü und verschlüsselt zunächst die Datei. Hierzu öffnet sich das Schlüsselfenster und sie wählt Hagens öffentlichen Schlüssel. Dadurch entsteht eine neue Datei mit dem Namen test.txt.gpg und der Status ändert sich in Encrypted. In einem zweiten Arbeitsschritt signiert sie die Datei auf die gleiche Art (unterschreiben). Das Passwort wird abgefragt und es entsteht eine Datei test.txt.gpg.sig. Der Status ändert sich auf Signed.
6
Diese beiden Dateien könnte man nun noch als ZIP-File zusammenfassen und als E-Mail-Anhang verschicken. Das Auspacken der Datei bei Hagen funktioniert wie im Abschnitt „E-Mails mit PGP ver- und entschlüsseln“ weiter oben beschrieben.
Abbildung 2.37: GNU Privacy Assistant
W E R K S TAT T
75
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Verfallen Sie nicht in Paranoia und verschlüsseln alles, was Sie verschicken. Viele E-Mail-Benutzer kennen die Möglichkeiten der Verschlüsselung noch nicht. Wenn Sie wirklich wichtige Dinge verschicken, sprechen Sie mit dem Empfänger vorher über Sicherheit und Verschlüsselungsmöglichkeiten. Wenn Sie keinen Zwang anwenden („Ich schicke nur verschlüsselte E-Mails!“) und Ihr Empfänger ebenfalls an Sicherheit interessiert ist, werden Sie schnell eine gemeinsame Basis finden. Helfen Sie mit, Aufklärungsarbeit in diesem Bereich zu leisten!
AUF DER
CD-ROM
Auf der Buch-CD sind noch zwei PDF-Dateien aus dem GnuPP mit ausführlichen Erklärungen enthalten (einsteiger.pdf und durch-blicker1.1.pdf).
PROFITIPP
Außer WinPT, das nur unter Windows läuft, gibt es noch die ursprüngliche Oberfläche unter Start/Alle Programme/GnuPP/GNU Privacy Assistant. Dieses Programm läuft auf allen anderen Plattformen (Windows, Linux, Mac). Es bietet weitere Funktionen, ist aber unter Windows nicht so komfortabel wie WinPT. Durch die Plattformunabhängigkeit ist eine wirklich problemlose Zusammenarbeit möglich.
2.9
Steganos Security Suite
Laufen PGP und GnuPP auf vielen verschiedenen Plattformen, so hat sich der Hersteller der Steganos Suite dem Betriebssystem Windows verschrieben. Ursprünglich nur als Programm zum Verstecken von Textdateien in Bildern oder Sounddateien gedacht, entwickelte sich das Programmpaket zu einer kompletten Sicherheitslösung für den PC: von Passwort-Verwaltung über Sperren des Arbeitsplatzes und Datei-Shredder bis hin zur Sicherung ganzer Laufwerke. Die Steganos Security Suite benutzt den Verschlüsselungsstandard AES mit 128 Bit und besitzt auch eine Internet-Spuren-Beseitigungssoftware, damit keiner nachvollziehen kann, welche Webseiten Sie besucht haben. Außerdem gibt es die Möglichkeit, Ihr Laufwerk zu verschlüsseln, auf CD/DVD zu brennen und einfach mitzunehmen. Auf jedem beliebigen PC können Sie es dann mit Ihrem Passwort entschlüsseln. Aber das alles geht nur unter Windows und es ist ein proprietäres Protokoll, das einer Firma gehört!
76
W E R K S TAT T
Steganos Security Suite
Steganos Security Suite installieren Um Ihnen einen aktuellen Überblick zu gewähren, benutze ich im weiteren Verlauf des Buches die Version 5.0.
AUF DER
CD-ROM
Die Demo-Version 5.0 der Software finden Sie auf der Buch-CD im Verzeichnis zu diesem Workshop. Sie ist 7 Tage lauffähig und Sie können dann entscheiden, ob Sie das Produkt kaufen wollen. Auf der Buch-CD finden Sie auch die Vollversion der Steganos Security Suite in der Version 4.0. Sie können beide Suiten gleichzeitig auf Ihrem Rechner problemlos betreiben.
AES-Advanced Encryption Standard
PROFITIPP
Der Advanced Encryption Standard (AES) wurde im Oktober 2000 vom US-amerikanischen National Institute of Standards and Technology (NIST) zum Nachfolger des von IBM entwickelten Data Encryption Standard (DES) ernannt. DES gilt heute als veraltet – er war fast 30 Jahre lang der Standard für verschlüsselte Informationen. AES gilt als absolut sicher und arbeitet mit einer Schlüssellänge von 128 Bit.
Abbildung 2.38: Steganos Security Suite Installation
W E R K S TAT T
77
Workshop 2 – Vertrauliche Daten verschlüsselt senden
1
Mit einem Doppelklick auf die Datei sss5.exe starten Sie das Installationsprogramm. Wählen Sie eine vollständige Installation, denn Sie können keine einzelnen Bestandteile auswählen (Abbildung 2.38).
2
Nach Aufruf des Programms über Start/Alle Programme/ Steganos Security Suite 5/ Steganos Security Suite 5 erscheint die zentrale Oberfläche (Abbildung 2.39).
Abbildung 2.39: Steganos Zentrale
Das Programmpaket von Steganos benutzt steganografische Verfahren in allen Modulen und ist in diesem Segment Marktführer. In diesem Zusammenhang möchte ich darauf eingehen, wie man E-Mails und Dateien verschlüsselt.
E-Mails ver- und entschlüsseln Die E-Mail an sich wird nicht verschlüsselt, sondern an die E-Mail wird eine verschlüsselte Datei als Attachment angehängt. Diese Datei erhält die Endung .exe oder .cab und ist selbstextrahierend. Da EXE-Dateien genau wegen dieser Eigenschaft oft von Viren und Trojanern benutzt werden, gibt es die Möglichkeit der Abspeicherung als CABDatei. Das CAB-Format ist ein Windows eigenes Komprimierungsformat und wird nicht sofort ausgeführt.
78
W E R K S TAT T
Steganos Security Suite
Die E-Mail-Partner müssen auf irgendeinem anderen Wege das Passwort austauschen, beispielsweise telefonisch oder über ein Passwort, das in einem Bild versteckt im Internet steht. Grundsätzlich handelt es sich hier um eine symmetrische Verschlüsselung. In diesem Fall genügt es, wenn der Ersteller der Nachricht im Besitz der SteganografieSoftware ist. Der Empfänger muss nur das Passwort kennen. Nach Aufruf der verschlüsselten Datei wird er nach dem Passwort gefragt und die Datei wird entschlüsselt. Je länger und komplexer das Passwort aufgebaut ist, desto sicherer ist die Verschlüsselung. Probieren Sie es einmal aus. Welches E-Mail-Programm Sie benutzen, spielt keine Rolle. Mein Standard-E-Mail-Programm ist momentan wieder Outlook Express und die Abbildungen beziehen sich darauf.
Abbildung 2.40: Steganos E-Mail-Verschlüsselung
1
Öffnen Sie Ihr E-Mail-Programm und verfassen Sie einen Text. Diese Nachricht kopieren Sie durch Ausschneiden in die Zwischenablage. Jetzt klicken Sie in der Steganos Zentrale auf E-mail verschlüsseln und fügen den Inhalt der Zwischenablage in das Fenster ein (Abbildung 2.40). Sie können prinzipiell die Nachricht auch hier schreiben.
2
Nach einem Klick auf das Icon Verschlüsselt senden werden Sie nach einem Passwort gefragt (Abbildung 2.41).
W E R K S TAT T
79
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Abbildung 2.41: Steganos E-Mail-Verschlüsselung: Passwort-Abfrage
3
Die Qualität des Passwortes wird in einem Laufbalken darunter angezeigt. Ich habe das Passwort „kaesekuchen schmeckt lecker“ gewählt und bekomme als Ergebnis, dass dieses Passwort die maximale Sicherheit darstellt (141 Bit) und von keinem Geheimdienst geknackt werden kann.
Abbildung 2.42: Outlook Express wird automatisch mit einem Attachment und einen Standardtext versehen
4
80
Bei kürzeren Passwörtern erscheinen entsprechende Hinweise auf die Qualität. Nach Druck auf OK erscheint wieder mein Outlook Express-Fenster (Abbildung 2.42). Steganos hat einen zweisprachigen Text eingefügt, der dem Empfänger erklärt, was er zu tun hat. Der verschlüsselte Text wird mit dem Dateinamen steganos.cab als Attachment eingefügt. Diese Funktionalität bezieht sich auf das in
W E R K S TAT T
Steganos Security Suite
Windows als Standard eingestellte E-Mail-Programm und funktioniert auch mit Mozilla Mail.
Abbildung 2.43: Steganos Selbstentschlüsselung
5
Der Empfänger muss die Datei steganos.cab durch einen Doppelklick extrahieren und den Inhalt (die Datei steganos.exe) an einer Stelle seiner Wahl abspeichern. Durch einen Doppelklick auf steganos.exe startet der Selbstentpackungsmechanismus und weist ihn daraufhin, um was es sich hier handelt.
6
Nach Eingabe des richtigen Passwortes wird der Text in einem Fenster angezeigt und kann über die Zwischenablage weiterverarbeitet werden (Abbildung 2.44).
Abbildung 2.44: Botschaft für den Empfänger
Wenn man eine Möglichkeit findet, das Passwort geschützt zu tauschen und mit der Beschränkung auf Windows kein Problem hat, so ist das eine sehr elegante Methode. Eine weitere sehr elegante Methode, ein kompliziertes Passwort bzw. eine kleine Datei in einem Bild zu verstecken, lernen Sie jetzt kennen.
W E R K S TAT T
81
Workshop 2 – Vertrauliche Daten verschlüsselt senden
Nachrichten in Bildern verstecken
1
Um eine Nachricht in einem Bild zu verstecken, benötigen Sie die Nachricht innerhalb einer Datei. Erstellen Sie sich eine Textdatei mit dem Inhalt „kaesekuchen schmeckt lecker“ (das war das Passwort der verschlüsselten E-Mail mit Dateianhang) und speichern Sie sie unter einem beliebigen Dateinamen ab (Abbildung 2.45).
Abbildung 2.45: Das Passwort für die E-Mail in einer separaten Datei xyz.txt
2
Jetzt benötigen Sie ein Bild oder eine Musikdatei, wo Sie die Datei verstecken können. Als Formate kommen bei Bildern in erster Linie das BMP-Format und bei Klängen das WAV-Format zum Einsatz. Die verschiedenen Formate sind insofern wichtig, weil manche Formate mit Verlusten komprimieren (JPEG, MP3). Das wäre für unsere Nachricht natürlich fatal, denn die steganografischen Algorithmen würden dann durcheinander kommen und eine Dechiffrierung wäre nicht mehr möglich. Ich kopiere mir ein Stück Windows-Hintergrund in eine separate Datei und nenne sie bild_ohne_nachricht.bmp (Abbildung 2.46).
AUF DER
CD-ROM
Abbildung 2.46: bild_ohne_nachricht.bmp
3
82
Beide Dateien finden Sie auch auf der Buch-CD im Verzeichnis zu diesem Workshop.
In diesem Bild soll die Datei xyz.txt versteckt werden. Rufen Sie dazu die Steganos Zentrale auf und klicken auf Steganos Datei-Manager. Der Dateimanager startet mit einer grauen Oberfläche. Wenn Sie das Icon Neu anklicken (mit dem verschnürten Windows-Ordner), so erscheinen die Icons Datei hinzufügen und Ordner hinzufügen. Fügen Sie die Datei xyz.txt hinzu (Abbildung 2.47).
W E R K S TAT T
Steganos Security Suite
Abbildung 2.47: Steganos Dateimanager
4
Nun klicken Sie auf das Icon Sichern und schließen. Es öffnet sich ein Dialogfenster, in dem Sie gefragt werden, ob Sie die Datei Verschlüsseln oder Verstecken wollen. Sie wollen die Datei in einem Bild verstecken und klicken den entsprechenden Button (Abbildung 2.48). Es öffnet sich der Trägerdatei-Assistent, der Ihnen drei Möglichkeiten anbietet: eine automatische Suche nach einer passenden Datei, eine Neuerstellung einer Datei und eine explizite Vorgabe des Trägermediums (Abbildung 2.49). Wählen Sie ... eine bestehende Trägerdatei auswählen und klicken auf Weiter.
Abbildung 2.48: Steganos Dateimanager – Abfrage
Abbildung 2.49: Steganos Trägerdatei-Assistent
W E R K S TAT T
83
Workshop 2 – Vertrauliche Daten verschlüsselt senden
VORSICHT!
5
6
84
Es erscheint ein Dateidialog, in dem Sie die Datei bild_ohne_nachricht.bmp auswählen. Sie werden nun nach einem Passwort gefragt. Nach Eingabe des Passwortes wird die Datei xyz.txt im Bild versteckt.
Unkomprimierte Trägermedien wie *.bmp oder *.wav-Dateien können sehr schnell sehr groß werden!
Sie können die Bilddatei jetzt im Internet zum Download bereitstellen. Der Empfänger benötigt den genauen URL und kann dann die Datei mit dem komplexen Passwort aus dem Bild extrahieren. Sie merken aber schon, dass die Übermittlung des Passwortes ein prinzipielles Problem ist, denn ohne das neu vergebene Passwort für das Bild kommt der Empfänger natürlich nicht an die Nachricht. Eine gängige Lösung für dieses Problem stellt die hybride Verschlüsselung und damit die Kombination beider Verfahren dar. Der lange Text wird steganografisch und damit symmetrisch verschlüsselt, das kurze Passwort jedoch asymmetrisch, beispielsweise mit PGP.
W E R K S TAT T
Workshop 3 Sensible Daten schützen und verwalten Datenspionage bei sensiblen Daten. Wer macht so was? Schauen Sie sich einfach mal kurz den Workshop über Viren und Würmer an (Workshop 6). Jeder hat etwas, was er anderen nicht zeigen möchte oder nicht zeigen darf. Der jeweils andere kann dabei der Kollege, der Chef, der Ehepartner, das Finanzamt, die Kinder und wer auch sonst noch sein. Es muss gar nicht unbedingt etwas Verbotenes sein, aber einen gewissen Privatbereich sollte jeder auf seinem Rechner haben. Der Rechner könnte auch mal schlicht gestohlen werden oder in die Reparatur gehen – was dann? Es geht also in diesem Workshop um das Verstecken, Verschlüsseln und sichere Löschen von Dateien und ganzen Festplatten.
3.1
Ist eine gelöschte Datei gelöscht?
Nein, eben nicht. Nach dem Löschen liegt die Datei in Ihrem Papierkorb und ist problemlos wieder herstellbar. Sie müssen nur einmal mit der rechten Maustaste auf die Datei klicken sowie im Kontextmenü auf Wiederherstellen und sofort steht die Datei wieder an ihrem alten Platz. Denken Sie also daran, Ihren Papierkorb hin und wieder mal zu leeren (Abbildung 3.1).
Workshop 3 – Sensible Daten schützen und verwalten
Abbildung 3.1: Der Papierkorb in Windows XP
Ist die Datei nach der Leerung des Papierkorbs gelöscht? Leider nein! Das Betriebssystem löscht sie zwar aus seiner internen Dateiliste, der Inhalt ist aber immer noch auf der Festplatte. Die Rekonstruktion wird natürlich erheblich komplizierter, ist aber möglich. Der Speicherplatz der gelöschten Datei wird vom Betriebssystem freigegeben und die auf der Platte verbliebenen Inhalte gelöschter Dateien werden nach und nach von neuen Daten überschrieben. Wenn Sie sicher gehen wollen, dass eine Datei wirklich verschwindet, dann benutzen Sie beispielsweise in der Freeware PGP den Assistenten zur Säuberung des freien Speichers (Workshop 2, Seite 70). Mit ihm können Sie den freien Speicherplatz auf der Festplatte sicher löschen. Über das Säubern-Icon in PGPmail können Sie einzelne Dateien sicher löschen. Auch in der Steganos Security Suite ist ein so genannter Daten-Shredder enthalten (Abbildung 3.2).
Abbildung 3.2: Steganos Shredder
86
W E R K S TAT T
Windows XP und die Dateiverschlüsselung
In den Einstellungen können Sie das Vernichtungsverfahren festlegen (Abbildung 3.3).
Abbildung 3.3: Steganos Shredder: Datenvernichtungs-Optionen
Diese Shredder-Programme sind ein einfacher und sicherer Schutz gegen die spätere Rekonstruktion einer Festplatte. Selbst nach einer Festplattenformatierung wäre es ansonsten noch möglich, Reste wiederherzustellen.
3.2
Windows XP und die Dateiverschlüsselung
Wie verbirgt man Dateien und Ordner vor Datenspionen? In Windows XP ist bereits eine Verschlüsselungsmöglichkeit für Dateien eingebaut, die unter dem WindowsDateisystem NTFS (New Technology File System) abgespeichert worden sind. NTFS ist unter Windows NT und Windows 2000 eine altbekannte Sache, unter Windows 98 und ME wurde aber meist ein FAT16 oder FAT32 (File Allocation Table) Dateisystem angelegt. FAT16 erlaubte nur maximale Festplattengrößen von 2 Gigabyte, FAT32 4 Gigabyte. Mit NTFS hingegen ist eine maximale Festplattengröße von 2 Terabyte möglich und die Dateinamen können 255 Zeichen lang sein. Außerdem werden Berechtigungen für den Zugriff auf Dateien verwaltet und es gibt eben auch die Möglichkeit, Dateien in Echtzeit zu verschlüsseln. Um herauszufinden, welches Dateisystem Sie benutzen, öffnen Sie den Windows Explorer, markieren Arbeitsplatz, klicken mit der rechten Maustaste auf Lokaler Datenträger (C:) und im anschließenden Kontextmenü auf Eigenschaften (Abbildung 3.4).
W E R K S TAT T
87
Workshop 3 – Sensible Daten schützen und verwalten
Abbildung 3.4: Eigenschaften des Laufwerks C:
Leider sind die eingebauten Verschlüsselungsfunktionen auf die Windows XP Professional Version beschränkt und stehen dem Windows XP Home-Anwender nicht zur Verfügung. In den Dateieigenschaften ist die Checkbox für die Verschlüsselungsfunktion abgeblendet sichtbar und deaktiviert.
3.3
PGPdisk
PGPdisk ist ein Programm, das in den früheren Freeware-Versionen von PGP enthalten war, in der aktuellen Version aber nicht mehr dabei ist. Ab der Personal Version von PGP können Sie es benutzen, eine Demoversion gibt es leider nicht. Prinzipiell funktioniert das Programm so, dass Sie sich mit PGPdisk einen Bereich auf der Festplatte reservieren, der von PGP überwacht wird. Verschlüsselungsgrundlage des Bereichs ist entweder ein öffentlicher Schlüssel aus Ihrem Schlüsselring oder eine separate Passphrase. PGPdisk verschlüsselt diesen Bereich entsprechend und stellt ihn als ein zusätzliches Laufwerk dar. Der Bereich muss explizit geladen und entladen werden und steht dann auch im Windows Explorer als zusätzliches Laufwerk ganz normal zur Verfügung. Als interessantes Feature bietet der PGPeditor die Möglichkeit, verschiedene Benutzer für einen gesicherten Bereich zu verwalten. Wenn der Zugriff über deren öffentliche
88
W E R K S TAT T
Steganos Safe
Schlüssel realisiert wird, so müssen sich die zusätzlichen Benutzer keine neue Passphrase merken.
3.4
Steganos Safe
Steganos Safe funktioniert ähnlich wie PGPdisk. Auch hier wird ein gewisser Bereich der Platte festgelegt. Die Schlüsselverwaltung ist hier allerdings nicht möglich und somit ist man auf ein Passwort festgelegt. Lassen Sie uns mal einen Safe erstellen. Öffnen Sie die Steganos Security Software und klicken Sie auf das Safe-Icon. Sie sehen vier „Klingelschilder“. Jedes Schild steht für ein sicheres Laufwerk mit maximal 1,2 Gigabyte Größe. Wenn eines der sicheren Laufwerke im Safe geöffnet wird, kommt in Ihrem Windows Explorer ein neues Laufwerk hinzu, auf dem Sie wie gewohnt Dokumente bearbeiten, Verzeichnisse anlegen etc. können. Wenn Sie Daten in ein sicheres Laufwerk im Safe speichern, werden diese in Echtzeit verschlüsselt. Wenn ein Laufwerk geschlossen wird, verschwindet es automatisch wieder aus Ihrem Windows Explorer. Das Öffnen und Schließen eines Laufwerks funktioniert sehr schnell. Sie können bis zu vier solcher sicheren Laufwerke anlegen, so dass Ihr Safe ein Gesamtfassungsvermögen von 4,8 Gigabyte an sensiblen Daten hat.
Ein paar Dinge sollten Sie bei der Arbeit mit dem Safe beachten:
■ Schließen Sie alle Dateien in jedem Ihrer sicheren Laufwerke, bevor
■ Installieren Sie keine Programme in Ihren sicheren Laufwerken. Möglicherweise könnten diese Installationen beschädigt werden, wenn Sie versuchen, Programme auszuführen, wenn Ihr sicheres Laufwerk gerade geschlossen ist.
VORSICHT!
Sie es schließen. Wenn noch Dateien im Laufwerk geöffnet sind, kann es nicht geschlossen werden.
■ Die Größe eines sicheren Laufwerks kann nach dem erstmaligen Anlegen nicht mehr verändert werden.
1
Auf dem ersten sicheren Laufwerk steht Erstellen – also los! Erstellen Sie sich einen Safe. Nach dem Klick wird ein Name für das sichere Laufwerk abgefragt. Geben Sie Ihrem Safe einen Namen (Abbildung 3.5).
W E R K S TAT T
89
Workshop 3 – Sensible Daten schützen und verwalten
Abbildung 3.5: Steganos Safe – Namensvergabe
2
Nach einem Klick auf OK werden Sie gefragt, ob Sie ein bestehendes Laufwerk benutzen oder ein neues anlegen wollen. Sie wollen natürlich ein neues Laufwerk erstellen und klicken auf Weiter (Abbildung 3.6).
Abbildung 3.6: Steganos Safe – Laufwerk anlegen
3
90
Es erfolgt eine Namensabfrage für die Datei, die das sichere Laufwerk darstellt. Diese Dateien haben die Endung .sle und werden in Ihrem Ordner Eigene Dateien gespeichert. Sie sollten den vorgeschlagenen Namen beibehalten. Sie können später diese Datei menügesteuert verschieben. Wenn Sie jetzt auf Weiter klicken, erscheint als Nächstes die Abfrage, wie groß das sichere Laufwerk werden soll. Die Maximalgröße ist 1,2 Gigabyte. Wählen Sie eine Größe aus und klicken Sie auf Weiter (Abbildung 3.7).
W E R K S TAT T
Steganos Safe
Abbildung 3.7: Steganos Safe – Größe des sicheren Laufwerks
4
Nach einem Klick auf Weiter kommt noch eine Sicherheitsabfrage und ein Klick auf Fertig stellen startet die Erstellung des sicheren Laufwerks. Je nach Größe kann es ein wenig dauern. Ich habe mir zwei sichere Laufwerke erstellt und mein Safe sieht nun folgendermaßen aus.
Abbildung 3.8: Steganos Safe mit zwei geschlossenen sicheren Laufwerken
W E R K S TAT T
91
Workshop 3 – Sensible Daten schützen und verwalten
5
In Ihrer Statuszeile hat sich jetzt auch ein kleiner Tresor breit gemacht. Durch einen Klick auf Öffnen können Sie Ihr sicheres Laufwerk öffnen. Es bekommt einen Laufwerksbuchstaben zugeordnet und taucht im Windows Explorer als ganz normales Laufwerk auf. In den Einstellungen können Sie den Namen sowie den zugeordneten Laufwerksbuchstaben ändern und die SLE-Datei bei Bedarf verschieben.
3.5
Steganos Portable Safe
Der Portable Safe stellt eine Mischung aus einem Safe und einer verschlüsselten Datei dar. Damit kann man seinen Safe auf ein beliebiges Medium schreiben und dann mitnehmen. Dadurch sind die Daten nicht an einen Rechner gebunden. Der Portable Safe ist passwortgeschützt und auch ohne die Steganos Software funktionsfähig.
Abbildung 3.9: Steganos Portable Safe – Festlegung der Größe
1
92
Um einen Portable Safe zu erstellen, klicken Sie auf das entsprechende Icon. In einem Installationsdialog werden Sie nach der Größe des Mediums gefragt (Abbildung 3.9). CD und DVD-Größen sind bereits vorgegeben. Nach Eingabe der Größe wird das Passwort abgefragt und seine Güte in einem Laufbalken dargestellt. Dann wird ein so genanntes Zusammenstellungslaufwerk erzeugt, das im System als normales Laufwerk angemeldet wird. Den Laufwerksbuchstaben können Sie im vierten Teil des Dialoges festlegen (Abbildung 3.10).
W E R K S TAT T
Steganos Portable Safe
Abbildung 3.10: Steganos Portable Safe – Laufwerksbuchstaben festlegen
2
Im fünften Schritt werden Sie aufgefordert, die entsprechenden Dateien in das Zusammenstellungslaufwerk zu kopieren (Abbildung 3.11).
Abbildung 3.11: Steganos Portable Safe – Zusammenstellung der Dateien
3
Im letzten Schritt werden die Dateien für das Medium erzeugt. Es handelt sich dabei um eine große SLE-Datei, also einen Safe und die Programme, die benötigt werden, um mit der Datei zu arbeiten. Diese Dateien können Sie nun auf Ihre CD oder DVD brennen oder bei weniger Platzbedarf auf einer Diskette abspeichern. So haben Sie auch unterwegs und auf verschiedenen Rechnern Zugriff auf Ihre
W E R K S TAT T
93
Workshop 3 – Sensible Daten schützen und verwalten
verschlüsselten Daten. Beachten Sie aber, dass dies nur unter Windows funktioniert (Abbildung 3.12 und Abbildung 3.13).
Abbildung 3.12: Steganos Portable Safe – Dateien kopieren
Abbildung 3.13: Die erzeugten Dateien können auf CD gebrannt werden
94
4
Die von Steganos erzeugten Dateien auf der Festplatte können Sie nun wieder löschen.
5
Wenn Sie die CD in einen anderen Windows-Rechner einlegen, so sollte automatisch der Öffnen-Dialog angezeigt werden (Abbildung 3.14).
W E R K S TAT T
Steganos Portable Safe
Abbildung 3.14: Steganos Portable Safe – Öffnen-Dialog
6
Geben Sie Ihr Passwort ein und legen Sie einen Laufwerksbuchstaben fest. Der Portable Safe wird wie ein zusätzliches Laufwerk angemeldet und in die Windows-Umgebung eingebunden. Der Safe muss natürlich nach der Benutzung wieder geschlossen werden.
W E R K S TAT T
95
Workshop 4 Den Zugang zum PC vor gezielten Angriffen schützen 4.1
Das unknackbare Kennwort
Kennwörter sind meistens sehr menschlich: Man wählt Namen von Kindern, Freundinnen oder Geburtsdaten, Autofirmen und ähnliche Dinge des täglichen Lebens. Es gibt meistens zwei Extrempositionen. Die Sicht des Anwenders und die Sicht des Verantwortlichen. Zu Hause sind Sie meist beides in einer Person und somit müssen Sie sich auch mit beiden Seiten beschäftigen. Die Anwenderseite argumentiert mit gnadenloser Benutzerfreundlichkeit. Man nimmt gern ein Passwort, das man auch behalten kann wie beispielsweise Dagobert. Alle Passwörter, die komplizierter sind, werden meist auf Zetteln notiert und unter Tastaturen geklebt. Ich habe Pinnwände voller Amazon-, Ebay- und sonstigen Benutzernamen und Passwörtern bei zahlreichen Anwendern gesehen. Hingegen hat die Person, die für Ihre Daten verantwortlich ist, ein Interesse an möglichst komplexen und langen Passwörtern, um einen Missbrauch zu vermeiden. Ein gutes Beispiel wäre 6WQGx9 zRe76g. Das Passwort hat 12 Zeichen, es besteht aus Groß- und Kleinbuchstaben und wahllos sind Ziffern eingestreut. Ein möglicher Angreifer hätte ein echtes Problem (wenn nicht ein Zettel unter der Tastatur klebt ). Leider kann man sich solche Passwörter nicht merken. Oder formulieren wir es mal so: Es gibt viele Menschen, die sich solche Passwörter nicht merken wollen. Wo Ihre Passwörter zwischen diesen Extrempositionen anzusiedeln sind, müssen Sie entscheiden.
-
Wenn Passwörter geknackt werden sollen, so kann man es zunächst mit Raten versuchen. Bei Familienangehörigen oder Geburtsdaten kommt man recht schnell ans Ziel.
Workshop 4 – Den Zugang zum PC vor gezielten Angriffen schützen
Man könnte auch so genanntes social hacking betreiben und einfach Ihren Zettel suchen, auf dem Sie Passwörter notieren, oder Sie einfach einmal anrufen und nach Ihrem Passwort fragen. Mittlerweile gibt es Programme, die mittels brachialer Gewalt (brute force) einfach solange probieren, bis sie das Passwort gefunden haben. Je länger und komplexer das Passwort ist, desto länger dauert das dann. Bei 20-stelligen Passwörtern mit Ziffern und Sonderzeichen gibt es schon ziemlich viele Möglichkeiten. Viele Passwort-KnackProgramme benutzen deswegen eine Dictionary-Suche. Alle Wörter, die in einer Wortliste stehen - beispielsweise in einem Vornamenlexikon – werden erst mal durchprobiert. Auf diese Weise kann sehr schnell ein gängiges Passwort ermittelt werden. Um es den Angreifern schwerer zu machen, könnten Sie den Dagobert um ein paar Ziffern anreichern. Sagen wir mal Dag3ober4t. Das macht die Suche schon erheblich komplizierter, aber natürlich nicht unmöglich. Ich möchte Ihnen nicht das Vertrauen rauben, aber grundsätzlich ist jedes Passwort erratbar, wenn man genug Zeit und genug Rechnerkapazität hat.
4.2
Zugangsschutz für den einzelnen PC
Benutzen Sie die integrierte Benutzerverwaltung in Windows XP (siehe Abschnitt 3 in Workshop 1) und arbeiten Sie im Normalbetrieb mit einem eingeschränkten Benutzer. Falls Sie ein Notebook besitzen, dann lassen Sie es nicht unbeaufsichtigt stehen und wenn, dann melden Sie sich vorher ab oder fahren es herunter. Denken Sie daran, dass jeder in Ihrer Abwesenheit Ihren Rechner mit einer Boot-Diskette oder Boot-CD hochfahren und sich an Ihren Daten zu schaffen machen kann. Die Benutzerverwaltung von Windows XP greift dann nicht mehr! Viele Notebooks bieten die Möglichkeit, ein rechnerinternes Passwort zu vergeben. Bevor irgendein Betriebssystem gestartet wird, wird dieses Passwort abgefragt. Nutzen Sie diese Option, auch wenn Sie Schwächen hat. Es gibt Programme, die diese Passwörter knacken können, und zudem haben die Hersteller der Computer – zumeist bei älteren Systemen – „Hintertüren“ in Form von Wartungskennwörtern vorgesehen. Trotzdem sollten Sie auf die Bequemlichkeit der meisten Menschen vertrauen. Viele kleine Schutzmechanismen ergeben gemeinsam auch einen großen. Denken Sie auch an einen mechanischen Schutz. Wenn Sie den Zugang für Dritte vermeiden wollen, schließen Sie die Tür hinter Ihrem Zimmer zu. Wenn Sie sich Passwörter trotz besseren Wissens auf Zetteln notieren, dann kleben Sie diese Zettel nicht unter die Tastatur, sondern lagern Sie sie an einem sicheren Ort. Mit gesundem Menschenverstand kann man schon eine Menge verhindern.
98
W E R K S TAT T
Diebstahlschutz für das Notebook
4.3
Diebstahlschutz für das Notebook
Haben Sie ein Notebook? Waren Sie damit schon mal unterwegs? Haben Sie es aus Angst vor Diebstahl auch schon durch Fußgängerzonen, Hotels und verregnete Innenstädte getragen? Wenn ja, so haben Sie bestimmt festgestellt, dass auch 2-5 Kilogramm (mit Akku, diversen Kabeln und Betriebsanleitungen) auf Dauer sehr schwer sein können. Es gibt mittlerweile eine Art Fahrradschloss für Notebooks, das zumindest am Arbeitsplatz oder auf einer Messe einen gewissen physischen Schutz bietet. Das Schloss wird an einer an allen Notebooks vorhandenen Vorrichtung eingehakt und mit einem möglichst festen Gegenstand (Schreibtischgriff, Heizungsrohr, Messestand) verbunden (Abbildung 4.1).
Abbildung 4.1: Diebstahlschutz für Notebooks
Für Notebooks ohne Sicherheitsbuchse gibt es eine spezielle Lösung mit einem Spezialhaftkleber, der eine Verbindung zum Schloss am Notebook befestigt. Daneben existieren bereits Schlösser, die einen lauten Ton von sich geben und wie eine Alarmanlage funktionieren, wenn sich jemand an ihnen zu schaffen macht1.
4.4
Festplattenfreigaben
Festplatten können über den Windows Explorer freigegeben werden. Diese Funktion verwendet man häufig in Netzwerken, um den Kollegen oder Familienangehörigen (oder sich selbst) eine Möglichkeit zu bieten, auf Daten zuzugreifen. Bewegt man sich jedoch mit Administrationsrechten oder gar ohne Windows Benutzeranmeldung und Passwort im Internet, so können natürlich auch Dritte von außen auf die Daten zugreifen. Versuchen Sie in Windows XP das Laufwerk C: freizugeben, so erhalten Sie immerhin einen deutlichen Hinweis auf die Gefahr Ihres Vorhabens (Abbildung 4.2).
1.
http://www.holme.com/zubehoer/notebook_diebstahlsicherung.html
W E R K S TAT T
99
Workshop 4 – Den Zugang zum PC vor gezielten Angriffen schützen
Abbildung 4.2: Freigaben in Windows XP
Das Fenster mit den Eigenschaften des Laufwerks erreichen Sie im Windows Explorer ((Ä)+(E)). Klicken Sie auf Arbeitsplatz im linken Bereich, dann mit der rechten Maustaste auf Lokaler Datenträger C: und dann im Kontextmenü auf Eigenschaften. Wenn Sie jetzt trotzdem das Laufwerk freigeben, können Sie zumindest nicht behaupten, man hätte Sie nicht gewarnt .
-
Standardmäßig wird Windows XP ohne Ordnerfreigaben installiert. Nach der Installation eines Netzwerkes, wird der Ordner C:\Dokumente und Einstellungen\All Users\Gemeinsame Dokumente im Netzwerk freigegeben. Über diesen Ordner sollten Sie Dateien tauschen. Ein Tauschvorgang im Netz sieht dann so aus: Zuerst kopieren Sie die Datei in den gemeinsamen Ordner und dann vom anderen PC aus diesem Ordner heraus. Anschließend können Sie die Datei im Tauschordner wieder löschen. Im gemeinsamen Ordner befinden sich bereits zwei Unterordner mit den Namen Gemeinsame Bilder und Gemeinsame Musik. Sie können dort weitere Ordner anlegen und alle gemeinsamen Dateien ablegen, damit jeder darauf Zugriff hat. In Windows XP Professional können Sie Freigaben auf bestimmte Benutzer beschränken. In Windows XP Home geht das leider nicht. Also ein weiterer Grund, auf Freigaben zu verzichten.
100
W E R K S TAT T
Login-Daten so aufbewahren, dass sie nicht gefunden werden
4.5
Login-Daten so aufbewahren, dass sie nicht gefunden werden
Wer kennt das nicht? Zwei Monate bewegt man sich durchs Internet und schon hat man 10 Benutzernamen und Passwörter, die meist auf irgendwelchen Zetteln stehen oder schlicht vergessen werden. Zur Lösung dieses Problems bieten sich Programme an, die Passwörter verwalten. Innerhalb der Steganos Security Suite gibt es einen so genannten Passwort-Manager. Eine Demoversion des Programms ist auf der Buch-CD enthalten, die Installation wird im Abschnitt 9 von Workshop 2 beschrieben. Steganos Passwort-Manager wird von der Steganos Zentrale aus gestartet und ist selbst durch ein Passwort geschützt. Dieses Passwort ist dann das Master-Passwort für alle weiteren Passwörter, die Sie schützen wollen. Sie sollten es tunlichst nicht vergessen, denn sonst kommen Sie definitiv nicht mehr an die anderen Passwörter.
Abbildung 4.3: Steganos Passwort-Manager
Die Idee ist einfach. Die meisten Zugangsabfragen beruhen auf einem Benutzernamen und einem Passwort. Der Passwort-Manager bietet nun die Möglichkeit, beliebig viele User-, Passwort-Kombinationen mit der dazugehörigen Webseite unter einem aussagekräftigen Namen zu speichern. Sie können neue Passwörter hinzufügen sowie vorhandene ändern und löschen. Der Passwort-Manager bleibt immer im Vordergrund und Sie können auf Mausklick die entsprechende Webseite ansteuern. Normalerweise
W E R K S TAT T
101
Workshop 4 – Den Zugang zum PC vor gezielten Angriffen schützen
wird das Passwort mit Sternchen dargestellt, sie können es aber ebenfalls mit einem Mausklick kurz sichtbar machen (Abbildung 4.3). Die einzelnen Einträge werden in einer Maske eingegeben und mit zusätzlichen Hinweisen versehen (Abbildung 4.4).
Abbildung 4.4: Passwort-Eintrag erstellen
Praktisch ist auch die Option, sich Passwörter generieren zu lassen. Wenn Sie ein wirklich wichtiges Passwort benötigen, so können Sie sich hier sehr komfortabel ein kaum erratbares Passwort erzeugen lassen (Abbildung 4.5).
Abbildung 4.5: Erzeugung eines Passwortes
Wenn Sie den Passwort-Manager wieder schließen, werden Ihre Daten nochmals verschlüsselt.
102
W E R K S TAT T
Hintergrund: Was taugen Biometrieverfahren?
4.6
Hintergrund: Was taugen Biometrieverfahren?
Bestimmte Körpermerkmale wie Iris, Fingerabdruck, Stimme, Lippenbewegung oder Gesichtsform sind unveränderlich und lassen sich mit Hilfe elektronischer Verfahren zur Identifikation nutzen. Die Körpermerkmale können auf einem Chip als Referenzmuster gespeichert und dann mit dem Original verglichen werden. Damit wird der eigene Körper zum Schlüssel. Das Auswendiglernen von zahllosen PIN-Nummern und Passwörtern könnte eines Tages der Vergangenheit angehören. Die Palette biometrischer Zugangssicherungen für den PC reicht von Mäusen und Tastaturen mit integriertem Fingerabdruck-Scanner über Scanner, die das individuelle Iris-Muster des menschlichen Auges zur Identifizierung nutzen, bis zur Webcam, deren Software Gesichter registrierter Personen wieder erkennt. Die Sicherheits-Software schreibt sich beim Hochfahren in die Anmelderoutine des Rechners und erweitert diese um eine biometrische Authentifizierung. Häufig wird auch der Bildschirmschoner mit eingebunden und man kann sich nach Arbeitspausen am laufenden Rechner ebenfalls biometrisch ausweisen. Ausgereifte Lösungen erlauben zudem den dezidierten Schutz einzelner Programme oder Dokumente per biometrischem Merkmal. Obwohl die Hersteller das schon seit Jahren versprechen und nach den Anschlägen in den USA die Branche einen enormen Schub erhielt, hat sich die Technologie noch nicht bis ins private Wohnzimmer durchgesetzt. Schuld daran sind vor allem hohe Fehlerquoten. Mit keinem Verfahren ist eine hundertprozentige Erkennung möglich. Da sich jeder Mensch ständig und dazu noch in wenigen Wochen verändert, unterliegen auch die anscheinend unveränderlichen Merkmale dieser Veränderung. Bei einer niedrigen Toleranzgrenze reicht schon eine kleine Wunde am Finger für eine Fehlermeldung aus. Biometrische Lösungen sind zwar weitgehend resistent gegen herkömmliches Hacking, können aber teilweise mit simpelsten Mitteln überlistet werden. Beispielsweise kann man dem Iris-Scanner ein Foto vorhalten oder dem Fingerabdruck-Scanner einen Gummibärchen-Abdruck aufdrücken2. Interessant ist auch die Variante, gesicherte Daten beispielsweise über einen USBScanner einfach mitzuschneiden und dem Rechner dann die Erkennung mit diesen Daten später vorzutäuschen. Da die Scanner oft an USB-Ports hängen, ist so eine Methode durchaus realistisch Das deutsche, öffentlich geförderte und von den Sparkassen unterstützte, Projekt Biotrust wurde planmäßig am 31. März 2002 beendet. Sein Ziel war unter anderem, biometrische Identifikationsverfahren für E-Commerce-Anwendungen zu entwickeln. 2.
Zum Gummibärchen Coup – http://www.theregister.co.uk/content/55/25300.html
W E R K S TAT T
103
Workshop 4 – Den Zugang zum PC vor gezielten Angriffen schützen
Eine Übersicht über die Ergebnisse und zahlreiche Links können Sie unter http:// www.datenschutzzentrum.de/projekte/biometri/ abrufen. In jüngster Zeit steigen allerdings die Umsätze der Chiphersteller, die Spezialchips für biometrische Lösungen anbieten, so dass Microsoft gemeinsam mit der Firma Authentec Inc. an einem Treiber für Windows arbeitet3. Wenn diese allgemeine Hürde überwunden ist, dürfte einem Siegeszug dieser Technologie nichts mehr im Wege stehen.
3.
104
http://www.authentec.com/news/article.cfm?ID=86
W E R K S TAT T
Workshop 5 Vorsicht bei Office-Dokumenten Wer Briefe schreibt, möchte sie natürlich auch verschicken. Es gibt verschiedene Arten von Briefen und so werden natürlich auch verschiedene Arten der Beförderung gewählt. Um Porto und Zeit zu sparen, werden Word-Dokumente oft als E-MailAnhang verschickt. In diesen Word-Dateien stehen außer dem eigentlichen Text auch so genannte Metadaten. Das sind Formatierungsanweisungen, Daten über den Benutzer und natürlich auch Makros. Makros sind automatisierte Befehlsfolgen, die beispielsweise ein Formular in Word zur Verfügung stellen, um eine Rechnung auszufüllen. Diese Dokumentenstruktur stammt aus einer Zeit, in der Word-Dateien meistens gedruckt und selten verschickt oder getauscht wurden. Unter Umständen können durch diese Metadaten sehr heikle Informationen in die falschen Hände geraten.
