Dirks virtuelle Endlosschleife

Untertitel: Mein Security Albtraum und was ich daraus gelernt habe

Dienstag klopfte an meiner Inbox das Grauen(tm) an:

  
Falls sich der geneigte Leser jetzt denkt “na und?”, dann weise ich mal auf den Absender dieser EMail hin… Und nein, ich hatte nicht mit mir selbst gemailt. Ich sah diese EMail unterwegs an meinem Handy und kam vor Schreck so richtig auf Betriebstemperatur…

Was mich verstörte waren die möglichen Ursachen und Konsequenzen. Hier mal ein paar Fragen, die mir durch den Sinn gingen:

• War jemand an meinem (ungelockten) Rechner?
• Wer?
• Gab es geheime Dokumente, die man dort hätte einsehen können?
• Falls niemand an meinem Rechner war, hat dann vielleicht – was ja noch schlimmer wäre – jemand mein Passwort geknackt?
• Welche EMails waren in meiner Inbox, wie “geheim” waren die?
• Gab es “Passwortbestätigungsmails” in meiner Inbox?
• Welche Seiten und Systeme habe ich so konfiguriert, dass sie von meinem Rechner aus einfach erreichbar sind (sprich: ohne Passworteingabe)
• Könnte jemand Software auf meinem Rechner installiert haben?
• Wurden weitere Mails als diese eine geschrieben?

All diese Fragen und noch mehr gingen mir durch den Sinn, fieberhafte Schadensbegrenzung begann.

Als erstes galt es herauszufinden, ob diese EMail tatsächlich von meinem Mailaccount aus verschickt worden war und nicht etwa eine Fakemail war. Ein Blick in “Gesendete Objekte” klärte auf. Dann mobilisierte ich telefonisch einen Kollegen und bat ihn, meinen Rechner zu checken. Der war gelockt, lief aber. Ich bat ihn das Gerät komplett auszuschalten. Grund: Es hätte ja durchaus jemand Software installieren können, die lokal läuft, bevor er das Gerät lockte.

Als grundsätzliche Annahme muss gelten, dass ein Rechner, der einmal kompromittiert wurde, egal ob physikalisch oder per Software, nicht mehr vertrauenswürdig ist. Ich legte das System also still bis ich ihn neu installieren konnte.

Danach änderte ich mein Domänenpasswort von meinem anderen Rechner aus.

Der nächste Schritt dann war, das Outlook Regelwerk zu sichten. Ein potentieller “Scherzbold” hätte leicht die Möglichkeit gehabt, sich Regeln zum Weiterleiten, Löschen oder sogar zur Fernsteuerung meines PCs einzurichten. Bei der Gelegenheit durchsuchte ich den Ordner “Gesendete Objekte” und “Gelöschte Objekte” auch nach weiteren potentiell gesendeten EMails. Es gab keine. (vorsichtiges Aufatmen meinerseits, natürlich ist es in Outlook sehr leicht seine Spuren zu verwischen, aber immerhin…)

Allerdings gab es etwas anderes: In meiner Inbox befanden sich ein paar Passwortbestätigungen, die teilweise auch das jeweils eingesetzte Passwort enthielten. Es ist eine Unart mancher Portale, Mails mit IDs und Passworten zu verschicken und auch in meinem Mailfundus waren einige übrig. Ganz besonder übel wird das, wenn man dazu tendiert, Passworte im Web mehrfach zu verwenden oder ein System zum Erzeugen seiner Mails verwendet. Ergo: die Mails in meiner Inbox waren potentiell geeignet, Rückschlüsse auf die Systematik zu ziehen, mit der ich manche Passworte generiere.

Eine Welle von Passwortänderungen begann also :-)

Das Ganze dauerte ungefähr eine Stunde, dann hatte ich einen Status erreicht bei dem ich halbwegs beruhigt den nächsten Tag abwarten konnte bis ich wieder im Büro sein würde um den Rechner neu aufzusetzen.

Gesagt getan.

