Sicherheit - Angriffe

[make]

Guten Abend,
weiß irgend jemand zufällig, wie ich rausfinden kann, ob mein Mac (PowerBook Pro, mit Thunderbird als mail-Programm und Safari als Browser) angegriffen oder gar gehackt wurde? Drei meiner Kollegen ist es auf ihren Windows-Rechnern passiert, da wurde jeweils die ganze Festplatte kopiert und e-mails werden gehackt. Wäre großartig, wenn jemand wüsste, wie und wo ich nachsehen kann, ob das bei mir auch passiert ist oder versucht wurde. Danke make

 

[KayHH]

Wenn es „richtig“ gemacht wurde gar nicht. Warum hast Du Grund zur Annahme gehackt zu werden? Wie schaut Dein System aus? Gruss KayHH

 

[marcozingel]

Ich bin da ambitionierter Laie aber habe die Intego Internet Security Barrier X4 Platinum Edition auf meinem Mac,da mein Mac gelegentlich angepingt oder per Portscan abgefragt wird.

NetBarrier X4 meldet dir solche Aktionen.

 

[tjp]

Ich bin da ambitionierter Laie aber habe die Intego Internet Security Barrier X4 Platinum Edition auf meinem Mac,da mein Mac gelegentlich angepingt oder per Portscan abgefragt wird.

Alles ziemlich überflüssig für Normalbürger.

Personal Firewalls taugen eh nichts, da sie von Schadsoftware umgangen werden können. Für externe Angriffe reicht die MacOS X eigene Firewall aus. Mehr Sicherheit von Schadsoftware auf dem eigenen Rechner gibt es nur mit Ansätze ala SELinux oder Trusted Solaris.

Wichtig für den Schutz vor Angriffen ist es immer alle nicht benötigten Dienste abzustellen. Auf Reisen mit dem Notebook unbedingt Bluetooth aus, WLAN nur mit Verschlüsselung nutzen.

Man muß immer auf die Sicherheitshinweise zu den Software Paketen achten. Wenn es Security Fixes gibt, die auch installieren. Um das Webbrowsen sicherer zu machen JavaScript, Java, Flash deaktivieren. Es gibt für die Browser spezielle PlugIns, die das selektiv erlauben. Keine unaufgefordert zugeschickten Dokumente einfach per Doppelklick öffnen.

Word & Co Dokumentenformate mit Skripting Möglichkeit nur von vertrauensvoller Quelle benutzen.

....

 

[marcozingel]

So wie gerade eben von Apple selbst.

http://www.apple.com/support/downloads/

 

[Languste]

Kann mir in dem Zusammenhang jemand sagen, ob man auf einen Mac überhaupt zusätzliche Antiviren-Software packen muß (wenn ja, welche?)? Früher war das nicht notwendig, aber heute...? Danke.

 

[ZENcom]

Bisher gibt es keine ernst zu nehmende Viren die dem Mac (auch Intel) schaden können. Trojaner und Würmer sind Dank Cocooning im Kernel auch so gut wie irrelevant. Die Mac-Interne Firewall ist für Mid-Range-Connectivity (http, ssl/ssh, ftp, vpn, upn und vnc, smb) gut und angemessen. Einfach einschalten! Zudem gibt es noch den Tarnmodus.

 

[tjp]

Zudem gibt es noch den Tarnmodus.

Oh je, Unwissen ist bei Sicherheitsthemen das größte Problem. Das nicht Anworten auf Anfragen nützt schlicht weg gar nichts, da der vorgeschaltete Router eine Anwort schickt, wenn ein Computer nicht existiert. Wenn also nichts zurückkommt, dann existiert ein Computer mit der IP-Adresse.

Dieses "Feature" nutzt man nur, wenn man zu viele Netzwerkanfragen erhält, um die Last auf dem System zu reduzieren.

 

[tiriqs]

mhh eine gewisse sicherheit hat man nur, wenn man weiss wie so etwas gemacht wird...
also einfach mal nen portscan auf eigene ip und sich mit jedem dienst auseinandersetzen, was er macht und ob man ihn wirklich braucht.
jeder dienst der läuft, ist eine potentielle angriffsstelle.

netstat -a und tcpdump hilft dir den netzverkehr zu überwachen.

ansonsten bist DU (nicht persönlich gemeint) die größte schwachstelle, weil der user die meisten fehler macht. also vorsicht bei dokumenten und scripten, von denen du nicht weisst was sie machen.

mein beileid an deine kollegen

ps: auch immer die logs im auge behalten (/var/log) und bei einem arp-change gewarnt sein !!! man kann im syslog auch einstellen das alle logs des systems in eine datei laufen und die könntest du dann mit tail -f im auge behalten. dann erfährst du sofort, wenn sich jemand an deinem rechner zu schaffen macht.

 

[wescom]

da wurde jeweils die ganze Festplatte kopiert und e-mails werden gehackt

das macht mich irgendwie wuschig. also ich habe heute mal versucht in meinem büronetzwerk (direkt aus diesen heraus) eine komplette festplatte zu kopieren, spätestens nach arbeitsende wäre mit kopieren schluss gewesen, da die zeitspanne einfach zu lang ist. ich gehe nicht davon aus, das deine kollegen eine 50 mb platte besitzen
puntk zwei: emails hacken, also wenn ich es aus aus meinen netzwerk direkt eine entsprechende pst oder sonst was auf einem meiner bürorechner finde (und das dauert) kann ich diese aufgrund fehlendem exchange nicht "hacken"

das bringt mich zu folgender schlussfolgerung:
euer unternehmen setzt keinerlei firewall oder sonstige überwachende tools ein, die einen erhöhten und auffälligen datenverkehr überwacht. deine kollegen haben auf alle verzeichnisse und laufwerke (falls partitioniert) komplette freigaben für jedermann (auch systemdaten) und zu guter letzt, ihr habt in dem unternehmen keine exchange oder sonstige lösung und jeder mitarbeiteter ruft seine mails via pop3 und einfachen login ab? klingt sehr unwahrscheinlich.

daher muss ich mal nachfragen:
1. woher weiß man, dass die platten kopiert wurden?
2. sprechen wir von einem unternehmen oder von privatleuten?
3. woher die gewissheit, dass die emails "gehackt" wurden?

ich will nicht misstrauisch sein, aber mich hat das zum grübeln gebracht...

