Category: Technisches

Vorsicht vor Trojaner Locky

Seit Tagen treibt der Trojaner Locky sein Unwesen. Auf infizierten Computern werden Dateien verschlüsselt. Und das nicht nur lokal, sondern auch auf Netzwerklaufwerken und eingebundenen Cloudspeichern. Die Erpresser fordern “Lösegeld” für die Daten in Form von Bitcoins.

Auf heise.de findet man Tipps zur Vorsorge gegen Krypto-Trojaner Locky:

  • Legen Sie regelmäßig Backups Ihrer wichtigen Dateien an. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein, da er sonst ebenfalls verschlüsselt wird.
  • Halten Sie Ihre System (insbesondere Betriebssystem, Office, Browser und Plug-ins) auf dem aktuellen und somit sichersten Stand.
  • Stellen Sie sicher, dass Ihr System von einem Virenscanner geschützt wird, der auf aktuelle Signaturen zurückgreift. Ab Windows 8 ist das Schutzprogramm Defender vorinstalliert.
  • Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird (siehe Bilderstrecke).
  • Lassen Sie Makro-Code nur bei Dokumenten aus vertrauenswürdigen Quellen zu – und auch nur dann, wenn es unbedingt notwendig ist.
  • Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, die Sie nicht zuordnen können.
  • Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln.

Bisher wurde der Trojaner meistens in Form von Office Dokumenten (i.d.R. Word Dokumente) verbreitet welche als Rechnung getarnt sind. Seien Sie extram vorsichtig, beim Öffnen von solchen Dokumenten. Schalten Sie auf jeden Fall Makros im Office ab. Wie das geht, erklären wir hier:

Klicken Sie im Menü auf Datei -> Optionen

2016-02-23 08_07_46

Danach auf Sicherheitscenter -> Einstellungen für das Sicherheitscenter

2016-02-23 08_08_22

Dann Einstellungen für Makros -> Alle Makros mit Benachrichtigung deaktivieren

2016-02-23 08_10_02

Sicherheitshalber sollten Sie diese Einstellungen nicht nur in Word, sondern auch allen anderen Office Programmen machen. (Die Vorgehensweise ist identisch)

Emails an schnied.net verschlüsseln

schloss_100x100Es ist zwar schon lange möglich, wurde aber noch nicht öffentlich kommuniziert. Sie können mit uns auch verschlüsselte Emails austauschen. Wir verwenden für die Ende-zu-Ende Verschlüsselung PGP bzw GPG.

Verschlüsselte Nachrichten senden Sie bitte an support@schnied.net.

Unseren Public Key finden Sie an diesen Stellen:

Hilfe zur Einrichtung von z.B. Thunderbird finden Sie bei Thunderbird/Enigmail/OpenPGP

Ein neues Zertifikat

ssl_aplusHeute wurde u.a. für diese Webseite ein neues Zertifikat installiert.

Die Verschlüsselung von www.schnied.net (und die anderer Anbieter) können Sie auf der unabhängigen “SSL Server Test” Seite von Qualys SSL Labs selbst überprüfen. Wir bekommen von Qualys für die Umsetzung der SSL Verschlüsselung die Bestnote A+ (Stand Fri, 22 May 2015 08:40:08 UTC)

Hier die Fingerprints des aktuellen SSL-Zertifikates:
SHA256:D1:BA:B3:8F:97:CA:CE:0C:B8:69:1C:21:28:5E:D7:B1:63:
7E:9C:43:05:06:94:E0:90:0E:9C:FB:23:93:11:73
SHA1:9D:E9:68:32:1E:04:08:5E:BE:09:3C:88:F8:10:21:6A:AC:0E:C0:4E

So sieht das Ergenis des o.g. Test aus:

20150522_qualys_ssl_test

Geplante Wartungsarbeiten

Unser Carrier hat uns mitgeteilt:

für den Erhalt der Netzstabilität müssen wir eine zentrale Netzwerkkomponente austauschen. Es kann zu dem unten genannten Zeitpunkt zu einer kurzen Unterbrechung im Sekundenbereich kommen.

