Achtung Panzerknacker

P Kopieren & Tauschen P Knacken pHacking Passwörter HackingPPPPPp S. xxx – S. xxxInhaltSeite1. Unsicherheitsfaktor Mensch 722. Ausprobieren ist am einfachsten 733. Der Brute-Force-Angriff 744. Keylogger: Tipp es einmal, Sam! 755. Phishing: Gefälschte Web-Seiten 756. Sicherheit ist aufwendig 76Passwortlisten auf Cotse.com: Ist Ihr Passwort hier enthalten,ist es nicht sicher. Sie sollten es ändernDas ist leichtsinnigDer Leichtsinn beginnt oft schon weit vordem Aufbau einer Verbindung zu anderenComputern übers Internet oder lokaleNetzwerk. Machen Sie doch einfach malden Test bei Ihren Arbeitskollegen, undschauen Sie auf die Unterseite der PC-Tastaturen:Es ist ziemlich wahrscheinlich,dass dort bei mindestens ein oder zwei Kollegenein kleiner Zettel mit dem persönlichenPC-Kennwort klebt.Auch wenn das nicht der Fall ist, lässtsich der fremde PC möglicherweise ohnetechnischen Aufwand einsehen: Denn wersich das Passwort nicht aufschreiben muss,hat meist einen ihm gut bekannten Begriffgewählt. Beliebt sind vor allem die Namenvon Kindern, Ehepartnern oder Haustieren.Informationen, die sich in einem unverfänglichenGespräch relativ leicht vonanderen Menschen herausfinden lassen.Wer so leichtsinnig mit Passwörternumgeht, sollte sich nicht darüber wundern,dass Fremde sich heimlich Zugangzu seinen Daten verschaffen. Denn der FaktorMensch lässt sich auch nicht über einenoch so trickreiche Sicherheits-Softwareausblenden.Unsere TippsViele Anwender gehen mit ihren Passwörternso sorglos um, als würden sie beiihrem Wagen die Tür offen und die Schlüsselstecken lassen. Um einen Passwortschutzso effizient wie möglich zu machen,beherzigen Sie bitte die fünf folgendenTipps.1. Wählen Sie den Begriff so, dass er möglichstwenig mit Ihrem Leben und persönlichenDaten zu tun hat.2. Verzichten Sie unbedingt darauf, Passwörteraufzuschreiben.3. Speichern Sie keinerlei Passwörter auf einemPC, der öffentlich zugänglich ist, alsozum Beispiel an Ihrem Arbeitsplatz steht.4. Lassen Sie Passwörter nicht automatischvom Browser eintragen oder ergänzen undauch nicht von einer Web-Seite speichern.5. Verwenden Sie mehrere Passwörter, undändern Sie diese regelmäßig.Sicherheitsprüfung 76Spionage-Abwehr 77KastenSchutzmaßnahmen 762. Ausprobieren ist die einfachsteMethodeSollten persönliche Informationen den Einbrechernnicht zum Knacken eines Passwortschutzesverhelfen, versuchen sie esals Nächstes mit Spezial-Software. Die einfachsteMethode nennt sich dabei „DictionaryCracking“; sie erfordert eine Kombinationaus einer Knack-Software und einerWörterbuchdatei, mit der die Begriffe systematischausprobiert werden.Knack-Software je nach BetriebssystemFür diesen Vorgang muss der Angreifer dieEingabeaufforderung nicht immer wiedermit Wörtern überhäufen – einfacher undschneller ist es, den Speicherort von Passwörternim Betriebssystem für den Vergleichheranzuziehen. Da der Speicherortvom Betriebssystem abhängt, sind die meistenKnack-Tools auf ein bestimmtes Systemfestgelegt. So gibt es Programme, die diePassword- und Shadow-Dateien unter Linuxzu knacken versuchen, und andere,die auf Windows-Versionen ausgerichtetsind. Unter Windows NT werden Kennwörterzum Beispiel in einem speziell ge-PC-WELT EXTRA 2/2005 www.pcwelt.de73

Hacking Passwörter P Kopieren & Tauschen P Knacken pHackingPPpPPP S. 72 – S. 77Frechheit gehört bei Hackern dazu: In der Hilfe-Anzeigemachen sie sich über US-Regierungsstellen lustigschützten Bereich der Registry, der SAM-Datenbank,gespeichert. Die hier gespeichertenKennwörter werden vorher durch eineunidirektionale Hash-Codierung verschlüsselt.Das bedeutet, dass die Codierungnur in eine Richtung funktioniertund ein einmal dort abgelegtes Passwortnicht einfach wieder entschlüsselt werdenkann. Daher muss ein Angreifer-Programmebenfalls diesen Weg gehen, also Wörterdurch die Codierung schicken und ausprobieren,ob das richtige Passwort dabei ist,das den Zugriff ermöglicht. Während diesesAusprobieren manuell eine kleine Ewigkeitdauern würde, braucht ein Knack-Toolauf einem Standard-PC nur eine Sekundefür mehrere tausend Berechnungen dieserArt. Ein Passwort herauszufinden, das ausdem allgemeinen Sprachgebrauch stammtund somit auch im verwendeten Wörterbuchsteht, ist daher nur eine Frage von relativkurzer Zeit.Auch die Lieblingsband bietet keine SchutzDas Problem ist auch nicht dadurch zu lösen,dass Sie den Namen Ihrer Lieblingsbandwählen, der nun mal nicht im Dudensteht. Denn in den Wörterbuchlisten vonKennwort-Knackern befinden sich heutemeist auch die Namen von populären Menschen,bekannten Orten und Gegenständensowie viele Slang-Ausdrücke.Unser TippÜberprüfen Sie doch einfach – zum Beispielunter www.cotse.com/tools/wordlists2.htm–, ob Ihr Passwort in einer dieser Listen zufinden ist. Wenn ja, sollten Sie es natürlichschleunigst ändern.3. Der Brute-Force-AngriffNach diesem ersten Check haben Sie sichsicher für Ihren Computer-Tresor ein richtigkompliziertes Passwort ausgedacht. Esstammt nicht aus dem persönlichen Umfeldund entspricht keinem bekannten undallgemein gebräuchlichen Wort oder Namen.Ein Einbrecher hat es nun in der Tatsehr viel schwerer. Doch wie einemStraßenräuber, dessen Opfer seine Beutenicht freiwillig rausrückt, bleibt dem Angreiferauf ein Computersystem auch nochein letztes Mittel: rohe Gewalt – BruteForce!Der Fachbegriff Brute Force stammt ausder allgemeinen Informatik. Er besagt, dasseiner mathematischen Problemstellungmit algorithmischen Lösungsansätzennicht beizukommen ist und dass stattdessenalle theoretisch möglichen Lösungendurchprobiert werden. Und genau zu diesemMittel greift nun der Hacker: Mit einemTool für Brute-Force-Angriffe wie Unsecure(2 Abschnitt „Sicherheitsprüfung“)spielt er einfach alle möglichen Code-Kombinationendurch.Die Zahl der möglichen KombinationenentscheidetJe genauer er die Randspezifikationen desPasswortmechanismus kennt, desto stärkerkann er die Suche einschränken. Konkretgeht es um zwei Kriterien: Gibt es eine Mindest-oder eine Maximallänge für das Passwort?Welche Zeichen durfte der Nutzerfür sein Passwort verwenden? Das erste Kriteriumbedeutet: Kombinationsmöglichkeitenaußerhalb der erlaubten Länge werdeneinfach weggelassen. Beim zweiten Kriterium,der Anzahl der möglichen Zeichenpro Code-Stelle, entscheidet sich, wie aufwendigder Knack-Versuch werden kann.Lässt ein System bei der Definition einesvierstelligen Passworts zumBeispiel nur Zahlen zu, sosind für jede Ziffer zehnMöglichkeiten denkbar unddiese insgesamt 10.000 Kombinationenmüssen dannvon „0000“ bis „9999“ möglicherweisealle einzeln ausprobiertwerden. Bei einemvierstelligen Code aus Buchstabensind es hingegenschon 456.976 Kombinationsmöglichkeiten(26 Buchstabendes Alphabets hoch4). Eine Unterscheidung vonGroß- und Kleinbuchstaben und das Hinzunehmenvon Sonderzeichen erhöhen dieMöglichkeiten der Code-Variationen weiter.Lassen sich für ein Passwort alle 256 Zeicheneines auf PCs üblichen Ascii-Zeichensatzesverwenden, so sind maximal stattliche4,29 Millionen Möglichkeiten (256hoch 4) durchzuspielen – auch ein schnellerPC ist damit eine Weile beschäftigt. Mitdem bereits erwähnten ersten Kriterium,der Anzahl der Code-Stellen, kann die Anzahlmöglicher Kombinationen natürlichgenauso nach oben getrieben werden.Und damit wären wir auch schon beider eigentlichen Schwachstelle eines Brute-Force-Angriffs: Zwar können Tresor-Knacker theoretisch Glück haben und dieKombination bereits nach wenigen tausendVersuchen finden, doch in der Regelkostet der Angriff eine Menge Zeit. Dennwenn ein sicheres Passwort verwendet wurde,muss ein Hacker Millionen von Abfragenausprobieren, bis er die richtige Kombinationfindet.Unser TippHat der Angreifer allerdings genügend Zeit,alle seine Schüsse ins Dunkel abzugeben,ist sein Erfolg – früher oder später – garantiert.Daher sollten Sie es dem Angreifer zumindestso schwer wie möglich machen,sein Ziel zu erreichen. Bilden Sie möglichst– sofern vom System vorgesehen – ein Passwort,dass aus mindestens acht Zeichen bestehtund aus Groß- und Kleinbuchstaben,Zahlen und Sonderzeichen zusammengesetztist.Da ein solches Zeichen-Wirrwarr zweifellosschwer im Gedächtnis zu behaltenist, bietet sich ein Merksatz an, bei dem Siedie Anfangsbuchstaben zu einem Code zusammenfassen.Der Satz „7 Zwerge gehenüber den Berg nach Hause!“ könnte zumAnti-Keylogger-Programm: Diese kostenlose Software schützt wirksam vorfeindlicher Spionage durch fremde Keylogger-Programme74www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Passwörter HackingPPPpPP S. 72 – S. 77Ist das auch die echte Ebay-Seite? Da sogar die Adresszeile gefälscht seinkann, muss eine Spezial-Software die Antwort liefernBeispiel das neunstellige Passwort „7ZgüdBnH!