5.1
Microsoft Office
Um dem Benutzer das spätere Auffinden seiner Dateien zu erleichtern, werden zu jeder Datei eine ganze Reihe begleitender Informationen mit abgelegt.
Benutzerangaben Schauen Sie sich einfach mal bei einer Word- oder Excel-Datei im Windows Explorer die Eigenschaften an: Start/Alle Programme/Zubehör/Windows Explorer Klicken Sie dann auf eine Datei mit der rechten Maustaste und wählen Sie Eigenschaften (siehe Abbildung 5.1). Hier können Sie auch manuelle Eingaben vornehmen und Stichwörter, Kategorien oder Kommentare ergänzen, um die spätere Identifizierung
Workshop 5 – Vorsicht bei Office-Dokumenten
zu vereinfachen. Damit erleichtern Sie aber Dritten natürlich auch die Übersicht über Ihre Dokumente.
Abbildung 5.1: Eigenschaften der Datei test.doc im Windows Explorer
Viele Daten werden auch ohne Ihre Aktivität automatisch zugeordnet. Dazu gehören beispielsweise ■ der Dateiname ■ der Name der Firma ■ die Namen von Autor und Bearbeiter ■ der Speicherpfad auf Ihrer Festplatte ■ die verwendete Vorlage ■ sowie Erstellungs-, letztes Änderungs-, Öffnungs- und Druckdatum oder auch die Zahl der Speichervorgänge. Wenn kein Dateiname vorgegeben wird, so generiert Word aus den ersten 127 Zeichen der ersten Zeile zum Zeitpunkt des ersten Speichervorgangs einen Namen. Bei den anderen Angaben können interessierte Dritte deutlich aufschlussreichere Einblicke in die Entstehungsgeschichte von Dokumenten erhalten. Mit einem Hex-Editor wie beispielsweise dem Hex-Editor 2000, der hexadezimale Zeichen in normale Zeichen umwandelt, lassen sich diese Daten problemlos auslesen (siehe Abbildung 5.2).
106
W E R K S TAT T
Microsoft Office
AUF DER
CD-ROM
Den Hex-Editor 2000 finden Sie im entsprechenden Workshop-Verzeichnis auf der Buch-CD.
Abbildung 5.2: Die Word-Datei test.doc in einem Hex-Editor
Schnellspeicherung Bei der Schnellspeicherung merkt sich Word die Veränderungen an der Datei. Unter Extras/Optionen/Speichern können Sie diese Einstellung sehen (Abbildung 5.3).
W E R K S TAT T
107
Workshop 5 – Vorsicht bei Office-Dokumenten
Abbildung 5.3: Schnellspeicherung in Word
Wenn Sie etwas aus einem anderen Programm über die Zwischenablage einfügen und später wieder ändern, so kann es sein, dass der Inhalt der Zwischenablage immer noch in der Word-Datei vorhanden ist. Auch Teile aus anderen Microsoft-Produkten, die zum Zeitpunkt der Erstellung des Dokumentes parallel geöffnet waren, können Spuren hinterlassen. Microsoft weist in der Hilfe daraufhin, dass man die Schnellspeicherung hin und wieder deaktivieren sollte, damit alle Änderungen in das Dokument integriert werden.
Überarbeitungsfunktion Word erleichtert das gemeinsame Arbeiten an Texten durch die so genannte Überarbeitungsfunktion. Per E-Mail-Anhang oder im Netz über den gemeinsamen Dateiordner geht ein Dokument an die anderen Bearbeiter im Team, die den Text, die Präsentation oder die Tabelle überarbeiten. Anschließend werden die korrigierten Dokumente wieder zurückgeschickt. Änderungen des jeweiligen Bearbeiters mit seinen Kommentaren lassen sich leicht im Dokument nachvollziehen. Das ist auch so gewollt, denn schließlich will man ja wissen, wie es zu dieser oder jener Änderung gekommen ist. Über den Menüpunkt Extras/Änderungen verfolgen erhält man so Einblicke in die Entstehungsgeschichte von Dateien. Sind alle Nachbesserungen angebracht, können die Versionen zu einer gemeinsamen Fassung zusammengefügt werden.
108
W E R K S TAT T
Microsoft Office
Damit sollten gleichzeitig die Korrekturvorschläge verschwinden. Wenn da nicht noch die Schnellspeicherung angekreuzt wäre ... Einige Berühmtheit erlangte hier eine Datei über die Magnetschwebebahn Transrapid in Nordrhein-Westfalen. In diesem Fall ging es um eine Machbarkeitsstudie für den Transrapid, also um sehr viel Geld und so wurden beispielsweise aus 172 plötzlich 192 Stehplätze pro Zug. „Große Trassenabschnitte verlaufen durch Landschaftsschutzgebiete und regionale Grünzüge“, haben die Autoren der ursprünglichen Version angemerkt. Offenbar war das zu kritisch, denn auch diese Passage wurde gelöscht. All diese Streichungen konnte ein Journalist mit der oben angesprochenen Option „Extras/Änderungen verfolgen“ auf den Bildschirm „zurückzaubern“1. Abhilfe 1: Word und Excel verfügen ab der Version 2002 über Möglichkeiten, die persönlichen Informationen beim Speichern der Datei zu entfernen. Zu finden ist diese Option im Menüpunkt Extras/Optionen unter dem Reiter Datensicherheitsoptionen. Leider muss diese Einstellung bei jeder Datei von Neuem vorgenommen werden. Standardmäßig sind die Checkboxen deaktiviert. Abhilfe 2: Bei geschäftlichen Vorgängen ist der Inhalt wichtig. In diesem Fall sind alle am Projekt Beteiligten mit dem reinen Textformat (plain text) auf der sicheren Seite (Datei/ Speichern unter – „Nur Text“). Alle anderen Formate der in MS Office möglichen Konvertierungen z. B. nach RTF oder HTML bergen immer noch die Gefahr kompromittierender Metadaten. Abhilfe 3: Wenn Formatierungen und Layout erhalten bleiben müssen, dann stellt das plattformunabhängige PDF-Format von Adobe die beste Alternative dar.
PDF (Portable Document Format) PDF ist ein von der Firma Adobe definiertes Dateiformat, mit dessen Hilfe Dokumente beliebiger Art (Handbücher, Rechnungen, Statistiken etc.) plattformübergreifend veröffentlicht werden können. Der wichtigste Vorteil besteht darin, dass ein PDFDokument dabei sein Layout nicht verändert. Das PDF-Format ist eine Weiterentwicklung des PostScript-Formats. Ein PDF-Dokument ist wie ein Ausdruck oder eine Hardcopy des Originaldokuments zu verstehen. Zum Erstellen der Dokumente wird der kostenpflichtige Adobe Acrobat Distiller benötigt und zum Lesen der Adobe Acrobat Reader, der auf der Buch-CD beiliegt oder kostenlos zum Download bereitsteht. 1.
http://online.wdr.de/online/computer/officexp/transrapid.phtml
W E R K S TAT T
109
Workshop 5 – Vorsicht bei Office-Dokumenten
Oft wird über das normale Drucken eine PDF-Datei erstellt. Dazu wird ein kostenpflichtiger Druckertreiber im System benötigt, der gewissermaßen eine Datei in das PDF-Dokument druckt. Mit Hilfe des Adobe Acrobat Readers können PDF-Dokumente geöffnet, angeschaut und gedruckt, nicht aber verändert werden. Der Acrobat Reader ist auch als Plug-In für verschiedene Browser verfügbar.
PROFITIPP
PostScript Eine ebenfalls von der Firma Adobe 1984 auf den Markt gebrachte Seitenbeschreibungssprache für das seitenweise Ausdrucken und Speichern von Grafiken und Texten. Die Sprache arbeitet system-, größenund auflösungsunabhängig – die Qualität des Ausdrucks richtet sich einzig nach den technischen Möglichkeiten des Ausgabegeräts.
Verzichten Sie Dritten gegenüber auf das Verschicken von Word und Excel-Dokumenten und installieren Sie sich einen Druckertreiber für das Format PDF. Einen PDF-Viewer hat mittlerweile jeder und für Presseerklärungen, Verträge, Rechnungen und sonstige Dokumente ist es einfach das zur Zeit bequemste und beste Format. Die Installation einen PDF-Druckers ist im Anhang A beschrieben.
Object Linking and Embedding (OLE) „Mit Hilfe von OLE können Sie ein verknüpftes oder ein eingebettetes Objekt verwenden, um einer Datei eine andere Datei oder den Teil einer Datei hinzuzufügen, die mit einem Office-Programm oder einem anderen Programm erstellt wurde, das verknüpfte oder eingebettete Objekte unterstützt“ – soweit die Microsoft Hilfe. Sie können also ein paar Zellen aus Excel in Word oder PowerPoint per Mausklick übernehmen. Diese Funktionalität ist natürlich praktisch und wird in Word, wenn man viel mit den Programmen arbeitet, gern genutzt. Wenn Sie Daten aus Excel 2000 per OLE in andere Applikationen übernehmen, kann mehr mitkopiert werden als vorgesehen. Wer seine Outlook-Mails im RTF-Format schreibt, sollte aufpassen, wenn er einige Zellen aus Excel 2000 als Objekt in die Nachricht einfügt. Denn der Empfänger sieht mit einem Doppelklick nicht nur die ausgewählten Informationen, sondern das komplette Arbeitsblatt. Auf diese Weise kann eine angeforderte Liste mit Mitarbeiternamen zusätzliche Angaben preisgeben, ohne dass der Absender sich dessen bewusst ist. Die einfachste Abhilfe besteht darin, ein anderes Nachrichtenformat als RTF zu verwenden, also am besten reine Text-E-Mails. Wenn Sie die Daten über Bearbeiten/Inhalte einfügen kopieren und nicht die Option „Microsoft Excel Arbeitsblatt“ benutzen, wird ebenfalls nichts Zusätzliches mitkopiert.
110
W E R K S TAT T
Microsoft Office
Stammt eine der am Datenaustausch beteiligten Applikationen aus Office XP, arbeitet die OLE-Funktion korrekt. Viele Firmen und viele Privatleute zögern allerdings mit einem Update der Office-Suite aus Kostengründen und so finden sich noch viele Versionen von Microsoft Office 97 und Microsoft Office 2000 auf Windows XP-Rechnern. Dies kommt der Akzeptanz von StarOffice und OpenOffice.org sehr entgegen, da diese Programme zu diesem Microsoft Office-Stand weitgehend kompatibel sind.
Digital signierte Dokumente In Windows XP ist es erstmalig möglich, Dokumente zu signieren. Mit dem mitgelieferten Programm selfcert.exe können Sie sich selbst Zertifikate erstellen. Da Sie bereits im Besitz eines Class 1-Zertifikats sind, können Sie dieses Zertifikat zum Signieren verwenden. Nach Aufnahme des Zertifikats in den Internet Explorer lassen sich Word-, Excel- und PowerPoint-Dateien digital signieren. Die entsprechende Option findet sich jeweils unter Extras/Optionen/Sicherheit/Digitale Signaturen.
Abbildung 5.4: Zertifikatsinformationen
Das Signieren ist der letzte Bearbeitungsschritt an einem Dokument, denn eine Änderung am Inhalt entfernt die bisherigen Signaturen. Wenn Sie ein signiertes Dokument erhalten, so finden Sie in der Statuszeile wieder den kleinen Zertifikatsorden. Mit einem Doppelklick darauf landen Sie in den Zertifikatsinformationen (Abbildung 5.4). Selbst erstellte Zertifikate werden als nicht vertrauenswürdig eingestuft, denn schließlich kann sie jeder erstellen.
W E R K S TAT T
111
Workshop 5 – Vorsicht bei Office-Dokumenten
Makros und Script-Code Wenn Sie in eine Aufgabe wiederholt durchführen möchten, können Sie diese Aufgabe automatisieren, indem Sie ein Makro verwenden. Anstatt eine Reihe zeitaufwändiger wiederholter Aktionen in Word manuell durchzuführen, können Sie ein einziges Makro erstellen und ausführen, das die gewünschte Aufgabe übernimmt. Ein typischer Verwendungszweck ist das Beschleunigen von Bearbeitungs- und Formatierungsprozessen oder das Automatisieren einer komplexen Reihe von Aufgaben. Sie können Makros aufzeichnen oder im Visual Basic Editor direkt bearbeiten. Das heißt, alles, was man in der Programmiersprache Visual Basic machen kann, ist auch grundsätzlich in einem Word-Makro möglich. Das automatische Verschicken von E-Mails an alle Empfänger, die in Ihrem Adressbuch stehen, gehört da noch zu den harmloseren Varianten. Sie können auch so genannte Webscripts erstellen. Das sind Visual Basic Script oder JavaScript-Programme, die ebenfalls innerhalb Ihres Word-Dokuments als Metadaten stehen.
Passwortgeschützte Dateien Microsoft Office bietet die Möglichkeit, Dateien mit einem Passwort zu schützen. In den verschiedenen Programmen können Sie Abschnitte, Kommentare, Überarbeitungen oder in Excel ganze Bereiche mit einem Passwort versehen. Durch die große Verbreitung von Office gibt es auch zahlreiche Programme, die Office-Passwörter knacken können. Man gibt dem Programm die Datei zur Überprüfung und nach einer gewissen Zeit erscheint das Passwort (Abbildung 5.5). Unter der URL http://www.lostpassword.com/ können Sie solche Programme käuflich erwerben. Der Anbieter bietet die Möglichkeit eines Tests. Sie können beispielsweise eine Programmversion herunterladen, die auf die zu ermittelnde Passwortlänge von vier Zeichen beschränkt ist. Interessant in diesem Zusammenhang sind auch Passwort-Erzeugungsprogramme (siehe Abschnitt 5 in Workshop 4).
112
W E R K S TAT T
Sun StarOffice – OpenOffice.org
Abbildung 5.5: Password Recovery Tool
Wenn Sie Dateien effektiv gegen die Ansicht Dritter schützen wollen, so sollten Sie sie verschlüsseln und signieren (siehe Abschnitt „E-Mails mit PGP ver- und entschlüsseln“ in Workshop 2).
5.2
Sun StarOffice – OpenOffice.org
Als Dateiformat von StarOffice und OpenOffice.org wird XML eingesetzt. Diese Art der Speicherung soll auch in Microsofts Office 2003 realisiert werden. Die XML-Dateien, die für jedes Dokument benötigt werden, werden in komprimierter Form unter einem Dateinamen abgespeichert.
Benutzerangaben Wenn Sie eine OpenOffice.org-Datei mit einem ZIP-Programm Ihrer Wahl einfach mal auspacken, so finden Sie darin viele verschiedene XML-Dateien, die aus Prinzip sehr sauber den Inhalt vom Layout und anderen Metadaten trennen. Die Dateien settings.xml und meta.xml enthalten Informationen über Sie und Ihr System. Zum Thema Benutzerdaten hier einmal der Inhalt der Datei meta.xml: OpenOffice.org 1.0.1 (Win32)
W E R K S TAT T
113
Workshop 5 – Vorsicht bei Office-Dokumenten
Hagen Graf 2003-02-11T13:13:26 Hagen Graf 2003-02-11T13:26:42 de-DE 2 PT13M25S Datei meta.xml
Sie sehen, auch hier verraten die Metadaten eine Menge über Ihr Dokument und den Autor. Denken Sie einfach daran bei der Weitergabe von Dokumenten. Oder ändern Sie die Daten entsprechend ab.
Überarbeitungsfunktion Die Überarbeitungsfunktion ist bei Dokumenten, die nach außen gehen, auch hier ein prinzipieller Nachteil. Die Änderungen werden ebenfalls peinlichst genau in verschiedene XML-Dateien geschrieben. Allerdings befinden sie sich innerhalb dieser Dateien in lesbarer Form, so dass Sie zur Not in diesen Dateien nachsehen können, was tatsächlich gespeichert wurde. Eine gute Abhilfe ist es auch hier in diesen Fällen, die eigenen Dokumente im PDFFormat weiterzugeben.
Makros und Script-Code Auch StarOffice und OpenOffice.org besitzen eine Makrosprache. In StarOffice heißt sie Starbasic und in OpenOffice.org nur Basic. Sie enthält alle Funktionalitäten von Microsoft Visual Basic, insbesondere die Möglichkeit von Lese- und Schreibzugriff auf
114
W E R K S TAT T
Sun StarOffice – OpenOffice.org
Ihre Festplatte. Makros können allerdings in separaten Dateien abgespeichert werden und sind somit nicht zwangsläufig Teil des Dokumentes. Als separate Datei abgelegte Makros werden nach dem Start von OpenOffice.org nicht automatisch geladen, sondern müssen durch Aufruf aus anderen Makros oder „von Hand“ aktiviert werden. Unter Extras/Optionen/OpenOffice.org/Sicherheit können Sie die entsprechenden Einstellungen vornehmen.
Passwortgeschützte Dateien Auch StarOffice und OpenOffice.org bieten die Möglichkeit, Dokumente mit einem Passwort zu verschlüsseln. Mir ist bisher keine Methode bekannt, mit der man ohne dieses Passwort an den Inhalt der Dateien kommt. Auch Programme zum automatischen Entschlüsseln kenne ich bisher keine. Außer dem Passwortschutz für die gesamte Datei, lassen sich in StarWriter einzelne Bereiche in Dokumenten durch ein Passwort mit einem Schreibschutz versehen. Diese Funktion steht zur Verfügung, um beispielsweise das Eingeben von Daten in einer Vorlage zu ermöglichen, ohne die immer gleichen Elemente aus Versehen zu zerstören. Ein solches Element könnte bei einer Reisekostenvorlage beispielsweise ein durch eine Formel ermitteltes Ergebnis sein. Durch den Schutz mit einem Passwort kann nur der Ersteller der Vorlage, bzw. derjenige, der den Bereich mit einem Passwort geschützt hat, diesen auch wieder ändern: Einfügen/Bereich/Bearbeiten/Bereich/Bereiche mit Paßwortschutz Leider ist der Schutz leicht entfernbar, indem das StarWriter-Dokument in einem anderen Textformat wie MS Word oder RTF gespeichert wird. Ebenso können Sie auch geschützte StarCalc-Dokumente entsperren: Format/Zelle/Zellschutz/Extras/Dokument/schützen/Tabelle oder Extras/Dokument/schützen/Dokument.
W E R K S TAT T
115
Workshop 6 Schutz vor Viren und Würmern Viren und Würmer sind seit mehr als 20 Jahren ein Quell ständiger Angst, von Fehlinformationen, Verschwörungstheorien und Ähnlichem. Was Viren ausmacht, ist ihre Fähigkeit, sich selbst zu vervielfältigen und dann in irgendeiner Form auf sich aufmerksam zu machen. Diese Aufmerksamkeit kann vom Benutzer nicht mehr kontrolliert werden. Je nach krimineller Energie des Programmierers kann die Aufmerksamkeit darin bestehen, eine kleine Botschaft auf dem Bildschirm auszugeben oder aber einen SuperGAU mit Festplattenformatierung, BIOS-Veränderung, Weiterleitung des Virus an alle im Outlook-Adressbuch gespeicherten E-Mail-Kontakte oder weitere für den Benutzer katastrophale Vorgänge auf dem Rechner oder in dessen angeschlossenem Netz anzurichten. Irgendwo zwischen den beiden beschriebenen Szenarien liegt das Gefahrenpotenzial von heutzutage etwa 50.000 – 70.000 bekannten Viren (je nach Zählweise werden Variationen als eigenständige Viren gerechnet oder nicht). Der Programmcode von Viren ist nicht eigenständig lauffähig. Er benötigt ein Wirtsprogramm, um aktiv zu werden. Dieses Wirtsprogramm ist in der Mehrzahl der Fälle das Betriebssystem Microsoft Windows und das Software-Paket Microsoft Office. Ganz einfach deshalb, weil es einen atemberaubenden Marktanteil hat und dadurch viele Menschen auf den Plan ruft. Warum soll man einen Virus für einen Wirt schreiben, der 3 % Marktanteil hat, wo man doch relativ einfach Windows-Benutzer in den Wahnsinn treiben kann. Zudem hat Microsoft ein echtes Talent, Reibungsflächen zu bieten und so hat sich ein Duo aus Guten und Bösen zusammen gefunden. Wer gerade gut und wer böse ist, hat damit zu tun, von welcher Seite man das Spiel betrachtet. Als normaler PC-Benutzer haben Sie wahrscheinlich weder Lust noch Interesse, sich mit solchen Dingen zu beschäftigen. Leider sind Sie heutzutage beim Surfen im Internet mitten drin in diesem Thema und sollten daher über ein solides Basiswissen ver-
Workshop 6 – Schutz vor Viren und Würmern
fügen. Unter anderem, damit Sie Antiviren-Software richtig bedienen können und sich der Gefahren überhaupt bewusst werden. In der jüngeren Vergangenheit gab es immer wieder eindrucksvolle Beispiele von Viren und ihren monetären Folgen: Jahr
Virus
Wirkungsweise
gesch. Schaden in Mrd. US $
1999
Melissa
Als erster Virus öffnet er die Adressbücher von Outlook und Outlook Express und verbreitet sich über Massen-E-Mails.
1,1
2000
Loveletter
8,75 Er kommt per E-Mail und verbreitet sich über die in den Adressbüchern gespeicherten Adressen weiter, diesmal wird allerdings konsequent das gesamte Adressbuch angeschrieben.
2001
CodeRed
Er betrifft Windows NT in Kombination mit dem Webserver (Internet Information Server – IIS) von Microsoft. Er infizierte aber nur die Rechner, die ein bereits existierendes Update von Microsoft nicht eingespielt haben.
2,62
2001
Nimda
Ende September, zwei Wochen nach dem Attentat in New York, befällt dieser Virus, der eine seit längerem bekannte Sicherheitslücke in diversen Microsoft Produkten ausnützt, Hunderttausende von Rechnern. Spätestens hier wird dem Massenmarkt klar, dass man Updates und Patches, die Microsoft bereitstellt, einspielen sollte.
635
2002
Klez
Der Wurm tritt unter einer Vielzahl verschiedener und zufällig ausgewählter Betreffzeilen und Attachments auf, platziert zusätzlich Dateien im Windows-Systemordner, sendet Massenmails und löscht Dateien.
8,5
2003
SQLSlammer
Dieser Wurm nutzt eine Schwäche des SQLDatenbankservers von Microsoft und breitet sich rasend schnell aus. Das Internet wird deutlich langsamer und teilweise völlig lahm gelegt. In den USA blockierte der Wurm die 13.000 Geldautomaten der Bank of America und mehrere Telefonanbieter.
1,1
Schäden „erfolgreicher“ Viren und Würmer
Die Dollarzahlen sollte man mit Vorsicht betrachten. Die angegebenen Werte stellen Mittelwerte dar. Je nach Schätzung differieren sie durchaus um 60 Prozent. Was be-
118
W E R K S TAT T
Verschiedene Arten von Viren
deutet es an Schaden, wenn 13.000 Geldautomaten in den USA nicht mehr funktionieren? Allein die Tatsache, dass so etwas möglich ist, stimmt doch sehr bedenklich.
6.1
PROFITIPP
Überlegen Sie sich, mit wie viel Arbeit Sie Ihre persönlichen Daten auf Ihrem PC erstellt haben und was es für Sie bedeuten würde, wenn diese Daten einfach gelöscht würden! Versuchen Sie Ihre persönlichen Daten zu sichern (am besten jetzt sofort). Nach der Sicherung Ihrer Daten wird Ihnen der Schutz Ihres PCs in einem anderem Licht erscheinen.
Verschiedene Arten von Viren
Unter Viren versteht man heute einen ganzen Zoo von Möglichkeiten, die bereits erwähnten Schäden zu erreichen.
Bootviren Bootviren sind die älteste Form der Viren. Sie nisten sich im Master-Boot-Record (MBR) der Festplatte ein. Der MBR ist eines der ersten Stücke Software, die beim Start eines Rechners noch vor dem Start des Betriebssystems, gelesen werden. Bevor also irgendetwas anderes gestartet wird, wird zunächst einmal der Virus gestartet. Eine Entfernung ist somit mit Bordmitteln schlicht unmöglich! Nur das Booten des Rechners von CD oder von einer virenfreien Boot-Diskette unter Umgehung des MBRs ermöglicht die eventuelle Rettung. Diese Art der Verbreitung hat eine große Rolle gespielt, als man viel mit Disketten hantiert hat und es noch kein Internet gab. Eine infizierte Diskette infiziert die Festplatte und die wieder jede Diskette. Grundsätzlich funktioniert das Prinzip auch heute noch, ist aber als alleinstehender Virus weitgehend verschwunden.
Dateiviren Der Virus ist in einer Datei enthalten, die auf der eigenen Festplatte, einer CD oder einer Webseite steht, und wartet auf seinen Wirt. Das kann eine klick_mich_jetzt_sofort.exe-Datei sein, die darauf wartet, dass Sie sie irgendwann einmal ausführen. Was bei der Ausführung dann passiert, ist der Fantasie des Programmierers überlassen. Meistens nistet sich der Virus dann im Hauptspeicher ein und „lebt“ solange, wie dort Strom fließt. In dieser Zeit kann er sich vermehren, in dem er sich an jede in den Hauptspeicher geladene Datei anhängt und so nach und nach den ganzen PC verseucht. Er kann natürlich auch zahlreiche andere Gemeinheiten in der Zwischenzeit erledigen.
W E R K S TAT T
119
Workshop 6 – Schutz vor Viren und Würmern
Makroviren Und dann führte Microsoft die Makros im Office-Paket ein! Dies hatte zur Folge, dass wirklich jeder ohne viel Aufwand innerhalb der weitverbreiteten Office-Produkte (Word, Excel, PowerPoint, Outlook, Access) ein kleines Programm (Makro) zusammenstellen konnte, das ihm bei der Arbeit half, oder in Word ein Formular erzeugen konnte, das den Benutzer freundlich durch die Felder führte usw. Für die Kunden bedeutete das mehr Bequemlichkeit, für Microsoft höhere Verkaufszahlen und einen größeren Marktanteil. Für die Sicherheit hatte die Einführung auch eine Bedeutung. Sie können mit diesen Makros erheblich mehr machen. Eigentlich können Sie den gesamten Windows-PC verändern und anschließend auch noch einen Neustart anfordern. Um sich nicht komplizierte Tastaturfolgen wie (ª)+(F7) o.Ä. merken zu müssen, gab und gibt es auch heute natürlich die Möglichkeit, beim Aufruf eines bestimmten Dokumentes automatisch ein Makro zu starten, das dann ... Und um ganz sicher zu gehen, dass das Makro auch startet, kann man die Ausführung dieses Dokumentes im Autostart-Ordner bei jedem Windows-Start erzwingen. Was für manche Sachbearbeiter eine durchaus praktische Einrichtung ist, ist für MakroViren-Programmierer das Eldorado. Windows ist in diesem Bereich besonders sensibel, da es ursprünglich ein Einplatzsystem war, das nach und nach zu einem Mehrplatzsystem mutierte. In Mehrplatzsystemen gibt es einen Administrator (root), und nur dieser hat das Recht, bestimmte Aktionen durchzuführen, wie beispielsweise Programme zu installieren, die Festplatte zu formatieren, etc. Seit Windows NT gibt es zwar die Möglichkeit, verschiedene Benutzer mit eingeschränkten Rechten einzurichten, doch die überwiegende Mehrzahl der WindowsBenutzer arbeitet seitdem einfach als Administrator weiter. Als was arbeiten Sie momentan? Dadurch hat ein Virus meistens alle Rechte auf dem PC und kann somit auch alles verändern. Sie merken schon, irgendwie wird einem ganz anders, wenn man diese Technologie zu Ende denkt.
Würmer Der Zweck von Würmern ist es, Ihren Rechner bzw. die Internetleitungen zu verstopfen. Solange der Wurm im Netz umherreist, lebt er. Der einzelne PC dient nur zum Sammeln von E-Mail-Adressen, die dann mit dem Wurm beglückt werden. Ähnlich verhält es sich mit Würmern, die über Datenbankserver (SQL-Slammer) oder Webserver (CodeRed) herfallen. Sie erzeugen Verkehr im Netz (Traffic) oder vermüllen den Hauptspeicher, so dass das gesamte Internet, wie im Falle von SQL-Slammer, kurzfristig zum Erliegen kommt. Die besondere Qualität liegt in der Schnelligkeit ihrer Verbreitung.
120
W E R K S TAT T
Was tun gegen Viren und Würmer?
Hoaxes Kennen Sie das todkranke Mädchen, dem geholfen werden muss, oder die neueste Idee, wie man durch Tanken an einer bestimmten Tankstellenkette die Weltpolitik beeinflusst? Wurden Sie schon mal dazu aufgefordert, eine Datei auf Ihrem Rechner jetzt sofort zu löschen, weil Sie unglaublich schädlich ist und anschließend haben Sie festgestellt, dass man Sie auf den Arm genommen hat? Kennen Sie diese Kettenbriefe, bei denen Sie an zehn Menschen 100 Euro schicken sollen und die dann wieder an zehn etc.? Wir sind im Hoaxland angekommen. Hoax (engl. Streich, blinder Alarm) sind keine Viren, sondern die oben beschriebenen Mails, die Sie als Empfänger verunsichern. All diese Mails tun Ihrem Rechner zunächst mal nichts. Das Problem sitzt vor dem Rechner und erzeugt entweder freiwillig (krankes Mädchen) atemberaubenden E-MailVerkehr im Netz, weil das Thema ja so wichtig ist, oder löscht, wie in der Hoax-E-Mail beschrieben, gleich selbst die eigenen Dateien. Als Anfänger fällt es schwer, die Übersicht zu behalten, aber mit der Zeit erkennt man Hoaxes an der Wortwahl oder sieht in der Hoaxliste der TU Berlin nach1.
Soziale Viren oder die harte Realität Unter sozialen Viren verstehe ich die Kombination aus all den bisher beschriebenen Möglichkeiten. Der Loveletter-Virus war deshalb so erfolgreich, weil jeder gern einen Liebesbrief per E-Mail bekommt und dadurch verführt wird, auf den Mail-Anhang zu drücken, um ihn auch zu lesen. Es menschelt heutzutage im Virenbereich. Die schöne Gabi lädt Sie per Mail zum Chat ein. Unverfänglich formulierte Mails fordern Sie auf, doch mal hier oder da zu klicken. Jeder Klick kann das Ende Ihres PCs bedeuten. Das Fatale an diesem Viren-Gebräu ist die Kombination aus zuckersüßer Verführung und knallharter Abzocke.
6.2
Was tun gegen Viren und Würmer?
Wenn Sie es noch nicht getan haben, so installieren Sie nun ein Antiviren-Programm wie im Anhang A beschrieben. Es ist für den Privatgebrauch kostenlos. Windows XP bringt leider kein Antiviren-Programm mit, daher ist dieser Bereich offen für Drittanbieter. Die Preise erstrecken sich von kostenlos bis teuer. Alle Anbieter haben Testversionen, die Sie 30 Tage probieren können. Alle Programme schützen Sie effektiv gegen bekannte Viren.
1.
http://www.tu-berlin.de/www/software/hoaxlist.shtml
W E R K S TAT T
121
Workshop 6 – Schutz vor Viren und Würmern
„In The Wild“ (ITW) und „In The Zoo“ (ITZ) Beim täglichen Kampf gegen Viren ist es wichtig zu wissen, welche denn gerade im Umlauf, beziehungsweise „in the wild“, im Gegensatz zu den Viren, die in Sammlungen „in the zoo“, zu finden sind. Jeder Hersteller hat natürlich seine eigene Wildlist und seinen eigenen Zoo, beispielsweise http://www.antivir.de/infos/index.html. Als unabhängige Wildlist hat sich die von Joe Wells herausgestellt (http://www.wildlist.org), an die verschiedene so genannte Reporter Virenfunde melden. Diese Reporter stammen teilweise aus den Antiviren-Programm-Herstellerfirmen selbst oder aus dem universitären Umfeld wie beispielsweise Andreas Marx, der als deutscher Reporter seine Funde an die Liste meldet. Im März 2003 sind hier 202 verschiedene Viren ITW verzeichnet (Abbildung 6.1).
Abbildung 6.1: Joe Wells wildlist.org
Alle Wildlists haben gemeinsam, dass sie ungefähr 200 Viren kennen, die gleichzeitig ernsthaft Schaden verursachen. Ein Antiviren-Programm, das alle Viren in der aktuellen Wildlist zuverlässig meldet, ist gut. Alle Hersteller versuchen die Viren der Wildlist als Mindestanforderung zu verstehen.
122
W E R K S TAT T
Was tun gegen Viren und Würmer?
Wie arbeiten Antiviren-Programme? Die meist verbreitete Methode von Antiviren-Programmen ist das Vergleichen von Bitmustern. Wenn eine bestimmte Kombination von Zeichen im Hauptspeicher, in einer Datei oder im Bootsektor zu finden sind, so schlagen sie Alarm. Abhängig vom Produkt haben Sie dann die Wahl, die betreffende Datei zu löschen, zu reparieren oder für die spätere manuelle Behandlung in ein spezielles Verzeichnis (in Quarantäne) zu verschieben. Meist erhalten Sie eine Meldung, in der eine Methode empfohlen wird. Halten Sie sich im Zweifel daran! Ein Virensuchlauf muss von Ihnen manuell angestoßen oder über einen so genannten Scheduler geplant werden. Alle Produkte bieten die Option, einen Virenwächter zu installieren, der ständig im Hintergrund die Aktionen des PCs überwacht. Diese Virenwächter verlangsamen den PC ein wenig, sind aber auf jeden Fall notwendig, um einen effektiven Schutz beim Surfen im Internet und bei der täglichen Arbeit zu haben. Eine weitere Methode der Verhinderung von Infektionen besteht einfach im Nachfragen bei bestimmten Aktionen. Wenn Sie beispielsweise Mails abholen, eine Datei kopieren oder im Internet surfen, bemerkt der Virenwächter virulenten Code und meldet sich etwa so: Ein Programm versucht den Bootsektor zu überschreiben! Wollen Sie das? oder Diese Webseite versucht etwas zu installieren! Wollen Sie das? Oft weiß man nicht genau, was die Meldung bedeutet. In diesen Fällen verneinen Sie einfach die Frage. Dann verhindert der Virenwächter den Zugriff und Sie werden nicht infiziert und können bei Bedarf in Ruhe herausbekommen, was da installiert werden sollte.
AUF DER
CD-ROM
Ich arbeite im folgenden mit der Software AntiVir von H+B EDV (www.antivir.de). Eine Trialversion der Software finden Sie auf der beiliegenden CD. Die Installation wird im Anhang beschrieben.
Was ist mit neuen Viren? Neue Viren sind ein Problem. Ihr Auftreten wird irgendwann bemerkt und an eine Wildlist gemeldet. Die Hersteller von Antiviren-Programmen reagieren möglichst schnell darauf und versuchen, ein „Gegenmittel“ zu finden. Diese Gegenmittel kennt Ihr Rechner natürlich noch nicht und deswegen ist es gerade bei Antiviren-Programmen sehr wichtig, regelmäßig Updates zu installieren. In AntiVir finden Sie dazu den
W E R K S TAT T
123
Workshop 6 – Schutz vor Viren und Würmern
Menüpunkt Tools/Internet Update starten. Ähnlich wie beim Windows Update wird nach dem Aufruf eine Internetverbindung gestartet und dann werden neue Virendefinitionen oder ggf. neue Programmteile auf Ihren Rechner geladen und installiert.
Bequemlichkeit Bequemlichkeit ist der größte Feind der Sicherheit. Wer denkt schon immer daran, Virensuchläufe durchzuführen oder Updates downzuloaden. Eine Lösung bieten hier so genannte Scheduler oder Taskplaner. Hier können Sie wiederkehrende Termine eintragen, an denen Ihr Rechner auf Viren überprüft oder ein Internet-Update gestartet werden soll. Sie können zwischen den Zeitpunkten einmalig, täglich, werktags oder wöchentlich auswählen. Es müssen zwei Bedingungen erfüllt sein: ■ Ihr Rechnersystem ist zu dem gewünschten Zeitpunkt in Betrieb. ■ Der Scheduler von AntiVir wurde entweder manuell oder automatisch, beispielsweise durch die Programmgruppe Autostart, aktiviert. Beim ersten Aufruf fragt der Scheduler von AntiVir nach, ob er beim Starten des Rechners ebenfalls geladen werden soll (Abbildung 6.2).
Abbildung 6.2: Anfrage des AntiVir Schedulers
Antworten Sie mit Ja, so erscheint das Scheduler-Symbol in Ihrer Taskleiste und Sie können sicher sein, dass zu den von Ihnen angegebenen Terminen die entsprechenden Aufgaben ausgeführt werden. Über den Menüpunkt Ereignis/Einfügen/Planen können Sie den Start des Virensuchlaufs planen (Abbildung 6.3).
124
W E R K S TAT T
Was tun gegen Viren und Würmer?
Abbildung 6.3: AntiVir Scheduler Virensuchlauf
Ebenso können Sie das Internet-Update automatisieren, indem Sie das Programm INETUPD.EXE zum von Ihnen gewählten Zeitpunkt starten lassen (Abbildung 6.4).
Abbildung 6.4: AntiVir Scheduler Internet-Update
W E R K S TAT T
125
Workshop 6 – Schutz vor Viren und Würmern
Damit auch wirklich das Update gestartet werden kann, muss im Hauptprogramm von AntiVir unter dem Menüpunkt Optionen/Konfigurationsmenü/Internet Updater die Möglichkeit der automatischen Ausführung angekreuzt sein (Abbildung 6.5).
Abbildung 6.5: Automatisches Update von AntiVir zulassen
Bei der kostenlosen Version von AntiVir gibt es auch Nachteile, die nicht übersehen werden dürfen: ■ Laufwerke lassen sich nur komplett prüfen. ■ Netzlaufwerke können nicht geprüft werden. ■ Durch das Fehlen einer Boot-CD ist es nicht möglich, einen mit einem BootVirus infizierten Rechner zu reparieren. Die kostenpflichtige Professional-Variante enthält alle diese Dinge sowie ein komplettes Linux-Rettungssystem auf CD.
Würmer Bei Würmern ist die Verbreitung das Problem. Ein Wurm beginnt zu wirken entweder nach der Ausführung eines infizierten E-Mail-Attachments oder über eine bekannte Sicherheitslücke in einem Internetdienst. Besonders perfide sind scheinbar normale Webseiten, die einen Script-Code enthalten, der es wiederum erlaubt, einen Wurm zu starten. Ich weiß, es ist schwer, aber versuchen Sie wirklich nur Mailanhänge zu öffnen, wenn Sie sich vorher mit jemandem darüber verständigt haben. Auch ein Ihnen
126
W E R K S TAT T
Was tun gegen Viren und Würmer?
bekannter Absender könnte eine Wurmfracht im Anhang haben. Vielleicht ist er ja gerade selbst Opfer einer Attacke geworden und der Wurm verschickt sich selbstständig an alle Einträge in seinem Adressbuch, also auch an Sie.
E-Mail-Würmer Sie bekommen eine E-Mail und werden aufgefordert, auf einen bestimmten Link zu klicken oder eine Datei zu öffnen. Beides kommt im normalen Leben häufiger vor. Viele Firmen verschicken mittlerweile Rechnungen oder Newsletter als PDF-Anhang. Ebay versendet beispielsweise Statusmeldungen mit den fälligen Auktionen für diesen Tag. In der E-Mail stehen zahlreiche Links, auf die man klicken kann und die natürlich selbstverständlich harmlos sind. Die Grenzen zwischen bekannten und unbekannten E-Mails werden immer durchlässiger. Eine ernsthafte Lösung des Problems ist nicht in Sicht. Outlook Express Outlook Express ist ab Version 6.0 bei einer Standardinstallation so eingestellt, dass erhaltene E-Mail-Anhänge nicht geöffnet oder gespeichert werden können. Das hat zur Folge, dass erstmalig ein einfacher, aber effektiver Schutz vorliegt. Wenn Sie eine E-Mail mit Anhang erhalten, so können Sie den Namen des Attachments zwar sehen, es selber aber nicht öffnen oder speichern.
Abbildung 6.6: Sicherheitseinstellungen in Outlook Express
W E R K S TAT T
127
Workshop 6 – Schutz vor Viren und Würmern
Sie können das unter dem Menüpunkt Extras/Optionen/Sicherheit natürlich ändern und dann Ihre Anhänge bei Bedarf öffnen. Grundsätzlich ist Outlook Express tief mit dem Internet Explorer verbunden, obwohl es so aussieht, als wären es zwei Programme. Bei den Optionen beziehen sich manche aufeinander, wie beispielsweise die Internet Explorer-Einstellungen bzgl. der eingeschränkten Zone und ihre Nutzung zur Darstellung in Outlook Express (Abbildung 6.6). Viele E-Mails werden heute im HTML-Format verschickt. Die E-Mails werden dann hübscher und können in Outlook Express mit Briefpapier und bunten Bildchen versehen werden. Gerade im Werbebereich werden diese Möglichkeiten dankbar zur Kenntnis genommen und Massenmails werden heute meist im HTML-Format verschickt. Bei freiwillig abonnierten Newslettern hat man meist die Wahl zwischen Textund HTML-Mails. Wählen Sie im Zweifel Text. In HTML-Mails kann man nämlich auch andere Techniken einbetten, wie Bilder, Flashfilme, CSS-Formatierungen und Script-Code. Der Script-Code kann im Falle von Microsoft-Produkten fatale Folgen haben. JavaScript als allgemeiner Script-Standard ist eher harmlos, die Microsoft Scriptsprache VB-Script dagegen ist erheblich gefährlicher. Wenn dieser Code während der Darstellung einer Mail ausgeführt wird und Sie als Administrator in Windows XP eingeloggt sind, kann er alles auf Ihrem Rechner ändern. Um bereits im Vorfeld verdächtige Mails zu löschen, gibt es so genannte Nachrichtenregeln (Extras/Nachrichtenregeln/E-Mail ...). Hier können Sie sich ein Regelwerk für Ihren E-Mail-Verkehr aufbauen, das bei regelmäßiger Pflege sehr praktisch ist. Außer der E-Mail-Abwehr und Spam-Entsorgung lässt es sich auch einsetzen, um E-Mails in bestimmte Ordner zu verteilen oder Prioritäten für manche Themen oder festgelegte Absender zu vergeben. Seit Outlook 6.0 können die Betreffzeilen auch eingefärbt werden. In unserem Beispiel sollen alle Mails, die von einem Absender namens Graf kommen, sofort gelöscht werden (Abbildung 6.8). Sie können beliebig viele solcher Regeln erstellen und verwalten. Jede Regel erhält einen Namen und kann aktiviert oder deaktiviert werden.
