Vorwort
Der folgende Text geht auf einen Artikel von Microsoft zurück, den ich übersetzt und an einigen Punkten erweitert habe. Der Text bezieht sich hauptsächlich auf die Betriebssysteme von Microsoft, kann aber auf jedes andere übertragen werden.

Mein Computer hat einen Virus oder wurde gehackt. Was jetzt?

Du hast also dein System nicht ordentlich gepflegt, und als Ergebnis hast du jetzt mehr auf deinem Computer als dir lieb ist... Nachfolgend ein paar typische Irrtümer:

1.

Man kann kein kompromittiertes System reparieren, indem man Updates und Patches einspielt. Patchen behebt nur die Verwundbarkeit. Nachdem der Hacker in dein System eingedrungen ist, hat er möglicherweise sichergestellt, dass es noch andere Wege in dein System gibt, durch sogenannte Rootkits oder Hintertüren.

Ein Rootkit ist das erste, was ein Hacker gewöhnlich auf einem System installiert, nachdem er eingebrochen ist. Neben einer Hintertür, die ihm immerwährenden Zugriff auf das System gewährt, auch wenn der Zugang, über den er eingedrungen ist, geschlossen wurde, verwischt es alle Spuren auf dem System und bei ausgefeilteren Rootkits, wird auch die Beseitigung durch verschiedene Maßnahmen verhindert. Das geht soweit, dass der Rootkit im Hintergrund alle Aktivitäten des Users überwacht und bei Aktionen, die zur Entdeckung des Rootkits führen könnten, eingreift und andere Ausgaben liefert, also zum Beispiel Dateien anzeigt, die es so nicht gibt oder auch Sachen nicht anzeigt, obwohl sie da sind. Rootkits gibt es für alle gängigen Betriebssysteme, die am weitesten entwickelten gibt es für Windows und Linux.

2.

Man kann kein kompromittiertes System dadurch reparieren, indem man die Hintertüren entfernt. Du kannst nie sicher sein, alle Hintertüren zu finden. Der Umstand keine weiteren Hintertüren finden zu können, kann möglicherweise bedeuten, dass du nicht weißt, wo noch welche versteckt sein könnten. Ausserdem sind viele Rootkits so ausgelegt, dass sie etwas anderes anzeigen als tatsächlich da ist. Teile des Betriebssystems oder von Programmen werden gegen eigene Komponenten ausgetauscht. Wenn der Rootkit merkt, dass man sich eine solche Komponente anzeigen lassen möchte, zeigt er das Original an. Man hat bei "guten" Rootkits keine Chance ohne weiteres festzustellen, ob man ein Phantom oder das tatsächliche Programm angezeigt bekommt.

3.

Man kann ein kompromittiertes System nicht dadurch reparieren, indem man ein Programm zum Auffinden und Entfernen der Hintertüren benutzt. Als Beispiel kann man ein System hernehmen, welches vom Blaster-Wurm befallen wurde. Eine Reihe von Anbietern, inklusive Microsoft, veröffentlichten Programme zum Entfernen des Blaster-Wurms. Die Frage ist, ob man einem solchen System, welches von Blaster befallen war, noch trauen kann, nachdem man Blaster mit dem Tool entfernt hat? Man kann es nicht. Wenn das System für eine Infektion von Blaster anfällig war, dann war es auch anfällig für eine ganze Reihe anderer Attacken. Und keiner kann garantieren, dass eine solche Attacke nicht längst stattgefunden hat und bei dieser Attacke eine nette Überraschung hinterlassen wurde.

4.

Man kann ein kompromittiertes System nicht mit einem Virenscanner reparieren. Ein Virenscanner braucht eine verlässliche Basis um vertrauenswürdig zu funktionieren. Wenn ein Rootkit falsche Informationen liefert, kann auch ein Virenscanner das nicht erkennen. Fragte der Virenscanner zum Beispiel ein bestimmtes File ab, kann ein Rootkit die Abfrage abfangen und statt dem originalen File ein anderes an dessen Stelle anzeigen.

Einen Virenscanner kann man nur dann benutzen, wenn man sich ganz sicher ist, dass nur ein bestimmter Virus oder Wurm das System befallen hat. Dieser Virus oder Wurm darf keine Hintertüren auf dem System installieren, über die dann andere Komponenten nachgeladen oder installiert werden können. Ausserdem darf die Schwachstelle, die zur Kompromittierung des Systems geführt hat, nicht entfernt, sprich über das Internet, nutzbar sein.

Als Beispiel kann man gängige E-Mail-Würmer heranziehen, die üblicherweise als Anhang mit einer Email verschickt werden. Sie infizieren ein System indem sie den E-Mail-Anhang durch den User ausführen lassen. Sollte das der einzige Infektionsweg sein und wenn der Virus keine Hintertüren installiert oder Code aus dem Internet nachlädt, dann ist eine Bereinigung mit einem Virenscanner machbar.

