Archiv der Kategorie: Sicherheit

E-Mail Alarm bei Erkennung von Malware

Kommentar verfassen

Ich habe mir angewöhnt jeden Monat einmal zu überprüfen, ob das Erkennen von Malware funktioniert. Diesen Monat auch für die erst wenigen mit SCCM 2012 R2 verwalteten Windows 10 Clients. Zum Überprüfen kann man einfach eine Eicar-Testdatei erstellen, indem man die folgenden Zeichen in eine ausführbare Datei kopiert:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Nach einem Test wird in SCCM eine Warnung generiert.

image

Schneller reagieren kann man aber, wenn zudem noch eine Meldung per Mail verschickt wird, sobald Malware erkannt wurde.

Damit man zusätzlich zu den Warnungen auch noch eine Mail erhält, muss man bei “Überwachung” -> “Warnungen” -> “Abonnements” ein “Abonnement erstellen”.

image

Danach funktioniert auch der Alarm per Mail.

image

Windows Defender ersetzt Endpoint Protection

Kommentar verfassen

Microsoft bietet einen eigenen Virenschutz an, den man mit SCCM (System Center Configuration Manager) verwalten kann. Da aber SCCM auch viele Vorteile bei der Verteilung von Software und Betriebssystemimages bietet, ist das für eine grössere Schule mit Schweizer Schulkonditionen eine empfehlenswerte Kombination, vor allem, weil die Kombination aus SCCM und Virenschutz günstiger als die meisten anderen Antivirenlösungen ist.

Wie man Endpoint Protection zusammen mit SCCM konfiguriert wird im Technet oder in dieser Schritt für Schritt Anleitung beschrieben. Bei der Installation von Windows 10 wird der Defender als Virenschutz installiert. Dieser wird aber bei der Installation des SCCM Clients mit aktiviertem “Endpoint Protection-Punkt” nicht wie erwartet mit Endpoint Protection ersetzt.

image

Neu bleibt Windows Defender installiert. Dieser erhält aber trotzdem über SCCM Updates und Richtlinien (Policies).

Wichtig ist also, dass man bei der Konfiguration des Softwareupdatepunkts auch an diesen Umstand denkt. Unter “Klassifizierungen” sollte also “Definitionsupdates” aktiviert und bei Produkte “Windows Defender” ausgewählt sein.

image 

Ansonsten habe ich alles analog dieser Anleitung für Endpoint Protection konfiguriert.

Dass die Richtlinien greifen, kann man überprüfen, indem man bei “Hilfe” –> “Info” auswählt.

image

Wenn man auf Einstellungen geht, stellt man auch fest, dass beispielsweise der Echtzeitschutz ausgegraut ist und nicht mehr vom Benutzer deaktiviert werden kann.

image

Phishing Mail Test

Kommentar verfassen

McAfee bietet unter https://phishingquiz.mcafee.com/ einen Test mit 10 Mails, bei denen man entscheiden muss, ob es sich um ein Phishing Mail handelt oder nicht. Aus der Statistik kann man entnehmen, dass da sehr viele Mails falsch beurteilt werden.

image

Neben aktuellen Systemen (Betriebssystem, PlugIns, Virenschutz,…) und Schutz beim Übergang vom resp. ins Internet (Firewall, Content Filter, Intrusion Prevention, ausführbare Anhänge bei Mails blockieren, …) sollte man also auch immer mal wieder die Benutzer sensibilisieren.

Leider ist der Test auf Englisch. Zum einen können nicht alle Lehrkräfte Englisch und zum anderen eignet er sich darum auch nur bedingt, um das Thema mit den Schüler/-innen im Informatikunterricht zu besprechen. Wer seine Schüler/-innen zu diesem Thema sensibilisieren möchte, findet übrigens auch im Kapitel 13 vom Medienkompass Unterstützung.