128
W E R K S TAT T
Was tun gegen Viren und Würmer?
Visual Basic Script Visual Basic Script (VBS) stellt eine Untermenge der Funktionen von Visual Basic for Applications (VBA) bereit, der Makrosprache von Microsoft Office und kann in Webseiten eingebettet oder allein stehend als Datei ausgeführt werden. VBS funktioniert nur mit dem Internet Explorer ab Version 4.0 bzw. allein stehend nur unter Windows. Im WWW wird es deswegen kaum verwendet, meist erhält hier JavaScript, bzw. die Microsoft-Variante JScript, den Vorzug. VBS ist jedoch die ideale Basis für Viren-Programmierer. VBS-Code wird in E-Mails eingebettet und über E-Mail-Programme wie Outlook Express über den Internet Explorer angezeigt. Dabei wird auch der VBS-Code ausgeführt, wenn die Sicherheitseinstellungen es zulassen. Des Weiteren können die E-Mails VBS-Code auch als Anhang enthalten, der wie beim Loveletter-Virus erst durch Anklicken gestartet wird.
PROFITIPP
Abbildung 6.7: Active Scripting im Internet Explorer
VBS lässt sich im Internet Explorer nur gemeinsam mit JavaScript unter Extras/ Internetoptionen/Sicherheit/Stufe anpassen ein- oder ausschalten (Abbildung 6.7). Durch die Bündelung der beiden Techniken steht der Anwender vor einem Dilemma. Viele Webseiten setzen JavaScript voraus, um richtig angezeigt zu werden. Dieses JavaScript ist weitgehend unschädlich und macht auch Sinn. Erst in der Kombination mit VBS wird es zu einer echten Gefahr. Daher können Sie in Outlook Express unter Optionen/Sicherheit die Zone für eingeschränkte Sites anwählen (Abbildung 6.7) und die Einstellungen im Internet Explorer in dieser eingeschränkten Zone entsprechend vornehmen.
W E R K S TAT T
129
Workshop 6 – Schutz vor Viren und Würmern
Abbildung 6.8: Nachrichtenregeln in Outlook Express
Abbildung 6.9: Deaktivieren Sie das HTML-Format für „Nachricht Senden“
Bei dieser Gelegenheit möchte ich an Sie appellieren, keine HTML-E-Mails zu benutzen. Das ist eine der einfachsten und sichersten Methoden, um Schäden durch die
130
W E R K S TAT T
Was tun gegen Viren und Würmer?
eigene Verbreitung von Würmern in HTML-E-Mails zu vermeiden (Optionen/Senden Abbildung 6.9). Auch solche Features wie Briefpapier (Optionen/Erstellen) sollten Sie nicht verwenden. Nur Benutzer von Outlook und Outlook Express kommen überhaupt in den Genuss dieses Briefpapiers und das auch nur im HTML-Modus. Alle anderen können mit den Informationen nichts anfangen und stehen vor einem Rätsel, wenn sie Ihre E-Mail erhalten. Mozilla Mail Hier können Sie wählen, ob Inline-Attachments, also beispielsweise Bilder, innerhalb einer HTML-E-Mail angezeigt werden sollen oder nicht (Ansicht/Inline Attachments anzeigen). VBS stellt als eingebettetes Script kein Problem dar, da der Mozilla-Browser es nicht unterstützt. E-Mail-Anhänge, die von Ihnen explizit ausgeführt werden, sind allerdings auch hier eine Gefahr, denn Windows führt über den VBS-Scripting Host diese Dateien auch ohne Mithilfe des Internet Explorers aus. Auch in Mozilla Mail gibt es weitreichende Filtermöglichkeiten für Mails und News (Tools/Nachrichtenfilter). Außerdem steht noch ein Filterlog zur Verfügung.
Abbildung 6.10: Sicherheitsregeln in Mozilla Mail
W E R K S TAT T
131
Workshop 6 – Schutz vor Viren und Würmern
6.3
Windows Based Scripting Host
Dieses Produkt ermöglicht die Ausführung von VBS-Dateien ohne die Einschränkungen, die im Internet Explorer definiert sind. Um diesen Automatismus zu unterbrechen, ändern Sie die Verbindung zwischen der Dateiendung .vbs und dem Windows Based Scripting Host in eine Verbindung zum Editor Notepad. Dadurch wird nach einem versehentlichen Anklicken einer VBS-Datei lediglich der Editor mit dem entsprechenden Quellcode angezeigt und das schädliche Programm nicht ausgeführt. Öffnen Sie dazu den Windows Explorer via (Ä)+(e) und gehen Sie auf den Menüpunkt Extras/Ordneroptionen/Dateitypen. Dort werden Ihnen alle Verknüpfungen von Dateien mit bestimmten Endungen zu bestimmten Programmen angezeigt. Wenn Sie beispielsweise eine Datei haben, die auf .doc endet, so wird nach einem Doppelklick auf die Datei das hier festgelegte Programm ausgeführt. Suchen Sie nach der Endung .vbs und ordnen Sie ihr den Editor zu (Abbildung 6.11).
Abbildung 6.11: Verknüpfung .vbs zum Windows Based Scripting Host
6.4
ActiveX
Microsofts ActiveX-Technologie bietet eine Möglichkeit, ausführbare Dateien in Webseiten unterzubringen. Das Windows Update funktioniert über ein ActiveX Control, das vorher auf dem Rechner installiert sein muss und dann mit dem Server von Microsoft über den Internet Explorer Daten austauschen kann.
132
W E R K S TAT T
ActiveX
Auch Hersteller von Antiviren-Software benutzen ActiveX Controls für so genannte Online-Virenscanner. Bei dieser Art des Virenscannens gehen Sie beispielsweise auf die Seite http://www.symantec.de/region/de/avcenter/snoops.html. Symantec verwendet ein ActiveX Control, um eine kostenlose Virenüberprüfung anbieten zu können. Die Leistungsfähigkeit in der Erkennung von Viren ist dabei gleichwertig zum kommerziellen Produkt (Abbildung 6.12).
Abbildung 6.12: Online-Virenscanner
Die Steuerung der Ausführung dieser Controls obliegt den Einstellungen im Internet Explorer (Abbildung 6.7). An der Stelle, an der Sie das Active Scripting einstellen, können Sie auch die Reaktion auf ActiveX Controls beeinflussen. Um darüber hinaus eine gewisse Sicherheit zu gewährleisten, besteht die Möglichkeit, solche ActiveX Controls zu zertifizieren. Etwas Ähnliches gab es vorher mit Java Applets. ActiveX ist auch die direkte Konkurrenz von Microsoft zu Suns Java-Technologie. Der Internet Explorer unterscheidet zwischen signierten und unsignierten Controls. Ein signiertes Control wurde vom Hersteller mit einer digitalen Unterschrift versehen. Ist diese intakt, kann der Benutzer sicher sein, dass das Steuerelement vom Inhaber des verwendeten Zertifikats erstellt und nachträglich nicht verändert wurde. Eine Garantie, dass es keinen Schaden anrichtet, hat er damit jedoch nicht. Zertifikate kann man bei der Firma VeriSign, Inc. kaufen. Ein Zertifikat für ein Jahr kostet von $ 400 bis $ 6952. 2.
http://www.verisign.com/products/signing/code/
W E R K S TAT T
133
Workshop 6 – Schutz vor Viren und Würmern
Die Symantec Corporation hat das getan und so wird das Zertifikat im Internet Explorer ab der Version 5.0 angezeigt, um von Ihnen akzeptiert oder abgelehnt zu werden (Abbildung 6.13).
Abbildung 6.13: Zertifikat von Symantec
Mit dem Mozilla Browser ist das alles nicht möglich und auf der Symantec Seite erscheint eine entsprechende Fehlermeldung. Ob das nun ein Manko des Mozillas ist, sollten Sie selbst entscheiden. Ist ein ActiveX Control einmal installiert, wird es von Windows gestartet und mit den entsprechend gewünschten Daten versorgt. Es kann dann auf beliebige Ressourcen des Rechners zugreifen. Des Weiteren gibt es die Möglichkeit, über JScript oder VBS ActiveX Controls zu aktivieren und zu steuern. Die Missbrauchsmöglichkeiten dieser Technologie sind atemberaubend. Sie sollten daher alle Optionen mit ActiveX deaktivieren oder mindestens auf „Eingabeaufforderung“ setzen. Der Internet Explorer selbst kann auch als ActiveX Control verwendet werden. Outlook Express benutzt das Internet Explorer Control zur Anzeige von HTML-Mails.
6.5
Sicherheitslöcher in Standardsoftware
Gegen Sicherheitslöcher in Standardsoftware haben Sie nur dann eine Chance, wenn Sie regelmäßig die von den Herstellern angebotenen Updates installieren (siehe Abschnitt 1 in Workshop 1).
134
W E R K S TAT T
Den eigenen Schutz testen lassen
6.6
PROFITIPP
Halten Sie sich auf dem Laufenden bei der Software, die Sie benutzen. Oft bieten die Hersteller Newsletter an, die auf die meist kostenlosen Updates hinweisen. Nutzen Sie diese Möglichkeit.
Den eigenen Schutz testen lassen
Unter der Adresse http://www.heise.de/ct/antivirus/emailcheck/ können Sie sich E-Mails zuschicken lassen, die testen, wie Ihr E-Mail-Programm mit verdächtigen Scripten oder bekannten Viren umgeht.
W E R K S TAT T
135
Workshop 7 Scripte, Trojaner und Dialer Nachdem Sie nun einen Vorgeschmack auf dieses dunkle Thema erhalten haben, folgt in diesem Workshop eine Fortsetzung der Geschichte mit ähnlichen Techniken, aber teilweise anderer Zielsetzung. Ging es bei Viren und Würmern weitgehend darum, unkontrollierten Schaden anzurichten und über Ihre E-Mail-Kontakte eine rasante Verbreitung zu ermöglichen, so bewegen wir uns jetzt auf dem Gebiet des Betruges, der Bauernfängerei und des Abhörens.
7.1
Gefährliche Scripte und PopUps
Eine Scriptsprache ist ein Quellcode-Gebilde, das nicht in Maschinensprache umgewandelt werden muss, um zu funktionieren. Man unterscheidet serverseitige Scriptsprachen wie Perl, PHP, ASP und JSP und clientseitige Scriptsprachen wie JavaScript, JScript und VBS. Die serverseitigen Sprachen können Ihrem Rechner nicht gefährlich werden, da sie ja auf dem entfernten Webserver laufen. Man benötigt aber zur Ausführung dieser Scripte eine Umgebung, die die Scriptbefehle interpretieren kann. Auf dem Server ist das meist ein so genannter Interpreter. Auf dem Client ist es der Browser. JavaScript wurde Mitte der neunziger Jahre von Netscape eingeführt, um vom Server gelieferte statische HTML-Seiten bei der Darstellung auf dem Client mit dynamischen Elementen zu versehen. Microsoft gefiel die Idee ebenfalls gut und man baute eine Kompatibilität zu JavaScript in den Internet Explorer ein und nannte die entstandene Sprache JScript. Sie enthielt alle Funktionen von JavaScript, wurde darüber hinaus aber um viele Komponenten, wie beispielsweise eine Laufschrift für einen NewsTicker, erweitert. Der Vorteil einer Scriptsprache wie JavaScript ist gerade die absolute Plattformunabhängigkeit. Jeder Browser, der JavaScript-Code interpretieren kann, kann die Programme ausführen, egal ob Sie auf einem Windows-, Linux- oder Apple-
Workshop 7 – Scripte, Trojaner und Dialer
Rechner arbeiten. Daher ist die mit JScript praktizierte Erweiterung ein zweischneidiges Schwert. Auf der einen Seite erweiterte Microsoft die eigenen Scriptsprachen erheblich, um mehr Benutzerfreundlichkeit zu gewährleisten, auf der anderen Seite war und ist eine sinnvolle Nutzung dieser Features nur auf der Windows-Plattform mit dem Internet Explorer möglich. Der Sinn von JavaScript besteht beispielsweise darin, ein Formular, das Sie ausfüllen, direkt auf Ihrem Rechner zu überprüfen. Das ist praktisch, völlig ungefährlich und alle Beteiligten haben einen Nutzen davon. JavaScript kann allerdings auch selbst neue Browserfenster öffnen (PopUps). In diesem neuen Fenster kann man ein Bild anzeigen, zum Beispiel ein Werbebanner, und wenn Sie mit der Maus über das Bild fahren, öffnet sich wieder ein neues Fenster. Der Fantasie sind kaum Grenzen gesetzt. Diese Möglichkeiten haben sich auf manchen Seiten zu einer wahren Pest entwickelt. Selbst beim Online-Buchhandel http://www.amazon.de poppt ein Fenster beim ersten Besuch auf. Netterweise wird dort aber nur ein Geschenkgutschein angeboten, wenn man ein Buch bestellt. JavaScript kann nicht auf Ihre Festplatte zugreifen und ist zunächst einmal nicht gefährlich. Es kann aber Daten über Ihren verwendeten Browser und das Betriebssystem, sowie Ihre Bildschirmauflösung und diverse andere Daten abfragen. Außerdem können mit JavaScript Cookies gesetzt werden. Cookies dienen dazu, personalisierte Portale zu ermöglichen. Beim Aufruf der Seite werden Sie mit Ihrem Namen begrüßt und Ihre individuelle Konfiguration der Seite erscheint. Heute gibt es auch andere Möglichkeiten, diese Funktionalität zu gewährleisten. Durch die Tatsache, dass der Benutzer die Annahme von Cookies manuell verhindern kann, werden heute in diesem Fall so genannte Session-Cookies genutzt. Diese Cookies existieren nur im Hauptspeicher, solange das Browserfenster geöffnet ist. Wenn Sie das Browserfenster schließen, wird auch die Cookie-Information gelöscht. Das hat den Vorteil, dass gewisse Funktionalitäten wie die Benutzung eines Shop-Systems auch ohne das Setzen eines Cookies möglich ist. Da in diesen Fällen aber auch keine Informationen beim Benutzer gespeichert werden können, versuchen die Shop-Anbieter zunächst ein ganz normales Cookie zu speichern. Erst wenn das nicht funktioniert, wird die SessionCookie-Variante genutzt. Cookies in der herkömmlichen Form sind sehr weit verbreitet, da sie einfach anwendbar sind. Die Informationen helfen normalerweise dem Webdesigner, Seiten für jede Bildschirmgröße und jeden Browser passend zu erstellen, können aber natürlich auch für andere Zwecke verwendet werden. Böse Buben (und Mädchen) werden die Informationen nutzen, um JavaScript als Türöffner für weitere Gemeinheiten zu gebrauchen. Wer einen alten Browser benutzt und mit Windows 98 arbeitet, ist natürlich anfällig für Angriffe, die bei modernem Equipment schon längst der Vergangenheit angehören. In dem PopUp-Fenster könnte statt des Geschenkgutscheins auch eine Weiterleitung auf eine Download-Adresse für ein Dialer-Programm stehen, aber nur bei einem bestimmten Browser und nur bei einer bestimmten Version und nur bei einem bestimmten Betriebssystem.
138
W E R K S TAT T
Gefährliche Scripte und PopUps
Banner-Agenturen verwenden Cookies gern, um Benutzerprofile zu erstellen. Mittlerweile können diese sogar schon ortsbezogen sein, weil die vergebenen IP-Adressen der großen Internetprovider einen Rückschluss auf das geografische Gebiet des Surfers zulassen. Wenn Sie also im Süden dieses wunderschönen Landes wohnen, kann es sein, dass Ihnen andere Banner angeboten werden, als wenn Sie im Norden wohnen. Wenn Sie darüber hinaus noch bestimmte Seiten ansurfen, die mit bestimmten Themen zu tun haben, kann man auf die Dauer schon interessante Rückschlüsse ziehen. Schließlich kann es auch mal sein, dass Sie Ihre Adresse hinterlegen oder etwas mit Ihrer Kreditkarte im Netz bezahlen und somit einen deutlichen Bezugspunkt zwischen Betreiberseite, Banner-Agentur und Ihren persönlichen Daten sowie Ihrem Rechner (Cookie) bieten. Inwiefern das ausgewertet wird, lasse ich mal dahingestellt. Ich halte solche Firmen allerdings in diesen Dingen für ausgesprochen kreativ.
Abbildung 7.1: Unterdrückung von PopUp-Fenstern im Mozilla
Sie können in beiden Browsern die Annahme von Cookies ablehnen und gleichzeitig bestimmten Seiten das Setzen von Cookies erlauben. Zum Thema PopUp-Pest bietet Mozilla hier zwei Lösungen, einerseits können Sie in den Sicherheitseinstellungen PopUp-Fenster pauschal unterdrücken (Abbildung 7.1) und andererseits bietet der PopUp-Manager die Möglichkeit, einzelne Seiten von dieser Regel auszunehmen (Tools/PopUp-Manager).
W E R K S TAT T
139
Workshop 7 – Scripte, Trojaner und Dialer
AUF DER
CD-ROM
Der Internet Explorer bietet hier nichts Vergleichbares. Eine kostenlose Alternative für den Privatbereich ist der WebWasher (http://www.webwasher.de). Ursprünglich zur Ausblendung von Werbebannern entwickelt, kann er auch eingesetzt werden, um PopUp-Fenster zu unterdrücken.
Eine Trialversion von WebWasher Classic 3.3 ist auf der Buch-CD enthalten (siehe Abschnitt „Browser-Werbeschutz und WebWasher“ in Workshop 10).
7.2
Trojanische Pferde mit Cracker-Fernsteuerung
In der Geschichte vom Trojanischen Pferd belagern die Griechen die Stadt Troja. Nachdem Troja auch nach langer Zeit nicht aufgab, zogen die Griechen ab. Vor der Tür hinterließen sie ein großes hölzernes Pferd. Nach dem Abzug der Griechen waren die Trojaner neugierig und zogen das hölzerne Pferd in die Stadt. Nachts kamen dann ein paar Dutzend griechische Soldaten, die im Bauch des Pferdes gewartet hatten, heraus. Sie öffneten die Stadttore und die in einiger Entfernung wartenden Griechen kamen herbei und eroberten im Handstreich die Stadt. Ein Trojaner auf Ihrem Rechner ist gewissermaßen ein weiterentwickeltes trojanisches Pferd. In ihm stecken allerdings keine Griechen mehr, sondern Computerprogramme. Er ist kein Virus und somit auch nicht ansteckend. Er öffnet aber die „Stadttore“ Ihres Rechners. Oftmals kommen Trojaner in einer netten Verpackung, beispielsweise einem kleinen praktischen Programm, das durchaus sinnvolle Dinge tut, wie PopUpFenster zu unterdrücken (WebWasher ist definitiv kein Trojaner ). Trojaner können sich auch in durchaus praktischen Office-Makros verstecken.
-
Das Schlimmste in diesem Zusammenhang sind jedoch Trojaner, die einen Zugang zu Ihrem Rechner öffnen. Die bekanntesten heißen NetBus und Back Orifice. Es gibt jedoch zahlreiche Varianten unter anderen Namen. Diese Trojaner bestehen aus zwei Teilen, einem Client- und einem Serverprogramm. Die Kunst besteht darin, das Clientprogramm auf dem Client zu installieren. Dafür werden die bereits beschriebenen Möglichkeiten benutzt. Das Serverprogramm, das auf dem Rechner des Angreifers installiert ist, kann dann in aller Ruhe nach Rechnern im Netz suchen, auf denen das Clientprogramm läuft und diese dann mehr oder weniger fernbedienen. Diese Fernbedienung beinhaltet beispielsweise Folgendes:
140
W E R K S TAT T
Dialer und 0190-Fallen erkennen und ihnen ausweichen
■ Suche nach Passwörtern ■ Download von Dateien ■ Mitschneiden der Tastatureingaben oder der Geräusche über das Mikrofon1 ■ Gebrauch von evtl. beim Opfer vorhandenen Webcams Darüber hinaus gibt es noch Dutzende anderer Spielereien wie Mauszeiger beeinflussen, angeschlossene Drucker benutzen etc. Unser Virenscanner AntiVir erkennt die wichtigsten Trojaner. Mehr Informationen zu diesem Thema erhalten Sie auf der Seite http://www.trojaner-info.de.
7.3
Dialer und 0190-Fallen erkennen und ihnen ausweichen
Früher (damit meine ich so etwa das Jahr 2000) musste ein Kunde sich auf einer Webseite registrieren lassen und bezahlte die Leistung per Kreditkarte, Lastschrift oder auf Rechnung. Heute kann er sie praktisch per Telefonrechnung bezahlen, indem die Verbindung über eine 0190-Telefonnummer aufgebaut wird. Um der Bequemlichkeit und Unkenntnis des Kunden Rechnung zu tragen, werden so genannte Dialer angeboten. Dialer sind Programme (exe-Dateien), über die man eine Online-Verbindung aufbauen kann. Es gibt unter Windows Dateien, die auch ohne die Endung .exe als ausführbare Dateien angesehen werden, beispielsweise die Bildschirmschoner-Dateien *.scr oder die Batchdateien *.bat. Sobald der Dialer auf dem PC installiert ist, kann er sich über das DFÜ-Netzwerk über eine ISDN- oder Analog-Leitung einwählen. Diese Methode ist die einfachste und häufigste. Es ist aber auch möglich, andere Methoden anzuwenden, wie beispielsweise den ISDN-Treiber direkt anzusprechen. Der Preis für eine Verbindungsminute schwankt von Anbieter zu Anbieter. Die Preise sind frei tarifierbar, so dass man für eine Minute durchaus 35 Euro völlig legal los wird (prinzipiell ist auch jeder andere Betrag möglich). An Dienstleistungen, die über die Dialer-Programme bezogen werden sollen, wird alles angeboten, was bei Würmern auch funktioniert (Sex, Klingeltöne, Kredite, Software-Downloads etc.). Meistens sind es keine echten Dienstleistungen, sondern nur Lockvogel-Angebote, um Sie dazuzubringen, die Einwahl zu ermöglichen.
1.
http://www.heise.de/newsticker/data/wst-26.03.01-003/
W E R K S TAT T
141
Workshop 7 – Scripte, Trojaner und Dialer
Technisch funktioniert es so, dass der Dialer eine neue DFÜ-Verbindung auf Ihrem Rechner erstellt (mit ActiveX kein Problem). Wenn Sie ISDN benutzen, kann das sogar parallel zur bereits bestehenden Verbindung passieren! Oftmals wird auch vorher gefragt (Abbildung 7.2).
Abbildung 7.2: Ein Dialer Browser-Plug-In
Die Idee des Bezahlens per Interneteinwahl ist prinzipiell nicht schlecht. Die freie Tarifierbarkeit sowie die Möglichkeiten, die Anschlüsse weiter zu vermieten, haben jedoch sehr viele dunkle Anbieter entstehen lassen, die nur Ihr Bestes wollen – Ihr Geld! Die Telekom als einer der Verwalter dieser Nummern hält sich eher zurück bei der Lösung des Problems. Gehen doch ein großer Teil der abgerechneten Kosten auf das Konto des Rosa Riesen und anderen, in der momentanen Wirtschaftslage gegenüber dem Dialergeschäft durchaus nicht abgeneigten Providern. Damit sind wir in der kommerziellen Ecke der Szene gelandet.
Legal, illegal, ... Legale Webdialer erkennt man an folgenden Merkmalen: ■ Es kommt ein deutlicher Hinweis, dass die bestehende Internetverbindung beendet und eine neue aufgebaut wird. ■ Die Kosten werden deutlich angezeigt, bevor eine Verbindung hergestellt wird. ■ Der Download des Dialers muss vom Anwender per Mausklick gestartet werden (kein automatischer Download). ■ Der Dialer kann deinstalliert werden.
142
W E R K S TAT T
Dialer und 0190-Fallen erkennen und ihnen ausweichen
Illegale Webdialer erkennt man an folgenden Merkmalen: ■ Es existiert keine Anbieterkennzeichnung. ■ Es gibt keinen Hinweis über Tarife. ■ Der Dialer trägt sich als Standardverbindung ins DFÜ-Netzwerk ein. ■ Der Anwender wird nicht darüber informiert, dass sein Internetzugang beendet und eine neue Verbindung aufgebaut wird. Die Installation findet verborgen im Hintergrund statt. ■ Der Dialer installiert sich automatisch bei Aufruf der Webseite. ■ Die Deinstallation des Dialers ist nicht vollständig oder nicht möglich. ■ Ein Weitersurfen außerhalb des kostenpflichtigen Angebots ist nicht möglich. ■ Die bestehende Verbindung wird bei Schließen der Anwendung nicht getrennt. Seit Anfang 2003 hat der Einsatz der neuen 0900-Vorwahlen für Mehrwertdienste begonnen. Diese Dienste sollen die 0190-Rufnummern bis zum Jahr 2005 ersetzen. Die Inhalte der Dienste sind den Rufnummern grob zugeordnet: ■ 0900-1 = Informationsdienste ■ 0900-3 = Unterhaltungsdienste ■ 0900-5 = Sonstige Dienste (dazu gehören auch Erotikangebote) Der Einsatz der neuen Vorwahl 0900 bringt auch einige Änderungen mit sich. Waren die 0190-Nummern noch teilweise kontrollierbar, so sind beim neuen Modell alle Nummern frei tarifierbar! Allerdings muss jede Person oder Firma, die sich eine 0900Rufnummer zuteilen lässt, ihren kompletten Namen mit Anschrift bei der Regulierungsbehörde hinterlegen. Somit kann jede Rufnummer einer bestimmten Person oder Firma zugeordnet werden und die Regulierungsbehörde kann bei entsprechenden Verstößen schneller eingreifen. Eine Weitervermietung der Rufnummern soll nicht mehr möglich sein. Wenn Sie unklare Rechnungsposten auf der Telefonrechnung oder anderweitigen Betrugsverdacht haben, können Sie sich direkt an die Regulierungsbehörde wenden und um Herausgabe der Daten des Anbieters bitten. Diese Regelung gilt allerdings nur für die neuen 0900-Rufnummern. Es besteht die Möglichkeit, 0900-Rufnummern bei Ihrer Telefongesellschaft zu sperren, so dass eine Einwahl nicht mehr möglich ist. Diese Option gab es bereits bei den 0190-Nummern. Wenn Sie über eine Telefonanlage mit Rufnummernsperre verfügen, können Sie diese Nummern auch selbst sperren. Achten Sie aber darauf, dass kostengünstige Vorwahlen wie 01023 oder 01013 natürlich nicht gesperrt sind. Wählt also jemand beispielsweise 01013 0190..., so ist der Schutz bereits wieder ausgehebelt.
W E R K S TAT T
143
VORSICHT!
Workshop 7 – Scripte, Trojaner und Dialer
Kontrollieren Sie Ihre Telefonrechnung gründlich. Gehen Sie unbekannten oder unverständlichen Posten nach. Fragen Sie nach. Es sind viele Fälle von Ungenauigkeiten bei Telefonrechnungen bekannt geworden und bei den ständig wechselnden Tarifsystemen schleichen sich schnell Fehler bei der Erstellung der Rechnung ein. Diese Fehler sind natürlich nicht beabsichtigt, kommen aber immer wieder vor.
Woran erkennt man das Vorhandensein eines Dialers? Spätestens an der Telefonrechnung werden Sie schmerzhaft einen Dialer erkennen! Aber im Ernst: Unter Start/Systemsteuerung/Netzwerkverbindungen dürfen nur die DFÜ-Verbindungen stehen, die Sie kennen und die Sie angelegt haben. Wenn hier etwas anderes steht (Chat, XXXlive etc.), löschen Sie es mit Rechte Maustaste/Löschen und starten den Rechner neu.
Abbildung 7.3: Vorhandene DFÜ-Verbindungen auf meinem Rechner
Dialer Control
AUF DER
CD-ROM
Eine effektive automatische Kontrolle bietet die Software Dialer Control.
144
Sie finden die Software auf der Buch-CD in der Version 1.2.4.121 oder auf der Seite http://www.dialer-control.de
W E R K S TAT T
Dialer und 0190-Fallen erkennen und ihnen ausweichen
1
Die Installation erfolgt über einen Doppelklick auf die Datei dcsetup.exe. Übernehmen Sie die Standardwerte. Nach der Installation erscheint ein Icon im rechten Teil der Taskleiste (Tray) und fragt Sie, ob Sie nun Einstellungen vornehmen möchten (Abbildung 7.4).
Abbildung 7.4: Dialer Control: Installation
2
Sobald eine Fremdsoftware versucht, eine Online-Verbindung herzustellen, erkennt Dialer Control dies automatisch und weist Sie auf die zu wählende Rufnummer und die dabei anfallenden Kosten – soweit möglich – hin.
3
Sie können sich nun entscheiden, ob dies zugelassen oder verhindert werden soll. Dabei kann auch das entsprechende Programm sofort beendet werden und auf eine interne Liste gesetzt werden, so dass weitere Einwahlversuche automatisch unterbunden werden. Dieses Prinzip ist einfach, aber sehr effektiv, entdeckt es doch jede Einwahl, unabhängig von der Nummer.
4
Diese und weitere Einstellungen können Sie nach einem Klick auf das Dialer Control-Icon in der Taskleiste (Rechte Maustaste/Einstellungen) pflegen. Wenn Sie alle Werte bei der Standardkonfiguration belassen, sollte das Programm zufriedenstellend funktionieren (Abbildung 7.5). Sie können diese Einstellungen noch mit einem Passwort sichern, damit nur Sie sie ändern können.
Abbildung 7.5: Dialer Control: Einstellungsfenster
W E R K S TAT T
145
Workshop 7 – Scripte, Trojaner und Dialer
5
Die Software bemerkt automatisch ein Programm-Update auf der Herstellerseite und lädt es nach Rückfrage auf Ihren Rechner. Die Herstellerfirma Coolspot Germany GmbH vertreibt übrigens Dialer-Software auf der Anbieterseite!
Abbildung 7.6: Dialer Control: Meldung beim Herstellen einer Modemverbindung
6
Trotzdem oder gerade deswegen macht Dialer Control eine gute Figur und erkennt zuverlässig Dialer-Programme. Wenn Sie nach der Installation das erste Mal wieder eine Modemverbindung herstellen, so erhalten Sie vermutlich die eine Meldung, wie Sie in Abbildung 7.6 sehen können.
7.4
Keylogger
Ein Keylogger ist ein speicherresidentes Programm, das Ihre Tastaturanschläge abfängt und in eine Textdatei schreibt. Ein speicherresidentes Programm „wohnt“, wie der Name schon vermuten lässt, im Hauptspeicher Ihres Rechners. Einmal aufgerufen, geht es dort unauffällig seiner Arbeit nach, bis der Rechner ausgeschaltet wird und durch den Hauptspeicher kein Strom mehr fließt. Es muss nicht unbedingt eine Benutzeroberfläche besitzen und kann, je nach Art des Programms, beim Rechnerstart automatisch geladen werden. Keylogger-Programme werden in amerikanischen Firmen routinemäßig eingesetzt, um Angestellte zu kontrollieren. In Deutschland ist das noch nicht üblich. Keylogging-Systeme können heutzutage aber noch viel mehr.
146
W E R K S TAT T
Keylogger
Demonstration eines Keyloggers Im folgenden arbeiten wir mit Keylogger 5.04.
1
AUF DER
herunterladen.
CD-ROM
Die Software liegt in dieser Version auf der Buch-CD bei, unter http:// www.littlesister.de können Sie sich gegebenenfalls eine aktuellere Version
Das Programm ist Shareware und Sie sollten es nach dieser Demo wieder deinstallieren oder dem Autor den gewünschten Betrag überweisen. Nach einem Doppelklick auf die Datei keylog5.exe startet das Installationsprogramm. Der Keylogger 5.04 ist natürlich ein Trojaner und somit springt der Virenwächter von AntiVir an und zeigt Ihnen eine entsprechende Meldung (Abbildung 7.7). Da Sie ja wissen, was Sie tun, können Sie für diese Demonstration den Virenwächter deaktivieren oder immer bei Bedarf den Zugriff erlauben.
Abbildung 7.7: Trojaner Meldung von AntiVir bei der Installation des Keyloggers
2
Nach der Installation wird das Konfigurationsfenster von Keylogger 5.04 angezeigt (Abbildung 7.8).
W E R K S TAT T
147
Workshop 7 – Scripte, Trojaner und Dialer
Abbildung 7.8: Konfigurationfenster von Keylogger
Die folgenden Möglichkeiten stehen Ihnen zur Verfügung: ■ Protokollierung sämtlicher Tastatureingaben ■ Erstellung eines Screenshots Ihres Bildschirms alle X Minuten ■ Über den Scheduler lässt sich die Tätigkeit des Keyloggers auf bestimmte Zeiten begrenzen. ■ Unter Options können Sie sich die Daten per Mail schicken lassen sowie das Tool mit einem Passwort schützen. ■ Außerdem kann ein Selbstzerstörungsmechanismus aktiviert werden, der das Programm zu einem bestimmten Zeitpunkt wieder entfernt. ■ In der Datei C:\programs\keylogger\help.htm steht eine ausführliche deutsche Hilfe zur Verfügung. In der unregistrierten Version taucht hin und wieder das folgende Fenster auf und warnt den Anwender, dass hier etwas nicht mit rechten Dingen zugeht (Abbildung 7.9).
Abbildung 7.9: Warnhinweis bei Einsatz der Software
148
W E R K S TAT T
Spyware, Adware und die Gegenmaßnahmen
3
Die geloggten Screenshots werden übrigens im Unterverzeichnis C:\programs\ keylogger\ mit der Dateiendung .dat gespeichert. Um sie sich anzusehen, müssen Sie nur die Dateiendung in .jpg ändern und sie in einem geeigneten Programm betrachten.
Die Möglichkeiten sind schon atemberaubend, oder? Menschen, die Ihre Privatsphäre aushorchen wollen, können so etwas natürlich auch automatisch per E-Mail-Wurm, ActiveX, Mailanhang als VBS-Datei oder im Rahmen eines auf den ersten Blick nützlichen Programms bei Ihnen installieren. Es wird niemals hundertprozentig sichere Mittel gegen solche Angriffe geben, Sie sollten aber ein Bewusstsein dafür entwickeln und jetzt Ihren Virenwächter wieder einschalten .
-
7.5
Spyware, Adware und die Gegenmaßnahmen
Der Keylogger und ähnliche Programme werden unter dem Begriff Spyware zusammengefasst. Das ist Software, die Sie konkret ausspionieren möchte. Oftmals interessieren aber nicht Ihre Tastatureingaben, sondern Ihre Surfgewohnheiten oder andere Dinge. Außer Spyware gibt es auch Adware. Adware ist ganz normale Software, die sich darüber finanziert, dass Ihnen bei der Benutzung der Software Werbebanner eingeblendet werden. Zahlen Sie einen bestimmten Betrag an den Hersteller, so erhalten Sie einen Registrierungsschlüssel, der die Werbung fortan unterdrückt.
Abbildung 7.10: Nicht registrierte Version des Opera-Browsers
W E R K S TAT T
149
Workshop 7 – Scripte, Trojaner und Dialer
Ein prominentes Beispiel für Adware ist der Opera Browser. In der kostenlosen Version werden beim Surfen wechselnde Banner angezeigt. Gegen Zahlung von $ 39,kann man sich registrieren lassen und die Banner sind verschwunden. Der Hersteller von Opera (Opera Software ASA, Oslo, Norwegen) weist denn auch immer wieder auf diesen Zusammenhang hin und hat sich mittlerweile auch Vertrauen erarbeitet. Da der Browser sehr klein, schnell und beliebt ist, nehmen viele die kostenlose Berieselung gern in Kauf (Abbildung 7.10). Viele Shareware-Programmierer versuchen so, ihre Programme erfolgreich zu vermarkten. Auch Adware ist prinzipiell eine gute Idee. Ob sie mit Spyware kombiniert ist, ist für den Benutzer nicht nachprüfbar! Im Zusammenhang mit Musiktauschbörsen spielt das Thema eine große Rolle.
Ad-Aware
AUF DER
CD-ROM
Ad-Aware ist ein gutes Antispy-Tool, das mittlerweile in einer kostenpflichtigen Version auf der Seite http://www.lavasoft.de/ mit voller Funktionalität angeboten wird. Die Freeware-Variante beschränkt sich beim Beseitigen von Spy- und Adware auf Änderungen in der Windows-Registry.
Auf der Buch-CD liegt die Freeware Version 6.0 im Workshopverzeichnis zu diesem Kapitel bei.
SpyBot-Search & Destroy SpyBot-Search & Destroy durchsucht Ihren Rechner nach Spy- und Adware und kann anschließend die für die Werbung und das Spionieren zuständigen Programmteile entfernen. In den meisten Fällen läuft die so behandelte Software danach ohne Probleme weiter. Das Programm wurde von Patrick Kolla geschrieben und ist DonateWare und der schönsten Frau auf diesem Planeten gewidmet. (Waren das noch Zeiten, als man den Damen Rosen schenkte oder Gedichte vortrug .) Wenn Sie es einsetzen und es Ihnen gefällt, können und sollten Sie dem Autor etwas spenden. Mit dem Erlös kann er das Supportforum finanzieren und das Programm weiterentwickeln (Abbildung 7.11).
-
150
W E R K S TAT T
Spyware, Adware und die Gegenmaßnahmen
Abbildung 7.11: Spendenaufruf bei SpyBot
Eine aktuelle Übersicht der zur Zeit auffindbaren Spy- und Ad-Programme gibt es auf der Homepage des Autors2. Das Programm ist erweiterbar und enthält noch ein Tool, mit dem Sie ungültige Einträge aus der Windows-Registry-Datenbank entfernen können.
AUF DER
CD-ROM
Die Installationsdatei befindet sich auf der Buch-CD – alternativ können Sie eine aktuellere Version auch von der Homepage des Autors (http:// security.kolla.de) downloaden.
Installation
1
Nach einem Klick auf die Datei spybotsd12.exe startet ein Installationsdialog, den Sie bedenkenlos bestätigen können. Anschließend können Sie das Programm über einen Advanced oder einen Easy Mode aufrufen (Start/Alle Programme/SpyBot Search & Destroy/).
2
Es erscheint ein Fenster mit Flaggen für die gewünschten Sprachen. Wählen Sie Ihre Sprache aus und es erscheint ein weiterer Hinweis, dass Sie manche Pro-
2.
http://security.kolla.de
W E R K S TAT T
151
Workshop 7 – Scripte, Trojaner und Dialer
gramme eventuell nicht mehr benutzen dürfen, wenn Sie das Spy- oder AdModul entfernen. Nach der Deinstallation von Spy- oder Ad-Modulen speichert das Programm die entfernten Dateien in seinem Ordner, um die Aktion wieder rückgängig machen zu können. Andere Programme wie Ad-Aware stolpern über diese Sicherheitskopien und melden sie als Spy- oder Adware. Sie können diese Warnungen ignorieren.
3
Nach dem ersten Start befinden Sie sich im Hauptmenü des Programms und haben die Optionen Überprüfen, Wiederherstellen und Nach Updates suchen (Abbildung 7.12).
Abbildung 7.12: SpyBot Startfenster
152
4
Nach einem Klick auf Überprüfen wird Ihr Rechner auf über 5.000 bekannte Programme untersucht. Selbst auf meinem recht harmlosen Notebook hat das Programm 81 Einträge gefunden, die entsprechende Funktionen ausführen. Unter anderem sucht das Programm auch nach Cookies von bekannten „Besucherprofil-Erstellern“ und löscht diese. In diesem Zusammenhang möchte ich kurz den Alexa-Service von Microsoft ansprechen.
5
Wenn Sie im Internet Explorer auf Extras/Verwandte Links anzeigen klicken, so bekommen Sie in der linken Seite des Fensters ähnliche Links zur gerade aufgerufenen Seite geboten. Im unteren Bereich wird sogar der Anbieter der Seite und dessen Beliebtheit im Vergleich zu anderen Seiten aufgeführt. Der Alexa-Service
W E R K S TAT T
Spyware, Adware und die Gegenmaßnahmen
ist im Internet Explorer bereits eingebaut und sammelt Ihre beziehungsweise die Surfgewohnheiten von typischen Internet Explorer-Nutzern (Abbildung 7.13).
Abbildung 7.13: Alexa – verwandte Links
Abbildung 7.14: SpyBot Suchergebnis
SpyBot findet diese und viele andere Dinge auf Ihrem Rechner und fragt lapidar nach, was alles unterdrückt werden soll.
W E R K S TAT T
153
Workshop 7 – Scripte, Trojaner und Dialer
6
Die einzelnen Meldungen können per Checkbox markiert werden. Durch einen beherzten Klick auf Markierte Probleme beheben machen Sie der Ad- und Spyware auf Ihrem Rechner effektiv den Garaus (Abbildung 7.15).
Abbildung 7.15: SpyBot – behobene Probleme
7
154
Wenn Sie im weiteren Verlauf feststellen, dass manche Programme nicht mehr funktionieren, so können Sie über die Wiederherstellungsmaske die Änderungen für jeden einzelnen Punkt wieder rückgängig machen.
