secure@home?

Das Internet ist kein sicherer Ort. Das war es vielleicht früher mal, bevor das WWW seine Sogwirkung entfaltete und Leute anzog, zu denen mir tendenziell unfreundliche Worte einfallen. Da hilft aber kein Jammern; man muß mit dem was ist, so gut man eben kann, umgehen. Hier habe ich einige – hoffentlich nützliche Links zusammengetragen, die helfen könnten, dem eigenen Rechner auf den Zahn zu fühlen und eventuell vorhandene unschöne Löcher zu stopfen. Fast wie beim Zahnarzt; und es tut garantiert nicht weh.

Quick & Dirty Online-Portscanner

Zugriffe aus dem Netz sind nur durch »offene Ports« am heimischen Rechner möglich. Ein Port ist notwendiger Bestandteil jeder Netzwerkapplikation; er erlaubt ihr Daten zu senden und zu empfangen und wird duch eine Zahl (Portnummer) dargestellt. Bei Client-Netzwerkapplikationen werden die Ports bei Bedarf geöffnet und sie erhalten eine nur für die Dauer der Verbindung gültige, zufällige Portnummer. Server-Netzwerkapplikationen hingegen sollen für Client-Anfragen erreichbar sein und das bedingt auch eine konstante, wohlbekannte Portnummer, an die der Client seine Anfrage senden kann. Sie verlassen sich ja auch darauf, daß der Notruf immer über die 112 erreichbar ist!

Man kann sich leicht vorstellen, daß immer wieder auch irgendwelche Spinner in der Notrufzentrale anrufen. Nun, mit diesem Ärgernis müssen auch Server-Netzwerkapplikationen umgehen. Aber welche Relevanz hat all das für den unschuldigen Rechner daheim? Tja, auch auf ihm laufen standardmäßig Server-Netzwerkapplikationen. Solange dieser Rechner lediglich im lokalen Netz ein Verzeichnis oder einen Drucker zur Mitbenutzung freigibt, ist das auch nicht weiter problematisch. Dies wird es erst, wenn derlei Dienste auch aus dem Internet erreichbar sind. Ob sie es sind, kann man nachprüfen:

• SecurityMetrics entdeckt am zuverlässigsten die tatsächliche, private (local inside) IP-Adresse hinter einer NAT Box. Selbst die Kombination Privoxy/TOR scheitert, zumindest solange Java im Browser aktiviert ist.
• Blackcode Security Scan macht einen recht gründlichen Eindruck...
• PC Flank testet zusätzlich bestimmte Exploits.
• Shields UP! ist der Klassiker unter den Online-Portscannern!
• Zusätzlich zum Portscan, kann man bei port-scan.de einen Fingerprint veranlassen.
• Einen in mehrere Phasen unterteilten PC-Selbsttest bietet auch der Landesbeauftragte für Datenschutz in Niedersachsen an.
• Der c't-Netzwerkcheck wird in Zusammenarbeit von heise Security und dem Landesbeauftragten für den Datenschutz des Landes Niedersachsen angeboten.

Möchte man eine gründliche Überprüfung, muß man sich den jeweiligen Tools zuwenden und selbst Hand anlegen, bzw. jemanden der sich damit auskennt fragen.

Schutz vor bösartigen E-Mails

Bei der Entwicklung der ersten E-Mail-Anwendungen, SNDMSG/READMAIL, im Jahr 1971 für das ARPANET, dachten Ray Tomlinson und, kurz darauf, Lawrence Roberts wahrscheinlich nicht daran, daß sie gerade eine der Killer-Applikationen des Internet entwickelten. Roberts gar meinte 1967 bei der Planung des ARPANET:

In addition to computational network activities, a network can be used to handle interpersonal message transmissions. This type of service can also be used for educational services and conference activities. However, it is not an important motivation for a network of scientific computers.

