Der Chaosknoten Chaos Computer Club e.V.

          suche

ist das Logo des CCC
Deutsch English


FAQ - Sicherheit

28. Dezember 2006 (goose)
CCC FAQ Part 7: Sicherheit

Passwörter

F: Was sind gute, was sind schlechte Passwörter?

A: Schlecht: Alles, was in einem (irgendeinem, auch fremdsprachlichen!) Lexikon steht. Telefonnummern, Personalnummern, EC-Geheimzahl(!). Namen von Ehemann, Freundin, Kind, Hund, Boot, Lieblings{star, auto, ...}. Benutzername auch in Variationen, z.B. rückwärts.

Ein gutes Beispiel ist: DMA-Kwv1vEb. Wie man sich so was merkt? Gar nicht so schwer: Ich denke mir einen (möglichst etwas unsinnigen) Satz aus, auf den auch diejenigen nicht so leicht kommen, die mich kennen. Dann baue ich noch Variationen ein, z.B. Aus dem Wort "einem" wir eine "1". Aus dem Krimskrams da oben kann keiner schließen, was für einen Satz ich mir gewählt habe, und das Ergebnis ist auch kaum merkbar ohne den Schlüsselsatz ("Die Mercedes A-Klasse wurde von einem virtuellen Elch besiegt"). Das Beispiel ist nicht einmal besonders gut, weil auf ein aktuelles Ereignis Bezug genommen wird, und ich immer nur den ersten Buchstaben statt z.B. den letzten der Worte genommen habe. Aber dieses Passwort wäre besser als 95% der hierzulande benutzten, da bin ich sicher, wenn es jetzt nicht hier gepostet wäre, was es zu einem der unsichersten Passwörter macht :-)

F: Gibt es ein anständiges Programm um die Passwort-Datei aus einem UNIX-Server (mit allen Login/Passwort Daten des Servers) in den Klartext zu übersetzen?

A: Die Passwort-Datei bei einem UNIX-Rechner heißt /etc/passwd (allgemeinlesbar) oder /etc/shadow (nicht lesbar), bei manchen Systemen auch /etc/security/shadow. Die Verschlüsselung der Passwörter beruht auf einem sog. "Falltür-Algorithmus". Das heißt, die Berechnung des Ciphertextes aus dem Klartext ist einfach, der umgekehrte Vorgang jedoch sehr schwer. Im Falle der UNIX-Passwörter ist es ein modifizierter DES-Algorithmus, der mit de facto 56+12=68 Bit Schlüssellänge arbeitet. Was durchaus geht (und zur Entwicklung der nicht lesbaren shadow-Dateien geführt hat), ist ein "brute force-Angriff" (alles durchprobieren) oder der einfachere "Dictionary-Angriff". Beim Dictionary- Angriff nimmt man ein großes Wörterbuch, und verschlüsselt es mit allen 2^12=4096 möglichen Schlüsseln. Die so ermittelten verschlüsselten Begriffe kann man recht schnell mit den verschlüsselten Passwörtern aus der Passwort-Datei vergleichen.

Gegen dieses Angriffsverfahren helfen gute, d.h. nicht im Wörterbuch vorhandene Passwörter (siehe auch die Frage zur Passwortsicherheit).

Für Brute-Force, bzw. Dictionary Angriffe gibt es einige Programme die sich bewährt haben. Unter Unix läuft Crack5, es unterstützt den Einsatz von mehreren Rechnern und andere Gimmiks. Für DOS-Programme gibt es Cracker wie Jack.

Passwort vergessen

F: Ich habe eine Worddatei mit einem Passwort versehen. Leider habe ich das Passwort vergessen. Gibt es eine Möglichkeit, den Inhalt der Datei wieder lesbar zu machen?

A: Die Verschlüsselung einer Worddatei mittels eines Passwortes ist kein probates Mittel, um den Inhalt vor unerwünschtem Lesen zu bewahren. Das Programm "wordcrak" entschlüsselt alle Passwörter von Worddateien, die im Format 2.0 (das umfasst alle Word-Versionen bis 5.x) oder im Format 6.0 (Word 6, 7 und 95) vorliegen. Wordcrak steht auf vielen FTP-Servern zum Download bereit.Den für Dich günstigsten erfährst Du bei FTP-Search [Externer Link]http://www.alltheweb.com/?c=ftp.