 

[debunix]

Also mich würde auch interessieren, woher ihr wisst, dass die komplette Platte gespiegelt wurde. Das kann eigentlich nicht funktionieren, es sei denn, der Angreifer sitzt mit Admin-Rechten an dem PC.
Woher wisst ihr denn, dass alles gezogen wurde?
Sorry, für mich klingt das alles sehr suspekt!

 

[ZENcom]

Oh je, Unwissen ist bei Sicherheitsthemen das größte Problem.

Da bin ich ganz deiner Meinung. Aber alleine die Sicherheitsaspekte eines Netzwerkes zu durchsteigen bedarf eines eigenen Studiums. Ein Großteil der Computernutzer 'kann' dieses Spezialgebiet kaum ermessen. Aufklärungsarbeit wird auch nur marginal geleistet. Dafür ist die Paranoia die geschürt wird expotential höher.

Das nicht Anworten auf Anfragen nützt schlicht weg gar nichts, da der vorgeschaltete Router eine Anwort schickt, wenn ein Computer nicht existiert. Wenn also nichts zurückkommt, dann existiert ein Computer mit der IP-Adresse.
Dieses "Feature" nutzt man nur, wenn man zu viele Netzwerkanfragen erhält, um die Last auf dem System zu reduzieren.

Ist Konfusion nicht ein starkes Werkzeug?

Also mich würde auch interessieren, woher ihr wisst, dass die komplette Platte gespiegelt wurde. Das kann eigentlich nicht funktionieren, es sei denn, der Angreifer sitzt mit Admin-Rechten an dem PC.
Woher wisst ihr denn, dass alles gezogen wurde?
Sorry, für mich klingt das alles sehr suspekt!

Er sprach von Windows… was offensichtlich anderen Naturgesetzen als MacOS unterliegt. und davon abgesehen sind die Informationen über den Ablauf seines quasi Hacks zu dürftig um konkreter darauf einzugehen.

Die Frage könnte lauten: Ist es möglich meine 80GB HD in einem Netzwerk ohne ersichtliche Firewall 1:1 zu rippen und die darauf befindlichen Daten einzulesen?

JA!

 

[MaChris]

Was halten denn die Experten, also die, die deutlich mehr von Sicherheit eine Ahnung haben als ich, von den diversen Online-Überprüfungen im Netz, wie etwa
- Sygate
- ShieldsUP!! oder
- AuditMyPC?

Taugen derlei Tools wirklich etwas oder beruhigen sie nur das dumpfe Bauchgefühl, helfen aber nicht wirklich.

 

[Languste]

Danke für die Antworten. Leider hilft mir Fachwissen wie dieses

also einfach mal nen portscan auf eigene ip und sich mit jedem dienst auseinandersetzen, was er macht und ob man ihn wirklich braucht.
jeder dienst der läuft, ist eine potentielle angriffsstelle.

netstat -a und tcpdump hilft dir den netzverkehr zu überwachen.

(...)

ps: auch immer die logs im auge behalten (/var/log) und bei einem arp-change gewarnt sein !!! man kann im syslog auch einstellen das alle logs des systems in eine datei laufen und die könntest du dann mit tail -f im auge behalten. dann erfährst du sofort, wenn sich jemand an deinem rechner zu schaffen macht.

nicht sehr viel, dafür kenne ich mich zu wenig in den Tiefen des Systems aus. Trotzdem herzlichen Dank! War gut gemeint.

 

[tjp]

Taugen derlei Tools wirklich etwas oder beruhigen sie nur das dumpfe Bauchgefühl, helfen aber nicht wirklich.

Die meisten Tools zeigen offene Ports an, d.h. welche Server Dienste laufen. Das hilft dabei den Router und/oder den Computer zu optimieren, damit man nicht einfach vom Internet aus zugreifen kann.

Sinnvoll ist in diesem Kontext ein Router mit eingebauter Firewall, der den LAN Traffic filtert, so daß man vom Internet nicht auf intere Dienste zu greifen kann.

Üblicherweise läßt man Internet Server mit dem Firmenauftritt in einer DMZ (DeMilitarized Zone) laufen, wenn man das professionell aufzieht, dann gibt es zwei Firewalls (unter Umständen mehrere Computer oder spezielle Network Appliances) eine externe und eine interne, innerhalb der DMZ stehen die Internet Server hinter der internen Firewall ist das eigentliche Firmennetz. Wichtig ist dabei, daß es sich um drei verschiedene Netzwerke handelt, die via Firewalls verbunden sind. Alles andere ist Spielzeug und gefährlich. Wenn man nur einen Internetserver betreibt, dann entfällt natürlich das LAN.

 

[Trapper]

Oh je, Unwissen ist bei Sicherheitsthemen das größte Problem.

Wie wahr, wie wahr. Vor allem, da einige ISPs (inklusive T-Online) ihre Router derart konfiguriert haben, keine ICMP host unreachable Pakete zu versenden

 

[birdee]

...ICMP host unreachable Pakete...???
Wasn das nu wieder?