Spyware, Adware and Under-Wear VGs Sandy Adlerauge Gubler Cornelia Die Lupe Ruser Claudia Spygirl Bernath Philip Buggybug Iezzi

Spyware, Adware and Under-Wear

VG‘s

Sandy „Adlerauge“ Gubler

Cornelia „Die Lupe“ Ruser

Claudia „Spygirl“ Bernath

Philip „Buggybug“ Iezzi

VG‘s: Adlerauge, Die Lupe, Schpygörl, Böggy Angst vor Viren - Spyware

14.04.2003

Be aware of spyware!

Definition Adware – Spyware

Funktionsweise/Techniken

Gefahren/Risiken

Behebung


14.04.2003

Definition: Adware

• Programme, in welchen Werbebanner (advertising banners) eingeblendet werden

• Als PopUp-Windows oder in Anzeigefeldern direkt im Programm

• Grund für Adware:– Finanzierung der Softwareentwicklungs-Kosten– Kostensenkung für Benutzer


14.04.2003

Definition: Spyware

• Im Allgemeinen: jede Technologie, die dabei hilft Informationen über eine Person oder ein Unternehmen zu erfassen, ohne deren Wissen

• Im Internet: Programme, mit dem Ziel, geheime Informationen über den Benutzer zu erhalten und diese via Internet an den Hersteller der Software oder an Werbezentralen zu übermitteln


14.04.2003

Spyware Techniken - Overview

• Cookies• Clear-GIFs aka. Webbugs• Banner-Ads• Phonehome-Programme• Trojanische Pferde• BHO‘s


14.04.2003

Spyware Technik 1

• CookiesCookies (“Kekse”) sind kleine Textdateien, die beim Besuch einer Website auf Ihrem Computer abgelegt werden und beim zweiten Besuch vom Bereitsteller der Homepage gelesen werden können.Sie beinhalten entweder Informationen vom Server der besuchten Webseite oder Angaben die der Surfer macht.

Anwendung/Ziel Identifizierung des Kunden

Technik simpel

Gefahr relativ klein

Abwehrmöglichkeit Browser-Policies, Datenschutzeinstellungen


14.04.2003

Spyware Technik 2

• Clear-GIFs aka. WebbugsWeb-Bugs oder auch "clear GIFs" sind meist kleine, 1*1 Pixel grosse GIF-Dateien, die auf Webseiten, E-Mails, o. ä. versteckt werden können.

Sie ermöglichen ein Tracking des Benutzers, indem sie seine IP-Adresse, besuchte URL, Datum/Uhrzeit, sein Browsertyp sowie zuvor gesetzte Cookie-Informationen an einen Web-Server übermitteln.

Anwendung/ZielTracking, statistische Auswertung Ausspionieren des Surf-Verhaltens

Technik simpel, oft Kombination mit Cookies

Gefahr relativ klein, je nach Branche

Abwehrmöglichkeit kaum möglich

Mr. Buggy


14.04.2003

Spyware Technik 3

• Banner-AdsÄhnlich wie Clear-Gifs. Problem: Banner-Ads stammen meist von einem Dritt-Server, an welchem mehrere Firmen angeschlossen sind. Für diese Dritt-Firma ist es ein Kinderspiel, Surfgewohnheiten festzustellen.

Anwendung/Ziel Tracking, statistische Auswertung

Technik simpel

Gefahr relativ klein, je nach Branche

Abwehrmöglichkeit kaum möglich


14.04.2003

Spyware Technik 4

• Phonehome-ProgrammeDarunter versteht man Software, die nach dem Spyware-Prinzip unbemerkt über das Internet Kontakt zu seinem Hersteller aufnimmt, Seriennummer weitermeldet und abgleicht, oder unerwünscht nach Updates anfragt.

