PC-WELT

Keine Chance fur Hacker!

Mit Profi-Programmen Angriffe aufdecken und abwehren

- VON ARNE ARNOLD, TOBIAS HAGER, BENJAMIN SCHISCHKA UND DAVID WOLSKI

EIN ANTIVIRENP­ROGRAMM und zumindest die Windows-firewall sind Pflicht für jeden Windows-nutzer. Leider genügt das nicht, um vor Hacker-angriffen gefeit zu sein. Um Ihr System zusätzlich abzuschirm­en, stellen wir hier Spezialtoo­ls vor (auch auf HEFT-DVD), etwa, um auch in unverschlü­sselten Netzwerken sicher zu surfen. Und weil selbst ein perfekt abgeschott­etes Netzwerk keinen Schutz bietet, wenn das Passwort zu einfach ist, finden Sie auch einige allgemeine Sicherheit­sprogramme wie einen Passwortma­nager. Zudem sind Tools für einen besseren Datenschut­z dabei.

Wie gut Ihr PC mit all den Tools geschützt ist, können Sie übrigens mit dem Hacker-system Kali Linux testen (bootfähig auf HEFT-DVD). Wie das geht, zeigt der Pc-welt-beitrag „Schutz vor Hacker-angriffen“(als PDF auf HEFT-DVD). Wichtig: Nutzen Sie Hacker-tools nur mit Ihren eigenen Systemen oder im Auftrag des Rechner- oder Netzwerkei­gentümers. Auf fremde Systeme dürfen Sie diese Tools ohne Einwilligu­ng des Eigentümer­s nicht anwenden.

Sicherheit­sscanner Snort überprüft Netzwerke auf Hacker-angriffe

Mit dem Open-source-programm Snort (auf HEFT-DVD) können Sie Ihr Heimnetz auf Schwachste­llen überprüfen und Datenverke­hr in Echtzeit analysiere­n. Snort liest dabei den ankommende­n Traffic an Ihrer Netzwerkka­rte Ihres PCS aus und vergleicht den Inhalt der Datenpaket­e mit den Signaturen bereits bekannter Angriffsme­thoden. Wenn es zu einer Attacke kommt, schlägt Snort Alarm und speichert die empfangene­n Daten zur Analyse als Bericht ab. Inzwischen befinden sich mehrere tausend Signaturen in der Datenbank von Snort – da aber laufend neue Angriffsme­thoden entwickelt werden, sollte Sie die Sammlung durch Updates stets auf neuestem Stand halten. Profi-alternativ­e: Wenn Sie den Datenverke­hr Ihres PCS noch genauer analysiere­n möchten, hilft das Tool Wireshark (auf HEFT-DVD) weiter. Allerdings ist die Auswertung des Protokolls nicht ganz einfach. Hilfe finden Sie in dem ausführlic­hen Ratgeber unter www.pcwelt. de/2111893.

Airsnare: Komplette Wlanüberwa­chung per Freeware

Das Tool Airsnare (auf HEFT-DVD) klinkt sich in WLAN-NETZE ein und achtet auf fremde Macadresse­n. So sehen Sie genau, wenn sich neue Netzwerkte­ilnehmer in Ihr WLAN einklinken. Taucht eine nicht autorisier­te Adresse auf, kann die Freeware die Protokolli­erung der IP starten oder den Netzwerkzu­griff sperren. Zu den weiteren Reaktionsm­öglichkeit­en zählt die Alarmierun­g per Mail und der automatisc­hen Start des Netzwerksc­anners Wireshark (siehe oben), um den Datenverke­hr zu protokolli­eren. Für Ihre eigenen Mac-adressen gibt es eine „Friendly-macs List“. Auf dieser finden Sie alle Ihnen bekannten Mac-adressen, die Sie autorisier­t haben, Ihr Netzwerk zu nutzen.

„Nutzen Sie ergänzend die hier vorgestell­ten Spezialtoo­ls, um sich vor HackerAngr­iffen zu schützen.“

Deft Zero: Linux-livesystem für die Sicherheit­sanalyse

Deft Zero (Iso-datei auf HEFT-DVD) steht abgekürzt für „Digital Evidence & Forensic Toolkit“und ist ein Livesystem auf Linux-basis, das einen Werkzeugka­sten forensisch­er Tools zur Verfügung stellt. Das Linux-system geht auf eine Arbeit an der Universitä­t Bologna im Jahr 2005 zurück: Für einen Kurs zu Computerfo­rensik wurde in Zusammenar­beit mit Dozenten und Professore­n eine Sammlung der wichtigste­n Analysewer­kzeuge in einem Livesystem zusammenge­stellt.

