Aanvullende tekstnota s. Luc Decuyper

Aanvullende tekstnota’s

Http://www.lucinfo.net

Luc Decuyper 2008-04-09

PEDIC Coupure rechts 314 9000 Gent G (09)225 37 34 e-mail: [email protected]

In samenwerking met REN Vlaanderen

een initiatief van het Ministerie van de Vlaamse Gemeenschap

Aanvullende tekstnota’s

Http://users.skynet.be/SessieVirussen

Luc Decuyper 2006-01-26 en 2006-02-09

1 Virussen 1.1 Antivirusprogramma’s Het gebruik van een antivirusprogramma is echt noodzakelijk. Maar welk programma? De meest gekende zijn eSafe, F-Secure, Kaspersky, NAI (McAfee), Panda, Symantec (Norton Antivirus). Uit een test (Computer Magazine, nov. 2000) blijkt evenwel dat geen enkel programma alle virussen ontdekt. M.a.w. zelf als je een recent programma gebruikt en regelmatig de zgn. ‘dat-files’ aanpast ben je er niet zeker van dat je computer echt virusvrij is.

Een goed antivirusprogramma is belangrijk, maar de werking van het antivirusschild (een onderdeel van het pakket) nog veel meer. Een schild zal alle inkomende informatie filteren en op zoek gaan naar gekende viruspatronen. Door het grote aantal virusdefinities wordt dit meer en meer een belastende karwei voor de computer. Een recent antivirusprogramma gebruiken op een Pentium II lukt dan ook niet meer. Het programma vertraagt de computer zodanig dat bladeren in b.v. een MS-Worddocument een drietal minuten duurt. Het aantal controles beperken (o.a. het soort bestanden) is mogelijk maar gevaarlijk. Van de meeste antivirusprogramma’s is een ‘shareware’-versie te bekomen. Een goed overzicht en de recente ‘dat’-files van de meeste antivirusprogramma’s vind je bij Tucows. Van deze site hebben talrijke Belgische providers een mirror. 01

http://www.tucows.com

Hou er wel rekening mee dat sommige programma’s vrij groot zijn. McAfee versie 5 b.v., is 14 Mbyte. Vergeet echter niet dat het programma na het verstrijken van een aantal dagen (meestal dertig), zal vragen om je te registreren. Doe je dit niet dan wordt het programma uitgeschakeld, vertraagt de computer of komt er om de haverklap een melding om je te registreren. Een mogelijk alternatief is het gebruik van een gratis (freeware) antivirusprogramma. Het gratis programma AVG (ook voor servers) krijgt vrij goede kritiek op forums. Een ander gratis alternatief is AntiVir. Zelf gebruik ik eTRust EZ Antivirus (Inoculate). Het was vroeger gratis voor persoonlijk gebruik (er zijn regelmatig promoties), het behoort zeker tot de betere in zijn soort en het is een stuk goedkoper dan zijn concurrenten. 02

http://www2.my-etrust.com 02bis

http://free.grisoft.com/doc/1 Opmerking: Naar opvolging toe is het best dat je een gekocht antivirusprogramma gebruikt. Maar, de gebruikerslicentie is meestal maar één jaar geldig en dan moet je een nieuwere versie aankopen. Doe je dit niet en blijf je verder werken met de oudere versie, dan kan het gebeuren dat uw programma nieuwe virusgroepen niet detecteert, met alle gevaren van dien. Versie 4 b.v. van McAfee, met een recente dat-file, vindt geen ‘trojan horses’ als deze op de computer aanwezig zijn bij de installatie van het pakket. Versie 5 wel.

Virussen en andere beestjes... blz. 3

1.2 Informatie over virussen Het antivirusprogramma ‘updaten’ is echt noodzakelijk, maar wanneer? Dagelijks, wekelijks, maandelijks? Maandelijks lijkt een goed uitgangspunt, maar is iets te lang om echt routine te zijn. Van uitstel komt afstel en dit wordt dan ook nogal eens gemakkelijk uitgesteld. De hedendaagse antivirusprogramma’s (McAfee 7, Norton Antivirus 2005, Inoculate,...) verwittigen nu zelf als de maand om is en er nog geen nieuwe ‘dat’-file werd gedownload. Deze voorgenoemde programma’s zullen bovendien voorstellen om dit automatisch te doen. Maar wat als er ondertussen nieuwe virussen zijn bijgekomen? Als radioprogramma’s of nieuwsbulletins gewag maken van een nieuw virus is het inderdaad de moment om te controleren of uw virusprogramma dit nieuw virus herkend. Maar of het BIPT altijd zo rap zal zijn.... Een (gratis) abonnement op dringende mededelingen via e-mail van een ‘Emergency Response Team’ is dan ook zeker aangewezen. De berichtgeving van McAfee is op dit gebied zeer goed en snel. De nieuwsbrief van Inoculate komt veel te laat of zelf niet. Hierop inschrijven kan eenvoudig door uw e-mailadres in te geven op de website van McAfee. 03

http://www.mcafee.com

Dit is alvast een beter systeem dan de nonsens te geloven die via e-mail verspreid wordt over ‘een gevaarlijk virus pas ontdekt door IBM en die nog niemand kent’. Er zal ook altijd gevraagd worden om dit bericht aan zoveel mogelijk mensen do or te sturen.... Dit zijn zgn. ‘hoaxes’, valse berichten dus. Stuur deze a.u.b. niet verder! Om uit te vissen of een bericht echt is kan je terecht bij Vmyths. Of tik gewoon een gedeelte van de boodschap in als zoektekst bij b.v. Google en hoogstwaarschijnlijk gaat het over een vals bericht (hoax). 04

http://www.vmyths.com

Wil je informatie over virussen, ook de meest recente, dan kan je de ‘WildList’ raadplegen. Dit is een lijst van virussen die pc’s geïnfecteerd hebben en gerapporteerd werden door virushulporganisaties. 05

http://www.wildlist.org


Ook de Belgische staat (de staatsveiligheid?) waarschuwt tegenwoordig voor virussen. Niet alleen via radio- en televisiemededelingen maar ook via hun website die niet alleen informatie bevat over virusinfecties maar ook een lijst bevat over hoaxes. 06

http://www.bipt.be/bipt.htm

Zandbak Paranoia? Misschien wel, maar tegenwoordig maak je kans dat als je op een hyperlink klikt, je computer een virus oploopt. Kleine stukjes uitvoerbare code die de browser naar je pc stuurt en uitvoert kunnen ronduit vernietigende instructies bevatten (zie verder). Je moet dus niet enkel op je hoede zijn voor virussen, wormen of Trojaanse paarden. Alles wat nieuw op uw systeem binnenkomt voer je dus het best uit in een beveiligde omgeving. Probeert een programma of programmaonderdeel uit die beveiligde omgeving te geraken, dan gaat een virtueel alarm af en kan men het programma eventueel afsluiten. Zo’n beveiligde omgeving noemt men een ‘sandbox’ of zandbak. Maar twee producenten hebben op dit ogenblik zo’n systeem: eSafe Desktop en Norton Antivirus. Bij Norton is deze functie niet ingeschakeld bij de standaardinstallatie. Doe je dit wel dan vertraagt uw computersysteem nog een beetje...

