Beiträge von Arno

  • Wie kann man .zepto Virus entschlüsseln?

    Netter Versuch, das hatten wir glaube ich schon mehrfach:

    Ein völlig neuer User tritt im David-Forum in Erscheinung und präsentiert den "ultimativen Super-Tipp".
    Bei näherem Hinsehen stellt sich heraus, dass die von ihm beworbene Seite Bitcoins (!) für einen Decrypter verlangt.
    Die Seite kommt natürlich ohne Impressum ...

  • Frage zur Suchfunktion und Grafikanzeige (Bildanhang)

    1) Die erste Maßnahme sollte die Bereinigung der Papierkörbe sein.
    Ein Papierkorb ist ein flüchtiger Speicher und kein Archiv.
    Ändern Sie die Eigenschaften:
    rechte Maustaste nacheinander auf jeden Papierkorb, dann wählen Dienste / Automatische Bereinigung / maximales Eintragsalter 3 Tage.

    2) Die Suche innerhalb eines aktuellen David-Systems geschieht über die David SQL-Indizierung.
    Das hat nichts mit der Windows - Indizierung auf dem lokalen PC z tun.
    Markieren Sie das David-Verzeichnis, in dem die Suche erfolgen soll. Wählen Sie dann mit der rechten maustaste "Suchen" und geben Sie den Suchstring ein.

  • Wie kann man .zepto Virus entschlüsseln?

    1) Was hat das mit David zu tun?

    2) .Zepto Verschlüsselung ist nur ein Name für eine kleine Neuerung. Der Verschlüsselungsgrad ist seit März nach wie vor hoch und nimmt weiter zu. Die Entschlüsselung kann daher Wochen dauern, wenn nur die Rechenleistung eines PCs zur Verfügung steht.
    Neu ist, dass seit Anfang KW26-2016 Java-Progrämmchen zur Anwendung kommen. Damit wird zunächst ein Downloader aktiviert, der via Internet-Verbindung das Verschlüsselungsprogramm auf infizierte Rechner läd. Die Verbreitung erfolgt nach wie vor per eMail. Der Java-Downloader hat nur minimale Größe und ist so programmiert, dass er den Virenschutz-Systemen nicht auffällt. Damit sinkt die Erkennungsrate. Betriebe ohne Spamschutz sind extrem gefährdet.

    3) an Betroffene: Starten Sie den Rechner von einer Windows DVD und formatieren Sie die Betriebssystem-Partition. Falls auch die Daten-Partition von der Verschlüsselung betroffen ist, dann formatieren Sie diese ebenfalls.
    Starten Sie dann von der Windows DVD eine Neu-Installation. Stellen Sie anschließend Ihre Daten aus Ihrer letzen Datensicherung wieder her. -
    Die von den Erpressern geforderte Summe zu zahlen lohnt sich nicht: In den letzten Wochen zeigte sich vermehrt, dass trotz Zahlung keine Entschlüsselung möglich war. Aber die Angreifer wurden finanziell gestärkt, und sie wissen dank des Informations-Rücklaufs nun, dass die angegriffene eMail-Adresse zu einem realen System gehört.
    Auch wenn es verlockend ist: Vertrauen Sie keinesfalls unbekannten Webseiten, sondern nutzen Sie den technischen Support Ihres Virenschutz-Herstellers. Auf Webseiten ohne ausreichende Reputation nimmt das Risiko immer mehr zu, dass Sie sich via Drive-By Infection zusätzlichen Schadcode einfangen.


    Falls Sie keine Daten-Sicherung haben, dann waren Sie nicht nur grob fahrlässig: Ohne regelmäßige Datensicherung zu arbeiten ist wie ohne Fallschirm in 6000 Metern Höhe aus dem Flugzeug zu springen und darauf zu vertrauen, dass sie in einem ausreichend großen Misthaufen sanft landen werden. Gut zu wissen: Nahezu alle, die das ausprobiert haben, hatten sofort nach der Landung keinerlei Schmerzen mehr.

    Hinweis: bei verschlüsselten Systemen findet sich meist Schadcode auch innerhalb des Betriebssystems. Ohne Formatierung der System-Partition und Neuinstallation fungieren diese Fragmente als SMTP-Server oder FTP-Downloader und installieren voll funktionsfähige Trojaner oder neue Verschlüsselungsviren. Das gilt sowohl für PCs als auch Server. Diese Advanced Persistent Threads sind schon seit mehr als drei Jahren bekannt, und die Handlungsempfehlung "Neu installieren, alles andere ist Zeitverschwendung" stammt vom Microsoft Partner-Support.

    4) Die Antwort auf die Frage nach einem brauchbaren Virenschutz-Programm ist technisches Consulting.
    Selbiges biete ich nur für Betriebe und Behörden, und es ist nicht kostenfrei.

  • Datensicherheit Webbox, Sicherheitsrisiko feste WAN-IP

    Die Öffnung einer David-Installation zum Web hin ist sowohl mit der Webbox als auch via Client und Port 267 möglich.
    Das war bis vor wenigen Jahren eine tolle Sache. Inzwischen haben sich aber das Internet und deren Nutzer verändert.
    Cybergangs und militärische Nutzung machen kontinuierlich aufwendigere Sicherheitsmechanismen nötig.

    Das Öffnen von Port 80 oder 81 eingehend macht eine David-Installation nahezu vollkommen öffentlich.
    Und auch eine Nutzung https:// verschlüsselten Seiten ist nicht mehr sicher:
    Seit Jahresfrist ist bekannt, dass die Verschlüsselung mit Kommunikation via Port 443 nicht mehr viel nutzt.

    Damit liegen Kundenadressen, Termine und teilweise auch technische Zeichnungen offen im Web, erreichbar für jeden Unbefugten.

    Inwieweit ein Zugriff Unbefugter via Port 267 möglich ist entzieht sich meiner Kenntnis.

    Der einzige (noch) sichere Ausweg ist die Anbindung der Remote-Rechner und Smartphones via IP-Sec VPN.
    Und - was mindestens genau wichtig ist: ein Verbot des Einsatzes von Firmen-fremder Hardware.
    Denn etwa 70% aller privaten Rechner sind mit Schadcode infiziert.

    Die meisten Angriffe auf ein Firmennetzwerk erfolgen aber immer noch als Spam. Gelegentlich wird eine eMail mit Schadcode-Anhang übermittelt. Immer häufiger aber erfolgt mit dem Spam-Mails eine Umleitung auf eine Schadcode-hinterlegte Webseite. Mittels der Spams erhalten die Angreifer nicht nur Informationen über den Nutzer der eMail-Adresse. Sie bekommen auch Infos über den Aufbau des zugehörigen eMail-Servers und dessen Schwachstellen.

    Es ist naheliegend anzunehmen, dass ein David-Server mit fester WAN-IP leichter anzugreifen ist als wenn er über eine dynamische WAN-IP betrieben wird.
    Erstaunlich ist war das Ergebnis eigener Tests dazu. Dazu wurden die täglich eintreffenden eMails zu realen Webshops ausgewertet. Es handelt sich um die Shops auf und
    Der erstgenannte Shop richtet sich ausschließlich an Nicht-Verbraucher (Behörden, Firmen, Freiberufler und Gewerbetreibende). Der zweite Shop wurde schon vor acht Jahren in Betrieb genommen, um die Effizienz der Sicherheitsmechanismen beobachten zu können, wenn die Kunden vorwiegend Verbraucher sind. Denn in diesem Umfeld musste und muss mit deutlich höherem Anteil infizierter eMails gerechnet werden. Diese Annahme hat sich übrigens im Laufe der Jahre bestätigt.

    Nachdem die WAN-IP auf feste IP umgestellt war und der David-Server so mehrere Monate gelaufen hatte war die Zahl der täglich eintreffend Spams um mehr als das Vierfache gestiegen. Nach Umstellung auf dynamische IP sank sie wieder von täglich ~ 80 auf den vorherigen Wert von ~ 20.
    Als Spamschutz setzen wir die David Message Identification Services ein. Die Zahl vom David MIS NICHT aussortierten Spams beläuft sich auf durchschnittlich fünf Prozent. Die Anteil der false positiv aussortierten eMail liegt deutlich unter einem Promille.

    eMail-Server und Domain-Controller waren bis Ende 2015 ein- und derselbe Windows Server. Seit Einführung von David als Kommunikationssystem vor zwölf Jahren hat es keinen Fall gegeben, in dem der Server gehackt oder durch Virenangriff funktionsunfähig wurde. Allerdings verlassen wir uns nicht allein auf MIS und David Virenschutz, sondern wir nutzen ein mehrstufiges Filter-System.

  • Frage an Tobit-Händler: was haltet Ihr von den neuen

    Ich bin einer der ehemaligen TPPs, die Herr Osterwohlt oben anspricht.
    Ende 2011 hatte David einen so niedrigen Sicherheitsstand erreicht, dass es für den Einsatz in Konstruktionsbüros oder bei Rechtsanwälten nicht mehr in Frage kam.
    Jeder konnte damals das David hinterlegte Konto zu seinen Gunsten nutzen oder ohne Genehmigung des Site-ID-Lizenznehmers Dienste buchen.
    Ich war mit daran beteiligt, dass der Sicherheitsstand wieder ein vernünftiges Niveau erreichte.
    Das war auch Auslöser für Differenzen, die zum Ende des Partner-Status führten.

    Gegenüber Kunden waren etliche Mitarbeiter des Unternehmens Tobit.Software ziemlich arrogant, was viele Kunden verärgerte. Die sind auf andere Lösungen umgestiegen.
    Dass es mittlerweile deutlich weniger aktive Partner gibt ist nicht schlimm: Sehr viele haben nur Dumping-Angebote ins eBay gestellt und nie Betriebs-internes Know-How aufgebaut.
    Der Lizenzvertrieb lohnte sich so nicht mehr.

    Heute arbeite ich mit einem Kollegen aus Neuss zusammen. Er macht den Vertrieb, ich den technischen Service.
    Wir sparen so zwar Geld, aber einige technische Infos kommen nicht bei mir an.
    Die Umstellung der Partner-Hotline auf eMail-Verkehr ist auch bei mir nicht gut angekommen.
    Die Anfragen per eMail wurden in der Tat viel zu spät beantwortet.

    Tobit ist mir zu Chayns-lastig geworden. Und Chayns ist zwar recht nett als Zusatztool zur Vermarktung via Facebook, interessiert mich aber nicht mehr.
    Denn es ist aber zu umständlich zu handhaben und hinsichtlich der Ergebnisse unzuverlässig. Es wurde und wird so viel daran herum gestrickt, dass mer nie sicher sein kann, wie Webseite und App aussehen. Ich baue meine Webseite lieber über ein Shop-Programm auf. Das arbeitet zuverlässiger.

    Aber zurück zu David: Es hat immer noch den Vorteil, von einem deutschsprachigen Hersteller gestrickt zu sein. Wenn jemand mit ausreichend KnowHow die Installationen ausführt, dann arbeitet das System stabil. Vor allem bei Einschlägen von Verschlüsselungssviren ist ein Restore ohne Probleme möglich. (Jedenfalls sofern Daten-Platte und Sicherungsplatte nicht identisch sind). Wenn aber jemand ohne die nötigen Kenntnisse "mal eben" die Installation abfackelt, dann wird der Kunde seltenst damit vernünftig arbeiten können.

    Die heute fehlende Pflege der David KnowledgeBase macht sich natürlich bemerkbar. Das honorieren Kunden nicht mit Empfehlungen. Vor 11 Jahren empfand ich den Online-Support für die David-Produkte als vorbildlich. Aber wenn ich mich heute für den Support oder brauchbare Hilfeseiten mit einem Facebook-Account oder gar einem Chayns Account anmelden soll, dann empfinde ich das als zeitraubenden Krampf. Und ich denke, dass das Kunden ähnlich empfinden.

    Und es bauen sich neue Sicherheitsprobleme auf:
    Behörden-Daten wie die von Banken und Sparkassen dürfen bei der heutigen Rechtslage nicht in einer Cloud abgelegt werden. Dasselbe gilt für sämtliche Daten von Rechtsanwälten und Notaren. Mit einer Ablage via Chayns wird dagegen verstoßen. Ich denke, es wird seitens der Tobit.Software AG etwas ausführlichere Information nötig sein, wie heute mit den Kunden-Daten umgegangen wird, wo sie abgelegt werden und wer sichtberechtigt ist.

  • (0x3315) Disconnect during fax transfer beim Empfang eines Faxes

    Normalerweise wäre T.38 für Telefaxe über IP der Stand der Technik.
    Es ist aber unmöglich vorauszusagen, ob die jeweilige Gegenstelle diesen Codec unterstützt.
    Wenn nicht, dann kommt es regelmäßig zu Fehlern.

    Bintec empfiehlt daher, auf den Media-Gatway-Routern von Bintec-Elmeg T.38 völlig auszuschalten und sich auf den T.711 Codec zu beschränken.

  • Server Neuinstallation und Backup vom David

    stsm:
    Wie haben Sie die USB-Anschlüsse auf dem virtuellen Server realisiert?

    Die Einbindung von USB-Anschlüssen wäre im virtuellen System doch nur mit Fremd-Software möglich, wenn Windows Server 2012R2 als Betriebssystem läuft und HyperV als Virtualiserungs-Lösung. Eine proprietäre Lösung mit den Mitteln des Betriebssystems ist nach meinem Kenntnisstand nur eine ständig laufende RemoteDesktop-Verbindung möglich.

  • Server Neuinstallation und Backup vom David

    @Teelicht:
    Mit Microsoft HyperV virtualisierte Server haben Probleme mit USB-Anschlüssen. Da ist nur ein MediaGateway wie die RT1202 von Bintec sinnvoll einsetzbar. Dieses Produkt besitzt eine vorzüglich arbeitende Firewall. Das Produkt ist aber nicht für den Home- und Spielwaren-Einsatz gedacht. Folglich setzt die Konfiguration einer Bintec Firewall "vertiefte" Kenntnisse des Bintec-Betriebssystem voraus.
    Die Lancom Varianten mit frei geschalteter Fax-Gateway Option funktionieren auch meistens, können aber keine Voice-Daten verarbeiten.

    Bei VM-Ware Virtualisierung kann eine Gerdes USB Lösung weiter helfen.

  • Telefax over IP - Hinweise zur Problemlösung. Teil 2: - Paket-Priorisierung und Bandbreiten-Begrenzung

    Nachtrag:
    Gestern am 21.4.2016 ergab sich während der Campus-Tage für mich eine Gelegenheit, das Thema und die auftretenden Fehler kurz anzusprechen. Es ist wohl stark abhängig von der verwendeten Hardware.

    Szenario: Eine Bintec RT1202 (funktionsidentisch mit Tobit fx.connect) wird als Fax-Gateway für einen virtuellen Server eingesetzt. Außerdem existiert ein Voice-Gateway zum All-IP Netz eines Internet-Zugangsproviders oder die RT1202 ist selbst als Gateway zum All-IP Anschluß im Einsatz (interne Jumper-Einstellung beachten / TE oder NT-Schaltung). Übertragene Telefaxe laufen solange stabil, bis ein Datenupload ins Internet startet. Dann wird es wohl erforderlich, den Port zu priorisieren, den die Bintec Lancapi zum Datentransport nutzt. Per defaullt ist das Port 2662. (Veränderbar in der CAPI-Konfiguration. Programm Brickware rxc_cfg.exe).

    Hinweis: Da ich hier in meiner Produktivumgebung dem RT1202 eine BE.IP plus vorgeschaltet habe, die als MediaGateway zwischen einer ALL-IP Verbindung zur Telekom und einer ISDN-Telefonanlage arbeitet, ist obiges Szenario hier so noch nicht getestet.

    Hilfreich ist eine Supportantwort von Bintec Elmeg:
    Die Telekom unterstützt bis dato T.38 NICHT, auch wenn einige Internet-Postings das Gegenteil beschreiben. Wer einen Telekom All-IP Anschluss wie Deutschland LAN-IP Voice Data (Start, S, M L) nutzt, der sollte den T.38 Codec für alle seine Rufnummern deaktivieren. Des weiteren sollte auch das G.711 µLAW deaktiviert sein. Das gilt - zumindest für Bintec-Hardware - solange, bis gewährleistet ist, dass die eigene und alle Fax-Gegenstellen den T.38 Codec verarbeiten können. Und das kann noch lange dauern.

    Seitdem ich für alle Fax-Kanäle nur die Codecs G.711 aLAW und G.729 zulasse laufen auch lange Telefaxe bis jetzt ausreichend stabil.

    Eine Signal-Priorisierung habe ich in meiner BE.IP plus nur für Sprachsignale eingerichtet. Diese wurde nötig, da ohne Voice-Priorisierung ein Upload die gesamte verfügbare Bandbreite des Internet-Anschluss belegte. Das führte dazu, das ein Telefonat auf der Gegenseite völlig unverständlich wurde, sobald ein Daten-Upload startete oder sich Bildschirminhalte während einer Fernwartung änderten.

  • Wiedervorlagen erscheinen nicht,

    Die Archive.dir ist eine Steuerungsdatei im David-System, welche angibt, welche Unterordner zum jeweiligen Verzeichnis existieren und wie die Unterordner benannt sind. Wird sie umbenannt, dann sind die untergeordneten Verzeichnisse in David nicht mehr sichtbar.
    Welcher Künstler hat die Empfehlung gegeben, eine Archive.dir umzubenennen? (Es wäre nur eine temporäre Notlösung).

    Ein Sichern mit StrongBox, Neuinstallation von David und dann StrongBox-Restore hätte wenig Aussicht auf Besserung, da die defekte Archive-Struktur mit gesichert und wieder hergestellt würde: Eine Reparatur von David-Ordnern, deren Archive.dir umbenannt wurde, ist nur mit dem Tool arcutil in vertretbarem Zeitaufwand möglich und sinnvoll.

    Die Fehlerursache kann ein Restore eines Users in einem Ordner sein, dessen Realname im Betriebssystem nicht dem entspricht, den er zum Zeitpunkt der StrongBox Sicherung hatte. Genau dann treten Fehler wie der beschriebene auf, dass die Wiedervorlagen falsch zugeordnet werden. Auch ein falsch ausgeführter Restore auf Betriebssystem-Ebene oder eine Virusinfektion des David-Servers können ähnliche Effekte bewirken. Ein Umbenennen von Steuerungs-Dateien wie Archive.dir oder Archive.dat macht letztendlich das Durcheinander komplett.

    Die Prüfung und Reparatur des beschädigten Filesystems kann etwas aufwendig werden.
    Das biete ich als Dienstleistung nur per Fernwartung oder VorOrt-Service an. Tel.: 02131-1515360.

  • David-Faxport und Serverwechsel

    Die Remote-Capi der FritzBox ist bei virtuellen Servern als problematisch bekannt:
    AVM Fritzbox an David FX2011 konfigureieren - Capi Treiber oder Karte?
    Es wäre ein ungewöhnlicher Ausnahmefall, wenn sie als David-Port in der beschriebenen Konfiguration stabil läuft.
    Zudem: In absehbarer Zeit wird der unsichere 2003-Server doch wohl abgeschaltet. Was dann?

    Besser gleich eine geeignete Dialogic oder Gerdes Karte in den neuen Server einbauen (lassen).

  • Einstellungen iPhone outlook App

    Ich rätsele, weshalb für die Kommunikation mit einem David-Server die App von Fremdprodukten gewählt wurde.
    David Active Sync funktioniert prima mit den Betriebssystem-Funktionen der iPhone und iPhone Produktreihe.
    Das gilt für eMail-Synchronisation, aber auch für Kalender und Kontakte.
    Wozu dann noch das iPhone System mit Fremdprodukten unübersichtlicher und verwirrender machen?

    Die Active Sync Funktion arbeitet gesichert mit Port 443 stabil. Dieser Port muss in der Hardware-Firewall als auch im Server-Betriebssystem ein- und ausgehend frei sein.
    Falls Port 443 durch Features von Windows Server Essentials blockiert ist, dann ist eine VPN-Verbindung zwischen David-Server und iPhone möglich und zudem noch sicherer.