Gebrauchsspuren 1
(Innere Sicherheitsrisiken von Windows)
Bitte beachten Sie auch unbedingt Seite 2 dieses Beitrages!!!
Siehe auch:

Win98trojaner
Das Winsysproblem
Spycrosoft
Vorratsdatenspeicherung


 

Wie Sie ja bereits wissen:

Es gibt keine absolute Sicherheit vor Datenspionage und Manipulationen !




Sie sind schon wieder beunruhigt,weil Sie hier plötzlich
den Inhalt Ihrer Festplatte sehen können?

Oder sehen Sie stattdessen evtl. eine der folgenden Warnungen?

 
 


Keine Sorge, auch dies ist immer noch der gleiche, ganz simple Trick,
den Sie eigentlich bereits von der Seite
Security 1 kennen sollten.


Wirkliche Gefahren jedoch kommen nicht nur aus dem Internet,
sondern drohen leider grundsätzlich auch von innen.

Zum Beispiel durch Dateien, in welchen Ihre gesamten PC-Aktivitäten,
sowohl online als auch offline mitgeloggt werden,
und die für
jeden unverschlüsselt zugänglich sind,
der in irgendeiner Weise legal oder illegal Zugang zu Ihrem System hat.
Das kann die Ehefrau ebenso sein wie der Sohn, der Chef
oder ein Ermittlungsbeamter im Rahmen einer Hausdurchsuchung.
Fakt ist nämlich, dass es eine Reihe von systeminternen Gebrauchsspuren
in Form von
Logdateien und Verläufen gibt,
die Sie vielleicht nicht unbedingt anderen Menschen zeigen wollen.
Allen voran nenne ich da nur die
USER.DAT,
eine der versteckten Registrydateien in Windows,
die Sie sich einmal
ganz in Ruhe anschauen sollten.
Klicken Sie einfach auf
Start....Suchen und geben Sie dort User.dat ein.

Allerdings müssen Sie vorher auch alle versteckten Dateien sichtbar machen,
falls dies bisher noch nicht geschehen ist.
Wie das geht, erfahren Sie hier:
security 3.

Zuweilen gibt es auch andere Dateien
gleichen Namens,
die von Programmen angelegt wurden um userbezogene Einstellungen
eben dieses Programms zu speichern.


Sie liegen aber in der Regel in einem Programmverzeichnis
wie z.B.:
C:\Programme\Name\xyz
oder als Kopien der Original
User.dat zu Sicherungszwecken gar direkt im Hauptverzeichnis unter C:\user.xyz
wobei die Endung .xyz eine eigens vom betreffenden Programm definierte Dateierweiterung darstellt.(*.nav *.nu4...usw.)
Dies ändert allerdings nichts an der Tatsache, dass dort ebenfalls alle sensiblen Einträge der
User.dat verewigt sind.

Wie Sie sehen, haben sich im aktuellen Beispiel sowohl die Norton Utilities 4.0
als auch das schon längst nicht mehr vorhandenes
Norton Antivirus mit jeweils einer eigenen Kopie verewigt.
Die
windowseigene Datei User.dat (Blau unterlegt) liegt standardmäßig und direkt daneben ebenfalls
im Verzeichnis
C:\WINDOWS
und ist normalerweise so um die 1-2 MB groß.
Öffnet man solch eine User.dat nun mit Hilfe von Notepad, einem beliebigen Hexeditors
oder noch bequemer mittels des
Fileanalyzers von Spybot ,
kann man alle Einträge in der Datei sortiert nach
Urls, Guids und Dateinamen sichten,
und mit Hilfe der integrierten Suchfunktion sogar ganz geziehlt nach
bestimmten Urls durchsuchen
lassen, wie im folgenden Screenshot am Beispiel der
User.d97 (einer umbenannten User.dat)
recht eindrucksvoll dokumentiert ist.

Ich brauche wohl nicht extra zu betonen, dass Ihre Anonymität unter diesen Aspekten
wie blanker Hohn erscheint. Bedenken Sie bitte auch, dass im Falle einer Trojanerinfektion
mittels eingeschleuster Backdoor hier ebenfalls
online Klartext gelesen werden kann.


INFO....

Wozu benötigt Windows die User.dat?
Windows speichert in den Dateien
System.dat,
User.dat , alle Registry-Informationen.
Und bei Win ME gibt es auch noch die
Classes.dat,
auf welche aber hier nicht näher eingegangen werden soll.

In der
User.dat werden nur benutzerbezogene Daten und Profile,
in der
System.dat dagegen benutzerunabhängige Daten gespeichert.

Beide Dateien befinden sich wie gesagt im Windows-Verzeichnis,
haben die Attribute "
System" und "Versteckt" und werden daher
selbst unter
DOS nur angezeigt, wenn man den Befehl "Dir"
mit dem Kommandoparameter "
/a" verwendet.
Windows 98/SE/ME legt bei jedem ersten Start eines Tages
Sicherheitskopien dieser Dateien im Verzeichnis
C:\Windows\Sysbckup an.

