# Sicherheitsupdate von Microsoft



## Anonymous (27 März 2002)

Hallo,

das "Sicherheitsupdate von Microsoft" http://www.computerbetrug.de/aktuelles/aktuelles.php
(Nachricht vom 07.03.2002) habe ich auch erhalten  :x (abernatürlich nicht geöffnet   )

Allerdings war der Absender so blöd und hat mir diese Email über eine T-online Adresse geschickt
(angezeigter Name: Microsoft Corporation Security Center
Email-Adresse: [email protected]) 
wobei für xxx ein richtiger Name eingetragen war   

Nun meine Frage - was soll ich damit machen?
Habe die Mail an Microsoft geschickt, doch die kümmert das reichlich wenig und schreiben nur zurück, dass man solche Emails nicht öffnen soll  :cry: .

Habt Ihr einen Tip für mich?

Gruß
Olli


----------



## SprMa (27 März 2002)

Muß ja nicht unbedingt vom Absender beabsichtigt versendet worden sein. Viele dieser "Programme" versenden sich an alle Kontakte in Outlook / Outlook Express.

Wenn du der Meinung bist, daß die Mail tatsächlich mit der Absicht an dich geschickt worden ist, um dir einen Trojaner unterzuschieben, dann kannst du / solltest du zur Polizei und Anzeige erstatten. Denkbar wäre der Tatbestand der versuchten Computersabotage.
Und/Oder eine Mail an den Kunden-Support von T-Online und denen die Lage erklären. Eventuell fragen die mal beim [email protected] nach, warum er solche Mails verschickt und gegen die AGB's verstößt...

Matthias


----------



## Freeman76 (27 März 2002)

Hi,

bei mir gehen in der Woche mindestens 10 verseuchte Mails ein. Dies ist mittlerweile leider "Standard". Meistens ist es so, dass der Versender von einem Wurm befallen war/ist und gar nichts von seiner Massenversendung mitbekommen hat. In der Regel lösche ich einfach die Mails und freu mich, dass mein Virenscanner den Virus erkannt hat :lol: 

Bekomme ich von dem gleichen Absender in kurzen Abständen mehre Virenmails, so erlaube ich mir, ihn "höflich" auf seine Virenmails hinzuweisen. Zusätzlich mit dem Hinweis, mich sofort aus seinem Adressbuch zu löschen sowie einem Link zu einem aktuellen Virenscanner   




> Wenn du der Meinung bist, daß die Mail tatsächlich mit der Absicht an dich geschickt worden ist, um dir einen Trojaner unterzuschieben, dann kannst du / solltest du zur Polizei und Anzeige erstatten. Denkbar wäre der Tatbestand der versuchten Computersabotage.



Bei *konkretem* verdacht sicherlich sinnvoll.



> Und/Oder eine Mail an den Kunden-Support von T-Online und denen die Lage erklären. Eventuell fragen die mal beim [email protected] nach, warum er solche Mails verschickt und gegen die AGB's verstößt...



Nach meiner Erfahrung bringt dies ziemlich wenig  :cry:  Verhält sich wie mit den Einträgen in der Firewall über Portscanns usw. - Fehlanzeige...

Wie oben bereits erwähnt bin ich jedoch nach mehreren Virenmails des gleichen Versenders schon so frei, ein bisschen "lauter" zu werden.


----------



## Heiko (27 März 2002)

Freeman76 schrieb:
			
		

> Nach meiner Erfahrung bringt dies ziemlich wenig  :cry:  Verhält sich wie mit den Einträgen in der Firewall über Portscanns usw. - Fehlanzeige...


Wenn Du mir jetzt noch erklärst, weswegen Dich das erregt...

Die meisten der "Portscans" sind es nicht wert, daß man die zur Kenntnis nimmt.


----------



## Freeman76 (28 März 2002)

@Heiko

Erregt mich nicht im geringsten. Ärgert nur, weil man mittlerweile nicht mal eine Stunde Online sein kann, ohne dass eine(r) einen Portscan durchführt. Mein Hinweis bezog sich mehr darauf, dass es einfach sinnlos ist, den Provider "zuzumüllen", weil keine Reaktion erfolgt und erfolgen kann. Ausnahmen gibt's selbstverständlich...


----------



## Heiko (28 März 2002)

Und was sollte der Provider "im Idealfall" auf den Hinweis hin tun?

Nur theoretisch, freilich.


----------



## Freeman76 (28 März 2002)

Hi,

als Provider wird die Sache schwer. Eine heile Welt ohne Angfriffe durch selbsternannte Cracker mit aus dem Netz gezogenen Progis für "wie schädige ich meinen Mitmenschen" wird es nicht mehr geben. 