1 Tag später betrat ich das Büro und installierte den Rechner neu.

Und übrigens – das war besonders fies – ich ging eigentlich die ganze Zeit davon aus, dass es ein Kollege gewesen war, der mich foppen wollte. Aber durfte ich das als gesichert annehmen? Nö. Also war ich in Zugzwang…

- kaum war der Rechner neu aufgesetzt, klärte auch ein frisch eintreffender Kollege die Sache auf -

Es ist wirklich wunderbar, humorvolle Kollegen zu haben. Ich wünsche jedem eine Umgebung in der die täglichen Mitstreiter zu auflockernden Späßen bereit sind. Ich arbeite in so einer Umgebung und bin wirklich dankbar dafür. Meistens.

Was war nun geschehen?

Rückblende - Etwa 30h vor der Neuinstallation:
Kollege Uwe B. aus H. betritt das Büro. Auf der Suche nach mir entdeckt er einen verwaisten Arbeitsplatz und meinen zurückgelassenen Zweitlaptop. Letzterer leider nicht gelockt (Asche auf mein Haupt!) und auch nicht “bildschirmgeschont” (Asche auf mein Haupt und aufs Haupt unserer IT-Abteilung die das Setup-Image und die Grouppolicies gehäkelt hat).

Stattdessen sieht er direkt Outlook ins EMail-verschmierte Gesicht… Mein Kollege ist humorvoll, also überlegt er sich was er mit meinem ungelockten, ihm schutzlos ausgelieferten Rechner kurz anstellen könnte um mich zu erschrecken. Andere Systemsprache? Fieser Hintergrund? Uwe weiss was Besseres: Er entscheidet sich für eine EMail… Den Rest der Story kennen wir.

Was habe ich nun daraus gelernt?
Dass man locken sollte wusste ich schließlich schon vorher und normalerweise denke ich auch dran. In diesem speziellen Fall passierte mir ein Versehen. Die schnellste Methode, den Rechner zu sperren ist übrigens, gleichzeitig die Windows-Taste und “L” zu drücken…

Folgende Massnahmen können zusätzlich schützen:

1. Den Bildschirmschoner aktivieren und die Option “On Resume, display logon screen” aktivieren:
    
   
2. Eine interessante Möglichkeit sind Gadgets und Tools die den Rechner automatisch locken wenn man sich von ihm entfernt. Unter http://www.netzwelt.de/news/79874-ausprobiert-windows-sperren-handy.html gibts einen Test zu dem Tool “Phoenix Freeze”, dass mit einem Handy und Bluetooth funktioniert. Per Signalstärke wird bestimmt wie weit das Handy vom Rechner entfernt ist und unter einem bestimmten Level wird der Rechner gelockt.
   
3. Den Rechner im Energieprofil herunterfahren lassen wenn er eine gegebene Zeit nicht benutzt wurde. Hat den selben Effekt wie der Bildschirmschoner mit dem zusätzlichen Vorteil, dass auch Bitlocker Schutz besteht und Strom gespart wird.
   
4. Bitlocker aktivieren, Externe Festplatten verschlüsseln.

Hat jemand weitere Ideen?

Jetzt ist es ja mal schiefgegangen. Was muss man mindestens tun? (Kleine Liste ohne Anspruch auf Vollständigkeit, Feedback willkommen :-))

1. Den betroffenen Rechner sofort vom Netz trennen, am Besten ausschalten
2. Mailausgang, Mailregeln, Inhalte der Mails prüfen
3. Ggf. vorhandene Logs von Chat-Programmen, Filetools oder das Windows Log sichten um Aktivitäten zu bemerken.
4. Passworte ändern!
5. sich testweise auf Portalen anmelden, die Bezahlungen (PayPal? EBay?) oder Identitätsklau (Xing? Facebook? Twitter?) ermöglichen. Sicherstellen, dass keine “Regeln” und Weiterleitungen definiert sind. Passworte ändern!
6. Rechner neu installieren, einmal kompromittiert “gehört” er dem Nutzer nicht mehr!
   