F: Geht das auch bei Excel?

A: Nein, das macht ein anderes Tool. Für diese Art Passwortschutz gibt es auch Löhnsoft über [Externer Link]http://www.crak.com/.

F: Und MS-Access?

A: Das geht auch. Guck mal hier nach: [Externer Link]http://members.aol.com/proetzsch/Tips/Tip01.html.

F: Meine ZIP-Diskette habe ich passwortgeschützt, und nun habe ich das Passwort vergessen!

A: Das ist kein wirkliches Problem. Nimm eine nicht geschützte ZIP-Diskette. Versehe sie mit einem Passwort (merken!). Nun warte, bis das Laufwerk aufgehört hat zu laufen (wichtig!). Werfe die Diskette mit dem Notmechanismus aus (Büroklammer in das kleine Loch hinten, nicht den Auswurfknopf vorn drücken). Nun lege Deine geschützte Diskette ein. Du kannst nun das Passwort ändern (bei "altes Passwort" das von der neuen Diskette nehmen). Diskette mit dem normalen Knopf vorne auswerfen. Fertig!

Es gibt eine Website, die sich mit so was beschäftigt: [Externer Link]http://www.password-crackers.com/crack.html. Pass auf, lass Dich nicht über den Löffel barbieren und pass auf, dass Dir kein Trojaner untergejubelt wird.

Trojanische Pferde und Viren

F: Wie funktionieren "Trojanische Pferde" beziehungsweise was ist das überhaupt?

A: Das Prinzip des sog. "Trojanischen Pferdes" oder auch "Trojaners" basiert kurz gesagt darauf, jemand ein gutes Programm unter zu jubeln. Das Programm macht in der Regel auch was es soll, führt aber gleichzeitig Operationen aus, die dem Nutzer verborgen bleiben und ihm Schaden zufügen.

Wir erklären das einmal etwas genauer. Der erste Schritt ist, ein beliebiges, für das Opfer sinnvolles Programm zu schreiben. Im Falle des T-Online-Hacks war das z.B. ein Programm zur Verwaltung von irgendwelchen Daten, es könnte sich aber genauso gut um eine Textverarbeitung oder ein Betriebssystem handeln. Gerüchte, dass Windows über einige Hintertürchen verfügt, kursieren - ein Beweis steht bis dato noch aus. So ein Programm entspricht dem trojanischen Pferd im historischen Sinne. (Du kennst diese Geschichte sicherlich soweit, griechische Mythologie und so?)

Als zweites baust Du in das Programm eine Funktion ein, die nicht zum Programm selbst zählt, beispielsweise lässt Du es Zugangsdaten über eine bestehende Internetverbindung posten, die das Programm irgendwo auf der Festplatte findet... Im historischen Sinne waren dies die Krieger im Inneren des Pferdes. (Nachzulesen in Homers' Ilias)

Der dritte (entscheidende) Schritt ist nun, dieses Pferd richtig zu platzieren: Historisch wurde das Pferd als Versöhnungsgeschenk angepriesen, in unserem Fall heißt das, das Opfer muss die Software erhalten und mindestens einmal starten.

F: Was haltet Ihr von Virenscannern?

A: Virenscanner sind ein zu diskutierendes Thema. Unreflektiert einen Virenscanner zu installieren, und dann zu glauben, dadurch sei ein System vor Viren geschützt, ist naiv.

Bauartbedingt funktionieren Virenscanner zunächst mal nur einigermaßen gut zum Erkennen von bereits bekannten Viren. Die Erkennung von unbekannten Viren, die manche Hersteller zu implementieren suchen, funktioniert prinzipiell nicht vollständig.

Zudem muss ein Virus erkannt werden, bevor er das erste Mal ausgeführt wird. Ist es einem Angreifer gelungen, unerwünschten Code z.B. über einen Virus auf einem System auszuführen, so muss dieses System ab da als kompromittiert betrachtet werden - und Virenscannern auf kompromittierten Systemen darf man wie aller Software auf solchen Systemen nicht mehr vertrauen.

