Alex' blog (Artikel mit Tag root)

Up-to-date Check für Windows-Systeme

nospam@example.com (Alex) — Thu, 26 Jul 2007 01:35:50 +0200

Heise hat gestern von einem Tool namens "Personal Software Inspector", kurz PSI, berichtet, welches der Sicherheitsdienstleister Secunia als Freeware für Windows-Systeme entworfen hat. Dieses Tool analysiert die installierte Software, um jeweils Name und Versionsnummer festzustellen, welche dann mit einer Datenbank abgeglichen werden. Bei veralteter Software wird gewarnt. Ebenso bei Software, die nicht mehr gepflegt wird.

Der Benutzer muss sich zur Verwendung der Software allerdings registrieren und die Daten des eigenen Softwarebestandes werden an Server von Secunia verschickt. Und zumindest das zuletzt genannte ist genau das, was man nicht möchte.

Wenn man die Kommentare der Heise-User durchschaut, so findet man auch eine andere Software, die "Software-UpToDate" heißt, kurz SUTD, welche zumindest in ähnlicher Form arbeitet.

Die Idee finde ich einerseits toll. Schade, dass ich nicht selber darauf gekommen bin. Andererseits finde ich beide Ausführungen relativ schlecht. Vor allem weil es keine Möglichkeit gibt, selber Software-Details einzupflegen, der Server nur im Internet zur Verfügung steht und man nicht mehrere Clients in einem Netzwerk damit verwalten kann. Das der eigene Softwarebestand katalogisiert zu jemand Drittem gesendet wird, ist natürlich die Killer-Aussage schlechthin.

Daher dachte ich an ein neues Open Source-Projekt, welches sich genau um diese Probleme kümmert. Praktisch wie eine Paketverwaltung unter Linux. Besonders schwierig ist dieses Projekt auch nicht, da es mich bisher keine fünf Minuten Arbeit gekostet hat, um zumindest einmal grob etwas Software auf einem XP-System zu katalogisieren. Damit es tatsächlich in fünf Minuten reicht, habe ich einfach Microsoft Visual Basic 2005 benutzt. Visual Basic kann ich zwar nicht, aber es lässt sich prima für solche kurzen Tests benutzen, weil man sich kaum Gedanken machen muss. (Auf Portierungen von Perl, Python, etc. für Windows sollte man in diesem Fall verzichten, wie ich finde.)

Und somit kann ich hier einen Screenshot von meinem "Versionschecker" präsentieren, welcher die installierte Software aufzeigt inkl. Versionsnummer. Das muss natürlich alles noch wesentlich besser werden, aber ich wollte auch nur schauen, wie schnell und einfach sich so etwas eigentlich machen lässt. Außerdem wollte ich unbedingt einmal Transparenz in der GUI ausprobieren, was ich mir allerdings nicht so einfach vorgestellt habe, wie es aber erfreulicherweise ist.
(Die vielen Leerzeilen sind übrigens normal. Diese kommen durch leere Strings, die mein Suchmuster zurückgibt. Gefunden wurde allerdings dennoch installierte Software. Habe ich nur nicht ausgefiltert. (Soll ja auch nicht ausgefiltert werden, sondern an diesen Stellen verbessert.))

Administrative Laufwerkssperrung umgehen

nospam@example.com (Alex) — Tue, 24 Jul 2007 22:24:01 +0200

Den Einfall hatte ich heute und er hat auch anstandslos funktioniert:

Wenn der Administrator unter Microsoft Windows 2000 den Zugriff auf das eingebaute Diskettenlaufwerk softwareseitig unterbunden hat, dann ist dies noch kein Hinderungsgrund an der Benutzung des Laufwerks als normaler Benutzer.

Auf dem PC war noch eine VMware Workstation installiert, worin ich dann ein vorhandenes Windows Server 2003 gestartet habe, worauf ich als Administrator Zugriff habe. In der Konfiguration der VM war ein Diskettenlaufwerk eingetragen und "connect at boot" bereits angehakt. Nachdem das OS lief habe ich meine mitgebrachte Diskette eingelegt und in der VM konnte ich dann problemlos auf meine Dokumente zugreifen.
Eigentlich hätte ich die Dokumente außerhalb der VM gebraucht, was allerdings mit der Workstation-Version kein Problem dank "Shared Folders" ist. (Drag'n'Drop scheint nur in die VM hinein zu funktionieren - im Gegensatz zum VMware Player.)

Netter Workaround, wie ich finde.

Mehr Sicherheit ohne LM-Hash - Korrektur

nospam@example.com (Alex) — Thu, 19 Apr 2007 14:24:28 +0200

Die PC-Fachzeitschrift PC-Welt hat in ihrem heutigen Tipp des Tages einen Fehler begangen und hier ist die Korrektur dafür:

Der Schlüssel heißt nicht:

HKEY_Local_Machine\System\CurrentControlSet\Controlsa

sondern:

HKEY_Local_Machine\System\CurrentControlSet\Control\Lsa

Diesen (alten) Tipp sollte aber jeder Windows-Administrator bereits kennen.

Wie man sich ein Backdoor in Vista baut

nospam@example.com (Alex) — Tue, 13 Mar 2007 19:28:00 +0100

Um es gleich vorweg zu nehmen: Wenn man nicht gerade einen Administrator in der Firma hat, der schnell vorbeikommt, um irgendetwas einzurichten und dabei kurzzeitig den Raum verlässt (Toilette, Telefon, etc.), während er noch mit administrativen Rechten am Arbeitsplatz-PC angemeldet ist, der hat nichts von diesem Backdoor. (Vielleicht wird in der Zukunft noch eine weitere Lücke im Dateischutz von Windows entdeckt, so dass man u.U. gar nicht auf administrative Rechte angewiesen ist.)

Falls jemand aber doch in solch eine Situation geraten sollte, so kann er ohne besondere Spuren zu hinterlassen ein Backdoor in Microsoft Windows Vista einrichten, was nicht sofort vom Virenscanner als solches identifiziert und anschließend aufgehalten wird.

Wenn man also einen solchen Account kurz zur Verfügung hat, dann kann man sich der folgenden Befehle bedienen, um sich ein lokales Backdoor einzurichten:

takeown /f %windir%\system32\sethc.exe

cacls %windir%\system32\sethc.exe /g Administrator:F

Nur falls Backup erwünscht:

ren %windir%\system32\sethc.exe sethc.ex-

copy %windir%\system32\cmd.exe %windir%\system32\sethc.exe

Dank der Aufhebung des Dateischutzes von Windows und dem Austausch der Datei für die Eingabehilfe, genauer: Die Einrastfunktion, wird nun ab sofort durch fünfmaliges Drücken der [SHIFT]-Taste eine Eingabeaufforderung gestartet, welche mit System-Rechten ("NT-Autorität\System") läuft. So kann man sich einfach unangemeldet am System vollen Zugang besorgen. Anzumerken wäre noch, dass die Eingabeaufforderung nach einer Weile von selbst verschwindet, egal ob man darin gerade arbeitet oder nicht. Allerdings kann sie wieder erneut aufgerufen werden.

Das dies in einer Organisation / Bildungseinrichtung / Unternehmen / etc. natürlich nicht erlaubt ist, sollte klar sein und hier keiner Erwähnung bedürfen. Das dies zu einer Abmahnung im Unternehmen führen kann ebenso. Wie man diese moderat kritische Lücke allerdings vernünftig stopft, ist mir bislang leider nicht bekannt.

(Ich bitte die Qualität des Screenshots und des Videos (MP4) zu entschuldigen, aber man sollte dennoch gut etwas darauf erkennen.)

Samsung hat es doch noch geschafft

nospam@example.com (Alex) — Sat, 14 Oct 2006 02:24:33 +0200

Kaum zu glauben, aber wahr: Samsung hat es tatsächlich nach ca. fünf Jahren nach dem Erscheinen von MS-Windows XP geschafft die PC-Handy-Software "PC Studio 3" mit einem Update (nun Version 3.1.0 FG6 (Studio), 3.1.0 FH1 (Launcher)) zu versehen, so dass man nicht mehr Administrator sein muss, um die Software benutzen zu können.

Wow !

Ruhiger Patchday in Sicht ... wer's glaubt

nospam@example.com (Alex) — Sat, 09 Sep 2006 01:23:16 +0200

Laut einer News von Heise fällt der nächste Patchday relativ ruhig aus. Maximal drei Schwachstellen werden gepatcht, zwei davon sind Windows-Updates und einer betrifft das Microsofts Office-Paket.

Ruhig würde ich das allerdings nicht nennen wollen. Vielleicht gibt es nicht viel Arbeit für die Administratoren in der Hinsicht, dass sie nicht viele Patches auf einem Test-System ausprobieren müssen, bevor sie die gesamte Windows-Rechnerschaft im Betrieb updaten lassen, aber wenn man bedenkt, dass ca. 25 Lücken für den Internet Explorer (IE) alleine noch offen sind ...

Prince of Persia - The two thrones ohne Adminrechte

nospam@example.com (Alex) — Mon, 21 Aug 2006 18:06:00 +0200

Zum Geburtstag habe ich eine Fortsetzung des Kultspiels "Prince of Persia" geschenkt bekommen: "The two thrones" (für den PC von Ubisoft).

Sehr schönes Spiel, aber für mich selbst auf "einfach" gestellt als Nicht-Spieler viel zu schwer.

Was für einen tollen Kopierschutz (StarForce Pro 3) dieses Spiel allerdings hat, wußte ich davor nicht. Hätte ich das gewußt, hätte ich es gar nicht erst installiert. Der Kopierschutz scheint den Rechner zwar bislang auch nicht spürbar negativ zu beeinflußen, aber StarForce fliegt inklusive Spiel die nächsten Tage sowieso wieder runter. Hoffentlich funktioniert die StarForce-Deinstallation auch brauchbar, weil man von diesem Mist schon genug schlechte Dinge gehört hat.

Was allerdings ebenso super schlecht ist: starten läßt sich T2T auch ohne Adminrechte. Nur wenn man ein Profil anlegen will bzw. etwas im Profil später gespeichert werden soll (Tastatur-Belegung, etc.) oder Savegames erstellt werden sollen, steht man vor dem Problem, dass man als Benutzer ohne Adminrechte keinen Schreibzugriff nach "Programme\usw." hat.

Also flugs die Rechte als Administrator geändert für das Verzeichnis "POP3Profiles", damit man auch als normaler Benutzer mit eingeschränkten Rechten das Spiel anständig spielen kann.

Würmer und Trojaner schlagen sich um die Herrschaft

nospam@example.com (Alex) — Tue, 27 Jun 2006 12:50:00 +0200

Wie ich schon einmal schrieb, gibt es Gegenden wo kein DSL verfügbar ist. Allerdings gibt es auch Gegenden, wo es DSL oder Kabel gibt, aber dennoch kein Breitbandzugang auf Grund des Preises vorhanden ist.

Das dort dann eher PCs rumstehen, die ungepatcht sind seit dem Erscheinen von Windows XP (ohne irgendeinen Service Pack), liegt dabei schon fast auf der Hand. PC-Zeitschriften mit Heft-CDs, wo dann evtl. mal ein alternativer Browser und ein SP2 mitgegeben werden, wurden ebenfalls nicht erworben.

Genau genommen darf man sich ein frisch installiertes MS Windows XP Professional ohne Service Packs und ohne jegliche automatischen Updates vorstellen. Surfen mit Adminrechten und mit einem uralten Internet Explorer sowie Outlook Express als MUA (Mail User Agent).
Allerdings wurde ein Virenscanner eingesetzt, dessen Signaturdatenbank auch nicht wirklich oft geupdatet wurde. Später wurde dann die freie Edition des Virenscanners von Avast 4 gesetzt, aber zu dieser Zeit war der PC bereits total verseucht. Angebunden ist dieser PC mit einem 56K-Modem ans Internet.

Für nettes Getier wie Würmer und Trojaner hat die langsame Anbindung - ganz im Gegensatz zu den Updates - ausgereicht. Hier einmal ein Überblick über die bislang mit dem verseuchten System gesuchten und gefundenen Viren/Würmern/Trojanern/etc. nach Avast-Namenskonvention:

Rbot-BAA
Rbot-AML
Rbot-ATV
Codbot-AC
Codbot-P
Trojano-2873
Trojano-3292
Trojano-3458
Trojano-3459
Trojano-3460
Trojano-3461
Tsupdate-J
Small-EL
Spybot-A3262
VB-KR
Sdbot-3943
Trojan-gen.Other
Klez-H
Sober-C
Sober-Q
Nachi-J

Das ist eine ganz nette Liste, die allerdings auch so ähnlich zu erwarten war, und zu 99 % noch nicht alles Getier, da Ergebnisse auf einem bereits verseuchten PC nicht als zuverlässig zu klassifizieren sind. Da der PC auch u.a. Ewigkeiten zum Booten braucht und mittendrin auch gerne und oft neustartet, braucht man keinen Virenscanner von einer Live-CD o.ä. einzusetzen. Jetzt gilt es auf einer neuen Festplatte, da die aktuelle auch zu klein geworden ist, ein komplett gepatchtes OS einzuspielen mit alternativer Software und natürlich sämtlichen sinnvollen Sicherheitsvorkehrungen sowie eine kleine Schulung der Anwender. Dann kann man vom neuen OS aus die alte Festplatte auf Getier erneut scannen und versuchen noch brauchbare eigene Dateien zu sichern um die alte Festplatte danach in den Abfall zu feuern (sie klingt auch nicht mehr so gesund - klack, klack).

So kämpfen Würmer und Trojaner um die alleinige Herrschaft auf diesem PC. Wenigstens kann man sagen, dass dieser PC nicht groß an einer Spamflut bzw. an DDoS-Attacken beteiligt ist, wenn er so gut wie nie im Internet ist.

Discountsurfer ohne Adminrechte benutzen

nospam@example.com (Alex) — Mon, 19 Jun 2006 12:38:28 +0200

Es gibt Orte in Deutschland, wo noch kein DSL verfügbar ist und deswegen ein analoges 56K-Modem für den Zugang ins Internet verwendet wird. Um nicht ganz mit den hohen Kosten einer Telefonrechnung zu glänzen, gibt es dafür sozusagen Least-Cost-Router in Software wie bspw. Smartsurfer und Discountsurfer. Da der Discountsurfer besser ist, sollte dieser auch auf dem Windows XP-PC installiert werden.

Jedoch bekommt man ein Problem, wenn man ohne Adminrechten sich einwählen möchte. Die Lösung für diese Problem ist allerdings recht schnell gefunden Dank dem Filemon von Sysinternals.

Wenn man dem Installationsverzeichnis des (aktuellen) Discountsurfers für die Benutzergruppe bzw. für den einzelnen Benutzer Änderungsrechte (und somit natürlich auch Schreibrechte) gibt, dann ist das Problem schon zur Hälfte gelöst. Nun muss man dem Benutzer jeweils einzeln oder der Benutzergruppe noch unter:

Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk der Datei Rasphone.pbk ebenfalls Änderungsrechte einräumen und das Problem ist gelöst. (So bezieht sich das natürlich auf die deutsche Lokalisierung von Windows XP.)

Windows Vista, Windows "Fiji" und Windows "Vienna"

nospam@example.com (Alex) — Wed, 12 Apr 2006 17:31:00 +0200

Der Codename für die neue Windows-Version nach Windows Vista (interner Codename "Longhorn") aber vor Windows "Vienna" (alter Codename: "Blackcomb") ist gefallen. Die Version dazwischen trägt den internen Codenamen "Fiji".

Microsoft möchte die Abstände zwischen den Windows-Versionen verkleinern. Wenn Windows Vista wie aktuell geplant ausgeliefert wird (für Endkunden: Januar 2007) wird, ist XP schon über fünf Jahre alt. So einen Abstand soll es zwischen Vista und "Vienna" nicht geben. Daher wird "Fiji" eingeschoben.

So berichtet zumindest die PC-Fachzeitschrift "PC-Welt" in ihrem Online-Angebot.

Ich sehe das jedoch etwas anders. Bisher scheint ja eigentlich nicht genug Zeit seit MS-Windows XP vergangen zu sein für einige Softwarehersteller. Ganz besonders bei Spielen oder auch bei aufwänderigen Bildschirmschonern.
Die meisten Spiele, die hier noch herumfahren bekommt man nur mit Administrator-Rechten unter XP zum Laufen. Ebenfalls seltsam verhält sich das bei einem neu erworbenen Bildschirmschoner ("Nemos 3D Aquarium 3 Pro"). Ohne Vollzugriff als Benutzer läuft der Bildschirmschoner gar nicht erst an. Desweiteren scheinen die Einstellungsoptionen nur vom Administrator übernommen zu werden. Änderungen daran als normaler Benutzer werden verworfen, nicht extra im anderen Profil gespeichert, so dass jeder Benutzer selber entscheiden kann, wie er dort was sehen möchte. Desweiteren wird ein Verzeichnis namens "d3temp" angelegt auf Laufwerk C:, was eigentlich nur mit Administrator-Rechten möglich ist.

Es scheint also auch nach fast fünf Jahren heutzutage noch nicht möglich zu sein, etwas für ein Multitasking-fähiges und Mehrbenutzer-taugliches Betriebssystem so zu programmieren, dass es Sinn macht. Das Einführen neuer Betriebssysteme in einem schnelleren Abstand trägt zur Lösung dieses Problems sicherlich nicht bei, sondern verschlimmert es sicherlich nur weiterhin, da sicherlich Profile, etc. wieder etwas anders angelegt werden in neueren Windows-Versionen, als bisher von XP/2000/2003 Server bekannt.