W E R K S TAT T
Workshop 8 Firewalls Eine Firewall ist, wie der Name schon vermuten lässt, eine Brandschutzmauer zwischen Ihrem PC und dem Internet. In Unternehmen übernimmt diese Funktionalität meistens ein eigener Rechner, der keine anderen Aufgaben hat. Das Protokoll des Internets (TCP/IP) ist ein paketbasiertes Protokoll. Die zu übertragenden Daten werden beim Senden in Datenpakete zerlegt und beim Empfang wieder zusammengesetzt. Das hat den Vorteil, dass der Weg der Pakete durch das Internet nicht vorgegeben ist. Dadurch ist es unter anderem möglich, in mehreren Browserfenstern verschiedene HTML-Seiten zu laden und gleichzeitig noch E-Mails abzurufen oder zu chatten. Das Prinzip funktioniert wie bei der Post. Jedes Paket bekommt einen Absender, eine Adresse, eine Portnummer und eine Sortierungsnummer, die angibt, um welches Paket es sich handelt. Um verschiedene Dienste gleichzeitig nutzen zu können, haben alle Rechner im Internet so genannte Ports (oder Eingänge oder Tore). So kann ein TCP/IP-Paket für Port 21 eintreffen und ein anderes für Port 80. Die Reaktion des entsprechenden Rechners hängt davon ab, ob jemand (ein Programm) an diesem Port lauscht oder nicht.
Workshop 8 – Firewalls
Portnummer
Protokoll
Bedeutung
20/21
File Tranfer Protocol (FTP)
Up- und Download von Dateien
25
Simple Mail Transfer Protocol (SMTP)
Versenden von E-Mails
53
Domain Name Service (DNS)
Zuordnung von Domainnamen und IP-Adressen
80
HyperText Transfer Protocol (HTTP)
Kommunikation zwischen Browser und Webserver (das klassische Surfen durch Abrufen von Webseiten)
110
Post Office Protocol (POP3)
E-Mails von einem Server abrufen
Tabelle: Im Standard festgelegte Portnummern
Datenbankserver, Applikationsserver und andere Arten von Diensten haben meist „ihre“ Portnummer. Auch Trojaner sitzen an bestimmten Ports. Daher wird Ihr Rechner heutzutage eigentlich sofort nach der Einwahl ins Internet von irgendeinem Programm nach bestimmten Ports gescannt. Ein Portscan ist die systematische Suche nach bestimmten offenen Ports. Eine Firewall sperrt diese Ports und verhindert somit eine Verbindungsaufnahme mit Ihrem Computer. Die Firewall untersucht den TCP/ IP-Paket-Verkehr nach den Kriterien ■ Ziel- und Quelladresse, ■ Ziel- und Quellport sowie ■ Programmname (systemintern) und führt einen Vergleich mit vorhandenen Regeln durch. Danach entscheidet die Firewall, was mit diesem TCP/IP-Paket passieren soll, d.h. durchlassen, verwerfen, protokollieren, abweisen oder Anwender fragen. Möchte ein Programm auf Ihrem Rechner Zugriffe von der einen Seite der Firewall auf die andere Seite haben, beispielsweise der Windows Media Player, so muss er an der Firewall vorbei, beziehungsweise durch die Firewall durch. Die Regeln, die die Firewall dabei beachten soll, müssen ihr vorgegeben werden. Um nicht einen eigenen Rechner dafür anschaffen zu müssen, gibt es mittlerweile viele Software-Firewalls, die auf dem Benutzerrechner laufen, aber größtenteils die gleiche Funktionalität wie ihre professionellen Brüder besitzen. In Windows XP ist bereits eine Firewall integriert, die jedoch nur einen sehr rudimentären Schutz liefert. Es gibt ein paar kostenlose Produkte, wie ZoneAlarm oder Kerio, die erheblich besser schützen. Auf ZoneAlarm wollen wir im Folgenden genauer eingehen. Wenn Sie über einen Proxy-Server ins Netz gehen, so benötigen Sie keine Firewall auf Ihrem Rechner, sondern an der Stelle, an der Ihr Proxy-Server installiert ist.
156
W E R K S TAT T
Windows XP-Firewall
8.1
Windows XP-Firewall
Die in Windows XP eingebaute Firewall ist nützlich bei einem direkten Zugang Ihres Rechners ins Internet. Wenn Sie eine solche Verbindung haben, so ist die Firewall standardmäßig aktiviert. Unter Start/Verbinden mit/ und dann Rechte Maustaste/Eigenschaften/Erweitert gelangen Sie in das Konfigurationsmenü für die interne Firewall. Das Kästchen Internetverbindungsfirewall sollte angekreuzt sein. Damit ist die XP-Firewall aktiviert und bietet bereits einen gewissen Schutz. In den erweiterten Einstellungen können Sie nun Dienste, Sicherheitsprotokollierung und das Internet Control Message Protocol (ICMP) einstellen. Wenn Sie nicht vorhaben, irgendwelche Dienste der Allgemeinheit zur Verfügung zu stellen (z. B. einen Webserver), dann sollten Sie hier jeweils alle Kästchen deaktivieren (Abbildung 8.1).
Abbildung 8.1: Einstellungen der Windows XP-Firewall
Die eingebaute Firewall täuscht allerdings eine Sicherheit vor, die real nicht existiert. Sie schließt nämlich nicht alle offenen Ports, und Daten, die der Rechner in das Internet sendet, werden nicht überwacht! Wie sollte Microsoft sonst auch die vielen „Phone home“-Funktionen realisieren? Zum Schutz Ihrer Privatsphäre sollten Sie sich vielleicht doch etwas anderes suchen. Jetzt haben Sie wieder ein typisches Problem. Auf der einen Seite ist es natürlich praktisch, etwas bereits im Betriebssystem installiert zu haben, auf der anderen Seite ist es in diesem eigentlich wirkungslos, täuscht Sicherheit vor, die nicht da ist, und ermöglicht es dem Hersteller trotzdem, alles zu machen, was er will. Aber welche Alternativen haben Sie?
W E R K S TAT T
157
Workshop 8 – Firewalls
8.2
ZoneAlarm Firewall
Um sich ernsthaft in das Thema Firewalls einzuarbeiten, muss man Zeit investieren und sich regelmäßig auf dem Laufenden halten. Wer hat schon Zeit für eine Firewall, wo er doch nur Online-Banking betreiben will!
AUF DER
CD-ROM
Glücklicherweise gibt es Produkte wie ZoneAlarm, die auf der einen Seite relativ leicht auch von Laien zu bedienen und zu verstehen sind und auf der anderen Seite mehr Schutz bieten als der Standard. Zudem gibt es eine kostenlose Variante, mit der man einen guten Schutz hat und üben kann, eine 30-Tage-Version der Kaufvariante und natürlich die Pro-Version zum Kaufen. Ich zeige Ihnen hier die kostenlose Variante in der Version ZoneAlarm 2.6.362.
158
Die kostenlose Version von ZoneAlarm finden Sie auf der Buch-CD im Verzeichnis zu diesem Workshop.
1
Bevor Sie zur Installation schreiten, müssen Sie die Windows XP-Firewall wieder deaktivieren. Zwei Firewalls auf einem Rechner vertragen sich nicht gut und bevor es zu Rangeleien kommt, deaktivieren Sie bitte den Standard. Entfernen Sie also das Kreuzchen (Internetverbindungsfirewall) wieder bei der für Sie relevanten DFÜ-Verbindung (Abbildung 8.1).
2
Sie installieren ZoneAlarm durch einen Doppelklick auf die Datei zaSetup_37_ 143.exe im entsprechenden Workshop-Ordner auf der Buch-CD. Die jeweils aktuellste Datei finden Sie zum Download unter http://www.zonelabs.com/. Achten Sie darauf, dass Sie mit Admin-Rechten eingeloggt sind.
3
Auf dem zweiten Bildschirm (Abbildung 8.2) werden Sie nach Ihren Daten gefragt und ob Sie sich registrieren lassen wollen. Prinzipiell spricht nichts dagegen, hier echte Daten anzugeben. Ich trage allerdings Fantasie-Daten ein, registriere mich nicht und möchte auch keine News erhalten (Häkchen entfernen). Vor dem Ende der Installation kommt noch die unvermeidliche Umfrage. Da hier keine persönlichen Daten abgefragt werden, geben Sie hier ruhig echte Daten an und klicken dann auf Finish.
W E R K S TAT T
ZoneAlarm Firewall
Abbildung 8.2: Installation ZoneAlarm
4
Sie werden gefragt, ob Sie nun ZoneAlarm starten wollen. Klicken Sie auf Yes. ZoneAlarm startet dann mit der beruhigenden Meldung, dass nun nichts mehr passieren könne und Ihr Computer jetzt sicher sei!
5
In den nächsten Dialogen können Sie die Standardwerte übernehmen, bis Sie auf folgende Maske stoßen (Abbildung 8.3). Das Installationsprogramm möchte wissen, ob Sie dem Standardbrowser, in meinem Fall dem Internet Explorer, und der Windows-Komponente svchost.exe pauschalen Zugriff erlauben wollen. Ich kreuze No an und klicke dann auf Finish.
Abbildung 8.3: Vorkonfiguration von Browser und Komponenten
W E R K S TAT T
159
Workshop 8 – Firewalls
6
In der letzten Maske wird gefragt, ob Sie das Tutorial sehen wollen. Wenn Sie der englischen Sprache nicht so kundig sind, verzichten Sie drauf und lassen das Programm ZoneAlarm starten. Sie gelangen in den Übersichtsbildschirm und erhalten auch sofort die Meldung, dass die Datei svchost.exe ins Internet möchte. Klicken Sie auf Yes und prompt möchte die nächste Datei ins Netz: msmsgs.exe. Abhängig von den bei Ihnen installierten Programmen können es auch mehr Meldungen sein. Irgendwann landen Sie auf dem Übersichtsbildschirm und können mit der Konfiguration beginnen.
Was waren das eigentlich für Dateien? svchost.exe ist eine Datei unter Windows XP, die mit der Netzwerkansteuerung zu tun hat (Generic Host Process for Win32 Services). Wenn Sie beispielsweise eine Internetfreigabe für andere PCs erlaubt haben, so benötigt das System svchost.exe zur Synchronisierung. Wenn Sie dagegen eine Wählverbindung benutzen, so sollte es auch ohne Einsatz dieser Datei gehen. msmsgs.exe ist der Microsoft Messenger, der auch mal ins Netz schauen will.
Einstellungsmöglichkeiten von ZoneAlarm Die Konfiguration von ZoneAlarm setzt sich aus fünf Komponenten zusammen. Overview Im Überblick unter dem Reiter Preferences werden die organisatorischen Dinge verwaltet. Sie können festlegen, ob ZoneAlarm automatisch nach Updates Ausschau halten soll (Check for product updates).
Abbildung 8.4: ZoneAlarm Overview
160
W E R K S TAT T
ZoneAlarm Firewall
Sie können es bei jedem Start automatisch laden (Load ZoneAlarm at startup). Im Block Contact with Zone Labs sollten Sie alle drei Kreuzchen setzen. Sie werden dann mit einem PopUp-Fenster auf einen eventuellen Kontakt hingewiesen und übermitteln keine IP-Daten. Firewall Hier werden die Einstellungen für die eigentliche Firewall festgelegt. ZoneAlarm unterscheidet zwischen einer „Internet Zone„ und einer „Trusted Zone“. Die Internet Zone enthält zunächst alle Rechner im Internet. Im Reiter Main können Sie wie im Internet Explorer mit zwei Schiebereglern Sicherheitsvorgaben einstellen. Im Reiter Zones lassen sich die einzelnen Rechner in die entsprechenden Zonen verteilen. In meinen Fall ist eine Modemverbindung aktiv. In der zweiten, blau hinterlegten Zeile sieht man New Network und die IP-Adresse 169.254.0.0 (Abbildung 8.5). Außerdem ist das WLAN aktiv, zu sehen in der dritten Zeile. Das WLAN befindet sich in der „Trusted Zone“. Wie Sie im WLAN-Workshop noch sehen werden, sollte man das WLAN nicht in die Trusted Zone, sondern eher in die Internet Zone einordnen.
Abbildung 8.5: ZoneAlarm Firewall
Program Control In diesem Fenster können Sie im Reiter Main mittels eines Schiebereglers die Empfindlichkeit des Programms einstellen. Anfangs sollten Sie die Einstellung auf Medium lassen. Sie werden dann bei jedem Programmzugriff auf das Internet gefragt, ob alles so richtig ist. Wenn Ihr PC unbeaufsichtigt im Netz ist, können Sie bei Automatic Lock jeden Internetzugriff unterbinden. Unter Custom kann diese Funktionalität auch mit dem Starten des Bildschirmschoners kombiniert werden.
W E R K S TAT T
161
Workshop 8 – Firewalls
Im Reiter Programs sehen Sie die einzelnen Programme, die versucht haben, auf das Internet zuzugreifen (Abbildung 8.6). Sie können festlegen, ob der Zugriff erlaubt ist, ob nachgefragt oder ob der Zugriff verboten werden soll. Klicken Sie einfach mit der linken Maustaste auf die entsprechenden Symbole. Auf meinem Rechner versucht übrigens ein Programm mit dem Furcht erregenden Namen backWeb-8876480.exe auf das Internet zuzugreifen. Im unteren Teil sehen Sie den Pfad zu dieser Datei. Im Pfad kommt das Wort Logitech vor und meine Maus stammt von dieser Firma. Offensichtlich versucht irgendein Programmteil der Verwaltung meiner Maus einen Zugriff auf das Internet. Falls Sie mit einem Dateinamen nichts anfangen können, suchen Sie einfach mal unter http://www.google.de nach dem Namen. Die Kombination „backWeb8876480.exe logitech“ fördert immerhin 23 durchaus hilfreiche Treffer zu Tage. Auf diese Art sollten Sie immer dann verfahren, wenn Sie nicht wissen, wofür ein Dateiname steht.
Abbildung 8.6: ZoneAlarm Program Control
Alerts & Logs Die sicherlich interessanteste Abteilung von ZoneAlarm befindet sich hier. Falls Sie das Programm bereits auf Ihrem PC installiert und gestartet haben, haben Sie bestimmt schon eine „Alert-Meldung“ erhalten. Ich habe in der letzten Viertelstunde bereits mehrere Fenster dieser Art gesehen. Im Beispiel (Abbildung 8.7) versucht ein externer Computer auf meinen Port 17300 zuzugreifen. Wenn sich jetzt einer der in Workshop 8 besprochenen Remote-Trojaner auf Ihrem System befinden würde, so könnte der externe Computer auf diesen zugreifen und ihn und somit auch Ihren Rechner steuern. ZoneAlarm hat diesen Versuch allerdings erfolgreich unterbunden.
162
W E R K S TAT T
ZoneAlarm Firewall
Die Alarm-Meldungen sind mit verschiedenen Farben (je nach Gefährdung) gekennzeichnet und meistens mit erklärenden Beschreibungen versehen. Um sie zu verstehen, sind allerdings Kenntnisse über Netzwerkprotokolle sehr hilfreich. Ein Blick in die umfangreiche Online-Hilfe von ZoneAlarm gibt hier weitere Hinweise (Abbildung 8.8).
Abbildung 8.7: ZoneAlarm Alert-Meldung
Abbildung 8.8: ZoneAlarm Beschreibung der Alert-Meldungen
Im Alerts & Logs-Fenster von ZoneAlarm werden diese Ereignisse aufgezeichnet, so dass Sie hier eine gute Übersicht über ein- und ausgehende Aktionen haben. E-Mail-Protection Ein zusätzliches Feature in der aktuellen ZoneAlarm Version ist der Schutz Ihres E-MailVerkehrs. In der kostenlosen Variante werden VBS-Anhänge erkannt (Abbildung 8.9).
W E R K S TAT T
163
Workshop 8 – Firewalls
Abbildung 8.9: ZoneAlarm E-mail Protection
8.3
Firewalls prüfen
Dass die Firewall funktioniert, haben Sie sicherlich schon an den zahlreichen AlertFenstern bemerkt. Um es einmal explizit zu überprüfen, benutzen Sie doch mal den ping-Befehl. Er dient dazu, innerhalb eines Netzwerkes zu testen, ob ein Rechner auf eine Anfrage reagiert. Öffnen Sie sich eine Eingabeaufforderung via Start/Alle Programme/Zubehör/Eingabeaufforderung und geben den Befehl ping www.yahoo.de ein. Ihre Firewall müsste sofort anspringen und eine Alert-Meldung ausgeben (Abbildung 8.10).
Abbildung 8.10: Ein „ping“ auf Yahoo.de
164
W E R K S TAT T
Firewalls prüfen
W E R K S TAT T
PROFITIPP
Wenn Sie an Tauschbörsen im Internet teilnehmen, reicht der Schutz durch ZoneAlarm nicht aus. Im Workshop 11 beschreibe ich die Installation der hier geeigneteren Tiny Personal Firewall.
165
Workshop 9 Sicherer Zahlungsverkehr und sicheres Online-Banking Vor nicht allzu langer Zeit war es normal, zu einer Bank zu gehen, wenn man eine Überweisung tätigen wollte, Geld brauchte oder einmal wöchentlich seine Kontoauszüge abgeholt hat. Der freundliche Herr oder die freundliche Dame von der Bank hatte einen perfekten Überblick, wem es gut und wem es schlecht ging, und die Welt war noch in Ordnung. Dann wurde der Geldautomat erfunden, an dem man 24 Stunden am Tag Geld abholen und sich seine Kontoauszüge ausdrucken konnte. Die Banken bemerkten, dass die freundlichen Damen und Herren sehr viel Kosten im Unternehmen verursachten, aber der Bank wenig zusätzliche Einnahmen brachten. Also wurden sie ersatzlos wegrationalisiert und durch immer intelligentere Bankautomaten ersetzt. In den Fußgängerzonen der Städte ist es heute völlig normal, eine Niederlassung einer Bank zu haben, die aussieht wie eine Mischung aus Spielhalle und Designer-MöbelGeschäft. Ein Mitarbeiter passt auf die Automaten auf und hilft hier und da und ansonsten arbeiten die Kunden selber. Die Einsparungspotenziale in diesem Bereich waren bei weitem noch nicht ausgeschöpft, da überzog der Internet-Hype das Land. Viele Menschen wollten in Aktien investieren und die Banken hatten ein echtes Problem, kurzfristig die entsprechenden Angebote bereitzustellen. Also verfiel man darauf, das Internet für diese Zwecke einzusetzen. Seit den achtziger Jahren wurde erfolgreich in einer Marktnische über den BTX-Dienst der Telekom Online-Banking für Privatleute betrieben.
Workshop 9 – Sicherer Zahlungsverkehr und sicheres Online-Banking
Ein solches Banking war nun prinzipiell auch im Internet möglich. Die Firma Sun hatte es mit ihrer Programmiersprache Java ermöglicht, Programme zu schreiben, die sicher waren und auf jeder Rechnerplattform liefen. Das bedeutete für die Banken, dass sie nun ihre Automaten ebenfalls ersetzen konnten durch eine noch bessere Variante. Der Kunde kauft sich einen eigenen PC, bezahlt die Telefonleitung zur Bank und benutzt dann ein spezielles Bank-Java-Applet, um seine Aufträge selbst abzuwickeln. Da das selbst den Banken nicht recht geheuer war, für diese Dienstleistung auch noch Gebühren zu verlangen, waren viele Online-Konten kostenlos oder doch zumindest die Kontoführungsgebühren im Vergleich zum Normalkonto reduziert. Auf dem Höhepunkt des Aktienbooms konnten ganze Aktiendepot-VerwaltungsApplets benutzt werden, die mit der Zeit aber immer komplizierter zu bedienen waren und immer größer wurden. Außerdem häuften sich Fälle, in denen die Kunden ihren Ver- oder Ankaufsauftrag verschickt hatten und die Bank ihn aus diversen Gründen nicht, nicht gleich oder zu spät ausführte. Mit dem Platzen der Aktienblase und dem Konkurs einiger Bankinstitute kam Ernüchterung in die Branche und man kümmerte sich wieder um das tägliche Geschäft. Heute hat jede Bank auch ohne Java Applets ihren Bankautomaten in ihre Webseite integriert und bietet dort vom Kontoauszug bis zur Lebensversicherung alle Produkte online an (Abbildung 9.1).
Abbildung 9.1: Die Postbank Online
Ein kurzer Sprung ins Handy-Lager blieb weitgehend erfolglos. Mit dem WAP-Handy-Standard sollten Millionen Telefonkunden nun auch über ihr mobiles Telefon Überweisungen und Aktienkäufe tätigen. Dazu ist es in nennenswertem Umfang bis heute nicht gekommen. Im vergangenen Jahr 2002 haben 62 Prozent der Internetsurfer online Waren bestellt, zwei Jahre zuvor waren es erst 36 Prozent. In den USA gab es im Jahre 2002 etwa 160
168
W E R K S TAT T
Das Sicherheitskonzept im Homebanking
Millionen Internetnutzer, in Deutschland rund 40 Millionen. Weltweit kaufen mittlerweile 37 Prozent der Internetnutzer online ein, zwei Jahre zuvor waren es 20 Prozent gewesen. Alle diese Menschen haben ein Bankkonto und müssen es verwalten. Am beliebtesten ist Online-Banking in Kanada (46 Prozent), gefolgt von Großbritannien (43 Prozent), Deutschland (42 Prozent) und den USA (41 Prozent). Der nächste Schub im Online-Banking wird mit Einführung des UMTS-Systems in Deutschland und den entsprechenden, von normalsterblichen Menschen bedienbaren, Endgeräten wie Telefonen und PDAs (Personal Digital Assistant) erwartet. Prinzipiell gibt es drei Möglichkeiten, Online-Banking zu betreiben: ■ über das Internet auf der Webseite der Bank ■ über das Telefonnetz mit einer speziellen Software wie StarMoney, Quicken oder ähnlichen Programmen, so genannten Personal Finance Managern (PFM) ■ über das Telefonnetz mit einer speziellen Software der Bank. Die erste Variante ist heute mit überwältigender Mehrheit am beliebtesten. Sie funktioniert von jedem PC mit Internetanschluss und einem gängigen Browser sowie von jedem Internetcafé dieser Welt über eine sichere Verbindung und ist die für den Kunden bequemste Art. Auch die Bank ist daran interessiert, den Kunden auf der eigenen Homepage zu haben, um ihn mit weiteren Produkten zu umgarnen. Die zweite Möglichkeit ist länderabhängig entweder sehr verbreitet oder nicht existent. In Deutschland findet sich diese Variante recht häufig, bietet sie doch die Möglichkeit, Konten bei verschiedenen Banken mit einer Software zu verwalten und dadurch einen sehr guten Überblick über die eigenen Finanzen zu haben. Bankeigene Software-Anbindungen sind heute selten anzutreffen und weitgehend durch den Online-Auftritt der Bank ersetzt worden.
9.1
Das Sicherheitskonzept im Homebanking
Gerade in diesem Bereich ist das Sicherheitsbedürfnis ein sehr hohes. Virtuelles, schnell auf ein anderes Konto weltweit umleitbares Geld stellt eine enorme Versuchung dar.
PIN/TAN-Verfahren Normalerweise sind Sie es gewohnt, sich mit einem Benutzernamen (Harry) und einem Passwort (djlds7hdg) in einen geschützten Bereich einzuloggen. Im Bankwesen funktioniert das ganz ähnlich. Wenn Sie Ihr Konto von Ihrer Bank für das OnlineBanking freischalten, so erhalten Sie eine Personal Identification Number (PIN) und
W E R K S TAT T
169
Workshop 9 – Sicherer Zahlungsverkehr und sicheres Online-Banking
einen ganzen Satz Transaction Numbers (TAN). Ihre Kontonummer entspricht meist dem Benutzernamen und die PIN dem Passwort. Bei manchen Banken, wie beispielsweise der Hypo-Vereinsbank erhalten Sie noch einen zusätzlichen Benutzernamen. Mit diesen Daten können Sie sich im Bankrechner einloggen und erhalten einen Lesezugriff. Sie können sich eine Kontenübersicht anzeigen lassen oder Ihre Kontoauszüge. Die PIN ist meistens vierstellig und unter Sicherheitsaspekten ein ziemlich unsicheres Unterfangen. Daher wird sie auch bei dreimaliger Falscheingabe gesperrt und ein Zugriff auf das Konto ist nicht mehr möglich. Sie müssen dann bei Ihrer Bank das Konto wieder frei schalten lassen und erhalten unter Umständen sogar neue TANs. Es ist möglich und auch anzuraten, dass Sie Ihre PIN selbst ändern. Wozu benötigt man die TANs? Jede Buchung stellt eine so genannte Transaktion oder einen Geschäftsvorgang dar. Um jeden Geschäftsvorgang nochmals separat abzusichern, muss er mit einer TAN versehen werden, die danach ungültig ist. Die mitgelieferte, Ihrem Konto zugeordnete richtige TAN bestätigt dem Bankrechner, dass es sich um eine korrekte Buchung handelt. Wenn Ihre TANs zur Neige gehen, bekommen Sie automatisch eine neue TANListe an Ihre Postadresse geschickt. Bei dreimaliger Falscheingabe der TAN wird die TAN-Liste gesperrt. Außer der Tatsache, dass Sie sich dem Bankrechner gegenüber identifizieren, gehört zu einer Transaktion aber mehr. Stellen Sie sich vor, Sie geben eine Überweisung auf, tragen alle Daten richtig ein, schicken Sie weg und in dem Moment fällt im Bankrechner der Strom aus. Dieser Fall ist nun zugegebenermaßen recht selten, da die Bankrechner mit Notstromaggregaten versehen sind, aber spielen wir es ruhig mal durch. Wahlweise könnten wir auch eine Festplatte ausfallen oder einen Bagger eine Leitung durchreißen lassen. Die Fehlermöglichkeiten in der Realität übertreffen die Fantasie meist um Längen. Das Ende vom Lied könnte dann sein, dass Ihr Geld zwar abgebucht, aber nicht beim Empfänger gut gebucht wurde. Es wäre dann gewissermaßen weg! Das muss natürlich unter allen Umständen vermieden werden und so kommt es hin und wieder vor, dass eine Buchung, die Sie mit den richtigen Daten wegschicken, aus irgendwelchen Gründen nicht gebucht wird. Die TAN ist dann trotzdem ungültig, obwohl keine Transaktion zustande gekommen ist. Durch dieses Konzept der Transaktionsnummern in Kombination mit einer änderbaren PIN und der mehr oder weniger öffentlichen Kontonummer ist das OnlineBanking vom Prinzip her sehr sicher.
BTX Wir schreiben das Jahr 1983. Lange vor der Deregulierung der Telekommunikation, als das Internet noch den Profis vorbehalten und Webbrowser noch nicht erfunden waren, führte die deutsche Bundespost ein System namens Bildschirmtext (BTX) ein.
170
W E R K S TAT T
Das Sicherheitskonzept im Homebanking
Da die wenigsten Privatleute über einen Computer verfügten, lief das System auf Zusatzgeräten für den Fernseher. Das System bot die Möglichkeit, Formulare von Anbietern aufzurufen, auszufüllen und zurückzuschicken. Eine der wichtigsten Anwendungen war schon damals das Homebanking zum Abruf des Kontostandes und zum Versenden von Überweisungen. Mitte der 90er Jahre begann dann der Siegeszug des World Wide Web. Trotzdem blieben viele Banken zunächst beim BTX, das zwischenzeitlich in DATEX J umgetauft wurde, bis heute aber unter BTX bekannt ist. Der Grund für den zögerlichen Umstieg waren Sicherheitsbedenken. Das Internet mit anonymen Benutzern wurde als gefährlicher angesehen als das BTX-System, das komplett von der Telekom kontrolliert wurde. Das System wird nicht mehr weiterentwickelt und der BTX-Dienst wurde zur Jahrtausendwende abgeschaltet. Das Online-Banking ist jedoch weiterhin über GatewayFunktionen möglich. Viele Banken bieten auch heute noch den Zugang über das alte System an und alle PFMs unterstützen diesen Zugang. Das Online-Banking der Postbank nutzten im Jahre 2002 etwa 1,3 Millionen Kunden. Es werden 300.000 Aktiendepots online geführt. Früher war der Zugang zum Konto begrenzt auf den Provider T-Online. Neuerdings lässt sich die Postbank mit jedem beliebigen Internetprovider ansteuern. Diese Funktionalität unterstützt momentan aber nur die Software WISO Mein Geld 4.0.
Homebanking Computer Interface (HBCI) Nach unseren Erfahrungen mit asymmetrischer Verschlüsselung würden wir unsere Bank fragen, warum sie eigentlich nicht mit öffentlichen und privaten Schlüsseln arbeitet? Am besten vielleicht noch mit PGP? Genau diese Idee wird bei HBCI verfolgt. Leider nicht auf PGP-Basis. Im Auftrag der Spitzenverbände der deutschen Kreditwirtschaft wurde die Schnittstellenspezifikation HBCI als ein Standard für Homebanking entwickelt. HBCI ist eine Homebanking-Schnittstelle, die unabhängig vom Institut die Schnittstelle zwischen Kundenprodukt und Kreditinstitutssystem beschreibt. Auf der Homepage1 des Projektes können Sie die aktuelle Entwicklung verfolgen.
AUF DER
1.
CD-ROM
Eine Beschreibung des Protokolls befindet sich auch auf der Buch-CD.
http://www.hbci.de
W E R K S TAT T
171
Workshop 9 – Sicherer Zahlungsverkehr und sicheres Online-Banking
Das Prinzip der asymmetrischen Verschlüsselung wird auch hier benutzt. Sie sind im Besitz Ihres privaten Schlüssels, die Bank im Besitz Ihres öffentlichen Schlüssels. Dieser öffentliche Schlüssel ist allerdings nicht in dem Sinne öffentlich wie bei PGP, sondern er verbleibt bei Ihrer Bank, die dann zweifelsfrei feststellen kann, ob diese Buchung mit Ihrem privaten Schlüssel signiert wurde oder nicht. Wo wird der private Schlüssel gespeichert? Der erste Ansatz von HBCI sah vor, den Schlüssel auf einer Karte zu speichern und diese Karte dann über einen Kartenleser (möglichst ein Class 3-Kartenlesegerät), der an Ihren PC angeschlossen wird, zu lesen. Eine sehr elegante Art, könnte man doch den Zahlungsverkehr im Internet dadurch erheblich vereinfachen und beschleunigen. Aber ... Haben Sie einen privaten Class 3-Kartenleser? Und da sind wir beim Kern des Problems. Der Standard an sich ist eine gute Idee, aber es ist eine deutsche Idee und weltweit hat sich diese Idee (noch) nicht durchgesetzt. Trotzdem kann es ein guter und sicherer Weg sein, mit HBCI seine Bankgeschäfte zu tätigen. Es gibt zahlreiche Banken, die diesen Standard unterstützen. Eine aktuelle Liste finden Sie auf der HBCI-Seite. Die Postbank gehört übrigens aus historischen Gründen (BTX) nicht dazu. Allerdings bietet fast jede Sparkasse dieses Protokoll an und dort können Sie auch zu sehr günstigen Konditionen einen Kartenleser bekommen. Ob Sie diesen Kartenleser jemals im Internet zum Bezahlen benutzen können, wird die Zukunft zeigen. Um das Kartenleser-Problem zu entschärfen, ist es auch heute möglich, den privaten Schlüssel auf einer Diskette zu speichern, die bei den Online-Transaktionen dann eingelegt werden muss. Unter Windows XP kann man die modernen Kartenleser auch als Zugangskontrolle zum PC benutzen. Sie loggen sich dann nicht mehr mit Username und Passwort ein, sondern mit Ihrer Karte. Viele Banken bieten auch Zusatzdienste an. Die deutsche Bank beispielsweise ein Produkt namens WebSign. Die Karte ist dabei durch eine Geheimzahl gegen unbefugte Benutzung gesichert. Sie brauchen keine weiteren TANs einzugeben und können beliebig viele Buchungen tätigen. Darüber hinaus kann die WebSign-Karte auch als Medium für Ihre HBCI-fähige Banking-Software eingesetzt werden. Es gibt zahlreiche Produkte zu diesem Thema und manche Notebooks oder Tastaturen haben solche Kartenlesegeräte bereits eingebaut. Bevor Sie Online-Banking auf Ihrem Rechner zu Hause betreiben, sollten Sie bei Ihrer Bank nach den Möglichkeiten fragen.
172
W E R K S TAT T
Online-Banking mit StarMoney
Einen persönlichen Berater bei der Bank zu haben, im Alltag aber PFM-Software einzusetzen und gelegentlich - beispielsweise im Urlaub oder bei Auslandsaufenthalten den Internetzugang zu nutzen, halte ich für die sinnvollste Kombination.
Homebanking-Software Unter Homebanking-Software versteht man PFM-Programme, die auf Ihrem Rechner installiert sind und mit denen Sie bankneutral arbeiten können. Ähnlich wie Sie bei Ihrem E-Mail-Programm mehrere E-Mail-Adressen verwenden können, können Sie das hier mit mehreren Bankkonten tun. Darüber hinaus lassen sich meist auch Kreditkartenkonten sowie Aktiendepots verwalten. Viele Programme bieten auch Möglichkeiten, Kredite durchzurechnen, beispielsweise für den Eigenheimkauf und „was wäre wenn ...“-Szenarien durchzuspielen. Bei diesen Szenarien kann man die Sparkonten auf mehrere Jahre hochrechnen oder Ihr Aktiendepot nach verschiedenen Ansätzen bewerten. Durch die zentrale Verwaltung all Ihrer Finanzdaten haben Sie Möglichkeiten der statistischen Auswertung, Schnittstellen zu Steuererklärungs-Programmen und Auftragsabwicklungen. Sie müssen nicht ständig online sein, sondern nur, wenn Sie Ihre Daten aktualisieren. Das am weitesten verbreitete HBCI-Angebot in Deutschland haben die Sparkassen. Hier wird Ihnen auch zu günstigen Preisen ein Kartenleser und meistens die PFMSoftware StarMoney angeboten. Fragen Sie bei Ihrer Bank nach. Auch wenn es nicht im Schaufenster angekündigt wird, gibt es meist einen Weg, kostengünstig an einen Kartenleser und eine PFM-Software zu kommen. Grundsätzlich sind heute alle gängigen PFM-Programme für HBCI geeignet.
9.2
Online-Banking mit StarMoney
Mit dieser Software können Sie alle beschriebenen Wege des Online-Bankings betreiben.
AUF DER
CD-ROM
Um Ihnen einen Eindruck der Möglichkeiten von Personal Finance Managern zu geben, liegt auf der Buch-CD eine 60-Tage Trial-Version StarMoney 4.0 in der Sparkassen Edition bei.
■ Sie können beispielsweise Ihr Postbank-Konto via „BTX“ und Ihr Sparkassenkonto via HBCI unter einer gemeinsamen Oberfläche führen.
W E R K S TAT T
173
Workshop 9 – Sicherer Zahlungsverkehr und sicheres Online-Banking
■ Sie können Kreditkartenkonten führen, so dass Sie einen Überblick über Ihre Ausgaben auch ohne den monatlichen Kontoauszug haben. Als besonderes Feature ist es möglich, den aktuellen Kontostand Ihrer Kreditkarte online abzufragen. ■ Sie können eigene Offline-Konten erstellen, um beispielsweise ein Privatkreditkonto oder beliebige andere Konten, die im Zusammenhang mit Ihrem Zahlungsverkehr stehen, in Ihre Übersicht zu integrieren und zu führen. ■ Sie können Ihr Aktiendepot online führen und sich aktuelle Kurse in einem Börsenticker anzeigen lassen. ■ Wenn Sie größere Anschaffungen tätigen wollen, können Sie durch die Zielsparen-Funktion konsequent Geld auf einem separaten Konto sammeln. Allein diese Möglichkeiten, konsequent angewendet, bieten Ihnen eine umfassende Übersicht über Ihre Finanzen. Gerade hier liegt der eigentliche Vorteil dieser Art von Software. Sie verwalten bankunabhängig Ihre eigenen Geldangelegenheiten. Bankunabhängig ist insofern von Bedeutung, da durch die rasante Verbreitung des Internet-Bankings genau diese Überblicksfunktion in der letzten Zeit, durchaus nicht zum Leidwesen der einzelnen Bankhäuser, ein wenig in den Hintergrund geraten ist. Wer im Laufe seines Lebens Lebensversicherungen und Bausparverträge abgeschlossen hat, vielleicht einen Privatkredit und ein Depotkonto besitzt, sich langsam Gedanken über die Rente und zusätzliche Anlagemöglichkeiten zur Sicherung derselbigen macht, wer vielleicht noch ein paar Kinder hat mit all den möglichen Folgen wie geleisteten oder erhaltenen Unterhaltszahlungen, Taschengeldkonten, AusbildungsSparplänen und wer sonstige Errungenschaften der Moderne genießen durfte und einmal jährlich seine Steuererklärung abgeben muss, der wird sich über die sauber strukturierten Finanzen nicht nur freuen, sondern dieselbigen frohgelaunt seinem Steuerberater übermitteln und langsam, aber sicher seinen Computer nicht mehr nach der letzten Mode, sondern der Fähigkeit zur Ausführung eines solchen Programms aussuchen. Zugegebenermaßen ist das Leben nicht überall so komplex, gerade aber über Ihre Finanzen und Ihre aktuelle finanzielle Situation sollten Sie bestens und vor allem selbst Bescheid wissen. Vielleicht gehören Sie auch zu dieser Spezies Menschen, die solche Argumentationen durchaus wohlwollend lesen und auch schon immer mal in die Realität umsetzen wollten, angesichts unterschiedlichster Bedienungsszenarien im Internet aber auf halber Strecke aufgaben: Jetzt haben Sie die Chance, Ordnung zu schaffen. Installieren Sie, wie im Anhang A beschrieben, die Software und räumen Sie auf. Nehmen Sie sich dafür Zeit und Muße. Es geht nicht um die tollen Funktionen der Software (die sollten einfach vorhanden sein), sondern um Ihre Einstellung zu Ihren Finanzen.
174
W E R K S TAT T
Online-Banking mit StarMoney
PROFITIPP
Seien Sie ehrlich zu sich selbst! Sie können einen Euro nur einmal ausgeben. Diese Tatsache lässt sich auch mit dem besten Planungstool und der ausgefeiltesten Kreditvergabe nicht außer Kraft setzen! Beziehen Sie Ihre Familie in Ihre Finanzplanung und -strukturen mit ein. Stellen Sie alte Gewohnheiten in Frage und erstellen Sie am besten gemeinsam verbindliche Strukturen und Standards, die für alle Personen gelten, die von Ihrem Haushalt ganz oder teilweise finanziert werden.
Sollten Sie in den 60 Tagen, die die Demoversion läuft, Gefallen an dieser Art der Finanzverwaltung finden, so fragen Sie entweder bei Ihrem Computerhändler oder Ihrem Bankinstitut nach einer Vollversion. Wenn nicht, lässt sich das Programm rückstandslos wieder von Ihrem Rechner entfernen.
AUF DER
Programms. Um einen allgemeinen Überblick über die Möglichkeiten zu erhalten, gibt es eine selbstablaufende Präsentation. Im Ordner \Anhang\smoney4.0\ finden Sie die Datei sm40intro.exe. Durch einen Doppelklick auf diese Datei starten Sie die Präsentation.
CD-ROM
Im Ordner \Anhang\smoney4.0\handbuch\ finden Sie mit der Datei StarMoney-40-Handbuch.pdf ein ausführliches Handbuch zur Nutzung des
Sie fragen, was das mit dem Stoppen von Datenspionen zu tun hat? Wenn Sie über eine Internetseite Banking betreiben, so lauern wieder alle im Buch beschriebenen Gefahren und als zusätzliches Schmankerl bieten Sie Ihrem Kreditinstitut eine kostenlose Analyse Ihres Rechners, sowie Ihrer Wege und Aktionen auf der Seite der Bank an. Wenn Sie sich bei Ihrer Hausbank verschiedene Szenarien online durchrechnen lassen, so könnten die Ergebnisse problemlos mit Ihren Kontoständen und sonstigen Informationen, die der Bank ja bekannt sind, ohne Ihr Wissen abgeglichen werden (Wer hat, dem wird gegeben ...). Ob das wirklich passiert, werden Sie niemals erfahren. Die Versuchung dürfte allerdings groß sein und nur auf der Homepage der Bank lassen sich solche wertvollen Daten völlig legal und ganz einfach erheben!
W E R K S TAT T
175
Workshop 9 – Sicherer Zahlungsverkehr und sicheres Online-Banking
9.3
Zahlungsmethoden, die für den Kunden am wenigsten riskant sind
Die Akzeptanz von kostenpflichtigen Inhalten im Netz nimmt langsam, aber stetig zu. Gut die Hälfte der Internetkunden versucht zunächst, das Objekt der Begierde woanders kostenlos zu bekommen, lässt sich aber aufs Bezahlen ein, wenn das nicht klappt. Nach einer Umfrage des Instituts für Wirtschaftspolitik und Wirtschaftsforschung (IWW) aus dem Jahr 20022 zeigt sich bei den Bezahlverfahren im Internet eine deutliche Tendenz. 83,1 % der Teilnehmer votierten für den Kauf auf Rechnung, 63,6 % haben schon einmal per Nachnahme bestellt und 63,1 % haben eine Einzugsermächtigung für ihr Bankkonto erteilt. Etwas mehr als die Hälfte (56,1 %) nutzten eine Kreditkarte. Etwa ein Drittel (30,9 %) der Befragten ließ sich auf Vorauszahlungen per Scheck oder Überweisung ein. Die neuen E-Payment-Systeme, die mit großem Marketing-Wirbel gestartet sind, sind allerdings kaum verbreitet. Zahlungen über Mobiltelefone liegen bei 6,8 % und die Geldkarte bei 1,9 %. In der Umfrage waren Mehrfachnennungen möglich. Bis heute sind es hauptsächlich die Kreditkartenfirmen, die sich langsam, aber sicher den Markt im Internet aufteilen. Um das Bezahlen per Telefon zu forcieren und den Markt auf UMTS-Dienste vorzubereiten, schlossen sich die führenden europäischen Mobilfunkbetreiber Orange, Telefonica Moviles, T-Mobile und Vodafone im Februar 2003 zusammen, um einen gemeinsamen Industriestandard weltweit zu ermöglichen. Die Mobile Payment Service Organisation, die noch keinen Namen hat, soll eine technische Plattform für mobile Zahlungsvorgänge entwickeln3. Bis es dazu kommt, dürfte der einfachste und sicherste Weg für Privatleute darin bestehen, auf Rechnung (am besten noch mit Zahlungsziel) zu bezahlen.
9.4
Bargeldlos bezahlen und doch anonym bleiben
Bargeldlose Anonymität hat wieder ein grundsätzliches Problem. Wie beim Internetverkehr gibt es auch beim Online-Banking einen Sender (einen, der bezahlt) und einen Empfänger (einen, der bezahlt wird). Damit die Transaktion korrekt abgeschlossen 2. 3.
176
http://www.iww.uni-karlsruhe.de/ http://www.heise.de/mobil/newsticker/data/wst-26.02.03-000/
W E R K S TAT T
Bargeldlos bezahlen und doch anonym bleiben
wird, muss der Sender wissen, an wen er bezahlt und der Empfänger muss wissen, woher das Geld kommt. Aus diesem Grund entwickelte man so genannte Smartpay-Anwendungen wie beispielsweise die Geldkarte, die einen anonymen Bezahlvorgang gewährleisten sollen.
Die Geldkarte Die Geldkarte der deutschen Kreditwirtschaft wurde erfunden, um das Kleingeldproblem zu lösen (Micropayment), wenn man sich mal eben einen Hamburger kaufen will oder eine Busfahrkarte. Es gibt zwei verschiedene Arten von Geldkarten. Kontogebundene Geldkarte Der Geldkarten-Chip wird auf der normalen Kundenkarte integriert. Dadurch hat man alle Funktionen auf einer Karte. Bei ec-Karten enthält der Geldkarten-Chip außerdem die Daten für die Nutzung der ec-cash offline-Funktion und kann an entsprechenden Terminals durch PIN-Eingabe gegen Abbuchung vom (eigenen) Konto aufgeladen werden. Eine Aufladung gegen Bargeld ist ebenfalls möglich. Kontoungebundene Geldkarte Die andere Variante ist eine kontoungebundene Karte (white-card). Sie eignet sich zur Ausgabe an Personen, die keine Kundenkarte (ec-Karte) haben. Diese Karte kann gegen Bargeld am Bankschalter mit Hilfe so genannter Banken-Sonderfunktions-Terminals (BSFT) aufgeladen werden. Bei diesen Karten dient als Ersatz für das fehlende Girokonto ein Verrechnungskonto der Bank. Das Bargeld wird auf das Verrechnungskonto der Bank eingezahlt und die Aufladung der Karte von diesem Konto abgebucht. (Fällt Ihnen auf, wer wem bei diesem System einen Kredit gibt?) Es gibt für dieses Prinzip viele Einsatzmöglichkeiten. Beispielsweise kann ein kontoungebundener Geldkarten-Chip auf einem Mitarbeiterausweis eines Unternehmens zum Bezahlen in der Kantine verwendet werden. Er kann auch so eingestellt werden, dass eine Abbuchung vom privaten Girokonto des Mitarbeiters möglich wäre. Meistens werden diese Karten jedoch an Bargeldautomaten aufgeladen. Es gibt auch einen Entwurf für ein Verfahren zum Laden der Geldkarte über das Internet. Konkrete Anwendungen fehlen aber bis heute. Die Geldkarte und die Sicherheit Werten die Banken die Daten aus und verkaufen sie sie an Marketingfirmen? Bei kontoungebundenen Karten ist diese Information sehr anonym. Ab einer gewissen Menge von Geldkarten, die auf dem Banksammelkonto verwaltet werden, ist es nicht mehr realistisch möglich, die Daten auszuwerten. Die Einzelumsätze der Bezahlvorgänge werden dauerhaft auf dem Geldkarten-Chip gespeichert, damit Sie Ihre letzten Transaktionen nachvollziehen können. Momentan
W E R K S TAT T
177
Workshop 9 – Sicherer Zahlungsverkehr und sicheres Online-Banking
wird nicht gespeichert, was gekauft wurde. Dadurch ist die Aussagekraft der Beträge begrenzt. Die Historie bezieht sich auf drei Aufladevorgänge und bis zu 15 Bezahlvorgänge. Außerdem ist das Auswerten der Daten momentan zu teuer und zu mühselig, da es einfach zu viele Beteiligte gibt, die alle an einem Strang ziehen müssten (Händler, Händlerbank, Netzbetreiber, Kontenzentrale für Händlerbank, Karteninhaber, kartenausgebende Bank, Kontenzentrale der kartenausgebenden Bank). Anonymität in diesem Bereich verspricht also die kontoungebundene Geldkarte. Erfahrene Schwarzarbeiter und Steuerhinterzieher wissen allerdings seit Jahrhunderten: „Nur Bares ist Wahres.“4
4.
178
Im Hinblick auf die aktuellen Geldwäschegesetze in Deutschland ist auch das nicht mehr uneingeschränkt gültig.
-
W E R K S TAT T
Workshop 10 Anonym im Internet Zwischen Datenspionage und Anonymität existiert ein enger Zusammenhang. Je unerkannter Sie sich durch das Internet bewegen, desto weniger Angriffsfläche bieten Sie Datenspionen, an Ihre persönlichen Daten zu gelangen.
10.1
Was passiert eigentlich hinter den Kulissen, wenn Sie im Internet surfen?
Wenn Sie eine Internetverbindung mit Ihrem Windows PC aufbauen, so rufen Sie über Ihr Modem oder über ein Netzwerk die Nummer Ihres Providers an (z. B. T-Online, AOL oder Freenet). Ihr Provider erstellt in der hauseigenen Rechnungs-Datenbank einen Datensatz, um seine Gebühren Ihnen gegenüber belegen zu können. Außerdem weist er Ihnen für die Dauer der Verbindung eine IP-Adresse zu. Die IPAdresse (Internet Protocol Address) ist wie eine eindeutige Telefonnummer. Die an Sie vergebene IP-Adresse wird ebenfalls gespeichert. Ihr PC ist nun weltweit unter dieser IP-Adresse erreichbar (z. B. 217.2.133.48). Wenn Sie nun die Seite http://www.yahoo.de/ in Ihrem Browser aufrufen, um Ihre Mails zu checken, so sprechen der Browser und der Webserver von Yahoo untereinander die Sprache bzw. das Protokoll Hypertext Transfer Protocol (HTTP). Hinter dem Namen (der Domain) yahoo.de steckt ebenfalls eine IP-Adresse, die der Provider der Firma Yahoo Inc. dem Rechner von Yahoo zugeordnet hat. Wenn Sie eine Online-Verbindung mit Ihrem PC erstellt haben, haben Sie prinzipiell die gleichen Möglichkeiten wie eine Multimillionen-Dollar Firma. Da Menschen sich IPAdressen schwer merken können, hat man so genannte Domain Name Services (DNS) erfunden. DNS ordnen einer IP-Adresse einen Namen zu. Wenn Sie also die Adresse
Workshop 10 – Anonym im Internet
http://www.yahoo.de/ eingeben, so sagen Sie damit: „Benutze das Protokoll HTTP und suche mir die IP-Adresse, die zu diesem Namen gehört.“ Um diese IP-Adresse zu erhalten, muss zunächst beim zuständigen DNS-Server angefragt werden, welche IPAdresse yahoo.de eigentlich hat. Erst, wenn der DNS-Server die IP-Adresse an Ihren Browser zurückliefert (auflöst), kann der Server von yahoo.de von Ihrem Browser direkt angesprochen werden. Sie bekommen als Benutzer von dieser Kommunikation der drei Computer d.h. zwischen Ihrem Browser, dem DNS-Server und dem Yahoo-Webserver nichts mit. Die IP-Adressen von Sender und Empfänger haben bei dieser Art der Kommunikation eine entscheidende Bedeutung, da Ihr Browser wissen muss, wo er anfragen soll und der Webserver wissen muss, wohin er die Seite ausliefern soll. Viele Webseiten benutzen diese Information oft, um eine gewisse Form der Wiedererkennung zu gewährleisten, und speichern die IP-Adresse in Verbindung mit anderen Daten, die sie über das Protokoll HTTP erhalten. Aus diesen Daten kann der Dienstleister im Netz, also in unserem Falle Yahoo, gewisse Rückschlüsse ziehen. Wenn jemand im Besitz der genauen Zugriffszeit sowie der IP-Adresse ist, kann man durch die Art der IP-Adresse den Provider ermitteln und der kann dann feststellen, wer zu diesem Zeitpunkt diese IP-Adresse benutzt hat, sprich, von welchem Telefonanschluss die Internetverbindung gewählt wurde. Der Provider muss diese Daten je nach Rechtslage im entsprechenden Land zu Belegzwecken speichern und eine gewisse Zeit aufbewahren. Die Dauer der Speicherung der Daten und der Verbindung zur vergebenen IP-Adresse ist allerdings strittig. So werden in Deutschland die Daten bei manchen Providern gespeichert, bei manchen aber nicht. Bei Flatratetarifen und Callby-Call-Angeboten ist es prinzipiell nicht notwendig, die IP-Adresse mit abzuspeichern, um die Belegpflicht zu erfüllen. Das ist ein politisches Problem und hat mit den technischen Prinzipien, die dahinter stecken, wenig zu tun.
AUF DER
CD-ROM
Grundsätzlich ist es nicht möglich, sich ohne eine IP-Adresse im Internet zu bewegen.
1
180
Um diesen Effekt und die möglichen Informationen zu demonstrieren, können Sie das auf der Buch-CD enthaltene kleine Freeware-Tool der Firma Gibson Research benutzen.
Durch einen Doppelklick auf die Datei IP_Agent.exe startet das Programm und versucht, Ihre IP-Adresse zu ermitteln. Wenn Sie mehrere IP-Adressen benutzen, beispielsweise wenn Ihr PC in einem Netzwerk ist, Sie aber trotzdem mit einer Modemverbindung von Ihrem PC aus ins Internet gehen, so gibt es mehrere IPAdressen (Abbildung 10.1).
W E R K S TAT T
Was passiert eigentlich hinter den Kulissen, wenn Sie im Internet surfen?
Abbildung 10.1: IP Agent
2
Klicken Sie auf Test my Shields und die Seite http://www.grc.com wird angesprochen, um einen Test durchzuführen. Als Erstes öffnet sich ein Fenster, in dem gefragt wird, welche IP-Adresse untersucht werden soll. Klicken Sie auf den entsprechenden Button. An der IP-Adresse erkennt man, ob sie aus einem privaten Netz oder von einem Internetprovider stammt. Private Adressbereiche sind: 10.0.0.0 – 10.255.255.255 169.254.0.0 – 169.254.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255
3
In diesem Fall geht das Programm davon aus, dass Sie in einem privaten Netz arbeiten und über einen Proxy-Server ins Internet kommen. Dann sind Sie weitgehend sicher und der entsprechende Rechner mit dem Proxy-Server stellt das Ziel, vom Internet aus gesehen, dar. Wenn Sie sich allerdings mit einer dynamisch vergebenen IP-Adresse eines Providers im Netz tummeln, so kann der entfernte Server direkt mit Ihnen Kontakt aufnehmen und diverse Einstellungen überprüfen. Es geht dabei in erste Linie um öffentliche Dienste, wie Webserver oder Netzwerkprotokolle, die auf Ihrem Rechner laufen.
Abbildung 10.2: Shields UP – IP-Check
W E R K S TAT T
181
Workshop 10 – Anonym im Internet
Wenn die IP-Adresse erstmal bekannt ist, so können auch weitere Informationen gewonnen werden. Einen Überblick über die Möglichkeiten erhalten Sie auf der Seite http://www.allgemeiner-datenschutz.de/analyze/. Die auf dieser Seite angegebenen Daten von Ihrem Rechner sind zum größten Teil öffentlich, das heißt, jeder Webserver im Internet kann sie bei Ihnen abfragen. Eine Ausnahme bildet allerdings die Anzeige Ihrer Festplatte. Wenn Sie auf den entsprechenden Button drücken, so wird lokal auf Ihrem Rechner ein Script ausgeführt, das Ihnen und nur Ihnen den Inhalt Ihrer Laufwerke zeigen kann (Abbildung 10.3).
PROFITIPP
Abbildung 10.3: Analyse Ihrer öffentlichen Informationen
182
Als IP-Adresse wird in diesem Fall 127.0.0.1 und als Hostname localhost angezeigt. Diese IP-Adresse ist reserviert für den eigenen Computer (localhost) und ist nicht die, die mir vom Provider zugeteilt wurde. Bei diesen Testseiten werden sogenannte Umgebungsvariablen ausgelesen. Je nachdem, wie Sie sich mit dem Internet verbinden, kann es vorkommen, dass auf der Testseite missverständliche Werte stehen. In diesem Fall wird einfach die falsche Variable angezeigt. Wenn Sie mit einer Modemverbindung im Internet surfen, sollte die richtige angezeigt werden.
W E R K S TAT T
Was passiert eigentlich hinter den Kulissen, wenn Sie im Internet surfen?
Die meisten dieser Informationen werden für eine vernünftige Kommunikation zwischen Webserver und Ihrem Browser benötigt. Die entscheidende Information ist Ihre IP-Adresse und die genaue Zeit! Nach einem Klick auf die Schaltfläche Verbindungsdaten erhalten Sie die Informationen über den von Ihnen benutzten Provider, in meinem Fall die Telekom. Die folgenden Daten sind nur Auszüge, enthalten aber bereits Ansprechpartner, Telefon- und Faxnummer sowie die E-Mail-Adresse für entsprechende Nachfragen. % This is the RIPE Whois server. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html inetnum: 217.0.0.0 - 217.5.127.255 netname: DTAG-DIAL13 descr: Deutsche Telekom AG country: DE admin-c: DTIP tech-c: DTST status: ASSIGNED PA * ABUSE CONTACT:
[email protected] IN CASE OF HACK ATTACKS, ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. * person: DTAG Global IP-Addressing address: Deutsche Telekom AG address: D-90449 Nuernberg address: Germany phone: +49 180 5334332 fax-no: +49 180 5334252 e-mail:
[email protected] nic-hdl: DTIP mnt-by: DTAG-NIC e-mail:
[email protected]
Wenn Sie eine E-Mail verschicken, liegen die Dinge ähnlich. Ihr Provider betreibt einen E-Mail-Server, der Ihre Nachricht aufnimmt. Dann drückt er der E-Mail gewissermaßen einen Stempel auf und leitet sie an den Empfänger weiter. Auch bei dieser Aktion ist im Normalfall lückenlos nachweisbar, von welchem Telefonanschluss diese E-Mail kam. Interessant ist natürlich noch der Zusammenhang zwischen Ihnen als natürlicher Person und dem eigentlichen Inhaber des Telefonanschlusses, den Sie benutzen. Rückschlüsse können nur bis zum Eigentümer des Telefonanschlusses gezogen werden. Wer tatsächlich vor dem Rechner saß ist natürlich nicht beweisbar!
W E R K S TAT T
183
Workshop 10 – Anonym im Internet
10.2
Anonym surfen
Kann man anonym surfen? Eigentlich nicht, wie wir ja bereits gesehen haben. Man kann es seinen Verfolgern aber erheblich schwerer machen, die IP-Adresse zu erfahren. Wenn Sie aus einem Internetcafé eine Seite aufrufen, so lässt sich die Spur bis zu diesem Café bzw. zum Inhaber des Telefonanschlusses dieses Cafés verfolgen. Wenn dieses Internetcafé im Ausland liegt, so tendiert die Chance, dass Sie damit in Verbindung gebracht werden, natürlich abhängig von der geltenden Rechtslage gegen Null oder mussten Sie schon mal Ihre Personalausweisnummer zur Nutzung eines Internetcafés angeben? Ebenso möglich ist die Benutzung von Prepaid-Karten bei Mobiltelefonen zum Surfen. Momentan ist man damit noch anonym. Der Zugriff über Mobiltelefone auf das Internet ist allerdings noch sehr teuer und relativ aufwändig. Ähnlich verhält es sich mit allen öffentlichen Zugängen. Bei Automaten, die mit Kreditkarten funktionieren ist die Anonymität natürlich schnell wieder dahin. Neben dieser Möglichkeit, die auf der Wahl eines besonderen Telefonanschlusses beruht, können Sie auch versuchen, Ihre IP-Adresse zu verschleiern. Verschleiern deswegen, da die Datenpakete, die Sie auf die Reise schicken, einen Absender und einen Empfänger haben müssen. Ansonsten kann Ihnen der Webserver nicht die richtige Seite ausliefern. Wenn die Verbindungsdaten nach Abschluss der Verbindung (Auslieferung der Seite) gelöscht werden, ist eine Rückverfolgung unmöglich. Es gibt verschiedene Anonymisierungstools, die prinzipiell alle gleich funktionieren. Sie surfen über einen so genannten Proxy-Server eines Anonymisierungsdienstes. Ein Proxy-Server ist wie eine Vermittlungsstelle im Netz. Ihr Browser schickt die Anfrage mit seinem Absender (IP-Adresse) an den Proxy-Server. Der Proxy-Server des Anonymisierungsdienstes leitet die Anfrage weiter an den von Ihnen gewünschten Webserver (z. B. ebay.de), verwendet dabei aber seine eigene IP-Adresse. Der Webserver antwortet an den Proxy-Server und der Proxy-Server liefert die Daten an Ihren Browser weiter. Damit sind Sie allerdings noch nicht anonym, sondern Sie reichen Ihr Vertrauen an den Anbieter des Proxy-Servers weiter. In Deutschland müssen solche Anbieter Ihre Log-Dateien bei Verdacht auf eine Straftat den Ermittlungsbehörden übergeben. Wenn der Proxy-Server in einem möglichst fernen Land installiert ist und wirklich keine Verbindungsdaten speichert, so ist Ihre Anonymität perfekt. Wenn nicht ... Ein deutscher Dienst im Netz ist beispielsweise http://www.rewebber.de. Die Motivation für diesen Dienst ist, dass lt. einer Diskussionsgrundlage zu einem französischen Internetgesetz jedermann das Recht hat, seine Identifizierung im Internet zu verweigern. Rewebber ist aus dem Universitätsprodukt Janus hervorgegangen und bietet seine Leistungen kostenpflichtig an.
184
W E R K S TAT T
Anonym surfen
Ein internationaler Dienst, der auf dem gleichen Prinzip beruht, ist http://www.anonymizer.com. Da das Prinzip Proxy-Umleitung Hard- und Software-Ausstattung auf Seiten des Anbieters bedeutet, haben kostenlose Dienste meistens einen Haken. Entweder sind sie langsam, man sieht viele Werbebanner oder sie sind nicht vertrauenswürdig usw. usw. Eine interessante Alternative zu den kostenpflichtigen Dienste ist Java Anon Proxy (JAP). JAP ist ein Projekt der Universität Dresden mit Unterstützung des Landeszentrums für Datenschutz in Schleswig-Holstein. Ähnlich wie Anonymizer und Rewebber geben auch die Proxy-Server in diesem System Ihre Anfrage an den gewünschten Webserver weiter. Darüber hinaus wird der gesamte Netzverkehr verschlüsselt und es werden mehrere Proxies in Kaskaden hintereinander geschaltet. Die Provider der Proxies garantieren in einer Selbstverpflichtung, dass sie weder Verbindungsdaten speichern, noch mit den anderen Proxy-Betreibern Daten austauschen. Die Daten der Benutzer des System werden untereinander vermischt, so dass sich nicht mehr zurückverfolgen lässt, welcher Benutzer (IP-Adresse) über welchen Proxy einen bestimmten URL aufgerufen hat. Nur wenn man alle Proxy-Anbieter in genau derselben Richtung zurückverfolgen würde wie der ursprüngliche Seitenaufruf war, wäre eine Rückverfolgung möglich. Da der Netzverkehr aber auch noch verschlüsselt abläuft, ist es kaum möglich, die Ursprungs-IP-Adresse zu ermitteln. Durch die Konstruktion dieses Dienstes ergibt sich folgendes Szenario: Je mehr Menschen JAP benutzen, desto „anonymer“ werden die Daten. Wenn Sie das System benutzen wollen, benötigen Sie eine spezielle Client-Software wie eben den Java Anon Proxy (JAP).
AUF DER
CD-ROM
Die JAP-Client-Software finden Sie auf der CD im Verzeichnis zu diesem Workshop.
Nun kann man einwenden, dass aus den oben genannten Gründen grundsätzlich der Proxy in einem anderen Land stehen sollte als Ihr Browser und Ihre Zielseiten. Ich halte das Angebot aber durchaus für glaubwürdig und sicher. Siehe auch http://www.inf.tudresden.de/~hf2/anon/index.html und http://anon.inf.tu-dresden.de/
W E R K S TAT T
185
Workshop 10 – Anonym im Internet
10.3
Download JAP-Installationsdateien und Überprüfung auf Echtheit
Der Java Anon Proxy (JAP) wurde in der Programmiersprache Java geschrieben. Java, das von der Firma Sun entwickelt wurde, ist seit Jahren ein Zankapfel zwischen Microsoft und Sun. Man unterscheidet zwischen einer Entwicklerversion (Developer Kit) und einer Laufzeitversion (Runtime Engine). Wenn Sie Java-Programme schreiben und kompilieren wollen, benötigen Sie die Entwicklerversion. Wenn Sie die Programme nur ausführen wollen, so brauchen Sie die Laufzeitversion. Um herauszufinden, ob und wenn ja, was auf Ihrem Rechner installiert ist, müssen Sie zunächst in der Eingabeaufforderung nachschauen (Start/Alle Programme/Zubehör/Eingabeaufforderung). Um zu überprüfen, ob Java bereits auf Ihrem System installiert ist, gehen sie folgendermaßen vor:
1
Geben Sie den Befehl java -version ein und betätigen die Enter-Taste. Erscheint die Meldung Befehl oder Dateiname nicht gefunden, geben Sie bitte jre ein und betätigen wiederum die Enter-Taste.
2
Sollte wieder die Meldung Befehl oder Dateiname nicht gefunden erscheinen, so ist auf Ihrem System eventuell die mit dem Internet Explorer installierte JavaVersion vorhanden.
3
Um dies zu testen, geben Sie den Befehl jview ein. Erscheint wieder die Meldung Befehl oder Dateiname nicht gefunden, so ist die Wahrscheinlichkeit groß, dass Java bei Ihnen nicht installiert ist. Ansonsten wird die Nummer der installierten Version angegeben. Wenn Sie jview (Version 5.x) verwenden, so verfahren Sie bitte im Folgenden so, als wäre Java 1.1.8 installiert.
Abbildung 10.4: Microsofts Java Engine jview in einer Version > 5.0
186
W E R K S TAT T
Download JAP-Installationsdateien und Überprüfung auf Echtheit
Ich gehe davon aus, dass Sie mit Windows XP arbeiten und vermutlich die aktuelle Microsoft jview Variante in der Version > 5.0 installiert haben (Abbildung 10.4). Auf der Buch-CD gibt es trotzdem vier Unterverzeichnisse mit den verschiedenen Optionen. Je nach Ergebnis des oben durchgeführten Tests, müssen Sie zunächst die Laufzeitumgebung von Java (jre.exe) und dann das eigentliche JAP-Programm installieren. Daneben existiert seit kurzem auch die Möglichkeit, das JAP-Programm mit einem Online-Installer zu installieren: http://anon.inf.tu-dresden.de/win/download.html
Installation von JAP mit vorhandener Microsoft Laufzeitumgebung
1
Wenn Sie Ihre passende Version ausgewählt haben, sollten Sie überprüfen, ob die Datei auch wirklich vom JAP-Team stammt. Da wir mittlerweile PGP-Spezialisten sind, ist das für uns kein Problem.
2
Alle Download-Dateien werden vom JAP-Team signiert. Zu jeder Datei gibt es eine dazugehörige zweite Datei mit der Signatur. Um die Signatur überprüfen zu können, laden Sie sich den öffentlichen Schlüssel des JAP-Teams von deren Seite, aus dem PGP-Keyserver oder von der Buch-CD und fügen ihn in Ihren PGPSchlüsselbund ein. Rufen Sie PGPkey auf und wählen Schlüssel/Importieren.
AUF DER
CD-ROM
Die Datei mit dem öffentlichen Schlüssel des PGP-Teams auf der BuchCD heißt jappgp.asc.
Abbildung 10.5: PGP-Schlüsselbund mit öffentlichem JAP-Team Schlüssel
W E R K S TAT T
187
Workshop 10 – Anonym im Internet
3
Wenn Sie sich mit der rechten Maustaste das Kontextmenü des JAP-Schlüssels aufrufen und dann auf Schlüsseleigenschaften klicken, so können Sie den so genannten Fingerabdruck (Fingerprint) des Schlüssels überprüfen. Er muss aus dieser Zeichenfolge bestehen: B965 99E4 05EB 4202 895C 27DC D022 60C9 73EE 1DD1
Kreuzen Sie die Checkbox Hexadezimal an. Wenn die Zeichen übereinstimmen, so haben Sie den richtigen Schlüssel (Abbildung 10.6).
5
Nun können wir überprüfen, ob die Datei und die Signatur zusammenpassen und somit feststellen, ob die Datei wirklich vom JAP-Team stammt.
AUF DER
CD-ROM
4
Im Verzeichnis zu diesem Workshop auf der Buch-CD ist hierzu eine Datei setup.exe.sig enthalten (Abbildung 10.7).
Abbildung 10.6: Fingerprint
188
W E R K S TAT T
Installation und Konfiguration eines JAP-Clients
Abbildung 10.7: Zu überprüfende Dateien
Abbildung 10.8: PGPlog mit signierter Datei
6
Nach einem Doppelklick auf diese Datei vergleicht PGP die Datei setup.exe mit der Signaturdatei setup.exe.sig auf der Basis des öffentlichen Schlüssels des JAPTeams. Wenn die Beziehung zwischen der Datei und der Signatur korrekt ist, sollte das PGPlog den Signierer anzeigen (Abbildung 10.8).
Diese Maßnahme wird oft bei Download-Dateien verwendet, um eine Urspungssicherheit zu bieten. Downloads werden aus verschiedenen Gründen oft von mehreren Servern aus angeboten. Um sicher zu gehen, dass es sich um die korrekten Dateien und nicht etwa um eine mit einem Trojaner angereicherte Datei handelt, kann man das Signaturverfahren nutzen.
10.4
1
Installation und Konfiguration eines JAP-Clients
Nachdem Sie nun stolzer Besitzer der richtigen Dateien sind, können Sie das Programm installieren. Wenn Sie noch kein Java haben, so installieren Sie es mit einem Doppelklick auf die entsprechende Datei jre.exe und bestätigen im folgenden Installationsdialog alle Angaben (Abbildung 10.9).
W E R K S TAT T
189
Workshop 10 – Anonym im Internet
Abbildung 10.9: Installation der Java Runtime Version 1.3.1_07
190
2
Anschließend starten Sie das Installationsprogramm mit einem Doppelklick auf die Datei setup.exe. Wählen Sie die Sprache, das Installationsverzeichnis und die Programmgruppe aus und klicken Sie jeweils auf Weiter. Das Programm installiert sich und Sie können den Installationsdialog beenden.
3
JAP kann nun über Start/Alle Programme/JAP/JAP aufgerufen werden. Es erscheint der Startbildschirm (das Anonym-O-Meter) von JAP und das Programm versucht, Kontakt mit dem Dresdner Info-Server aufzunehmen. Sollte das nicht automatisch funktionieren, so kreuzen Sie die entsprechende Checkbox an (Abbildung 10.10). Falls Sie die Firewall ZoneAlarm laufen haben, so gewähren Sie JAP den Zugriff.
W E R K S TAT T
Installation und Konfiguration eines JAP-Clients
Abbildung 10.10: JAP - Startbildschirm
4
Jetzt ist der JAP-Proxy betriebsbereit und in den Browsereinstellungen müssen Sie noch die entsprechenden Angaben machen.
Eigener Verkehr Hier wird angezeigt, wie viele Daten Sie in der aktuellen Sitzung bereits über JAP übertragen haben. Beim anonymen Surfen mit dem Webbrowser erhöht sich die Anzahl der übertragenen Bytes im Übertragungsvolumen und der Balken Aktivität schlägt nach rechts aus. Aktuelles Schutzniveau Das derzeitige Schutzniveau wird hier grafisch angezeigt. Durch Klick auf die Schaltfläche Ändern... können Sie die Adresse des Anonymisierungsdienstes ändern. Details Hier werden Informationen über den ausgewählten Anonymisierungsdienst, die Anzahl der momentan aktiven Nutzer sowie die Menge der Daten, die verarbeitet und weitergeleitet werden (Verkehrssituation) angezeigt. Da der JAP sich zwischen die Kommunikation Browser/Webserver schalten muss, müssen Sie dem Browser noch sagen, dass er seine Anfragen zunächst an den JAP richten muss und dieser sie dann an den Webserver in anonymisierter Form weiterleitet. JAP benutzt hierfür die IP-Adresse 127.0.0.1 und den Port 4001. Diese Einstellungen können Sie im JAP-Menü anpassen.
W E R K S TAT T
191
Workshop 10 – Anonym im Internet
Mozilla Im Mozilla Browser müssen Sie die entsprechenden Werte unter Bearbeiten/Einstellungen/Erweitert/Proxies eintragen (Abbildung 10.11).
Abbildung 10.11: JAP-Proxy Einstellungen im Mozilla
Internet Explorer Im Internet Explorer müssen Sie auch diese Werte eintragen. Hier allerdings an zwei Stellen:
192
W E R K S TAT T
Installation und Konfiguration eines JAP-Clients
Abbildung 10.12: Proxy-Einstellungen im Internet Explorer
Abbildung 10.13: Proxy-Einstellungen für lokales Netzwerk
Unter Extras/Internetoptionen/Verbindungen (Abbildung 10.12) klicken Sie bitte auf die Schaltfläche Einstellungen bei den DFÜ-Verbindungen und bei den LAN-Einstellungen und tragen dort jeweils die Proxy-Daten ein (Abbildung 10.13).
W E R K S TAT T
193
Workshop 10 – Anonym im Internet
Test der Anonymität Wenn Sie nun im Netz surfen, so werden Sie im Anonym-O-Meter unter „eigener Verkehr“ die Aktivität beobachten können. Dies ist bereits ein gutes Zeichen dafür, dass die Sache funktioniert. Auf der Homepage des Projektes können Sie darüber hinaus noch verschiedene Testseiten besuchen, beispielsweise http://anon.inf.tu-dresden.de/anontest/test.html. Wenn Sie hier von allen Smileys angelächelt werden, sind Sie anonym im Netz unterwegs (Abbildung 10.14).
Abbildung 10.14: Testseite des JAP-Dienstes
Achten Sie darauf, dass JAP als Forschungsprojekt ständig weiterentwickelt wird und dass der Dienst manchmal nicht zur Verfügung steht. Wenn Sie Vergnügen an der Idee finden, können Sie auch mal die Seite http://www.cookiecooker.de/ besuchen. Dieses Programm ist nicht mehr kostenlos, ermöglicht aber in Kombination mit JAP die Nutzung von Cookies nach Ihren Wünschen.
10.5
Anonym mailen
Beim Versenden von anonymen E-Mails ist die Lage ebenfalls komplex. Auch hier benötigt man eine dritte Instanz, die die Absenderinformationen verschleiert. Bei diesen Diensten handelt es sich um so genannte Remailer. Ein Remailer ist ein Dienst, der Ihre E-Mail entpersonalisiert. Der Benutzer schickt seine E-Mail an einen Remailer. Dieser entfernt alle Daten aus der Mail, die Rückschlüsse auf den Absender zulassen könnten, und schickt sie an einen anderen Remailer weiter. Erst nachdem die Mail
194
W E R K S TAT T
Anonym mailen
eine vorher definierte Anzahl von Remailern durchlaufen hat, landet sie schließlich im Postfach des Empfängers. Sie können also jemandem eine E-Mail schicken, ohne dass der Empfänger Ihren Namen oder Ihre E-Mail-Adresse herausbekommt. Wie bei den Surf-Proxy-Servern gibt es auch hier Remailer, die ihre Dienste sehr benutzerfreundlich per Weboberfläche im Netz zur Verfügung stellen. Der Preis für die leichte Benutzbarkeit ist der Verlust an Sicherheit. Schließlich ist die Mail nicht verschlüsselt! Der Vorteil dieser Lösung ist allerdings die Tatsache, dass der Remailerdienst selbst nicht weiß, mit wem er es zu tun hat, wenn man ihn über einen anonymen Surfdienst wie JAP bedient. Ein Beispiel für einen einfachen kostenlosen Dienst ist http://nonymouse.com. Über ein Webformular können Sie Ihre Mail verschicken. Anhänge sind nicht möglich (Abbildung 10.15).
Abbildung 10.15: Verschicken einer anonymen Mail
Remailer sind nicht entwickelt worden, um schnell reich zu werden, Kettenbriefe zu verschicken oder andere zu beleidigen. Die Idee dabei ist eher, dass es tatsächlich Situationen gibt, in denen man anonym bleiben möchte. Beispielsweise: ■ Eine misshandelte Frau möchte einen Artikel veröffentlichen und um Hilfe bitten, aber anonym bleiben. ■ Journalisten müssen mit ihren Informanten kommunizieren. ■ Ein Alkoholiker möchte von seiner Sucht loskommen und sich einer Gruppe anschließen oder in einer Newsgroup posten, aber zunächst anonym bleiben.
W E R K S TAT T
195
Workshop 10 – Anonym im Internet
Der verschlüsselte Remailer Quicksilver und Mixmaster
AUF DER
CD-ROM
Da die Webdienste teilweise recht unzuverlässig sind, gibt es auch die Möglichkeit, sich einen Remailer als Software auf dem heimischen PC zu installieren. Eine auch für Anfänger gut bedienbare Software ist das E-Mail-Programm Quicksilver. Das Programm ist in der Lage, verschlüsselte E-Mails über mehrere Remailer hintereinander zu schicken. Die Verschlüsselung findet dabei während des Transports über die Remailer statt, so dass eine spätere Rückverfolgung aussichtslos ist.
Das Programm Quicksilver ist auf der Buch-CD im Verzeichnis zu diesem Workshop enthalten. Sie können es auch von der Homepage http://quicksilver.skuz.net/ herunterladen
Installation
1
Es gibt wieder zusätzlich eine Signaturdatei um festzustellen, ob die Programmdatei echt ist. Da PGP bei nicht bekannten öffentlichen Schlüsseln auf dem KeyServer nachsieht und diese dann automatisch lädt, genügt ein Doppelklick auf die Datei QS.9b20.11.exe.sig zur Überprüfung (Abbildung 10.16).
Abbildung 10.16: Signatur-Check für Quicksilver
2
196
Ein weiterer Doppelklick auf die Datei startet das Installationsprogramm. Ändern Sie den Installationspfad auf C:\Programme\QuickSilver. Sie werden aufgefordert, Ihre E-Mail-Adresse sowie Ihren verwendeten SMTP-Server zu nennen. Die E-Mail-Adresse, die Sie hier eingeben, muss nicht echt sein, ich habe
[email protected] verwendet. Sie dient nur dazu, in der E-Mail-Maske als Standardabsender zu fungieren. Quicksilver kann auch als ganz normaler E-Mail-Client genutzt werden. Klicken Sie die Masken weiter durch, bis das Programm installiert ist. Sie werden gefragt, ob Sie es gleich starten wollen. Klicken Sie auf die Schaltfläche Exit (Abbildung 10.17).
W E R K S TAT T
Anonym mailen
Abbildung 10.17: Quicksilver – Installation
3
Quicksilver startet und stellt fest, dass die Mix-Remailer Informationen fehlen.
Abbildung 10.18: Quicksilver - Erster Start
4
Diese müssen jetzt aus dem Internet geladen werden. Dazu erstellen Sie sich eine Internetverbindung und klicken auf Get Mixmaster 2.9 (Abbildung 10.18). In den nächsten Masken müssen Sie einen Download-Server auswählen und Ihre ProxyEinstellungen eintragen. Wenn Sie eine normale Modemleitung haben, können Sie die Standardwerte übernehmen. Quicksilver erstellt eine FTP-Verbindung
W E R K S TAT T
197
Workshop 10 – Anonym im Internet
und bietet Ihnen verschiedene Dateien zum Download an (Abbildung 10.19 und Abbildung 10.20).
Abbildung 10.19: Quicksilver – FTP-Verbindung
Abbildung 10.20: Quicksilver – Remailer Update
198
5
Wählen Sie die Datei Mix29b39.zip aus und klicken Sie auf Next. Die Datei wird vom Server geladen und Quicksilver aktualisiert sich. Mit der Schaltfläche Run Setup stoßen Sie das Installationsprogramm von Mixmaster an. Auch hier sollten Sie wieder den Pfadnamen in C:\Programme\Mixmaster ändern und den weiteren Anweisungen folgen. Zum Schluss werden Sie aufgefordert, mit Ihren eigenen Mausbewegungen eine Zufallszahl zu erzeugen, auf deren Basis die Verschlüsselung starten kann. Bewegen Sie die Maus solange, bis im Fenster 100 % steht und ein Signal ertönt (Abbildung 10.21).
6
Nach Abschluss des Vorgangs sollte ein leeres Quicksilver-Fenster erscheinen. Um nun E-Mails zu verschlüsseln, benötigen Sie noch die entsprechenden Informationen über die Remailer.
W E R K S TAT T
Anonym mailen
Abbildung 10.21: Mixmaster – Erzeugung einer Zufallszahl
Laden Sie diese Informationen unter Tools/Remailers und kreuzen Sie zunächst 7 die Checkboxen des ersten Servers an und klicken auf Update (Abbildung 10.22).
Abbildung 10.22: Quicksilver – Laden der Schlüsselinformationen
lädt nun alle Informationen über die Remailer und speichert sie 8 Quicksilver ähnlich wie PGP in seinem Schlüsselbund (Abbildung 10.21).
9 Schließen und speichern Sie die Schlüsselfenster. letzte Tat müssen Sie noch die Daten für Ihren E-Mail-Provider eingeben. 10 Als Klicken Sie dazu auf Tools/SMTP Authentication und legen einen neuen Host an (Abbildung 10.24).
W E R K S TAT T
199
Workshop 10 – Anonym im Internet
Abbildung 10.23: Quicksilver – Remailer-Schlüssel
Abbildung 10.24: Quicksilver – Authentication
So, nach dieser harten Installation haben Sie ein Programm, mit dem Sie verschlüsselte, anonyme E-Mails verschicken können. Versenden einer anonymen E-Mail Das Versenden einer E-Mail gestaltet sich relativ einfach. Klicken Sie im QuicksilverMenü auf File/New/Message und ein E-Mail-Fenster erscheint (Abbildung 10.25). Die Absenderadresse spielt keine Rolle. Die Zeichen hinter „Chains“ bedeuten, dass diese Mail über zwei Remailer gehen soll. Je mehr Remailer verwendet werden, desto weniger wahrscheinlich ist es, dass die Nachricht ankommt, da auch Remailer mal ausfallen oder Störungen vorliegen. Um die Wahrscheinlichkeit zu verbessern, erhöht man bei steigender Anzahl der Remailer die Anzahl der Kopien. Für Anonymität sollten mindestens drei Remailer eine Kette bilden und ab drei Remailern kann die Angabe copies=2 sinnvoll sein. Man sollte die Kopieangaben aber auch nicht übertreiben, da bei einwandfreier Kette auch die versendete Nachricht mehrmals veröffentlicht wird. Geben Sie den Text folgendermaßen ein: Fcc: outbox Host: smtp.mail.yahoo.de From:
[email protected] Chain: *,*,*;copies=2
200
W E R K S TAT T
Anonym mailen
To:
[email protected] Subject: Dies ist eine anonyme Mail Hier kommt der Text – Achten Sie darauf, dass sich eine Leerzeile zwischen Subject und Text befindet. ~~
Abbildung 10.25: Quicksilver – Neue E-Mail erstellen
Klicken Sie auf Send und staunen Sie über die Dinge, die jetzt passieren. Die Remailer und Schlüsselinformationen sowie die Info, welche Remailer momentan funktionieren, werden kurz überprüft. Dann wird Ihre E-Mail verschlüsselt und an die Kette geschickt. Alle Vorgänge werden protokolliert und können von Ihnen entsprechend verfolgt werden. Anonyme E-Mail mit Attachments Es ist auch möglich, Anhänge verschlüsselt anonym zu versenden. In der Attachment:-Zeile muss der komplette Pfad der zu versendenden Datei eingetragen werden. Fcc: outbox Host: smtp.mail.yahoo.de From:
[email protected] Chain: *,*,*;copies=2 To:
[email protected] Subject: Dies ist eine anonyme Mail Attachment: C:\Pfad\Datei1, C:\Pfad\Datei2 Hier kommt der Text – Achten Sie darauf, dass sich eine Leerzeile zwischen Subject und Text befindet. ~~
Falls Sie mehr über die Möglichkeiten von Quicksilver wissen wollen, empfehle ich Ihnen die deutsche Anleitung von Kai Raven1.
1.
http://kai.iks-jena.de/quick/
W E R K S TAT T
201
Workshop 10 – Anonym im Internet
Bitte denken Sie daran, dass anonyme Mailer nicht dazu da sind, Ihre lieben Mitmenschen mit anonymen Mails zu nerven, sondern dass Sie unter bestimmten Umständen, wie bereits beschrieben, praktisch sein können.
10.6
Spuren des eigenen Surfens verwischen
Wie Sie bereits bemerkt haben, hinterlassen Sie im Normalfall im Internet keine Spuren, sondern Trampelpfade. Lassen Sie uns untersuchen, was Sie tun können, um diese Trampelpfade wenigsten auf dem Rechner, auf dem Sie gerade arbeiten, in ein paar geknickte Gräser zu verwandeln.
Autovervollständigen Kennen Sie die Autovervollständigen-Funktion Ihres Browsers? Wenn Sie ein Anmeldeformular bei einer Webseite ausfüllen, so werden die Eingabewerte gespeichert und wenn Sie später wieder ein ähnliches Formular ausfüllen, sind Ihre Angaben wie durch Zauberhand nach der Eingabe eines Buchstabens in einer Vorschlagsliste. Bei der Passworteingabe werden Sie gefragt, ob Sie dieses Passwort speichern wollen, damit es beim nächsten Mal automatisch zu Ihrem Benutzernamen in Sternchen wieder angezeigt wird. Aus Anwendersicht eine wunderbare Sache. Man gibt den ersten Buchstaben des Benutzernamens ein, der Rest wird automatisch vervollständigt und das entsprechende Passwort angezeigt. Da man nur die Sternchen sieht, fühlt man sich sicher. Auf der Seite http://www.lostpassword.com/asterisk.htm finden Sie ein 278 Kbyte kleines Programm, um die Sternchen wieder in lesbare Zeichen zu verwandeln. Installieren Sie das Programm mit einem Doppelklick auf die Datei ariskkey.exe, bestätigen Sie alle Einstellungen während des Installationsdialoges und starten Sie dann das Programm. Gehen Sie nun zu einem Anbieter im Netz (beispielsweise ebay.de) und geben Ihre Login-Daten ein. Klicken Sie aber nicht auf Abschicken, sondern jetzt im Programm Asterisk Key auf Recover. Das eben noch mit Sternchen maskierte Passwort ist nun im Klartext zu lesen (Abbildung 10.26).
