Bislang kein Befall durch Petya im Uninetz beobachtet
Zunächst schien es so, dass Petya sich ähnlich verbreitet und verhält wie sein Vorgänger, nun zeigen detaillierte Analysen deutliche Unterschiede in der Technik. Bislang scheint die Universität Freiburg verschont geblieben zu sein, in den vom Rechenzentrum kontrollierten Netzbereichen wurden keine Vorfälle beobachtet. In den einschlägigen Berichten werden viele technische Begriffe verwendet, wie sich das Schadprogramm verbreitet, welche Lücken es nutzt. Im Fall von Petya sind es aus der Perspektive eines Angehörigen der Freiburger Universität in der Hauptsache zwei Verbreitungswege:
- Das Abgrasen von Computern, die im lokalen Netzwerk sichtbar sind
- Der Weg über Officedateien, die verseucht sind
Als Nutzer oder Nutzerin gelten die Verhaltensregeln, wie sie immer wieder genannt werden. Jeder im Uninetz trägt mit kleinen und praktischen Schritten zur Sicherheit des Uninetzes bei.
Die wirksamste Maßnahme ist, sein Windows-System aktuell zu halten. In Teilbereichen auf dem Campus sollte das von einem Administrator organisiert werden. Er kann entweder den Update-Mechanismus von Microsoft anstoßen, oder alle Rechner in einem Teilnetz werden einheitlich vom Admin aktuell gehalten. Wenn ihr System nicht von einem EDV-Administrator gepflegt wird, müssen Sie selbst für die regelmäßige Aktualisierung Ihres Rechners Sorge tragen.
Dieses sogenannte Patching ist so wichtig, weil einer der Hauptverbreitungswege auf eine Sicherheitslücke in Windows zurückgeht, die längere Zeit von der NSA für eigene Spionagezwecke zurückgehalten wurde und im letzten Jahr bekannt wurde. Diese Lücke besteht in der Implementierung einer älteren Version des SMB-Protokolls, das verwendet wird, um Gruppenlaufwerke in lokalen Netzwerken verfügbar zu machen.
Petya geht bei seiner eigenständigen Verbreitung über WannaCry hinaus. Es nutzt weitere Schwächen von Windows, die besonders die Admin-Konten betreffen. Diese Einfallstore müssen von den Admins selbst geschlossen werden. Das Rechenzentrum hat die tiefergehenden technischen Details bereits über die Mailingliste `netinfo@listserv.uni-freiburg.de’ bekanntgegeben. Sprechen Sie mit Ihrem Admin, ob er auf dieser Liste eingetragen ist und die Info erhalten hat. Eintragen kann man sich über myAccount über den Menüpunkt Mail- & Listenverwaltung und dann Mail-Listen.
Die nächste wichtige Gegenmaßnahme ist Aufmerksamkeit, besonders in der Bearbeitung von Mailanhängen. Auch bei Petya sind verseuchte Worddateien, die an Mails angehängt sind, ein Verbreitungsweg. Der anruf-Artikel “E-Mails legen Behörden lahm” gibt ein Frageraster, wie die Vertrauenswürdigkeit einer Mail relativ schnell beurteilt werden kann. Eindeutige Antworten gibt es nicht, der gesamte Kontext oder die Anmutung einer Mail sind für die Beurteilung wichtig. Da hilft es nur, aufmerksam zu sein und sich gegebenenfalls etwas Zeit zu nehmen, bevor ein Anhang geöffnet wird.
Passiert es doch und auf dem Bildschirm tauchen unerwartete Dialoge oder Systemmeldungen auf, ist es im Zweifel am besten, sofort das Stromkabel zu ziehen. Der betroffene Rechner sollte keinesfalls normal gestartet werden, sondern von einem Admin oder Sicherheitsbeauftragten mit einem externen Betriebssystem gestartet werden, das nicht die lokale Festplatte für das Hochfahren verwendet. So kann ein Blick auf den infizierten Computer geworfen werden, ob wirklich ein Befall vorliegt und welche Dateien gerettet werden können.
Jan Leendertse
Referenzen
Pressemeldung des Bundesamtes für Sicherheit in der Informationstechnik
Bildnachweis (Gemeinfrei): https://commons.wikimedia.org/w/index.php?curid=60463526