“ ergeben. Dieses Passwort sieht nunzwar etwas merkwürdig aus und lässt sichauch nur umständlich eintippen, doch werauf diese Weise vorgeht, erreicht das Maximuman Sicherheit, das sich bei der Passwortvergabeerzielen lässt.4. Keylogger: Tipp es einmal, Sam!Hacker, denen das Ausspionieren eines Opfersbeziehungsweise die Brute-Force-Methodezu aufwendig sind, verschaffen sichden Zugang zu einem fremden PC auchnoch auf anderem Wege. Eine relativ einfacheMethode: die Verwendung eines Keyloggers.Diese kleinen und für das Opferunsichtbar arbeitenden Programme protokolliereneinfach alle Tastatureingaben desAnwenders mit und speichern so auch diewährend einer Passwortabfrage gedrücktenTasten. Bekommt der Einbrecher dasProtokoll, muss er lediglich die entsprechendeZeichenfolge aus der Datei heraussuchenund erhält auf diese Weise den Zugangscode.Heimliche InstallationUm mit einem Keylogger ein Passwort herauszufinden,muss der Hacker das Programmzunächst auf dem fremden PC installieren(lassen). Der einfachste Weg istzweifellos die direkte Installation. Dochmit etwas Programmierkenntnissen lässtsich die Spionage-Software auch – vom Opferunbemerkt – zum Beispiel in einenscheinbar harmlosen Mailanhang integrierteinschleusen. Aktiviert der Mailempfängerdas für ihn sichtbare Programm ausder Mail, wird im gleichen Moment unbemerktder Keylogger ausgeführt und sendetregelmäßig Tastatur-Protokolle überdas Internet an seinen Auftraggeber. Dazunutzt er einen eigenen,heimlich installierten SMTP-Server oder lauscht im IRC-Chat oder an einem Port aufeinen Befehl. So treten aucheingetippte Passwörter unbemerktden Weg zumHacker an. Sie müssen nurnoch aus dem Protokoll dereingegebenen Zeichen herausgefiltertwerden.Eine weitere Möglichkeit,einen Keylogger zu installieren,stellt ein Wurm oder Virusdar, der den heimlichenProtokollführer – natürlichebenfalls unbemerkt – ins fremde Systemeinschleust.Unsere TippsUm zu verhindern, dass sich ein Keyloggerauf Ihrem PC einnistet, sollten Sie sowohleine Firewall als auch einen Virenscannermit täglich aktualisierten Virensignatureneinsetzen. Außerdembrauchen Sie ein spezielles Monitoring-Programm,das Ihr System überwachtund aktive Keylogger sichtbar und unschädlichmachen kann (2 Abschnitt„Spionage-Abwehr“). Wird das Programmfündig, sollten Sie in einem solchen Fallmöglichst schnell alle Passwörter ändern.5. Phishing: Gefälschte Web-SeitenIst ein Computer durch die genannten Sicherheitsmaßnahmeneinigermaßen einbruchssichergeworden, bleibt immer nochdie Möglichkeit, dass Hacker den Besitzeraustricksen, wenn er sein abgeschirmtesHeim verlässt. Und das ist mit jedem Gangins Internet der Fall.Gefälschte Mail – gefälschte SeiteBesonders wer ausdauerndsurft und dabei sehr vieleWeb-Seiten immer wiederaufruft, wird nicht fortlaufendüberprüfen, ob das,was er da gerade vor sichsieht, auch wirklich das ist,was es sein soll. Diesen Umstandkann sich ein Hackerzu Nutze machen und versuchen,sein Opfer auf einegefälschte Web-Seite zulocken. Am besten funktioniertdas mit einer gefälschtenMail. Ein Bespiel: Alselektronische Post trifft eine Nachrichtvom angeblich oft besuchten Internet-Shopein. Eine Mail so aussehen zu lassen, dassder Empfänger dies annimmt, ist nicht besondersschwer. Der Inhalt: Als Kunde desUnternehmens soll man bitte die persönlichenDaten überprüfen. Unter dem Mitteilungstextsteht auch gleich eine Internet-Adresse und fordert zum schnellenAnklicken auf. Zwar ist die URL etwas lang,doch da sie mit dem Namen des Internet-Shops beginnt, werden viele Empfänger einersolchen Mail nichts Böses ahnen undder Aufforderung folgen.Doch nun wird es gefährlich: Denn wereiner solchen gefälschten Mailaufforderungfolgt, landet vermutlich auf einerWeb-Seite, die der ihm bekannten Seite täuschendähnlich sieht, mit dem Originalaber nichts zu tun hat. Wer dann auf dergefälschten Web-Seite seinen Anwendernamenund sein Passwort eingibt, gibt mit SicherheitTrickbetrügern die Schlüssel fürden Zugang zum persönlichen Bereich desechten Internet-Shops in die Hand. Dortkann der Hacker oft weitere private Daten,etwa Bank- oder Kreditkarten-Informationen,herausfinden – und zum Beispiel Warenauf Ihren Namen bestellen. Das Tricksenmit einer falschen Web-Seite und Fake-Mails wird als Phishing bezeichnet, derFachbegriff ist aus den englischen Wörtern„password“ und „fishing“ abgeleitet. Werso einem Trickbetrüger ins Netz gegangenist, wird seinen Irrtum möglicherweisezunächst nicht bemerken. Denn da der Einbrecherbei der Informationsbeschaffungfast keine Spuren hinterlässt und sich danachganz offiziell mit den korrekten Zugangsdatenin einen fremden Account einloggt,wird der Schaden oft erst sichtbar,wenn es zum Eingreifen zu spät ist. Strafbarmacht sich ein Hacker übrigens erst,Pretty Good Privacy: Zum sicher verschlüsselten Mailversand reicht diesespopuläre Programm in seiner Freeware-Version 8.1 ausPC-WELT EXTRA 2/2005 www.pcwelt.de75

P Kopieren & Tauschen P Knacken pHacking Passwörter HackingPPPPPp S. 72 – S. 77greifen müssen. Auch vergessene oder verlorengegangene Passwörter lassen sich mitsolchen Tools legal wiederbeschaffen. Dienachfolgend genannte Software kann manim Internet finden.Wichtig: Alle hier vorgestellten Programmedürfen Sie ausschließlich zum Testen Ihrereigenen Computersysteme verwenden!UnsecureEin in Hackerkreisen verbreitetes Tool fürden illegalen Einbruch in FTP-Server ist dasProgramm Unsecure. Das Utility lässt sichauch dafür einsetzen, die Sicherheit des eigenenFTP-Servers zu testen. Über die einfachzu bedienende Eingabemaske lassensich der Ziel-Computer und die Angriffsmethodeeinstellen. Für Letzteres stehenein „Dictionary-Angriff“ und ein „Brute-Force-Angriff“ zur Auswahl. Auf Wunsch istbeides auch kombinierbar. Bei den Brute-Force-Optionen lässt sich zudem einstellen,welche Zeichengruppen dafür verwendetwerden sollen.WwwhackDas Hacker-Tool Wwwhack versucht, übereinen Dictionary-Angriff ein Passwort herauszufindenund einen passwortgeschütztenBereich zu öffnen. Außerdem kann esPOP3-Mail-Accounts, FTP-Server oder auchNewsserver anvisieren.Crack itMit der Brute-Force-Methode versucht dasProgramm Crack it, verschlüsselte WordundExcel-Dateien zu entschlüsseln. Diesfunktioniert bei den Versionen 97 und2000 des Microsoft-Office-Pakets. DasHacker-Tool hat nur einen begrenztenFunktionsumfang und lässt nicht viele Einstellungenzu. Hinweis: Um ein längeresEffektiv, aber teuer: 60 US-Dollar kostet die Vollversion des Programms Anti-Keylogger. Die Shareware-Versionfunktioniert nur vier Stunden lang. Das reicht aus, um das System einmal gründlich zu überprüfenPasswort zu finden, braucht Crack it möglicherweisemehrere Tage.SCR-itIn Büros ist es oft üblich, den unerlaubtenZugriff auf den eigenen PC durch die Vergabeeines Bildschirmschoner-Passworts zuunterbinden. Für den Fall, dass Sie Ihr Passwortvergessen, hilft das Programm SCR-it.Installieren, aufrufen, und das Passwort fürden Bildschirmschoner wird sofort angezeigt.Sie müssen allerdings schneller seinals der Screensaver.Spionage-AbwehrDiese vier praktischen Programme helfen,den PC vor ungebetenen Besuchern oderTrickbetrügern zu schützen.Anti-Phishing Bar 1.0Dem Betrug durch gefälschte Web-Seitenversucht die Freeware Anti-Phishing Barentgegenzuwirken, indemsie die URL einblendet, aufder er sich tatsächlich befindet.Zudem kann das Tool „sichere“Domains definieren.Betritt oder verlässt man densicheren Bereich, so machtein Signalton darauf aufmerksam.Anti-Keylogger 5.3Das Programm Anti-Keyloggerschützt Windows-PCs wirkungsvollvor Keyloggern. Die unregistrierteVersion der Shareware lässt sich für vierStunden benutzen – das reicht aus, um daseigene System einmal gründlich zu überprüfen.Danach ist für die weitere Nutzungeine Registriergebühr von fast 60 Dollar fällig.Das Profi-Programm arbeitet sehr zuverlässigund blockt alle gängigen Keylogger-Varianten.Spoof Stick 1.02Die Freeware Spoof Stickbewahrt Sie auf einfache, aber wirkungsvolleWeise davor, beim Surfen im Internetauf einen Phishing-Trick hereinzufallen.Nach der Installation findet sich im InternetExplorer ein Feld, das Ihnen die URLeinblendet, auf der Sie sich tatsächlich befinden.Sollte diese Angabe mit der Adresszeiledes Internet Explorers nicht übereinstimmen,befinden Sie sich auf einer gefälschtenWeb-Seite, die Sie schnell wieder verlassensollten.Schutzlos: Passwörter von Windows-Bildschirmschonernkann das Tool SCR-it anzeigenWirkungsvolle Hilfe gegen Phishing-Trickser: Das Programm Spoof Stickzeigt immer die richtige Internet-Adresse der aktuellen Web-Seite anPC-WELT EXTRA 2/2005 www.pcwelt.de77

