|
| |
Mit SHIFT-Taste den Autostart umgehen
Wenn ein System instabil arbeitet, kann es an einem Programm liegen, dass automatisch mit jedem PC-Start
geladen wird. Sie können diese Programme über "Start", "Ausführen" und "MSCONFIG" deaktivieren. Hilfreich ist
aber vorab ein Test, bei dem Sie die in der Autostartgruppe enthaltenen Programme beim Neustart komplett
umgehen. Funktioniert der PC dann einwandfrei, können Sie mit MSCONFIG die Suche nach dem Programm aufnehmen.
Das Laden der Programme in der Autostartgruppe verhindern Sie, wenn Sie beim Neustart die "Shift"-Taste
drücken. Damit fährt Windows hoch, ignoriert aber die Programme der Autostart-Gruppe.
20 Spionagetools auf jedem Unternehmens-PC
Spyware bedroht zunehmend Firmen-Netzwerke
Boulder (pte, 24. Dez 2004 08:45) - Nach einer Untersuchung der US-amerikanischen Softwareschmiede aus
Colorado, Webroot , befinden sich auf jedem vernetzten Arbeitsplatzrechner im Durchschnitt etwa 20
Spionageprogramme. Neben Werbeprogrammen (Adware) fand der Spyware-Experte auch System-Monitore und
Trojanische-Pferde, die in der Lage sind, vertrauliche Informationen an
Unbefugte weiterzugeben.
Laut Webroot repräsentiert die Untersuchung eine umfassende Analyse über die Infiltrierung von Unternehmen mit
Spionagesoftware. Zur Prüfung verwendet der Softwarehersteller das Analyse-Tool "SpyAudit", das nach einem
Opt-in-Verfahren die Rechner in Unternehmensnetz nach verschiedenen Formen von Spyware untersuchen kann.
Spyware ist ein sich schnell verbreitender Software-Typ, der in der Lage ist, die Aktivität von PC-Usern
sowohl online als auch offline zu überwachen und die ermittelten Informationen, häufig ohne Wissen der
Anwender, an Dritte weiterzugeben. Die an sich harmlose Adware führt laut Webroot durch ein zunehmendes
Datenaufkommen zu einer reduzierten Bandbreite der Netze und damit zu einer geringeren Produktivität der
Mitarbeiter.
"Unternehmen sind wesentlich lohnendere Ziele für die Spyware-Entwickler als Privatanwender", erklärte Rolf
Dörr, Geschäftsführer von Webroot Europa. "Jede Information, von Kundendaten über die Gehaltslisten und
Produktspezifikationen bis hin zum Quellecode von Programmen, ist potenzielles Ziel für Spionagetools", so
Dörr. Für den Test wurden 10.000 Systeme in über 4.100 Unternehmen gescannt. Für Interessierte steht das
Analysetool "SpyAudit" unter
http://www.webrootdisp.net/entaudit/start.php
kostenlos zum Download zur Verfügung. Laut Webroot kann mit
dem Tool innerhalb von Minuten ein detaillierter Bericht über den Status des untersuchten Systems ermittelt
werden. (Ende)
Über Router und Firewalls
Angriffsarten
Denial of Service
DoS-Angriffe (Denial of Service) geschehen über Geräte und Netzwerke, die mit dem Internet
verbunden sind. Ziel des Hackers ist es, keinerlei Daten zu stehlen, jedoch das Gerät bzw.
Netzwerk zu blockieren, sodass andere Anwender nicht mehr hierauf zugreifen können.
Wie funktioniert das?
Computer kommunizieren über das Internet in einer Sprache, die als TCP/IP bekannt ist. TCP/IP
besteht aus einer Reihe von Anwendungsprotokollen, die bestimmte Funktionen ausführen. Diese
Protokolle, wie z.B. HTTP (Web), FTP (File Transfer Protocol), POP3 (E-Mail) usw., werden durch
eine Kennung identifiziert, die "TCP-Port" bzw. "UDP-Port" genannt wird.
