Outlook und dazugehörige Würmer/Viren
MS Outlook (oder Outlook Express) ist ein sehr verbreitetes aber leider auch löchriges Email-Programm (=Email-Client). In den letzten Jahren gab es sehr viele Email-Schadprogramme (Viren oder Würmer), die sehr großen Schaden angerichtet haben.
Durch sehr viele bedenkliche Sicherheitslöcher und/oder "ungünstigen" Konfigurationen ist es möglich, Programme auf fremden Rechner auszuführen sofern der Empfänger Outlook benutzt.
Sehr oft sind die Anwender auch selber schuld, da sie unangeforderte Attachments (=Anhängsel an EMails: Programme, Bilder, ...) einfach aufrufen. Vorsicht! Ebenfalls sehr oft sind Spaßprogramme und Word-Dokumente mit einem (Makro-) Virus verseucht und gaukeln nur vordergründig Funktionalität oder Inhalt vor.
Der Schaden reicht von harmloser Belästigung durch unerwünschte Emails
über Preisgabe von privaten Dokumenten durch automatisches Versenden
von Dateien aus C:\Eigene Dateien\ an alle Adressen des
Outlook-Adressbuches bis hin zum totalen Datenverlusst und einem erzwungenen
Neuinstallieren des Systems!
In einer Firma kann solch Unachtsamkeit mit finanziellem Schaden als Folge zumindest zur Kündigung führen.
Die einzigen Möglichkeiten, dieser Gefahr zu begegnen, sind regelmäßiges Einspielen der aktuellsten Sicherheits-Patches von Microsoft (sofern vorhanden!) oder noch besser: niemals Outlook starten!
Es gibt zahlreiche Alternativen zu Outlook, die in Sachen Funktionalität keinesfalls einen Rückschritt darstellen. Sehr viele sind sogar gratis und haben interessante Zusatzfeatures.
Meine Empfehlungen ist: Thunderbird. Wem's interessiert: ich benutze mutt als EMail-Client.
Wenn ich schon dabei bin: bitte keine HTML-Mails versenden und die Voreinstellungen auf "reine Textemails" (ASCII, ohne Formatierungen) ändern.
gehe zum Anfang dieser SeiteKettenbriefe, Hoaxes und EMail-Würmer
Diese Informationen können Ihnen sehr viel Ärger ersparen!
EMails, die für irgendwelche krebskranken Kinder verschickt werden oder wo ein reicher Mann (Bill Gates?) pro weitergeleitetes EMail eine Summe zahlen will oder wo ein afrikanischer Finanzbeauftragter über ein anderes Konto Geld ins Ausland transferieren will oder ... sind allesamt Blödsinn!
Kein Mensch ist jemals aufgrund einer Nichtweiterleitung eines böse formulierten Erpresserbriefes (Glück, wenn du dieses Mail an 10 Freunde weiterschickst, ...) zu Schaden gekommen!
Kettenbriefe und Hoaxes sind illegal und können sogar mit einer Geldstrafe geahndet werden!
Oftmals sind die finanziellen Schäden durch solche unnötigen Aktionen größer als die von den Outlook Emailwürmern! (Dazu gibt's bei mir auch ein anderes HowTo)
Hoax-Infos
- heise: Virus oder Hoax?
- Hoax-Info Service
- List of known hoaxes
- Hoaxbusters
- Symantec Security Response uncovers hoaxes
Hoaxes und ihre "Beliebtheit" ;-)
gehe zum Anfang dieser SeiteEinführung in Sicherheit bei EMails
Sicherheit im Internet ist IMHO ein wichtiges Thema und man sollte dafür eine gewisse Sensibilität entwickeln, die zwischen Paranoia und naiver Gleichgültigkeit angesiedelt sein sollte.
Nur soviel für alle, die denken, es ist eh alles in bester Ordnung: Man kann (mit etwas Hintergrundwissen) jederzeit ein Email versenden, das vorgibt, von einem anderen geschrieben und versendet worden zu sein! D.h. ich kann jederzeit als Administrator oder Chef ein Mail versenden um damit vielleicht an Informationen gelangen, die du vielleicht nur dem Systemadministrator geben würdest – obwohl du nicht einmal das solltest!
Einschub
Sein Passwort muss man niemenden niemals sagen! Wenn jemand anruft und meint er ist Administrator und will sich das kurz einmal ansehen und man solle ihm doch liebenswürdigerweise kurz sein Passwort verraten: DON'T! Das ist ein aktiver Crackerangriff und nennt sich Social Engineering (siehe auch ein Beispiel). Es ist viel effektiver und bequemer als das Netz mit technischen Tricks zu penetrieren. Man sollte sich nicht wundern, wie leicht man dadurch an Passwörtern von Sekretärinnen usw. bekommt.
Also: Traue keinem.
Es gibt Möglichkeiten, die Identität eines Gegenübers festzustellen (Authentifizierung) und zu überprüfen (Verifizierung). Diverse Tools sind im Umlauf. PGP (pretty good privacy) bzw. der freie Vertreter GPG (Der GNU Privacy Guard) sind zum de fakto Standard geworden.