2 Trojaanse paarden en Internet 2.1 Uw eigen IP-nummer Om na te gaan hoe eenvoudig het is om uw IP-nummer te kennen als je op het Internet surft moet je het natuurlijk zelf eerst kennen: <

Ga naar de opdrachtprompt (MS-DOS venster) en tik in: IPCONFIG

<

Voorbeelden: > ipconfig > ipconfig /all > ipconfig /renew > ipconfig /renew EL*

... Informatie weergeven. .. Gedetailleerde informatie weergeven ... Alle adapters vernieuwen ... Elke verbinding waarvan de naam met EL begint vernieuwen

2.2 Bezoeken webpagina’s Communicatie op het internet verloopt gewoonlijk via het http-protocol. Behalve de url van het document dat je opvraagt bevatten de datapakketjes ook info over uw browser, uw besturingssysteem, de resolutie en de kleureninstellingen van uw beeldscherm, de activering van Java(Script), de plug-ins die uw browser aanvaardt en zelfs de webpagina waar je vandaan kwam. Kom je regelrecht van een zoekrobot, dan worden meteen ook de zoektermen die je intikte zichtbaar. Controle: 07

http://81.206.58.128/scan.htm


Op sommige websites verschijnt uw IP-nummer bij het aanmelden: 08

http://wsabstract.com/script/script2/displayip.shtml

Dit is vrij eenvoudig door op de webserver PHP te gebruiken. Dit is een tool om dynamische webpagina’s te maken. De instructie is vrij eenvoudig: . Meer informatie over PHP op volgend adres: 09

http://www.php.net

In ASP: <%@ language="vbscript" %> <% Response.Write "REMOTE_ADDR : " & Request.ServerVariables("REMOTE_ADDR") & "
" Response.Write "REMOTE_HOST : " & Request.ServerVariables("REMOTE_HOST") & "
" Response.Write "REMOTE_USER : " & Request.ServerVariables("REMOTE_USER") & "
" %>

2.3 Chatten (irc) Even populair doen en meechatten met de leerlingen? Ze hebben onmiddellijk uw IP-nummer. Zeker als je als nicknaam leraar kiest... Geef in: /DNS nickname (werkt niet altijd, zoals b.v. bij Donna) /WHOIS nickname (werkt altijd)

2.4 Dynamische of vaste IP-adressen Een IP-adres is in principe tijdelijk omdat dit wordt toegekend door de provider op het moment van inbellen. Wie echter een breedbandverbinding (Telenet, ADSL) gebruikt krijgt een semipermanent IP-adres toegewezen. In principe moet dit nu en dan veranderen (om de veertien dagen?), maar bij Telenet lijkt dit niet te gebeuren. De IP-nummers van Telenet worden bovendien per regio toegewezen. Als je wil weten welke nummers er gebruikt worden in uw regio kan je dit terugvinden op volgend adres: 10

http://users.pandora.be/bartv/project/sniffing/ Bart is echter afgestudeerd en gebruikt zijn talenten nu voor iets anders... Ook Telenet besefte dat dit niet echt kon en de IP-nummers worden nu willekeurig toegewezen.


2.5 Nslookup, Whois, Ping, Traceroute Wil je het IP-nummer van een webserver terugvinden dan kan dit o.a. eenvoudig via het MSDOS commando TRACERT. Een website heeft in de meeste gevallen echter meerdere IPadressen. Dit kun je terugvinden met de opdracht Whois. Een combinatie van al deze opdrachten vind je terug in het programma Spade 11

http://samspade.org.ssw

2.6 De deuren sluiten (Shields Up!) Ken je het IP-nummer van de computer, dan zijn de gedeelde mappen voor iedereen die dit nummer kent ter beschikking. Mappen deel je maar als je zelf een netwerk(je) hebt en bestanden ter beschikking wil stellen van meerdere gebruikers. Maar dit in nu juist het grote gevaar voor schoolsecretariaten. De adminstratie en de directeur gebruiken b.v. dezelfde (leerlingen)bestanden die in een gedeelde map staan op het toestel van de directeur. De directeur gebruikt echter ook zijn computer om op Internet te surfen... Of dit het geval is kun je controleren op de beveiligde site van ‘Shields Up!’ die uw computer controleert op openstaande mappen of poorten. Gebruik je een printer (en wie niet) dan heb je ook een deel van het geheugen nodig om informatie uit te wisselen. Zo’n gereserveerde zone wordt een poort genoemd. De NetBIOS-dienst (de poort voor bestands- en printerdeling) staat dan ook meestal wijdopen. Deze poort 139 is moeilijk af te sluiten. 12

Testen: http://grc.com Uitgebreide test:: http://scan.sygatetech.com

13 14

Poort 139 sluiten: http://grc.com/su-rebinding9x.htm


2.7 Firewall Het gebruik van een firewall, een programma dat deze poorten sluit of toch in de gaten houdt is dan ook echt noodzakelijk. Een echte firewall bestaat echter uit één of meerdere computers die de pakketjes controleert die binnen en buiten gaan. Een tussenoplossing is het gebruik van een softwarematige firewall. Norton Internet Security 2005 is een heel gebruiksvriendelijk en krachtig (te betalen) programma dat je daarvoor kan gebruiken. Maar er zijn ook programma’s die je voor persoonlijk gebruik gratis kunt downloaden. De meest gekende zijn deze van ZoneAlarm en Sygate. 15

