Netcat ist immer beim Mac dabei - Härte Deine Sicherheit ab!
-
Steffi -
May 22, 2022 at 5:33 PM -
1,400 Views -
0 Comments -
6 Minutes
Netcat is immer dabei
Was ist Netcat und warum ist es auf dem Mac?
Netcat is ein Protokoll bzw. ein kleines Programm, welches Computer verbindet und Datentransfer bewerkstelligt.
Man kann mit Netcat die folgenden Dinge machen:
- Chatprogramm
- Support auf Terminalebene
- Datenaustausch zwischen zwei Computern
- Ein Programm ausführen, welches der zuempfangene Computer nutzen kann - z.B. das Terminal.
Das problematische an Netcat ist, dass es immer mit der Anmeldung eine Verbindung herstellt, mit welche der Nutzer eingeloggt ist. Also ist man mit einem Administrator-Account eingeloggt, wird die Verbindung als Administrator ausgeführt und das zu empfangene Terminalfenster ist hat dann alle Rechte auf dem Computer, welcher Netcat ausgeführt hat.
Hier lauert eben die Gefahr eines Angriffs, denn Netcat can einfach im Terminal ausgeführt werden und benötigt keine besonderen Rechte, um eine Verbindung zu einem anderen Computer (Angreifer) herzustellen.
Netcat wird immer genutzt, um entweder jemanden anzugreifen oder ein Terminal zu empfangen. In der Sicherheitsindustrie ist es der Standard für eine Verbindung zwischen zwei Computern.
Auf dem Mac kannst Du einfach ins Terminal gehen und "which nc" eingeben, um den Pfad zum Programm zu sehen. Weiterhin kannst Du im Terminal "nc -h" eingeben, um die Hilfe zu sehen. Wenn Du mehr darüber lesen möchtest gibt einfach "man nc" im Terminal ein und du bekommst eine detaillierte Anleitung
Netcat kann codiert werden, sodass selbst Antiviren-Programme es nicht erkennen, weil es eben im System hinterlegt ist und direkt bei der Installation des Betriebssystems verfügbar ist.
Das heißt für den Mac, es wäre sinnvoll es zu deinstallieren - aber dies ist nicht ohne Weiteres möglich. Es ist auch möglich, Netcat mit AppleScript zu starten und zwar so, dass kein Terminalfenster angezeigt wird, sondern dies im Hintergrund läuft und ein Verbindung zu einem potentiellen Angreifer erzeugt wird.
Netcat gibt es für Linux, Unix, Windows und Mac-OS, wobei bei einer Windowsinstallation, Netcat nicht verfügbar ist; dies wäre ein separates Programm, welches erst auf den Computer geladen werden müsste.
Im schlimmsten Fall bekommt man überhaupt nicht mit, dass ein Angriff stattfindet!
Wie schütze ich mich jetzt?
Einfach deinstallieren! Wenn dies so leicht wäre, hätte man das Problem beseitigt. Jedoch unterstützt Mac-OS die Deinstallation von Systemprogrammen nicht und diese können weder umbenannt, noch einfach und sicher gelöscht werden.
Was bleibt ist Vorsicht und ich denke, Du hast meine folgenden Ratschläge schon x-Mal gelesen und kannst sie nicht mehr hören. Aber in der Realität sieht es, nach meinen Beobachtungen völlig anders aus.
Admin-Konto
Das Admin-Konto sollte nur zum lnstallieren von Programmen oder bei Berechtigugnen genutzt werden. Nicht selten sehe ich in der Praxis (http://www.securebiss.de), dass der Nutzer direkt mit dem Admin-Konto, für die alltägliche Nutzung, angemeldet ist.
Wenn ein Angreifer Zugriff - und dass nicht nur mit Netcat - zum Computer erhält, so hat dieser Adminrechte auf diesem! Das heißt der Angreifer kann tun und lassen was er gern möchte, ob dies nun Datentransfers sind oder das Ausspähen von Daten bzw. Abgreifen von Daten von anderen Benutzern auf dem Mac. Hierbei geht es nicht um Passwörter; für eine Verbindung mit Netcat benötige ich kein Passwort, weil die Verbindung vom Computer selbst ausgeht - sozusagen eine Einladung “Komm zu mir und Du kannst sehen was ich habe”.
Also am einfachsten einen neuen Benutzer erstellen, welcher keine Adminrechte hat und bei Bedarf das Administratorenkonto und Password lieber eingeben.
E-Mail-Anhänge
Erst kürzlich habe ich eine E-Mail von all-inkl.com erhalten, welche einfach super gemacht gemacht war: Das E-Mail-Konto war das von all-inkl.com, so dass mein Spamprogramm (also meins hat es gefiltert aber das von einem Bekannten nicht) diese E-Mail erkannt hat.