Sinnvoller ist es, die Möglichkeiten zu beschränken, dass es überhaupt ermöglicht wird, unerwünschten Code auf Systemen automatisiert auszuführen. Das ist einer Prüfung, ob ungewünschter Code bereits vorliegt, in jedem Falle vorzuziehen.

Die meisten Hersteller und Entwickler von Betriebssystemen versuchen deshalb, das von Anfang an unmöglich zu machen - und müssen hin und wieder nachbessern.

Leider ist es auf Windows-Systemen so, dass diese verhältnismäßig viele Möglichkeiten bieten, Code automatisiert auszuführen. Deshalb ist es sehr schwierig, Windows-Systeme vor dem unberechtigten Ausführen von Code grundsätzlich zu schützen.

Virenscanner, bewusst eingesetzt, können hier als die zweitbeste Lösung gesehen werden. Sinnvoll angewandt, können Sie dazu dienen, zu erkennen, ob bereits unerwünschter Code vorliegt. Diese Prüfung funktioniert aber nur in einer Richtung - erkennt ein Virenscanner nicht, dass bereits unerwünschter Code (also Viren) vorliegen, bedeutet das noch lange nicht, dass wirklich keine vorliegen.

F: Ich glaube, ich hab' mir da was eingefangen. So'n Trojaner oder Virus...

A: Eine Sammlung von Tipps zu Viren und Downloadadressen findet sich auf [Externer Link]http://www.heise.de/ct/antivirus/.

Internet-Sicherheit

F: Sind meine Browser-Einstellungen sicher? Kann da mal jemand nach gucken?

A: Ja. Da gibt es bei Heise eine Webseite, die bei Dir nach guckt: [Externer Link]http://www.heise.de/ct/browsercheck/

F: Kann mal jemand meinen Rechner abscannen, ob da alles ok ist?

A: Ja, das macht ein automatisches Skript das von Heise und dem Niedersächsischen Datenschutzbeauftragten entwickelt wurde: [Externer Link]http://www.heise.de/security/dienste/portscan/

F: Kann ich meinen Rechner nicht wenigstens ein bisschen absichern? Hilft mir dabei eine Personal Firewall?

A: Zu allererst: Die Dinger heissen so, weil für Marketing-Leute alles was "Firewall" im Namen trägt toll und sicher klingt. Es sind aber KEINE Firewalls, weil sich ihre Funktionalität nur auf einen ganz kleinen Teil der Firewalling-Funktionalität bezieht: Auf das Filtern von IP-Paketen.

Q: Also sind "Personal Firewalls" Paketfilter?

A: Nein, auch wenn PFWs was mit dem Filtern von Paketen zu tun haben, sind sie im Allgemeinen keine Paketfilter. Sie sind Konfigurationshilfen für Paketfilter. Wie der Begriff "filtern" schon sagt, will man manche Pakete haben (E-Mail, Web-Seiten, etc.), manche nicht (alles andere, im Prinzip). Das ist aber nicht für alle Leute gleich, sondern man muss es erstmal einstellen, in sog. Filterregeln.

Um rauszufinden, was man da einstellen muss, kann man entweder RfC's oder Bücher lesen -- definitiv the way to go, wenn man was auf sich hält -- oder man installiert ein Programm, das einen jedesmal fragt. Nervig, aber auch für Spatzenhirne geeignet. Die Idee ist: Hast Du gerade selbst irgend'ne Aktion getätigt, die der Grund für die Frage der PFW sein könnte? Alles klar, neue Regel, die solche Pakete erlaubt. Wenn nicht, auch klar, neue Regel, die solche Pakete verbietet. Deshalb: Erstmal alles verbieten und denn selektiv wieder aufmachen. Definitiv nicht andersrum!

In der [Externer Link]Firewall-FAQ findet man ein bisschen mehr Hintergrundinformationen zu Netzwerken allgemein und insbesondere richtigen Firewalls. Bitte nicht verwechseln, die Autoren werden sonst ungehalten.

F: Bin ich mit einem Paketfilter sicher vor Angriffen aus dem Netz?