ZoneAlarm: http://www.zonelabs.com/store/content/home.jsp

2.8 Gebruik een proxy-server Ik proxy, gij proxied, we hebben gepr... Een proxy-server is in feite een soort bewaarplaats van Internetpagina's (cache). Dit bewaren van Internetpagina's gebeurt ook op uw eigen lokale computer, de map Content.IE5. Wanneer een provider dit doet worden er een aantal functies toegevoegd, zoals een firewall en 'Network Adress Translation' (NAT). Dit laatste biedt het voordeel dat uw IP-nummer niet meer zichtbaar is op het Internet. Voorbeeld:

Zonder proxy: 80.201.9.218

Met Proxy: 217.136.127.183

(in te stellen via de Internet Explorer) - Extra, Internet-Opties, Verbindingen


2.9 Netwerk scannen Alle middelbare scholen, maar ook meer en meer basisscholen plaatsen computers in een netwerk. In het begin was dit voornamelijk om een printer of cd-speler te delen, nu moet iedereen het Internet kunnen gebruiken. Mooi, maar dan gelden de bovenstaande opmerkingen ook voor het schoolnetwerk in een peer-to-peer omgeving. Voor een proefwerk controleren of er geen gedeelde mappen zijn in het netwerk is toch wel heel belangrijk... Een (goede) proefwerkoplossing in een gedeelde map plaatsen en kopiëren gaat zo snel dat niemand dit kan achterhalen. Slimme leerkrachten doen dit al jaren, maar kan je dit als leerling niet omzeilen? Jawel, installeer een server (klein stukje software, de naam is misleidend) en stel via een poort deze computer ter beschikking van iedereen. Alle kopieerwerk gebeurt onzichtbaar via het netwerk. Het is dan ook belangrijk om het (school)netwerk te controleren op het gebruik van deze software (servers). Dit kan o.a. met het gratis programma TFAK van een (bekeerde) hacker: 16

http://www.snake-basket.de/

2.10 De boosdoeners... Een ‘daemon’ server is een stukje software of trojan die men probeert op uw computer te installeren. Wordt dit programma ooit gestart dan nestelt deze server zich in de opstartbestanden en wordt zo telkens actief als je de computer start. Is er een internetverbinding dan is dit programma zo vriendelijk om dit te laten weten aan de buitenwereld, poortnummer inbegrepen. Inbreken wordt dan toch wel heel eenvoudig. Bekende servers zijn Back Orifice, NetBus en SubSeven. Dit laatste is een zeer gebruiksvriendelijk programma, weliswaar vrij groot. 17

SubSeven: http://www.tlsecurity.net/subseven/

2.11 Uw naam vinden op het Internet Staat je naam op één of andere website? Ook dit is eenvoudig te achterhalen via EgoSurf. Via dit programma is het ook mogelijk om het Internet in de gaten te houden of je naam niet ‘passeert’ (e-mail). Uw IP-nummer dan achterhalen is een koud kunstje. 18

http://www.cs.rutgers.edu/~watrous/people-hunting.html Ook de zoekrobot Google verzamelt o.a. namen die voorkomen op webpagina’s: 19

http://www.google.be


2.12 Cookies Cookies zijn kleine stukjes informatie die een webserver op de harde schijf van je pc plaatst (bij Explorer in de map C:\Windows\Cookies). Het zijn tekstbestanden die persoonlijke gegevens bevatten i.v.m. uw bezoek aan deze site. Ook uw registratiegegevens worden bewaard in een Cookie, tezamen met een uniek bezoekersnummer. Dit nummer manueel aanpassen is een koud kunstje zodat je op dezelfde site toegang krijgt tot iemand anders zijn profiel. Nog erger is dat cookies op uw computer ook door andere servers kunnen gelezen worden. Zo gebruikt de gratis webmaildienst van Yahoo cookies om je te identificeren. Als iemand anders erin slaagt je yahoo-cookie te lezen dan heeft die probleemloos toegang tot je mailbox. Deze probleem tegenhouden kan door een patch te downloaden: 20

http://www.microsoft.com/technet/security/bulletin/ms00-0033.asp

... maar deze patch (aanpassing van een programma) is ondertussen verdwenen en opgenomen in de ‘Service Release SR1' en de ‘Service Pack 2' van het Office-pakket. Deze ‘updates’ installeren is dus meer dan noodzakelijk... maar dit moet gebeuren via Windows Update (zie startmenu), waarna Microsoft een java-programma loslaat op uw computer om na te gaan wat er allemaal op uw computer staat. Een update van het MS-Officepakket kan maar uitgevoerd worden in combinatie met de aanwezige cd van het pakket. Het programma wordt in principe opnieuw geïnstalleerd maar voor de uitvoering wordt het geladen bestand van de cd-speler aangepast. Deze methode is zeer omslachtig en duurt zeer lang. Heb je enkel een analoge modemverbinding dan is deze werkwijze (bijna) niet haalbaar. Een nieuwe versie van het MS-Officepakket kopen is dan de enige mogelijkheid. En dat het echt nodig is blijkt uit bijgaand overzicht: Office 2000 Service Release 1a (SR-1a) Office 2000 SR-1a bevat de recentste product-updates voor Office 2000. Microsoft adviseert alle gebruikers van Office 2000 een upgrade uit te voeren naar Office 2000 SR-1a om de recentste updates te installeren en op die manier optimaal gebruik te kunnen maken van de programma's. De bestandsgrootte van de Office 2000 Service Release 1a (SR-1a)-update is ongeveer 26 MB. U kunt het bestand in ongeveer twee tot drie uur downloaden met een 28,8 kB modem. De downloadtijd is afhankelijk van de snelheid van uw Internet-verbinding. Als u een upgrade hebt uitgevoerd van Windows NT 4 naar Windows 2000 en de SR-1-update al hebt geïnstalleerd, moet u het Microsoft Office 2000/Windows 2000-hulpprogramma voor het herstellen van registerinstellingen installeren. Laatst bijgewerkt: 12 mei 2000.

Office 2000 Service Pack 2 (SP-2) Office 2000 SP-2 bevat de recentste product-updates voor Office 2000 Service Release 1 (SR-1). Office 2000 SP-2 is met name geschikt voor gebruik in bedrijven en kan ook door kleine bedrijven en individuele gebruikers worden geïnstalleerd. Office 2000 SP-2 bevat tevens de Outlook-beveiligingsupdate waarmee de manier waarop in Outlook wordt omgegaan met bepaalde typen e-mailbijlagen, wordt aangepast. Laatst bijgewerkt: 14 november 2000.


