*g* ich bin einfach faul. Wenn Norton scheisse baut, schalte ich es ab, saug mir das Teil nochmal und gut ist. Bei mir ist es aber noch nicht vorgekommen, dass er was in den quarantäne geschoben hätte. Die Fehlalarmquote ist ziemlich gering bei NIS. Die Firewall ist auch gut gemacht find ich. Norton verbietet erstmal allen nicht bewerteten, unbekannten Files jegliche Verbindung, raus oder rein, was den Backdoor sowieso schonmal außer Gefecht gesetzt hat. Ich hab ja auch alle Dienste, Treiber und Startdateien gecheckt und das System war Clean, aber Du hast schon Recht. Ich hab hier paar Kundenpasswörter rumlungern - Das muss echt nicht sein, dass mir n russischer Kiddie Cracker geheime Daten meiner Kunden klaut.

Was meintest Du mit "abschalten lässt sich das übrigens nicht"? Bezogen auf den RTLO?

Es gibt ja inzwischen einige Sicherheitsexperten die Microsoft nahe legen, dass zumindest in Bezug auf Dateinamen zu patchen, denn das wird mal noch ein riesiges Problem.

Ich würde ein Virus schreiben, dass zur Ablenkung das Bild einer sexy Hexe im Windows Bildbetrachter anzeigt, wärend es sich aus führt und die Datei via RTLO in "sexy-Hexe.jpg" umbenennen. Das wäre doch fast schon das perfekte Verbrechen. Dann gleich noch alle seine Kontakte anschreiben "schau mal meine Freundin" - Das führen die doch alle aus...

Ich denke das wird mal noch ein riesen Problem werden!

Wenn das mit dem "abschalten" wirklich aus RTLO bezogen war - Das ist echt Mist. Microsoft sollte da echt mal drüber nachdenken das zu "patchen", auch wenn RTLO kein Bug, sondern ein "Feature" ist, birgt das doch zu große Gefahren andere zu täuschen!

Du als IT Sicherheitsberater hast also Kundenpasswörter unverschlüsselt auf der Platte einer Windows Maschine die auch zum Surfen verwendet wird ?

Also wenn ich dein Kunde wäre würde ich dir die Ohren lang ziehen.

Tipp: Mindestens in einen Truecrypt Container mit sicherem Passwort auslagern. Eigentlich sollte so ein Rechner überhaupt nicht für "normale Arbeit" verwendet werden.

Industriespione haben eine ganz andere "Energie" als die par Massentrojaner die hinter Banking Daten her sind...

ne diese geschichte mit den verdrehten datei namen ist schon länger bekannt, 1 oder 1,5 jahre gibts das schon, besonders in newsgroups (usenet)
ich persönlich nutze wie gesagt, lieber emsisoft, kann man besser konfigurieren, wenn man denn will, hat ne mindest genauso gute, wenn nicht bessere verhaltensanalyse, und da es ne kleine firma ist, kannst du bei problemen immer direkt mit den entwicklern sprechen wenn du denen ne mail sendest

Zitat:

Zitat von W_Dackel

Du als IT Sicherheitsberater hast also Kundenpasswörter unverschlüsselt auf der Platte einer Windows Maschine die auch zum Surfen verwendet wird ?

Also wenn ich dein Kunde wäre würde ich dir die Ohren lang ziehen.

Tipp: Mindestens in einen Truecrypt Container mit sicherem Passwort auslagern. Eigentlich sollte so ein Rechner überhaupt nicht für "normale Arbeit" verwendet werden.

Industriespione haben eine ganz andere "Energie" als die par Massentrojaner die hinter Banking Daten her sind...

Ach. In der Praxis dürfte der Truecrypt-Ordner bei Backdoor & Co. genau was nützen?
Du bist drin, dein Freund aus der Ferne ist drin, du machst den Truecryptordner auf, dein Freund aus der Ferne schaut zu ... so what?
Noch dazu wenn du auf Industriespione mit viel "Energie" klopfst.

Ein Truecryptordner ist eher gegen physischen Diebstahl oder unerlaubtem sonstigen physischen Zugriff und anschließendem Auslesen. Manches ist eher wie drei Kreuze schlagen als echt sinnvolle Maßnahme.

