ComputerBase Menü
Aktuelles

Sicherheit von Passwörtern

C

Creati

Gast
Hallo,
ich beschäftige mich gerade mit der Sicherheit von Windowssystemen im privaten Umfeld. Auf den Trichter zum Überarbeiten der bisherigen Maßnahmen bin ich durch Locki gekommen. Ich arbeite gerade an einem neuen Sicherungskonzept zur Datensicherung.
Kommen wir aber mal zu meinem Anliegen: ich frage mich gerade, auf welche Art und Weise Malware an Passwörter in Windowssystemen ohne riesigen Zeitaufwand kommen kann. Ich würde hier einmal 2 Szenarien betrachten: einmal die Malware läuft mit Adminrechten und einmal läuft sie mit normalen Benutzerrechten.

1. Schwachstelle: Netzlaufwerke. Wenn ich ein Netzlaufwerk verbinde, dafür extra Benutzerdaten eingebe, diese abspeichere, können diese mit Tools ausgelesen werden.

2. Schwachstelle: RDP-Verbindungen. Wenn man sich per RDP wohin verbindert und die Anmeldedaten speichert, können diese ausgelesen werden.

3. Schwachstelle: User lässt sich beim Start autoamtisch einloggen via "control userpassword2". Passwort und Benutzername müssen ja irgendwo hinterlegt sein, damit sich der User automatisch beim Systemstart einloggt. Können diese auch einfach ausgelesen werden?

Das sind soweit die Probleme, welche mir im privaten Umfeld einfallen. Die einzigen Lösungen scheinen mir hier, solche Passwörter nicht abzuspeichern, sondern jedesmal von Hand einzutippen.
Ein Fall, welcher mir gerade noch einfällt: was ist, wenn ich einen Dienst einrichte zum Ausführen eines Skriptes und lasse diesen unter meinem Benutzeraccount ausführen lasse? Da muss ich auch Name und Passwort angeben. Kann dies auch "schnell" ausgelesen bzw. schneller gecrackt werden als aus der normalen Windows-Passwortdatei?

EDIT//
http://www.it-daily.net/it-sicherhe...ndows-10-das-ende-von-pass-the-hash-angriffen
Pass the Hash ist wohl ein entsprechender Angriff und um die Passwörter muss ich mir eher weniger sorgen machen, sondern eher um Hashes...
 
Zuletzt bearbeitet:
Je nach Malware können die Daten bei der Eingabe abgegriffen werden.

D.h. Einzig das Starten des PCs kann durch z.B. eine Festplattenverschlüsselung, gesichert werden.

Ist Windows oder ein anderes Betriebssystem erstmal gestartet, ist es meistens nicht mehr sicher, wenn es befallen ist.
 
Ich merke gerade, dass mein Post woch wenig zielführend ist. Hacker gehen mit pash the hash-Attacken vor und normale Malware nutzt einfach die Rechte, die sie hat. Ich hatte im Hinterkopf nun, wieviel Aufwand es für den Malwareprogrammierer ist, Funktionen zu implementieren, um Passwörter für weitere Ziele im Netzwerk abzufangen. Hat die Malware Adminrechte, verschlüsselt sie ggf. den ganzen Rechner. Und wenn die Malware noch Möglichkeiten hat, weitere Zugangsdaten für das Netzwerk aus dem Rechner auszulesen, kann sie sich mit den Rechnern verbinden und dort die Daten verschlüsseln.
Ich hatte die Hoffnung, hier die Sicherheit noch weiter zu erhöhen, aber das ist wohl Schwachsinn. Einzige Möglichkeit ist einfach, die User mit eingeschränkten Rechten surfen zu lassen und Datensicherungen so abzulegen, dass der Rechner selbst über das Nettzwerk keinen Zugriff auf alles Backups hat (Snapshotverfahren bei NAS, bei Windows Servern automatisiert die Sicherungen auf eine andere Platte kopieren, die nicht im Netzwerk ist, etc.).
 
Also um die gespeicherten Passwörter würde ich mir eigentlich eher weniger Sorgen machen, außer natürlich, die liegen irgendwo im Klartext rum. Für einen Trojaner viel interessanter ist eher das Abgreifen der Passwörter beim Eingeben, denn hier erhält der Übeltäter die Zugangsdaten komplett im Klartext.