durch Dritte gesichert sind. Bei allen offenzugänglichen Daten liegt also kein strafbaresHacking vor. Es kommt nicht darauf an,ob es sich um eine technisch hochwertigeoder um eine primitive Sicherung handelt.Vielmehr werden – unter rein strafrechtlichenGesichtspunkten – keine besonderenAnforderungen an Sicherungen gestellt.Überwindet der Hacker also beispielsweiseein noch so einfaches Passwort, ist derStraftatbestand erfüllt.Pingen und PortscannenMit einem Fuß imGefängnisDer „Hack“ einer Internet-Seite oder das Eindringen in einenComputer kann strafrechtlich relevant sein. Lesen Sie, ab wanndas tatsächlich der Fall ist.Von Rechtsanwalt Oliver J. SümeImmer öfter werden neben Privatpersonenauch Unternehmen Opfer von Internet-Kriminalität.Dabei werden manchmalganze Unternehmensnetzwerke lahmgelegtoder unbemerkt Unternehmensdatenausgespäht. In anderen Fällen locken HackerKunden auf gefälschte Web-Seiten, umdort Passwörter oder Kontodaten zu erfahren.Web-Seiten großer Unternehmen sindnach entsprechenden Angriffen stundenlangnicht erreichbar – ein Riesenschadenfür die betroffene Firma. Die Fantasie unddie kriminelle Energie von Internet-Straftäternsind fast grenzenlos. Doch wo genaubeginnt in diesem Umfeld eigentlich strafrechtlichrelevantes Verhalten, und bis wohinhandelt es sich noch um straflose Spielereien?Das deutsche Strafgesetzbuch enthält eineganze Reihe von daten- und computerbezogenenSpezialnormen, die die Unversehrtheitvon Datenbeständen und Computernetzenschützen und entsprechende Angriffeunter Strafe stellen.Elektronischer HausfriedensbruchAls allgemeine Norm gegen den elektronischenHausfriedensbruch wird der in§ 202a Strafgesetzbuch (StGB) normierteTatbestand „Ausspähen von Daten“ verstanden.Darunter fällt insbesondere dasHacking.Ein Hacking-Angriff erfüllt den Tatbestandallerdings nur dann, wenn die manipuliertenoder ausgespähten Daten überhauptgegen den unberechtigten ZugriffAus diesem Grund gehört eine Vorgehensweisewie Anpingen oder IP-Scanning auchnicht in den strafrechtlich relevanten Bereich.Hier wird lediglich geprüft, ob der Inhabereiner IP-Adresse gerade online ist. Esbedarf weder der Überwindung einer Sicherheitsvorkehrung,noch werden geschützteDaten ausgespäht.Das gilt gleichermaßen für Portscannen:Hier werden wie beim IP-Scanning lediglichlaufende Dienste eines Computersabgefragt, ohne dass eine Zugangssperreüberwunden wird oder Daten unberechtigtverändert werden.Hacking-VersuchEbenfalls nicht strafbar ist in der Regel derHacking-Versuch, bei dem das Überwindeneiner Sicherung gescheitert ist und derHacker keinerlei Daten verändert hat.Denn der einschlägige Tatbestand des Ausspähensvon Daten umfasst nicht den vergeblichenVersuch.Auch wer sich erfolgreich einhackt, ohneirgendwelche Daten auszuspähen, alsokeine Daten auf seinem Monitor sieht, erfülltden Tatbestand nicht. Das Aufbrechendes Schlosses ist quasi straflos, das Öffnender Tür jedoch nicht mehr.DatenveränderungErst wenn zum Überwinden der SicherheitsvorkehrungDaten verändert werden,Unser AutorRechtsanwalt Oliver J. Süme ist Partner derKanzlei Richter & Süme in Hamburg. RASüme ist spezialisiert auf die Gebiete desInternet- und IT-Rechts sowie des Urheber-,Marken- und Wettbewerbsrechts.Sie erreichen den Autor per Mail untersueme@richter-sueme.de.78 www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Sicherheit im Netzwerk HackingPPPPp S. 80 – S. 85Einstellungen – zum Beispiel beim InternetExplorer durch Klicken auf die Registerkarte„Sicherheit“ – die aktiven Inhalte(Active X) deaktivieren oder nur per Eingabeaufforderungzulassen. Es bleibt dieErkenntnis: Die absolute Sicherheit gibtes nicht, aber ein wachsames Auge kannhelfen.Wichtige Adressen:CERT-BundBundesamt für Sicherheit in der Informationstechnik,Referat I 2.1Postfach 200363, 53133 Bonn; Telefon:01888/9582444, Fax: 01888/9582427;Mail: certbund@bsi.bund.de ;Internet: www.bsi.bund.de.Das Thema Sicherheit im Netzwerk bei www.securityfocus.com: Aktuelle Virenwarnungen, Sicherheitshinweiseund wichtige Nachrichten für Betreiber von Microsoft- und Linux-Systemen (auf Englisch)manuelle Auswertung der Protokolle vonIDS/IRS bei. Zentrale Punkte im Sicherheitskonzeptsind die Zugriffsrechte aufAnwendungen und der Zugang zum Internet.System- und Netzwerk-Administratorenmüssen bestehende Sicherheitskonzepteund Notfallpläne bestenfalls täglichneu überarbeiten. Nur so können sie Hackern,Crackern und Scriptkiddies Parolibieten.Wenn Sie eine optimale Sicherheit Ihresprivaten Netzwerks oder PCs gewährleistenwollen, sollten Sie Ihre Antiviren- und Firewall-Programmeimmer mit den Updatesvom Hersteller auf den neuesten Standbringen. Sie können auch in den Browser-DFN-CERTZentrum für sichere Netzdienste GmbH: Oberstraße14b, 20144 Hamburg; Telefon: 040/808077-555, Fax: 040/808077-556; Mail:dfncert@cert.dfn.de; Internet: www.cert.dfn.deund ftp://ftp.cert.dfn.de/pub/securityFür Anfragen zu bestimmten Themen können Siean folgende Mailadressen schreiben:Hacking-Vorfälle und Sicherheitslücken:dfncert@cert.dfn.de;Mailinglisten: dfncert-request@cert.dfn.de;Sicherheitsdiskussionen: win-sec@cert.dfn.de;sicherheitsrelevante Informationen:win-sec-ssc@cert.dfn.de.Sicherheitslücken in Windows XP SP 2Mit dem Windows XP Service Pack 2 (SP 2) versprichtMicrosoft mehr Schutz vor Viren, Würmernund sonstigen Schädlingen. Allerdingsstellt die Installation des SP 2 einen massivenEingriff in Ihr System dar. So baut das SP 2rund 350 MB Daten in die EXE-, DLL- und SYS-Dateien von Win XP ein. Trotzdem bleibenLücken offen, wie die PC-WELT feststellte.Windows-Firewall unsicherDas SP 2 übernimmt Einstellungen des SP 1für die Firewall: War diese zuvor für den DFÜ-Adapter aktiv, ist sie es nun für alle Netzwerk-Adapter. Sie definiert zugleich eine Ausnahmefür die Datei- und Druckerfreigabe, wenn diesefür die interne Netzwerkkarte eingerichtet wurde,und für alle Adapter. Bei der ersten DFÜ-Anwahl stehen so im Internet Ihre Freigabenzur Verfügung. So können andere Surfer imNetz Passwörter für Administrator und Gast erraten– ein echtes Sicherheitsrisiko!Den Zustand vor der SP-2-Installation könnenSie nicht wiederherstellen, denn die Konfigurationsmöglichkeitender Firewall wurdengeändert: Sie können nicht mehr für jedenNetzwerkadapter einzeln festlegen, ob dieFirewall aktiv sein soll und welche Ausnahmengelten, sondern nur für Netzwerkbereiche. GehenSie daher in der Systemsteuerung unter„Windows-Firewall“ auf die Registerkarte„Ausnahmen“. Markieren Sie hier „Datei- undDruckdienste“ und klicken Sie auf den Button„Bearbeiten“. Nun sehen Sie vier Ports, dievon der Datei- und Druckerfreigabe verwendetwerden. Um die Ports nach außen zu sperrenund nur im LAN zuzulassen, müssen Sie jedeneinzeln markieren und über den entsprechendenButton seinen Bereich ändern.Hier lauert ein weiterer Fehler: Der Wert fürden voreingestellten Bereich „Nur für eigenesNetzwerk (Subnetz)“ funktioniert nicht. Somitkönnen Ihre Freigaben immer noch im Internetsichtbar sein. Die Lösung: Wählen Sie„Benutzerdefinierte Liste“, und tragen Sie jeweilsdie IP-Adressen ein, die wirklich Zugriffhaben sollen, in der Regel die Ihres LANs.Für einen ganzen IP-Bereich lautet der Eintrag„192.168.x.0/255.255.255.0“, wenndie zugehörigen Adressen mit „192.168.x“beginnen.Einfacher als das Auswählen der einzelnenIP-Bereiche ist es, die Firewall für die interneLAN-Verbindung auszuschalten. Dazu deaktivierenSie unter „Ausnahmen“ sämtliche Optionen.Diese bequeme Lösung hat allerdingseinen Nachteil: Sie können zwar die Firewallfür jeden Adapter ein- und ausschalten, aberdiese nun nicht mehr konfigurieren. Dassollten Sie sich merken, sofern Sie die Einstellungenspäter ändern wollen. Insofern empfehlenwir Ihnen die erste, vermeintlich kompliziertereLösung: die Auswahl der einzelnenIP-Bereiche.PC-WELT EXTRA 2/2005 www.pcwelt.de85

P Kopieren & Tauschen P Knacken pHacking Buffer Overrun HackingPpPP S. 96 – S. 99Programm öffnet, kann das darin versteckteSchadensprogramm zu Werke gehen.Dabei kommt es nicht darauf an, ob dieJPG-Datei auf der Festplatte oder einem anderenDatenträger liegt.Das Hinterhältige daran ist, dass Virenscannerden Schädling nicht erkennenkönnen, wenn Sie ihn sich beim Surfen imInternet einfangen.2. So funktioniert der Angriff im PrinzipDer Stack-Überlauf beruht auf der Tatsache,dass an unzähligen Stellen einesProgramms bestimmte Längen für Variablenreserviert werden. Wird die maximaleLänge der Variablen bei einer Eingabe überschritten,so werden benachbarte Bereichedes Speichers überschrieben. Hat derHacker in diesem zu langen Eingabeteildurch geschickte Buchstaben- beziehungsweiseZahlenkombination ein Programmversteckt, führt der Computer es daraufhinaus.Um das nachzuvollziehen, muss manwissen, wie ein Computer Programmcodeund Daten im Speicher ablegt. GenauereInformationen finden Sie im 2 Kasten „Soarbeitet ein Programm“.3. Nicht jeder Anwender kann angreifenEin Stack-Überlauf ist ein an sich einfachzu verstehendes Phänomen, die Programmierungeines solchen Angriffs ist jedoch– zum Glück – sehr schwierig. Ohne detaillierteC++-, Assembler- und Linux-Kenntnissekommt man, wenn man einen Webserverangreifen will, nicht sehr weit. Und bevorein Möchtegern-Hacker einen AngriffBlick hinter die Kulissen: So arbeitet ein ProgrammUm einen Buffer-Overrun-Angriff zu verstehen,muss man wissen, wie Programme imSpeicher ihre Variablen und Rücksprungadressenablegen.Belegung des SpeicherbereichsWird ein Programm aufgerufen, so belegt eseinen ihm vom Betriebssystem zugewiesenenSpeicherbereich nach dem folgendenSchema.1. Der Anfang des Speicherbereichs wird miteinem Textteil belegt. Hier legt das Programmnicht veränderbare Zeichenketten wiedie Hilfe-Texte oder die Fehlermeldungstexteab. Die Zeichenketten markiert das Betriebssystemals „read only“. Sie lassen sich vonkeinem Programm verändern. Greift ein Programmirrtümlich auf diesen Bereich zu undwill dort Daten verändern, erzeugt Windowseine Fehlermeldung mit dem Text „segmentationfault“.2. Im zweiten Speicherbereich werden dieDaten für das Programm abgelegt, die vomProgrammierer als „static“ (also fest) deklariertwurden.3. Der dritte – und für einen Buffer-Overrun-Angriff interessante – Bereich ist der Stack.Auf dem Stack werden die normalen Variablenund die Rücksprungadressen