Anwendung/Ziel vielfältig

Technik Huckepack-Programme

Gefahr Komplette Auslieferung gegenüber Hersteller

Abwehrmöglichkeit Firewall: blocken von Ports LANWAN Lizenzbedingungen


14.04.2003

Spyware Technik 5

• Trojanische PferdeEin Virus richtet meist sehr schnell Schäden an, die der PC-Nutzer schnell entdeckt, Trojaner arbeiten aber im Hintergrund und werden oft sehr spät oder manchmal auch gar nicht entdeckt.Abgesehen davon erlaubt ein Trojaner oft den vollständigen Zugriff auf den befallenen PC.Trojaner können als Mischform zwischen Virus und Spyware angesehen werden und gelten als deren übelste Sorte.

Anwendung/Ziel vielfältig

Technik Huckepack-Programme

Gefahr hoch! Komplette Kontrolle über PC.

Abwehrmöglichkeit

Sicherheitsrichtlinien für MA, Installations- verbot für jegliche Programme Firewall rules LANWAN


14.04.2003

Spyware - Übermittlung

• per HTTPVerwenden von HTTP POST, um Information direkt durch die Firewall „durchzuschleusen“

• offene PortsÖffnen eines ungenutzten Ports als „Backchannel“, der nach aussen freigeschaltet ist.

POST /bin/a/p_l_i2 HTTP/1.1Content-type: application/x-comet-logComet-key: 2834ae3baba25bae2ab2b648492e221fComet-url: http://www.dilbert.com/User-Agent: Comet CursorHost: host1.netContent-Length: 325

@id_c,@id_client,@id_v,@id_cust,@u_page,@e_fl,@l_fl,@up_p,@up_v,@id_entry,@u_cc52364320,be34724ad-a283-11d3-a67f002078900337,"1,5,0,182",177,http://www.dilbert.com/,0,1,0,"",-39609727243380943645173,http://umweb1.unitedmedia.com/cometcursor/cursors/dilbert.cur|http://umweb1.unitedmedia.com/cometcursor/cursors/dilberth.cur


14.04.2003

Spyware Abwehr/Behebung

Browser-Plugins, BHOs & ActiveX

Abwehr

Ausschalten von ActiveXSetzen von „kill bits“ in Registry


14.04.2003

Spyware Prävention/Behebung

regelmässiges Scannen von laufenden Prozessen, Registry und DateisystemHintergrundscanning

Browser-Policy, Datenschutzrichtlinie

restriktive Zugriffsrechte


14.04.2003

Gefahren I

• Nutzerdaten werden gesammelt und ungefragt an den Hersteller des Programms übermitteltFolge: unerwünschte E-Mails, aufspüren von Raubkopien

• Clickstream, Logfiles des AnwendersFolge: genaue Nutzerprofile, Surfverhalten, gezieltere Werbung

• Automatisches Ausführen von Updates im Hintergrund

• Registrierung von Software ohne den Benutzer zu fragen


14.04.2003

Gefahren II

• Software, die Tastatureingaben mitschreibt und via Internet versendet (Passwörter, ID‘s, Kreditkartennummern, usw.)

• Informationen zu Festplatteninhalten oder aus der Windows Registry werden übertragenFolge: Empfänger erhält ein komplettes Benutzerprofil (persönliche, vertrauliche Daten, auf Rechner installierte Programme und dessen Konfigurationen)


14.04.2003

Beispiele von Spyware I

• Aureate (jetzt Radiate) Media:– Verteilt gratis Software im Austausch des Rechts

Informationen des Benutzers zu sammeln gibt aber nicht genau an, welche Informationen gesammelt werden

• Online-Marketingfirma Doubleclick:– Name, Adresse, Telefonnummer, E-Mail-Adresse,

Internet-Transaktionen, Suchbegriffe aus Internet Suchmaschienen werden überliefert gezielte Werbung für jeweilige Person

• Gator, OfferCompanion, Webhancer, Cydoor, SaveNow, Radiate, Timesink, Conducent


14.04.2003

Beispiele von Spyware II


14.04.2003

Kaffeepause

Vielen Dank für Ihre Aufmerksamkeit!

Bitte bedienen sie sich am Buffet und genehmigen sich einen Kaffee.


14.04.2003

Spyware-Schutz Schimpex GmbH

Ist Spyware bei Schimpex GmbH ein „Thema“, inwiefern ein Risiko?