Aber bei der Sicherheit im privaten Umfeld ist das erste was man tun sollte:
Zwei getrennte Benutzer. Einen mit Admin-Rechten, zum Installieren und Konfigurieren von Software, und einen normalen Benutzer ohne besondere Rechte für den täglichen Bedarf.
Beim Otto-Normal-PC-User wird nämlich immer ein Benutzer verwendet, der seit der Windows-Installation besteht. Und dieser Benutzer hat normalerweise volle Admin-Rechte. Wird in diesem Benutzer-Kontext ein Trojaner gestartet, dann wird dieser Trojaner mit vollen Admin-Rechten gestartet.

EDIT:
Creati schrieb:
Einzige Möglichkeit ist einfach, die User mit eingeschränkten Rechten surfen zu lassen und Datensicherungen so abzulegen, dass der Rechner selbst über das Nettzwerk keinen Zugriff auf alles Backups hat (Snapshotverfahren bei NAS, bei Windows Servern automatisiert die Sicherungen auf eine andere Platte kopieren, die nicht im Netzwerk ist, etc.).
Zum Vergrößern anklicken....
Ganz genau. Ein Backup auf einem OneDrive-Laufwerk (oder ähnlichem), das immer eingebunden war, war für viele Opfer eines Locky-Angriffs der Stich in's Herz. Denn diese Daten wurden einfach mit verschlüsselt.
Übrigens kommt Locky nicht nur auf verbundene Netzlaufwerke, es reicht schon wenn irgendwo in Netzen, in denen ein betroffener User Zugriffsrechte hat, ein Rechner/Server mit Freigaben steht, an denen dieser User Schreibrechte hat.
 
Zuletzt bearbeitet:
Doch noch die Kurve gekriegt :) , doch wo ich es schon geschrieben habe:

Ist ein System einmal kompromittiert ist alles weitere nur noch akademisch. Passworte können simpel bei der Eingabe mitgenommen werden, da spielt es dann keine Rolle mehr wie komplex die sind oder wo die liegen. Hat man physischen Zugriff ist es komplett Wumpe.

In den aktuellen Sicherheitsdiskussionen selbst in Unternehmen geht es nicht mehr darum ob man Opfer eines Angriff wird, sondern nur wann und wie gut man darauf vorbereitet ist. Das soll nicht heißen das Prävention keine Rolle spielt, doch die Mittel sind begrenzt.

Wenn man 86% aller offenen Microsoft-Lücken vermeiden kann selbst wenn man nie Updates einspielt nur weil man nicht chronisch als Admin eingeloggt ist, dann tut man das, es kostet zudem nichts. Dann spielt man bitte regelmäßig alle relevanten Updates ein. Dann besorgt man sich eine Internet-Security-Suite die Web-Traffic und auch Emails behandelt. Und für das was dann noch durch geht sowie am Verstand des Nutzers vorbei, handelt zumindest nicht mit höchsten Privilegien. Für den Fall hat ein Backup bereit zu stehen, und zwar ein dezentrales nicht "Always-Mitadminrechten-Vollzugriff-NAS" was der Locky gleich mitverschlüsselt. Wechselmedien FTW (Tape, RDX, USB-Platten die man wechselt).

Wer es anders handhabt riskiert seine Daten und ist erpressbar. Da ist für Privatleute nicht anders. Wer sich was mit Adminrechten einfängt hat ja nicht selten gleich noch seine Cloud- und Banking-Daten und Kontakte in die Welt geblasen, ein Passwort für alles und am PC mit Adminrechten gar keines, dazu kein Backup, eines was für den Locky-Fall nicht taugt und einen Free-Irgendwascanner. Einmal falsch geklickt und Boom...das ist doch Realität bei vielen Privatanwendern.
 
Zuletzt bearbeitet:
Euren Ausführungen kann ich soweit ohne Proböeme zustimmen. Datensicherung ist gerade echt so ein Problem. Am liebsten würde ich eine Art der Datensicherung einsetzen, die Locky nicht verschlüsseln kann. Aktuell arbeite ich mit Macrium Reflect. Das unterstützt Datensicherung halt nur lokal oder auf Netzfreigaben. Netzfreigaben sind dann aber schon problematisch, da die auch verschlüsselt werden. Bei Macrium kann man zwar auch selbst daten zur Authentifizierung angeben auf Laufwerke, aber sobald die Datensicherung startet, kann auch der aktuelle Nutzer auf die entsprechende Freigabe zugreifen, da der gesamte Rechner sich gegenüber der Freigabe (Bzw. dem Computer, auf welcher die Freigabe liegt) authentifiziert hat. Acronis selbst hat glaube ich die Möglichkeit per FTP auch zu sichern. Aber mit Acronis echt schlechte Erfahrung über die Jahre gemacht.