beim Aufrufvon Unterprogrammen gespeichert.Rücksprungadressen im StackProgramme bestehen aus einem Hauptprogrammund sehr vielen Unterprogrammen,die vom Hauptprogramm oder von einem Unterprogrammaufgerufen werden. Wenn Siezum Beispiel Word starten, baut Word zuerstdas Fenster auf. Hierzu ruft Word ein Unterprogrammauf, das ein Fenster auf den Bildschirmzeichnet. Dieses Programm wiederumruft eine Reihe von Unterprogrammen auf,die das Icon von Word in die obere linke Eckezeichnen, den Namen von Word danebenschreiben und so weiter. Alle diese Unterprogrammemüssen bei ihrem Start wissen, wohinsie zurückkehren müssen, wenn sie ihreFunktion erfüllt haben. Seine Rücksprungadresseholt sich ein Unterprogramm vomStack.Den Stack können Sie sich als einen Blätterstapelvorstellen. Auf diesem Stapel werdenstatt der Blätter Variablen und Rücksprungadressenabgelegt, und zwar immerdie neueste Variable beziehungsweiseAdresse oben auf. Dieses Prinzip nennt sichLIFO („last in, first out“). Ruft ein Programmein Unterprogramm auf, legt es seine Rücksprungadresseauf den Stapel. Das Unterprogrammlegt dann seine Variablen auf denStapel. Ist das Unterprogramm beendet,löscht es immer seine Variablen, so dass dieRücksprungadresse wieder oben auf demStack liegt. Nachdem das Unterprogrammzum aufrufenden Programm zurückgesprungenist, entfernt das aufrufende Programmdie Rücksprungadresse wieder vom Stapel.Er ist damit wieder in dem Zustand, den ervor dem Aufruf des Unterprogramms hatte.Inhaltprogrammiert, muss er erst einmal ein Programmfinden, das die erwähnte Nachlässigkeitder Programmierung aufweist(mehr dazu in 2 Punkt 4). Zwar gibt es imInternet auf Seiten wie http://ntbugtraq.ntadvice.com oder http://seclists.org/ Infos zu denneuesten Sicherheitslücken. Doch bekannteSicherheitslücken sind zugleich Lücken,die die Hersteller durch Updates oder Patchesschließen – früher oder später. Außerdemist es von dem Wissen um eine Sicherheitslückebis zu einem erfolgreichen Buffer-Overrun-Angriffimmer ein weiter Weg.Es sind nur recht wenig Hacker in der Lage,einen solchen Angriff zu programmieren.Ist ein solches Programm jedoch geschrieben,dauert es oft nur Stunden, bis es im Internetveröffentlich wird und selbst durchschnittlichbegabte Hacker oder Scriptkiddieses für ihre Aktivitäten nutzen können.4. Gestörte Ordnung im StackSeite1. JPG-Fehler bei Windows 962. So funktioniert der Angriffim Prinzip 973. Nicht jeder Anwender kannangreifen 974. Gestörte Ordnung im Stack 975. Heimlicher Aufruf einesSchadensprogramms 986. Der Angreifer übernimmt dieKontrolle 997. So schützen Sie sich 99KastenSo arbeitet ein Programm 97Eine Buffer-Overrun-Attacke bringt durchdie zu lange Eingabe die Variablenverwaltung,also die Ordnung im Stack, durcheinander.Die Variable kann übrigens nichtnur eine Internet-Adresse im Internet Exploreroder ein Link auf einer Web-Seitesein, sondern auch Daten in einem Datenbank-Eingabefeldoder eine Eingabe in einemKontaktfeld von Outlook.Eine solche Eingabe muss nicht zwangsläufigvom Benutzer selbst stammen, sondernkann auch von einem Programm, etwaeinem Virus oder Wurm, oder einer manipuliertenWeb-Seite kommen. Um das zuverstehen, muss man sich genauer ansehen,wie Variablen auf dem Stack abgelegtwerden.PC-WELT EXTRA 2/2005 www.pcwelt.de97

Hacking Buffer Overrun P Kopieren & Tauschen P Knacken pHackingPPpP S. 96 – S. 99Während des Programmierens werden Variablen,die später die Benutzereingabenaufnehmen sollen, nur in ihrer Länge definiert.Wenn ein Programmierer also zumBeispiel den Vornamen des Benutzers abfragenwill, definiert er eine Variable mit einermaximalen Länge von – sagen wir mal– 20 Zeichen Länge. Er geht nicht davonaus, dass jemand einen längeren Vornameneinzugeben hat. Beim Aufruf des Programmswird diese Variable nun auf denStack gelegt. In unserem Beispiel werden20 Bytes für diese Variable auf dem Stackreserviert – 1 Byte pro Buchstabe. Unterdieser Variablen liegen im Normalfall nochweitere Variablen des Programms oder –wenn es sich um ein Unterprogramm handelt– die Rücksprungadresse.Wenn das Programm läuft, werden alleEingaben in diese 20 Bytes kopiert. Dabeinimmt jedes Byte einen Buchstaben auf.Wird ein Name mit mehr als 20 Zeicheneingegeben, so gibt es zwei Möglichkeiten:Hat der Programmierer diesen Fall berücksichtigt,so kürzt das Programm in der Regeldie Eingabe auf 20 Zeichen herunter,oder es gibt eine Fehlermeldung aus. Hat erjedoch keine Vorkehrungen für diesen Fallgetroffen, werden auch die überzähligenZeichen in den Stack kopiert– und überschreibendie darunter liegenden Datensprich Variablen. Wenn da nun die Rücksprungadresselag, weiß das Programmnicht mehr, wohin es zurückkehren muss.Es wird stattdessen diejenigen Daten alsRücksprungadresse interpretieren, die dortdurch die überlange Eingabe hineinkopiertwurden, wo ursprünglich die Rücksprungadresselag. Bei einer normalen Eingabe befindensich dort aber meist keine sinnvollenInstruktionen, und das Programmstürzt ab. Dies ist der eigentliche Buffer-Overrun-Fehler.So sieht ein Buffer-Overrun-Fehler aus: Das Programm hält an, präsentiert dem Anwender eine Fehlermeldung wiediese – und mit einem Klick auf OK wird es vom Betriebssystem beendetAuf der Internet-Seite www.seclists.org finden Sie Angaben zu bekannten Sicherheitslücken und außerdem diverseForen zum Diskutieren über Angriffsmöglichkeiten von Hackern5. Heimlicher Aufruf einesSchadensprogrammsBei einer Buffer-Overrun-Attacke will einAngreifer den Rechner aber nicht lahmlegen,sondern ihn vielmehr unter seine Kontrollebringen. Dazu generiert er für denAngriff eine spezielle Eingabe, die so langist, dass die Variable sie nicht mehr aufnehmenkann, und die auch die Rücksprungadresseüberschreibt. In der Eingabeversteckt er nun selbst eine eigene Rücksprungadresseund außerdem ein Programm,das von dem angegriffenen Programmaufgerufen wird. Das funktioniertfolgendermaßen:Jeder Computer verarbeitet nur Maschinencode-Befehle.Diese Befehle lassen sichauch mit Buchstaben- oder Zahlenkombinationendarstellen und mit einem Trickin eine Programm-Eingabe integrieren. EineProgramm-Eingabe kann hierbei dieEingabe einer URL sein, aber auch das Klickenauf einen Link auf einer Web-Seite. DaWeb-Seiten sogar automatisch andere Web-Seiten (Links) aufrufen können, wie Sie eszum Beispiel von Pop-up-Fenstern kennen,brauchen Sie nur eine an sich unverfänglicheURL einzugeben, um einem Buffer-Overrun-Angriff ausgesetzt zu werden. Dieskann Ihnen übrigens schon auf sonst völligharmlosen Web-Seiten passieren, wenn dieseWeb-Seite von einem Angreifer gehacktwurde und er dort die schädliche Eingabeversteckt hat.Wenn nun diese Buchstaben Byte-weisein die Stack-Variable eingefügt werden, sehensie für den Computer wie eine Rücksprungadresseund ein ausführbares Maschinencode-Programmaus. Der Angreiferpositioniert nun an der ehemaligen Rücksprungadresseeine Adresse, an der der eingeschleusteMaschinencode steht.Das Programm nimmt also die Eingabeentgegen – ohne zu merken, dass sie viel zulang ist und einen Angriff darstellt. Es arbeitetungestört weiter, nimmt dann die gefälschteRücksprungadresse vom Stack undspringt dorthin. Da wartet dann schon dasAngriffsprogramm, welches nun vomComputer ausgeführt wird. Der Angreiferhat sein Ziel erreicht.98www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Buffer Overrun HackingPPPp S. 96 – S. 996. Der Angreifer übernimmt dieKontrolleHat ein Angreifer es auf einen unter Linuxlaufenden Server – das ist die Mehrzahl derWebserver – abgesehen, so verwendet er alsAngriffsprogramm meist ein Shellprogramm,das ihm vollen Zugriff auf denRechner ermöglicht. Bei einem Windows-Rechner will das Programm in der Regel einenAdministrator-Account einrichten, damitder Angreifer die volle Kontrolle übernehmenkann.Das Repertoire der Angriffsprogrammeist jedoch nicht auf diese Szenarien beschränkt.Es kann genauso gut sein, dasssolch ein Programm die Festplatte formatiert,eine Backdoor öffnet oder alle Datenauf dem Rechner per Telnet oder FTP anden Angreifer schickt.7. So schützen Sie sichGegen Buffer-Overrun-Attacken gibt es eigentlichnur ein Mittel: kontinuierlichesUpdaten des gesamten Systems – also desBetriebssystems und der verwendeten Programme.Wird eine Sicherheitslücke bekannt,die sich für eine Buffer-Overrun-Attacke verwenden lässt, so sollten Sie dasbetroffene Programm erst einmal nichtmehr benutzen. Setzen Sie für den jeweiligenEinsatzzweck so lange eine andere Softwareein, bis ein Update des Programmsden Fehler behebt.Hacker machen die Online-Welt auch sicherer: Ein Hacker hat ein Sicherheitsleck bei Ebay bekannt gemacht, nachdemdas Auktionshaus über ein Jahr auf die Hinweise nicht reagiert hatteHat Windows selbst eine Sicherheitslücke,können Sie natürlich nicht so einfach zu einerAlternative greifen – es sei denn, SieAuf der Web-Seite www.ntbugtraq.com finden Sie immer eine Auflistung der aktuellsten Sicherheitslücken beiWindows und Linux sowie weitere Informationen und News aus der Szeneentschließen sich zu einem Wechsel zu Linux.Was das oben angesprochene Beispieldes JPG-Fehlers betrifft (2 Punkt 1), so behebendie aktuellen Service Packs diesenFehler. Außerdem bietet Microsoft hierfürunter www.microsoft.com/technet/security/bulletin/MS04-028.mspx ein Update an. Es ist jedochsinnvoller, das Service Pack zu installieren,da es noch viele weitere Fehler beseitigt,die ebenfalls eine Einbruchsmöglichkeitbieten.Eine hundertprozentige Sicherheit könnendie Updates allerdings nicht bieten –schließlich kommen sie in der Regel erstdann heraus, wenn die Sicherheitslückeauf den einschlägigen Web-Seiten bekanntgemacht wurde. Meist dauert es dannnicht mehr lange, bis ein Hacker hierfürein Programm geschrieben hat, das dieseLücke ausnutzt. Auch gibt es Sicherheitslücken,zu denen monatelang kein Patchoder Sicherheits-Update herauskommt.Hier hilft es dann nur, das betroffene Programmnicht mehr zu benutzen. Wenn dasnicht geht, sollten Sie versuchen, das Programmnicht mehr dort einzusetzen, wo esGefahr läuft, einem Buffer-Overrun-Angriffausgesetzt zu sein.PC-WELT EXTRA 2/2005 www.pcwelt.de99