Massnahmen

Zusätzlicher Schutz

Offerte


14.04.2003

Vorhandener Virenschutz

• Firewallcluster mit Checkpoint One und Stone Beat Optimierung der Firewall-Leistung (Lastenausgleich) und Skalierbarkeit

• Interscan Viruswall Virensuche am Internet-Gateway, SMTP-, HTTP-, und FTP-Datenverkehr in Echtzeit

• Scanmail Sicherheitslösung für die Nachrichtenübermittlung

• Serverprotect umfassende, netzwerkweite Anti-Viren-Suchfunktion

• Officescan schützt vor Viren, bösartigen Programmen, inklusive File-Viren, Makro-Viren, bösartigen Java-Applets und ActiveX-Controls

• Pc-Cillin schützt dezentral vor Viren, Trojanern, Würmern und anderen bösartigen Programmen, welche via eMail, Internet-Downloads und FileSharing angreifen.


14.04.2003

Checkliste

Sammeln von Nutzerdaten und Übermittlung an Hersteller unerwünschte e-Mails etc. vermutlich über bestehende Software abgedeckt

Clickstream, Logfiles des Anwenders Abfragen Benutzerdaten und Surfverhalten, gezielte Werbung allenfalls über bestehende Software abgedeckt

Automatisches Ausführen von Updates vermutlich über bestehende Software abgedeckt

Registrierung von Software ohne Erlaubnis des Benutzers vermutlich über bestehende Software abgedeckt

Software, die Tastatureingaben mitschreibt Passwort-Abfrage allenfalls über bestehende Software abgedeckt

Abfragen von Festplatten-/Windows Registry-Informationen Benutzerprofil Erstellung allenfalls über bestehende Software abgedeckt

Böswillige, unvorsichtige Mitarbeiter Schulungen, Informationen, Restriktive Anwendung von Browser Policies


14.04.2003

Hauptrisiken

Ungeplanter IT Zeit- & Kostenaufwand

Datenraub, -verlust & -einsicht

Vertrauensverlust d. Kunden/Shareholder (Bsp: unsichere Kreditkartendaten)

Rechtliche Verpflichtungen von UG & MA

Public relations


14.04.2003

Vorschlag der Massnahmen

Präventive Massnahmen

Schulung der Mitarbeiter

Installation von zusätzlicher Software


14.04.2003

Präventive Massnahmen

Berechtigungen

Browsersettings

weitere techn. Massnahmen


14.04.2003


Merkblatt an alle

Mini-Kurs über Mittag


14.04.2003


Gefahr des Herunterladens von Shareware

Regelmässige Überprüfung ob Hardware KeyLogger

Motivation & commitment...jeder MA wichtig!


14.04.2003

Hardware KeyLogger


14.04.2003

Installation von zusätzlicher Software

vs.


14.04.2003

Ad-aware Professional

DataminingMalware Tracking componentsKeyloggersDialersParasitenAggressive WerbungScumware

Schützt vor:


14.04.2003

PestPatrol Corporate Edition


14.04.2003

Schützt vor: Ad-aware

Spyware J J

Adware J J

Keylogger J J

Trojaner J J

Hackertools J J

DDoS ? J


14.04.2003

Preisvergleich

Unternehmen mit 201-500 MA

5`884.55 €

300 MA à 19.10 €

5`728.60 €


14.04.2003

Offerte

5980 € 6000 €

3000 €

14980 €

Ad-aware Pro / PestPatrol CE

Böggy’s Aufwand fürpräventive Massnahmen &Schulung der MA

Implementation


14.04.2003

Besprechung mit CIO

Wir hoffen auf eine produktive Besprechung & Diskussion

•Grad der Restriktionen•Auswahl Software •Budget•etc.


14.04.2003

Dankeschön

...an Herr W. Google

für die 24x7-Unterstützung bei der Informationsbeschaffung


14.04.2003

Dankeschön

…. & Ihnen fürs aufmerksame Zuhören

Documents

Spyware, Adware and Under-Wear VGs Sandy Adlerauge Gubler Cornelia Die Lupe Ruser Claudia Spygirl Bernath Philip Buggybug Iezzi