Trojaner

[Lambrookee]

Moin,

seit ne Vertretung meinen Rechner (xp) bei der Arbeit benutzt hat, isn Trojaner an Board,

sagt Antivir mir grade.

Der Verlauf zeigt unverfängliches Forenwerk seiner technischen Ausrichtung- das halte ich mal für wenig aussagekräftig.

ich geh mal davon aus, dass er nichts gemacht hat , deshalb hätt ich vor ner Ansprache gern

Anhaltspunkte.

nebenbei: Grundsätzlich unterstelle ich ihm mal Interesse f. Computer ( im Gegensatz zu mir)

Wie kann ich wo Hinweise finden?

besten Dank

Sherlock Horst

[Lacknase]

Zieh das Netzwerkkabel und ruf einfach die Abteilung für IT-Technik bei Euch in der Firma an. Und laß allen weiteren Blödsinn. Das ist meist illegal bzw. verstößt gegen die Betriebsregeln, wenn man da ohne vertraglich vereinbarten Auftrag zur Forensik auf eigene Faust antritt. Solltest Du für die IT zuständig sein, was ich nach diesem Posting nicht glauben will, dann mein Beileid. Habt Ihr einen Waffenschrank in der Firma?

[brianjones71]

Zieh das Netzwerkkabel und ruf einfach die Abteilung für IT-Technik bei Euch in der Firma an. Und laß allen weiteren Blödsinn. Das ist meist illegal bzw. verstößt gegen die Betriebsregeln, wenn man da ohne vertraglich vereinbarten Auftrag zur Forensik auf eigene Faust antritt. Solltest Du für die IT zuständig sein, was ich nach diesem Posting nicht glauben will, dann mein Beileid. Habt Ihr einen Waffenschrank in der Firma?

[Lambrookee]

Zieh das Netzwerkkabel und ruf einfach die Abteilung für IT-Technik bei Euch in der Firma an. Und laß allen weiteren Blödsinn. Das ist meist illegal bzw. verstößt gegen die Betriebsregeln, wenn man da ohne vertraglich vereinbarten Auftrag zur Forensik auf eigene Faust antritt. Solltest Du für die IT zuständig sein, was ich nach diesem Posting nicht glauben will, dann mein Beileid. Habt Ihr einen Waffenschrank in der Firma?

...geht schon klar- ich sitz da auf m Aussenposten und bin in nem Netzwerk angeschlossen, dass nur im Meta- Sinne einem meiner Brötchengebers gehört Eh alles Verbrecher und Wegelagerer.

Sensible Daten sind zumindest bei mir nicht zu holen, ( hoff ich mal).

Spannend find ich, dass eine externe Vertretung ( vorher dort angestellt- nein, keine bösen Absichten), 1 x da ist zur Vertretung Meiner und wie auf dem vorherigen Rechner ( als ich da angefangen hab)

dumdidum ein Trojner rumzeckt.

Nach wie vor- kann ich den Invasionszeitpunkt festellen?

( kann Avira das nicht evtl. sogar verraten?)

danke!

[Lacknase]

Nein. Du kannst nichts feststellen. Und die "Avira" noch viel weniger. Das kann vermutlich auch nicht der durchschnittliche Admin, wenn er kein Forensik-Spezialist ist. Das liegt daran, daß Du nach Einbruch in Dein System - und so ist die Existenz eines Trojaners auf Deiner Kiste zu bewerten - nicht mehr sagen kannst, was "original" war und was nicht, weil die Schadsoftware (theoretisch) alles manipuliert haben kann. (Auch Deine "Avira" könnte Opfer geworden sein.) Ohne Abzüge mit Metadaten (Hashes etc.) kannst Du nichts mehr direkt nachvollziehen. Geschweige denn beweisen. Und auch die indirekte Untersuchung bzw. ein Rückschluß von der Funktion des Schädlings auf seine Einbringung ist kaum mehr möglich, wenn der Rechner nach Infektion einmal neu gestartet wurde (und damit ein Speicherabbild nicht mehr zur Verfügung steht). Zudem hast Du, selbst wenn das Abbild noch im Speicher ist, rein technisch ein ganz großes Problem: Du willst eine Manipulation beweisen, mußt dazu aber selbst das System manipulieren.