202
W E R K S TAT T
Spuren des eigenen Surfens verwischen
Abbildung 10.26: Wie sicher sind Passwörter in Formularen?
Falls Sie diese Abfrage „Wollen Sie dieses Passwort speichern“ sehen, so drücken Sie bitte in Zukunft auf Nein (Abbildung 10.27). Dies gilt insbesondere auf fremden Rechnern, im Internetcafé oder gar während der Arbeitszeit.
Abbildung 10.27: Autovervollständigen-Funktion
Um dieses „Feature“ zu deaktivieren, müssen Sie beim Internet Explorer unter Extras/ Internetoptionen/Inhalte/AutoVervollständigen/ die Checkboxen Formulare und Benutzernamen und Kennwörter deaktivieren. Bei Mozilla existiert die gleiche Problematik. Unter Tools/ Passwort Manager/ gespeicherte Passwörter verwalten haben Sie allerdings ein kleines Programm, mit dem Sie Ihre Passwörter verwalten können. Das hat den Vorteil, dass Sie selektiv Passwörter speichern oder löschen können (Abbildung 10.28).
W E R K S TAT T
203
Workshop 10 – Anonym im Internet
Abbildung 10.28: Mozilla Passwort-Manager
10.7
Spuren jeglicher PC-Benutzung verwischen
Hier beginnt es natürlich kompliziert zu werden, denn abhängig von den Programmen, die Sie nutzen, hinterlassen Sie verschiedenartige Spuren. Spätestens seit einem Artikel in der Zeitschrift Emma 1/20032 war das Thema in aller Munde. In diesem Fall ging es um die Frage. „Was macht der Papi oder der Sohnemann eigentlich, wenn er so lange vor dem PC sitzt“. Da es in diesem Bereich meistens um Bilder oder VideoDateien geht, gab Emma die entsprechenden Tipps.
Suche nach den zuletzt geänderten Dateien Unabhängig von allen Internet-Surfreisen kann ein PC auch benutzt werden, um Dokumente zu bearbeiten. Im Windows Explorer ist es sehr komfortabel möglich, nach den zuletzt geänderten Dateien zu suchen. Über eine Suchmaske können Sie bestimmte Dateitypen auswählen oder einen bestimmten Zeitraum. Suchen Sie beispielsweise alle Dateien, die Sie heute verändert haben. Öffnen Sie den Windows Explorer mit (Ä)+(E) und klicken Sie auf das Icon Suchen. Ein kleiner Hund, der fröhlich mit dem Schwanz wedelt, fragt Sie, wonach Sie suchen. Klicken Sie auf Dateien und Ordner und wählen im unteren Bereich noch einen Zeitraum aus. Dazu können Sie in einem Kalender die entsprechenden Werte eingeben und beginnen die Suche (Abbildung 10.29).
2.
204
http://www.emma.de/content/ccc1042475730012.html
W E R K S TAT T
Spuren jeglicher PC-Benutzung verwischen
Abbildung 10.29: Dateisuche in Windows XP
Bei mir kamen 248 Dokumente zum Vorschein und bei Ihnen? In fast allen modernen Programmen gibt es im Menü Datei die Möglichkeit, sich die zuletzt bearbeiteten Dateien anzeigen zu lassen. Hier ein Beispiel aus Adobe Photoshop (Abbildung 10.30).
Abbildung 10.30: Zuletzt geöffnete Dateien in Adobe Photoshop
Wenn Sie mit verschiedenen Benutzern unter Windows XP arbeiten, so bekommt jeder Benutzer „seine“ Dateien angezeigt. Je nach Programm gibt es in den Einstellungen eine Möglichkeit, diese Anzeige zu unterdrücken. In Word finden Sie dies unter Extras/Optionen/Allgemein (Abbildung 10.31).
W E R K S TAT T
205
Workshop 10 – Anonym im Internet
Abbildung 10.31: Word – Konfiguration der Anzeige für zuletzt geöffnete Dateien
10.8
Spuren im Internet
Um eine zügige Darstellung von Internetseiten zu gewährleisten, speichern die Browser alle Daten, die sie laden, in einem Cache auf Ihrer lokalen Festplatte. Ein Cache ist ein Zwischenspeicher und wenn Sie die Seite erneut aufrufen oder ein Bild oder Navigationselement auf einer Seite mehrfach auftaucht, so sieht der Browser erst einmal in seinem Cache nach, ob er das Bild schon kennt. Wenn ja, so lädt er es von dort. Das geht erheblich schneller und spart teure Bandbreite im Internet. Durch dieses Verhalten wird beispielsweise jedes Banner, das Sie im Internet sehen, auf Ihrem lokalen Rechner abgespeichert. Im Windows Explorer unter Dokumente und Einstellungen/Ihr Benutzername/Temporary Internet Files können Sie sich einen kleinen Eindruck von der Fülle der Dokumente verschaffen. Im Internet Explorer unter Extras/Internetoptionen/Allgemein gibt es einen eigenen Bereich Temporäre Dateien. Hier können Sie alle Cookies löschen, alle Dateien löschen, die im eben vorgestellten Ordner standen, oder unter Einstellungen ein weiteres Fenster aufrufen, das Ihnen zusätzliche Löschoptionen bietet (Abbildung 10.32).
206
W E R K S TAT T
Spuren im Internet
Abbildung 10.32: Internetoptionen – Allgemein
Es gibt in dieser Art noch weitere Einstellungsmöglichkeiten. Wenn Ihnen das zu mühselig ist, was ich durchaus verstehen kann, so können Sie das Säubern auch einem Programm überlassen. Auch hier gibt es viele Tools. In der Steganos Security Suite ist ebenfalls ein solches Tool enthalten. Starten Sie den InternetSpuren-Vernichter aus der Übersichtsseite der Security Suite (alles Nähere zur Stegano Security Suite erfahren Sie in Workshop 2). Das Tool ist insofern praktisch, da es die Spuren des Internet Explorers und des Mozillas verwischt. Die Einstellungen für den Netscape funktionieren auch im Mozilla (Abbildung 10.33). Außerdem werden auch die betriebssysteminternen Listen über die letzten geöffneten Programme, die immer im Startmenü stehen, die letzten geöffneten Dokumente, die letzten gesuchten Dokumente und außerdem der Inhalt des Papierkorbs gelöscht. Sie erinnern sich an das Löschen einer Datei? Wenn nicht, schauen Sie noch mal im Abschnitt 1 im Workshop 3 nach. Ein besonderes Feature finden Sie durch einen Klick auf den Button XP-Datenschutz.
W E R K S TAT T
207
Workshop 10 – Anonym im Internet
Abbildung 10.33: Steganos InternetSpuren-Vernichter
Abbildung 10.34: XP-Datenschutz
208
W E R K S TAT T
Schutz vor Spam und Werbung
Hier finden Sie ein paar Funktionen von XP-AntiSpy wieder, die es Ihnen ermöglichen, viele Phone home-Funktionen zu unterdrücken. Oftmals möchte man aber nicht mit der ganz großen Keule aufräumen, weil manche Cookies und manche Passwörter ja durchaus nützlich sind. Daher steht Ihnen im Mozilla neben dem Passwort-Manager unter Tools ein so genannter Cookie-Manager für die selektive Verwaltung von Cookies zur Verfügung.
10.9
Schutz vor Spam und Werbung
Der Kampf gegen Spam und Werbung wird auf zwei Ebenen ausgetragen. Einmal in Bezug auf Ihre E-Mails und einmal in Bezug auf Ihre Reisen durchs Internet mit einem Browser.
E-Mail-Schutz Es gibt bis heute keinen wirksamen Schutz vor Spam, auch da die Definition von Spam nicht ganz so einfach ist. In allen Ländern existieren unterschiedliche Rechtsauffassungen und somit sind pragmatische Lösungen gefragt.
PROFITIPP
Sie sollten mit der Herausgabe Ihrer E-Mail-Adressen, wie mit allen persönlichen Daten, umsichtig vorgehen. Geschäftlich haben Sie möglicherweise einen anderen Umgang als bei der privaten Nutzung des Internets und so kann ein Gästebuch- oder Foreneintrag, den Sie vor ein paar Jahren mal gepostet haben, Ihre potentiellen Geschäftspartner ein wenig verwirren. Es ist mittlerweile durchaus üblich, sich erst mal über einen neuen Kontakt im Internet zu informieren. Suchen Sie mal nach Ihrer E-Mail-Adresse oder Ihrem Namen in Google.de. Schließen Sie dazu Ihren Namen in Hochkommata ein („vorname nachname“).
Führen Sie doch einfach ein Doppelleben. Legen Sie sich eine zweite E-Mail-Adresse bei einem Freemailer, wie Yahoo.de, gmx.de oder Web.de an. Eine E-Mail-Adresse sollten Sie ausschließlich für den Privatgebrauch reservieren, die andere für geschäftliche Zwecke. Ich traue es mich kaum zu sagen, aber verzichten Sie einfach auf Warenproben, Gewinnspiele, Kettenbriefe, den Kredit für Null Prozent und ähnliche Angebote, die nur Ihr Bestes wollen – Ihre E-Mail-Adresse sofort und langfristig Ihr Geld. Für LeserInnen, die von diesen Angeboten nicht lassen können, gibt es einen kostenlosen Service unter dem URL http://www.spamgourmet.com. Hier können Sie sich unter der Angabe Ihrer echten E-Mail-Adresse beliebig viele „Wegwerf-Adressen“ erzeugen. Die Mails an diese Wegwerf-Adresse werden an Ihre echte E-Mail-Adresse
W E R K S TAT T
209
Workshop 10 – Anonym im Internet
weitergeleitet. Sie können einstellen, dass sich die Wegwerf-Adresse nach einer bestimmten Menge von erhaltenen Mails selbst zerstört. Denken Sie daran, dass E-Mail-Adressen auch aus dem Netz gegrabbt werden. Wenn Ihre E-Mail-Adresse auf einer Seite steht, so kann es sein, dass sie von einem so genannten Robot gescannt und in eine Datenbank aufgenommen wird. Wenn Sie AOL-Kunde sind, seien Sie besonders vorsichtig. AOL-Benutzer bekommen die meisten Werbebriefe. Das liegt unter anderem daran, dass sich die Namen von AOLBenutzern leicht heraus finden lassen. Passen Sie deshalb auf, wenn Sie AOL-Chats besuchen. Manche Versender sammeln die Namen der dort anwesenden Mitglieder. All diese Tricks können helfen, die Flut an Spam ein wenig einzudämmen. Verhindern werden Sie sie dadurch nicht. In Outlook Express können Sie Regeln angeben, was mit bestimmten Mails passieren soll und so nach und nach einen wirkungsvollen SpamFilter aufbauen (siehe Abschnitt „Outlook Express“ im Workshop 6). Im neuen Mozilla Mail wird ebenfalls ein Spam-Filter enthalten sein, wenn Sie dieses Buch lesen.
Browser-Werbeschutz und WebWasher Der beste Browserschutz ist Verständnis für die Technik. Die meisten Dinge sind manuell einstellbar und lassen sich mit etwas Geduld auch zuverlässig konfigurieren. Im Mozilla sind Dinge wie ein PopUp-Schutz und ein Cookie-Manager bereits enthalten. Werbung taucht normalerweise auf Webseiten in Form von Bannern auf. Diese Banner gibt es in verschiedenen Größen und Ausprägungen. Sie liegen auf den Servern der Banner-Agenturen und werden zur Laufzeit in die Seiten der eigentlichen Anbieter integriert. Surfen Sie mal zum Auftritt der Bild-Zeitung http://www.bild.de und dann zum Auftritt der Financial Times Deutschland http://www.ftd.de. In beiden Fällen erwarten Sie, je nach Zielgruppe optimiert, verschiedene Arten von Bannern. Kopieren Sie sich die Banner-Adressen in einen Texteditor. Gehen Sie dazu mit der rechten Maustaste auf das Banner und klicken im Kontextmenü Verknüpfung kopieren. Anschließend fügen Sie den Inhalt über die Zwischenablage in Ihren Editor ein. In beiden Fällen stellen Sie fest, dass diese Banner von anderen Servern kommen. Im Falle Bild stammen die Banner von einem Banner-Server der Telekom (Stand Mai 2003): http://ads.banner.t-online.de/werbung/iam/immoscout24/300403/ fb_easy_4_020211.gif. Die Financial Times Deutschland betreibt an ihrem Port 8080 offensichtlich einen eigenen Banner-Server (Stand Mai 2003): http://ads.ftd.de:8080/bannomat/Abo/468x60_kienzle_3.gif.
210
W E R K S TAT T
Schutz vor Spam und Werbung
Die Verbindung zwischen Webseiten-Angebot und Banner-Server wird über so genannte Webbugs realisiert. Das sind kleine, für Sie ungefährliche Server-Scripte, die beim Aufruf einer Seite auf dem entsprechenden Banner-Server ausgeführt werden. Je nach Zielsetzung des Anbieters könnte das Script auf Ihrem Rechner nach Cookies suchen, die dieser Banner-Server schon mal gesetzt hat und diese Daten mit den aktuellen Informationen, die Sie automatisch anbieten, vergleichen. Vielleicht haben Sie ja seit dem letzten Besuch der Seite ein Update Ihres Browsers durchgeführt und sind nun in der Lage, ein spezielles Programm auszuführen – also erhalten Sie das passende Banner mit dem entsprechenden Sonderangebot. Die Banner-Agentur arbeitet natürlich mit mehreren Anbietern zusammen und kann so nach und nach ein Bewegungsbild von Ihnen erstellen: Alle Besucher, die bei der Bild-Zeitung waren, gehen anschließend auf die Seite der Financial Times Deutschland .
-
Es ist heute bereits möglich und üblich, anhand Ihrer IP-Adresse eine regionale Zuordnung zu erstellen: Nur die Benutzer aus Sachsen-Anhalt surfen nach Ihrem Bild-Besuch zu Ebay. Abhängig von diesen Informationen, die momentan noch anonym sind und hoffentlich nicht mit den Verbindungsdaten verknüpft werden, besteht die Möglichkeit, Sie mit selektiven Informationen zu versorgen. Plötzlich erscheinen Banner von Dingen, die Sie mögen! Die Telekom hätte bereits die Möglichkeit, personenspezifische Daten mit solchen Banner-Daten zu verknüpfen, setzt dies aber aus rechtlichen Gründen nicht ein. Ein sehr effektives Mittel gegen diese Webbugs und ein paar Dinge mehr ist der WebWasher.
AUF DER
CD-ROM
Sie können die Version auf der Buch-CD benutzen oder sich eine neue Variante von der Homepage http://www.webwasher.de laden. Bitte beachten Sie, das WebWasher für Privatanwender, Schulen und nicht-kommerzielle Nutzung lizenziert werden muss (EUR 29,-). Für private Nutzer bietet WebWasher keinen telefonischen und E-Mail-Support. Anworten und Fragen finden Sie auf der WebWasher-Site unter http://www.webwasher.com/client/home/index.html?lang=de DE.
Installation WebWasher Classic
1
Durch einen Doppelklick auf die Datei wash33.exe starten Sie das Installationsprogramm. Klicken Sie die Masken durch und übernehmen Sie die Standardeinstellungen. Der WebWasher startet mit einem kleinen blauen Kreis mit einem weißen W im Windows-Tray.
W E R K S TAT T
211
Workshop 10 – Anonym im Internet
2
Klicken Sie mit der rechten Maustaste auf dieses Zeichen und gehen Sie auf Einstellungen. Hier finden Sie zahlreiche Konfigurationsmöglichkeiten, die im Verlauf des Buches bereits erwähnt wurden (Abbildung 10.35). Der Cookie- und Webbug-Filter ist ebenfalls dabei.
Abbildung 10.35: WebWasher Einstellungen
3
Außerdem gibt es einen Standard-Größenfilter für Bilder. Banner haben standardisierte Größen, damit sie variabel verwendet werden können. Die Größe 468 * 60 Pixel ist eine weit verbreitete Bannergröße. WebWasher bietet Ihnen die Möglichkeit, Bilder in bestimmten Größen zu filtern. Die gängigsten Größen werden Ihnen bereits vorgeschlagen, sollte eine Größe nicht dabei sein, so können Sie sie manuell hinzufügen. Die Chance, dass Sie ein Banner treffen, ist bei dieser Methode sehr hoch.
Um heraus zu bekommen, welche Bildgrößen Sie filtern sollten, klicken Sie einfach mit der rechten Maustaste auf das oben angesprochene Banner und anschließend auf Eigenschaften. Im sich öffnenden Fenster können Sie die Größe des Bildes sehen und in WebWasher entsprechend ankreuzen. Nehmen Sie sich Zeit und untersuchen Sie die verschiedenen Bannergrößen. Durch Aktivierung der Checkbox „Auch Grafiken, die auf dem gleichen Server liegen, nach Größe filtern“ können Sie so weitgehend werbefrei im Internet surfen. WebWasher lässt das Bild dann nicht mehr durch und außer der Tatsache, dass Sie von Werbung verschont bleiben, gibt es noch einen positiven Nebeneffekt.
212
W E R K S TAT T
Schutz vor Spam und Werbung
Der Seitenaufbau wird gerade bei einer Modemverbindung erheblich schneller, weil viele Bilder nicht geladen werden müssen.
VORSICHT!
Wenn Sie viele Bildergrößen herausfiltern, kann es Ihnen passieren, dass Sie beispielsweise bei ebay.de keine Bilder mehr zu den Auktionen sehen. Experimentieren Sie mit verschiedenen Einstellungen.
Abbildung 10.36: Eigenschaften einen Werbebanners
Richtig interessant wird das Surfen mit WebWasher, wenn Sie einen Vergleich zwischen vorher und nachher anstellen.
W E R K S TAT T
213
Workshop 10 – Anonym im Internet
Abbildung 10.37: WebWasher im Einsatz beim Aufruf der Financial Times Deutschland
Dazu gibt es in WebWasher die so genannte Statistik. Aufrufbar ist sie über das Tray-Menü. Im Falle Financial Times Deutschland wurden 11 Bilder, 2 Fenster, 4 Scripte und ein Cookie gefiltert. Insgesamt hat die Seite 26 Cookies gesendet (Abbildung 10.37).
Abbildung 10.38: WebWasher im Einsatz beim Aufruf von Bild
Auf der Bild-Seite wurden 4 Bilder, 2 Fenster, 7 Scripte und 43(!!) Cookies gefiltert. Die Cookie-Filterung kann in den Einstellungen noch verfeinert werden. Dies war die Standardeinstellung! Weitere nützliche Features sind beispielsweise: ■ Filterung von Internetadressen: Durch diesen Filter wird der Zugriff auf einzelne Webseiten oder komplette Websites, die in der Filterliste des URL-Filters eingetragen worden sind, blockiert (Abbildung 10.39).
214
W E R K S TAT T
Schutz vor Spam und Werbung
■ Referrer-Unterdrückung: Wenn Ihr Browser Text oder Grafik von einer Webseite anfordert, dann wird über das Protokoll HTTP zusätzlich eine Zeichenkette (Referrer) mit dem URL der zuletzt besuchten Seite verschickt. Dadurch können Ihre Bewegungen durch den Webauftritt verfolgt werden (Klickpfad) oder festgestellt werden, von wo Sie hergekommen sind. Wenn Sie in einer Suchmaschine etwas suchen und anschließend auf eine Ergebnisseite klicken, so ist der Referrer die Seite der Suchmaschine. Der Seitenanbieter kann sehen, ob seine Investition in einen Platz in dieser Suchmaschine erfolgreich war. ■ Wildcards: WebWasher unterstützt die Verwendung von Platzhaltern, so genannten Wildcards, für Zeichen oder Zeichenketten in einer Filterliste. Schreiben Sie einfach den kompletten URL, einen Teil des URLs oder irgendein charakteristisches Textmuster des URLs in die Liste. Beispielsweise blockiert die Zeichenkette http://*xxx* alle Seiten, in denen die Zeichenkette „xxx“ vorkommt. Die genaue Syntax der möglichen Eingaben finden Sie in der Online-Hilfe.
Abbildung 10.39: WebWasher Objekte nach URL filtern
Der WebWasher ist ein ausgereiftes Tool und bietet in der kommerziellen Variante auch ein Antispam-Modul für E-Mail-Programme an.
W E R K S TAT T
215
Workshop 11 Sicher in Tauschbörsen Auf Tauschbörsen im Internet wird wie im richtigen Leben mit richtigen Waren alles gehandelt, was man irgendwie über eine Telefonleitung verschicken kann. Bei den Tauschobjekten handelt es sich um Dateien, in der überwiegenden Mehrzahl um Musik, Videos oder Bilder.
11.1
Phänomen Tauschbörse – vom Geben und Nehmen
Die Idee ist simpel, verständlich und effektiv: Jeder Benutzer, der sich bei einer Tauschbörse einloggt, stellt Dateien auf seiner eigenen Festplatte zur Verfügung und erhält im Gegenzug Zugriff auf alle Dateien, die von den anderen eingeloggten Benutzern angeboten werden. Die Urheberrechtsfrage spielt dabei zunächst keine Rolle. Mit dem Erfolg von Napster wurden Tauschbörsen zum Massenphänomen und rüttelten auch die Industrie wach. Das Faszinierende ist, dass eine Datei beliebig oft ohne Qualitätsverlust kopiert werden kann und das Tauschnetz (Peer-to-Peer – P2P) ab einer gewissen Benutzerzahl durch das „Geben und Nehmen-Prinzip“ zu jedem Zeitpunkt aktuell und immer erreichbar ist. Wenn sich jemand ausloggt, kommt ein anderer wieder neu dazu. Die gleichzeitige Anwesenheit von mehreren Millionen Benutzern macht die Tauschbörsen zu einem sich ständig im Wandel befindlichen und dadurch hochaktuellen Archiv. Alle Kinofilme sind nach ihrer Veröffentlichung oder oft auch schon davor in vielen verschiedenen Sprachen oder mit Untertiteln in den Tauschbörsen und verbreiten sich entsprechend schnell. Ältere Schwarz-Weiß-Klassiker und digitalisierte Super8 oder
Workshop 11 – Sicher in Tauschbörsen
VHS-Filme finden sich ebenfalls in den auch Peer-to-Peer-Netzwerken genannten Börsen. Ganze TV-Serienklassiker mit Hunderten von Folgen können hier nach und nach aus dem Netz geladen werden. Die großen Medienanbieter und Verbände versuchen seit Jahren, dem Treiben einen Riegel vorzuschieben, stoßen aber an technische und rechtliche Grenzen. Kein Verband kann es sich leisten, Millionen Benutzer zu kriminalisieren und jeder Einzelfall vor Gericht würde durch den „David gegen Goliath-Effekt“ allenfalls Marketing-Schäden bei den Unternehmen durch die Solidarisierung der Massen hervorrufen. Vielfältige Methoden der Rechteverwaltung (Digital Rights Management - DRM) sind in der Planung und in Ihrem Windows XP Media Player bereits einsetzbar. Wenn Sie aber selbst mal auf die Suche gegangen sind, wird Ihnen schnell klar, dass der Tauschrausch der Film- und Musikfans trotz der rechtlichen Probleme ungebrochen ist. Das Prinzip der kostenlosen Tauschbörsen scheint sich nicht mehr aufhalten zu lassen.
11.2
Die Technik
Im Gegensatz zu den herkömmlichen Möglichkeiten, Dateien per E-Mail zu versenden, von FTP-Servern zu laden oder gar per CD zu verschicken, hatte Napster ein eigenes Clientprogramm mit einer benutzerfreundlichen Oberfläche, in der man nach bestimmten Titeln suchen konnte. Man unterscheidet bei der Verwaltung der Suchanfragen und der Vermittlung von Sucher und Anbieter zwei Prinzipien.
Zentraler Server Das Inhaltsverzeichnis wird zentral verwaltet und man kann sich dort ein- und ausloggen. Diese Methode hat den Vorteil, dass man durch die zentralen Dienste sehr schnell nach bestimmten Dateien suchen kann. Sie hat aber auch den Nachteil, dass es einen zentralen Ansprechpartner (den Betreiber des Servers) gibt, den man verklagen oder anders behindern kann. Napster war so konstruiert. Der Server stand in den USA und die Firma ist an dieser Hürde gescheitert. Die Nachfolger von Napster haben ihre Zentrale auf leerstehenden Bohrinseln oder einsamen Pazifikinseln. Kazaa beispielsweise hat seinen Firmensitz auf der Pazifikinsel Vanuatu und konnte bisher allen rechtlichen Verfahren ausweichen. Die grundsätzliche Problematik für den Betreiber bleibt allerdings bestehen.
Dezentrale Server Diese Variante orientiert sich am Internet, das ja ebenfalls eine Sammlung von dezentralen Servern darstellt. Jeder Benutzer (Client) kann prinzipiell über seine IP-Adresse auch Dienste anbieten und ein Teil des Inhaltsverzeichnisses sein (Server). Die Suche dauert bei dieser Architektur natürlich länger, weil man ja Tausende von kleinen Servern abfragen muss. Das Netz ist aber nicht mehr zerstörbar.
218
W E R K S TAT T
Protokolle und Clients
11.3
Protokolle und Clients
Unabhängig vom zugrunde liegenden Protokoll ähneln sich die Features der einzelnen Angebote: Downloads können von mehreren Servern gleichzeitig geholt werden (Multisource) und unterbrochene Downloads lassen sich an derselben Stelle fortsetzen (Resume). Unbeschädigte Dateien werden anhand von eindeutigen Zusatzinformationen identifiziert. Diese Werte erzeugen die jeweiligen Clients.
OpenNap-Protokoll Beim OpenNap-Protokoll übermittelt der Benutzer die Daten seiner Dateien an einen zentralen Server. Auf Anfrage eines anderen über den zentralen Server eingewählten Benutzers vermittelt dieser eine Verbindung zwischen den beiden Rechnern. Eine Direktverbindung zwischen den beiden beteiligten Rechnern kommt nicht zustande. Die OpenNap-Server schließen sich zu Server-Netzen mit relativ wenigen Servern zusammen und tauschen untereinander die Daten ihrer Nutzer aus, um eine Verbindung vermitteln zu können. Gängige Windows-Clients auf den Benutzerrechnern sind Napster, Napigator und WinMX.
Gnutella Das Gnutella-Protokoll funktioniert mit dezentralen Servern. Die Rechner, auf denen ein Gnutella-Client läuft, erkennen sich im Netz und schließen sich zu kleinen Gruppen zusammen. Die Gruppen sind wieder mit anderen Gruppen verbunden. Die Suchanfragen werden von Gruppe zu Gruppe weitergereicht. Die Firma Nullsoft hat dieses Protokoll ursprünglich entwickelt, aber die Weiterentwicklung in einem halbfertigen Zustand aufgegeben. Gnutella wird heute ständig von wechselnden Teams unter Mithilfe einer Mailingliste weiter betreut. Die bekanntesten Clients sind das plattformunabhängige Java-Programm Limewire, Bearshare und Shareaza. Die deutsche Niederlassung der Firma Ferrero hat die Musiktausch-Domain http:// www.gnutella.de übrigens über den Rechtsweg vom Web nehmen lassen wegen der Verwechslungsgefahr mit ihrem Produkt Nutella1.
FastTrack Das momentan wohl populärste Protokoll wurde von der Firma FastTrack, entwickelt und basiert auf einem zentralen Server. Der Vorteil bei diesem Protokoll ist die Möglichkeit, dass Sie eine Datei gleichzeitig in Fragmenten von mehreren verschiedene Stellen laden und auf dem heimischen PC zusammensetzen können. Dadurch war es bei seiner Einführung schneller als die anderen Protokolle. Durch die riesige Verbrei1.
http://www.disc4you.de/news/maerz2001/030101_09.html
W E R K S TAT T
219
Workshop 11 – Sicher in Tauschbörsen
tung findet sich hier momentan auch das größte Angebot an Musik. Gängige Clients sind KaZaA, KaZaA lite, DietKaZa und Grokster.
Audiogalaxy Audiogalaxy basiert auf einer zentralen Serververwaltung und einem bequemen Webinterface zur Auswahl der Dateien. Nach einer Auseinandersetzung und anschließenden Einigung mit der Recording Industry Association of America (RIAA) wurden sämtliche urheberrechtlich geschützte Aufnahmen gesperrt und das Schicksal von Napster wiederholte sich. Ein Relaunch als kostenpflichtiger Dienst ist geplant.
FreeNet Das FreeNet hat nichts mit dem gleichnamigen Internetprovider in Deutschland zu tun! Das Ziel von FreeNet ist die völlige Abschaffung von Urheberrechten und somit der freie unkontrollierte Zugang zu allen Daten im Internet. FreeNet-Client und -Server ist in diesem Fall ein Programm. Es ermöglicht durch die Benutzung von Verschlüsselungs- und Anonymisierungsmechanismen die freie und unzensierte Kommunikation der Benutzer untereinander. Wenn FreeNet hält, was seine Initiatoren versprechen, dann hat der Geist jetzt die Flasche verlassen und nichts und niemand wird ihn dorthin zurückbringen! Die FreeNet-Erfinder selbst haben keine Möglichkeit, Einfluss auf die Entwicklung ihres Netzes zu nehmen. Die Dateien breiten sich in Kopien durch ein zufälliges Routing über das Netz der Teilnehmer eigenständig aus. Dadurch existiert jede Information mehrfach und steht auch weiter zur Verfügung, wenn sie von einem einzelnen Server gelöscht wird. Der Zugriff auf Dateien erfolgt über Schlüssel, die jede Datei im Netz besitzt. Durch diese Schlüsselsuche ist es die Datei, die unabhängig von ihrem Speicherort angesprochen wird. Die Idee ist erheblich radikaler als bei allen anderen Protokollen. Es ist das einzige wirklich anonyme Modell in dieser Aufzählung und die Zukunft dieses Projekts wird Signalwirkung haben. Die Installation des FreeNet-Programms wird im Abschnitt 5 dieses Workshops beschrieben2.
eDonkey2000 eDonkey2000 benötigt ebenfalls keinen zentralen Server und basiert auf dem Multisource File Transfer Protocol (MFTP). Unterbrochene Downloads werden automatisch wieder aufgenommen. Es besteht sogar die Möglichkeit Sammlungen (Collections) verschiedener Dateien zu tauschen. So kann man sicher sein, ein kom2.
220
Information in Deutsch finden Sie unter http://home.t-online.de/home/juergen.brauer/freenet.htm
W E R K S TAT T
Protokolle und Clients
plettes CD-Album zu bekommen oder alle Teile eines Films. Jeder Teilnehmer des Netzwerks kann seinen Rechner je nach der zur Verfügung stehenden Bandbreite auch nebenbei als Server laufen lassen und von diesem Feature lebt das eDonkey-Netzwerk. Eine deutsche Anleitung dafür finden Sie unter http://www.esel2k.org/. In verschiedenen Websites finden sich so genannte Quicklinks3, mit denen die Dateien automatisch mit eDonkey geladen werden können. Das hat den Vorteil, dass man weiß, was man sich in welcher Qualität lädt und wie es mit der Verfügbarkeit des Files aussieht. Eines dieser Foren ist beispielsweise http://www.eselmovies.de/.
VORSICHT!
Denken Sie beim Aufruf dieser Seiten daran, dass sie unter Umständen mit verschiedensten Bannern und PopUps arbeiten, Sie auf Seiten gelockt werden, die nichts mit eDonkey zu tun haben und dass dort auch Inhalte angeboten werden, die nicht unbedingt jedermanns Sache sind. Betrachten Sie es einfach als Surf-Übung in der Wildnis - ein wenig abseits von Ebay, Amazon & Co.
Gängige Clients unter Windows sind eDonkey, mldonkey, eMule und Overnet.
Blubster Blubster ist ebenfalls ein dezentrales Protokoll und wurde vor kurzem um diverse Funktionen erweitert. Nach eigenen Angaben hat Blubster eine Nutzergemeinde von 50.000 Mitgliedern, die sich 1 Million MP3-Dateien teilen. Der Client unterstützt mehrere Sprachen und ermöglicht neben dem Resuming von angefangenen Downloads auch parallele Downloads von verschiedenen Servern (Abbildung 11.1). Der Client läuft stabil und ist einfach zu konfigurieren4.
4.
AUF DER
3.
CD-ROM
Den Blubster-Client finden Sie im entsprechenden Workshop-Verzeichnis auf der CD.
Ein Beispiel-Quicklink zum SpyBot-Programm über eDonkey ist ed2k://|file|spybotsd11.exe| 2430662|59a05d6e31dffd8c9823f018d68ace1d|/ http://www.blubster.com/ http://blubster-faq.de/
W E R K S TAT T
221
Workshop 11 – Sicher in Tauschbörsen
DirectConnect DirectConnect nutzt ein eigenes Protokoll und dezentrale Server. Jeder User mit entsprechender Bandbreite kann einen so genannten Hub eröffnen und Regeln für dessen Zugang festlegen. Diese Regeln betreffen in erster Linie die Größe des Tauschangebots, die Anzahl der zugelassenen Uploads oder die Bandbreite der Netzanbindung. Deswegen sollte man auch ein entsprechendes Angebot an tauschbaren Daten vorweisen können. Gängige Clients sind Neo-Modus, DCTC und DC++.
Abbildung 11.1: Blubster-Client
SoulSeek SoulSeek wurde nach dem Ende von Audiogalaxy von vielen Umsteigern für sich entdeckt. Es benötigt einen zentralen Server und bietet als Besonderheit eine Bedienungsoberfläche im Web, auf der man sich Dateien merken kann, die dann anschließend von SoulSeek-Client geladen werden5.
Filetopia Filetopia ist ein Client, der ganz im Zeichen der Sicherheit steht. Jede Kommunikation im Filetopia-Netz wird mit einem starken Code und öffentlichen Schlüsseln geschützt. Dazu wird eine spezielle Technik eingesetzt, um die jeweilige IP-Adresse der Nutzer zu verdecken. In diesem dezentralisierten Netz werden Dateien unabhängig von ihrer Dateiendung übertragen6. 5. 6.
222
http://www.slsk.org/ http://www.filetopia.de
W E R K S TAT T
Unverschlüsselte Tauschbörsen
11.4
Unverschlüsselte Tauschbörsen
Der größte Teil der Tauschbörsen arbeitet unverschlüsselt. Dadurch ist es prinzipiell möglich, dass Ihr Netzwerk abgehört wird und Ihre IP-Adresse bekannt wird.
11.5
Verschlüsselte Tauschbörsen
Um anonym im Internet Dateien tauschen zu können, ist die Auswahl an Programmen nicht so groß. Verschlüsselung bedeutet immer Arbeit und Konfiguration. Außerdem wird die Suche grundsätzlich komplizierter und langsamer, weil der Weg über einzelne Knotenpunkte geht. Im Filetopia-Netz tummeln sich immerhin 4.000 User und es ist möglich, mit ihnen über die Chat-Funktion Kontakt aufzunehmen. Ich zeige Ihnen hier zwei Installationsanleitungen, eine für den FreeNet Client/Server und eine für den Filetopia-Client.
Installation FreeNet Auf der Homepage des FreeNet-Projekts http://www.FreeNet.org finden Sie ein webbasiertes Installationsprogramm für Windows-Systeme.
AUF DER
1
CD-ROM
Die 55 Kbyte kleine Installationsdatei finden Sie auf der Buch-CD im entsprechenden Workshop-Verzeichnis.
Nach einem Doppelklick auf diese Datei wird der Installationsvorgang gestartet und die benötigten Dateien aus dem Netz geladen.
Abbildung 11.2: FreeNet Webinstall
2
Sie werden gefragt, ob Sie die Referenz-Node Datei downloaden wollen. Bei dieser Datei handelt es sich um die Verbindungsdaten von mindestens einem Server, um Kontakt mit dem FreeNet aufnehmen zu können. Wählen Sie Ja (Abbildung 11.2). Jetzt beginnt der eigentliche Installationsvorgang. Abhängig von Ihrem WindowsSystem wird jetzt ein Java-Programm über die Webstart-Technik installiert.
W E R K S TAT T
223
Workshop 11 – Sicher in Tauschbörsen
Abbildung 11.3: ZoneAlarm-Meldung bei der FreeNet-Installation
Abbildung 11.4: FreeNet Directory YoYo
224
3
Ihre Firewall müsste Sie mehrmals darauf aufmerksam machen, dass Programme wie FreeNet-webinstall.exe und javaw.exe Zugriff auf das Internet haben wollen (Abbildung 11.3). Sie können es den Programmen in diesem Fall erlauben.
4
Nach der Installation werden Sie gefragt, ob Sie FreeNet als Server installieren wollen und somit Teil des anonymen Netzes werden. Wenn Sie das wollen, so startet Ihr FreeNet-Server und die Aktivität wird durch einen kleinen Hasen im Tray angezeigt.
W E R K S TAT T
Verschlüsselte Tauschbörsen
5
In Ihrem Server öffnet sich jetzt die Einstiegsmaske mit den Informationen über Ihren FreeNet-Node. Sie befinden sich nun im anonymen FreeNet und können nach Informationen suchen. Zur besseren Übersicht gibt es ein Inhaltsverzeichnis namens YoYo (Abbildung 11.4).
Die Links zu den einzelnen Seiten sehen folgendermaßen aus: http://127.0.0.1:8888/SSK%40Fc6qV~D4iFhaY3rd6DtbgJ8MaEYPAgM/YoYo// Beim Aufruf einer Seite wird im FreeNet nach dieser Seite gesucht und eine verschlüsselte, abhörsichere Verbindung aufgebaut (Abbildung 11.5). Sie surfen über Ihren eigenen FreeNet-Server, dem die interne IP-Adresse 127.0.0.1 und der Port 8888 zugewiesen worden ist. Wo Sie die Seite jetzt wirklich abrufen, kann man nicht nachvollziehen.
Abbildung 11.5: Verschlüsselungsinformationen bei jedem Seitenaufruf
Abbildung 11.6: FreeNet Fehlermeldung
Wenn FreeNet keinen Node findet, der die Seite anbietet, so kommt es zu einer Fehlermeldung mit dem Hinweis, dass der Standard-Node, den Sie benutzen, zur Zeit sehr beschäftigt ist und die Möglichkeit besteht, durch Kontakt mit anderen Nutzern des FreeNets an weitere Node-Verbindungen zu kommen (Abbildung 11.6). Denken Sie daran, dass das System zwar anonym und verschlüsselt ist – in Ihrem Browser hinterlassen Sie allerdings Spuren im Cache, die Sie löschen sollten!
W E R K S TAT T
225
Workshop 11 – Sicher in Tauschbörsen
AUF DER
CD-ROM
Installation Filetopia
1
Laden Sie sich den aktuellen Client von der Seite http://www.filetopia.de herunter oder benutzen Sie die Version auf der Buch-CD.
Nach einem Doppelklick auf die Datei ftop3.exe beginnt die Installation, bei der Sie die vorgegebenen Masken quittieren können. Im Anschluss an die Installation startet der Client. Bei der ersten Anmeldung müssen Sie den Client konfigurieren. Wenn Sie noch keinen Usernamen haben, so müssen Sie sich jetzt einen reservieren (Abbildung 11.7).
Abbildung 11.7: Filetopia-Installation: 1. Schritt
2
226
Sie sind nun in der Filetopia-Oberfläche. Bevor Sie Dateien laden können, müssen Sie zunächst ein Verzeichnis auf Ihrem Rechner benennen, in dem Sie auch Dateien zur Verfügung stellen. Klicken Sie dazu auf Search (Abbildung 11.8) und in der Folgemaske auf get selected files.
W E R K S TAT T
Verschlüsselte Tauschbörsen
Abbildung 11.8: Filetopia-Client
3
Sie werden aufgefordert, ein Verzeichnis auf Ihrer Festplatte festzulegen, auf das die Benutzer zugreifen können. Denken Sie daran, dass alle Unterverzeichnisse dieses festgelegten Verzeichnisses ebenfalls freigegeben werden (Abbildung 11.9).
Abbildung 11.9: Filetopia – Freigegebene Verzeichnisse
4
Im nächsten Schritt werden Sie gefragt, in welchem Modus Sie das System betreiben wollen (Abbildung 11.10).
W E R K S TAT T
227
Workshop 11 – Sicher in Tauschbörsen
Abbildung 11.10: Filetopia-Installation: 3. Schritt
Free Share Mode Hier kann jeder beliebig tauschen und Sie können die eingebaute Suchmaschine benutzen, um auf anderen Rechnern von Benutzern, die ebenfalls eingeloggt sind, Dateien zu finden. Trade Mode Im Trade Mode schränkt man das Angebot auf bestimmte User ein und kann selbst nichts downloaden. Wählen Sie den Free Share Mode aus und klicken Sie auf Next. Sie sollten jetzt mit dem Dienst verbunden sein. Das Tool enthält außerdem ein verschlüsseltes Chat-System, einen Instant Messenger und eine Möglichkeit, E-Mails zu versenden. Alle diese Dienste sind verschlüsselt, funktionieren aber nur zwischen den Benutzern des Filetopia-Netzes.
228
W E R K S TAT T
Firewalls gezielt für P2P öffnen
Seien Sie in Tauschbörsen besonders vorsichtig. Sie bewegen sich in einem, auch rechtlich, sehr verminten Gelände und müssen dazu noch eine Tür zu Ihrem Computer öffnen. Wenn es irgendwie geht, richten Sie sich einen Extra-PC zum Surfen und Downloaden von Filmen und Musik ein, der nicht mit Ihrem Netzwerk verbunden ist. Im Falle eines Falles können Sie diesen PC schnell wieder neu aufsetzen und Datenspione haben keinen Zugriff auf wirklich geheime Daten.