Zitat:

Zitat von W_Dackel

Eigentlich sollte so ein Rechner überhaupt nicht für "normale Arbeit" verwendet werden.

Ein Extra-Rechner mit 5 Passwörtern dürfte jetzt doch etwas praxisfern sein - auch wenn du hiermit recht hast.
Ein System mit wichtigen Daten (Kundendaten, Banking und vieles mehr) gehört nicht zum normalen Umeinanderspiel genutzt, so wie es der TO in seinem Post von 1:41 beschreibt. Da stimmt irgendwas mit "IT-Sicherheitsberater" nicht, zumindest nicht am Anspruch, den ich mit so einem Begriff habe.
(Auch wenn das tägliche Leben so gut wie immer eine deutliche Diskrepanz zwischen Theorie und Praxis aufzeigt.)

Das ist wie beim Fahrrad: kein Fahrradschloss der Welt schützt vor dem Klau, aber man kann die Hürde doch erheblich erhöhen.

Wenn ein Trojaner auf dem Rechner ist und gezielt nach Inhalten von Truecrypt-containern sucht hat man natürlich verloren, aber angenommen man benutzt die Passwörter nicht ständig und findet die Infektion bevor man den Container öffnet... => Wenig Aufwand, guter Zusatzschutz.

Auch das Risiko dass irgendwer Daten auf nem USB Stick mitnimmt lässt sich mit einem solchen Container reduzieren...

Wirklich sensible Kundenpasswörter gehören eigentlich in einen Tresor.. und zum Auspacken wird dann die lokale Datei auf einem Truecrypt Container verwendet, damit niemand die Daten "wiederherstellen" kann.


Andererseits könnte dann NRW keine Schweizer CDs mehr kaufen.. alles hat Vor- und Nachteile....



Übrigens: solche Tricks wie man die Bildschirmdarstellung mit Steuerzeichen manipuliert haben wir damals schon auf C64 und seinen Vorgängern als Listschutz verwendet. (Um zu verhindern dass jemand unsere Basic Programme listet.. manchmal auch um sie beim "List" Befehl strukturierter darzustellen...) Die sind weder neu noch MS spezifisch...

Zitat:

Zitat von W_Dackel

Wenn ein Trojaner auf dem Rechner ist

Ob Trojaner ist sch*egal, Backdoor wäre und ist das genannte Kriterium. Wie das Backdoorprogramm auf den PC gekommen ist doch hierfür egal.
Die Chance, dass einer per Backdoor einen PC (unbemerkt) komplett kopiert ist doch oft recht gering. Wenn ich einen "Container" (Ordner, Worddatei, Exceldatei was auch immer) mit Passwörtern NICHT benutze und ich diesen Container NICHT "Passwörter", "Geheim" oder ähnlich bedeutsam genannt habe, warum sollte dann ein Backdoorprogramm(nutzer) diesen Container überhaupt beachten, wenn ein bisserl Inhalt auf dem PC vorhanden ist.
Also ist der Knackpunkt sehr viel wahrscheinlicher die Nutzung und da ist es wiederum wahrscheinlich vollkommen egal, ob das Zeug in einem nun geöffneten Truecrypt-Container liegt oder nicht. Ich nutze, "er" kann mitnutzen. Ich nutze nicht, "er" wird bei genügend Dateien (je nach Struktur und Benennung zugegeben) nichts sehen.
Selbstverständlich sind Szenarien durchaus denkbar, bei denen auch bei Backdoor/RAT ein Truecrypt-Container genau doch geholfen hätte - unter der Voraussetzung dass ein System so mies gepflegt und benutzt wurde, dass ein Backdoor installiert wurde.
So wäre zum Beispiel vor allem aber nicht nur bei gezielter Suche auf einem PC mit vielem Bild-, Spiele-, Film- und Musikzeug aber nur einer Handvoll "ernsthafter" Officedokumente eine Passwort-Word-Datei doch eher leicht herauszufinden.

Unter der Prämisse, dass man sich ein unerwünschtes RAT unbemerkt installiert, wäre aber u.U. sogar ein Honey-Pot-TrueCrypt-Fake-Container mit dem Namen "Passwörter" hilfreich Gib dem Hund einen Knochen zur Ablenkung zum Spielen.