So verwendet z.B. der Web-Datenverkehr den TCP-Port 80. Bei der Kommunikation im Internet
verwenden Computer das Client/Server-Modell, wobei der Server über den TCP- bzw. UDP-Port auf
Anfragen entfernter Client-Computer wartet. Ein Web-Server überwacht normalerweise Port 80. Dabei
ist zu beachten, dass z.B. ein Computer zwar einen Web-Dienst über Port 80 ausführen kann, jedoch
auch alle anderen Ports geöffnet sind. Ist die Person, die diesen Computer eingerichtet hat oder
verwaltet, nicht besonders vorsichtig, könnte ein Hacker über einen ungeschützten Port eindringen.
Die wichtigsten IP-Ports sind folgende: 21 FTP, 53 DNS, 23 Telnet, 80 HTTP,
25 SMTP, 110 POP3
Man kann zwischen vier verschiedenen DoS-Angriffen unterscheiden:
1 . Solche, die Bugs in einer TCP/IP-Implementierung suchen.
2. Solche, die Schwachpunkte der TCP/IP-Spezifikation ausnutzen.
3. Mutwilliges Eindringen und Überfluten eines Netzwerks mit sinnlosen Daten.
4. IP-Spoofing.
1. "Ping of Death"- und "Teardrop"-Angriffe, die Bugs in TCP/IP-Implementierungen auf mehreren
Computern bzw. Host-Systemen ausnutzen.
Ping of Death benutzt ein "Ping"-Hilfsprogramm, um ein IP-Paket zu erstellen, das die maximale
Länge von 65.535 Bytes der IP-Spezifikation überschreitet. Das übergroße Paket wird dann an einen
Opfer-Computer geschickt. Das System kann dabei abstürzen, sich aufhängen oder einen Neustart
einleiten.
Teardrop-Angriffe nutzen Schwachpunkte bei der Wiederherstellung von IP-Paketfragmenten aus.
Während der Datenübertragung über das Netzwerk werden häufig IP-Pakete in kleine Teile
aufgesplittet. Jedes Fragment sieht dabei wie das ursprüngliche IP-Paket aus, mit dem Unterschied,
dass es ein Offset-Feld enthält, das beispielsweise aussagt "dieses Fragment überträgt die Bytes
200-400 des ursprünglichen (nicht fragmentierten) IP-Pakets".Das Teardrop-Programm erzeugt eine
Reihe von IP-Fragmenten mit überlappenden Offset-Feldern. Werden diese Fragmente beim Zielcomputer
zusammengefügt, kann er abstürzen, sich aufhängen oder neu starten.
2. Einige Schwächen der TCP/IP-Spezifikationen machen Netzwerke für "SYN Flood"- und "LAND"-Angriffe
zugänglich. Diese Angriffe erfolgen beim Handshake, der die Kommunikationssitzung zwischen zwei
Anwendungen öffnet.
Drei-Wege-Handshake
Unter normalen Umständen sendet die Anwendung, die die Sitzung eröffnet, ein SYN-Paket
(Synchronisationspaket) an den Server. Der Empfänger antwortet mit einem ACK-Paket (Acknowledge)
und einem eigenen SYN. Daraufhin erwidert der Initiator ebenfalls mit einem ACK. Nach diesem
Handshake wird die Verbindung hergestellt.
Bei einem SYN-Angriff wird ein Zielsystem mit einer Reihe von SYN-Paketen bombardiert. Jedes Paket
löst eine SYN-ACK-Antwort auf dem Zielsystem aus. Während es auf die Antwort (ACK) seiner eigenen
SYN-ACK-Antwort wartet, arbeitet das Zielsystem alle verbleibenden SYN-ACK-Antworten in der
Warteschlange ab. Die SYN-ACK-Antworten werden nur aus der Warteschlange gelöscht, wenn hierzu
eine ACK-Antwort empfangen wird oder ein Zeitüberlauf (der relativ lang ist) den
Dreiwege-Handshake abbricht. Ist die Warteschlange erst einmal voll, ignoriert das System alle
weiteren eingehenden SYN -Anfragen, sodass es für gültige Benutzer nicht zugänglich ist.
SYN-Überflutung
Bei einem LAND-Angriff wird das Netzwerk ebenfalls mit SYN-Paketen bombardiert. Dabei wird eine
falsche IP-Adresse an das Zielsystem gesendet. Von außen sieht das so aus, als wenn der
Host-Computer die Pakete an sich selbst gesendet hat, sodass das Zielsystem nicht mehr verfügbar
ist, weil es versucht, sich selbst zu antworten.
3. Beim mutwilligen Eindringen wie beispielsweise beim "Smurf"-Angriff, wird eine Funktion der
IPSpezifikationen verwendet, die als Directed- bzw. Subnet-Broadcasting bekannt ist. Dadurch wird
das Zielnetzwerk sehr schnell mit unsinnigen Daten überflutet. Ein Smurf-Hacker überflutet einen
Router mit Hilfe von Echo-Anfragen (Pings) über das ICMP (Internet Control Message Protocol). Da
die IPZieladresse aller Pakete die Broadcast-Adresse des Netzwerks ist, wird das
ICMP-Echo-Anfragepaket an alle an das Netzwerk angeschlossene Host-Computer gesendet. Enthält das
Netzwerk zahlreiche Hosts, werden so eine immense Anzahl von ICMP-Echo-Anfragen und
zusammenhängende Antworten erzeugt. Möchte der Hacker die IP-Ursprungsadresse der
ICMP-Echo-Anfragepakete spoofen, legt der erzeugte ICMP-Datenverkehr nicht nur das
Vermittlernetzwerk lahm, sondern ebenfalls das Netzwerk, zu dem die gespoofte IP-Adresse gehört
(dieses wird als Opfer-Netzwerk bezeichnet). Diese Flut gesendeter Daten nimmt die komplette
Bandbreite in Anspruch, sodass jegliche Kommunikation unmöglich wird.
Smurf-Angriff
4. Bei den meisten DoS-Angriffen wird eine Technik verwendet, die als "IP-Spoofing " bekannt ist.
IPSpoofing kann zum Eindringen in Systeme, zum Verbergen der Identität des Hackers oder zum
Verschlimmern des Effekts eines DoS-Angriffs verwendet werden. IP-Spoofing überlistet einen Router
oder Firewall, indem es ihn glauben lässt, dass der Datenverkehr von einem zulässigen Netzwerk
stammt, und so Zugriff auf andere Computer erhält. Beim IP-Spoofing muss der Hacker die Header der
Pakete so modifizieren, dass diese so aussehen, als stammten sie von einem zugelassenen Host, um
dadurch Zugriff auf den Router oder Firewall zu bekommen.
|
|
|
Profi-Tipp: Eine neue Auslagerungsdatei mit jedem PC-Start
Eine stark fragmentierte Auslagerungsdatei wirkt wie eine Performance-Bremse.
Durch Abstürze oder unsaubere Programmabschlüsse verbleiben
zudem Überreste in der Auslagerungsdatei, die die Fragmentierung beschleunigen.
Durch eine stark fragmentierte Auslagerungsdatei wird der
Zugriff auf die Festplatte aber langsamer. Sie verhindern dies, indem Sie die Auslagerungsdatei beim
Beenden von Windows automatisch löschen.
Beim nächsten Start wird diese neu angelegt.
-
Starten Sie dazu den Registrierungseditor und
wechseln SIe in den Zweig "HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Session Manager\
Memory Management"
-
Klicken Sie doppelt auf den Wert "ClearPageFileAtShutDown"
und tragen Sie hier den Wert "1" ein. – Fertig!
 |
 |
|
Profi-Trick: Anmeldung an der Domäne beschleunigen
Windows XP hat gegenüber Windows 2000 einen entscheidenden Unterschied bezüglich der Netzwerk-Anmeldung.
Durch das asynchrone Laden des Netzwerkes bei der Anmeldung
kann es zu Verzögerungen beim Login, speziell an einer Domäne, von bis zu 5 Minuten kommen. Vorteile
genießen hier die Benutzer, die einen Standalone-PC ohne Netzwerk-Anschluss haben.
Um diesen Missstand zu beseitigen, wechseln Sie in die
Gruppenrichtlinien, z.B. über "Start" und "Ausführen", und geben hier "GPEDIT.MSC" ein.
Gehen Sie über die "Computereinstellungen" auf
"Administrative Vorlagen", "System" und "Anmeldung".
Hier finden Sie die Option:
"Beim Neustart des Computers und bei der Anmeldung immer auf
das Netzwerk warten."
Wenn Sie diese Option nun aktivieren, wird die Wartezeit
wesentlich reduziert. |
|