Die Unkontrollierbarkeit ist bewusst so gewollt. Das FreeNet stellt eine neutrale Umgebung zur Verfügung. Über die Art der Nutzung entscheiden die Benutzer. Auch Sie können an der Nutzung dieser Idee Ihren Anteil haben. Seien Sie sich aber bitte klar darüber, in welcher Umgebung Sie verkehren. Im Guten, wie im Schlechten!
VORSICHT!
Protokolle wie FreeNet sind nicht mehr kontrollierbar, auch nicht von ihren Erfindern. Von ehrlichen Menschen, die idealistische Ziele verfolgen und geheim bleiben wollen, bis zu Kriminellen, die Kinderpornografie tauschen, treiben sich viele Menschen in diesem Netz herum.
Wenn Sie Online-Banking betreiben und private Dateien auf Ihrem Rechner lagern oder gar mit dem Firmen-Notebook zu Hause ins Netz gehen, sollten Sie sich damit nicht in File-Sharing Netzen rumtreiben!
11.6
Firewalls gezielt für P2P öffnen
Jetzt haben Sie bereits einen kurzen Überblick über die verschiedenen Tauschsysteme erhalten. Ein grundsätzliches Problem bei diesen Programmen ist, dass andere Rechner Zugriff auf Ihren Rechner haben müssen. Wenn Sie eine Firewall wie ZoneAlarm einsetzen, so müssen Sie dem entsprechenden Programm natürlich eine Freigabe erteilen, damit ein problemloser Zugriff stattfinden kann. Damit öffnen Sie Ihren Rechner natürlich auch prinzipiell für Viren, Trojaner und sonstige Angriffe.
11.7
Sandkastensysteme
Eine interessante Möglichkeit zum Schutz vor Datenspionen bieten so genannte Sandbox-Programme. Die Idee dahinter ist, dass man ein Programm in einer Art Sandkasten laufen lassen kann. Wenn das Programm ausgeführt wird, darf es alle Dinge tun, die im Sandkasten erlaubt sind. Es ist für das Programm aber nicht möglich, aus dem Sandkasten herauszukrabbeln und daher kann es nichts am System verändern. Prominenter Vertreter dieser Technologie sind beispielsweise Java Applets. Sie werden im
W E R K S TAT T
229
Workshop 11 – Sicher in Tauschbörsen
Browser mit genau definierten Regeln innerhalb einer Sandbox, nämlich der Java Virtual Machine (JVM) ausgeführt. Alle Java-Programme „leben“ in diesem Sandkasten. Damit ein Java-Programm auf einem Rechner funktioniert, muss man erst einmal den Sandkasten installieren (siehe JAP, Abschnitt 4 in Workshop 10). Für Tauschbörsenprogramme eignet sich das im Vergleich zur Firewall ZoneAlarm erheblich komplexere Firewall-System Tiny Personal Firewall 4.0. Es handelt sich hierbei um eine Firewall wie ZoneAlarm. Zusätzlich sind aber auch noch ein Cookie- und Cache-Management, sowie ein E-Mail- und ein Web-Filter eingebaut. Außerdem untersucht die so genannte Intrusion Detection Datenströme auf Hackversuche oder zerstörerische Inhalte. Sobald der digitale Wächter einen Einbruchsversuch erkennt, wird automatisch der Netzwerkverkehr mit dieser Quelle blockiert und der Angreifer an dem Zugriff auf das System gehindert. Darüber hinaus bietet sie eine Sandbox-Funktion, die Programme in einem geschützten Bereich startet, damit ein möglicher Virus oder Trojaner keinen Schaden anrichten kann.
Installation Tiny Personal Firewall 4.0 (Sandbox)
AUF DER
CD-ROM
Eine aktuelle Version des Programms können Sie sich von der Internettseite des Herstellers (http://www.tinysoftware.com/) herunterladen.
Oder benutzen Sie die Version auf der Buch-CD. Es handelt sich hierbei um eine auf 30 Tage begrenzte Demo.
Falls Sie die Firewall ZoneAlarm installiert haben, so deaktivieren Sie sie und löschen einen eventuellen Eintrag im Autostart-Ordner.
230
1
Nach einem Doppelklick auf die Datei tpf45.exe startet der Installationsdialog der Personal Firewall 4.0. Bestätigen Sie die Lizenzbedingungen und klicken Sie sich durch die Masken durch. Bei der Abfrage der Seriennummer lassen Sie das Feld leer und klicken auf Next. Nach der Installation durchsucht das Programm zunächst die lokalen Systemeinstellungen Ihres Rechners. Dieser Vorgang kann ein paar Minuten dauern. Nach dem Scan werden Sie aufgefordert, den Rechner neu zu starten
2
Im Tray befindet sich nun ein neues Symbol (ein gelbes Wappen) und auf dem Bildschirm erscheint der Activity Monitor (Abbildung 11.11).
W E R K S TAT T
Sandkastensysteme
Abbildung 11.11: Personal Firewall – Activity Monitor
Wie bei ZoneAlarm werden die Netzzugriffe der verschiedenen Programme geloggt und bei unbekannten Programmen fragt die Firewall, wie sie sich verhalten soll.
Abbildung 11.12: Personal Firewall – Admin Tool
3
Klicken Sie jetzt mit der rechten Maustaste auf das gelbe Wappen im Tray und aktivieren Sie das Admin Tool (Abbildung 11.12). Hier können Sie für jedes ausführbare Programm auf Ihrem Rechner bestimmen, was es darf. Bekannte Programme hat die Personal Firewall bereits beim Systemscan für Sie eingetragen. Sie können hier beispielsweise festlegen, dass das Programm Outlook Express (msimn.exe) unter keinen Unterständen Services (Dienste) auf diesem Rechner starten oder verändern darf. Ein Service ist beispielsweise der Remote Procedure Call–Dienst (RPC). Mit diesem Dienst lassen sich von fremden Rechnern lokale Komponenten auf Ihrem Rechner starten. Eine Übersicht über die laufenden Dienste auf Ihrem Rechner finden Sie unter Start/Systemsteuerung/Verwaltung/Dienste.
W E R K S TAT T
231
Workshop 11 – Sicher in Tauschbörsen
4
Sie können nun für viele sicherheitsrelevante Dinge wie die Registry oder OLEFunktionen Zugriffe für einzelne Programme erlauben oder verbieten.
Darüber hinaus existiert noch ein Zonenmodell, ähnlich dem des Internet Explorers. Sie können Gruppen mit bestimmten Rechten festlegen und einzelne ausführbare Dateien dort zuweisen.
Abbildung 11.13: Personal Firewall – Unbekannte Anwendung
Die Bedienung erfolgt ausgesprochen komfortabel. Wenn Sie ein Programm aufrufen, das bestimmte Rechte auf Ihrem Computer begehrt, so fragt die Personal Firewall, in welche Gruppe Sie dieses Programm einordnen oder ob Sie eine neue Gruppe erstellen wollen. Wenn Sie sich unsicher sind, können Sie die Ausführung des Programms auch verbieten. Gerade beim Thema Tauschbörsen hat man es oft mit Spy- und Adware zu tun und man weiß nicht recht, was man sich installiert. Wenn Sie ein Programm installieren wollen, das neu auf Ihrem Rechner ist, springt sofort die Firewall an und fragt nach. Ich versuche hier beispielsweise den File-Sharing-Client Blubster zu installieren und erhalte die Meldung, dass das Installationsprogramm etwas Verbotenes tun will (Abbildung 11.13). Es gibt bereits vordefinierte Gruppen, wie Installation Applications, in die ich in diesem Fall das Programm einordne. Bei der Installation sind die Rechte natürlich sehr weitgehend, aber wenn nun separate Spyware installiert wird, die automatisch ausgeführt werden soll, so muss die Spyware irgendwann das erste Mal gestartet werden, und dann können Sie gezielt darauf reagieren.
232
W E R K S TAT T
Workshop 12 Sicher drahtlos kommunizieren Drahtlose Kommunikation ist „in“, technisch möglich und so langsam auch preisgünstig für Privatleute zu haben. In Unternehmen ist drahtlose Verbindungstechnik ebenfalls ein großes Thema, ermöglicht sie doch einen einfachen Zugang zum Firmennetz und dadurch eine komfortablere Nutzung der vorhandenen Ressourcen. Gerade in Konferenzräumen oder Kommunikationszonen kann diese bequeme Möglichkeit des Zugriffs Synergieeffekte und kreativen Umgang mit der Technik fördern. Dieser große Vorteil ist auch der größte Nachteil dieser Technik. Jeder PC, der im Empfangsbereich eines drahtlosen Netzes ist, kann den gesamten Netzverkehr abhören und sich unter Umständen auch einloggen und dadurch Zugriff auf Daten haben. Im Unternehmensumfeld wäre es fatal, wenn man in der Wartezone des Einkaufs den Außendienstmitarbeitern der Lieferanten eine solche Möglichkeit in die Hand geben würde. Somit ist die größte Herausforderung bei drahtlosen Netzen die Sicherheit. Gerade mit der Sicherheit ist es bei drahtlosen Lösungen nicht immer ganz so weit her. Nach einer Studie über drahtlose Netze von Ernst&Young vom April 2003 verschlüsseln 15 % der Unternehmen ihren Netzwerkverkehr nicht und etwa 40 % verlassen sich auf die ins Gerede gekommene unsichere Wired Equivalent Privacy (WEP)-Verschlüsselung. Das heißt, mehr als die Hälfte der professionellen drahtlosen Netzwerke sind praktisch so konfiguriert, als wenn man am Eingangstor der Firma einen öffentlichen Netzzugang installiert hätte mit dem Hinweisschild „Netzzugang zu unserer Firma – bitte schließen Sie Ihr Notebook hier an“. Im Privatbereich gibt es kaum Umfragen über das Sicherheitsverhalten. Ich vermute jedoch, dass die Menge der ungesicherten drahtlosen Netze erheblich höher ist als im Unternehmensumfeld. In privaten Haushalten geht es beim Thema drahtlose Kommunikation meist um einen gemeinsamen Zugang zum Internet oder einen zentralen Server, der von allen vorhandenen Familienmitgliedern über deren PC benutzt wer-
Workshop 12 – Sicher drahtlos kommunizieren
den kann, um beispielsweise MP3-Dateien zu hören oder einfach Dokumente zu speichern und zu tauschen. Meist existiert noch ein Notebook und was ist schöner, als im Sommer im Garten zu sitzen und seine Arbeit zu erledigen oder im Internet zu surfen. Mobile Telefone, Personal Digital Assistants (PDAs) und Computer wachsen ebenfalls immer mehr zusammen, so dass ständig ein Synchronisierungsbedarf bei Terminen, Adressen und Telefonnummern vorhanden ist. Prinzipiell gibt es für die drahtlose Übermittlung von Daten zwei Verfahren, die das Rennen gemacht haben: ■ Wireless Local Area Network (WLAN) nach dem Standard IEEE 802.11.b (WiFi) und ■ Bluetooth nach dem Standard IEEE 802.15.1. Ein dritter Kandidat steht seit längerem in den Startlöchern und heißt UMTS. UMTS ist das neueste Mobilfunk-System und soll eine flächendeckende drahtlose Datenübertragung mit Geschwindigkeiten von 128 Kbps (doppeltes ISDN) bis 2 Mbps zur Verfügung stellen. UMTS wird in den nächsten Jahren populär werden. Momentan ist das Problem die teure Errichtung von flächendeckender Infrastruktur zum Empfang der UMTS-Daten. Es müssen in allen Ländern, die UMTS anbieten wollen, spezielle Antennen aufgestellt werden. Das braucht Zeit und kostet Geld. WLAN und Bluetooth dagegen stellen Inseln dar, die momentan atemberaubende Wachstumsraten haben und den Einsatz von UMTS weiter verzögern könnten. Aber der Reihe nach!
12.1
Was ist Bluetooth?
Bluetooth soll stationäre mit mobilen Geräten verbinden. In der Standardversion hat Bluetooth eine Reichweite von etwa 10 Metern und eine Datenübertragungsgeschwindigkeit von 1 Mbps. Es benötigt wenig Strom und eignet sich daher vor allem für kleinere, mobile Endgeräte wie beispielsweise eine Freisprecheinrichtung zum Handy. Genau diese Geräte sind auch die eigentliche Zielgruppe für Bluetooth. Das lästige Kabelgewirr soll beseitigt werden und Mäuse, Drucker, Tastaturen, Modems und ähnliche Geräte können kabellos interagieren. Das Interessante dabei ist die Funkverbindung. Im Gegensatz zur bisher verbreiteten Infrarot-Verbindung benötigt Bluetooth keinen Sichtkontakt zwischen den Geräten. Die klassische Fernsehfernbedienung wird wohl bald mit Bluetooth funktionieren. Auch Fahrkarten-, Parkhaus- und sonstige Automaten werden per Bluetooth mit dem Handy kommunizieren und über die Telefonrechnung abgerechnet werden. Praktisch ist auch der Austausch von Visitenkarten per Funk oder die Ansteuerung eines Beamers in einem Schulungsraum. Innerhalb von Autos kann Bluetooth viele Geräte miteinander verbinden und beginnt sich gerade zu etablieren. Man kann sagen, dass Bluetooth ein Kompromiss aus Reichweite, Datenübertragungsrate und Stromverbrauch ist.
234
W E R K S TAT T
Bluetooth und Windows XP
Die Entwicklung von Bluetooth begann 1984. Erst im April 2002 wurde es in den USA als IEEE-Standard 802.15.1 verabschiedet. Es arbeitet im lizenzfreien 2.4 Ghz-Funkband, in dem jedermann, in gewissen Grenzen, funken kann, soviel er will. Abhängig vom Land gibt es verschiedene Einschränkungen in der Anzahl der möglichen Kanäle. In Frankreich, Japan und Spanien sind beispielsweise weniger Kanäle verfügbar als in anderen Ländern.
12.2
Bluetooth und Windows XP
Um die Funktionalität von Bluetooth unter Windows XP benutzen zu können, benötigen Sie einen entsprechenden USB-Adapter. Microsoft selbst bietet beispielsweise eine Bluetooth-Maus inklusive USB-Adapter an. Mit diesem USB-Adapter ist es möglich, zu beliebigen Bluetooth-Geräten Kontakt aufzunehmen.
12.3
Bluetooth sicher konfigurieren
Bluetooth unterstützt von Haus aus vier verschiedene Sicherungssystematiken, die kombiniert die Kommunikation über dieses Protokoll sehr sicher machen können. ■ Eine eindeutige Adresse: Alle Bluetooth-Geräte haben eine eigene Adresse. Sie hat eine Größe von 48 Bit und ermöglicht eine maximale Gerätemenge von knapp 300 Billionen Geräten auf der Welt. ■ Ein privater Schlüssel für die Datenverschlüsselung: Daten können abhängig von den Benutzereinstellungen mit Schlüssellängen von 8 – 128 Bit verschlüsselt werden. ■ Ein privater Schlüssel für Authentifizierung: Eine Authentifizierung (wer spricht mit mir?) ist ebenfalls mit einem 128 BitSchlüssel möglich. ■ Ein Zufallszahlengenerator für die Schlüsselverteilung.
Sicherheitseinstellungen Die einzelnen Bluetooth-Systeme bieten im Allgemeinen die Möglichkeit, die folgenden Sicherheitseinstellungen ein- oder auszuschalten: ■ Bluetooth-Modus: Durch das bewusste Ein- und Ausschalten der Betriebsart an sich steht Bluetooth nur bei Bedarf zur Verfügung. Gerade bei mobilen Geräten spart das Ausschalten des Bluetooth-Modus natürlich Strom und erhöht somit die Verfügbarkeit.
W E R K S TAT T
235
Workshop 12 – Sicher drahtlos kommunizieren
■ Erkennungsservice (Non-Discoverable Mode): Ihr Gerät macht von sich aus keinerlei Anstalten, sich bei anderen Bluetooth-Geräten anzumelden. Wenn es gezielt von anderen angesprochen wird, gibt es sich jedoch zu erkennen. Das Gegenteil ist der Discoverable Mode. Hier antwortet Ihr Gerät auf alle Anfragen. ■ Authentifizierung (Mit wem spreche ich?): Hier stellt Ihr Gerät fest, mit wem es eigentlich spricht. Beide Partner müssen im Besitz eines beiden bekannten geheimen Schlüssels (PIN) sein. Diese PIN ist bei manchen Geräten fest vergeben, bei anderen durch den Benutzer änderbar. ■ Autorisierung: Nach einer erfolgreichen Authentifizierung stellt sich die Frage: „Was darf der gerade erkannte Partner auf meinen Gerät tun?“. Hier gibt es verschiedene herstellerabhängige Szenarien. Wenn ein Gerät als vertrauenswürdig (autorisiert) eingestuft worden ist, erfolgt die weitere Kommunikation ebenfalls verschlüsselt. ■ Encryption: Die Datenverschlüsselung ist ebenfalls ein- und ausschaltbar.
Sicherheitsprofile Außer den genannten Einzelmaßnahmen gibt es auch drei vordefinierte Sicherheitsmodi: ■ Security Mode 1 (unsicher): Ihr Gerät hat alle Sicherheitsfeatures ausgeschaltet, reagiert aber auf Authentifizierungsanfragen von anderen Geräten. ■ Security Mode 2: Abhängig davon, ob es sich um ein vertrauenswürdiges (trusted) oder nicht vertrauenswürdiges (non-trusted) Gerät handelt, werden die Sicherheitsmaßnahmen auf Anwendungsebene festgelegt. ■ Security Mode 3: Es wird grundsätzlich authentifiziert, eine Verschlüsselung ist optional zuschaltbar.
Schwachpunkte ■ Gerade die hohe Mobilität erweist sich wieder als Problem. Bei fehlender Verschlüsselung können die Nutzdaten selbst im Non-Discoverable Mode mitgelesen werden. Durch die Verwendung von Richtantennen ist das auch aus größerer Entfernung möglich. Die eindeutige Geräteadresse erlaubt die Erstellung von Bewegungsprofilen. Die Authentifikation bezieht sich auf das Gerät. Wenn es gestohlen wird, so verfügt der Dieb über dieselben Berechtigungen wie Sie!
Tipps zur Sicherheit ■ Schränken Sie Ihr Gerät möglichst auf die von Ihnen wirklich gewünschten und benutzten Dienste ein. ■ Wählen Sie eine möglichst lange und zufällige PIN aus.
236
W E R K S TAT T
Was ist ein WLAN?
■ Wenn Sie Authentifizierung einsetzen, so benutzen Sie anschließend auch Verschlüsselung. Wählen Sie die Schlüssellänge so lang wie möglich. ■ Wenn es das Gerät zulässt, benutzen Sie nicht den Sicherheitsmodus 1. ■ Löschen Sie bei Verlust oder Diebstahl alle zugehörigen Schlüssel in den verbliebenen Geräten.
12.4
Was ist ein WLAN?
Unter einem Wireless Local Area Network (WLAN) versteht man zunächst einmal dasselbe wie unter einem normalen LAN. Mehrere PCs werden vernetzt, um miteinander zu kommunizieren oder Dienste anzubieten. Das Besondere beim WLAN ist das Fehlen von Kabeln. Die Übertragung der Daten findet per Funk, meistens nach dem mittlerweile sehr weit verbreiteten Standard IEEE 802.11.b, statt. Die Funkwellen werden wie bei Bluetooth über das 2,4 Ghz-Band versendet. Die Übertragungsgeschwindigkeit ist meist 11 Mbps. Dieser Standard ähnelt dem Ethernet Standard und somit ist er zu allen gängigen Netzwerkprotokollen kompatibel. Innerhalb von Gebäuden beträgt die Reichweite 10 – 30 Meter, außerhalb bei freier Sicht bis zu 300 Meter. Der WLAN-Standard IEEE 802.11 wird wegen des überragenden kommerziellen Erfolges ständig weiterentwickelt und so ist in näherer Zukunft auch mit höheren Datenraten und größerer Reichweite zu rechnen. Sie können heute bereits 54 Mbps-Systeme zu attraktiven Preisen erwerben. Um schnellere Übertragungsraten zu realisieren, wird auch das 5 Ghz-Band benutzt (Tabelle „Übersicht über die WLAN-Standards“). Damit ein PC in der Lage ist, per Funk Daten auszutauschen, benötigt er eine entsprechende WLAN-Karte. WLAN-Karten gibt es als klassische Steckkarten für stationäre PCs, als PCMCIA-Karten für Notebooks und als USB-Adapter. Der Standard IEEE 802.11.b wird von den Karten-Herstellern auch als WiFi (= Wireless Fidelity) vermarktet. Alle WiFi kompatiblen Karten können miteinander kommunizieren. IEEE-Standard
Übertragungsgeschwindigkeit
Frequenz
802.11
2 Mbps
2,4 Ghz
802.11a
54 Mbps
5 Ghz
802.11b
11 Mbps
2,4 Ghz
802.11b+
22 Mbps
2,4 Ghz
802.11g
54 Mbps
2,4 Ghz
802.11h
54 Mbps
5 Ghz
802.11n
> 100 Mbps
Noch offen
Übersicht über die WLAN-Standards
W E R K S TAT T
237
Workshop 12 – Sicher drahtlos kommunizieren
12.5
WLAN-Architekturen
Bei der Übertragung der WLANs unterscheidet man zwischen zwei grundlegenden Architekturen.
Ad-hoc-Modus In dieser WLAN-Architektur werden die vernetzten Geräte direkt miteinander verbunden. Man kann also beispielsweise zwei Notebooks mit WLAN-Karte zu einem Netz zusammenschließen. Diese Funktionalität ist praktisch bei einem Treffen oder im privaten Bereich. Außer der Bezeichnung „Ad-hoc“ ist auch der Name „Peer-toPeer“ gebräuchlich.
Infrastruktur-Modus In dieser WLAN-Architektur wird ein so genannter Access-Point benutzt. Der AccessPoint fungiert als Funkbrücke im Netz und stellt auch die Verbindung zum kabelgebundenen Netzwerksegment her. Innerhalb des Infrastruktur-Modus können folgende Varianten realisiert werden. ■ Koppelung von mehreren Access-Points:. Durch die Koppelung können sich überlappende Funkzellen aufgebaut werden, die dann das freie Bewegen zwischen den Funkzellen (roaming) erlauben. Das heißt, man kann sich mit seinem Notebook von einer zur nächsten Funkzelle bewegen, ohne dass die Verbindung abbricht. Mit dieser Variante kann man ganze Häuser oder Firmengelände mit einem WLAN überziehen. ■ Access-Point als Brücke: Zwei Access-Points können als Brücke zwischen zwei kabelgebundenen Netzen eingesetzt werden. ■ Vernetzung zweier entfernter Immobilien: Mit der Verwendung von Richtantennen ist es möglich, ein WLAN über mehrere Kilometer auszudehnen, beispielsweise zwischen einem Studentenwohnheim und der Uni. Die Verbindung überbrückt unter idealen Bedingungen durchaus 5 Kilometer.
12.6
Weitere Konfigurationseinstellungen
Service Set Identifier (SSID) Unter einem SSID versteht man den Namen des WLANs. In Windows XP wird daher auch der SSID als Netzwerkname bezeichnet. Der SSID wird vom Access-Point wie ein
238
W E R K S TAT T
Weitere Konfigurationseinstellungen
Leuchtfeuer regelmäßig gesendet. Der Client bemerkt dann dieses Netz und kann versuchen, Kontakt aufzunehmen.
Kanal Ein WLAN funkt auf einem bestimmten Kanal. Im Standard IEEE 802.11.b sind 14 Kanäle für die Übertragung vorgesehen. Abhängig vom Land, in dem Ihr WLAN steht, sind allerdings nicht alle Kanäle verfügbar. In Deutschland können Sie die Kanäle 1-13 benutzen. Wenn Sie gleichzeitig mehrere WLANs verwenden, müssen Sie darauf achten, dass verschiedene Kanäle benutzt werden. Der Abstand zwischen verschiedenen WLANs sollte mindestens 3 Kanäle betragen, um Interferenzen zu vermeiden.
Verschlüsselung Im IEEE 802.11.b ist ein Verschlüsselungsverfahren enthalten. Das Wireless Equivalent Privacy Verfahren (WEP) soll es ermöglichen, Daten zu verschlüsseln und somit unlesbar für Dritte zu machen. WEP kann bis zu vier verschiedene Schlüssel verwalten, die allen Beteiligten am WLAN bekannt sein müssen. Verschlüsselt wird nach dem RC4-Algorithmus. Dieses Prinzip soll sicherstellen, dass die Daten, die durch die Luft übertragen werden, für Dritte nicht lesbar sind. Im August 2001 wurde ein Artikel veröffentlicht, in dem bewiesen wurde, dass WEP in relativ kurzer Zeit (eine halbe Stunde) zu knacken sei. Kurz darauf erschienen die ersten Tools im Internet, die das Überwinden von WEP erheblich vereinfachten und damit war das Schlimmste passiert, was die WLAN Sicherheit anbelangt. Dieser Schock versetzte den Absatzzahlen von WLANs zunächst mal einen Dämpfer. Die größte Schwäche an WEP ist die Abhängigkeit von einem Schlüssel, den alle beteiligten PC kennen müssen. Dieser eine Schlüssel besteht zwar unter Umständen aus vier Schlüsseln, ist aber in seiner Gesamtheit immer nur einer. Wenn viele Leute von einem Geheimnis wissen, ist es nicht mehr lange ein Geheimnis. Wenn durch Reparaturen an Geräten oder Ausscheiden von Mitarbeitern die Schlüssel Dritten bekannt sind, müsste der Administrator normalerweise alle Schlüssel wechseln. Das ist aber nur sehr aufwändig zu realisieren, indem man in allen Komponenten diesen Schlüssel ändert. In einem größeren WLAN ist eine solche Aktion fast hoffnungslos. Zudem kam noch hinzu, dass der RC4-Algorithmus ebenfalls Schwachstellen besitzt und die standardmäßige Schlüssellänge von 40 Bit bzw. 104 Bit mittlerweile einfach zu kurz ist. Schlimmer hätte es eigentlich nicht mehr kommen können, doch die Hersteller reagierten schnell mit proprietären Standards, die die Sicherheit wieder herstellten. Die neuen Ideen hatten zur Folge, dass sie weitgehend inkompatibel mit denen anderer Hersteller waren und somit entscheidende Vorteile, wie das Roaming zwischen den Access-Points oder die Möglichkeit der freien Protokollwahl im WLAN, auf der Strecke blieben.
W E R K S TAT T
239
Workshop 12 – Sicher drahtlos kommunizieren
Meistens stieg auch der Administrationsaufwand, die Datenübertragungsrate sank und man war abhängig von einem Hersteller. Seitdem gibt es einen ganzen Zoo an verschiedenen Protokollen, Ansätzen, Lösungen, Ideen, sowie ein neues Hobby für Cracker – WarDriving. Die ursprüngliche Idee eines sauberen einfachen Standards ist jedoch leider dabei auf der Strecke geblieben.
PROFITIPP
Was ist WarDriving? Die ständige Verfügbarkeit von offenen WLANs hat dazu geführt, dass es bei einer gewissen Gruppe von Menschen zu einer Freizeitbeschäftigung geworden ist, mit dem Auto durch die Gegend zu fahren und WLANs zu suchen, zu nutzen und je nach krimineller Energie auszuspähen oder zu knacken. Die besten Orte werden mit GPS-Positionsadressen im Internet gelistet und mit einem Spannungswandler von 12 auf 220 Volt im Auto kann man mit einem handelsüblichen Notebook viel Spaß für wenig Geld haben!
WEP2 WEP2 ist eine Weiterentwicklung und führt einen so genannten Session-Schlüssel mit periodischen Updates ein. Außerdem ist der Initialisierungsschlüssel mindestens 128 Bit groß. WEP2 befindet sich im IEEE 802.11e Standard.
WEP2002 WEP2002 nimmt einen harten Schnitt vor. Der RC4-Algorithmus soll durch die sicherere Variante Advanced Encryption Standard (AES) ersetzt werden. Dadurch wird es zur alten Hardware inkompatibel. Hier befinden wir uns im Standard IEEE 802.11.i.
12.7
WLAN und Windows XP
Die Unterstützung von WLAN ist in Windows XP durch einen eigenen Manager realisiert. Er erlaubt die Pflege der Informationen über erreichbare WLANs und kann auch die Reihenfolge der Kontaktaufnahme beeinflussen. Da bei jeder WLAN-Karte ein Treiber des Herstellers dabei ist, werden Sie meist eine Mischung aus Windows XP eigenen und herstellerspezifischen Treibern benutzen. Damit Windows XP ein drahtloses Netz überhaupt bemerkt, muss es entweder den Service Set Identifier (SSID) eines bestimmten WLANs kennen oder nach jedem verfügbaren WLAN suchen (ANY).
240
W E R K S TAT T
WLANs sicher konfigurieren
12.8
WLANs sicher konfigurieren
Wie deutlich hervorgegangen sein sollte, ist die Sicherheit im WLAN-Bereich ein ernsthaftes Problem. Bevor man aber nun traurig sein neues Equipment wieder umtauscht, sollte man sich Gedanken über seine Gegner machen. Ist es überhaupt realistisch, dass sich jemand die Mühe macht, Ihren Netzwerkverkehr zu sammeln, um das Netz zu knacken oder Sie auszuspähen? Das können nur Sie selbst beurteilen! Ein paar Tipps sollten Sie mindestens beherzigen: ■ In den meistens Access-Points können Sie heute nur bestimmte MAC-Adressen (MAC-Filterung) zulassen. Eine MAC-Adresse ist eine eindeutige Ziffernkombination, die jede Netzwerkkarte identifizieren kann und in einer Liste nur bestimmten Netzwerkkarten den Zugang erlaubt. Es ist also eine gute Idee, dieses Feature zu benutzen. Manche Hersteller bieten eigene Authentifizierungsverfahren, die die Sicherheit erheblich erhöhen. ■ Die SSID ist meistens mit einem Standard vorbelegt. Vermeiden Sie Namen wie WLAN, Wireless, Apple Network oder ähnliche Defaultwerte. ■ Sie können Ihren Access-Point so konfigurieren, dass er keine SSID Leuchtfeuer nach außen gibt. ■ Positionieren Sie den Access-Point so, dass möglichst kein Empfang außerhalb Ihres Hauses oder Gartens möglich ist. ■ Achten Sie darauf, dass kein Dritter physisch an den Access-Point herankommt. ■ Auch das Admin-Programm für einen Access-Point ist mit einem Standard-Passwort geschützt. Oft funktioniert die Konfiguration sehr bequem über einen Webbrowser. Achten Sie auch hier auf eigene, möglichst sichere Passwörter. ■ Benutzen Sie die WEP-Verschlüsselung trotz aller Sicherheitsprobleme und ändern Sie regelmäßig Ihre Schlüssel. ■ Ja, ich weiß, dass man das alles überwinden kann! ■ Ja, ich weiß, dass es nicht sicher ist! Aber es ist besser, als die Daten ungesichert zu übertragen und der Gelegenheitscracker wird sicherlich vor größeren Problemen stehen. Wer Ihren Netzwerkverkehr ernsthaft abhören will, wird es in den gängigen WLAN-Archituren auch schaffen. Man kann übrigens das WLAN auch ausschalten (Netzstecker vom Access-Point ziehen), wenn man es nicht benötigt!
W E R K S TAT T
241
Workshop 12 – Sicher drahtlos kommunizieren
12.9
Wie bekomme ich ein WLAN denn nun wirklich sicher?
Nun haben wir gerade zur Kenntnis genommen, dass ein WLAN vom Prinzip her unsicher ist. Kann man es denn wirklich sicherer machen?
Virtual Private Network (VPN) Unter einem virtuellen privaten Netzwerk versteht man eine Verschlüsselung von einem Ende der Kommunikation zum anderen. Soll heißen, ähnlich wie bei PGP wird mit öffentlichen und privaten Schlüsseln gearbeitet. Man gräbt gewissermaßen einen Tunnel durch ein unsicheres Gebiet, nämlich das Internet. Hierbei gibt es beispielsweise die Möglichkeit, das Point-to-Point-Tunneling Protocol (PPTP), das die Daten im Klartext überträgt, mit dem Internet Protocol Security (IPSec) zu kombinieren. Für diese Kombination existieren mittlerweile bezahlbare Produkte, die einen VPN-Server und eine Client-Software beinhalten und auch für den Laien konfigurierbar sind. Internet Protocol Security (IPSec) IPSec fasst viele Standards der Internet Engineering Task Force (IETF) zusammen, um eine sichere Netzwerkkommunikation zu gewährleisten. Dazu beschreibt IPSec Datenformate zur Verschlüsselung und Authentisierung von IP-Paketen, sowie das Schlüsselmanagement. Durch IPSec ist es möglich, teure Standleitungen, die von einem Punkt eines Unternehmens zu einem anderen Punkt geschaltet wurden, durch normale Internetverbindungen zu ersetzen und somit Kosten zu sparen. Daher erfährt IPSec rege Unterstützung von vielen Seiten. Im normalen Internet Protokoll (IP) können ■ Absenderangaben gefälscht werden, ■ die Nutzdaten eines IP-Paketes verändert werden, ■ alte Pakete erneut geschickt werden sowie ■ IP-Pakete kopiert, gelesen und an einen anderen Empfänger umgeleitet werden Um all diese Probleme zu beheben, setzt IPSec auf eine Public-Key-Umgebung. Um IPSec benutzen zu können, bedarf es eines höheren Administrationsaufwands und zusätzlicher Software. In Windows XP ist die IPSec Unterstützung bereits eingebaut. Über die Microsoft Management Konsole können Sie die einzelnen IPSec-Komponenten konfigurieren und Sicherheitsrichtlinien festlegen (siehe Abbildung 12.1). Die Management Konsole er-
242
W E R K S TAT T
Wie bekomme ich ein WLAN denn nun wirklich sicher?
reichen Sie über Start-Ausführen mmc. In der Hilfe in Windows XP finden Sie eine ausführliche Einführung in dieses Thema (Abbildung 12.2).
Abbildung 12.1: Management Konsole mit IP-Verwaltung
Abbildung 12.2: Hilfebereich unter Windows XP für IPSec
W E R K S TAT T
243
Workshop 12 – Sicher drahtlos kommunizieren
Point-to-Point-Tunneling Protocol (PPTP) Mit diesem, ursprünglich von Microsoft und anderen Herstellern entwickelten, Protokoll können auch andere Netzwerk-Protokolle wie IPX oder NetBEUI getunnelt werden. Das Protokoll allein stellt noch keinen Sicherheitsgewinn dar, da alle Daten im Klartext übertragen werden. Es stellt aber eine mögliche Basis für die IPSec-Verschlüsselung dar.
12.10 Beispiel für ein WLAN Um Ihnen ein konkretes Beispiel zu zeigen, beschreibe ich hier eine Installation für ein kleines, durchaus nicht untypisches WLAN. In einem Einfamilienhaus steht im Keller ein Server. Auf diesem Server liegen gemeinsam genutzte Dateien. Außerdem ist hier der gemeinsame Internetzugang über einen Linux-Proxy-Server konfiguriert. Der WLAN Access-Point hängt im Erdgeschoss und ist mit dem Server durch ein Kabel verbunden. Er deckt den größten Teil des Hauses und die Terrasse ab. Es existieren zwei Notebooks, die per WLAN-Karte Anschluss an dieses Netz finden. Alle Bauteile sind von verschiedenen Herstellern, entsprechen der WiFi-Norm und verstehen sich problemlos untereinander.
Konfiguration Eine genaue Beschreibung der Konfiguration macht wegen der vielen verschiedenen Bauteile keinen Sinn, ich möchte Ihnen aber einen Überblick über die einzelnen Module geben. Access-Point Der Access-Point ist ein low-cost Modell aus dem PC-Shop und hat ein Konfigurationsprogramm, das auf einer Arbeitsstation installiert sein muss. Darüber hinaus bietet er die Möglichkeit, sich per Browser von einer beliebigen Arbeitsstation im Netz konfigurieren zu lassen. Diese Option sollten Sie deaktivieren. Um Zugriff zum AccessPoint zu erhalten, müssen Sie das bei der Ersteinrichtung hoffentlich geänderte Passwort eingeben. Die Abbildung 12.3 zeigt den Teil der Konfiguration, bei dem die WEPSchlüssel vergeben werden. Hier sollten Sie sich vier Schlüssel im 128 Bit-Format ausdenken, die entweder aus 13 Zeichen in ASCII-Schreibweise (normaler Zeichensatz) oder aus 26 Zeichen in Hexadezimalschreibweise (0-9, a-z) bestehen müssen. Alle angeschlossenen Stationen müssen diese Schlüssel kennen und können dann zwischen ihnen wechseln. Die Übertragungsgeschwindigkeit von theoretisch 11 Mbps sinkt bei dieser Maßnahme teilweise dramatisch ab, reicht zum Surfen und Zugriff auf normale Dokumente aber immer noch aus. Probieren Sie es einfach aus.
244
W E R K S TAT T
Beispiel für ein WLAN
Zusätzlich ist der Access-Point so konfiguriert, dass er keine SSID sendet, und es existiert eine Liste mit den zwei MAC-Adressen der Notebook-WLAN-Karten, um einen Zugriff von anderen Rechnern zu erschweren.
Abbildung 12.3: Access-Point
Notebook 1 Das erste Notebook hat eine handelsübliche WLAN-Karte und läuft noch unter Windows 98. Über das Konfigurations-Tool (Abbildung 12.4) wird das WLAN erkannt und nach Eingabe der WEP-Schlüssel erhält man auch Zugriff.
Abbildung 12.4: Notebook 1
W E R K S TAT T
245
Workshop 12 – Sicher drahtlos kommunizieren
Bei dieser Karte ist es möglich, eine zusätzliche Passphrase zu vergeben. Da diese Option nicht vom Access-Point unterstützt wird, ist sie natürlich nicht aktiviert. Notebook 2 Das zweite Notebook läuft unter Windows XP, hat einen WLAN-Anschluss bereits eingebaut und ebenfalls ein eigenes Konfigurationsprogramm. Hierbei handelt es sich bereits um eine 22 Mbps-Version, die in unserem Fall allerdings auf 11 Mbps läuft. Auch hier müssen die Schlüssel bekannt sein, um am Netzwerkverkehr teilzunehmen (Abbildung 12.5).
Abbildung 12.5: Notebook 2
Solange man alle Komponenten „im Blick“ hat, halte ich eine solche Konfiguration für private Zwecke für ausreichend. Sollten Sie weitergehende Schutzmaßnahmen benötigen, investieren Sie in zusätzliche Software und steigen um auf ein VPN, alles andere macht keinen echten Sinn.
246
W E R K S TAT T
Anhang A Installation der Programme von der CD A.1
Installation Antiviren-Programm AntiVir
Von der Buch-CD oder der Seite http://www.free-av.de/ können Sie sich die aktuelle Programmversion und die deutsche Anleitung im PDF-Format kopieren (Abbildung A.1). Für den persönlichen Bedarf ist diese Version frei und kostenlos benutzbar. Die Installation erfolgt durch einen Doppelklick auf die Datei avwinsfx.exe. Übernehmen Sie alle vorgeschlagenen Einstellungen und klicken Sie sich durch den Installationsdialog (siehe folgende Abbildungen).
Anhang A – Installation der Programme von der CD
Abbildung A.1: AntiVir-Downloadseite
Nach der Installation wird der Computer automatisch nach Viren durchsucht. Lassen Sie diese Prüfung durchlaufen. Je nach Größe Ihrer Festplatten und Schnelligkeit Ihres Computers können Sie jetzt eine kleine Pause machen. Konfigurieren Sie unter Optionen/Konfigurieren oder mit der Taste (F4) die unerwünschten Programme. Kreuzen Sie am besten alle an (Abbildung A.4).
Abbildung A.2: Installationsdialog AntiVir
248
W E R K S TAT T
Installation Antiviren-Programm AntiVir
Abbildung A.3: Installationsdialog AntiVir
Abbildung A.4: Konfiguration AntiVir: Unerwünschte Programme
Durch diese Einstellung wird beim Auftreten solcher so genannten MalWare-Programme eine Meldung erzeugt.
Abbildung A.5: Update der kompletten AntiVir Version
W E R K S TAT T
249
Anhang A – Installation der Programme von der CD
Holen Sie sich die aktuellen Virendefinitionen aus dem Internet, indem Sie die Update-Funktion benutzen. In den Optionen können Sie einen eventuellen Proxy konfigurieren, der Proxy darf aber nicht passwortgeschützt sein. Wenn eine neue Version der Software erscheint, fordert das Update-Programm einfach die neue Installationsdatei an und fragt bei Ihnen nach, ob sie installiert werden soll (Abbildung A.5).
A.2
Tool zur Konfiguration des Internet Explorers
Microsoft installiert den Internet Explorer so, dass er praktisch alle Webseiten korrekt darstellt, aber aktive Inhalte die Systemsicherheit gefährden. Schaltet man deshalb etwa ActiveX ab, funktioniert auch das Plug-In des Acrobat Readers nicht mehr und die im Web weit verbreiteten PDF-Dokumente werden nicht dargestellt. An dieser Stelle setzt der IEController an.
AUF DER
CD-ROM
Der Internet Explorer muss Module (COM-Objekte) starten, um aktive Inhalte auszuführen. Der IEController überwacht den Start dieser Module und kann ihre Ausführung verhindern. Seine Filterlisten ermöglichen dabei, dass ungefährliche Inhalte auch weiterhin ausgeführt werden. Außerdem verhindert das Tool, dass der Internet Explorer andere Applikationen startet. Das Surfen wird dadurch erheblich sicherer, ohne dass Sie auf den Komfort moderner Webtechniken, Plug-Ins und anderer BrowserErweiterungen verzichten müssen.
Sie finden den IEController im Verzeichnis zu diesem Anhang auf der Buch-CD.
Sie können mehrere Filterlisten für verschiedene Konfigurationen benutzen. Das Projekt wird weiterentwickelt und ist auf der Homepage in Deutsch, reich bebildert, erklärt1.
A.3
Installation und Konfiguration des Mozilla-Browsers
Das Mozilla Projekt ist Open Source. Das bedeutet, dass Sie den Programmquellcode downloaden, mit dem entsprechenden Know-how überprüfen und selbst kompilieren können. Für normalsterbliche PC-Benutzer gibt es auch vorkompilierte Versionen (Binaries) für Windows, Mac und Linux. Die aktuellen Binaries finden Sie auf der Seite 1.