Der Provider selbst hat hier auch wenig Chancen. Außer der User will, dass er nur noch die Standardports nutzen kann... Was wiederum nicht unbedingt verhindert, dass sich kein Trojaner, Virus, Wurm etc. einschleicht.

Aber im Idealfall ist die Reaktion so:

- Gegencheck, ob es sich beim Versender des Hinweises nicht um einen "Faker" handelt
- Hinweis an den Versender über den Mißbrauch von s.g. Portscans bzw. über den Virenversand.
- Bei nochmaligem "schuldhaften" Verhalten den Accounts sperren.

*Aber:*

Der Ansatz müsste IMHO anders sein. Beginnend beim Betriebssystem. Da sehe ich die eigentliche Schwachstelle. Der Normalbenutzer ist doch mit der Fülle an Tools überfordert. Beginnend vom Virenscanner zur Firewall bis hin zum Trojanerscanner, 0190 Warner und und und. MS-Betriebssysteme haben leider von Haus aus so viele Löcher dass es unabdingbar wird, hier selbst Hand anzulegen. Viellecht bessert sich das aber in Zukunft.

Wo man jedoch auf alle Fälle von Seiten des Providers was machen kann ist z.B. bei Spam-Mail. Kein Versand mehr ohne Authentifizierung. Der User kann zwar ohne der Anmeldung Mails versenden, soll sich dann aber nicht wundern, wenn vom E-Mailprogi des Empfängers die Mail auf Grund des Headers entfernt wird. 

Und das ist was mich "erregt"   . Die technischen Möglichkeiten sind vielfach vorhanden, auch solche, wodurch der Benutzer keine Nachteile hat in Punkt Bedienung und Komfort. Nur genutzt werden die Sachen so selten  :cry:


----------



## Heiko (28 März 2002)

Freeman76 schrieb:
			
		

> Eine heile Welt ohne Angfriffe durch selbsternannte Cracker mit aus dem Netz gezogenen Progis für "wie schädige ich meinen Mitmenschen" wird es nicht mehr geben.


Definiere "Angriffe"


----------



## Freeman76 (28 März 2002)

Du schaust doch nur auf meine Schreibfehler, oder?  

Ich persönlich werte einen Portscan auf meinen Rechnern als Angriffsversuch. Denn warum sollte jemand nach offenen Ports ausschau halten? Genauso werte ich als Angriff eine Mail mit einem Trojaner bzw. Mailwurm.


----------



## Devilfrank (28 März 2002)

jeder grosse Provider hat eine Secure-Group, die sich mit solchen Vorfällen befasst. In der Regel ist der Kontakt dann [email protected]. Hier in diesem Fall sollte [email protected] schon mal vom Kaffetopf hochgeschreckt werden.


----------



## Heiko (28 März 2002)

Wegen einem Portscan sollen die den Kaffee kalt werden lassen?


----------



## Freeman76 (28 März 2002)

Würde ich nicht machen   

Nein, mal zurück zur Wirklichkeit. 

Als User nehme ich von meinem Provider einen Dienst in Anspruch - hier den Zugang zum Internet. Für den Schutz meines Rechners habe ich keinen beauftragt - oder hat jemand da einen Vertrag mit seinem Provider abgeschlossen?

Wenn mir jemand absichtlich eine Virenmail sendet, bekommt er eine Anzeige. Wenn jemand versucht, mittels DoS-Attacke oder oder oder meine Rechner zu hacken bzw. einen Schaden zu verursachen, zeige ich ihn an. In allen Fällen trete nicht ich, sondern die Polizei mit dem Provider in Verbindung (Zugangsdaten). Ich liefere nur die mir vorhandenen Daten, z.B. den kompletten Auszug aus den Firewalls usw.

In allen anderen Fällen nehme ich es hin oder schreibe bei mehrmaligem Vorkommen an den Verursacher (bei Virenmails) oder an den Provider (PortScan und sonstige Versuche). Die Betonung liegt auf *mehrmaligem*.

Wenn jeder bei einer Virenmail oder Portscan sofort den Provider zumüllen würde, hätte dieser am Tag hundertausende von E-Mails  :evil:  - wer soll die noch bearbeiten?


----------



## Heiko (28 März 2002)

Freeman76 schrieb:
			
		

> Wenn mir jemand absichtlich eine Virenmail sendet, bekommt er eine Anzeige. Wenn jemand versucht, mittels DoS-Attacke oder oder oder meine Rechner zu hacken bzw. einen Schaden zu verursachen, zeige ich ihn an. In allen Fällen trete nicht ich, sondern die Polizei mit dem Provider in Verbindung (Zugangsdaten). Ich liefere nur die mir vorhandenen Daten, z.B. den kompletten Auszug aus den Firewalls usw.


Wie weist Du eine absichtliche Virensendung nach?

Welche Software identifiziert Angriffe zweifelsfrei?

Ich hab schon als Gutachter fürs Gericht gearbeitet und von den mir vorgelegten Firewall-Logs war kein einziges als Nachweis geeignet. Alle "Angriffe" konnten auch zweifelsfrei anders erklärt werden.


----------



## Freeman76 (28 März 2002)

Zum Glück hatte ich noch nie (glaube ich) eine Virenmail, welche mir absichtlich zu niederen Zwecken gesendet wurde. Gleiches verhält sich mit Hackversuchen - obwohl hier der Versuch alleine ja schon verwerflich ist. 

Was schlägst Du dann vor, wenn vor Gericht alles niedergebügelt wird?


----------



## Heiko (28 März 2002)

Ich sagte nicht, daß alles niedergebügelt würde, sondern daß die wenigsten Angriffe - von denen wir hier reden - beweisbar sind.
Das bedeutet, daß die "Angriffe" nicht unbedingt echte Angriffe sind.
Zumindest fällt die Unterscheidung nicht allzu leicht.

Defintiv ist keine PFW dazu geeignet, diese Unterscheidung zu treffen. Diejenigen Firewalls, die ich kenne, zeigen sogar einen telnet auf einen der "Hackerports" als "Angriff" an. Toll...


----------



## Freeman76 (28 März 2002)

Dass mit Beweisen wird immer schwer sein. Aber irgendwas wird man zum Nachweis haben müssen. Und dafür ist nun mal ein Logfile da. Die Frage was sich stellt ist, da gebe ich Dir absolut recht, ob die geloggten Einträge auch die Tatsachen wiederspiegeln. Und einige PFW haben hier mehr als Nachholbedarf. Meiner Meinung nach ist ja weniger interessant, was geblockt wurde sondern was wirklich reinkam   oder raus (ist meistens noch interessanter).

Was unterscheidet jedoch eine gute PFW z.B. von Smoothwall oder der Suse Firewall - ausgenommen einem evtl. Intrusion Detection System, z.B. Snort?


----------



## Devilfrank (28 März 2002)

ähem... natürlich meinte ich nicht den Portscan, wegen dem der Provider informiert werden sollte, sondern den Eröffnungs- Thread. Also wenn eine derartige Viren-/Trojaner-/Dialermail im Umlauf ist. Das ist auch ein Grund, den Kaffee kalt werden zu lassen oder zumindest auf die alte UNIX-Mühle zu stellen *g*


----------



## Heiko (29 März 2002)

Freeman76 schrieb:
			
		

> Was unterscheidet jedoch eine gute PFW z.B. von Smoothwall oder der Suse Firewall - ausgenommen einem evtl. Intrusion Detection System, z.B. Snort?


Firewall-Hardliner werden Dir sagen "Nichts - ist beides Schrott".

Fakt ist, das es sich bei einer "Firewall" streng genommen um ein *Konzept* handelt, das einen technischen und einen organisatorischen Bereich beinhalten muß, und nicht um ein Stück Software oder einen Kasten, der irgendwo rumsteht.
Das Konzept "Firewall" muß auch definieren vor was ich mich überhaupt schützen will und was nutzbar sein soll. Ziel muß sein, daß nur noch ein definierter Netzwerkverkehr über die Netzgrenze hinweg möglich ist (dessen Bedrohungspotential ich vorher beurteilt habe) und nicht irgendein esoterischer "Sicherheit"sbegriff.

Der Einsatz eines dedizierten Firewallrechners bedeutet in meinen Augen, daß sich jemand über die Sache Gedanken gemacht hat und insofern nicht mehr ganz blauäugig an die Sache rangeht.

Ich bin auch kein totaler Gegner von PFW. Wenn ich mein Schutzziel so definiere, daß zum Beispiel keinen Zugriff von außen auf meinen lokalen Mailserver möglich sein soll und daß ich eine automatischen Popups haben will, dann kann ich mit NIS zum Beispiel schon ganz gut bedient sein.

PFW verleiten die User aber leider zu Aussagen wie "ich habe mir jetzt eine Sicherheitssoftware installiert damit ich geschützt bin" und das ist grundverkehrt. Wer mit Leuten zu tun hat, hat sicher auch schon solche oder ähnliche Aussagen gehört.
Auf meine Nachfrage *wovor* man denn nun geschützt ist folgt dann meistens Schweigen.

Je nachdem wie ich mein Schutzbedürfnis definiere, kann eine PFW gut oder weniger gut sein. 
Nur mangelt es meistens schon an der Vorüberlegung.


----------