Damit kann man sich über ein public key Encryptionsystem Schlüsselpaare generieren, mit denen man Nachrichten signieren (unterschreiben) und verschlüsseln kann. Dieses Posting ist mit solch einer digitalen Unterschrift versehen (komische Zeilen oben und unten). Der Text dazwischen ist der Teil der Nachricht, der mit meinem öffentlichen Schlüssel (zu beziehen zB über meine Homepage oder von einem öffentlichen Schlüsselserver) verifiziert werden kann.
Der Header (eines Emails oder Postings) nicht, wohlgemerkt.
D.h. niemand kann den Text dazwischen ändern, ohne, dass die Signatur nicht mehr stimmt.
gehe zum Anfang dieser SeiteSignieren und Verschlüsseln von EMails
Signieren
Ich schreibe meinen Text in meinem Newsclient (tin oder slrn) oder in meinem Emailclient (mutt) und bevor ich das Posting oder Email wegschicke, signiere ich es mittels gpg, das sehr bequem eingebunden werden kann. (Beide sind Konsolenprogramme unter Gnu/Linux).
Ich gebe dazu mein Passwort ein, das meinen (auf der Platte befindlichen) geheimen Schlüssel "aufschliesst" und gpg generiert die Zeichenkette am Schluss dazu.
Fertig. So einfach ist das.
PGP mit Unterstützung durch zB Windows-Clients ist vergleichbar einfach.
Wenn jemand – sagen wir einfach mal du – meine Nachricht verifizieren will, dann musst du entweder nur auf irgendwein Symbol schauen, das dein Client anbietet (weil er PGP/GPG eingebunden hat) oder du musst das "per Hand" in eine Datei speichern und danach PGP/GPG "d'rüberlaufen" lassen.
Dabei holt sich PGP/GPG von einem Schlüsselserver (oder deiner Platte) meinen dazugehörigen öffentlichen Schlüssel und schaut nach, ob die Signatur in Kombination mit dem umschlossenen Text dazu passt.
So entscheidet sich, ob der Text ok ist oder nicht.
Wohlgemerkt: Es wird nur entschieden, ob der Inhalt der Nachricht, die Signatur und der öffentliche Schlüssel zusammenpassen.
Ich kann mir jederzeit ein Schlüsselpaar für Max Mustermann selber erstellen. Es ist nur die Frage, woher die anderen den öffentlichen Schlüssel beziehen. Dazu gibt es auch das Web of trust aber dazu mehr im Internet.
gehe zum Anfang dieser SeiteVerschlüsseln
Ziemlich ähnliche Vorgangsweise, nur dass ich ausschliesslich für einen Empfänger verschlüsseln kann. Ich vermische den Text mit meinem privaten Schlüssel und seinen öffentlichen und der unlesbare Kauderwelsch kann (hoffentlich ;) nur mit dessen privaten Schlüssel entschlüsselt werden.
Daher: Nicht für Usenet geeignet, sondern nur für Mails usw.
Ich hoffe, ich hab in meinen Ausführungen keinen Flüchtigkeitsfehler hinterlassen. Wenn schon, dann bitte ich um eine Meldung.
Weitere Infos bitte im Netz suchen. zB: Das GNU-Handbuch zum Schutze der Privatsphäre
gehe zum Anfang dieser SeiteURLs zum Thema Email
- heise Anti-Viren-Seite
- Kostenlose Programme (plus Folgeseiten)
- Fuer alle armen Leute, die trotzdem Outlook verwenden müssen: OE-FAQ und Probleme mit Outlook und deren Lösung
,----[ *** WERBUNG *** ]
| *bing*
| Ist Ihnen langweilig, wenn Sie am Rechner sitzen?
| Mangelt es Ihnen an Unterhaltung? Ist Ihr Prozessor sowie Ihre
| Datenleitung nicht ausgelastet? Dann benutzen Sie Autschguck
| Wixpress, den absolut unmodernen Nutznetzleser aus dem Hause
| Mickeysoft. Erfreuen Sie sich an all den erfreuten Reaktionen,
| wenn Ihr Nutznetzleser mal wieder absolut unleserliche Artikel
| in's Nutznetz bläst; schließlich rechtfertigen Ihre Ergüsse
| allemal, daß andere viel Zeit zum Reparieren Ihrer
| eigenwilligen Zitate aufwenden! Wir garantieren spannende
| Suche nach verschwundenen Inhalten, und mit all' den netten
| Würmchen, die sich auf Ihrer Platte tummeln werden, kommen Sie
| ganz von selbst in Kontakt mit entzückenden Damen und Herren
| aus Abuseabteilungen aller Herren Länder.
|
| Vergessen Sie nicht: Zeichensatzdeklarationen sind was für
| Weicheier! In diesem Sinne: Autschguck Wixpress aus dem Hause
| Mickeysoft!
| *bong*
`----
[Christian Roessler in soc.culture.german]
gehe zum Anfang dieser Seite