Sie heißen dann Rb00n.cab. (Laufende Numerierung bis standardmäßig Rb005.cab)
Die auf
5 voreingestellte Anzahl der Sicherungen und die Dateien,
welche in der Sicherung enthalten sein sollen, können Sie in der Datei
C:\Windows\Scanreg.ini selbst festlegen.
Wie das genau geht, erfahren Sie hier:
Mein Tipp zur Registry

Diese automatische Sicherung kann man auch abschalten,
indem man mittels des windowsinternen Tools
Msconfig.exe
unter der Registerkarte "
Autostart" den Eintrag "Scanregw /autorun" deaktiviert.
Allerdings ist dringend davon abzuraten.
Eine bessere Alternative wäre in diesem Falle, eine Bearbeitung der
Scanreg.ini
indem man dort einfach ein anderes Laufwerk als Ziel einträgt,
welches man notfalls komplett verschlüsseln und ebenfalls verstecken kann.

Haben Sie mehrere Benutzer in ihrem System angemeldet (Profile),
legt Windows
für jeden Benutzer eine individuelle User.dat an,
die sich im jeweiligen Userverzeichnis befinden
(z.B. findet man die
User.dat von <Hans im Glück>
im Verzeichnis..."
C:\Windows\Profiles\<Hans im Glück>").


Gegenmaßnahmen

Gebrauchsspuren wie normale Verläufe und Logdateien kann man recht sicher mit externen Tools
wie
Spybots S&D erfassen und löschen lassen. Dies gilt sowohl für Registryeinträge
als auch Dateien in Haupt und Programmverzeichnissen.

Wie Sie in obiger Grafik deutlich sehen können,
hat
S&D auch hier reichlich Gebrauchsspuren entdeckt,
welche man allesamt markieren und vom Tool automatisch entfernen lassen kann.

Das gleiche Programmfenster nach erfolgter Reinigung.
S&D hat alle markierten Einträge in der Registry sowie die entsprechenden
Ordner und Logdateien gelöscht.
Die Programme legen diese allerdings bei jedem Programmstart auf Neue an,
weshalb man S&D
auch regelmäßig zur Entfernung nutzen sollte.


Weniger erfolgreich war dabei die Bereinigung der User.dat,
welche
S&D noch nicht eimal in der Liste aufzählte.

Aus gutem Grunde:
Jede Manipulation in dieser Datei könnte die Zerstörung der Registry
und des gesamten Betriebssystems zur Folge haben,
da es sich ja um eine windowsinterne System-Datei handelt.

Auch vom manuellen Bearbeiten der Einträge in der User.dat
oder gar vom Löschen der gesamten Datei muß daher dringenst abgeraten werden.
Selbst wenn Sie vorher eine Sicherung erstellen um diese später zurückzuspielen, kann die Aktion sehr unangenehme Folgen haben. Bedenken Sie, dass Windows möglicherweise überhaupt nicht mehr hochfährt und damit wird das Wiederherstellen nicht gerade einfach.
Aber mit einem kleinen Trick lässt sich das Problem dennoch umgehen.
Legen Sie einfach vor jeder datensensiblen Session einen neues Nutzerprofil als Besucher
(z.B. mit dem Namen "Geheim") an. Suchen Sie dann die dazugehörige User.dat wie oben beschrieben und merken Sie sich den genauen Dateinamen.
Nach erfolgter Session lassen Sie dieses Profil einfach komplett wieder von Windows entfernen.
Damit sollte auch normalerweise die
entsprechende User.dat gelöscht sein.
Überprüfen Sie dies aber anschließend trotzdem widerum mittels Suchfunktion.
Falls die
User.dat von "Geheim" wider Erwarten dennoch vorhanden sein sollte,
sollten Sie diese nun gefahrlos manuell löschen können.

Geben Sie dazu den vorher notierten Dateinamen ins Suchfenster ein
und Löschen Sie diese per Hand.

Besser ist in diesem Falle allerdings das Überschreiben mit einem speziellen Sicherheits-Löschprogramm, damit die Datei anschließend
auch nicht mehr wiederhergestellt werden kann.
Solch ein Tool zum Überschreiben finden Sie unter anderem im Advanced-Modus
von
S&D unter der Registerkarte Werkzeuge...Aktenvernichter. Dort können Sie die Anzahl der Löschungen (=Überschreibungen) unten links sogar vorgeben.


ACHTUNG!

Bedenken Sie aber bitte dabei, dass mit jeder der automatischen
Sicherheitskopien (Siehe oben) leider auch alle sensiblen Einträge
der aktuellen
User.dat Dateien rückwirkend
und für einen Zeitraum von standardmäßig 5 Tagen mitgesichert werden.
Somit verbleiben diese auch in Form von Cab-Dateien auf Ihrem Rechner.

Das heißt im Klartext, dass Sie noch vor der ersten Bereinigung
alle bereits unter
C:\Windows\Sysbckup gespeicherten
alten CAB-Dateien unbedingt von Hand löschen müssen.
Windows erstellt zwar am nächsten Tag eine neue CAB-Datei.
Sicherheitshalber sollten Sie aber
sofort nach erfolgreicher Reinigung
durch Eingeben des Befehls "
scanregw" in die Kommandozeile
von
Start....Ausführen manuell Windows zu einer Überprüfung der Registry
veranlassen und anschließend sofort eine neue Kopie erstellen,
wie es Ihnen im Dialogfenster von
scanregw.exe angeboten wird.


Verunsichert???

Das sollten Sie auch durchaus sein,
denn auf der
nächsten Seite erfahren Sie einige unangenehme Einzelheiten
über die Wiederherstellbarkeit und damit verbundenen,
schweren Sicherheitsrisiken
angeblich gelöschter Dateien.

Siehe auch:
Win98trojaner
Das Winsysproblem
Spycrosoft
Vorratsdatenspeicherung


Seite 2   Ärgernisse   Anonym Surfen   Aktuelles   Startseite