dern auch die passende Portnummer. DiePortnummer wird – durch einen Doppelpunktgetrennt – hinter der IP-Adresse angegeben::.Einige Beispiele für Dienste und ihrePortnummern finden Sie in der 2 Tabelleauf dieser Seite.Ports arbeiten im VerborgenenPortscanVon alledem merken Sie normalerweisenichts, weil diese technische Kommunikationin den verwendeten Programmennicht zu sehen ist. Sie können die aktuellenVerbindungen Ihres PCs jedoch sichtbarmachen. Windows bietet dafür das Kommandozeilenprogramm„netstat“. ÖffnenSie dazu über die Eingabeaufforderung einDOS-Fenster, und geben Sie den Befehl „netstat -an“ ein. Sie erhalten nun eine tabellarischeListe mit den bestehenden Verbindungen.Um sich auch die Namen der Programmeanzeigen zu lassen, die an den Verbindungenbeteiligt sind, verwenden Sie dieFreeware TCP View 2.34 (für Win 98/ME,2000 und XP, unterwww.sysinternals.com, 81 KB).Eine Firewall kann bei jedem Portscan Alarm schlagen unddadurch den Anwender beunruhigen. Ein Portscan ist jedochnoch kein Angriff und meistens harmlos.Von Frank ZiemannViele Firewalls konfrontieren den Anwendermit häufigen Alarmen. Sie reagierendamit auf Portscans. Wir sagen Ihnen,was es damit auf sich hat und inwieweit davoneine Bedrohung ausgeht.Das ist ein PortJeder Computer, der mit dem Internet verbundenist, besitzt eine IP-Adresse. StellenSie sich diese IP-Adresse als eine normalePostadresse mit Hausnummer vor, zumBeispiel als Adresse eines Amtsgebäudes.In diesem Gebäude gibt es mit Nummernversehene Zimmertüren, hinter denenSachbearbeiter sitzen, von denen jeder füretwas anderes zuständig ist. Damit eine Informationeinen bestimmten Sachbearbeitererreicht, muss neben seiner Adresseauch noch seine Zimmernummer angegebenwerden.Auch beim Computer gibt es viele (virtuelle)Türen, sie heißen hier Ports. Wennein Rechner über das Internet einen bestimmtenDienst ansprechen will, muss ernicht nur dessen IP-Adresse kennen, son-So geht ein Portscan vor sichEin Portscan besteht aus einer Reihe vonAnfragen an eine IP-Adresse. Dabei wird jederPort einzeln angesprochen, um herauszufinden,ob hinter ihm ein aktiverDienst auf eine Kontaktaufnahme wartet.Eine Firewall erkennt eine solche Sequenzvon Anfragen und meldet einen Portscan.So genannte Scriptkiddies führen solchePortscans über eine große Zahl von IP-Adressen durch. Auf diese Weise versuchenBeispiele für Dienste und ihre festgelegten PortnummernFunktion Port ErklärungFTP 21 DateitransferSSH 22 Secure ShellSMTP 25 MailversandDNS 53 Name-Server-AbfrageHTTP 80 WebserverPOP3 110 MailempfangNNTP 119 Network News, UsenetNTP 123 Datum, UhrzeitUDP 137 Netbios Name ServiceUDP 138 Suchen von Windows-FreigabenTCP 139 Datei- und DruckerfreigabeIMAP 143 Mailempfang100 www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Portscans Hackingsie, PCs zu finden, bei denen eine Hintertüroffen ist. Sie scannen dabei ganze Adressbereicheeines Internet-Providers.Sie können sich einen Portscan so vorstellen,dass jemand von Haus zu Haus gehtund an allen Türen rüttelt, um auszuprobieren,ob eine offen ist. Findet er keine offeneTür, geht er zum nächsten Haus weiter.Tipp: Sichern Sie die Zugänge Ihres PCs, indemSie Ihre Firewall richtig einstellen.Die Gefahren eines PortscansNetstat: Ein ähnliches Bild werden Sie sehen, wenn Sie netstat mit den Parametern-an starten und sich alle aktiven Verbindungen anzeigen lassenKostenlos: Mit der Freeware TCP View können Sie sich alle aktiven Netzwerkverbindungen und die Namen derProgramme zeigen lassen, die auf Ihrem System einen Port belegenMit den Portscans suchen Hacker nach eineminstallierten und aktiven TrojanischenPferd oder nach einem bekanntenfehlerhaften Dienst, der es dem Scanner ermöglicht,in den Rechner einzubrechen.Hat ein Hacker einen verwundbaren PC gefunden,so versucht er, mit dem TrojanischenPferd Kontakt aufzunehmen oderden fehlerhaften Dienst auszunutzen. Gelingtauch dies, kann der Angreifer die Kontrolleüber den Rechner übernehmen(mehr zu Backdoors lesen Sie im 2 Artikelab Seite 122).Auch Trojanische Pferde nutzen Ports,um eine Hintertür im PC zu öffnen. Sokann ein potenzieller Angreifer mehrereBackdoor-Clients starten, die eine Liste vonIP-Adressen abarbeiten, um einen Server zufinden, der antwortet. Einige dieser Backdoorsbenutzen immer dieselben Ports, anderewählen jedes Mal einen anderen Port.Hinter diesem Port wartet dann die Server-Komponente eines Trojanischen Pferdesauf eine Anfrage vom Angreifer. Mit Hilfeeiner Client-Software steuert der Angreiferdie auf dem PC eingeschmuggelte Server-Komponente.Hinweis: Meldet Ihre Firewall zum Beispieleinen „Netbus-Angriff“, so bedeutet dasnicht, dass auf Ihrem PC ein TrojanischesPferd installiert ist. Es bedeutet zunächsterstmal, dass jemand aus dem Internet versucht,über diesen Port Zugriff auf eineneventuell installierten Trojaner zu nehmen.Interessant wird es erst, wenn IhrRechner auf diese Anfrage antwortet, wasdie Firewall dokumentierensollte. Dann haben Sie einenTrojaner.Außer Trojanern interessierensich auch Würmerfür bestimmte Ports. Sie suchennach PCs mit bekanntenWindows-Sicherheitslücken,über die sie in denPC eindringen können. Soversucht es zum Beispiel derSasser-Wurm über die LSASS-Sicherheitslücke (MicrosoftBulletin MS04-011) beziehungsweiseden Port 445.Der Blaster-Wurm nutzt dieRPC-Sicherheitslücke (MicrosoftBulletin MS03-026) aufPort 135.Scheinbare PortscansEin häufiges Phänomensind viele, scheinbar gezielteZugriffsversuche auf Ports,die von Tauschbörsen-Programmen verwendetwerden. Dabei handelt es sich jedochnicht um einen Portscan. Die Ursacheist vielmehr, dass Sie beim Einwählen insInternet eine IP-Adresse bekommen haben,die kurz zuvor noch von einem anderenKunden Ihres Providers genutzt wurde. DieserKunde hat mit seinem PC an einem P2P-Netz teilgenommen. Andere Benutzer versuchennun, seinen PC zu erreichen.Wenn Sie das nervt und es nicht nachlässt,unterbrechen Sie Ihre Internet-Verbindungund wählen sich neu ein. Sie erhaltendann in der Regel eine andere IP-Adresse, und mit etwas Glück ist es eine,die nicht kurz vorher noch in einem P2P-Netz in Gebrauch war.FazitEs gibt also eine Reihe Alarmmeldungenvon Firewalls, die Ihnen kein Kopfzerbrechenbereiten sollten. Portscans sind nichtillegal. Weder Ihr Provider noch der Providerdes „Übeltäters“ noch die Polizei werdenetwas unternehmen, wenn Sie sich beschweren.Betrachten Sie einen Portscan alsonicht als Angriff, sondern eher als einenunfreundlichen Akt, den Sie dank guterFirewall einfach ignorieren können.Über den AutorFrank Ziemann (39) ist selbständiger IT-Dienstleister in Berlin, mit den SchwerpunktenInternet und IT-Sicherheit. Er betreutehrenamtlich den Hoax-Info-Service(hoax-info.de) und ist Mitglied der VirusHelp Munich (VHM).PC-WELT EXTRA 2/2005 www.pcwelt.de101

Denial of ServiceDer Rechner bleibt einfach stehen, bootet neu, meldet Fehleroder kappt die Verbindung ins Internet. In diesen Fällen könnenSie Opfer eines Denial-of-Service-Angriffes geworden sein.Von Michael Röhrs-SperberDenial of Service (DoS) bezeichnet einenAngriff auf einen Computer, bei dem dieserunbenutzbar beziehungsweise unerreichbargemacht wird. Bei dem betroffenenComputer kann es sich um einen Webserverhandeln oder auch um einen privatenPC, der am Internet hängt. DoS-Attacken nutzen immer Bugs undSchwachstellen von Programmen beziehungsweiseBetriebssystemen oder Fehlimplementationenvon Protokollen aus.Eine DoS-Attacke lässt sich mit dem Verklebeneines Schlüssellochs oder dem Ausschraubeneiner Sicherung vergleichen.Beides ist behebbar, verursacht beim Betroffenenaber Ärger und Aufwand. Im Februar2000 wurden Yahoo, CNN, Amazon.deund Ebay Opfer von DoS-Attacken und warenkurzzeitig nicht mehr erreichbar. ImFebruar 2004 brachte der Wurm My Doomdie Website der Firma SCO zum Erliegen.Im August 2003 sollte der Wurm Lovesan/W32 Blaster den Microsoft-Update-Serverlahmlegen.DoS ist ein Sammelbegriff für mittlerweile10 Angriffsmethoden. Lesen Sie imFolgenden, welche Methoden Scriptkiddiesund Cracker entwickelt haben, um Rechnerlahmzulegen, welche davon heutenoch funktionieren – und wie Sie solcheAngriffe abwehren.Packet FloodDie einfachste DoS-Attacke ist ein PacketFlood. Dabei überschüttet der Angreiferden Angegriffenen mit ICMP-Echo- oderPing-Paketen, bis der