Wie auch immer: sollte die Sicherheitslücke, über die man sich den Wurm eingefangen hat, auch über das Internet ausnutzbar gewesen sein, kann man nicht garantieren, dass der Wurm das Einzige war, das man sich darüber geholt hat. Es ist absolut möglich, dass jemand anderes mit genau der gleichen Sicherheitslücke in das System eingebrochen ist. In so einem Fall ist sowohl die Benutzung eines Virenscanners als auch das Patchen des Systems nutzlos.

5.

Man kann ein kompromittiertes System nicht damit reparieren, indem man das Betriebssystem überinstalliert. Noch einmal: ein Angreifer kann mittels Rootkit Abfragen auf Dateien abfangen und umlenken und so auch die Installationsroutine des Betriebssystems täuschen. Statt die kompromittierten Betriebssystemkomponenten neu zu installieren, können die alten erhalten bleiben und nach einem Neustart wieder aktiv werden. Davon abgesehen können Hintertüren und Rootkits auch in anderen Programmen als dem Betriebssystem versteckt sein. Eine Installation des Betriebssystem nützt schon aus dem Grund nichts.

6.

Man kann keinen Daten mehr trauen, die auf einem kompromittierten System gespeichert sind. Wenn ein Angreifer einmal in ein System eingedrungen ist, hat er Zugriff auf alle Daten und kann sie nach eigenem Interesse manipulieren. Im besten Fall kopiert man seine Daten auf ein sauberes System und hat dann Daten, deren Inhalt man nicht mehr vertrauen kann, weil ein Angreifer zum Beispiel Rechnungsdaten verfälscht hat. Im schlechtesten Fall hat man sich die Hintertür mit kopiert, die in den Anwendungsdaten versteckt war. Das kann zum Beispiel über eine Bilddatei verbreitet werden oder über ein in einem Office-Dokument enthaltenes Script.

7.

Man kann keinen Logfiles auf einem kompromittierten System trauen. Ein Angreifer wird immer als erstes alle Spuren seiner Aktivitäten aus den Logfiles entfernen. Einige Rootkits erledigen das automatisch und verhindern auch später alle Einträge in die Systemlogs, die auf ihre Existenz hinweisen könnten. Man sollte immer bedenken, dass ein Angreifer in die Logfiles reinschreiben kann, was er will und dich so auch auf eine falsche Fährte führen kann.

8.

Man kann unter Umständen nicht einmal seinen Backups trauen. Dazu müsste man genau wissen, seit wann es die Sicherheitslücke gibt oder wann genau die Infizierung oder der Hack erfolgt ist. Wie schon geschrieben kann man den Angaben seiner Logfiles nicht trauen, sie geben keinerlei brauchbare Hinweise, ab wann ein Problem besteht. Spielt man einfach sein letztes Backup auf ein neu installiertes System, riskiert man es damit auch die Hintertür wieder zu installieren.

Fazit

Die einzige sichere Möglichkeit ein kompromittiertes System wieder herzustellen ist es komplett plattzumachen und von Grund auf neu aufzubauen. Leider. Das bedeutet die Festplatte(n) neu zu formatieren, das Betriebssystem und alle Anwendungen neu zu installieren. Natürlich kann man versuchen sein System durch Handarbeit zu retten. Aber dafür besteht wenig Aussicht auf Erfolg.

Eigentlich gibt es nur einen vernünftigen Weg: der heisst Prävention. Wer regelmäßig alle Patches in sein Betriebssystem einspielt und bei der Konfiguration und Benutzung Vernunft walten lässt, umgeht die oben genannten Probleme. Leider ist das gerade beim am weitesten verbreitesten Betriebssystem Windows nicht so einfach. Microsoft stellt leider nicht immer alle erforderlichen Patches und Updates zur Verfügung um alle Sicherheitsprobleme auf seinem System zu beheben.

Fremdsoftware wie alternative Browser, Virenscanner und Personal Firewalls können das nur bedingt umgehen. Ausserdem sollte man unbedingt daran denken, auch diese Zusatzsoftware regelmäßig zu aktualisieren. Ein Virenscanner, dessen Datenbank ein paar Tage nicht aktualisiert wurde, kann bereits nutzlos sein. Am besten aktualisiert man kritische Komponenten wie Firewall und Virenscanner täglich, auch wenn es lästig erscheint.

Beim Betriebssystem ist man auf Microsoft angewiesen und muss warten, bis die Updates dafür bereitgestellt werden. Es besteht die Möglichkeit das Windows Update so zu konfigurieren, dass Patches und Updates automatisch heruntergeladen und installiert werden. Das funktioniert oft, aber leider nicht immer. Bei Microsoft Windows sollte man auch immer die neuesten Servicepacks installieren. Auch Anwendungssoftware wie Office kann zum Einbruch in ein System benutzt werden und sollte regelmäßig geupdatet werden.

Quelle: www.systemli.org. Abdruck (geringfügig verändert) mit freundlicher Erlaubnis der Autos alex@systemli.org. (Ich kenne Alex schon aus Mailbox-Zeiten.)
---------------------------------------------------------------------------------------

BURKS ONLINE 04.03.2004
Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung des BurksVEB.