Outlook 2000 SR-1-beveiligingsupdate voor e-mail De Outlook 2000 SR-1-update voor e-mailbeveiliging biedt bescherming tegen de meeste e-mailvirussen, zoals de virussen ILOVEYOU, Melissa, en "Anna Kournikova", evenals tegen virussen die via e-mail worden verspreid of wormvirussen die via Outlook worden gekopieerd. Laatst bijgewerkt: 6 juni 2000

Word 2000-beveiligingsupdate: Problemen met macro's Met behulp van deze update wordt een probleem verholpen waarbij zonder voorafgaande waarschuwing schadelijke code in een Word 2000-document kan worden uitgevoerd. Laatst bijgewerkt: 18 mei 2001.

PowerPoint 2000 SR-1-beveiligingsupdate: Parseringsproblemen Met behulp van deze update wordt een probleem in PowerPoint verholpen waarbij schadelijke code op uw computer kan worden uitgevoerd. Hackers met kwade bedoelingen zouden gebruikers kunnen overhalen een PowerPoint-bestand te openen waardoor ongewenste en mogelijk schadelijke effecten zouden kunnen optreden op de vaste schijf van de gebruiker. Laatst bijgewerkt: 25 januari 2001.

PowerPoint 2000 SR-1-update: Uitgebreidere oplossing parseringsproblemen Met behulp van deze update wordt een probleem in PowerPoint verholpen waarbij schadelijke code op uw computer kan worden uitgevoerd. Deze download is bijgewerkt waardoor meer aspecten van het parseringsprobleem kunnen worden opgelost. Laatst bijgewerkt: 18 mei 2001.

Office 2000 SR-1-update: Webclientbeveiliging Met behulp van deze beveiligingsupdate wordt voorkomen dat aanmeldingsgegevens van gebruikers over het Internet worden verzonden, tenzij gebruikers hiervoor uitdrukkelijk toestemming geven die in overeenstemming is met de instellingen van hun browser. Laatst bijgewerkt: 7 februari 2001.

... en dit is nog maar een klein deel van de verschillende updates ...

Update MS-Office:

21

http://office.microsoft.com/officeupdate/default.aspx?CTT=6&Origin=EC790020111043


3 Spyware 3.1 Spyware (Ad-Aware) Freeware of shareware? Een aantal softwareproducenten dachten een ideaal systeem gevonden te hebben. Te betalen software gratis verspreiden op voorwaarde dat de gebruiker bereid is om tijdens het gebruik reclameboodschappen te ontvangen. Hiervoor moet de gebruiker dan wel permanent met het Internet verbonden zijn en moet het programma een server bevatten om te melden dat het programma gebruikt wordt en de reclameboodschappen mogen verstuurd worden. Deze werkmethode werd bekritiseerd omdat het gebruik van een ingebouwde server ook voor andere doeleinden kan aangewend worden en sommige firma’s ‘vergaten’ te melden dat ze deze methode gebruiken... de geboorte van Spyware. Een firewall (zie 14, 15) zal waarschuwen als een programma boodschappen wil versturen naar het Internet. Op die manier kom je te weten of een programma al dan niet zo’n server bevat. Maar sommige servers gebruiken de browser (Internet Explorer of Netscape) om hun boodschappen te versturen en dit wordt door een firewall niet als verdachte communicatie opgemerkt. Daarentegen onderzoekt het (gratis) programma Ad-Aware al uw programma’s of ze spyware bevatten. Het programma bevat ook een mogelijkheid om het servergedeelte te verwijderen, maar dan is de kans groot dat het programma niet meer werkt. Vergeet niet dat ook cookies spyware kunnen bevatten. Deze methode is zeer recent en zeer gevaarlijk. Opvolgen, o.a. via de testsite grc.com (zie 12) is echt noodzakelijk. 22

Ad-Aware: http://www.lavasoftusa.com/dutch/software/adaware/

3.2 Webbugs Hoe komt het dat je plotseling vanuit de ganse wereld reclame krijgt via e-mail om af te slanken, te investeren, mee te spelen met casinospelletjes, websites te bezoeken, .... Veel kans dat een webbug uw e-mailadres en eventueel ook andere informatie doorgaf aan een computer, die dan op zijn beurt uw e-mailadres doorgaf aan firma's die daaraan geïnteresseerd zijn. .... en niet alleen dit. Met webbugs wordt 'uw surfen' gevolgd. Uw e-mailadres wordt opgeslagen in een database en daaraan wordt uw politieke, godsdienstige, toeristische, seksuele, .... en noem zo maar op voorkeur genoteerd. Een louter Amerikaans probleem? Vergeet het. Op de portaalsite van Skynet en PlanetInternet, om er twee te noemen, prijken fier twee webbugs... Hoe werk het? Een webbug is een afbeelding op een webpagina of in een e-mail (als je een html-document ontvangt) met de bedoeling na te gaan wie de webpagina of de e-mail leest. Webbugs zijn meestal onzichtbaar omdat zij een pixelgrootte hebben van 1-bij-1. Aan de webbug (andere benamingen zijn 'clear gifs', '1-by-1 gifs' ,'invisible gifs', 'beacon gifs') is een hyperlink gekoppeld naar een andere computer die niet tot de website behoort.


Welke informatie wordt doorgegeven? < < • • • •

Het IP-adres dat je kreeg van provider bij het starten van uw Internetsessie Het adres van de webpagina die je op dat moment bezoekt Het adres van de wegbug zelf Het tijdstip De gebruikte browser en de waarde van een voordien geplaatste cookie

Nu, veel nieuws is dit niet, want alle gegevens (behalve wat de cookie betreft) zijn ook zonder een webbug te achterhalen. Uw IP-nummer is bovendien naamloos (als uw provider uw gegevens niet doorgeeft), zodat er op het eerste zicht niet zoveel problemen zijn. 23

meer info: http://privacy.net/analyze/

De cookie is echter het probleem. Cookies zijn weliswaar tekstbestanden en op zichzelf vrij onschuldig tot wanneer men ze gaat linken aan elkaar. Op deze manier kan men perfect volgen welke websites bezocht werden en indien er een zoekrobot gebruikt werd, welke zoekterm(en) er werd ingegeven.