Nope, denn wie oben beschrieben kann ein Paketfilter nur auf der Ebene von Paketen unterscheidet, er schaut nicht in die Pakete rein. Konkret heißt das, er kann nicht unterscheiden, ob Du jetzt gerade die Webseite vom CCC anschaust (gute Idee) oder die vom Pr0n-Freak nebenan, mit 'nem 0190-Dialer drauf (schlechte Idee).

Anders ausgedrückt: Der meiste Schweinkram kommt über dieselben Wege rein, wie der normale Kram auch und deshalb nutzt ein Paketfilter da leider mal genau gar nix. Das heisst, vor Viren und Trojanern schützt Dich ein Paketfilter nicht. Und was noch schlimmer ist, Viren und Trojaner können Paketfilter auch deaktivieren, wenn sie erstmal auf Deinem Rechner sind.

Etwas besser sind da schon externe Paketfilter, wie sie z.B. viele DSL-Router inzwischen mitbringen. Die sind auch meistens noch einfacher zu benutzen, also eine gute Wahl, wenn man erstmal schnell den gröbsten Unfug verhindern will. Ein Ersatz für gebührende Vorsicht sind aber auch diese Geräte nicht. Eine gute Web-Site auf deutsch um sich auf dem Laufenden zu halten ist: [Externer Link]http://www.heise.de/security/

Beispiele dafür, dass Personal Firewalls die Sicherheit sogar über massig herabgesetzt haben, gab es in der Vergangenheit zur Genüge, siehe die Sicherheitsprobleme des Zone-Alarm-Treibers, die dazu führen konnten, dass Systeme mit dieser Software erst angreifbar wurden. Oder dem Fehler in der Kerio-Firewall, der einen DoS-Angriff auf die Maschine, die sie eigentlich schützen sollte, erst ermöglichte. Auch die Symantec/ Norton-Produkte haben schon Systeme unsicher statt sicher gemacht. Für die meisten dieser Produkte gibt es solche Beispiele. Obwohl aktuelle Versionen scheinbar keine Probleme haben, muss dies nicht der Realität entsprechen. Eventuell wurden die Fehler einfach noch nicht veröffentlicht (oder gefunden), was aber jederzeit passieren könnte.

Es gibt deshalb viele Leute, die "Personal Firewalls" grundsätzlich ablehnen, weil sie die Nachteile einer solchen "Personal Firewall" für viel gewichtiger halten als die scheinbaren oder tatsächlichen Vorteile.

In keinem Fall wird durch das einfache installieren von Software die Sicherheit eines Systems erhöht, Sicherheit erfordert immer ein Konzept.

F: Wie kann ich dann meinen Windows-Rechner besser schützen?

Um Windows-Systeme unzugänglicher zu machen, ist es wie bei anderen Systemen auch sinnvoll dafür zu sorgen, dass die Systeme möglichst keine Dienste mehr nach außen anbieten. Einige Personen aus dem CCC haben dazu ein [Externer Link]Programm zum Abschalten von Windows-Dienste geschrieben, das frei herunterladbar ist.

"Sicherheit ist etwas für Leute, die ihren Fallschirm selber zusammen legen."

Chatten

F: Ich bin auf der Suche nach einem Chatter. Kenne aber nur seine E-Mail-Adresse und seine Chatgewohnheiten. Ist es mit Eurer Hilfe möglich, ihn zu lokalisieren?

A: Schreib ihm doch einfach eine Email und frag ihn.

Dumpfbetrug

F: Da quält jemand wehrlose Kätzchen. Da müsst Ihr ganz schnell was gegen tun. Seine Website heißt "Bonsaikitten".

A: Ach, das ist nur ein Schwindel. Bei solchen Sachen immer erst mal bei [Externer Link]http://www.tu-berlin.de/www/software/hoax.shtml nachgucken.

F: Da ist ein neuer böser Virus unterwegs, vor dem schon AOL, Microsoft, das Rote Kreuz und das Bundeskanzleramt gewarnt haben.

A: Ach, das ist nur ein Schwindel. Bei solchen Sachen immer erst mal bei [Externer Link]http://www.tu-berlin.de/www/software/hoax.shtml nachgucken.


Kabelsalat ist gesund.