Natürlich gibt es viele zusätzlichen Massnahmen konfiguratorischer Art, die die Sicherheit eines Systems bestimmen. Mir ging es hier um Schadensbegrenzung und die grundlegende Vorbeugung. Gelernt habe ich aus diesem Geschehen etwas, dass ich schon vorher wusste: Das Haupt-Sicherheitsproblem sitzt oft *vor* dem Rechner. Und auch das Wissen um die Massnahmen schützt vor Fehler nicht. Wenn denn dann doch der Ernstfall eintritt, bleibt nur, Passworte zu ändern, den Rechner neu aufzusetzen und eine gute Backupstrategie…

Ich werde für meinen Teil jetzt wieder mehr darauf achten, den Rechner abzusperren wenn ich gehe… Und regelmässig bei Uwe vorbeischauen ob sein Rechner herrenlos ist :-)

seit Wochen nun mach ich rum mit meinen heimatlichen WiFi Endgeräten.

So selig ich damit war, mit meiner neuen Fritzbox 300 MBit unterstützen zu können war es dann trotzdem dauernd so, dass aus irgendwelchen abstrusen Gründen immer mal mein WLan ausfiel, der Homeserver plötzlich nicht mehr erreichbar war etc.

Meine erste Lösung war, dem Homeserver einen Restart-Job zu verpassen und die Fritzbox an eine Zeitschaltuhr zu hängen.

Seit gestern aber lasse ich die Fritzbox per Script neu starten und spare mir damit das nervige Getickere unserer Zeitschaltuhr (die klang wie eine Festplatte beim Positionieren…).

Wie das geht?

Nun ja, es führen viele Wege nach Rom.
Die Fritzbox wird mit einem Linux-System betrieben, also wäre die naheliegendste Lösung einen Cron-Job zu implementieren. Leider ist im Lieferumfang der FB kein passender Daemon gestartet… Da wäre nun eine Möglichkeit, eine modifizierte FB Firmware zu installieren, sprich: Die Fritzbox mit einer angepassten Firmware zu flashen. Ich habe das gelassen, primär weil ich mich nicht wohl bei dem Gedanken fühle, aus dem Netz ein Image auf meiner Box zu installieren. Ergo blieb die Frage, ob das nicht auch mit Bordmitteln ginge.

Und was soll ich sagen: Es geht :)

Mein Lösungsweg sieht so aus:

1. Telnet Daemon auf der Fritzbox aktivieren und sicherstellen, dass er immer wieder mit der Box mitstartet

2. Verbindung per Telnet zur Box herstellen und Reboot-Kommando absetzen

1. Telnet einrichten

Telnet ist auf der Fritzbox per default nicht gestartet. Allerdings kann man die Box dazu bringen, das nachzuholen. Einfach ein Telefon nehmen, und durch die Eingabe von

#96*7*  aktivieren bzw. mit
#96*8*  deaktivieren.

Einmal gestartet kann man sich mit

telnet fritz.box

auf der Box anmelden. Falls der telnet client unter Windows nicht installiert ist, kann man das per “Add/Remove programs” nachholen.

Nun gilt es, dafür zu sorgen, dass Telnet permanent gestartet wird. Die Fritzbox hat dazu eine Konfigurationsdatei, die im permanenten Speicher liegt und bei jedem Start ausgeführt wird, debug.cfg.

Mit folgender Zeile trägt man dort den Telnet Daemon ein:

echo '/usr/sbin/telnetd -l /sbin/ar7login' > /var/flash/debug.cfg

Wer übrigens die Datei später editieren will, der kann dafür nvi verwenden, vi “sieht” den Inhalt leider nicht, da debug.cfg wohl keine echte Datei ist.

So… der Telnet daemon startet also in Zukunft automatisch. Per /sbin/reboot bootet die Box übrigens neu. Was nun?

2. Telnet automatisieren

Leider kann man Telnet nicht automatisieren… Das war eine herbe Enttäuschung, wähnte ich mich doch schon auf halbem Weg.

Im Netz kursieren ein paar Scripts, die man in der debug.cfg eintragen kann um einen Neustart der Box zu erreichen. Leider hat keiner dieser Scripts bei mir funktioniert, so dass der Weg von “aussen” als der bessere erschien.