En wat vind je van volgend scenario? ... uit het leven gegrepen :-) Het zijn solden (leerkracht!) en bij de collishop van Colruyt staat een staanlamp in reclame die ik bestel via hun website... •

er worden 5 cookies aangemaakt met mijn taalvoorkeur, mijn loginnaam, mijn manier van betalen, mijn bestelling, de winkel waar de bestelling zal geleverd worden, enz.

•

ik bezoek daarna een webpagina met een webbug naar DoubleClick. Dit is een firma (en zo zijn er meerdere) die webbugs plaatsen op webpagina's, met medeweten van de eigenaar, om zo mijn surfgedrag te volgen. DoubleClick installeert ook een cookie...

Vanaf dan word ik gevolgd. Keer ik terug naar de website van Colruyt dan wordt ook de informatie uit de 'Colruyt-cookies' doorgegeven aan DoubleClick... Bevat de cookie nog meer vertrouwelijke informatie (kredietkaartnummer, adres, e-mailadres, enz.) dan vraag ik in feite om problemen. Ook gegevens die op dat ogenblik in het computergeheugen zijn geplaatst (en ik denk daarbij aan loginnamen en paswoorden) kunnen op die manier achterhaald worden.

Cookies zijn tekstbestanden en worden standaard weergegeven door Kladblok. Je ziet dan wel de inhoud maar niet de samenhang met andere cookies. Dit dan wel door het shareware programma door ‘Cookie Crucher’ te gebruiken. 24

Cookie Crucher: http://www.thelimitsoft.com/


3.2.1 Oplossingen? Cookies kun je afzetten, weigeren, monitoren, .... maar dit alles heeft weinig zin. Cookies worden bijna door elke website gebruikt en het niet toelaten van zo'n cookie zal er voor zorgen dat de webpagina niet opgehaald wordt. • Eventueel kan de Privacy-instelling° (vanaf versie 5.5 en 6) iets verhoogd worden van Normaal naar Normaal (hoog), zodat ook directe cookies met persoonlijke gegevens geblokkeerd worden zonder toestemming. ° In de Internet Explorer-browser, kies Extra, Internet-opties, Privacy

Wanneer er een cookie wordt opgevraagd door een computer van buiten de website die je bezoekt dan wordt dit geblokkeerd en verschijnt dit privacy-symbool onderaan in de browser.

• Controleer websites. Gebruik hiervoor de tool van bugnosis 25

Bugnosis: http://www.bugnosis.org/ http://www.privacyfoundation.org/resources/index.asp#webbugs

• Gebruik Ad-aware. Dit programma zoekt naar spyware in het register, bestanden en dus ook cookies. Alle cookies van DoubleClick worden door dit programma als spyware beschouwd (zie ook blz. 10). Maar dit programma werkt zoals een antivirusprogramma, dus vergeet niet om regelmatig nieuwe definities op te halen!!!!

En voor wie het allemaal niet echt gelooft ....... Ga naar een website in Finland, en bekijk vanaf daar, de inhoud van uw cookies ....

26

http://www.solutions.fi/index.cgi/extra_iebug?lang=eng


4 Nieuwe ontwikkelingen 4.1 Online scannen Iedereen gebruikt wel een anti-virusprogramma en dat het nodig is om de nieuwe definitiebestanden regelmatig te downloaden en te installeren ligt voor de hand. Recente anti-virusprogramma’s doen dit ondertussen automatisch. Wel eens controleren of dit niet b.v. ‘s nachts gebeurt als uw computer afstaat. Voor wie deze goede raad in de wind slaat of met een verouderd anti-virusprogramma werkt (in principe moet je dit jaarlijks vernieuwen) kan zijn computer via het Internet laten controleren. Hiervoor wordt (meestal) een javatool (stuk programmeercode) op uw computer geïnstalleerd die dan uw computer controleert. Het voordeel van deze methode is dat het programma gestart wordt “van buiten uit”. Zo kun je eventuele virussen of wormen die zich verbergen voor lokale anri-virusprogramma’s achterhalen. 27

http://www.virusscan.be/index.cfm

Deze methode kan ook gebruikt worden indien er virussen op de computer aanwezig zijn. Want dan moet je met een “proper” besturingssysteem starten en dan een anti-virusprogramma uitvoeren. In principe is de methode om virussen te verwijderen: • start de computer op met een systeemdiskette • gebruik de hersteldiskette die kan aangemaakt worden in het anti-virusprogramma Deze methode is de laatste jaren bijna niet meer bruikbaar. Het aantal virusdefinities is zo groot dat deze meestal niet meer op één diskette passen. Werd zo’n diskette gemaakt (meestal tijdens de installatie van het ant-virusprogramma) dan is deze waarschijnlijk hopeloos verouderd als je ze nodig hebt. Ook NTFS (het besturingssysteem van Windows XP) wordt niet herkend vanaf een systeemdiskette. Dus methode heeft weinig of geen zin meer. Een andere mogelijkheid (o.a. bij Norton Anti-virus) is de originele cd te gebruiken. Laat het systeem starten (booten) op de cd (BIOS aanpassen) en eventuele nieuwe definities kunnen ingeladen worden via een diskette. Een niet zo eenvoudige methode, maar het kan. Met het online scannen van de computer kan hetzelfde resultaat bekomen worden.


4.2 Services in Windows XP (zie ook hst.6) Een aantal taken (services) moeten regelmatig uitgevoerd worden. Omdat dit nogal eens ‘vergeten’ wordt bedacht Microsoft een systeem om dit te automatiseren. Op zichzelf niet slecht, maar dan weet je natuurlijk niet meer wat je computer doet en welke informatie er nu juist wordt doorgegeven aan derden. Bij Windows XP zijn er standaard 89 services voorzien, waarvan er 36 automatisch starten. Hiervan zijn er slechts 8 noodzakelijk om uw computer echt te laten werken. Van deze services zijn er een aantal die ikzelf storend vind (de steeds weerkerende vraag om Automatische Updates te mogen activeren b.v.) en een aantal heel gevaarlijke. Zeker deze waarbij je aan derden (lees fabrikanten) de mogelijkheid geeft om te controleren of hun software nog up-to-date is. Dit gebeurt door mappen te delen over het Internet en voor een communicatie te zorgen die loopt over standaard gekende poorten (zie presentatie). Deze service en ook anderen uitschakelen of op handmatig instellen kan vrij eenvoudig: < Klik Start, Uitvoeren en dan services.msc (je moet natuurlijk Administratorrechten hebben) Door het uitschakelen van de overbodige services maak je niet alleen je computer een stuk veiliger, maar ook heel wat sneller want er komt tussen de 12 à 70 MB RAM-geheugen vrij, wat bij computer met maar 64 of 128 (en zelfs 256) MB intern geheugen toch wel heel wat scheelt. Meer informatie en een zeer degelijke handleiding (in het Engels) op: 28

http://www.blkviper.com/WinXP/servicecfg.htm Of op de website van de universiteit van Groningen: 29, 30

http://www.rug.nl/rc/security/adviezen/ http://www.rug.nl/rc/security/adviezen/XP2.doc