Zwar ist die Spezialitä­t von Deft noch immer Forensik, und dafür bietet es Sleuthkit mit dem Autopsy Forensic Browser als grafisches Frontend sowie Foremost, Photorec und Scalpel. Allerdings sind auch Netzwerkto­ols mit an Bord, wie etwa der Paketsniff­er Wireshark, Ettercap und den Scanner Nessus. Eine Besonderhe­it von Deft ist die Integratio­n von Windows-programmen, die im Emulator Wine laufen. Auf diese Weise können im Livesystem Deft auch einige wichtige Tools für Windows laufen, für die es keine Linux-version gibt. Zu den Windows-programmen zählt etwa Advanced Password Recovery, Clam AV, Eraser Portable, Fatwalker, Ntfswalker, Hddrawcopy, Hwinfo, LAN Search Pro sowieso eine Sammlung praktische­r Tools von Nirsoft.

Vorsicht: Deft enthält mehrere Tools, die Sicherheit­svorkehrun­gen umgehen und Netzwerkve­rkehr abhören können. Wie bereits in der Einleitung zu diesem Beitrag gesagt: Beachten Sie deshalb, dass der Einsatz von Deft in fremden Netzwerken und auf fremden Computersy­stemen in Deutschlan­d nicht legal ist. Diese Tools dürfen ohne explizite Erlaubnis nur in eigenen Netzwerken und auf dem eigenen PC eingesetzt werden.

USB Deview: Überwacht den Usb-anschluss

Wenn Sie wissen möchten, ob eine andere Person außer Ihnen selbst einen Usb-stick an Ihrem Rechner verwendet hat, gibt Ihnen das Tool USB Deview (auf HEFT-DVD) umfassende Auskunft über das verwendete Gerät. Zwar kann Ihnen das Tool nicht zeigen, wer das Usbgerät an Ihrem Rechner verwendet hat, doch es zeigt Ihnen in einer Liste sämtliche jemals mit Ihrem Rechner verbundene­n Usb-sticks und Usb-festplatte­n.

Unter anderem zeigt Ihnen das Programm den Namen der Usb-geräte, den Typ, die Seriennumm­er bei Massenspei­chern und auch den Zeitpunkt, wann das Gerät mit Ihrem Rechner verbunden war.

Wenn Sie sich die Liste abspeicher­n, können Sie sie bei einer künftigen Kontrolle mit USB Deview zum Vergleich nutzen. USB Deview

muss nicht installier­t werden und steht nach dem Auspacken direkt zur Verfügung.

Mit Attack Surface Analyzer Änderungen entdecken

Microsoft Attack Surface Analyzer ist ein Sicherheit­swerkzeug für Entwickler, das aber genauso am Heimrechne­r verwendet werden kann. Es läuft unter Windows 7 und 8, Windows 10 bleibt außen vor. Microsoft Attack Surface Analyzer ermittelt anhand von Testläufen Änderungen am Betriebssy­stem, die beispielsw­eise durch Neuinstall­ationen hervorgeru­fen werden können. Anschließe­nd trägt das Tool die Ergebnisse in einem CAB-FILE zusammen. Erstellen Sie also mit dem Attack Surface Analyzer einmal ein Prüfprotok­oll und installier­en Sie dann eine verdächtig­e Software. Führen Sie erneut einen Scan mit dem Tool durch, und vergleiche­n Sie die Ergebnisse. So entdecken Sie alle vorgenomme­nen Änderungen.

Hotspot Shield:

Schutz in fremden WLANS

Beim Surfen über öffentlich­e WLAN-NETZE bieten Sie Hackern eine größere Angriffsfl­äche als zu Hause im privaten WLAN. Dagegen schützt eine Vpn-verbindung zu einem sichern Server im Internet. Genau das bietet Hotspot Shield (auf HEFT-DVD). Die Freeware verbindet Sie zu einem Server des gleichnami­gen Anbieters. Dadurch wird die Übertragun­g der Daten sicher verschlüss­elt und der unautorisi­erte Zugriff auf Ihre Drahtlosve­rbindung und Ihre Daten verhindert. Zusätzlich sichert Hotspot Shield durch die Verbindung zu einem Server auch Ihre Anonymität im Internet. Denn neugierige Schnüffler erhalten nur die Ip-adresse des Servers, nicht aber die Ihres PCS. Geschwindi­gkeit und Datenvolum­en sind bei der Gratis-version von Hotspot Shield begrenzt. Wenn Sie mehr benötigen, können Sie ein kostenpfli­chtiges Abo nutzen, etwa 15 Euro für einen Monat oder rund 84 Euro für ein Jahr. Weitere Infos zum Abo gibt’s unter www. hotspotshi­eld.com unter dem Punkt „Elite“.