*Tief einatmen. Bis 3 zählen. Ausatmen*

Sowas kann nicht jeder Linkshandmausschubser, der vorgestern von seinem Zivi die neueste Compuer-Yps-CD auf sein Vista gebügelt bekommen hat. (Muß er ja auch nicht. Das ist das Schöne daran.)

*Tief einatmen. Bis 3 zählen. Ausatmen*

Im übrigen geht es nicht um die Frage, ob bei Dir was zu holen ist. Deine "Rechneridentität" kann man jedenfalls holen. Sie ist durch die Schadsoftwware auch bereits geentert. Und bitte beweis mal, daß Du nicht vor dem Rechner saßest, der doch Dir gehört und mit dem/von dem aus der Versuch unternommen wurde, die Deutsche Bank zu hacken, Attentatsaufrufe auf den deutschen Innenminister in deutschsprachigen Islam-Foren zu verbreiten oder Bilder nackter Kinder in einschlägigen Ecken des Internets anzubieten. Will man dazu - Unschuldsvermutung hin oder her - auch nur aussagen müssen? Selbst wenn Du alles beweisen kannst - was ich Dir persönlich nicht glaube, weil Du Avira und das GSF in diesen Fragen um Hilfe bitten willst - dann hast Du bis dahin eine Menge Ärger und darfst immer noch froh sein, wenn Dich auch nach erfolgreicher Gerichtsschlacht Dein(e) Lebenspartner(in) und der Versicherungsfritze von der Krankenkasse noch kennen.

Eines finde ich allerdings nachhaltig komisch: Du möchtest hier ja letztlich - übertragen gesprochen - den Gayspielen verklagen, der Dir den speziellen Subtyp Deines HI-Virus eingab, als Du Dir im DarkRoom der Bahnhofsklappe den Anus weiten ließest. Ich würde ja eher der Frage nachgehen wollen, warum man ausgerechnet dort sowas macht und ob sich nicht eine "weniger Risiko-behaftete" halbwegs gleichwertige Alternative finden läßt. (Gerne auch jenseits der Suchtberatung.)

Und auch das nochmal in aller Deutlichkeit: Selbst wenn Du Systemmanipulationen rein technisch nachvollziehen könntest (incl. Manipulation von Metadaten wie Zeitstempeln, Logs etc.), machst Du Dich in Deutschland strafbar, wenn Du ohne ordentlichen Auftrag (den Du belegen können mußt) und in "freier Wildbahn" entsprechende Tools auf irgendwelche Rechner losläßt. Und noch viel übler ist es, wenn Du dabei Daten von/über Dritte(n) erhebst.

Drei ganz, ganz konstruktive Punkte zum Schluß noch von Edith:

[1] Wenn Du Dich wirklich für das Thema interessierst und wissen willst, warum das, was Du da vorhast, blanker Unsinn ist, dann lies mal in folgendes Buch rein:

Alexander Geschonnek: Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären, Heidelberg ³2008.

[2] Wenn Du Deinen Rechner schützen willst, so richtig idiotensicher, dann gib ihn nicht in Idiotenhände.

[3] Wenn Du Deinem Kollegen Fehlverhalten abgewöhnen willst, dann taste mal seine vordere Zahnreihe ab. Je weniger nachgewiesener Grund dazu, desto besser. (Obacht. Sowas macht außerhalb des Fight Clubs ziemlich einsam.)

Bearbeitet 1. Oktober 2008 von Lacknase

[Lambrookee]

Phhhhjuii, Du verstehst ja scheinbar so gar keinen Spaß mit dem Seuchenzeugs-

vielen Dank für die Darstellung!