4.3 Unplug Universal Plug and Play Ook dit is zo’n probleem. Universal Plug and Play is in feite een prachtige voorziening in Windows XP (als het werkt en meestal is dit ook zo). Het besturingssysteem analyseert alle onderdelen die in de computer aanwezig zijn en installeert de nodige instellingen (drivers) voor DVDspelers, netwerkkaarten, USB, geluidskaarten, enz. Indien de nodige drivers ontbreken wordt een verbinding opgestart met het Internet, wordt de nodige driver opgespoord en geïnstalleerd. Prachtig, maar ook dit kan weer door anderen gebruikt worden om gelijk welke code of programma te activeren op uw computer. Formatteren is er zo één van... Deze service blijft (jammer genoeg) ook verder werken nadat het besturingssysteem geïnstalleerd is (aansluiten van nieuwe toerstel via USB b.v.). Deze service uitschakelen kan via met volgend progamma: UnPnP.exe. Te downloaden vanaf volgend adres: 31

http://grc.com/unpnp/unpnp.htm


4.4 ... en voor wie echt schrik wil krijgen ... Tekst op de website van SubSeven..... munga bunga recently posted this on his website: "According to some sources, and what we have found out, HDKP 4 is embedded into the recent versions of Sub7. The codes are in the software, and the Hard Drive Killing function is only accessible if you have the Master Password for Sub7. The Sub7 crew admitted to using HDKP with Sub7 regularly, therefore, we wouldn't be surprised if the rumours are correct. All in all, we do not mind, and the point of mentioning this is to inform those who kept sending us email and asking to validate the rumours. Most of the details were posted to the Cyber Army message board.". you can check the webpage here: http://www.hackology.com/go.asp?g=/programs/hdkp/ginfo.html a couple of comments on that: the post is not entirely correct [again]. HDKP _is_ indeed embedded into 2.1 bonus [encrypted] but bonus has no master password. on startup, the 2.1 bonus client checks for the icq uins installed on the local machine. if uin number 7889118 is found under the key HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Owners, it will decrypt HDKP, save it to a BAT file and run it. the specified uin belongs to Sean Hamilton [a very annoying kid]. HDKP was intended for him, and it worked perfectly [congrats to munga bunga]. you can test this yourself if you have a hard drive to kill by creating a registry key called "7889118" under HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Owners and running sub7bonus [WARNING: your hard drive WILL be killed!]. this is a perfectly safe method to show some people that sometimes it's better to just shut the hell up. this also explains my previous post for everyone that emailed me about it. using HDKP is a very efficient method of entirely destroying a hard drive [by simply uploading it to a server and running it]. you can get HDKP from the url posted above, and read more info about it.

Ik heb het nog niet uitgeprobeerd.... Maar ook een programma zoals ZapDisk (34k) dat je kunt ggebruiken om het eerste spoor van een schijf te wissen (om foutieve booten partitiesectoren te herstellen of een virus te verwijderen) zorgt ervoor dat de inhoud van de schijf niet meer toegankelijk is. Het programma is zeer klein en de uitvoertijd nog geen seconde...

Samenvatting <

plaats de bootsequence op ‘hard disk’

<

gebruik een recent anti-virusprogramma en zorg ervoor dat heel regelmatig er nieuwe virusdefinities geïnstalleerd worden

<

controleer de instellingen voor marco’s in uw Office-programma’s

<

wantrouw bestanden die vragen om de normal.dot te wijzigen

<

gebruik een firewall

<

controleer cookies en andere bestanden op spyware

<

doe regelmatig een update van uw besturingssysteem en uw Office-pakket !!!


5 Instellingen van Windows Verkenner < Klik op Start, Alle programma’s, Bureau-accessoires, Windows Verkenner < Klik vervolgens op Extra, Mapopties, Weergave Zoals we gezien hebben bij programma’s zoals SubSeven (en zo zijn er nog heel wat), is het vrij eenvoudig om een ander pictogram te koppelen aan een bestandsnaam. Zo kan b.v. het symbool van een help-bestand gekoppeld worden aan een programma (extensie .exe). Door dan te klikken op het zgn. help-bestand wordt er een programma uitgevoerd. Bovendien wordt de extensie (zie tabblad Bestandstypen) gekoppeld aan een programma, waardoor het bestand soms opnieuw ook uitvoerbaar wordt (o.a. met de extensie .pif). Het is dus belangrijk een aantal extensies te kennen en te herkennen. Een zeer uitgebreide lijst van deze extensies vind je op:

http://filext.com/

Ook heel belangrijk is er voor te zorgen dat alle bestanden zichtbaar zijn. Dit kan door: ‘Verborgen bestanden en mappen weergeven’ te kiezen


De ‘beveiligde bestuurssysteembestanden verbergen (aanbevolen)’, is een aanbevolen standaardinstelling. Begrijpelijk, want als je deze bestanden of mappen verwijdert start de computer niet meer op. Maar veronderstel eens (en dit doen we met zijn allen veel te weinig) dat je een kopie wilt maken van uw e-mailmappen? Om deze te vinden moet het vinkje weg... Voor Outlook Express: C:\Documents and Settings\\ Local Settings\Application Data\Idententies\ \Microsoft\Outlook Express

Vergeet ook niet om de weergave in te stellen op ‘Details’ (Beeld, Details) en deze instelling vast te leggen voor alle mappen: < Weergave, Op alle mappen toepassen Wil je daarna een map anders instellen (b.v. Afbeeldingen in Miniatuurweergave) dan kan deze instelling bewaard worden als ‘De weergave-instellingen van elke map opslaan’ geselecteerd wordt (zie vorig scherm).