Internet-Anschlussdes Opfers mit der Abarbeitungdieser Pakete völligüberlastet ist. Dann ist keinanderer TCP/IP-Verkehrmehr möglich. Der Rechnerwird für das Internet unsichtbar,beziehungsweiseder Nutzer kann über diesenRechner nicht mehr insInternet kommen. Voraussetzungfür eine erfolgreicheAttacke auf Seiten desAngreifers ist, dass er seinemOpfer in Sachen Leitungskapazitätweit überlegenist und daher genügendPakete verschicken kann.Ping of DeathPing of Death bringt einenans Internet angeschlosse-nen Computer durch einen einzigen, speziellenPing (ICMP) zum Absturz. Mit einemICMP-Paket (Internet Control Message Protocol)lässt sich überprüfen, ob ein Rechnerüber das TCP/IP-Protokoll erreichbar ist. Daes wie das Echolot funktioniert, wird ein solchesPaket auch Ping genannt. Man sendeteinen Ping an einen Rechner und erhält einenPing zurück. Mit dem Rück-Ping sagtder angepingte Rechner, dass er über dasNetzwerk erreichbar ist.So funktioniert die Attacke: Das Ping-Signalwird mit einem IP-Daten-Paket auf die Reisegeschickt. Ein einzelnes IP-Paket ist inklusiveHeader maximal 65.535 Bytes lang.Die meisten Rechner sind aber per Ethernetan das Internet angeschlossen. Ethernet-Paketekönnen maximal 1500 Byteslang sein. Größere Pakete werden daherfragmentiert auf die Reise geschickt undbeim Empfänger wieder zusammengesetzt.Die Zusammensetzung geschieht anhandeines Offset-Wertes. Der Offset-Wert bestimmtfür jedes Fragment, wohin esgehört oder wohin es soll. Gibt man nundem letzten Fragment einen Offset, der addiertmit der Fragmentgröße einen größerenWert als die maximalen 65.535 Bytesergibt, bekommt der EmpfangscomputerProbleme. Das übergroße Ping-Paket erzeugteinen Buffer-Overflow, der je nachBetriebssystem einen Absturz des Computersverursacht. Windows 95 ist zum Beispielfür seine Empfindlichkeit für einenPing of Death berühmt. Bei den neuerenBetriebssystemen hat Microsoft die Empfindlichkeitbeseitigt.Erwischt: Diese Meldung sah ein Opfer des Lovesan-Wurms, bevor seinComputer heruntergefahren wurde118 www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Denial of Service HackingPpPP S. 118 – S. 121Problem behoben: Anfang 1997 war von demPing of Death fast alles betroffen, was überIP zu erreichen war. Mittlerweile haben jedochalle Hersteller von IP-angesteuertenGeräten und Software-Produkten, etwa vonDruckern, Routern, Webservern oder Betriebssystemen,das Problem behoben undfangen den Buffer-Overflow korrekt ab.Smurf-AttackeSYN-Flood-Attacke erkennenUnter Windows können Sie mit den folgendenBefehlen sehr einfach feststellen, ob aufIhren Rechner gerade eine SYN-Flood-Attackeverübt wird.Klicken Sie auf „Start“, und öffnen Sieunter „Programme, Zubehör“ die Eingabeaufforderung.Geben Sie im nun erscheinendenDOS-Fenster folgenden Befehl ein:netstat -n -p tcpBei der Smurf-Attacke wurde die Eigenartvon TCP/IP-Netzen ausgenutzt, in denen esimmer eine Broadcast-Adresse gibt, die einDatenpaket an alle angeschlossenen Rechnerim Subnetz sendet. Wenn man dieBroadcast-Adresse anpingt, verschickt dieseden Ping an alle angeschlossenen Rechnerim Subnetz. Auf den Ping antwortendann alle Rechner und schicken die Antwortzurück an den fragenden Computer.Bei einer Smurf-Attacke schickt der Angreifereinen Ping an eine Broadcast-Adresseund setzt als Absenderadresse, also alsdie Adresse, an die die Antworten geschicktwerden sollen, die IP eines anderen Rechnersein. So erhält dieser Rechner die Antworten.Sendet man zum Beispiel 1000 Paketepro Sekunde an die Broadcast-Adresseund antworten 1000 Rechner darauf, treffenbeim Opfer 1.000.000 Pakete pro Sekundeein. Unter diesem Ansturm brichtder Rechner dann zusammen.Das Problem wurde dadurch behoben,dass an den Routern die IP-Broadcasts nichtmehr in Ethernet-Broadcasts umgesetztwurden. Damit kam man nicht mehr vonaußen (Internet) in ein Netzwerk hineinund konnte die Netzwerk-Rechner nichtmehr abschießen. Gleichwohl funktioniertdieser Angriff immer noch in Netzen, dieentweder diese Umsetzung immer nochdurchführen oder eine von innen erreichbareBroadcast-Adresse haben. Wenn Sie alsoein kleines Netzwerk betreiben, stellenSie sicher, dass Ihre Broadcast-Adressenicht vom Internet aus erreicht werdenkann, beziehungsweise stellen Sie denBroadcast-Ping einfach ab.SYN-FloodingDie heute häufigste Angriffsform ist dasSYN-Flooding. Die Methode ist sehr effizientund kappt bei den meisten Computerndie Verbindung zum Internet. Der Angegriffenesieht auf seinem Monitor die Fehlermeldung„The connection has been resetby the remote host“ und kann wederMails abrufen noch surfen.Beim SYN-Flooding nutzt der Angreiferdie bestehenden systeminternen Limits beider Internet-Nutzung aus. Um dies zu verstehen,muss man wissen, wie im Interneteine Verbindung zwischen zwei Rechnernaufgebaut wird.Händereichen: Eine Verbindung im Internetwird nach dem Three-Way-Handshake-Verfahrenaufgebaut. Der „anrufende“ Computerschickt ein leeres Datenpaket an dieIP-Adresse des Empfängers. In diesem Datenpaketist das TCP-Flag SYN (synchronize)gesetzt und außerdem die IP-Nummer des„rufenden“ Computers angegeben. Der „angerufene“Computer weiß dann, dass derandere Rechner mit ihm eine Verbindungaufbauen möchte. Und er antwortet aufdas SYN-Paket mit einem ebenfalls leerenDatenpaket, in dem die Flags SYN und ACK(acknowledge) gesetzt sind. Diese Paketeschickt er an die IP-Adresse, die er aus demSYN-Paket erhalten hat. Der anrufendeComputer antwortet auf dieses Paket wiedermit einem leeren Datenpaket, in demdas ACK-Flag gesetzt ist. Wenn der angerufeneComputer dieses ACK-Paket empfängt,ist die Verbindung aufgebaut, und die beidenComputer können anfangen, DatenDas Fenster zeigt jetzt alle TCP-VerbindungenIhres Computers und deren Status an. Unter„lokale Adresse“ sehen Sie Ihre IP-Adresse,unter „Remote-Adresse“ die IP-Adresse einesanderen Computers, mit dem gerade eineVerbindung besteht. Unter „Status“ sehenSie den Zustand dieser Verbindung. Stehtdort sehr oft „SYN_EMPFANGEN“ (oder„SYN_RECEIVED“ bei englischen Statusmeldungen),werden Sie gerade angegriffen.InhaltSeitePacket Flood 118Ping of Death 118Smurf-Attacke 119SYN-Flooding 119Ping-AT-Attacke 120Verteilte Angriffe 120Angriff der Zombies 121KästenSyn-Flood-Attacke erkennen 119Angriffe, die nicht mehr funktionieren 120SYN-Flood-Angriffe abwehren 121auszutauschen. Bevor er dieses Packet empfängt,merkt sich der angerufene Computerden Verbindungswunsch und trägt ihnin eine Verbindungstabelle ein. Da die Verbindungzu diesem Zeitpunkt noch nichtvollständig etabliert ist, wird sie als halb offeneVerbindung bezeichnet.Dieses Speichern eines Verbindungswunschesist sehr nützlich, denn bis zumendgültigen ACK-Paket können durchauseinige Sekunden vergehen – je nachdem,wie gut die Internet-Anbindung des rufendenComputers ist. Auch können Datenpaketeverloren gehen. Deshalb schickt derangerufene Computer in bestimmten Zeitabständenimmer wieder sein SYN- undACK-Paket, bis er ein ACK erhält. Das gibt erin der Regel erst nach mehreren Minutenauf und löscht daraufhin den Eintrag inder Verbindungstabelle.TCP ausgetrickst: Der Trick bei einem SYN-Flood-Angriff liegt darin, so viele halb offeneVerbindungen bei dem angerufenenComputer zu erzeugen, dass die Verbindungstabelleüberläuft. Dann kann derComputer keine weiteren Verbindungenins Internet mehr aufbauen.Eine halb offene Verbindung lässt sicheinfach erzeugen: Der Angreifer schickt einSYN-Paket an den anzugreifenden Computerund ersetzt die IP-Adresse seines Rechnersdurch eine andere, die gerade von keinemComputer belegt wird. Hierzu ist einProgramm nötig, das den Inhalt von TCP/IP-Paketen verändern kann. Kommt diesesPaket bei dem Computer an, sendet diesersein SYN und ACK an die falsch angegebeneIP-Adresse. Von dieser erhält er keineAntwort – auf dem angegriffenen Computerist nun eine halb offene Verbindungvorhanden.PC-WELT EXTRA 2/2005 www.pcwelt.de119

Hacking Denial of Service P Kopieren & Tauschen P Knacken pHackingPPpP S. 118 – S. 121Computer lahmgelegt: Ein Angreifer schicktbei einem SYN-Flood-Angriff einfach so vieleSYN-Pakete an den anzugreifenden Computer,bis dieser keinen Platz mehr in seinerVerbindungstabelle hat. Da der angegriffeneRechner die unvollständigen Verbindungennach einigen Minuten aus derVerbindungstabelle rauswirft, muss derAngreifer die freien Plätze mit erneutenSYN-Attacken wieder auffüllen.Wie Sie eine SYN-Flood-Attacke auf einemWindows-PC erkennen, erfahren Sieim 2 Kasten „SYN-Flood-Attacke erkennen“.Abwehrmaßnahmen: Sie können sich rechteinfach gegen diese Angriffe wehren. UnterLinux genügt einecho 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlogum die Größe der Verbindungstabelle auf1024 Einträge zu erhöhen.Dieser Wert hat sich in derPraxis als unproblematischerwiesen. Gleichzeitig sollteman die Zeit verkürzen, innerhalbderer der Linux-Rechner versucht, sich mitdem anderen Computer zuverbinden. Standardmäßiggibt Linux erst nach drei Minutenauf. Gibt man jedochder Variablen tcp_synack_retries statt dem Standardwert„5“ eine „1“, hört Linuxschon nach neun Sekunden auf mit seinenVersuchen, den anderen Computer zu erreichen:echo 1 > /proc/sys/net/ipv4/ tcp_synack_retriesUnter Windows 2000/XP und 2003 Serverkönnen Sie ebenfalls die Zahl der SYN- undAngriffe, die heute nicht mehr funktionierenEs gibt eine Menge Hackerangriffe, für diemittlerweile von den Herstellern Updatesund Patches verfügbar sind, so dass sie nichtmehr funktionieren. Die prominentesten stellenwir Ihnen hier vor.TeardropTeardrop funktioniert ähnlich wie Ping ofDeath. Im Unterschied zu Ping of Death, beidem ein übergroßes Fragment erzeugt wird,überlappen sich bei Teardrop die Fragmenteeines IP-Pakets. 1997 brachte das viele LinuxundWindows-Rechner zum Absturz. Es kamenjedoch sehr schnell Patches oder Updatesheraus, die den Spuk beendeten.Out of BandOut-of-Band-Angriffe (OOB) hatten zu Zeitenvon Windows 95 und Windows NT Hochkonjunktur.Ursache war die NetBEUI-Implementierungvon Microsoft: Sobald über die Ports135 oder 139 ein paar Daten ankamen, dienicht in der richtigen Reihefolge waren,stürzten Windows 95 und NT ab.OOB ist eine Funktion von TCP (TransmissionControl Protocol), die es erlaubt, Datenaußerhalb der Reihenfolge (out of band) zusenden. Dies ist zum Beispiel nützlich für dieBehandlung von [Ctrl]+[C] in Telnet-Verbindungen.1997 kamen innerhalb kürzesterZeit eine Vielzahl von ständig optimiertenOOB-Nuke-Tools heraus. So konnte man nebenMassen-Nukes auch den Grund für denAbschuss des Rechners oder einen „netten“Gruß senden und anschließend prüfen, obder Rechner des Opfers tatsächlich auch abgestürztwar. Windows 98, ME, 2000 und XPsind gegen diese Angriffsmethode mittlerweilegefeit.Land-AttackeDie Land-Attacke war 1997 eine der letztenVarianten der DoS-Attacken, welche beachtlichePopularität erlangte. Sie hatte allerdingskeine großen Auswirkungen, da die meistenRechner durch die vorhergehenden Attackenund die dadurch erfolgten Updates und Patchesschon immun waren. Allerdings kamendie damals an vielen zentralen Punkten desInternets eingesetzten Cisco-Router mit demSYN-Paket nicht zurecht. Die Folge: DerjenigeTeil des Internets, der von einem solchenRouter versorgt wurde, fiel aus. Dieser Fehlerist mittlerweile behoben.Eine Land-Attacke war ein sehr komplexerAngriff, der ein SYN-Paket mit identischemAbsender- und Empfängerport generierte.Dieses Paket wurde an einen offenen Porteines Computers gesendet, wo das Paketdurch die vielen IP-Stacks eine Art Kaskaden-Fehler erzeugte, bis der angegriffene Computerlahmgelegt war.In der Registry geben Sie die angegebenen Werte ein. Sie müssen die Werteerst noch über „Bearbeiten, Neu, DWORD-Wert“ anlegenACK-Pakete begrenzen. Microsoft empfiehlthierzu, in der Registry unter „Hkey_Lokal_Machine\System\CurrentControlSet\Services\Tcpip\Parameters“ den Parameter„TcpMaxDataRetransmissions“ von 5auf 2 (DWORD) zu setzen. Offene Verbindungenin der Verbindungstabelle werdendann nach 21 Sekunden wieder freigegeben.Weitere Einstellungen, die den Rechnernoch unempfindlicher gegen einenSYN-Flood-Angriff machen, finden Sie im2 Kasten „SYN-Flood-Angriffe abwehren“.Ping-AT-AttackeEine Ping-AT-Attacke zielt auf einen Rechnerab, der sich über ein Modem eingewählthat. Dabei zwingt der Angreifer dasModem mit einem manipulierten Ping,einfach aufzulegen. Den Ping sieht der Nutzerdes angepingten Rechners nicht. Ermerkt bloß, dass sein Modem auf einmalaufgelegt hat.Verteilte AngriffeDie oben beschriebenen Angriffe lassensich von einem Rechner aus machen – odervon mehreren. Letzteres wird als DDoS (DistributedDoS) bezeichnet. Kann man demAngriff eines einzelnen Rechners möglicherweisenoch recht erfolgreich begegnen,so müssen die meisten Computer beieinem Angriff von tausenden oder hunderttausendenComputern doch die Segelstreichen. Ein weiteres Problem: Der Urheberdes Angriffs ist kaum zu ermitteln.Solche DDoS machen übrigens die meistenWürmer. Prominentestes Beispiel für einenSYN-Flood-Angriff mittels DDoS war derBlaster-Wurm. Er vermehrte sich über eineSicherheitslücke im RPC-Subsystem vonWin-NT-Rechnern, um dann zu einem bestimmtenDatum die Website www.windowsupdate.com mit SYN-Anfragen zu überschütten.Microsoft konnte dieser Attackenur entgehen, indem man die Domain vor120www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Denial of Service HackingPPPp S. 118 – S. 121dem Angriff vom Netz nahm und damitder Angriff ins Leere ging.Angriff der ZombiesJede DDoS-Attacke braucht viele Rechner.Ein potenzieller Angreifer beschafft sichdiese Rechner über so genannte Bot-Netze.Hierzu infiziert er Rechner mit einem Virusoder Trojaner, der auf den Rechnernein kleines Programm installiert, das ab sofortauf einem Port oder in einem IRC-Channel auf die Anweisungen des Angreiferswartet. Diese Anweisungen führt derRechner – unbemerkt vom Nutzer desRechners – aus und macht sich damit zumGehilfen des zerstörerischen Werks. Im Internetkursieren viele Programme, welcheRechner in gehorsame Sklaven verwandeln.Die bekanntesten sind Trinoo, TribeFlood Network, Stacheldraht, Shaft undTFN2000. Diese Programme werden natürlichvon allen Virenscannern erkannt.Auch sollten Sie die Programme nicht herunterladenoder benutzen. Sie würden sichstrafbar machen.Trotzdem gibt es immer wieder neueWürmer oder Viren, die diese Programmeauf ungeschützten Rechnern einschleusenwollen. Die Infektionsreichweite solcherWürmer ist unglaublich. So hat Blasternach Schätzungen von Experten schon600.000 PCs unter seine Kontrolle gebracht,My Doom hat bereits 2.000.000 PCs in willfährigeZombies verwandelt.Übrigens lassen sich die Zombies auch alsVerteiler von Spammails nutzen. Dies kannfür den ahnungslosen Anwender einschneidendeFolgen haben: Wird die IP desComputers auf eine Blacklist von Spammerngesetzt, so nehmen viele Providervon dieser IP keine Mails mehr entgegen.Zudem könnte auch der eigene Providerauf einen zukommen und die Unterlassungdes Spammail-Versands verlangen.Abwehrmaßnahmen: Gegen DDoS können Siedie gleichen Abwehrmaßnahmen treffenwie gegen einfache DoS-Attacken. DamitIhr PC nicht zum Handlanger eines DDoS-Angreifers wird, sollten Sie einen guten Virenscannerinstallieren und diesen selbstverständlichregelmäßig updaten.SYN-Flood-Angriffe abwehrenDamit Windows 2000/XP SYN-Flood-Angriffeerkennt und Gegenmaßnahmen einleitet, müssenSie ein paar Einträge in der Registry vornehmen.Bevor Sie diese Änderungen machen,sichern Sie bitte die Registry. Alle folgendenWertnamen müssen Sie unter dem Registrierungsschlüssel„Hkey_Local_Machine\System\CurrentControlSet\Services\Tcpip\Parameters“ neu anlegen. Alle Werte sind, sofernnicht anders angegeben, Hexadezimalzahlen.Wertname: „SynAttackProtect“Werttyp: REG_DWORD; Gültiger Bereich: 0, 1, 2Standard: 0Durch diesen Registry-Wert veranlassen SieTCP, die Neuübertragung von SYN-ACKs anzupassen.Dadurch verkürzt sich das Timeout derVerbindungsantworten im Falle eines SYN-Flood-Angriffs.0 (Standardwert): Normaler Schutz vor SYN-Angriffen.1: Bei 1 erfolgt ein Timeout der Verbindungsantwortenschneller, wenn der Verdacht besteht,dass gerade ein SYN-Flood-Angriff stattfindet.In Windows wird anhand der folgendenWerte bestimmt, ob gerade ein Angriff stattfindet:„TcpMaxPortsExhausted“, „TCPMaxHalf-Open“ und „TCPMaxHalfOpenRetried“.2: Bei 2 erhalten Sie optimalen Schutz. Durchdiesen Wert werden den Verbindungsindikatorenzusätzliche Verzögerungen hinzugefügt,und das Timeout läuft bei einem SYN-Angriffschnell ab.Wertname: „TcpMaxHalfOpen“Werttyp: REG_DWORD; Gültiger Bereich:100-0xFFFF; Standard: 100 (Professional, Server),500 (Advanced Server); Empfohlene Einstellung:StandardDieser Parameter legt fest, wie viele Verbindungenim Verbindungsprotokoll enthaltensein dürfen, bevor die SYN-Attack-Einstellungeinen Angriff meldet.Wertname: „TcpMaxHalfOpenRetried“Werttyp: REG_DWORD; Gültiger Bereich: 80-0xFFFF; Standard: 80 (Professional, Server),400 (Advanced Server); Empfohlene Einstellung:StandardDieser Parameter legt fest, wie viele Verbindungenim Verbindungsprotokoll mehr als einSYN+ACK-Paket verschicken dürfen, bevor dieSYN-Attack-Einstellung einen Angriff meldet.Wertname: „EnableDeadGWDetect“Werttyp: REG_DWORD; Gültiger Bereich: 0, 1(False, True); Standard: 1 (True)1: Wenn Sie „EnableDeadGWDetect“ auf „1“festlegen, ist die Identifizierung deaktivierterGateways durch TCP erlaubt.0: Microsoft empfiehlt, „EnableDeadGWDetect“auf „0“ festzulegen.Wertname: „EnablePMTUDiscovery“Werttyp: REG_DWORD; Gültiger Bereich: 0, 1(False, True); Standard: 1 (True)1: Wenn Sie „EnablePMTUDiscovery“ auf „1“festlegen, versucht TCP, entweder die MTU (MaximumTransmission Unit, maximale Übertragungseinheit)oder die größtmögliche Paketgrößezu einem Remote Host zu erkennen.Hierdurch wird der TCP-Durchsatz erhöht. Jedochkönnte ein Angreifer einen sehr kleinenMTU-Wert erzwingen und einen Stapelüberlaufherbeiführen.0: Microsoft empfiehlt, „EnablePMTUDiscovery“auf „0“ festzulegen. Es wird dann eineMTU von 576 Byte für alle Verbindungen zuHosts außerhalb des Subnetzes verwendet.Wertname: „KeepAliveTime“Werttyp: REG_DWORD – Zeit in Millisekunden;Gültiger Bereich: 80-0xFFFFFFFF; Standard:7.200.000 (zwei Stunden)Dieser Wert bestimmt die Anzahl der Versuche,in denen TCP durch Senden eines Keep-Alive-Pakets die Verfügbarkeit einer Verbindung imLeerlauf überprüft. Wenn der Remote-Computerweiterhin erreichbar ist, bestätigt er denEmpfang des Keep-Alive-Pakets .In der Standardeinstellung werden keineKeep-Alive-Pakete gesendet. Die empfohleneEinstellung für den Wert ist „300.000“ (fünfMinuten).Der folgende Wertname muss unter „Hkey_Local_Machine\System\CurrentControlSet\Services\Netbt\Parameters“ eingegeben werden:Wertname: „NoNameReleaseOnDemand“Werttyp: REG_DWORD; Gültiger Bereich: 0, 1(False, True); Standard: 1 (False)Dieser Wert bestimmt, ob der Computer seinenNetBIOS-Namen beim Empfang einer entsprechendenAnforderung freigibt. Es wird empfohlen,den „NoNameReleaseOnDemand“-Wertauf „1“, das heißt auf den Standardwert, zusetzen.PC-WELT EXTRA 2/2005 www.pcwelt.de121

losen Programm, zum Beispiel einem Spieloder einem Bildschirmschoner, in denRechner ein und öffnet unbemerkt eineHintertür, durch die der Zugriff auf den PCermöglicht wird. Da der schädliche Teil desProgramms sich im Programmcode desnützlichen versteckt, nennt man diese ProgrammeTrojanische Pferde oder Trojaner.Tauschbörsen wie Kazaa & Co. gelten alsTummelplätze für Trojaner und Backdoors.Viele kommen aber auch per Mailanhangauf den Rechner. Hier gilt es, besondersvorsichtig zu sein und zum Beispieleinen tagesaktuellen Virenscannerund eine Firewall zu verwenden.So funktioniert eine BackdoorUngebetene GästeWer sich durch die Hintertür in eine fremde Wohnung schleicht,führt meist Böses im Schilde. Das gilt auch für Hacker, die perHintertür einen PC ausspionieren und fernlenken.Von Till WortmannDie Gruppe „Cult Of The Dead Cow“ bezeichnetsich selbstbewusst als „einflussreichsteHackergruppe der Welt“. Berühmtwurden die Kalifornier durch das Programm„Back Orifice“ – der Name ist eineVerballhornung von Microsofts „Back Office“.Die Software bietet in etwa dieselbenMöglichkeiten wie PC Anywhere von Symantec(www.symantec.de): Die Symantec-Softwareerlaubt es, aus der Ferne auf einen PCzuzugreifen und diesen von einem anderenRechner aus zu lenken. PC-Experten inUnternehmen können so zum Beispiel Fehlerauf dem Rechner eines Mitarbeiters ausder Ferne erkennen und beheben – einnützliches Programm. Dies lässt sich vondem Remote-Zugriffs-Tool Back Orificenicht sagen: Das Tool ist ein gefährlichesund raffiniertes Hacker-Werkzeug.Nachfolge-Programme von Back Orificesind unter anderem Subseven, Netbus,Deep Throat und Bionet. Wer zu illegalemTun bereit ist, muss eine Backdoor nichtmehr in mühsamer Handarbeit aufspüren,sondern kann sie mit diesen Programmenaus dem Internet ganz einfach finden.Technisch gesehen ist es heute für jedenSurfer kein Problem mehr, auf fremdenRechnern einzubrechen, die solche Sicherheitslückenhaben.Zuvor müssen Hacker lediglich mit einemPortscan (2 Artikel ab Seite 100) überprüfen,ob Backdoors offen sind, und diesedann per Programm nutzen. Gernot Hacker,technischer Direktor beim SicherheitsspezialistenSophos (www.sophos.de),hält die Gefahr durch offene Backdoorsmomentan für „relativ groß“.So gelangt eine Backdoor auf den PCSo schlimm die Schäden sein können, dieInfektion selbst erfolgt unspektakulär undoft unbemerkt – über Downloads. Ein Trojanerdringt zusammen mit einem harm-Die Backdoor selbst besteht aus zwei Teilen:einem Client und einer Server-Software.Der Server wird auf dem Computer des Opfersinstalliert, der Client befindet sich aufdem Rechner des Angreifers. Die Server-Software kopiert sich oft in das WindowsoderWindows-System-Verzeichnis und erstellteinen Registry-Schlüssel, über den siebei jeder Windows-Sitzung automatisch gestartetwird. Der infizierte Rechner wirdauch als „Bot“ bezeichnet, weil er wie einRoboter arbeitet, der bestimmte Aufgabenautomatisch ausführt. Der Trojaner istmeist so konfiguriert, dass er hinter einemoffenen Port eine Anwendung installiertund auf die Befehle des „Kaperers“ wartet.Dieser kann auf diesem Weg Tausende vonRechnern unbemerkt fernsteuern und soetwa Denial-of-Service-Attacken starten.Hat ein Hacker eine größere Menge vonferngesteuerten Computern unter seinerKontrolle, so spricht man von einem Botnet.Über seine Client-Software dirigiertder Angreifer nun dieses Rechner-Netz undkann dessen Ressourcen nutzen – und sogaran Dritte vermieten.Was der Angreifer alles tun kannBack Orifice und ähnliche Programme sinddurchaus ausgereifte Tools, die dem elektronischenGangster beinahe alle Wünscheerfüllen. Er kann damit zum Beispiel• den PC als FTP-Server einrichten,• Dateien auf das System überspielen,• Bildschirmkopien anfertigen,• Bildschirminformationen in Echtzeitaufzeichnen,• Programme oder Laufwerke öffnen undschließen• Informationen in aktuell ausgeführtenProgrammen verändern,122 www.pcwelt.dePC-WELT EXTRA 2/2005

P Kopieren & Tauschen P Knacken pHacking Backdoors Hacking• Mitteilungs- und Dialogfelder anzeigen,• eine DFÜ-Verbindung abbrechen,• den PC neu starten und• die Registrierdatenbank manipulieren.Eine weit verbreitete Form des Missbrauchsbesteht im massenhaften Versand vonSpammails. Dabei wird ein Botnet ausferngesteuerten Rechnern dazu genutzt,Mails an aus dem Netz gefischte Mailadressenzu versenden. Da die versendete Spammailauf diese Weise von einer großen Zahlvon real existierenden Rechnern kommt,ist sie nur schwer abzuwehren. EinigeHacker bieten daher ihr Botnet den unseriösenSpamversendern an, die es fürbegrenzte Zeit mieten und darüber massenhaftWerbemüll im Netz verteilen.Gernot Hacker bestätigt: „Wir beobachtendie starke Nutzung von mit Backdoors undTrojanern infizierten Systemen zum Versendenvon Spam“.So erkennen Sie eine BackdoorEiner Backdoor auf die Schliche zu kommenist schwierig. „Dem Anwender bleibendie Kompromittierungen oft verborgen“, soSeverin Collins, technischer Leiter bei derSicherheitsfirma F-Secure in München(www.f-secure.com). Allerdings gibt es Symptome,die den Anwender stutzig machensollten:• Das CD-/DVD-Laufwerk öffnet undschließt sich willkürlich.• Wave-Dateien (.WAV) werden ohne Grundabgespielt.Checkliste: So schützen Sie sich vor AngriffenUm sich vor ungebetenen Gästen und offenenHintertüren auf dem Computer zu schützen,sollten Sie folgende Tipps beachten:1. Halten Sie das Betriebssystem, Office- undMailprogramme stets auf dem aktuellstenStand, zum Beispiel durch den Windows-Update-Dienst.Dieser informiert Sie automatischüber eine Einblendung im Systray (rechts nebender Uhr), wenn ein neues Update zur Verfügungsteht. Sie finden die Updates auch auf derMicrosoft-Webseite (http://windowsupdates/microsoft.com)2. Installieren Sie einen alternativen Browser,zum Beispiel Mozillas Firefox 1.0 (www.firefoxbrowser.de)oder Opera 7.54 (www.opera.com).Zwar weisen auch diese Programme ab und zuSicherheitslücken auf, doch sind sie selten dasZiel von Viren und Hacker-Angriffen, da sie nurwenig verbreitet sind.3. Benutzen Sie eine Personal Firewall undein Antiviren-Programm, und aktualisieren Siedas Antiviren-Programm am besten täglich.• Es erscheinen plötzlich Dialogfensteroder Icons und Verzeichnisse von Programmen,die Sie nicht installiert haben.• Der Rechner ist ungewohnt langsam,die Festplatte ständig in Betrieb.• Internet-Downloads und Mailversandwerden deutlich langsamer.• Dateien tauchen auf dem Rechner plötzlichauf und verschwinden wieder.4. Setzen Sie wirkungsvolle Antispyware-Toolsein.Die Kombination vonAntiviren- und Anti-Spyware-Software sowie einerFirewall garantiert den besten Schutz. Solltendie beiden ersten Programme versagen, sokann die Firewall immer noch als letzte Instanzden Verbindungsaufbau unterbinden.5. Windows-2000- und XP-Anwender könnensich einen eigenen Benutzer-Account einrichten,dem nur Rechte zum Surfen gegeben werden.Das verhindert, dass ein Angreifer überdas Internet Zugriff auf ihre Daten bekommt.6. Bleiben Sie misstrauisch. Einen hundertprozentigenSchutz vor Viren und Hacker-Angriffengibt es nicht. Auch beim Einsatz der besten Sicherheits-Softwaresollten Sie Ihren Rechner nieunnötig lange am Netz lassen. Sie sollten Mailanhängeweder öffnen noch installieren, wennsie aus einer unbekannten Quelle stammen.Was Sie gegen Backdoors tun könnenGefahr erkannt, Gefahr gebannt. So gehenSie gegen eine Backdoor auf dem PC vor:1. Trennen Sie zunächst die Verbindungzum Internet. Ziehen Sie im Notfall denStecker des Netzwerk- oder Modemkabels.2. Schalten Sie alle Dienste und Programmeab, die auf das Internet zugreifen.3. Benutzen Sie einen Virenscanner mit aktuellenSignaturen und ein effektives Antispyware-Programm.Backdoor-Hacker: Die US-Gruppe „Cult Of The Dead Cow“ entwickelte das Programm „Back Orifice“, mit dem überdas Internet fremde Rechner übernommen und ferngesteuert werden können4. Installieren Sie ein Portscan-Programm,zum Beispiel den Angry IP Scanner.Machen Sie damiteinen Portscan, und schließen Sie per Firewallalle Ports, die nicht geöffnet sein müssen(2 Artikel ab Seite 100). Dazu könnenSie zum Beispiel das Programm TCP-Viewverwenden.5. Installieren Sie Microsofts Baseline SecurityAnalyser (www.microsoft.com/technet/security/tools/mbsahome.mspx). Das Gratis-Toolüberprüft alle Sicherheitseinstellungen,Updates, Firewalls, Kennwörter, Freigabenund Benutzerrechte Ihres Rechners, bewertetdiese und schlägt bei Bedarf Abhilfe vor.6. Überprüfen und erneuern Sie regelmäßigalle Passwörter. Hinweise zu sicherenPasswörtern finden Sie im 2 Artikel abSeite 72.PC-WELT EXTRA 2/2005 www.pcwelt.de123