Also blieb nur noch der Weg, Telnet per Script “fernzusteuern”:

set sh=WScript.CreateObject("WScript.Shell")
sh.run "Telnet fritz.box"
WScript.Sleep 500
sh.SendKeys "UltraGeheimesPasswortHierEinfügen"&vbcr
WScript.Sleep 1000
sh.SendKeys "/sbin/reboot"&vbcr

Das ganze in eine .vbs-Datei gepackt und als geplanten Task im homeserver um 3 Uhr Nachts gestartet löst jetzt alle meine heimatlichen Netzwerkprobleme. Seitdem läuft alles stabil :-)

Und ja: Ich weiss, es ist schmutzig :-)

Ich war doch ein wenig verblüfft als mich mein Kollege Niels vorgestern darauf hinwies, dass unsere MSDN Dokumentation von jedermann erweiterbar sei…

Einfach bei den Dokuseiten ganz runterscrollen zu der Sektion “Communityinhalt”, “Neuen Inhalt hinzufügen” anklicken und los gehts. Eigentlich ein phantastischer Platz für Codesamples will ich meinen :-)

Nach etwas längerer Surffibelpause, kommt endlich mal wieder eine Liste interessanter Links für Euch :)

Tool: Twitter 2.0? Bing XP? nö… BingTweets!

Gewinnspiel: Lust mit ein wenig Code interessante Preise abzuräumen? Der Code7Contest machts möglich!

Video: Ich lach mich immer noch schlapp bei diesem Video der Office Truppe… sehr cool!

Video: Sooooo sind die Kunden von Website-Agenturen drauf… Ich glaubs sofort :-)

Video: Die WPC (World Partner Congress) Keynote war nicht nur sehenswert (dank HD auch streamenswert), sie war richtig dicht infobepackt…

Tool: Die Jungs könnten noch ein wenig an der Benutzerführung und dem Design arbeiten, generell aber ist My Tweeple ein sehr nützliches Twitter Tool zum Followermanagement…

Tool: Die Online-Version von bDule in Silverlight und demnächst mit Online-Syncfunktion. Großartig!

Video/Webseite: Noch ein Auszug aus dem Agenturleben, diesmal als Mischung aus Video und Webauftritt. Sehr cool und erfrischend österreichisch :-)

Gadget: Die USB Chainsaw. Muss ich mehr schreiben?

Blog: Coole Tipps, schöne Bilder, grossartige Tools… Das Microsoft Professional Photography Blog.

Zur Zeit versuche ich eine Liste etablierter Webseiten-Frameworks für ASP.NET zusammenzustellen… Ziel ist es, genau die Frameworks zu listen, die auch tatsächlich über eine etablierte Community verfügen.

Meine bisherige Liste ist reines Bauchgefühl dazu welche Frameworks wohl so einigermassen bekannt sind… Feedback und Erweiterung ausdrücklich erwünscht! :-)

CMS:

• DOTNETNUKE (http://www.dotnetnuke.com/)
• AxCMS.NET (http://www.axcms.net/en_axcms_home.AxCMS?ActiveID=1848)
• Umbraco (http://umbraco.org/)
• MWPSK (http://www.codeplex.com/MyWebPagesStarterKit)

Blog Engines:

• DasBlog (http://www.dasblog.info/)
• BlogEngine.NET (http://www.dotnetblogengine.net/)

eCommerce:

• dashcommerce (http://dashcommerce.org/)

Other:

• FlexWiki (http://www.flexwiki.com)

17 Artikel von Entwicklern für Entwickler und Comics? Und ein kostenloser Download? Und von Microsoft? Yup :-)

Dann nichts wie los und auf zum Download !

Stell Dir vor, Du musst Deinen Entwicklungsrechner neu aufsetzen und nicht stundenlang alle Deine Lieblingstools zusammensuchen… Statt dessen gibt es ein Tool, dass sie alle kennt und Dir Deinen Wunschrechner zusammensteckt. Cool, oder?

Damit das hinhauen kann, wollen wir von Euch hören: Welche Tools wären das? Wie sieht ein typischer Arbeitsrechner aus? Helft uns, das beste Entwickler-Win7 aller Zeiten zu konfigurieren oder gebt feedback zu der Idee allgemein :-)

In schöner Regelmäßigkeit bricht irgendwo in dieser unserer Technologielandschaft eine Schlacht um Zahlen aus. Wer denn nun schneller, speicherschonender, bunter, bedienerfreundlicher und überhaupt allgemein empfehlenswerter sei… darum scheint es dabei vordergründig zu gehen.