Sophos UTM: Advanced Threat Protection

Kommentar verfassen

Die Sophos UTM bietet unter “Network Protection” –> “Advanced Threat Protection” eine Funktion an, mit der man das Netzwerk nach Malware überwachen kann. Dabei wird ausgenutzt, dass viele Malware eine Verbindung mit sogenannten “Command and Control” Servern aufnimmt, um Daten zu übermitteln oder neue Befehle entgegen zu nehmen. Wenn ein Computer versucht, eine Verbindung mit einem bekannten “Command and Control” Server aufzunehmen, wird die Verbindung geblockt und ein Alarm angezeigt (und per Mail verschickt).

image

Dies bietet neben einem lokal installierten Virenschutz auf den Clients eine weitere Barriere gegen Malware in einem Netzwerk. Genauere Informationen über den Vorfall erhält man, wenn man unter “Logging & Reporting” –> “View Log Files” –> “Advanced Threat Protection” –> “View” auswählt.

image

In dieser Datei wird angezeigt, welcher Client mit welchem Server Kontakt aufnehmen wollte. Dummerweise wird hier der DNS Server angezeigt.

image

Wenn die Malware eine Verbindung zu ihrem “Command and Control” Server über einen Domänennamen und nicht über eine fixe IP Adresse herstellen will, stellt der Computer zuerst eine DNS Anfrage an den DNS Server. Wenn dieser den Eintrag nicht selber liefern kann, stellt dieser eine weitere Anfrage an den externen DNS Server (häufig derjenige des Providers), um die entsprechende IP Adresse zu erhalten. Dies bedeutet also, dass auf der Firewall der DNS Server der erste ist, der eine Anfrage nach dem betroffenen DNS Namen resp. der IP auslöst. Dies ist meiner Meinung nach ein Fehlverhalten der UTM. Besser wäre es, wenn die DNS Abfrage zugelassen wäre (dies ist ja nur Verkehr mit dem vorgelagerten DNS Server) und erst der direkte Kontakt des Clients mit dem entsprechenden Server unterbunden würde. Dann könnte man im Logfile auch den Client identifizieren. Da ich nicht ganz sicher bin, habe ich eine Anfrage im Forum gestellt).

Da ich schon einmal so einen Vorfall hatte und wissen wollte, welches der betroffene Client ist, habe ich auf dem DNS Server Logging aktiviert. Weil das viel Last auf dem Server generiert, sollte man das nur zu Testzwecken aktivieren. Habe nun aber gesehen, dass es eine andere Möglichkeit gibt, die nicht so viel Last erzeugen sollte.

Auf jeden Fall findet man in den DNS Logs dann den Client, der die Anfrage ausgelöst hat, wenn man z.B. nach dem Domänennamen sucht (in meinem Fall cwporter).

image

Nun kann man diesen Client weiter überprüfen. Die beste ist wohl, den Client neu aufzusetzen, die zweitbeste, den Computer mit mehreren Virenscannern aus einer verlässlichen Umgebung zu testen und am Schluss kann man noch mit dem im Betriebssystem installierten Virenscanner einen Vollscan auslösen, was die unsicherste Methode ist.

Die Seite cwporter hat mit dem zweiten Weltkrieg zu tun.

image

Es ist also gut möglich, dass eine Lehrperson nur durch eine Internetrecherche auf diese Seite gekommen ist. Auch wenn auf dieser Seite ein “Command and Control” Server aktiv wäre (z.B. weil der Webserver gehackt wurde) wird der Alarm von der Sophos UTM reproduzierbar wieder ausgelöst, wenn man versucht, in einem Browser die Seite aufzurufen. Die UTM kann ja nicht entscheiden, ob eine Malware diesen Aufruf ausgelöst hat, oder ein Benutzer durch eine Internetrecherche. Es kann sich also genauso gut um eine sogenannte “false positive” Meldung handeln.

Auf jeden Fall handelt es sich bei Advanced Threat Protection um eine weitere sinnvolle Möglichkeit, sein Netzwerk gegen Malware zu schützen.

Content-Filter für SSL Seiten auf Sophos UTM einrichten

18 Antworten

In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.

Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.

image

Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.

image

Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.

image

Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

image

Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.

image

Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.

image

image

Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.

image

Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.

Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.

Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.

image

Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.

Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.

image

image

Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.

Eine Anleitung für die verschiedenen Geräte findet sich hier.

Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.

image

Content-Filter für SSL Seiten

2 Antworten

Wir haben unseren Internetzugang von Swisscoms “Schulen ans Internet” Angebot auf einen lokalen Kabelnetzbetreiber gewechselt.

Damit sind wir auch selber zuständig für das vom Kanton verlangte “Web Content Screening”. Auch wenn einige Gründe gegen ein Aufbrechen des SSL Verkehrs sprechen (vgl. z.B. Blogbeitrag von Beat Döbeli), machen wir das nun auch.

MITMAweiss

  • Da der Kanton dies vorgibt, ist der Spielraum sehr klein. Wenn Schüler/-innen z.B. bei der Bildersuche von Google z.B. nach pornografischen Begriffen suchen, kommen sie definitiv auf Bilder, die zu den unerwünschten Inhalten gehören, die gemeint sind.
  • Auf den Computern in der Schule müssen nur Seiten aufgerufen werden, die einen schulischen Bezug haben. Wer den Personen, die Zugang zur Firewall haben, nicht traut, sollte private https Seiten nicht mehr in der Schule aufrufen.
  • Viele Seiten sind immer noch unverschlüsselt, dort kann jeder, der unterwegs Zugang zu dem Datenverkehr hat, mitlesen.
  • Die Daten liegen dem Serverbetreiber unverschlüsselt vor. Bei einer Google-Suche wertet Google alle gesuchten Daten aus und versucht ein Profil des Benutzers zu erstellen.
  • Wenn bei einem Mailprovider ein Spamfilter auf dem Server aktiviert ist, muss dieser auch alle Mails durchsuchen, um sie als Spam zu klassifizieren.

Trotz all dieser Gründe ist und bleibt es ein Eingriff in die Privatsphäre der Benutzer. Daher erscheint mir sehr wichtig, dass die Benutzer auf diesen Umstand hingewiesen werden. Wir haben daher auf unserer Homepage ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was denn da genau passiert.

Nachtrag
Hier ist beschrieben, wie man das mit einer Sophos UTM umsetzen kann.

Office 365: Ausführbare Anhänge blockieren

Kommentar verfassen

Das ist nun schon das zweite Mal, dass uns Malware per Mail erreicht.

Auch dieses Mal befindet sich die Malware in einem Zip-Archiv. Die Absenderadresse ist gefälscht und kann aber durchaus eine sein, die man kennt. Scheinbar kommen Absender und Empfänger aus einem infizierten Adressbuch, so dass die Chance gross ist, dass der Empfänger den Absender kennt und für vertrauenswürdig hält.

image

Wenn man das angehängte “Report.zip” (oder ähnlich) herunterlädt, handelt es sich um eine ausführbare “exe” Datei, die aber durch ein falsches Symbol (z.B. PDF) vertrauenswürdig erscheinen möchte.

image

Bei beiden Malen war es so, dass der Virenscanner die Datei noch nicht als Virus oder Trojaner erkennt. Auch bei diesem Mal wird die Datei auf www.virustotal.com nur von 3 aus total 57 Scannern als Malware erkannt wird.

image

Erfahrungen vom letzten Mal haben gezeigt, dass die gleiche Datei am nächsten Tag von allen 57 Scannern erkannt wird. Aber in dieser Zeit kann ein Befall stattfinden. Wir setzen Endpoint Protection von Microsoft ein. Um zu erreichen, dass der Scanner noch schneller angepasst wird, kann man ein “sample” an Microsoft schicken. Dazu verpackt man die Datei in ein mit dem Passwort “infected” geschütztes Archiv.

image

Dieses kann man über diese Seite an Microsoft zur Überprüfung senden, damit der Virenscanner möglichst schnell angepasst wird.

image

Eine Möglichkeit ist es, die Anwender per Mail zu informieren. Zum einen weiss ich aber, dass meine Mails oft nicht oder nicht richtig gelesen werden Zwinkerndes Smiley und zum anderen haben wir auch noch Schüler/-innen, die nach einer solchen Mitteilung vielleicht erst recht die Datei ausführen.

Es gibt aber nicht viele Gründe, wieso ausführbare Dateien überhaupt per Mail geschickt werden müssten. Besser ist es also, wenn man diese schon blockiert, bevor sie beim Benutzer ankommen.

Dazu wählt man im “Exchange Admin Center” –> “Nachrichtenfluss” –> “Regeln”.

image

Durch einen Klick auf das Plus kann man eine neue Regel erstellen.

image

Nun wählt man zuerst “weitere Optionen…”

image

Der Regel muss man einen Namen geben und dann wählt man “Mindestens eine Anlage hat ausführbaren Inhalt” und “Die Nachricht ohne Benachrichtigung anderer Benutzer löschen”. Man könnte die Nachricht auch an den Absender zurückschicken mit einer Meldung, dass wir keine angehängten ausführbaren Dateien akzeptieren. Aber bei gefälschten Absenderadressen ist das eher kontraproduktiv (am Schluss meint man noch wir seien die Virenversender).

image

Gemäss diversen Internetressourcen dauert es eine gewisse Zeit, bis die neue Regel aktiviert ist. Danach sollte man die Regel unbedingt mit einem Testdokument von einer externen Adresse überprüfen.

Hier findet sich ein entsprechender Blogbeitrag auf MSDN und hier auf dem Technet. Falls es zu Problemen kommt, findet man hier einen Beitrag, der allenfalls eine Lösung bietet.

Nachtrag

Schon kurze Zeit später werden Mails mit ausführbaren Anhängen korrekt gelöscht. Es wurde sogar erkannt, dass ein umbenanntes Worddokument keine ausführbare Datei ist. Ich musste eine richtige exe nehmen um zu testen…

image

zurück zur Übersicht

Sophos UTM – Problem mit Mailempfang wegen Poodle

Kommentar verfassen

Wegen einer Sicherheitslücke mit dem Namen Poodle gilt SSL in Version 3 als nicht mehr sicher. Eine anschauliche Erklärung zum grundsätzlichen Problem findet sich hier.

Mit dem Update 9.210-20 hat Sophos die Unterstützung für SSLv3 in seinem Firewallprodukt Sophos UTM deaktiviert. Dies ist grundsätzlich ein richtiger Entscheid, da SSLv3 nicht mehr sicher ist.

Nun gibt es aber noch diverse Mailserver, die mit SSLv3 verschlüsseln wollen, statt mit dem neueren TLS 1.2. So wurde uns zurückgemeldet, dass Mails mit der Fehlermeldung “4.7.0 TLS handshake failed” nicht an uns zugestellt werden konnten.

Ein Test unter https://ssl-tools.net lieferte dann das Ergebnis, dass der eingesetzte Mailserver nur SSLv3 und TLSv1.0 unterstützt.

image

Unsere Firewall unterstützt seit dem Update zur Behebung des Poodle Bugs aber nur noch die sicherste Version TLSv1.2

image

Die betroffenen IP’s kann man im SMTP Protokoll finden. Vielen Dank für diesen Blogbeitrag, der mir weitergeholfen hat.

In der Version 9.303 sollte das Problem behoben sein (ich gehe davon aus, dass dann zumindest TLSv1.0 und TLSv1.1 auch unterstützt werden, aber nicht SSLv3). Leider kann ich nicht auf Version 9.303 updaten, da es noch keinen Updatepfad für die Version 9.210 gibt. Dieser sollte diese Woche verfügbar sein.

In der Zwischenzeit habe ich für die betroffenen Mailserver (bisher zwei) eine Ausnahme generiert, damit sie wenigstens unverschlüsselt senden können und melde deren Admins, dass sie trotzdem am besten TSLv1.2 unterstützen (und vor allem die Unterstützung von SSLv3 deaktivieren) sollten.