Der angekündigte Wartungszeitraum beruht auf unseren Erfahrungen aus ähnlichen Arbeiten und im Vorfeld durchgeführten Probeläufen. Trotzdem möchten wir darauf hinweisen, dass sich die Zeit der Wartungsarbeiten im unerwarteten Fall von auftretenden Problemen verlängern kann.
Wir sind bemüht, die Wartungsarbeiten schnellstmöglich abzuschließen und bedanken uns im Vorfeld für Ihr Verständnis.

============================================
Start: 24.03.2015, 16:00 Uhr
Ende: 24.03.2015, 17:00 Uhr
Ort: Rechenzentrum Frankfurt
Art der Arbeit: Austausch eine zentralen Netzwerkkomponente
============================================

Sollten Sie nach Abschluss dieser geplanten Wartung wider erwarten Beeinträchtigungen feststellen, kontaktieren Sie uns bitte umgehend.

UPDATE 17:28
Die Wartungsarbeiten sind abgeschlossen.

Thunderbird Adressbuch und der SOGo Connector

Wenn Sie das CardDAV Adressbuch mit Thunderbird und dem SOGo Connector benutzen, bekommen Sie u.U. bei jedem Start von Thunderbird diese Anmeldemaske:

tb_sogo1

Hier müssen Sie sich mit Ihrer E-Mail-Adresse und dem zugehörigen Passwort authentifizieren. (Die Anmeldemaske kommt unter bestimmten Umständen nicht, wenn Sie z.B. zusätzlich den CalDAV Kalender auch in Thunderbird nutzen und das Passwort gespeichert haben.)

Das Verhalten ist einem Bug im SOGo Connector geschuldet und lässt sich mit dem Thunderbird Addon “Saved Password Editor” beheben. Laden Sie sich dieses Addon herunter und installieren es in Thunderbird. Danach rufen Sie die Thunderbird Einstellungen auf und wählen unter “Sicherheit” den Reiter Passwörter aus. (Alternativ im Menü unter “Extras” -> “Gespeicherte Passwörter”) Bei den gespeicherten Passwörtern legen Sie einen neuen Eintrag nach diesem Muster an:

tb_sogo2

Typ: Anmerkung
Host: https://oc.schnied.net
Anmerkung: ownCloud
Benutzername: max@mustermann.de (Bitte mit Ihrer Mailadresse ersetzen)
Passwort: Ihr Passwort zu dem o.g. Mailaccount

Nun sollte nach dem Öffnen von Thunderbird keine Abfrage des Passwortes mehr kommen.

Zertifikate und der avast! Virenscanner

Das hier beschriebene kann potenziell auch auf andere Virenscanner zutreffen.

Beim einrichten von Thunderbird bei einem Kunden meldete dieser ein Problem mit dem Zertifikat unserer Mailserver.

Thunderbird_SSL_Fehlermeldung1

Von “mail.schnied.net” wird ein Zertifikat verwendet, welches von einer handelsüblichen CA ausgestellt ist und mit allen gängigen Mailclients problemlos funktioniert. In diesem Fall hat sich der auf dem Computer vorinstallierte Virenscanner “avast!” in die Kommunikation dazwischen geschaltet. Das macht er, um den Datenverkehr zwischen Client und Server nach Viren zu scannen. (Hoffen wir mal, dass er nur das macht.) Dazu gibt er sich dem Mailserver gegenüber als Mailclient aus und täuscht dem eigentlichen Mailclient vor, dass er der Mailserver ist und ein gültiges Zertifikat für diesen besitzt – was in diesem Fall in die Hose geht. Wenn man sich die Details ansieht, sieht das so aus:

Thunderbird_SSL_Fehlermeldung2

Rein technisch betrachtet muss der Virenscanner das so machen, um den Emailverkehr scannen zu können, bevor er beim Endbenutzer ankommt. Vom Prinzip her ist das eine klassische Man-in-the-Middle-Attacke, welche genau so auch von bösen Buben praktiziert wird um Unfug zu treiben.