Der Inhalt war, ok eine Rechnung für meine Domain mit einem Betrag von unter EUR 30. Signatur war auch alles super und sah wirklich echt aus.
Als Anhang gab es eine HTML-Datei welche mit Safari oder einem anderen Browser zu öffnen ist und in der die Rechnungs-PDF zum Herunterladen beinhaltet.
Also an sich sah alles super gut aus und mein Bekannter hat auch gleich mal draufgeklickt und hat dann gleich nach “Hilfe” gerufen.
Warum kam jetzt diese E-Mail von der richtigen Addresse? Nach Rückfrage bei All-Inkl. kam heraus dass der E-Mail-Server wohl kompromiert wurde und dieser jetzt vom Netz getrennt worden ist.
Ich habe mir dann den Anhang mal näher angesehen und nach Recherche und Dekodierung des HTML-Codes herausgefunden, dass das eigentliche Ziel Windows war. Also nochmal Glück gehabt!
Mein Ratschlag ist, nimm Dir Zeit für Deine E-Mails und beantwortet oder lese sie nicht einfach mal zwischendurch - denn durch den Stress ist man eher gewillt einfach mal auf einen Anhang zu gehen.
Wäre jetzt Netcat in den Code programmiert wurden dann wäre es selbst um den Mac geschehen.
Das gleiche gilt auch für Links in E-Mails; auch wenn es umständlich erscheint, gehe lieber mit Deinem Browser direkt zu der Webseite anstatt auf Links zu drücken.
Wenn ich z.B. Rechnungen stelle, sind die E-Mails nicht als HTML-E-Mail, sondern als Text formatiert. Selbst bei normaler Korrespondenz gebe ich den Link direkt an. Somit kann der Empfänger sehen, wohin der Link eigentlich führt.
Denn wer hat schon Zeit und die Nerven bei jedem Link erst vorsichtig darauf zugehen und dann zu sehen, wo dieser eigentlich hinführt.
Auch wenn die E-Mails dann etwas unübersichtlich erscheinen, so ist mir die Sicherheit meiner Kunden und Leser wichtig. Daher lieber die Links “ausschreiben”, sodass von Vornherein klar zu sehen ist, wohin dieser führt.
Personalcomputer
Jetzt denkst Du bestimmt ich spinne aber was Personalcomputer ausmacht, sind die persönlichen Daten auf diesen und diese sind Ziel eines Angriffs.
Auch wenn Du jetzt sagst: “Macht nichts, ich habe nichts zu verbergen” so bist Du vielleicht nicht das Ziel eines Angriffs sondern die Daten anderer.
Meistens ist es doch so, dass man alles mögliche auf dem Computer speichert, weil es einfach einfach ist. Bei http://www.securebiss.de habe ich viel gesehen und auch gesehen, dass Kunden,- Lieferanten-, Bankdaten und noch viel mehr einfach auf der Festplatte ist.
An sich ist bei einem Angriff oder auch bei einem simulierten Angriff das Zielobjekt nicht vordefiniert oder klar. Dies bekommt erst Beachtung, wenn man auf einem Computer ist und sieht was da alles herumliegt und gespeichert wurde.
Ein Angreifer würde die ganze Festplatte durchforsten, um nach “brauchbaren” Daten zu suchen und diese auch zu finden.
Das heißt, Du bist vielleicht nicht das Objekt der Begierde sondern vielleicht Deine Kunden und Lieferanten! Umso mehr Daten man über ein Zielobjekt hat um so klarer kann man sehen, wie dieses strukturiert ist oder welche Sicherheitslücken es vielleicht aufweist.
Ich gehe jetzt mal nicht auf den Identitätsdiebstahl ein…..
Also was tun?
Persönlich halte ich es so, dass ich externe Speichermedien habe. Ob das nun eine Synology ist, welche ein starkes Passwort hat oder USB-Geräte die die Daten mit einem Passwort absichern.
Selbst wenn ein Angreifer über Netcat auf Deinen Computer kommt, so kann er nicht ohne weiteres auf externe Geräte zugreifen, wenn diese geschüzt sind.
Insgesamt geht es nicht darum nicht gehackt zu werden, sondern es einen potentiellen Angreifer so schwer als möglich zu machen. Vielleicht verliert er die Lust und geht auf leichtere Ziele über.
Ich hoffe, diese Tipps helfen Dir eine sichere Arbeitsumgebung zu gestalten. Wenn Du mehr sicherheitsrelevante Themen lesen möchtest, so freue ich mich über eine E-Mail auf [email='info@steffiscloud.de']
Ich freue mich auf Deine Kommentare.
Comments
Newly created comments need to be manually approved before publication, other users cannot see this comment until it has been approved.
Newly created comments need to be manually approved before publication, other users cannot see this comment until it has been approved.