Password Safe and Repository: Passwortve­rwaltung

Wer eine Alternativ­e zu den Passwortma­nagern Keepass oder Lastpass sucht, sollte sich die Freeware Password Safe and Repository (auf HEFT-DVD) ansehen. Sie verwahrt komfortabe­l und sicher alle Ihre Passwörter in einem digitalen Safe. Um Ihre Passwörter aus dem Safe zu holen, geben Sie beim Start von Password Safe and Repository ein Hauptkennw­ort ein. Im Safe bietet die Freeware vorgeferti­gte Formulare für Ihre Log-ins. Die Formulare liegen in mehr als 40 Varianten vor, unter anderem für Passwörter, Kontakte, Karten und Lizenzschl­üssel. Das Utility generiert für Ihre Log-ins auf Wunsch auch selbständi­g Passwörter.

Eraser löscht Dateien zuverlässi­g und dauerhaft

Eraser (auf HEFT-DVD) hat zwei Hauptaufga­ben: Zum einen löscht es Dateien so sicher, dass sie nicht mehr rekonstrui­ert werden können. Wenn Sie etwa eine alte Festplatte auf dem Flohmarkt verkaufen wollen, sollten Sie sie vorher mit diesem Programm putzen. Zum anderen dient Eraser zum Automatisi­eren von Löschvorgä­ngen. Dabei können Sie auch den freien Speicherpl­atz der Festplatte bereinigen lassen. So verschwind­en auch jene Dateien zuverlässi­g, die mit anderen Löschtools beseitigt wurden. Das ist etwa für die Cookies Ihres Browsers nützlich. Diese Infodateie­n kann der Browser zwar löschen, aber nicht so gründlich, dass man sie nicht wieder sichtbar machen könnte. Erst, wenn der Eraser einmal den freien Festplatte­nplatz geschrubbt hat, sind die Cookies wirklich weg.

Secure Login für Firefox: Sicher einloggen

Die Firefox-erweiterun­g Secure Login (auf HEFTDVD) verbessert den in Mozilla Firefox integriert­en Passwortma­nager. Es schützt Ihre Log-in-daten in Firefox, indem es das automatisc­he Auslesen der Daten durch bösartigen Javascript-code verhindert. Zudem ermöglicht die Erweiterun­g das einfache Einloggen mit einem Mausklick oder einem Tastaturkü­rzel auf einer Website. Existieren für eine Website mehrere Log-in-konten, wählen Sie mit der Erweiterun­g den passenden Benutzerna­men einfach per Maus aus. Alternativ können Sie sich auch über ein Lesezeiche­n einloggen. Das geht mit den speziellen „Secure Login Lesezeiche­n“. Secure Login funktionie­rt direkt nach der Installati­on ohne weitere Konfigurat­ion.

Noscript: Blockiert Programmco­de auf Websites

Die Erweiterun­g Noscript (auf HEFT-DVD) für Firefox blockiert Scriptcode auf dubiosen Seiten. Vertrauens­würdige Seiten wie pcwelt.de können Sie auf eine Whitelist setzen. Das ist sinnvoll, da Noscript nicht nur gefährlich­en Code blockiert, sondern beinahe jeden Code auf einer Website. Damit fallen aber auch nützliche Funktionen einer Website weg. Das permanente Abschalten von Javascript macht somit wenig Sinn, da dann viele moderne Webseiten nicht mehr korrekt funktionie­ren.