Um die Ausnahme einzutragen, kann man unter “Email Protection” –> “SMTP” –> Registerkarte “Advanced” bei “TLS settings” unter “Skip TLS negotiation hosts/nets” die betroffenen IP’s eintragen.

image

UEFI Sicherheitslücke

Kommentar verfassen

Damit ein Computer ein Betriebssystem wie Windows starten kann, müssen zuerst Information erfasst werden wie z.B. “Welche Peripheriegeräte wie Tastaturen sind angeschlossen?” “Ist eine Festplatte vorhanden?” “Existiert auf dieser Festplatte ein Betriebssystem?”…

Erst danach kann das Betriebssystem wie Windows von dieser Festplatte gestartet werden.

Diese Firmware des Computers wird oft auch BIOS oder neuer UEFI genannt.

“Das BIOS [/ˈbaɪ.oʊs/] (von englisch „basic input/output system“) ist die Firmware bei x86-PCs. Es ist in einem nichtflüchtigen Speicher auf der Hauptplatine eines PC abgelegt und wird unmittelbar nach dessen Einschalten ausgeführt. Aufgabe des BIOS ist es unter anderem, den PC zunächst funktionsfähig zu machen und im Anschluss das Starten eines Betriebssystems einzuleiten.” Quelle: http://de.wikipedia.org/wiki/BIOS

“Die Weiterentwicklung der Hardware hat im Laufe der Zeit (Stand 2010 ist das BIOS-Konzept bereits mindestens 35 Jahre alt) zu einer Reihe von iterativen, inkompatiblen Ergänzungen geführt, die zunehmend den Charakter von „Flickschusterei“ tragen und bei 64-Bit-Systemen an ihre Grenzen stoßen. Daher wurde in Form von Extensible Firmware Interface (EFI, bzw. UEFI) ein BIOS-Nachfolger entwickelt.” Quelle: http://de.wikipedia.org/wiki/BIOS

Nun gibt es aber mehrere Sicherheitslücken in der UEFI Referenzimplementierung von Intel. Diese Referenzimplementierung wurde dann von vielen Computerherstellern übernommen und für ihre Zwecke angepasst. Die Sicherheitslücken sind so in die UEFI Firmware von vielen verschiedenen Herstellern gekommen.

Falls ein Angreifer z.B. durch andere Sicherheitslücken Admin-Rechte auf einem Windows Rechner erlangt, kann er von Windows aus die UEFI Firmware verändern und auf diesem Weg z.B. ein Rootkit einschleusen. Da die Firmware vor dem Betriebssystem geladen wird, bieten Sicherheitsmechanismen des Betriebssystems wie Virenscanner keinen Schutz mehr. Im schlimmsten Fall hat man kompromittierte Systeme und kann dies nicht einmal überprüfen. Aus diesem Grund haben die Entdecker von Mitre der Sicherheitslücken von “Extreme Privilege Escalation” gesprochen.

Aus der Präsentation von Mitre:

image

image

Die meisten unserer Systeme kommen von Lenovo. Lenovo hat wie viele der anderen grossen Hersteller auch betroffene Systeme und veröffentlicht diese inkl. der nötigen Firmware Version ab der das Problem behoben ist.

Die Firmware Updates kann man ohne Benutzerinteraktion über SCCM verteilen. In der Datei readme.txt ist jeweils das Vorgehen beschrieben. Bei der Version zum Bild unten würde der Befehl “wflash2.exe IMAGEEFB.ROM /quiet” lauten.

image

Ich weiss aber noch nicht, wie ich die Updates durchführe. Bei uns sind 143 Systeme betroffen. Wenn während eines Firmwareupdates der Computer vom Strom getrennt wird, könnte die Firmware in einem Zustand sein, den man nicht wieder reparieren kann. Die Feststationen lassen sich mal in der Nacht über WOL aufwecken, damit sie das Update durchführen, aber die Laptops nicht. Allenfalls verteile ich da das Update, weise es aber nicht zu, so dass die Schuhaussupporter vor Ort das Update manuell ausführen müssten und sicherstellen können, dass es korrekt durchläuft. Mal sehen…

Nachtrag
Bei einigen Modellen von Lenovo kann die Firmware nach einem fehlerhaften BIOS-Update scheinbar wieder gerettet werden, indem man einen Jumper setzt und dann von CD startet. Dazu sucht man im Manual nach “Recovering from a POST/BIOS update failure”.

image