An vielen Stellen im Internet und der Literatur wird Windows per se als Unsicher angesehen. Ob dies nun dem Betriebssystem als solchem, seinen Benutzern oder seiner Verbreitung zuzuschreiben ist soll an anderer Stelle diskutiert werden.
Dieser Artikel soll sich an jene wenden, die gern weiterhin Windows einsetzen wollen, aber trotzdem ein gesundes Maß an Sicherheit benötigen. Dabei soll Linux in Verbindung mit VMWare Server helfen. Doch warum nicht gleich Linux einsetzen? Nun, die Gründe können vielschichtig sein. Sei es exotische Hardware, die unter Linux nicht zufriedenstellend ihren Dienst tut, oder proprietäre Software, die den Nutzer an Windows bindet. Oder sei es der einfache Grund, nicht auf seine gewohnte Arbeitsumgebung verzichten zu wollen.
Mit VMWare lässt sich beides erreichen: Sicher surfen, und gleichzeitig das gewohnte Umfeld beibehalten.

Der erste Schritt ist die Installation von VMWare Server unter Windows. Dieser ist kostenlos verfügbar, ebenso wie Ubuntu, welches als Gastbetriebssystem und Tor zum Internet fungieren soll. Die Internetanbindung soll in diesem Beispiel über einen Router erfolgen.
Ist VMWare installiert, richtet man eine virtuelle Maschine ein. Diese bekommt zwei Netzwerkinterfaces, eines soll zur Kommunikation mit dem Internet dienen, das andere zur Kommunikation mit dem Hostbetriebssystem (dem Windows). Dazu verbinden wir in den Einstellungen für die virtuelle Maschine das erste Interface mit dem VMNet0, das zweite bekommt VMNet1 zugewiesen. Nun kann Ubuntu in der VM installiert werden.
Wären nun noch die Netzwerkinterfaces zu konfigurieren. Das erste Netzwerkinterface bekommt eine IP Adresse im Netz des Internetrouters, am günstigsten ist es wohl die IP des Windows Rechners zu verwenden, zum Beispiel 192.168.1.5, wenn der Router die IP 192.168.1.1 hat. Der Router wird demnach auch als Standardgateway eingerichtet.
Derweil hat sich Windows sicher schon über einen IP Konflikt beschwert, schließlich haben wir seine IP gerade an das Gastbetriebssystem vergeben. Diesen Konflikt lösen wir, indem wir Windows seine IP nehmen. Dazu wird in der Systemsteuerung unter Netzwerkverbindungen nach der betreffenden Verbindung gesucht. In den Eigenschaften wird der Haken bei Internetprotokoll (TCP/IP) entfernt. Nun ist Windows vom Netz getrennt, keine Anwendung kann Daten ans Internet senden oder empfangen, auch Windows eigene Dienste nicht. Die Verwendung des Internets ist jetzt nur noch der virtuellen Maschine möglich, welche über das Bridging Protokoll quasi direkt auf die Netzhardware zugreifen kann.
Möchte man nun Daten zwischen den Systemen austauschen, so kann das auch vie Netzwerk geschehen. Dazu konfiguriert man im Ubuntu eth1, und im Windows den VMWare Network Adapter VMNet1, so das beide in einem Netz liegen. Via Samba, FTP oder ähnlichem können nun Daten zwischen den Systemen ausgetauscht werden.
Da nur noch Linux ins Internet kann, ist der Anwender vor einfallenden Windows Schädlingen sicher, selbst wenn sein Windows nicht auf dem aktuellsten Stand ist.
Gefahr geht jedoch nach wie vor von Dateien aus, welche zwar mit Linux heruntergeladen, dann jedoch auf das Windowssystem transferiert und dort ausgeführt werden. Doch können auch diese Programme keine Informationen nach draußen senden (wohl jedoch Daten vernichten oder manipulieren).

Diese kurze Anleitung soll einen Denkanstoß geben, Windows sicherer zu machen. Sie zeigt im Grunde nur ein Konzept, bei entsprechender Nachfrage kann ich die Konfiguration detailierter beschreiben.

Bookmark to:

HowTo | 5 Kommentare »

Über die Vor- und Nachteile der verschiedensten Wahlcomputer wurde schon oft, häufig und heftig diskutiert, jüngst vom Chaos Computer Club e.V. im Zusammenhang mit der Bürgermeisterwahl in Cottbus. Eine persönliche Sicht der Dinge solte jeder selbst haben, wem nicht der Sinn nach Wahlcomputern steht, der kann hier seinen Unmut äußern, und vlt. sogar auf Gehör hoffen.

Bookmark to:

Allgemein | Kein Kommentar »

Bisher war die Verschlüsselung von emails für technisch unbedarfte Anwender eher uninteressant. Wie Alma Whitten und J.D.Tygar hier anhand von PGP 5.0 zeigten, hat sich bis heute nicht wesentlich geändert, und betrifft nahezu jedes Werkzeug zur Verschlüsselung elektronischer Post: Zu kompliziert, zu unverständlich, zu unhandlich.
Nun tritt freenigma an, diesem Umstand abzuhelfen, und einiges an Komplexität vor den Augen des Benutzers zu verbergen. Sollen tatsächlich bald die deutsche Lieschen Müller und der amerikanische Average Joe verschlüsselt kommunizieren können. Und was ist neu an diesem Ansatz?