Ob man nun den Virenscan für die Emails abschaltet (was sowieso schon auf dem Mailserver gemacht wird), oder irgendein Programm in seine Mails schauen lässt und bewusst auf die Überprüfung der benutzten Zertifikate verzichtet, muss jeder Endbenutzer für sich entscheiden.

Anbindung Adressbücher teilweise gestört

Momentan gibt es unter gewissen Umständen ein Problem mit der Nutzung der CardDAV Adressbücher. Dies betrifft nur E-Mail Accounts, die nach dem 05. März 2014 neu angelegt wurden oder bis dahin noch nie im Webmail eingeloggt waren. Das zu dem Account zugehörige Adressbuch ist dann auch nicht per Smartphone o.ä. nutzbar. Mit allen anderen Mailaccounts ist die Nutzung des Adressbuches ohne Probleme möglich.
An einer Lösung des Problems wird gerade gearbeitet. Wir bitten um Ihr Verständnis und etwas Geduld.

Bis zur Behebung müssen Sie nicht auf das Adressbuch verzichten, sondern können sich als Workaround einmal direkt an Owncloud anmelden und erst danach im Webmail.

Telekom Speedport und “Die Liste der sicheren E-Mail-Server”

Eine Geschichte aus dem Support:

Ein Kunde konnte zwar seine Emails bei unseren Mailservern abrufen, aber das Versenden resultierte immer in einem Timeout. Da dieses Verhalten mit unterschiedlichen Geräten nur in seinem heimischen WLAN zu beobachten war, blieb als Fehlerquelle nur der DSL Router übrig.

Die Telekom hat in dem Router “Speedport W 724V” eine “Liste sicherer E-Mail-Server”. Wenn die Verwendung dieser Liste aktiviert ist, werden Verbindungen auf Port 25, 465 und 587 nur zu den Servern in dieser Liste erlaubt. Anhand welcher Kriterien Mailserver auf dieser Liste landen, ist unbekannt.

Um E-Mails mit Ihrem bei schnied.net gehosteten Mailaccount senden zu können, müssen Sie “mail.schnied.net” in diese Liste aufnehmen. Alternativ kann auch die Verwendung der Liste deaktiviert werden.

speedport_sichere_mailserver

Heartbleed

Zum aktuellen Geschehen um OpenSSL und Heartbleed steht auf heise.de genug geschrieben. Die Software haben wir sofort aktualisiert und natürlich auch unsere Zertifikate ausgetauscht. Wie auf heise.de in einem anderen Artikel geschrieben steht, gibt es aufgrund des hohen Aufkommens Verzögerungen bei den Zertifikats-Resellern.

Ein aktualisiertes Zertfikat war schnell beantragt, doch wurde das Zertifikat nicht sofort geliefert. Das “alte” Zertifikat wurde allerdings sofort Widerrufen, was zur Folge hatte, dass unsere Webseite unter bestimmten Umständen temporär nicht erreichbar war. Je nachdem, welcher Browser benutzt wurde kam es dann zu Fehlermeldungen wie der im Bild unten.

Nun geht aber alles wieder ordnungsgemäß 🙂

SSL-certificate-revoked

SSL Umstellung – Ende

Der Vollständigkeit halber noch das Statistikbildchen. Sieht gut aus 🙂

SSL-Umstellung_Statistik-20140403

Natürlich sind immernoch Nacharbeiten zu machen, aber der größte Brocken ist erledigt.

(In der Grafik sind die Webmail Logins per IMAPS nicht berücksichtigt, da sonst das Verhältnis zwischen IMAP und IMAPS nicht so schön in ein Bild gepasst hätte.)