Im vorliegenden Fall passiert das gerade mit diem IE8 und die Presse freut sich natürlich grandios um die Möglichkeit aus einer Nicht-Nachricht eine reißerische Story zu machen.

Da werden Dinge verglichen, die den Endbenutzer eigentlich gar nicht interessieren (wenn er sie denn überhaupt versteht) und Conclusios gezogen, die man schon beim Schreiben hätte anzweifeln können.

Dabei ist und bleibt es doch ganz einfach:

Ein Browser muss stabil, sicher, standardkonform, bedienbar und performant sein. Nur sind Performancemessungen als Maßstab für Performance oft denkbar ungeeignet, haben sie doch rein gar nichts mit der tatsächlichen Realität der Nutzer am Bildschirm zu tun…

Da finde ich den Vergleich schon besser, den unsere US Kollegen als Video veröffentlichten. Hier werden Top-Webseiten von den üblichen Verdächtigen geöffnet und die Geschwindigkeit angegeben. Ergebnis: Der IE spielt in der selben Liga, kann oft auch als Sieger ins Ziel gehen und hat alle Mal eine Menge technischer Goodies an Bord, an die zumindest ich mich schon sehr gewöhnt habe…

Mehr Info? Hier gehts zum Whitepaper:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=cd8932f3-b4be-4e0e-a73b-4a373d85146d

Mehr Videos?

http://www.microsoft.com/windows/internet-explorer/videos.aspx

Dieses Jahr ist die TechEd zum zweiten Mal in Ihrer Geschichte in Deutschland zu Gast… Und zwar in Berlin vom 9. bis zum 13. November.

Für mich ist das ganz besonders interessant weil ich organisatorisch beteiligt bin und mich unter anderem um den Web & Internet Applications Track kümmern darf. Inhaltlich also ein ausgesprochen spannender Bereich.

Gestern hatte ich dann auch einen ConfCall dazu mit meiner US Kollegin, die für mich den Kontakt zu den Produktgruppenkollegen managed und habe ihr eine Wunschliste diktiert, wen ich denn am Liebsten bei uns begrüßen wollen würde…

Thematisch bin ich auch noch recht frei… wenn also thematische Wünsche sind, freue ich mich über Input :-)

So oder so… Mehr Infos zur TechEd gibts hier:

http://www.microsoft.com/europe/teched/

Sound: Mir ist unklar, warum es Suchmaschinen-Handyklingeltöne oder Windows 7 Ringtones geben muss, aber bitte…

Tool: Eine Sucheingabe… 3 Suchmaschinenergebnisse und erst wenn man abgestimmt hat, welches Ergebnis man am besten findet erfährt man, ob man Bing-, Google- oder Yahoo-Fan ist. Erhellend :-)

Event: Das GameCamp Munich steht vor der Tür. Spielefans, Hobbyentwickler, Publisher und Branchen-Insider dieser Welt, trefft Euch und habt Spass!

Tool: Sternegucken mal anders… und in Silverlight!

Showcase: Microsoft und Countrymusic? Interaktive Technologie und eher konservative Musik? Kann sich jemand Google auf dem Festival der Volksmusik vorstellen?

Tool: Wofür braucht man Sprachsteuerung in Visual Studio? Na, zum Beispiel um sich die Maus zu sparen :-)

Whitepaper: Suchmaschinen wissen wie man HTML durchsucht. Mit Silverlight ist das aber nicht so einfach. Ein Paper zu Search Engine Optimization hilft.

Posting: Die Leute werden aber auch immer grausamer… LOL!

Video: Twitter, Facebook und Telephone machen Geschichte…

Ich habe heute erfahren, dass ich auf der Prio (28./29. Oktober in München) sprechen werde… und zwar über Browsergames :)

Jetzt ist es noch ein wenig Zeit bis dahin und ich mache mir momentan eher generelle

Gedanken dazu, welche Art von Spiel und welche Art von Konzept für die Allgemeinheit interessant wäre.

Schließlich steckt hinter einem Browsergame viel mehr als nur die Engine… Man will es irgendwo hosten, vielleicht hängt noch ein anspruchsvolles Billingmodell dran, usw.