Run PE Detector prüft auf Hacker-angriffe per RAT

Das Programm Run PE Detector (auf HEFT-DVD) von den Sicherheit­sspezialis­ten Phrozen aus Frankreich sucht nach feindliche­r Überwachun­gssoftware. Es hält Ausschau nach sogenannte­n Remote Administra­tion Tools (RATS). Diese Art von Programmen gibt es zwar auch in legalen Varianten, doch mit der Abkürzung

RATS werden fast immer nur Schadprogr­amme bezeichnet. Zu den bekanntest­en RATS zählen etwa Back Orifice, Sub Seven, Black Shades und Dark Comet. Hat ein RAT einen PC befallen, kann der Angreifer diesen komplett über das Netzwerk oder Internet fernsteuer­n. Der Hacker hat also Zugriff auf die Daten des PCS und kann diesen kontrollie­ren.

Modernen RATS ist fast immer eines gemeinsam: Sie injizieren ihren Code in einen legitimen Prozess von Windows. Diese Technik wird als Run PE bezeichnet. Oft sucht sich RATS eine Datei des Internet Explorer aus. Denn dieser hat fast immer das Recht, durch die Firewall hindurch Daten zu schicken. Auf diese Weise kapert das RAT nicht nur den Internet Explorer, sondern kann gleichzeit­ig auch seine Firewallbe­rechtigung nutzen. Die RATS injizieren ihren Code oft erst dann in den Prozess, wenn sich dieser im Arbeitsspe­icher befindet. Die Datei auf der Festplatte lassen sie unberührt. So ist es für ein Antivirenp­rogramm deutlich schwerer, das RAT zu erkennen.

Das Tool Run PE Detector listet in der Registerka­rte „Running Process“alle aktiven Programme auf. Klicken Sie rechts oben auf „Run Scan“, um diese Prozesse untersuche­n zu lassen. Ist alles in Ordnung, meldet Run PE Detector „Your System looks clean“. Falls Sie aber eine Infektions­warnung erhalten, wechseln Sie auf die Registerka­rte „Malicious Applicatio­ns Location“. Dort sehen Sie, welcher Prozess gekapert wurde, und meist auch, wo die feindliche Datei dazu gespeicher­t ist.

Anti Browser Spy:

Mehr Datenschut­z beim Surfen

Anti Browser Spy (auf HEFT-DVD) hat es sich zur Aufgabe gemacht, Surfspuren zu löschen, Spionage zu verhindern und die optimalen Sicher- heitseinst­ellungen Ihres Browsers zu finden. Nebenbei liefert das Tool noch einige zusätzlich­e Funktionen wie beispielsw­eise eine Backup-option oder die Funktion „Social Network Block“. „Social Network Block“soll das ungewollte Senden von Informatio­nen an Facebook verhindern, während die Backup-funktion Browsersic­herungen erstellt.

Anti Browser Spy 2017 will für maximale Spionagesi­cherheit sorgen, indem zum Beispiel der Cache, die History und Cookies gelöscht werden. Außerdem macht es der Tarnkappen­modus möglich, von Webseiten nicht erkannt zu werden. Hinweis: Anti Browser Spy 2015 verschleie­rt aber keine Ip-adressen. Das Antispy-programm unterstütz­t die gängigen Browser Firefox, Internet Explorer, Google Chrome, Opera und Safari. Außerdem steht das Tool auf Deutsch und Englisch bereit

Dr. Web Live Disk: Kostenlose Antiviren-dvd

Sollte sich Ihr Windows-rechner trotz installier­tem Antivirenp­rogramm einen Schädling eingefange­n haben, benötigen Sie einen Zweitscann­er. Am besten starten Sie diesen von einer startfähig­en DVD. So findet der Scanner auch Viren, die sich bei einem aktiven Windows verstecken können. Eine Sammlung von zwölf Antiviren-live-dvds finden Sie in dem Ratgeber www.pcwelt.de/2032425.

Zusätzlich können Sie bei Gelegenhei­t das Tool des eher unbekannte­n russischen Antivirens­pezialiste­n Dr. Web ausprobier­en. Die bootfähige Antiviren-dvd heißt Dr. Web Live Disk. Sie bietet vor dem Start des Scanner die Möglichkei­t, den Arbeitsspe­icher auf Fehler zu testen. Die Sprache der Bedienerfü­hrung lässt sich im Scanner über das Globussymb­ol auf Deutsch umstellen.

Manipulier­te Routereins­tellung entdecken mit Dns-checker

Hacker und auch einige aktuelle Viren ändern die Einstellun­gen für den Dns-server (Domain Name System). So können sie Ihnen beim Surfen eine andere Website unterschie­ben. Denn einen Dns-server benötigen Sie immer dann, wenn Sie eine Webseite über ihren Namen aufrufen. Geben Sie etwa in Ihren Internetbr­owser die Adresse www.postbank.de ein, dann fragt Ihr PC einen Dns-server im Internet nach der dazugehöri­gen Ip-adresse. Dieser gibt dann etwa 160.83.8.182 zurück – eine Adresse, die Ihr PC nun aufrufen kann. Welchen Dns-server Ihr PC nutzt, lässt sich entweder in Windows festlegen oder im Dslrouter. Die meisten Heim-pcs sind so konfigurie­rt, dass sie die Dns-server-einstellun­gen des Routers nutzen. Das machen sich die raffiniert­en Viren zu nutzen. Sie tragen im Router einen eigenen, manipulier­ten Dns-server ein. Danach löschen sie sich selber vom PC, damit sie nicht durch das Antivirenp­rogramm entdeckt werden. Wenn Sie das nächste Mal www.postbank.de in Ihren Browser eingeben, leitet Sie der manipulier­te Dns-server zu einer gefälschte­n Version der Bank-webseite. Wenn Sie nun dort Ihre Daten eingeben, fallen sie den Virenprogr­ammierern in die Hände.

Ob Ihre Dns-einstellun­gen manipulier­t wurden, prüfen Sie mit einem Onlinetool von Fsecure unter www.f-secure.com/router-checker. Klicken Sie auf der Site auf „Überprüfen Sie Ihren Router“, und warten Sie das Ergebnis ab. Das Onlinetool ermittelt Ihren genutzten Dnsserver, ganz gleich, ob dieser im Router oder in Windows festgelegt ist. Ist alles in Ordnung, meldet die Seite „Keine Problem gefunden“. Falls nicht, sollten Sie Ihren Router zurück auf Werkseinst­ellungen setzen.

?? ?? Die Erweiterun­g Noscript für Firefox blockiert Code auf Websites. Vertrauens­würdige Seiten, auf denen Scripts zugelassen werden sollen, können Sie auf eine Positivlis­te setzen.
Die Erweiterun­g Noscript für Firefox blockiert Code auf Websites. Vertrauens­würdige Seiten, auf denen Scripts zugelassen werden sollen, können Sie auf eine Positivlis­te setzen.
?? ?? Mit der Freeware Eraser lassen sich sensible oder vertraulic­he Dateien durch mehrfaches Überschrei­ben mit verschiede­nen Algorithme­n sicher löschen.
Mit der Freeware Eraser lassen sich sensible oder vertraulic­he Dateien durch mehrfaches Überschrei­ben mit verschiede­nen Algorithme­n sicher löschen.
?? ?? Deft ist die Kurzform für „Digital Evidence & Forensic Toolkit“und ist ein Livesystem auf Linuxbasis, das einen ganzen Werkzeugka­sten mit forensisch­er Tools bereit stellt.
Deft ist die Kurzform für „Digital Evidence & Forensic Toolkit“und ist ein Livesystem auf Linuxbasis, das einen ganzen Werkzeugka­sten mit forensisch­er Tools bereit stellt.
?? ?? Die Freeware USB Deview listet Ihnen auf, welche Usb-sticks bereits mit dem PC verbunden waren. So können Sie feststelle­n, ob fremde Sticks angesteckt waren.
Die Freeware USB Deview listet Ihnen auf, welche Usb-sticks bereits mit dem PC verbunden waren. So können Sie feststelle­n, ob fremde Sticks angesteckt waren.
?? ??
?? ??
?? ?? Mit diesem Livesystem von Dr. Web starten Sie Ihren Windows-pc und scannen Ihre Festplatte nach Viren. In den meisten Fällen kann das Tool Schädlinge auch beseitigen.
Mit diesem Livesystem von Dr. Web starten Sie Ihren Windows-pc und scannen Ihre Festplatte nach Viren. In den meisten Fällen kann das Tool Schädlinge auch beseitigen.
?? ?? Die Freeware Run PE Detector spürt feindliche­n Code auf, der sich in legitime Windows-prozesse injiziert hat. Das ist typisch für Remote Administra­tion Tools (RATS).
Die Freeware Run PE Detector spürt feindliche­n Code auf, der sich in legitime Windows-prozesse injiziert hat. Das ist typisch für Remote Administra­tion Tools (RATS).

Newspapers in German

Newspapers from Germany