Sicherheit

Posts zum Thema IT-Sicherheit

Wenn Sie nicht möchten, dass bereits beim Öffnen des Archivs Informationen zum Inhalt (Dateinamen, Erstelldatum, die Größe enthaltener Dateien u.s.w.) angezeigt werden, dann sollten Sie die Option „Dateinamen verschlüsseln“ im Passwort-Dialogfenster wählen.

Dateinamen verschlüsseln

Bitte klicken Sie auf das Bild, um es zu vergrössern


Ist „Dateinamen verschlüsseln“ gewählt, dann wird unmittelbar nach dem Öffnen des Archivs die Passwortabfrage eingeblendet und es lassen sich keinerlei Rückschlüsse auf die enthaltenen Dateien ziehen.

Wenn Sie weniger sensible Daten packen oder niemand sonst Zugriff auf Ihre Archive hat, kann es sinnvoll sein, die Dateinamen nicht zu verschlüsseln. Bei der Suche nach bestimmten Dateien in mehreren Archiven ersparen Sie sich dadurch die wiederholte Passworteingabe.

In diesem Video können Sie den Unterschied erkennen (Link öffnet ein neues Fenster): Im ersten Durchgang werden die Dateinamen nicht verschlüsselt, im zweiten Durchgang sind sie verschlüsselt.

Das Verschlüsseln der Dateinamen ist nicht als Standard festgelegt, aber das können Sie leicht ändern.

divider

Die WinRAR-Videos öffnen sich in einem neuen Fenster Ihres Browsers, damit sie etwas größer dargestellt werden können.

Das Verschlüsseln von Daten funktioniert genau so wie das Komprimieren – Sie müssen lediglich vorher ein Passwort festlegen.

Sie können WinRAR starten, den zu verschlüsselnden Ordner im Dateimanagement-Modus suchen, ihn wie gewohnt packen – davor aber das Passwort eingeben.
Hier sehen Sie in einem kurzen Videobeispiel, welche Schritte vorzunehmen sind:
Ordner verschlüsseln in WinRAR

Sie können den Ordner aber auch direkt aus Ihrem Windows-Dateimanager (über Rechtsklick / WinRAR / zum Archiv hinzufügen) verschlüsseln. Auch hier müssen Sie vor dem Bestätigen durch OK das Passwort festlegen.
Ordner verschlüsseln über das Kontextmenü

Im zweiten Video können Sie auch gleich die Bedeutung der Funktion „Dateinamen verschlüsseln“ kennenlernen. Beim ersten Packvorgang ist die Option nicht gewählt. Beim Öffnen des Archivs wird der Inhalt angezeigt und erst beim Entpacken nach dem Passwort gefragt.
Wenn Sie auch die Dateinamen verschlüsseln, wird bereits beim Öffnen des Archivs nach dem Passwort gefragt und der Archivinhalt bleibt im Verborgenen.

Die WinRAR-Videos öffnen sich in einem neuen Fenster Ihres Browsers, damit sie etwas größer dargestellt werden können.

Das Thema Abofallen beschäftigt uns seit Jahren:
Anwender mailen uns, sie hätten eine Rechnung für das Laden der WinRAR-Testversion erhalten.
In diesen Fällen haben die Anwender WinRAR nicht über unsere Seiten geladen.

WinRAR wird nach dem Shareware-Prinzip angeboten. Das heisst auch, dass jeder die Downloaddatei auf der eigenen Homepage anbieten kann. Um so wichtiger ist es, dass Sie vor jedem Download gut überlegen, warum Sie dem Betreiber des Downloadportals vertrauen möchten.

Die Rechnungen stammen nicht von uns, sondern von den Betreibern sogenannter Abzockseiten, die eine Vielzahl eigentlich kostenloser Programme oder Testversionen zum Download anbieten und für diesen „Service“ im Nachhinein fast astronomische Rechnungsbeträge verlangen.

divider

Link: Tipps der Verbraucherzentrale Schleswig-Holstein zu diesem Thema

divider

Laden Sie Software am besten nur von den Seiten der jeweiligen Hersteller oder von Ihnen bereits bekannten Downloadportalen wie chip.de oder softwareload (Deutsche Telekom).

Werden Sie misstrauisch, wenn vor dem Download persönliche Angaben abgefragt werden.

