Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
COXRegistry<br />
HKEY_CURRENT_USER<br />
HKEY_USERS<br />
HKEY_CLASSES_ROOT<br />
HKEY_LOCAL_MACHINE<br />
HELO<br />
SMTPPort<br />
Quit<br />
Timeout<br />
......<br />
24.2 Auswertung der Informationen<br />
Haben Sie die Adresse test@sushiking.com gef<strong>und</strong>en ? Haben Sie auch das Paßwort <strong>für</strong><br />
diesen Server gef<strong>und</strong>en ? Nicht ? Egal !<br />
Ohne irgendeine Information über die innere Logik des Programmes zu haben, lassen sich<br />
aber schon sehr viele Informationen über den möglichen Sinn <strong>und</strong> Zweck dieses<br />
Programms erfahren. Besonders auffällig ist das Interesse an anderen Mailprogrammen<br />
<strong>und</strong> Bookmarks. Einige Details, wie die Einbindung von PROXY-Mechanismen <strong>und</strong><br />
Versuche, Direktverbindungen zum Internet herzustellen (es wählt tatsächlich<br />
automatisch), sind merkwürdig. Einige Auslesevorgänge der Registry <strong>und</strong> die Ermittlung<br />
von Usern auf diesem Arbeitsplatz zeigen, daß das Programm offensichtlich mehr tut, als<br />
"nur" den Internet-Explorer zu verschönern. Über diese Informationen erhalten die Hacker,<br />
die netterweise auch signiert haben, vermutlich alle relevanten Informationen über das<br />
Netzwerk des Unternehmens, <strong>und</strong> zwar bis ins kleinste Detail. Besonders bezeichnend<br />
sind die Aufrufe von Systemroutinen, die TELNET <strong>und</strong> POP3 Verbindungen im Netzwerk<br />
herstellen. Beunruhigend ist die Tatsache, daß auf Windows 95/98/NT riesige<br />
Wörterbücher schon mitgeliefert sind, mit denen ein "dictionary attack" sehr einfach<br />
möglich ist. Ob das Programm auch Angriffe ausführt, wissen wir nicht. Im Gr<strong>und</strong>e<br />
genommen spielt es aber auch keine Rolle mehr, das Programm ist absolut TABU. Wer es<br />
installiert, hat sich vermutlich ein trojanisches Pferd ins Netzwerk geholt. Weitere Angriffe<br />
über die <strong>Firewall</strong> hinweg sind somit nur noch eine Frage der Zeit. Das Programm macht<br />
den User von Zeit zu Zeit darauf aufmerksam, daß einen neue Version auf dem<br />
HomeServer bereit steht. Die Hacker können also in Ruhe alle Informationen, die ihnen<br />
von der ersten Version (Netplanet <strong>2.0</strong>) übermittelt wurden auswerten, damit der User dann<br />
eine neue, modifizierte Version mit weiteren Routinen installiert. Ziel könnten dann SQL<br />
Datenbanken o.ä. sein.<br />
Hier nun die Stellungnahme von Neoplanet mit einer Aufforderung, diesen Text<br />
vom Netz zu nehmen:<br />
please see below...<br />
> -----Original Message-----<br />
> From: root@www.intra.net [mailto:root@www.intra.net]On Behalf Of Guido<br />
> Stepken<br />
> Sent: Thursday, February 03, 2000 5:29 AM<br />
> To: sean@neoplanet.com<br />
> Subject: Re: 24.1 Analyse eines Programmes aus dem Internet<br />
><br />
><br />
> Sean Conway wrote:<br />
><br />
> > Dear Sir:<br />
> ><br />
> > In response to your recent report describing NeoPlanet as a<br />
> "Trojan Horse",<br />
> > we would like to make it clear this characterization is<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins