Zum Inhalt wechseln


Foto

WLAN kompromittiert - Überprüfung ob Daten auf Windows 7 PC's geklaut werden konnten


  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 Minimoi

Minimoi

    Newbie

  • 1 Beiträge

 

Geschrieben 14. Juni 2016 - 07:55

Servus,

 

in einem Heimnetz eines Freundes ist eingebrochen worden, (WLAN unzureichend geschützt), ich wurde nun gefragt, in wie weit Daten "geklaut" werden konnten, da ich in dem Bereich nicht mehr ganz aktuell bin wollte ich euch nochmal fragen, ob ich in meiner Annahme richtig liege.

 

Im Netz werden Windows 7 Clients betrieben (Home Premium), mit aktiverter UAC und dem Firewallprofil Öffentlich oder Heim/Arbeitsplatz Netzwerk - ohne Domäne und ohne extra eingerichtete Arbeitsgruppe.

 

Es wurden lt. meinem Freund keine extra Freigaben angelegt. Ein Blick in die erweiterte Freigabeansicht zeigt mir jedoch dass es zum einen die Administrativen Freigaben wie C$ und Co aber auch eine Freigabe namens "Users" gibt (lt. Freund wurde diese nicht extra angelegt sondern war schon da.).

 

Hat Jemand eine Erklärung warum "Users" als Freigabe angelegt worden ist? Beim Googlen scheine ich nicht der einzige zu sein, der über dieses Phänomen stolpert - mein Verdacht liegt auf dem Homegroup Feature, selbst wenn dort der Assitent abgebrochen wird, könnte ich mir vorstellen, dass dort ein Share angelegt wird. Das wäre dann nicht weiter tragisch da für den Join einer Homegroup zwangsläufig das Homegroup Passwort erforderlich ist.

 

Die Benutzerkonten sind teilweise mit Passwörtern abgesichert, teilweise sind keine vorhanden.

 

Gehe ich recht in der Annahme, das hier keine Gefahr des Datenraubes durch Nutzung der administrativen Freigaben respektive der Freigabe "users" droht?

 

Standardmäßig sollten die administrativen Freigaben ohne Vorliegen einer Domäne zwar vorhanden aber gar nicht nutzbar sein, ist das nach wie vor so?

 

Was die "Users" Freigabe angeht sollte ein Zugriff nur möglich sein, sofern der Angreifer Wissen über den Benutzernamen und das Passwort der Maschine, auf welcher die Freigabe "users" besitzt korrekt?
Sprich wenn auf dieser Maschine neben einem passwortgeschütztem User noch ein User ohne Passwort vorhanden ist, dürfte der Zugriff mit diesem User ohne Passwd nicht möglich sein, richtig?

 

An den Firewallprofilen wurde nicht rumgepfuscht, auch nicht in der Registry soweit ich das beim ersten Blick beurteilen kann.

 

 

Das Entfernen der administrativen Freigaben sollte normalerweise unnötig sein, da wie oben bereits beschrieben eh nicht scharf geschaltet sind ohne zugehörige Domäne respektive Domänenadmin, richtig? Selbst ein lokaler, passwortgeschützter Admin auf einem Rechner innerhalb der Workgroup dürfte eigentl. selbst nach Eingabe der richtigen Zugangsdaten keinen Zugriff auf C$ bekommen oder?

 

Neben meinen gestellten Fragen wäre ich für weitere Tipps dankbar.

Besten Dank für eure Zeit

 

Steffen


Bearbeitet von Minimoi, 14. Juni 2016 - 08:07.


#2 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 17. Juni 2016 - 12:45

Offenbar vermutet ihr einen kriminellen Vorgang mit finanziellen Schäden. 

Aus deinem eigenen Interesse lass da einen Profi (Systemhaus) ran und halte dich mit Vermutungen und Tipps an deinen Freund zurück! Du schreibst ja selbst, dass du nicht mehr "im Bereich ganz aktuell bist".


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#3 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 18. Juni 2016 - 08:37

Moin,

 

gibt es denn überhaupt sichere Indizien für einen Einbruch und ein Kopieren von Daten? Gibt es Spuren? Oder ist es eine Vermutung? Jedenfalls bist Du kein Forensiker. Ob Leute von einem Systemhaus das sind? Im Nachhinein etwas feststellen? Es gibt ja keine Sicherungs- und Überwachungsmechanismen. Ein Systemhaus könnte aber das Netzwerk sicherer machen für die Zukunft, die Freigaben und Verzeichnisse gegen unbefugtes Eindringen schützen. Aber es hängt natürlich auch im hohen maße vom Eigentümer und dessen Mitarbeitern, deren Verhalten und Organisation ab..


Bearbeitet von lefg, 18. Juni 2016 - 08:53.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)