Dr. Lawrence G. Roberts, June 1967: Multiple computer networks and intercomputer communication

Mehr E-Mail-Historie:

• Living Internet: How E-Mail Was Invented
• Evolution of Electronic Mail
• Lawrence Roberts Home Page: Internet chronology 1960 - 2001
• Ian R. Hardy: The Evolution of ARPANET E-Mail

Bald schon entwickelten sich die ersten Mailing-Listen. Manche, bspw. SF-LOVERS, verursachten ein derart hohes Datenaufkommen, daß man kurz davor war sie zu verbieten. Konflikte gab es also schon von Anfang an; und sie setzten sich fort: man stritt über die Anredeform, die Länge und Beschaffenheit von Signaturen und wie man sie von der Nachricht separiert, wie man am besten auf eine E-Mail antwortet, was man am besten nicht in eine E-Mail schreibt, was man aber dagegen unbedingt schreiben sollte, wie lang eine Zeile sein durfte, usw. Es entwickelten sich Benimm-Regeln, die man als Gemeinplatz betrachten kann. Aber die Diskussionen gehen weiter, da es immer wieder neue Entwicklungen gibt, deren Nutzung andere Leute vor den Kopf stößt.

Diverse Würmer und Viren, die sich mittels E-Mails verbreiten, erregen wiederholt hohe mediale Aufmerksamkeit. Teils basiert ihr Erfolg auf strukturelle Schwächen der Software (Hersteller-Ignoranz), teils auf dem fehlenden Problembewußtsein der Nutzer (User-Ignoranz). Zumindest die Anfälligkeit des eigenen Lieblings-MUAs kann man testen lassen:

• GFI E-mail Security Testing Zone
• Jason's Toolbox: Test Your E-mail Defenses
• heise Security: c't E-Mailcheck

Grundlegendes zu E-Mails gibt's u.a. bei Sendmail: E-mail Explained, oder in der Wikipedia.

HTTP-Filter

Allgemeine Informationen über HTTP-Filter

• iX 6/2001: WWW-Filter
• Open Directory - ...Proxy: Filtering: Ad Filters

Meine Lieblingsfilter

• The Proxomitron. Eine deutsche Distribution bietet lokalisierte Hilfe und optimierte Konfigurationsdateien.
• The Internet JunkBuster
• Privoxy ist eine Weiterentwicklung von JunkBuster

Ach wie gut daß niemand weiß, daß ich ...

Begraben wir endgültig unsere naive Vorstellung, die Software zu kennen, die wir einsetzen. Wir wissen einfach nicht, was ein Programm tut oder läßt, wenn wir...

1. keinen Zugriff auf den Quelltext,
2. oder kein Verständnis für den Quelltext,
3. oder/und keine Zeit/Lust/etc. haben den Quelltext zu verstehen.

So sind wir definitiv außerstande, eine relevante Aussage über das Gefahrenpotential eines Programms zu formulieren. Nun meine ich damit sicher nicht, daß Sie und ich nur noch Open Source Software einsetzen und vor dem Einsatz den Code analysieren sollten. Aber jede Software kann doch insgeheim eigene dunkle Pläne verfolgen - wie einstmals Rumpelstilzchen. Immerhin, jede Black Box könnte auch eine Büchse der Pandora (Πανδώρα) sein.

Nehmen Sie als Beispiel Ihren Browser. Wissen Sie was das Teil alles über Sie und Ihren Rechner verrät?

• Privacy Analysis of your Internet Connection
• gemal.dk - Browser Spy
• Der c't - Browsercheck

Und sicherlich ist Ihr Browser nicht die einzige Software, die Sie verwenden, um auf Ressourcen im Internet zuzugreifen. Was ist mit Ihrem FTP Client? Ihrem IRC Client oder der Software die Sie für Instant Messaging benutzen? Was erzählt das Betriebssystem bei dessen 'Aktivierung' dem Server? Was übermittelt der Media Player? Warum versucht die Textverarbeitung eine Verbindung ins Internet aufzubauen? Wird Ihnen schlecht? Das ist erst der Anfang!

• ISS Security Center
• Security Focus

Und schließlich: Ein Rat zu Unrat

Es ist verblüffend. Eine ganze Industrie lebt davon, diese kleinen Viecher aufzuspüren, abzublocken und platt zu machen. Es ist eine Hysterie und zur Zeit läßt sich ein Wettrüsten beobachten zwischen Viren- und Antivirenhersteller; man darf staunen und sich wundern. Und man sollte sich wohl fragen inwieweit man selbst betroffen sein könnte und welche Gegenmaßnahmen möglich und angebracht sind, denn Vorsicht (προμήθεια) ist gewöhnlich besser als Nachsicht (επιμήθεια). Weiterführende Verweise zu Antiviren-Software, kostenlosen Online-Virenscannern sowie Virendatenbanken und allgemeinen Informationen findet man u.a. in heise Security - Antivirus