Viele Internetnutzer nutzen ihren Webmail Client für die tägliche Korrespondenz. Sei es aus Bequemlichkeit, aus Ablehnung von Outlook, oder einfach nur aus dem Grunde, dass sie ihre Mails an jedem Computer der Welt lesen wollen. (Ok, da gäbe es IMAP, Portable Thunderbird, und andere Lösungen, das soll uns hier nicht beschäftigen.
Freenigma kommt als schlichtes Firefox Plugin daher, und wird nur aktiv, wenn der Benutzer auch tatsächlich seinen Webmail Client geöffnet hat. Die Benutzung ist denkbar einfach: Nach dem Tippen der Mail kann sie per Knopfdruck verschlüsselt werden. Freenigma erkennt den Empfänger (welcher auch bei Freenigma registriert sein muss) und verschlüsselt die Nachricht für ihn. Absenden, und fertig. Der umgekehrte Weg ist nicht schwieriger, empfängt man eine verschlüsselte Nachricht, einfach das Plugin zum entschlüsseln bemühen, und der Klartext erscheint.
Doch wie Funktioniert das? Sollte man tatsächlich ein ominöses Plugin auf seine Daten loslassen? Kann Freenigma nicht ungestört Klartexte sammeln? Nun, zumindest habe ich während der ganzen Prozedur keinen Klartext über die Leitung gehen sehen. Laut den Aussagen des Anbieters wird die Verschlüsselung im Browser vorgenommen, von einem kleinen JavaScript. Wenn etwas verschlüsselt werden soll, sendet das freenigma Plugin die Adresse des potentiellen Nachrichtenempfängers an seinen Server. Als Antwort erhält es einen Session Key um die Nachricht zu verschlüsseln.
Der Ansatz scheint Interessant, wenn er jetzt konsequent zu Ende gedacht wird. Als Technik im Hintergrund kommt OpenPGP zum Einsatz, prinzipiell eine gute Sache. Damit sollte es möglich sein, in Zukunft auch mit Menschen verschlüsselt zu kommunizieren, die selbst nicht bei freenigma angemeldet sind.
Größtes Manko des Dienstes bisher dürfte sein, das er sich bei der Schlüsselverwaltung wenig auskunftsfreudig zeigt. Weder erhält man die öffentlichen Schlüssel anderer Benutzer, und auch der eigene private Schlüssel bleibt für den Nutze unerreichbar. Daraus resultiert auch das Problem, das nur freenigma Nutzer untereinander kommunizieren können.
Sollte der Anbieter seinem Versprechen folgen, und die Schlüsselverwaltung öffnen, könnte dies OpenPGP durchaus zu einer enormen Verbreitung verhelfen.

Bookmark to:

Security | Kein Kommentar »

Trojaner haben es schwer heutzutage. Nicht nur das Anti- Virenprogramme jagd auf sie machen und Firewalls ihre Arbeit behindern, auch neue Funktionen kommender Betriebssystemgenerationen haben es auf die putzigen Schädlinge abgesehen. Und zu allem Übel kommt noch die leidige Konkurrenz hinzu, die ebenfalls die Ressourcen des infizierten Systems für sich beansprucht.
Die Evolution hat gezeigt, das nicht immer der Stärkste überlebt, sondern ab und an auch der Geschickteste, und hin und wieder der Cleverste. Zu den letzteren gehört wohl der Trojaner SpamThru. Wie SecureWorks beschreibt, schlägt er mit den Waffen gegen seine Feinde, welche ihm ans digitale Leder wollen. Die Manipulation der %sysdir%\drivers\etc\hosts Datei dahingehend, das Quellen für Updates von Antivirensoftware nicht mehr gefunden werden, ist ja ein alter Hut, den SpamThru natürlich auch beherrscht.
Neu ist an diesem Trojaner, dass er freiwillig echte Antivirensoftware installiert. Ja, richtig gelesen, mittels einer nach der Infektion nachgeladenen DLL wird eine gecrackte Version des Scanners von Kaspersky heruntergeladen und installiert, selbstredend mit gecracktem Lizenzschlüssel. Der Nutzer merkt davon freilich nichts, sehr wohl aber die parasitären Konkurrenten von SpamThru, welche sauber von der Platte geputzt werden. Es kann halt nur einen geben… und es darf einen geben, den freilich lässt Kaspersky seinen Meister in Ruhe, schließlich beißt keiner die fütternde Hand (oder das türöffnende Holzpferd).

Fraglich ist, ob der Benutzer sich einer Lizenzverletzung schuldig macht, doch das wird sicher geklärt, wenn das Beispiel Schule macht. Denn wenn die Evolution noch etwas gelehrt hat, dan den Erolg derer, die am besten kopieren können.

Bookmark to:

Security | 2 Kommentare »