Aber ein TrueCryptordner als Schutz gegen Ausspähung durch Backdoors kommt mir vor wie ein Sturzhelm bei einer normalen Autofahrt. Ich würde erst mal die Bremsen, meine Fahrweise, Sicherheitsgurte, Airbags etc. überprüfen (lassen)/hinterfragen.

Zitat:

Zitat von W_Dackel

Auch das Risiko dass irgendwer Daten auf nem USB Stick mitnimmt lässt sich mit einem solchen Container reduzieren...

Was meinst du was unter "physischem Zugriff" zu verstehen ist?

Zitat:

Zitat von W_Dackel

solche Tricks wie man die Bildschirmdarstellung mit Steuerzeichen manipuliert haben wir damals schon auf C64 und seinen Vorgängern als Listschutz verwendet. (Um zu verhindern dass jemand unsere Basic Programme listet.. manchmal auch um sie beim "List" Befehl strukturierter darzustellen...) Die sind weder neu noch MS spezifisch...

"Scherze" mit "falschen" Zeichen in (MS-)DOS-Dateinamen gibt es seit Anfang an, nichtdarstellbare Zeichen waren tatsächlich ein relativ guter Kopierschutz zeitlich vor dem NC, anderen "grafischen" Shells oder gar grafischen Benutzeroberflächen, bei denen nicht mehr nur per reinem Konsolenbefehl kopiert werden musste (oder angesehen oder ...). Man musste ja wissen, welches Zeichen sich hinter dem nicht dargestellten Zeichen verbarg.

Zitat:

Zitat von Shadow

Ob

Unter der Prämisse, dass man sich ein unerwünschtes RAT unbemerkt installiert, wäre aber u.U. sogar ein Honey-Pot-TrueCrypt-Fake-Container mit dem Namen "Passwörter" hilfreich Gib dem Hund einen Knochen zur Ablenkung zum Spielen.

Ich musste RATs auf die harte Tour lernen

Da gibt es jemand der nicht lassen kann ständig sowas mir unterzujubeln, oder sonst auch nerven und dies seit anfang 2011. er ist unähig zuverstehen das ihm leerlaufen zulassen, meine hauptverdeigungsstragie gegen ihm ist. die chance das er von sich aus aufgibt ist recht gering.

Meine frage ist, gibt es mit ihre ethik vereinbare methode um seine identität zu kommen??? vorsichtig zusein zählt nicht zu seine eigenschaften.

hi
@W_Dackel
falls das mit "nicht neu" auf meine aussage bezogen war, habe ich mich missverständlich ausgedrückt, ich wollte nur sagen, dass es seit 011 vermehrt backdoors im usenet gibt, die solche techniken verwenden

Der TE schien das für neu zu halten....

@Schatten: ich generiere mir gerade einen Truecryptcontainer mit "GeheimeJobPasswörter" (kicher)


Ernsthaft: ich habe hier eine gut gepatchte Linux Kiste... Software nur aus vertrauenswürdigen Quellen.. und NoScript auf dem Firefox.. erlaube nur Skripte von Seiten die unabdingbar sind.... das Ganze sitzt als PC hinter einem DSL Router... für private Zwecke müsste das Ganze eigentlich reichen...

hi
ungewöhnlich ists ja auf jeden fall.
na die noscript diskusion hatten wir ja erst hehe.
aber malware auf seinem eigenen system auszuführen, hmm

Was meinst du mit Malware auf dem eigenen System auszuführen ? Die Norton Firewall ?

nein im post1 hatte ich es so verstanden das er die malware in nem eingeschrenktem konto laufen lies
also neme ich an auf seinem produktiev system

Macht Ihr Sicherheitsexperten das nicht laufend ?

Malwareverdächtige Software auf Produktivsystemen mit vertraulichen Kundendaten auszuprobieren?

Wenn diese Geräte mit "Internet Security Suites" geschützt sind kommt es vielleicht auf etwas Schadsoftware mehr oder weniger nicht mehr so an .. oder ?

ich fahre dazu extra zur nechst gelegenen sparkassen filiale, no risk, no fun.

Wo ist da das Risiko ? "Systemrelevante" Banken werden im Falle eines Problems vom Steuerzahler gestützt.