6 Services in Windows XP

< Klik op Start, Uitvoeren < Tik in: Services.msc en druk Enter < Controleer of je de services die automatisch gestart werden daadwerkelijk nodig hebt Alerter: Deze functie wordt zelden gebruikt en dient voor het doorgeven van beheerdersignalen op een netwerk. Automatische updates: Het automatisch downloaden en installeren van Windows updates. Als SP2 geïnstalleerd werd zet je dit best niet af. Maar wat als je geen Internetverbinding heb op deze computer? Afzetten dan, de vervelende tekstballonnetjes verdwijnen dan ook. Compatibiliteit voor Snelle gebruikerswisseling: Bedoeld voor het snel wisselen tussen gebruikers met behoud van gegevens van openstaande software. Is dit niet nodig, dan kan deze functie uitgeschakeld worden. Computer Browser (afhankelijk van Server en Workstation): Deze service is niet nodig en zeker niet als je thuis er geen netwerk op nahoud. Deze functie wordt gebruikt om bij te houden welke computers/bestanden er op het netwerk zitten/staan. Je kan echter nog steeds browsen op het netwerk als je deze service uitschakelt. COM-service voor IMAPI cd-branders: Deze functie is in gebruik voor het branden van CD-ROM's vanuit de Windows Verkenner. Heb je geen CD-writer dan kun je deze service uitschakelen. Wordt er andere brandsoftware gebruikt, dan moet je dit uittesten. De meeste brandsoftware schakelt bij het starten deze service uit. Distributed Link Tracking Client: Een functie van het NTFS-bestandssysteem. Wordt gebruikt om (dezelfde) bestanden die op verschillende computers staan aan elkaar te relateren. Wordt zelden thuis gebruikt, zeker als er geen netwerk is.


Event Log: Hiermee worden de logboeken bijgehouden, welke zichtbaar zijn in Systeembeheer (zie Configuratiescherm). Niet uitschakelen, want deze functie kan erg nuttig zijn bij het achterhalen van problemen. Help en ondersteuning: Zonder deze functie is (online) help niet meer mogelijk. De service wordt overigens automatisch weer ingeschakeld mocht je hem nodig hebben. Uitschakelen heeft in principe geen nadelige gevolgen. Helpsessiebeheer voor Extern bureaublad: Hulp op afstand wordt zelden gebruikt, uitschakelen dus. Indexing-service: Met deze indexerings service kan je sneller zoeken omdat de gegevens geïndexeerd worden. Deze service zorgt echter voor veel ellende vooral op de momenten dat je processorcapaciteit goed kunt gebruiken en het systeem plots begint te indexeren. Zoeken (Start, Zoeken) zal iets trager gaan als deze functie uitgeschakeld wordt, maar wie gebruikt dit veel? Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS): Na installatie van SP2 is deze service hernoemd tot Windows Firewall (WF)/Internet-verbinding delen (ICS) (zie verder). Intelligente achtergrondsoverdrachtsservice: Deze functie is veelal niet nodig, echter na de introductie van SP2 is deze min of meer noodzakelijk geworden voor het automatisch op de achtergrond laten uitvoeren van de Windows update functie. Deze service zorgt er onder andere voor dat afgebroken downloads op een later tijdstip hervat kunnen worden. Heb je last van een hangend systeem tijdens het opstarten, dan kun je deze service beter uitschakelen. IPSEC-services: Is een beveiligingsprotocol om verbindingen op te zetten tussen computers via het Internet (VPN). Wordt waarschijnlijk niet gebruikt. Messenger: Deze service wordt gebruikt voor het versturen van berichtjes over het netwerk, (heeft niets te maken met MSN Messenger). Deze service wordt uit veiligheidsoverwegingen beter uitgeschakeld. NetMeeting Remote Desktop Sharing: Deze functie biedt de mogelijkheid aan andere mensen om d.m.v. Netmeeting (b.v.) uw bureaublad te benaderen. Als dit niet nodig is dat andere mensen op afstand uw bureaublad (dus tevens uw pc) kunnen beheren, dan kan je deze functie gewoon uitschakelen. Performance Logs and Alerts: Log-bestanden aanmaken voor de performantie. Kan je net zo goed uitzetten als je er toch niets mee doet. Print Spooler: Noodzakelijk voor het afdrukken van documenten op een printer. Niet uitschakelen dus. Protected Storage: Met deze service is het mogelijk om op een redelijk veilige manier uw wachtwoorden te laten opslaan zodat je ze niet elke keer hoeft in te voeren. Ook de functie AutoComplete maakt hier gebruik van. Zinvol. QoS RSVP: QoS voor het netwerkverkeer? Daar wordt toch geen gebruik van gemaakt door de meeste programma's.......... uitschakelen dus. Remote Access Auto Connection Manager: Deze functie moet normaal gesproken aanstaan, anders kan je problemen krijgen met uw internetverbinding. Maak je echter gebruik van een router of hardware gateway dan kan dit uitgeschakeld worden.