250
http://www.heise.de/ct/ftp/projekte/iecontroller/
W E R K S TAT T
Installation und Konfiguration des Mozilla-Browsers
http://www.mozilla.org in englischer Sprache, die jeweils deutsche Variante auf http:// mozilla.kairo.at/. Ich zeige Ihnen die Installation der Version 1.3 in Deutsch.
AUF DER
1
CD-ROM
Die erforderliche Datei mozilla-win32-1.3-deAT-talkback.zip ist auf der Buch-CD enthalten. Das talkback im Dateinamen bezieht sich auf die Möglichkeit, Informationen über Abstürze an mozilla.org zu berichten. Sie müssen Mozilla in dieser Version nicht installieren, sondern einfach auspacken.
Erstellen Sie sich im Verzeichnis C:\Programme einen Ordner mit dem Namen mozilla.org und kopieren Sie dort den Inhalt der Datei mozilla-win32-1.3-deATtalkback.zip hinein. Im Windows Explorer sieht man jetzt die folgende Struktur auf der Festplatte (Abbildung A.6).
Abbildung A.6: Das Verzeichnis mozilla.org nach dem Entpacken der deutschen Version
Ein anschließender Klick auf die Datei mozilla.exe startet den Browser (Abbildung A.7).
W E R K S TAT T
251
Anhang A – Installation der Programme von der CD
Abbildung A.7: Start des Browsers nach dem Entpacken der Dateien
252
2
Gehen Sie über einen Proxy-Server ins Netz, so müssen Sie unter dem Menüpunkt Bearbeiten/Einstellungen/Erweitert/Proxies die entsprechenden Werte eintragen (Abbildung A.8).
3
Falls Sie gern ein anderes Oberflächendesign haben wollen, so klicken Sie auf Ansicht/Thema anwenden/modern oder laden Sie sich neue Themes aus dem Netz.
4
Wenn Sie jetzt in das Menü Fenster gehen, stellen Sie fest, dass Sie außer dem Mozilla-Browser (Navigator) noch einen E-Mail- und News-Client, einen Webseiteneditor (Composer), einen Chat-Client (IRC ChatZilla) sowie ein Adressbuch haben, das mit Ihrem Palm synchronisierbar ist.
W E R K S TAT T
Installation und Konfiguration des Mozilla-Browsers
Abbildung A.8: Proxy-Einstellungen in Mozilla
Navigator Nehmen Sie sich ein wenig Zeit und erkunden Sie die Möglichkeiten des Browsers. Die für Ihre Privatsphäre wichtigen Funktionen finden Sie unter dem Menüpunkt Tools. Der PopUp-Manager dient beispielsweise dazu, nervige PopUp-Fenster zu unterdrücken. Mit dem Passwort-Manager können Sie verfolgen und beeinflussen, welche Benutzernamen Ihr Mozilla sich auf den Surfausflügen gemerkt hat.
E-Mail- und News-Client Beim ersten Start wird Ihnen die Möglichkeit gegeben, ein E-Mail-Konto anzulegen (Abbildung A.9).
W E R K S TAT T
253
Anhang A – Installation der Programme von der CD
Abbildung A.9: Erster Start des Mozilla E-Mail-Clients
Nach der Eingabe Ihrer Daten können Sie das erste Mal Mails abholen. Klicken Sie dazu auf das Abrufen-Icon. Mozilla Mail versucht, Kontakt zum angegebenen Mailserver aufzunehmen und fragt nach Ihrem Passwort. Das Passwort können Sie im Passwort-Manager ablegen oder jedes Mal eintippen (Abbildung A.10).
Abbildung A.10: Abrufen von E-Mails unter Mozilla Mail
254
W E R K S TAT T
Installation OpenOffice.org
A.4
1
Installation OpenOffice.org
OpenOffice.org können Sie in der aktuellen Version von der gleichnamigen Homepage des Projektes laden oder die deutsche Version 1.3.0.2 von der Buch-CD. Sie erhalten dann ein gezipptes Datei-Archiv mit dem Namen OOo_1.0.3.1_Win32Intel_install_de.zip. Entpacken Sie diese Datei mit Hilfe des Extrahier-Assistenten von Windows XP (Abbildung A.11).
Abbildung A.11: Entpacken von OOo_1.0.3.1_Win32Intel_install_de.zip
Abbildung A.12: OpenOffice.org Installation
W E R K S TAT T
255
Anhang A – Installation der Programme von der CD
2
Es entsteht ein Verzeichnis OOo_1.0.3.1_Win32Intel_install_de und darin ein Verzeichnis install. Wechseln Sie in dieses Verzeichnis und rufen Sie mit einem Doppelklick auf die Datei install.exe das Installationsprogramm auf (Abbildung A.12). In diesem Verzeichnis liegt auch eine ausführliche Installationsanleitung für die verschiedenen Plattformen (installations_handbuch.pdf). Da es sich um eine Software handelt, die hin und wieder Ihre Adresse benötigt, werden die Benutzerdaten abgefragt. Diese Daten sind jederzeit änderbar (Abbildung A.13).
Abbildung A.13: OpenOffice.org – Benutzerdaten
Abbildung A.14: Abbildung 0.14:OpenOffice.org – Java Setup
3 256
Als Nächstes werden Sie gefragt, ob Sie eine Standard- oder eine benutzerspezifische Installation haben wollen. Die Standardinstallation sollte für die meisten
W E R K S TAT T
Installation OpenOffice.org
Zwecke am sinnvollsten sein. Im Java Setup durchsucht das Installationsprogramm Ihren Rechner auf eine lauffähige Java-Version und entdeckt in meinem Fall zwei Varianten. Wenn Sie bereits eine Java Runtime Umgebung installiert haben, sollte sie hier angezeigt werden. Wenn nicht, installiert das Programm sie mit. Im nächsten Schritt startet die eigentliche Installation, die durchaus ein paar Minuten dauern kann.
4
Nachdem alle Dateien kopiert und alle Komponenten registriert worden sind, ist die Installation beendet und OpenOffice.org meldet sich mit einem Symbol zweier fliegender Vögel in der Statusleiste (Tray). Dieser Schnellstarter kann mit der rechten Maustaste aufgerufen werden. Rufen Sie Textdokument auf (Abbildung A.15).
Abbildung A.15: OpenOffice.org - Erster Aufruf
OpenOffice.org startet die Textanwendung und bietet Ihnen verschiedene Optionen an, Ihren Adressbestand zu übertragen. Wenn Sie bereits in Outlook ein Adressbuch führen, so können Sie es hier importieren. Sie haben nun ein komplettes Office-Paket mit einer Textverarbeitung, einer Tabellenkalkulation, einem Zeichenprogramm sowie einer Präsentationsanwendung. Eine Erklärung der ersten Schritten bei der Bedienung finden Sie online auf der ProjektHomepage in den so genannten How-to-Dokumenten: http://de.openoffice.org/doc/howto/index.html
W E R K S TAT T
257
Anhang A – Installation der Programme von der CD
Wenn Sie den Schnellstarter Aus Vorlage ... wählen, so können Sie hier über vordefinierte Vorlagen, die Sie sich selbst erstellen oder von der Homepage downloaden, neue Dokumente anlegen.
A.5
Installation von Ghostscript als PDF-Druckertreiber
Um PDF-Dateien unter Windows XP zu erzeugen, gibt es eine kostenlose Variante ohne Werbeeinblendungen oder sonstige Dinge. Richten Sie sich einfach einen speziellen Druckertreiber ein, den Sie aus allen Windows-Programmen ansprechen können, der aber nur scheinbar einen Drucker anspricht. In Wirklichkeit wird die Ausgabe des Treibers an ein Programm mit dem Namen Ghostscript umgeleitet. Dieses Programm fragt nach einem Dateinamen und erzeugt dann die eigentliche PDF-Datei.
AUF DER
CD-ROM
Sie können mit dieser Variante keine PDF-Formulare erzeugen und auch keine Inhaltverzeichnisse erstellen. Für die PDF-Ausgabe einer Rechnung oder eines Textes ist diese Lösung jedoch hervorragend geeignet.
Die benötigten Dateien finden Sie im Verzeichnis zu diesem Anhang auf der Buch-CD.
Die Installation erfolgt in fünf Schritten:
Installation Ghostscript
258
1
Starten Sie die Installation mit einem Doppelklick auf die Datei gs704w32.exe. Folgen Sie den Meldungen und lassen Sie alle Einstellungen unverändert.
2
Richten Sie eine neue Systemvariable mit dem Namen GS_LIB und dem Wert C:\gs\gs7.04\bin;C:\gs\gs7.04\lib;C:\gs\fonts ein. Diese Variable sorgt dafür, dass alle beteiligten Programme den Weg zu Ghostscript finden. Systemvariablen können Sie unter Start/Systemsteuerung/System/Erweitert/Umgebungsvariablen erstellen. Klicken Sie auf Neu und geben Sie den Namen und die Pfade ein (Abbildung A.16).
3
Erweitern Sie die Path-Systemvariable um die Pfade C:\gs\gs7.04\bin;C:\gs\ gs7.04\lib;C:\gs\fonts. Die Path-Variable gibt ebenfalls Pfade an. Markieren Sie die vorhandene Path-Variable und klicken Sie dann auf Bearbeiten. Achten Sie
W E R K S TAT T
Installation von Ghostscript als PDF-Druckertreiber
darauf, keine bestehenden Pfade zu löschen und trennen Sie die verschiedenen Einträge mit einem Semikolon.
Abbildung A.16: Setzen der Systemvariablen GS_LIB
Abbildung A.17: Ändern der Systemvariablen Path
W E R K S TAT T
259
Anhang A – Installation der Programme von der CD
Installation Redmon
4
Bevor nun ein Drucker postscriptfähig gemacht werden kann, müssen Sie Redmon installieren. Dieses kleine Tool erzeugt eine neue virtuelle Druckerschnittstelle, die Druckdaten an ein anderes Programm weiterleitet (in unserem Fall an Ghostscript). Entpacken Sie die Datei redmon17de.zip in das Ghostscript-Verzeichnis c:\gs\redmon\. Anschließend wechseln Sie in das Verzeichnis und starten das Programm setup.exe. Beantworten Sie die Sicherheitsabfrage mit Ja.
Abbildung A.18: Installationspfad und Setup von redmon
Installation PPD Sie benötigen für Ghostscript eine besondere Druckerbeschreibung, die Wolfgang Reszel speziell für Ghostscript angepasst hat. Auf seiner Homepage http://www.rumborak.de finden Sie unter dem Punkt Produktives weitere Informationen über die Erstellung von PDF-Dokumenten. Entpacken Sie die Datei GSPPDs.zip ebenfalls in das Unterverzeichnis C:\gs\. Es entsteht ein neuer Ordner PPDs mit den entsprechenden Dateien.
Installation Druckertreiber Damit Windows einen Postscript-Drucker im System verfügbar hat, müssen Sie einen passenden Druckertreiber installieren. Das geht am besten mit der originalen Version des Postscript-Treibers von Adobe. Durch einen Doppelklick auf die Datei winstger.exe starten Sie den Installationsdialog. Folgen Sie den Anweisungen:
260
W E R K S TAT T
Installation von Ghostscript als PDF-Druckertreiber
1
Wählen Sie als Druckerverbindungstyp den lokalen Drucker aus und klicken Sie auf Weiter (Abbildung A.19).
Abbildung A.19: Installation Adobe PS-Treiber – Druckerverbindungstyp
2
Wählen Sie den FILE:-Druckeranschluss aus und klicken auf Weiter. Dies ist nur provisorisch, da der AdobePS-Dialog es nicht ermöglicht, einen Druckeranschluss (von Redmon) hinzuzufügen.
Abbildung A.20: Installation Adobe PS-Treiber – lokaler Anschluss
3
Bei der Auswahl des Druckers klicken Sie bitte auf Durchsuchen, gehen dann in den Ordner c:\gs\ppds und wählen als Drucker PDF-Datei aus (Abbildung A.21).
W E R K S TAT T
261
Anhang A – Installation der Programme von der CD
Abbildung A.21: Installation Adobe PS-Treiber – Druckermodell
4 5
Geben Sie den Drucker nicht frei und drucken Sie bitte keine Testseite! Jetzt sollte das Setup beendet sein und die Frage gestellt werden, ob Sie den Drucker nun konfigurieren wollen. Eine direkte Konfiguration ist nicht notwendig. Klicken Sie aber trotzdem auf Ja. Es erscheint ein Fenster mit den aktuellen Einstellungen Ihres Druckers. Sie können alle Einstellungen bei den Standardwerten belassen (Abbildung A.22).
Abbildung A.22: Installation AdobePS-Treiber – Druckereigenschaften
262
W E R K S TAT T
Installation von Ghostscript als PDF-Druckertreiber
6
Nach einem Klick auf OK können Sie sich noch die liesmich.txt-Datei ansehen und dann auf Fertigstellen drücken. Alle benötigten Komponenten sind nun installiert und wir können zu den Feinheiten kommen.
Konfiguration
1
Gehen Sie nun in Start/Systemsteuerung/Drucker und klicken Sie mit der rechten Maustaste auf PDF-Drucker und dann im Kontextmenü mit der linken Maustaste auf Eigenschaften (Abbildung A.23).
Abbildung A.23: Konfiguration PDF-Drucker
2
Im sich öffnenden Fenster klicken Sie den Reiter Anschlüsse an und wählen Anschlüsse hinzufügen. Wählen Sie Umgeleiteter Anschluß aus. Das ist der neue Anschluss, den wir gerade mit Redmon installiert haben. Nun klicken Sie auf Neuer Anschluss und vergeben einen Namen. RPT1: wird standardmäßig vorgeschlagen und kann stehen bleiben, Sie können den Anschluss aber auch PDF: nennen (Abbildung A.24).
W E R K S TAT T
263
Anhang A – Installation der Programme von der CD
Abbildung A.24: Konfiguration umgeleiteter Anschluss
3
Im Eigenschaftsfenster des PDF-Druckers ist nun ein neuer Anschluss konfiguriert. Markieren Sie ihn und klicken auf Konfigurieren. Es erscheint ein weiteres Eigenschaftsfenster.
4
Geben Sie jetzt die Werte in die entsprechenden Felder genauso ein (Abbildung A.25).
Abbildung A.25: Konfiguration Eigenschaften
264
W E R K S TAT T
Installation von Ghostscript als PDF-Druckertreiber
5
Anschluss auf folgendes Programm umleiten: C:\gs\gs7.04\bin\gswin32c.exe Argumente für dieses Programm: @C:\gs\pdf.rsp -sOutputFile="%1.pdf" -c save pop .setpdfwrite -f – Ausgabe: Prompt for Filename Ablauf: Symbol
6
Nun sollten Sie noch auf Protokolldatei klicken, um eine Logdatei anlegen zu können. Als Pfad nehmen Sie das Installations-Verzeichnis von Ghostscript (C:\gs\pdf.log). Die Option Debug ist nützlich zur Fehlersuche, ansonsten sollte man sie aber deaktiviert lassen, da sich die Druckzeit dadurch extrem erhöht.
Jetzt sollten Sie im Besitz eines Windows XP – PCs sein, der aus jeder Anwendung heraus PDF-Dateien drucken kann. Um dies zu testen, drucken Sie einfach irgendwo eine Seite aus und wählen als Drucker den PDF-Drucker. In der Statuszeile blinkt dann ein Dateidialog. Geben Sie den gewünschten Dateinamen ohne die Endung .pdf ein und klicken Sie auf OK. In der Statuszeile erscheint daraufhin das kleine Gespenst von Ghostscript und druckt Ihre Datei.
Abbildung A.26: PDF-Filedialog-Anzeige
Abbildung A.27: Der „Geist“ von Ghostscript
Ich habe zum Test die Startseite von yahoo.de ausgedruckt. Es entsteht eine Datei yahoo.pdf, die Sie sich im Acrobat Reader anzeigen lassen können (Abbildung A.28).
AUF DER
W E R K S TAT T
CD-ROM
Der Acrobat Reader ist ebenfalls auf der Buch-CD enthalten, aber wahrscheinlich schon auf Ihrem PC installiert.
265
Anhang A – Installation der Programme von der CD
Abbildung A.28: Die Startseite von Yahoo als PDF-Datei
A.6
Installation StarMoney 4.0 SparkassenEdition
Um mit StarMoney Ihre Online-Konten effektiv bearbeiten zu können, benötigen Sie ein für das Online-Banking freigeschaltetes Bankkonto, mit allen von Ihnen gewünschten Zutaten wie PIN und TAN sowie optional einen Kartenleser oder eine Diskette für das HBCI-Verfahren. Sprechen Sie Ihren zuständigen Sachbearbeiter bei Ihrer Bank an. Falls gerade Wochenende ist oder die Freischaltung auf sich warten lässt, kann ich Sie beruhigen: Auch ohne diese Daten ist ein Test von StarMoney möglich. Sie können beliebig viele Offline-Konten verwalten und somit die grundsätzliche Funktionalität ausprobieren. StarMoney benötigt einzelne Komponenten des Internet-Explorers. Sie werden von StarMoney angesprochen, wie beispielsweise die Anzeige des Börseninformationssystems. Es handelt sich hierbei um eine sicherheitstechnisch vertretbare Lösung, da nur speziell ausgewählte Komponenten angesprochen werden, die auf einzelne, ausgewählte Internetseiten zugreifen und somit die Gefahr von Viren und Ähnlichem praktisch ausgeschlossen ist.
266
W E R K S TAT T
Installation StarMoney 4.0 Sparkassen-Edition
AUF DER
1
CD-ROM
Auf der Buch-CD im Unterverzeichnis \Anhang\StarMoney4.0\smoney40 finden Sie eine Datei setup.exe.
Durch einen Doppelklick auf diese Datei starten Sie das Installationsprogramm. Nach den Lizenzbedingungen wird der IdentKey abgefragt. Benutzen Sie bitte den Key SFFW-9V3G-SFFW-9V3G und klicken auf Weiter (Abbildung A.29). Dieser Key ermöglicht Ihnen eine 60-tägige Testphase. Nach Abschluss dieser Phase müssen Sie die Vollversion bei der Firma Star finanz (www.starfinanz.de) erwerben.
Abbildung A.29: Installation StarMoney – IdentKey
2
Wählen Sie das benutzerdefinierte Installationsverfahren, wenn Sie den Verzeichnisnamen C:\Starmoney benutzen wollen, und klicken Sie auf Weiter. In der nächsten Maske wird die Installation eines Konverters für Fremddaten vorgeschlagen. Übernehmen Sie die Voreinstellung. Danach werden die zu installierenden Zusatzkomponenten abgefragt. Der Flash Player dient zum Abspielen von Präsentationen und das Handbuch ist immer eine gute Wahl. Um das Handbuch ansehen zu können, benötigen Sie den Acrobat Reader. Sollte er auf Ihrem Rechner noch nicht installiert sein, so kreuzen Sie die entsprechende Checkbox an.
W E R K S TAT T
267
Anhang A – Installation der Programme von der CD
Abbildung A.30: Installation StarMoney – Zusatzkomponenten
3
In der nächsten Maske werden die auf Ihrem Rechner vorhandenen Möglichkeiten zur Verbindung mit dem Internet aufgelistet. Wenn Sie sich beispielsweise über AOL- oder die T-Online-Software ins Internet einwählen, so können Sie auf diesem Wege auch auf das „BTX“-Verfahren zugreifen. Wenn Sie über ein LAN verfügen oder einen anderen Provider, beispielsweise Freenet, benutzen, so können Sie den gewünschten Zugang wählen.
4
In der nächsten Maske werden Sie nach dem Installationsverzeichnis gefragt. Unter Windows XP Home sind die Benutzerrichtlinien und damit auch die Rechte eingerichteter Benutzer eingeschränkt. Dies gilt auch und gerade für das Verzeichnis C:\Programme. Lediglich der Administrator besitzt hier Lese- und Schreibrechte. Unter Windows XP Home ist auch die Zuweisung von speziellen Rechten nicht so ohne Weiteres möglich. Einstellungen in StarMoney wie die Einrichtung einer Benutzerdatenbank oder die Online-Aktualisierung können daher nur vom Administrator vorgenommen werden, da Daten in dieses Verzeichnis geschrieben werden müssen. Sie können diese Hürde umschiffen, indem Sie StarMoney außerhalb des Programm-Verzeichnisses installieren, beispielsweise unter C:\Starmoney (Abbildung A.31).
268
W E R K S TAT T
Installation StarMoney 4.0 Sparkassen-Edition
Abbildung A.31: Installation StarMoney – Installationspfad
5
Als Nächstes folgt die Registrierung. Es bleibt Ihnen überlassen, ob Sie sich registrieren wollen. Die Daten werden verschlüsselt bei der nächsten Online-Verbindung an die Firma Starfinanz in Hamburg übertragen und bieten Ihnen die Möglichkeit eines telefonischen Supports. Einzelheiten und aktuelle Telefonnummern finden Sie auf der Homepage des Unternehmens http://www.starmoney.de. Ich klicke auf den Button Nicht registrieren (Abbildung A.32).
Abbildung A.32: Installation StarMoney – Registrierung
W E R K S TAT T
269
Anhang A – Installation der Programme von der CD
6
Nach einer Zusammenfassung der eingetragenen Parameter, die bestätigt werden muss, beginnt das Kopieren der Dateien und der Installationsvorgang ist beendet.
7
Nach der erfolgreichen Installation können Sie über Start/Alle Programme/StarMoney 4.0 S-Edition/StarMoney 4.0 S-Edition das Programm aufrufen. Da noch keine Konten angemeldet sind, startet das Programm mit einem BenutzerdatenDialog. Im oberen Bereich des Fensters wird Ihnen eine passende Hilfe angezeigt. Denken Sie bei der Wahl des Passwortes an die Erfahrungen aus dem Workshop 4.1 (Abbildung A.33).
Abbildung A.33: Installation StarMoney – Benutzerdaten
8
270
Mit einem Klick auf den grünen Pfeil im Fenster bestätigen Sie die Eingabe und werden gefragt, welche Art von Konto Sie einrichten wollen. Im Beispiel habe ich ein Online-Konto gewählt. Nach der Eingabe der Bankleitzahl werden im oberen Bereich des Fensters die entsprechenden Filialen angezeigt. Die Statuszeile des Fensters hat sich ebenfalls verändert (Abbildung A.34).
W E R K S TAT T
Installation StarMoney 4.0 Sparkassen-Edition
Abbildung A.34: Installation StarMoney – Konto einrichten
9
Im weiteren Verlauf des Dialoges werden Sie gefragt, welches Banking-Verfahren Sie benutzen wollen. Nach Angabe dieser Daten versucht StarMoney, eine Verbindung zur Bank aufzunehmen und wechselt anschließend in den Dialog Kontodetails erfassen. Abhängig vom Kreditinstitut sind hier verschiedene Eingaben möglich. Nach Abschluss der Aktion und Klicken des grünen Pfeils erscheint die StarMoney-Übersicht. Da die weiteren Einstellungen den Rahmen dieses Anhangs sprengen würden, konsultieren Sie bitte das StarMoney Handbuch für weitere Informationen sowie Ihre Bank bzgl. der Online-Freischaltung Ihres Kontos. Das Handbuch finden Sie nach der Installation des Programms unter Start/Alle Programme/StarMoney 4.0 S-Edition/StarMoney 4.0 Handbuch.
W E R K S TAT T
271
Anhang B Glossar Access Point Im Zusammenhang mit drahtlosen Netzwerken verwendeter Begriff für eine physische Station, die die Netzwerkdaten aussendet, bzw. einen drahtlosen Zugang zu einem Netzwerk ermöglicht.
AdWare Frei nutzbare Software, die sich durch das Einblenden von Werbebotschaften finanziert. Prominentes Beispiel ist der Internet-Browser Opera.
Aktivierungs-Code Vergleichbar mit einer Mischung aus Seriennummer und Passwort. Bei der Installation von aktivierungspflichtiger Software, wie beispielsweise Windows XP, muss diese Zeichenkette als Beweis der Berechtigung zur Benutzung der Software eingegeben werden.
Biometrie Der Begriff Biometrie kommt aus dem Griechischen und bedeutet so viel wie biologische Statistik, Zählung und Messung von Lebewesen. Jeder Mensch hat persönliche Merkmale wie Stimme, Aussehen und Verhalten, durch die er von anderen erkannt und identifiziert werden kann. Diese Merkmale können von Sensoren ausgewertet werden. Es sind unter anderem der Fingerabdruck, die Handgeometrie, das Gesicht, die Stimme und die Unterschrift.
Anhang B
Bluetooth Bluetooth ist eine Funktechnik, die Sprache und Daten über kurze Strecken (bis ca. 10 m) kabellos übertragen kann. Die Technologie wird beispielsweise für Headsets verwendet, um drahtlos mit dem Mobiltelefon zu kommunizieren.
CERT Die allgemeine Bedeutung ist „Computer Emergency Response Team“. Das Deutsche Forschungsnetzwerk (DFN) gründete 1999 eine gemeinnützige GmbH, die sich mit sicherheitsrelevanten Themen befasst (DFN-CERT). Hierzu werden Workshops und Seminare abgehalten, Dokumente bereitgestellt und Mailinglisten betrieben.
CSS Cascading Stylesheets. Eine Technik, um bei HTML-Seiten die Darstellung von den Daten zu entkoppeln.
Cookie Cookies sind Variablen, die von einem Server auf einem Client gespeichert werden können. Die darin enthaltenen Informationen kann der Betreiber des Serverrechners beeinflussen. Cookies haben ein Verfallsdatum, an dem sie gelöscht werden. Solange Sie ein Browserfenster geöffnet haben, wird der Cookie im Browser gespeichert. Schließen Sie Ihren Browser, werden alle Cookies, deren Lebensdauer noch nicht abgelaufen ist, in einer oder mehreren Dateien gespeichert. Beim nächsten Besuch des Servers kann dieser den Cookie wieder einlesen und die darin enthaltenen Informationen auswerten.
DonateWare Frei nutzbare Software. Wenn Sie Ihnen gefällt, können und sollten Sie dem Programmierer etwas spenden.
Filesharing Die Bereitstellung von Dateien für viele Benutzer. Innerhalb eines lokalen Netzes übernimmt diese Funktionalität der Fileserver. Im Internet gibt es verschiedenste Tauschbörsen für Dateien.
FreeWare Frei nutzbare Software. Abhängig von der Lizenz ist oft der private Einsatz frei, der geschäftliche Einsatz dagegen kostenpflichtig.
274
W E R K S TAT T
Glossar
Homebanking Der Prozess, über den heimischen Computer Überweisungen an die Bank weiterzuleiten, den aktuellen Kontostand abzufragen oder Daueraufträge einzurichten. Neben einer persönlichen Identifikationsnummer (PIN) kommen dabei Transaktionsnummern (TAN) zum Einsatz. Mit jeder Überweisung, die nicht von einem Mitarbeiter bearbeitet werden muss, spart die Bank bares Geld.
HTML Hypertext Markup Language. Die Seitenbeschreibungssprache, die das WWW in der heutigen Form möglich machte. Die Idee ist die Verlinkung von statischen Dokumenten.
Instant Messenger Instant Messenger sind Chatprogramme, bei denen Sie sich meist kostenlos registrieren können. Sie können Freunde und Kollegen in eine Liste aufnehmen und sehen dann immer, wer gerade online ist. Mit diesen Personen können Sie dann Nachrichten in Echtzeit austauschen. Das geht schneller als eine E-Mail zu versenden.
Java Java ist eine objektorientierte Programmiersprache, die von der Firma Sun Microsystems entwickelt wurde. Der große Vorteil von Java liegt in der Plattformunabhängigkeit. Das bedeutet, dass Java auf jedem Betriebssystem ausgeführt werden kann.
Kryptografie Der Begriff Kryptografie entstammt den griechischen Wörtern kryptos (geheim) und graphein (schreiben). Es handelt sich dabei ursprünglich um die Kunst des Geheimschreibens. Die moderne Kryptografie findet ihren Einsatz in der Verschlüsselung von Daten, digitalen Unterschriften und Signaturen sowie Authentifizierungsverfahren.
Makro Ein Programm im Programm. Innerhalb einer Anwendung, beispielsweise Microsoft Excel, können Sie bestimmte Befehlsfolgen automatisch ablaufen lassen. Die gespeicherten Befehlsfolgen nennt man Makros.
Komponenten Komponenten treten als Hardware- und zunehmend auch als Softwarekomponenten auf. Im Hardwarebereich spricht man beispielsweise bei einer speziellen Grafikkarte von einer Komponente. Bei Software könnte dies beispielsweise die Windows Update-
W E R K S TAT T
275
Anhang B
Komponente (Funktion) sein. Durch den Einsatz von Komponenten wird modular aufgebaute Software möglich.
Open Source Software Kommerzielle Software wird normalerweise in binärer Form ausgeliefert. Der Quellcode des Programms ist nicht sichtbar. Bei Open Source Software dagegen kann der Quellcode durch den Benutzer eingesehen und verändert werden.
Patch Im Zusammenhang mit Software verwendeter Begriff für Produkt-Aktualisierungen. Bei entdeckten Sicherheitsproblemen oder Produktverbesserungen werden Patches von den Herstellern auf ihren Internetseiten bereitgestellt, die dann von den Benutzern eingespielt (installiert) werden müssen, um das weitere Funktionieren der Software sicherzustellen.
Passphrase Ein Passwort, das aus mehreren Wörtern bestehen kann.
„Phone Home“ Funktion innerhalb von Software, um über das Internet Kontakt mit dem Hersteller aufzunehmen. Benannt nach dem Kinofilm ET – der Außerirdische, der auch immer nach Hause telefonieren wollte.
Protokolle Unter Protokollen versteht man standardisierte Übertragungsabläufe. An das Internet Protokoll (IP) müssen sich beispielweise alle Teilnehmer des Internet halten, um sich gegenseitig zu erreichen. Es gibt Protokolle auf verschiedenen Ebenen. Auch der Standard, wie Daten innerhalb einer Tauschbörse oder schlicht E-Mails versendet werden, heißt Protokoll.
Proxy-Server Ein Proxy verbindet ein lokales Netzwerk mit dem Internet, benutzt aber oft nach außen eine vom Internet-Provider dynamisch zugewiesene IP-Adresse und verbirgt so die lokalen Netzwerk-Adressen der angeschlossenen PCs. Proxy-Server verfügen über einen Zwischenspeicher für Internet-Seiten, um diese lokal schneller zur Verfügung zu stellen, wenn sie vorher schon einmal aufgerufen wurden.
276
W E R K S TAT T
Glossar
Remailer Ein Remailer ermöglicht das anonyme Versenden von E-Mails und das anonyme Posten in Newsgroups. Das heißt, dass der Empfänger weder den Namen, noch die E-Mailadresse des Absenders erhält.
Service-Pack Eine Sammlung von Patches über einen gewissen Zeitraum. Ein Service-Pack stellt eine Art „Sammelband“ dar, um Benutzern eine einfachere Produkt-Aktualisierung zu ermöglichen.
Scripte Quellcode, ähnlich wie Makros, aber viel komplexer zu erstellen. Der Script-Code wird zur Laufzeit von einem Interpreter übersetzt. Bekannte Scriptsprachen sind VB-Script, ASP, PHP und Perl.
Spam E-Mails, die Sie unaufgefordert erhalten.
SpyWare Software, die unter dem Vorwand einer gewissen Nützlichkeit den Benutzer ausspioniert.
Steganografie Das Wort kommt aus dem Griechischen und bedeutet „verstecktes Schreiben“. Diese Technologie ermöglicht das Verstecken einer Nachricht innerhalb eines Bildes oder einer Musikdatei.
Traffic Abrechenbarer Netzwerkverkehr. Eine gut besuchte Internetsite muss viele Seiten an die Kunden ausliefern. Diese Daten werden Traffic genannt und dem Betreiber der Site von seinem Provider in Rechnung gestellt.
Windows-Tray Die sich standardmäßig im unteren Bereich befindliche Statusleiste auf dem Desktop. Sie bietet eine Übersicht über laufende Anwendungen und erweiterte Startmöglichkeiten für Programme.
W E R K S TAT T
277
Anhang B
Wildcards Muster oder Jokerzeichen. Das Muster http://www.*.de beschreibt beispielsweise alle deutschen Domainnamen.
WLAN Wireless Local Area Network. Drahtloses Netz.
XML Extended Markup Language. Eine Seitenbeschreibungssprache wie HTML mit der Möglichkeit, die Darstellung, die Daten und die Verarbeitungslogik voneinander zu trennen. XML wird von vielen Programmen als Austausch- und/oder Speicherformat verwendet.
Zertifikat Eine Art elektronischer Ausweis, der von einer dritten Stelle bestätigt sein muss, um vertrauenswürdig zu sein.
278
W E R K S TAT T
Danksagung Nach 12 Workshops und einem prallen Anhang sind dieses Buch und der Autor fast am Ende. Ich bedanke mich bei Ihnen für Ihre Aufmerksamkeit und ich hoffe, es hat Ihnen gefallen. Sollte das so sein, erzählen Sie es bitte mit brennendem Interesse Ihren Bekannten weiter. Falls etwas nicht ganz klar ist, können Sie mir gern eine nicht anonyme E-Mail schreiben (
[email protected]).
-
Außer Ihnen, der Sie sich bis hierher vorgekämpft haben, möchte ich allen danken, die zur Entstehung dieses Buches beigetragen haben. Da ist zunächst mal mein Lektor Boris Karnikowski, der unter anderem bei den Herstellern der Software, die auf der CD ist, um Erlaubnis für deren Veröffentlichung fragen musste und teilweise weite Wege im Netz zurücklegte, um die richtigen Ansprechpartner zu finden. Florence Maurice las tapfer Korrektur und hatte viele Ideen und Anregungen. Robert Schoblick versuchte als Fachlektor alles in diesem Buch beschriebene nachzuvollziehen und fand noch ein wunderschönes Foto zum Thema „WarDriving“ (ich habe das im letzten Workshop zu WLANs erwähnt), das ich Ihnen nicht vorenthalten möchte.
So sieht WarDriving aus!
W E R K S TAT T
279
Dirk Küpper danke ich für seine Mitarbeit am Kapitel über PGP. Und jetzt aber wirklich zum Schluss danke ich meiner Traumfrau Christine, die Sie aus dem PGP-Kapitel bereits kennen. Sie hat mich mit frischem Cappuccino und Nudeln versorgt und das Manuskript mit mir gemeinsam in eine hoffentlich lesbare Form gebracht. Hagen Graf
280
W E R K S TAT T
Stichwortverzeichnis
Stichwortverzeichnis A
C
Active Scripting 37 ActiveX 132 Ad-Aware 150 Advanced Encryption Standard 77 Adware 149 AES siehe Advanced Encryption Standard anonym Internet 179 mailen 194 surfen 184 AntiVir 247 Antiviren-Software 33 Applikationsserver 156 Audiogalaxy 220
CA siehe Certification Authority Certificate Revocation List 52 Certification Authority 49 chiffrieren 69 Cookie 138 Cracker 38 CRL siehe Certificate Revocation List
B Back Orifice 140 Befehle net user 31 ping 164 Benutzer Administrator 27 Anmeldung 29 eingeschränkt 27 Konto 27 Profile 26 Verwaltung 26, 98 Biometrie 103 Blubster 221 Bluetooth 234 Briefgeheimnis 42 BTX 170
W E R K S TAT T
D Datei löschen 85 verschlüsseln GnuPP 75 PGP 68 Steganografie 82 Windows XP 87 Daten 13 Datenbankserver 156 dechiffrieren 69 Dialer 137 illegal 143 legal 142 Dialer Control 144 Diebstahlschutz 99 Digital Rights Management 22, 50 Digitale Signatur 44 mit Zertifikat 50 DirectConnect 222 DNS siehe Domain Name Services Domain 179 Domain Name Services 179 drahtlos kommunizieren 233 DRM siehe Digital Rights Management
281
Stichwortverzeichnis
E eDonkey2000 220 E-Mail verschlüsseln GnuPP 74 PGP 65 Steganografie 79 E-Mail-Zertifikat 52
F FastTrack 219 FAT16 siehe File Allocation Table FAT32 siehe File Allocation Table Fehlerberichterstattung 32 Festplatten siehe Laufwerke File Allocation Table 87 Filetopia 222, 226 Firewall 155 Windows XP 157 ZoneAlarm 158 FreeNet 220, 223
G Geldkarte 177 GhostScript 258 Gnu Privacy Project 72 GnuPP siehe Gnu Privacy Project Gnutella 219
H HBCI siehe Homebanking Computer Interface Hoaxes 121 Homebanking Computer Interface 171
I ICQ 71 IEEE 802.11 237 In The Wild 122
282
In The Zoo 122 Informationen 13 Informationsgesellschaft 13 Internet Explorer 34 Konfigurationstool 250 Internet Protocol Address 179 Internet Protocol Security 242 Internetcafé 184 IP-Adresse siehe Internet Protocol Address IPSec siehe Internet Protocol Security
J Java Anon Proxy (JAP) 185 Installation 186 Konfiguration 189 JavaScript 38, 138 JScript 129
K Kartenleser 172 Kennwort siehe Passwort Keylogger 146 Key-Server 59 Kryptografie 42 Kryptokampagne 52
L Laufwerke freigeben 99 verschlüsseln 89 Login 101
M Mehrplatzsystem 120 Microsoft Office 105 Benutzerangaben 105 Makro 112 Passworte 112
W E R K S TAT T
Stichwortverzeichnis
Schnellspeicherung 107 Script-Code 112 Überarbeitung 108 MIME siehe Multipurpose Internet Mail Extensions Mixmaster 196 Mozilla 38 Installation 251 Mail 131 MSN Explorer 34 Multipurpose Internet Mail Extensions 47
N NetBus 140 New Technology File System 87 NTFS siehe New Technology File System
O Object Linking and Embedding 110 Office-Dokumente 105 OLE siehe Object Linking and Embedding Online-Banking 167 Online-Virenscanner 133 OpenNap 219 OpenOffice.org 39, 113 Benutzerangaben 113 Installation 255 Makro 114 Passworte 115 Script-Code 114 Überarbeitung 114 OpenPGP 48 Opera Browser 150 Outlook Express 38, 127
Patches 19 Q320920 22 PDF siehe Portable Document Format PDF-Druckertreiber 258 Personal Finance Manager 169 Personen Hormel, Jay C. 46 Kingsley, Ben 15 Kolla, Patrick 150 Laden, Osama Bin 45 Orwell, George 14 Taubenheim, Chris 31 Zimmermann, Phil 48 PGP siehe Pretty Good Privacy PGP/MIME 70 PGPdisk 88 PGPkeys 63 PGPmail 64 PGPtray 63 PGPwipe 71 phone home 31 PIN/TAN-Verfahren 169 PKCS siehe Public Key Cryptografics Standards PopUp 137 Manager 139 Port 155 Portable Document Format 109 PostScript 110 Prepaid-Karten 184 Pretty Good Privacy 48, 59 Proxy-Server 184 Public Key Cryptografics Standards 47
Q Quicksilver 196
P
R
Passphrase 62 Passwort 97 Manager 101
Redmon 260 Remailer 196
W E R K S TAT T
283
Stichwortverzeichnis
284
S
T
S/MIME siehe Secure/Multipurpose Internet Mail Extensions Sandkasten 229 säubern 70 Scheduler AntiVir 124 Keylogger 148 Schlüssel öffentlich 65 privat 65 Scripte 137 Secure/Multipurpose Internet Mail Extensions 47 Service Pack 20 signierte Dokumente 111 signierte E-Mail Mozilla 56 Outlook Express 56 SoulSeek 222 Spam 46, 209 spammimic 46 Spionage 13 SpyBot-Search & Destroy 150 Spyware 149 StarMoney 173 Installation 267 Steganografie 45 Steganos 48 Steganos Safe 89 Steganos Security Suite 76 Sun StarOffice 39, 113 Surfspuren Autovervollständigen 202 Internet 206 Systemwiederherstellung siehe Wiederherstellung
Tauschbörsen 217 TCP/IP 155 Tiny Personal Firewall 230 Trägermedium 45 Trojaner 137 Trojanische Pferde 140
U Unsolicited Broadcast Email (UBE) 46
V VBA siehe Visual Basic for Applications VBS siehe Visual Basic Script verschlüsselte E-Mail 59 Verschlüsselung asymmetrische 43 hybrid 44 symmetrisch 42 Verschlüsselungsalgorithmus 42 Vertrauen Netze 49 Organisationen 49 Viren 117 Bootviren 119 Dateiviren 119 Makroviren 120 soziale Viren 121 Virtual Private Network 242 Visual Basic for Applications 129 Visual Basic Script 129 VPN siehe Virtual Private Network
W E R K S TAT T
Stichwortverzeichnis
W
X
WarDriving 240 Webserver 179 WebWasher 210 WEP siehe Wired Equivalent Privacy WEP2 240 WEP2002 240 Werbung 209 Wiederherstellung 25 Wiederherstellungspunkt Wildlist 122 Windows 95/98/ME 16 Windows Based Scripting Host 132 Windows NT 16 Windows Update 20 Windows XP Home 16 Windows XP Professional 16 Wired Equivalent Privacy 233 Wireless Local Area Network 234, 237 Beispiel 244 Kanal 239 Konfiguration 241 Modi 238 SSID 238 Verschlüsselung 239 WLAN siehe Wireless Local Area Network Würmer 117, 120
X.509 50 XP-AntiSpy 31
W E R K S TAT T
Z Zahlungsmethoden 176 Zertifikate 49 Zonenmodell 34 Zugangsschutz 98
285
Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Dieses eBook stellen wir lediglich als Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses eBooks oder zugehöriger Materialien und Informationen, einschliesslich der Reproduktion, der Weitergabe, des Weitervertriebs, der Platzierung im Internet, in Intranets, in Extranets anderen Websites, der Veränderung, des Weiterverkaufs und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags. Bei Fragen zu diesem Thema wenden Sie sich bitte an: mailto:
[email protected]
Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf der Website ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen.
Hinweis Dieses und andere eBooks können Sie rund um die Uhr und legal auf unserer Website
(http://www.informit.de)
herunterladen