Hat die geneigte Leserschaft Ideen/Gedanken/Wünsche dazu? :-)

Erstens war die Veranstaltung wirklich cool, zweitens mag ich die Kollegen, die das ganze Treiben und Drittens passt diese Ankündigung ja sowas von dermassen in mein Blog :-)

Darum zitiere ich hier jetzt mal die Ankündigung aus dem RIA Blog und hänge eine ordentliche Empfehlung (tm) dran…

---8<----------------------------------------------------------------------------------

Die erste Xtopia [kompakt]-Roadshow rund um die Themen Web/UX und Rich Internet Applications war ein voller Erfolg. Von April bis Mai 2009 war Microsoft mit hochkarätigen Partnern auf der Xtopia im Kleinformat unterwegs: In München, Karlsruhe, Hamburg, Köln, Berlin und Frankfurt erlebten jeweils bis zu 100 Teilnehmer Vorträge und Demos zu den Themen Web, User Experience und Silverlight/Rich Internet Applications.

Wenn Sie in diesem Jahr keine Zeit hatten, bei Xtopia [kompakt] dabei zu sein, finden Sie auf der Website der Xtopia [kompakt] ab sofort (fast) alle Vorträge als PDF, viele Videos und umfangreiche Informationen rund um die Inhalte der vergangenen Roadshow. Im Mittelpunkt stehen Microsoft Surface, Windows 7, Silverlight 3 und Internet Explorer 8. Partner wie PC-Ware und das deutsche RIA-Forum begleiteten uns auf der Roadshow. Agenturen aus der Design- und Webbranche ergänzten die Vorträge mit Erfahrungsberichten zu Design, User Experience, Rich Internet Applications und Webentwickung. Beispielsweise zeigte CRM-Spezialist CAS in einem Vortrag die Vorteile von Silverlight gegenüber AJAX und Flash bei der Entwicklung professioneller Unternehmensanwendungen auf. Weitere Erfahrungsberichte kamen von Quark, Ergosign, maximago, Pixelpark AG, T-Systems MMS, UID, Perun.net und Sensory Minds.

Hier entlang zu den gesammelten Präsentationen der XTOPIA [kompakt] 09  und den Session-Videos: http://blogs.msdn.com/riablog/archive/2009/06/09/xtopia-kompakt-09-videos-und-vortr-ge-jetzt-als-download-verf-gbar.aspx bzw.  http://snipurl.com/jtiex

Windows Mobile 6.5 bringt eine ganze Menge Neuerungen. Wer schon dafür entwickeln will oder sich einen Eindruck verschaffen will, der sollte flott zum Download schreiten :-)

Download hier

Und für die ersten Schritte empfiehlt sich die Lektüre dieses Blogartikels…

Es ist mal wieder Zeit für eine Ankündigung (oder einen Hinweis auf einen Pflichttermin? :-))

Das GameCamp Munich findet am 20.-21. Juni in Unterschleißheim (im Microsoft-Gebäude)statt.  Das GameCamp Munich ist ein Event von und für alle, die sich für Games und das Games-Business interessieren.

GameCamp basiert auf den Grundlagen eines BarCamps und unterscheidet sich von anderen Konferenzen dahingehend, dass die Themen nicht Monate im Voraus vom Veranstalter festgelegt werden. Stattdessen wählen alle Teilnehmer noch bis kurz vor Beginn der Sessions aus, worüber gesprochen werden soll. Alle Teilnehmer sind aufgefordert, selbst einen Vortrag zu halten oder zu organisieren.

Die Teilnahme am GameCamp Munich ist kostenlos.  Mehr Information und Anmeldung zum GameCamp Munich finden sich hier:  http://www.gamecampmunich.de

Im Netz ist viel zu lesen darüber, wie Bing den nun sei und wie gut die Suche helfe…

Wenn man aber dann als Deutscher auf Bing.com surft kann es leicht passieren, dass man nach einer Weile den Eindruck bekommt, es wäre nur Live.com mit nettem Hintergrundbild.

Ich denke mal, dass sich auch hier die Searchengine von Bing tummelt, aber es sei erwähnt, dass die wahre Power und Begeisterung für Bing momentan erst fühlbar wird, wenn die US Suche verwendet wird. Also schnell oben rechts auf “Germany” bzw. “Deutschland” klicken. Dort dann zu “USA-English” wechseln und sich freuen :)