Ich habe mir nun noch für lokale Rechner überlegt eine weitere kleine Festplatte zur Datensicherung einzubauen, auf welche Marcium regelmäßig sichert. Zugriff hat dann allerdings nur der User, unter welchem Macrium läuft (dazu wird ein neuer angelegt). Und der Useraccount des normalen Anwenders hat keinen Zugriff.
Wenn man das eine mit dem anderen verbindet, sollte das reichen. Über Newsportale würden heute ja auch wieder Cryptotrojaner verteilt. Mistzeug...
 
Und was spricht gegen einen externen Datenträger, den du halt einmal die Woche dran hängst und darauf deine Sicherung machst? Ganz paranoide nehmen dann vielleicht zwei externe Datenträger, und wechseln jede Woche, falls der Locky genau dann zuschlägt, wenn die externe Platte am Rechner hängt. :)
 
Necareor schrieb:
Ein Backup auf einem OneDrive-Laufwerk (oder ähnlichem), das immer eingebunden war, war für viele Opfer eines Locky-Angriffs der Stich in's Herz. Denn diese Daten wurden einfach mit verschlüsselt.
Zum Vergrößern anklicken....
Cloud-Speicher haben i.d.R. auch einen Papierkorb, den man online über die Webseite einsehen und gelöscht Objekte einfach wieder zurückspielen kann.
 
Allerdings hat Locky die Dateien ja nicht gelöscht, sondern verschlüsselt. Bringt einem also in diesem Fall nichts.
 
Necareor schrieb:
Und was spricht gegen einen externen Datenträger, den du halt einmal die Woche dran hängst und darauf deine Sicherung machst? Ganz paranoide nehmen dann vielleicht zwei externe Datenträger, und wechseln jede Woche, falls der Locky genau dann zuschlägt, wenn die externe Platte am Rechner hängt. :)
Zum Vergrößern anklicken....

Es geht hier um Konzepte für private Leute, welche ich nebenbei betreue. Denen drücke ich keine externen Datenträger in die Hand, weil das denen ggf. zuviel Aufwand ist bzw. keine Lust haben. Ist halt mehr nach dem Motto: alles, was man mehr als einmal ausführt, wird automatisiert.

miac schrieb:
Wenn Du wirklich richtig sichern willst, empfiehlt sich ein Mehr-Generationen Backup auf mehreren Medien.

Hier ist eigentlich alles übersichtlich dargestellt:
https://de.wikipedia.org/wiki/Datensicherung
Zum Vergrößern anklicken....

Für mich privat habe ich entsprechend Datensicherungen über verschiedenen Zeiträume. Mir geht es speziell um Umgebungen, die ich nur nebenbei betreue und das Risiko bisschen minimieren möchte.
Im Einsatz sind Vollsicherungen kombiniert mit inkrementellen.

Necareor schrieb:
Allerdings hat Locky die Dateien ja nicht gelöscht, sondern verschlüsselt. Bringt einem also in diesem Fall nichts.
Zum Vergrößern anklicken....

Dropbox verfügt auch über eine Versionierungsfunktion. Entsprechend können da Daten wieder hergestellt werden und als sicher angesehen werden. Die versionierung kann die Ransomware ja nicht killen :)
 
Zuletzt bearbeitet:
So genau kenne ich mich nicht aus mit den Cloud-Drives und ihren Features. Damit würde das ganze natürlich gehen!
 
Naja, in die Cloud zu sichern schietert ja oft an der benötigten Bandbreite und dem Umfang der Sicherung.

Wenn es nur normale Dokumente sind, dann sollte es kein Problem sein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Q
Sicherheitsfrage Zugriff auf WLAN-Passwörter verhindern
Antworten
15
Aufrufe
1.431
cumulonimbus8
cumulonimbus8
T
Passwort-Manager Sicherheit bei Clouddiensten?
2
Antworten
22
Aufrufe
1.092
Oli_P
Oli_P
CyborgBeta
Sicherheit: Sollte man sein Passwort noch regelmäßig ändern, wenn 2FA nicht verfügbar ist?
2 3
Antworten
49
Aufrufe
2.007
r0b0t
R
M
News Sicherheit: Einfache Passwörter bleiben in Deutschland weiterhin beliebt
4 5 6
Antworten
117
Aufrufe
7.822
wern001
wern001
Avenger84
Nginx Reverse Proxy: Sicherheit
Antworten
14
Aufrufe
3.394
s1ave77
S

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz