Plötzlich wird der Computer langsam und dann ist auch noch der Zugang zum Uni-Netz futsch. Schadsoftware hat den Rechner befallen und der Netzwerk-Administrator hat den Zugang gesperrt. In den Netzen der Universitäts-Allianz Metropole Ruhr geschieht dies täglich. Überdurchschnittlich häufig fallen dabei Rechner der Studenten auf, ob es nun im Funk-Netz ist, in den Wohnheimen oder in der UB.
Surfen ist leicht. Geschützt surfen ist lästig. Fotomontage: Ralf Roletschek
100 Einbruchsversuche pro Tag
Imanuel von Cube, Mitarbeiter des Sicherheits Informations Centrums (SIC) der TU Dortmund stöbert in den Protokollen seiner Sicherheitssoftware. Die Software listet pro Tag hundert Einbruchsversuche auf die Rechner im Uni-Netz. „Rot ist gefährlich“, sagt von Cube. Rot sind Zehn der Versuche. „Vier davon wären erfolgreich, wenn man nichts tut“, erklärt er. Schadprogramme suchen die Computer im Uni-Netz ständig nach Schwachstellen ab. Wenn so ein Fehler im Betriebssystem, im Media-Player oder im Browser gefunden wird, dann pflanzt sich das Programm in den Rechner ein und macht ihn fernsteuerbar. Der Rechner wird Teil eines Bot-Netzes. „Pro Tag fallen vier bis fünf Rechner auf, weil sie Teil eines Bot-Netzes sind.“
Bot-Netze und Computersperren
Bot-Netze werden auch Zombie-Armeen genannt, weil die Rechner in ihnen nicht mehr der Vernunft ihrer Benutzer folgen. Sie beginnen Spam zu versenden oder tun sich zu einer Attacke auf Web-Sites zusammen, so dass diese durch Überflutung zum Zusammenbruch gebracht werden. Tatsächlich folgen sie einem Willen und zwar dem Willen der Schadsoftware-Programmierer oder deren Geldgeber. Es gibt einen Markt für Bot-Netze und derzeit fallen die Preise, weil es einfach so viele gibt, so von Cube.
Wenn also wieder mal eine Mail herumkommt, die Medikamente oder den Millionengewinn anpreist, dann stecken Bot-Netze dahinter. Der meiste Spam landet in den entsprechenden Filtern, manches müssen die Nutzer noch selber wegklicken. Wer den Spam aufmerksam untersucht, der kann allerdings aus der Absenderadresse einen Rechner im Bot-Netz erkennen. Die Mitarbeiter des DFN-CERT (Deutsches Forschungs-Netz – Computer Emergency Response Team) machen solche Untersuchungen. Wenn ihnen Rechner aus Uni-Netzen auffallen, dann machen sie die dortigen Netzwerk-Administratoren darauf aufmerksam und der Rechner kann unschädlich gemacht werden. Zunächst wird er vom Netz gesperrt. Dann geht es ans Saubermachen.
Phishing und die Unachtsamkeit
"Die wichtigste Sicherheitssoftware ist im Kopf", sagt Imanuel von Cube vom SIC. Foto: privat.
„Die wichtigste Sicherheits-Software ist im Kopf des Nutzers: die Vernunft,“ sagt Sicherheitsexperte von Cube. Eine deutsche Alma mater würde nie im kruden Deutsch in e-mails nach dem Uni-Netz-Passwort fragen. Alle anderthalb bis zwei Monate gibt es solche Phishing-Mails, speziell auf die TU Dortmund gemünzt. Die Ruhruniversitäten warnen auf ihren Seiten vor diesen Mails. Sie gehören sofort gelöscht.
Barbara Wojcieszynski, die IT-Sicherheitsbeauftragte der Ruhr-Universität Bochum berichtet, dass ungefähr drei Mal im Jahr ein Universitäts-Computer selbst als Phishing-Server auffällt. Es gibt allerdings eine hohe Dunkelziffer. Von außen gesteuert gaukelt der Rechner dann vor, die Web-Site einer Bank zu sein oder eines Medikamenten-Versands. Es folgt eine Strafanzeige, doch die Ermittlungsdauer ist lange. Manchmal dauert es Monate bis es zur Anklage kommt. Meistens sind dann die Daten-Verkehrs-Protokolle schon gelöscht. Wenn es sich um einen Rechner handelt, der an einem Arbeitsplatz an den Universitäten steht, ist es einfacher ihn zu finden. Wenn er sich allerdings zum Beispiel über das Funk-Netz oder aus den Wohnheimen in die Universitäts-Netze einwählt ist es schwierig ihn zu finden.
Auf Phishing-Mails zu antworten oder auf einer Phishing-Seite sein Passwort einzugeben könnte eine Unachtsamkeit sein. Ein weiteres Problem ist das Surfen auf dubiose Seiten. Ohne irgendetwas dort herunterzuladen kann man sich auf solchen Seiten einen Drive-By-Exploit einfangen, ein Programm das über den Browser übertragen wird und sich im System installiert, wieder mit den oben beschriebenen Folgen. Die größte Unachtsamkeit ist jedoch seinen Rechner nicht Up-To-Date zu halten.
Wie man sich schützen kann
Programme, die sich im Internet bewegen, können Schwachstellen haben, die von Schadprogrammen, den Exploits, ausgenutzt werden. DFN-CERT hat ein Archiv der Schwachstellen: Über die Betriebssysteme verteilt listet es derzeit 2.500 Schwachstellen. Wenn es bereits ein Update gibt, dass die Schwachstelle repariert, muss dieses natürlich schnell installiert werden. Wenn es keines gibt, sollte das entsprechende Programm nicht genutzt werden. Ein weiterer Schutz sind natürlich Firewalls und andere Sicherheitssoftware. Über das ITMC der TU Dortmund erhält man außerdem das Anti-Viren-Programm SOPHOS. Am ITMC-Servicedesk gibt es für Universitätszugehörige den Zugang für 1,50 Euro. Auch wenn es ans Saubermachen geht ist SOPHOS von Nutzen. Mit einer selbststartenden CD kann SOPHOS auf einem infizierten Rechner gestartet werden und ihn von Schadsoftware befreien.
Fünf Tipps vom Sicherheits Informations Centrum
- Nie als Administrator surfen.
- Vergebt starke Passwörter mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen
- Schaltet automatische Updates ein und installiert die neuesten Sicherheitspatches für Eure Anwendungen
- Haltet das Antivirusprogramm auf dem neuesten Stand.
- Schaltet die Firewall ein.
web: Weitere Informationen und Tipps vom Sicherheits Informations Centrum der TU Dortmund
web: Die Stabsstelle IT-Sicherheit der Ruhr-Universität Bochum
web: Zentrum für Informations und Mediendieste der Universität Duisburg-Essen
web: DFN-CERT Archiv der Schwachstellen
1 Comment