Sicherheit

Sicherheit in der IT aus der Sicht eines Laien

Wenn Sie nicht möchten, dass bereits beim Öffnen des Archivs Informationen zum Inhalt (Dateinamen, Erstelldatum, die Größe enthaltener Dateien u.s.w.) angezeigt werden, dann sollten Sie die Option „Dateinamen verschlüsseln“ im Passwort-Dialogfenster wählen.

Dateinamen verschlüsseln

Bitte klicken Sie auf das Bild, um es zu vergrössern


Ist „Dateinamen verschlüsseln“ gewählt, dann wird unmittelbar nach dem Öffnen des Archivs die Passwortabfrage eingeblendet und es lassen sich keinerlei Rückschlüsse auf die enthaltenen Dateien ziehen.

Wenn Sie weniger sensible Daten packen oder niemand sonst Zugriff auf Ihre Archive hat, kann es sinnvoll sein, die Dateinamen nicht zu verschlüsseln. Bei der Suche nach bestimmten Dateien in mehreren Archiven ersparen Sie sich dadurch die wiederholte Passworteingabe.

In diesem Video können Sie den Unterschied erkennen (Link öffnet ein neues Fenster): Im ersten Durchgang werden die Dateinamen nicht verschlüsselt, im zweiten Durchgang sind sie verschlüsselt.

Das Verschlüsseln der Dateinamen ist nicht als Standard festgelegt, aber das können Sie leicht ändern.

divider

Die WinRAR-Videos öffnen sich in einem neuen Fenster Ihres Browsers, damit sie etwas größer dargestellt werden können.

Das Verschlüsseln von Daten funktioniert genau so wie das Komprimieren – Sie müssen lediglich vorher ein Passwort festlegen.

Sie können WinRAR starten, den zu verschlüsselnden Ordner im Dateimanagement-Modus suchen, ihn wie gewohnt packen – davor aber das Passwort eingeben.
Hier sehen Sie in einem kurzen Videobeispiel, welche Schritte vorzunehmen sind:
Ordner verschlüsseln in WinRAR

Sie können den Ordner aber auch direkt aus Ihrem Windows-Dateimanager (über Rechtsklick / WinRAR / zum Archiv hinzufügen) verschlüsseln. Auch hier müssen Sie vor dem Bestätigen durch OK das Passwort festlegen.
Ordner verschlüsseln über das Kontextmenü

Im zweiten Video können Sie auch gleich die Bedeutung der Funktion „Dateinamen verschlüsseln“ kennenlernen. Beim ersten Packvorgang ist die Option nicht gewählt. Beim Öffnen des Archivs wird der Inhalt angezeigt und erst beim Entpacken nach dem Passwort gefragt.
Wenn Sie auch die Dateinamen verschlüsseln, wird bereits beim Öffnen des Archivs nach dem Passwort gefragt und der Archivinhalt bleibt im Verborgenen.

Die WinRAR-Videos öffnen sich in einem neuen Fenster Ihres Browsers, damit sie etwas größer dargestellt werden können.

Ein Anwender weist mich heute auf folgendes Problem hin:

WinRAR Dateinamen-Spoofing (Link zu YouTube)

Danach ist es möglich, Dateinamen innerhalb von zip-Archiven zu ändern und damit Dateiarten zu verschleiern.
rar-Archive sind nicht betroffen.

Wir haben die Programmierer informiert und werden die Antwort hier veröffentlichen.

divider

Hier die Antwort von Eugene Roshal (04.04.14):

According to our tests it is not present in all WinRAR 5.x versions
beginning from WinRAR 5.00 release.

Eugene

Und hier noch eine ausführlichere Stellungnahme von Eugene (nachgetragen am 22.04.2014):

WinRAR 4.20 is vulnerable to ZIP file name spoofing. Please upgrade to WinRAR 5.00 release or later, which are not vulnerable.

Description

As reported by http://an7isec.blogspot.co.il/2014/03/winrar-file-extension-spoofing-0day.html, it is possible to create a specially crafted ZIP archive, so WinRAR 4.11 and 4.20 will display one archived file name while browsing archive contents, but assign another name to unpacked file. It leads to possible security risks for WinRAR 4.x users.

We investigated this issue and found that all WinRAR 5.x versions beginning from WinRAR 5.00 release are not affected, so we recommend WinRAR 4.x users to upgrade. If you still need to use WinRAR 4.20 for some reason, avoid opening files directly from ZIP archives and carefully check names of unpacked files before opening them.

We noticed a claim that WinRAR 5.10 is vulnerable:
http://intelcrawler.com/news-15
http://intelcrawler.com/report_2603.pdf
copied by some news sites. We asked intelcrawler.com owners to provide a proof of this claim, but did not receive any response. According to our investigation, WinRAR 5.00, 5.01 and 5.10 do not have this issue.

Also both sites listed above mention that „WINRAR adds several properties of its own“ to ZIP format, which is not true. Data which they report as WinRAR specific property is a standard ZIP central directory record, mandatory for any valid ZIP archive.

RAR archives and archives of other formats are not affected by this vulnerability.

Nebenbei bemerkt:
Grundsätzlich sollten Dateierweiterungen vom Betriebssystem immer angezeigt werden. Damit wären viele aktuelle Sicherheitsprobleme aus der Welt.
Microsoft erklärt Ihnen hier, wie Sie die Dateierweiterungen in Windows anzeigen können. Danke!
Viel besser wäre es, diese Option wäre standardmäßig aktiviert.