Ausnahme: Einige renommierte Hersteller verlangen die Angabe einer Email-Adresse, z.B. um Sie per Mail an den Ablauf des Testzeitraums erinnern zu können.
In diesen Fällen sollten Sie vorher die Datenschutzbestimmungen auf der jeweiligen Webseite studieren und gut überlegen, ob Ihnen das Testen der Software die Preisgabe persönlicher Daten wert ist. Sie müssen dem Anbieter vertrauen können und darauf hoffen, dass er mit Ihren Daten sorgsam umgeht.

Das Laden der WinRAR-Testversion erfolgt auf den offiziellen WinRAR-Seiten ohne vorherige Anmeldung.

Wir dürfen und können keine Rechtsberatung erteilen, empfehlen Ihnen aber, bevor Sie zahlen, den Anruf bei einer Verbraucherzentrale, wenn Sie in eine Abofalle geraten sind.

divider

Lesen Sie bitte auch die Meldung „Post vom Inkassobüro“ auf www.winrar.de zu einer ähnlichen Problematik.

Es gibt verschiedene Möglichkeiten.

Wenn Sie WinRAR durch Klicken auf das WinRAR-Symbol starten, können Sie vor dem Packen auf das kleine Schlüsselsymbol ganz links unten im Programmfenster klicken. Es wird dann nach dem Passwort gefragt.

Sie können auch erst eine Datei markieren, auf das Symbol [Hinzufügen] klicken und dann unter [Erweitert] das Passwort festlegen.

Wenn Sie Dateien durch Rechtsklick im Explorer über das Kontextmenue packen, wählen Sie bitte [Zu einem Archiv hinzufügen…] und geben dann wie oben bei [Erweitert] das Passwort ein.

Wenn Sie grundsätzlich und wirklich immer alle Dateien mit demselben Passwort schützen wollen, können Sie das Passwort im Standardprofil speichern; dann bleibt es automatisch gesetzt.

Bitte beachten Sie: Bestehende Archive lassen sich nicht nachträglich verschlüsseln. Sie müssen Sie entweder entpacken, ein Passwort setzen und neu packen oder das bestehende Archiv mit einem Passwort noch einmal packen, so dass Sie dann ein unverschlüsseltes Archiv in einem verschlüsselten Archiv haben.

Videos zu diesem Thema finden Sie hier.

Ein Anwender weist mich heute auf folgendes Problem hin:

WinRAR Dateinamen-Spoofing (Link zu YouTube)

Danach ist es möglich, Dateinamen innerhalb von zip-Archiven zu ändern und damit Dateiarten zu verschleiern.
rar-Archive sind nicht betroffen.

Wir haben die Programmierer informiert und werden die Antwort hier veröffentlichen.

divider

Hier die Antwort von Eugene Roshal (04.04.14):

According to our tests it is not present in all WinRAR 5.x versions
beginning from WinRAR 5.00 release.

Eugene

Und hier noch eine ausführlichere Stellungnahme von Eugene (nachgetragen am 22.04.2014):

WinRAR 4.20 is vulnerable to ZIP file name spoofing. Please upgrade to WinRAR 5.00 release or later, which are not vulnerable.

Description

As reported by http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html, it is possible to create a specially crafted ZIP archive, so WinRAR 4.11 and 4.20 will display one archived file name while browsing archive contents, but assign another name to unpacked file. It leads to possible security risks for WinRAR 4.x users.

We investigated this issue and found that all WinRAR 5.x versions beginning from WinRAR 5.00 release are not affected, so we recommend WinRAR 4.x users to upgrade. If you still need to use WinRAR 4.20 for some reason, avoid opening files directly from ZIP archives and carefully check names of unpacked files before opening them.

We noticed a claim that WinRAR 5.10 is vulnerable:
http://intelcrawler.com/news-15
http://intelcrawler.com/report_2603.pdf
copied by some news sites. We asked intelcrawler.com owners to provide a proof of this claim, but did not receive any response. According to our investigation, WinRAR 5.00, 5.01 and 5.10 do not have this issue.

Also both sites listed above mention that „WINRAR adds several properties of its own“ to ZIP format, which is not true. Data which they report as WinRAR specific property is a standard ZIP central directory record, mandatory for any valid ZIP archive.

RAR archives and archives of other formats are not affected by this vulnerability.

Nebenbei bemerkt:
Grundsätzlich sollten Dateierweiterungen vom Betriebssystem immer angezeigt werden. Damit wären viele aktuelle Sicherheitsprobleme aus der Welt.
Microsoft erklärt Ihnen hier, wie Sie die Dateierweiterungen in Windows anzeigen können. Danke!
Viel besser wäre es, diese Option wäre standardmäßig aktiviert.