1) meine Extreme liegen echt woanders, im Hinterkopf behalt ich s mal.

2) Rathaus ansässiges IT Personal, das: "...dann mach ich da mal Avira oder so drauf..." abnickt, gehört evtl. in die Kathegorie der Idiotenhänder?

3)...keine Gewalt!

Ohne, dass mir während meiner Anwesenheit, die bestimmt zu mind. 25% (hüstel) dem Selbstzweck dient, ein Surfverbot ausgesprochen wurde, finde ich es vorerst mal

nicht sooo doll, denen das unter die Nase zu reiben.

Alternative wäre Netzwerkkabel ziehen, den Rechner seinem zugedachten Zweck der Softwaresteuerung von ein paar Endstufen zuzuführen und in 2,3 Jahren mit gezogenem Netzstecker unter den Tisch zu stellen zu 2,3 anderen Exemplaren,sowie das ein oder andere (gute) Buch,( evtl.: Alexander Geschonnek: Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären, Heidelberg ³2008), zu kaufen.

Ich denk mal drüber nach.

UND:

Hierzu fehlt mir der Zugang / Hintereingang:

Eines finde ich allerdings nachhaltig komisch: Du möchtest hier ja letztlich - übertragen gesprochen - den Gayspielen verklagen, der Dir den speziellen Subtyp Deines HI-Virus eingab, als Du Dir im DarkRoom der Bahnhofsklappe den Anus weiten ließest. Ich würde ja eher der Frage nachgehen wollen, warum man ausgerechnet dort sowas macht und ob sich nicht eine "weniger Risiko-behaftete" halbwegs gleichwertige Alternative finden läßt. (Gerne auch jenseits der Suchtberatung.)

Der Vertretungsmokel kommt von einer Externen Fa., hat vorher meine Stelle besetzt, kennt somit den Laden ( noch voll besser als wie ich, ey) und muss nach X- jähriger Praxis nun mal einen Befähigungsnachweis in Form einer Ausbildung erwerben.

Die Frage, welches Schweinderl ich gern hätt, wird nicht immer gestellt. Callgirl/ boy callen, auch wenn blond bestellt wird, kann aufgrund der Auftragslage ein/e Brünette/ r einmarschieren, weil Kollege/In woanders Hündchen macht. Leider (?) lässt sich der Job nicht ausschließlich virtuell oder am Telefon ausführen.

Edith möchte den Kerl nicht anscheissen, aber gern zur Rede stellen. Sie möchte, wenngleich schwer vorstellbar, ausschliessen, dass englische, italienische Blechseiten Trojaner beherbergen, bzw. wird ja auch im GSF der ein oder andere Link zu explizitem Zeugs warnungslos hinterlegt, und obwohl da nicht Glied draufstand isses miteinmal drin

Wäre dann schon doof für Ihn und mich, ne.

grundsätzlich

Wie isn das mit Macs eigentlich mittlerweile mit Infektiongayfahr?

Gibt es da empfehlenswerte Bluttests?

herzlichsten Dank ( ohne Anfassen)

Bearbeitet 1. Oktober 2008 von Lambrookee

[Lacknase]

Das Wichtigste zuerst:

Daß "die Firma" solche tollen Arbeitsplatz-Sharing-Mechanismen implementiert, ist die eine Sache. Die andere, wie völlig ungeachtet solcher Praktiken die Haftung nach Arbeitsvertrag/Betriebsregeln aussieht. Die obigen Hinweise folgten der Maxime, Deinen Vorteil zu suchen bzw. die für Dich (auch nur potentiell) sich ergebenden Nachteile zu minimieren. Ich machte es nicht unnötig kompliziert, als ich empfahl, den Netzwerkstecker zu ziehen und den Admin anzurufen. Wenn Du ein bischen social engineering betreiben willst, schilderst Du dem zuständigen Personal auch noch die Phänomene, wie sie sich Dir darstellen. Auch unter Namensnennung. Aber verzichte auf Formulierungen, die geeignet sind, als Anschuldigung/Bezichtigung verstanden zu werden.

Zur Erweiterungsfrage: Macs sind statistisch gesehen "sicherer", aber auch nur, wenn man automatisierte Attacken zugrundelegt. Die Sicherheit einer Burg - um mal wieder übertragen zu sprechen - steht und fällt im richtigen Leben mit der Umsicht, Kompetenz und der Einsatzbereitschaft der Wachmannschaft. Der Klassiker etwa der Betriebsspionage ist ja, daß man die Sicherheitsmechanismen nicht wirklich durchbricht, sondern einfach jemanden erpreßt/verarscht, der regulären Zugang hat. Davor schützt auch kein Mac. Manche der bösen Schädlinge heißen ja nicht umsonst "Trojanische Pferde" - wenn ich einen Idioten finde, der die Angreifer durch die Verteidigungslinie zerrt ... Auch auf einem Mac ist JavaScript im Browser aktivierbar und die Software enthält (wie überall) Programmierfehler. Mac OS ist also nicht per se das bessere System. Die technisch erzielbare "Sicherheit" (je nach dem, was man darunter genau versteht) ist bei aktuellen Windows-Varianten (ab 2k/xp) u.U. sogar höher. Etwa beim Benutzermangement. Aber sie ist wiederum nicht für einen Normalverbraucher/Heimanwender handhabbar. Daran gemessen ist die Möglichkeit, mit einem Mac z.B. grundlegende Bedienfehler zu machen, deutlich geringer, weil die meisten Applikationen nach dem Motto "Laß erstmal weg, was User nicht braucht" vorkonfiguriert sind. Da findet sich oft auch der DAU zurecht, wenn er sich damit beschäftigt und das Hirn nicht ganz abschaltet.

Allerdings: Wenn jemand ein halbwegs aktuelles Windows (ab XP) installiert und vernünftig konfiguriert, es hinsichtlich der Anwendungen bei der Standardinstallation (OpenOffice/MS Office, Firefox, Thunderbird, Outlook) beläßt, einfach nur immer einmal Updates aus definierter Quelle installiert und auf Shareware/Nagware/Warez verzichtet, hat er (mit oder ohne Virenscanner) auf Jahre nicht mehr Streß als ein Mac-User. Sein System ist noch langsamer ... OK. Aber es wird laufen, wenn er nicht jedem gelangweilten pickelgesichtigen Neffen erlaubt, da mal eben geknacktes Zeug runterzuladen / Pornodialer zu installieren.

Dahin zielte auch die Bemerkung mit der Bahnhofsklappe: Frage Dich, was Du zur Vermeidung einer Attacke/eines Mißbrauchs beitragen kannst, sprich plane paranoid, statt soziale Probleme oder Fehlverhalten nachträglich technisch lösen zu wollen. Wenn Du $SUBVERSIVEMELEMENTAUFFREIGANG den Hausschlüssel gibst, mußt Du Dich nicht wundern, wenn die Tochter schwanger und das Tafelsilber nebst Kippenvorrat weg ist. Da hilft im Nachhinein auch die Spurensicherung an der extradicken Gartentüre nix.

Edith fügt noch hinzu:

Ich würde Dir empfehlen, dasjenige System zu nehmen, mit dem Du Dich am besten auskennst. Damit bist Du im Durchschnitt am "sichersten" unterwegs. Wenn Du allerdings z.B. sagst, daß Du auf Vista umsteigen sollst/mußt und für Dich nichts mehr so zu sein scheint, wie es früher einmal war, würde ich mal LinuxMint oder PC-BSD oder eben einen Mac testen. Denn wenn Du eh wieder bei "Null" anfängst ...

Wenn Du maximal sicher sein willst, nimm ein System, das optimal dokumentiert ist und arbeite Dich ein. (Damit scheidet Mac OS allerdings m.E. ebenso wie Windows aus.)

Bearbeitet 2. Oktober 2008 von Lacknase