Routing and Remote Access: Is voor in te bellen op uw computer. Dit gebeurt waarschijnlijk niet. Uitschakelen dus. Security Center (SP2): In Service Pack 2 is het Security Center er bij gekomen. Beveiliging laten we liever niet over aan Microsoft en kan dus net zo goed uitgeschakeld worden. (Norton Internetsuite schakelt dit eveneens uit). Maar als je geen andere beveiliging gebruikt (firewall + antivirusprogramma) laat je dit best aanstaan. Beter iets dan niets... Serienummerservice voor draagbare media: Ter bescherming van beveiligde informatie op draagbare media zoals CD-ROM's. Is deze service uitgeschakeld dan bestaat de mogelijkheid dat de betreffende media niet kan gelezen worden (gebeurt zeer zelden). Mag waarschijnlijk voor de meeste mensen uitgeschakeld worden. Server: Alleen nodig bij een netwerkje met name voor het delen van printers en bestanden. Service voor het rapporteren van fouten: Fouten melden aan Microsoft....... ze antwoorden toch niet ...., uitschakelen dus. Shell Hardware Detection: Met name van belang bij het automatisch afspelen van onder andere cd-rom's/dvd's. Smart Card: Alleen nodig als je daadwerkelijk een smart card hebt. Smart Card Helper: idem dito........., overigens na installatie van SP2 niet meer aanwezig aangezien deze gecombineerd werd met de voorgaande service. System Event Notification: Wordt bijna nooit gebruikt. Heb je een laptop: aan laten staan voor energiebeheer. Ook als je een netwerk hebt kan je dit beter laten aanstaan. System Restore-service: Deze functie houdt bij wat er aan wijzigingen plaats vinden op uw systeem. Gaat er iets fout, dan kan je met de System Restore functie weer terugkeren naar de oude werkende situatie. Deze functie kost de nodige systeembronnen en tevens veel ruimte op uw harde schijf. Maakt u een back-up van uw systeem dan is deze functie echt overbodig, daarnaast is XP stabiel genoeg. LET OP: bij het uitschakelen verlies je de eerder gemaakte herstelpunten. Task Scheduler: Deze functie zorgt voor het automatisch laten uitvoeren van taken zoals de Windows update functie of het automatisch downloaden van virusdefinities. Zie de pictogram ‘Geplande taken’ in het Configuratiescherm. Doe je alles met de hand dan kan je deze functie uitschakelen. Bedenk echter wel dat sommige programma's de Task Scheduler nodig hebben. Thema's: Heb je de speciale effecten niet nodig (zie Configuratiescherm, Systeem, tabblad Geavanceerd, Prestaties, Instellingen, keuze: Beste Prestaties), dan kan dit ook uitgeschakeld worden. Zeker doen voor een trage computer (lees: weinig geheugen). Uploadbeheer: Alleen nodig in een netwerk voor synchrone en asynchrone bestandsoverdracht. En dan nog: waarschijnlijk niet nodig, u kunt deze service dus in principe uitschakelen. In SP2 is deze service niet meer aanwezig. Windows Audio: voor geluid op uw computer, dus..........


Windows Firewall (WF) / Internet-verbinding delen (ICS): Deze service is bedoeld voor het delen van de internetverbinding met andere computers in het netwerk en het toevoegen van de XP-firewall. De firewall is in ieder geval overbodig als je b.v. ZoneAlarm gebruikt. Het delen van de internet-verbinding is alleen nodig op de computer met de internetverbinding, wat veel handiger kan met een router. Wordt de internetverbinding niet gedeeld (of is er geen Internet) dan kan je deze service uitschakelen. Voor installatie van SP2 werd deze service Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) genoemd. Windows Image Acquisition (WIA): Voor het binnenhalen van afbeeldingen van uw scanner of camera. Geen scanner of digitaal fototoestel? Uitschakelen maar. Windows Installer: Noodzakelijk voor het installeren van MSI-installatie bestanden. Vooral op handmatig laten staan. Windows Time: Als deze service aanstaat dan zal de klokinstelling (datum en tijd) van uw computer regelmatig gesynchroniseerd worden een tijdserver op het Internet. Is dit nodig? Als de klok achterloopt wijst dit er op dat het batterijtje dat de CMOS ondersteunt (meestal knoopcel op het moederbord) moet vervangen worden. Wireless Zero Configuration-service: Heeft u geen draadloze apparatuur? Dan kan je dit net zo goed uitschakelen. WMI-prestatieadapter: Informatie over prestaties hoeven we toch niet te hebben? De prestaties alleen zijn meer dan voldoende... Deze service kan dus eventueel uitgeschakeld worden.

Opmerkingen: Windows Service Pack 2 Indien je eigen beveiligingssoftware gebruikt (een goeie firewall en een virusscanner) dan kan je na de installatie van Windows XP Service Pack 2 de beveiliging van XP op een lager pitje zetten. Dit gebeurt door de services Windows Firewall en Security Center te stoppen en op handmatig te zetten. Dan ben je ook verlost van die vervelende meldingen. De service voor automatische updates kan je beter laten aanstaan!

Prefetch bestanden verwijderen (C:\WINDOWS\Prefetch): De map C:\WINDOWS\Prefetch bevat informatie over de regelmatig opgestarte software. Elke keer als XP opstart worden deze programma's reeds gedeeltelijk in het geheugen geladen, zodat het opstarten sneller verloopt. Na verloop van tijd raakt deze map echter vervuild en gaat dat ten koste van de systeemprestaties. Het is daarom beter deze map nu en dan eens leeg te maken, in de meeste gevallen start Windows vervolgens sneller op. De echt nodige prefetch bestanden worden vervolgens opnieuw aangemaakt. In het begin zal je wellicht merken dat sommige programma's trager opstarten, hetgeen na verloop van tijd weer is opgelost. Om een idee te krijgen welke bestanden geprefetched worden kan je met het kladblok het bestand layout.ini in de betreffende map openen. Nadat de bestanden zijn verwijderd doet u er verstandig aan om de harde schijf te defragmenteren.


7 Opstartbestanden in Windows XP Een aantal programma’s worden ook opgestart bij het aanzetten van de computer. Een gebruiker kan zelf zijn eigen keuze daaraan toevoegen (Start, Alle Programma’s , Opstarten). Ook als je sommige software installeert komt er in deze map een snelkoppeling zodat het programma steeds bij het aanzetten van de computer uitgevoerd wordt. Maar niet alle programma’s zijn zo vriendelijk om in deze map een snelkoppeling te plaatsen en werken liever rechtstreeks via het register. Zeker als het virussen of spyware is... Ik geef toe, zo’n lijst bekijken (en verstaan) is niet zo eenvoudig. Binnen Windows XP zelf kun je de opstartbestanden vinden via: < Start, Uitvoeren, Msconfig, Opstarten:

Je kan experimenteren door opstartbestanden uit te schakelen (er komt dan wel steeds een waarschuwing bij het opstarten), maar uiteindelijk zal je in het register de key moeten wissen.

Wil je weten wat er juist opstart dan komt Internet ter hulp. Geef de naam in van de opdracht bij Google (b.v.) en je komt alles te weten over het desbetreffende bestand. (b.v. hpztsb10)


Een ander (beter) programma is What’s Running Download: http://www.whatsrunning.net/whatsrunning/main.aspx Dit programma geeft heel veel informatie over welke programma’s opstarten, de werkende processen, enz.

Meer informatie is o.a. te bekomen door te klikken op een lijn.

Een ander interessant onderdeel is IP connections

Meer informatie over de website is te bekomen door in het linkervenster (niet zichtbaar) te klikken op: <

Lookup remote WHOIS info


Aanvullende tekstnota s. Luc Decuyper

Recommend Documents