Hacker's Black book
Dieser Report ist in zweierlei
Hinsicht hilfreich. Er soll Menschen, die ihr Passwort verloren haben, die Möglichkeit
geben, es durch Anwendung einfacher Techniken ohne lange Wartezeiten zurückzubekommen
und Besitzern von Websites mit geschütztem Inhalt ermöglichen, diese Inhalte
zu schützen.
Webmaster, die die in diesem Report beschriebenen Techniken kennen, haben wesentlich bessere Aussichten, Ihre Website sicher gegen Eindringlinge zu schützen.
Hacker's Black Book C copyright 1998,1999 Walter Völl
Unter der URL:
http://zaehlwerk.de/banner/secure/
befindet sich der Mitgliedsbereich zu diesem Report. Dort finden Sie
Utilities und Tools, um die in diesem Report beschriebenen Techniken
nachzuarbeiten.
Ihr
Login: januar2000
Ihr Passwort: xxx2345
Inhaltsverzeichnis
Schwache
Passwörter
Login-Generator
nicht sicher
Die
einfachste Art von Passwortschutzsystemen ist der sogenannte JavaSeript-Schutz.
Dabei wird der Benutzer beim Betreten einer Seite oder beim Anklicken eines
bestimmten Links dazu aufgefordert ein Passwort einzugeben. Diese Art von Schutz
ist sehr einfach und bietet nur ein Minumum an Schutz. Beim Betrachten des
HTML-Quellcodes der Seite findet sich dann oftmals ein JavaScript-Code ähnlich
dem folgenden:
<head><title> Website-Titel
</title> <script><P>
function jproto() {
pass=prompt("Enter your
password","password");
if
(pass = "nasenbaer") {
document.location.href=http://protectedserver.com/index.html;
}
else {
alert( "Password incorrect!" );
}
}
</script>
</head><P>
Wie
man sieht, wird das eingegebene Passwort verglichen und bei Korrektheit an eine
angegebene URL gesprungen. Nun sieht man, wie das Passwort zu heißen hat und
kann es einfach eingeben oder direkt die Ziel-URL wählen.
Oft wird auch das Passwort benutzt, um eine Ziel-URL zu generieren. Beispielsweise könnte die geheime Ziel-URL http://members.protectedserver.com/members/hu8621s.htm, das Passwort"hu862ls" würde als Teil der URL kodiert. Die entsprechende Schutz-Funktion im HTML-Code der Seite sähe dann folgendermaßen aus:
fucnction jprot () {<P>
pass=prompt ("Enter your
password","password");
document.location.href="http.//members.Proteetedserver.
com/members/
"+pass+".html";
}<P>
Hier
besteht mehr Schutz als in der ersten Variante, allerdings sind die
Verzeichnisse mittels des HTTP-Servers oft nicht gegen unerlaubtes listen des
Verzeichnisses geschätzt. Wählt man mittels des Browsers die URL http//members.protectedserver.com/members/
direkt in den Browser, so erhält man oftmals eine Auflistung aller HTML-Seiten
in diesem Verzeichnis, also auch die Seite, die über den JavaScript-
Passwortschutz angesprungen wird.
Fast
alle heute eingesetzten Webserver beherrschen den sogenannten
HTACCESS-Passwortschutz. Zuerst wurde er vom Apache- Webserver eingesetzt,
mittlerweile sind jedoch viele andere Webserver zum HTACCESS-Standard
kompatibel. Daher wird er auch sehr häufig von sogenannten Paysites eingesetzt.
Z.B. die Websites www.playgal.com oder www.hotsex.com setzen diesen
Schutzmechanismus ein.
Eine
Website, die HTACCESS einsetzt, ist daran zu erkennen, daß bei betreten des
Mitgliedsbereichs ein Popup-Dialog erscheint (NICHT JavaScript-generiert), der
folgender maßen aussieht:
Um
die Arbeitsweise dieses Schutzes zu verstehen, sollte man einige Gmndlagen des
Unix-Betriebssystems kennen. Unter Unix (bzw. Linux, BSD etc.) und auch unter
Windows-Webservem wie dem Microsoft IIS sind die HTML-Dokumente wie auch bei
einem normalen PC hierarchisch in Verzeichnisstrukturen angeordnet und abgelegt.
Man spricht hier insbesondere von einer"Baumstruktur". Die Wurzel des
Baumes (engl. "Root") ist die Domain selber ohne weitere
Informationen. Zum Beispiel www.ibm.com ist die Domain und diese ist das Root
der Verzeichnisstruktur. Wenn in dem Verzeichnis "secure" nun die zu
schützenden HTML- Dokumente und Grafiken liegen würden, so müßte in diesem
Verzeichnis nun ein HTACCESS-File abgelegt werden. Das File muß den Namen
".htaccess" (mit Punkt davor) tragen. Das HTACCESS- File legt fest in
welcher Datei die Passwörter liegen und auf welche Art das Verzeichnis zu schützen
ist. Das HTACCESS-File sieht folgendermaßen aus:
AuthUserFile
/usr/home/myhomedir/passes
AuthName
MyProteetedSite
AuthType
Basic
<Limit
GET POST PUT>
require valid-user
</Limit><P>
Diese
HTACCESS-Datei legt fest, daß das Passwortfile die Datei lusr/homelmybomedir/passes
auf dem Server ist. Sinnvoller Weise sollte die Passwort-Datei nicht im Bereich
der HTML-Dokurnente liegen, also nicht via WWW zugehbar sein. Die Optionen
"AuthName" gibt an, welche Bezeichnung im PopUp-Dialog erscheinen soll
(im Dialog oben beispielsweise "playgal").
Das
interessante am HTACCESS-Schutz ist, daß durch das HTACCESS-File auch alle
Unterverzeichnisse unterhalb des Verzeichnisses, in dem sich die HTACCESS-Datei
befindet, mitgeschützt sind. Und dies bis zu einer beliebigen Tiefe. In unserem
Beispiel könnte man also unterhalb des Verzeichnisses "secure"
beliebig viele weitere Verzeichnisse anlegen. Diese waren alle geschützt.
Wie
sieht nun die Passwort-Datei selber aus? Im Folgenden eine beispielhafte
Passwort-Datei:
robert:$1$4A$JRL0VdCRzYtbpekrLBYzl/
manfred:$1$30$ddEyRldHykHUo654KE01i/
thomas:$1$sa$09grZEC5VRIWw.QkLA/Ge/
Für
jedes Mitglied enthält die Passwortdatei eine Zeile, die aus zwei Teilen
besteht, die durch einen Doppelpunkt getrennt sind. Der erste Teil ist der
Login-Name, der zweite Teil enthält das Passwort in verschlüsselter Form.
Diese Verschlüsselung ist sehr sicher. Sie ist maschinenspezifisch. Das heißt,
daß selbst wenn man diese Passwortdatei in die Finger bekommen würde, könnte
man aus den verschlüsselten Passwörtern nicht die wirklichen Passwörter zurückberechnen.
Bei der Passworteingabe wird das Passwort durch die
Unix-Systemfunktion"crypt(" kodiert und mit dem in der Passwortdatei
abgelegten verschlüsselten Passwort verglichen. Ist es gleich, so ist der Login
OK. )
Schwache
Passwörter
Wie
man also erkennen kann, ist es sehr schwierig, in Websites, die mittels HTACCESS
geschützt sind, zu gelangen. Allerdings sind manche Webmaster einfach zu dumm,
den HTACCESS Schutz richtig einzusetzen, und bieten so dem Angreifer einige Möglichkeiten.
Ein schwaches Passwort ist ein Passwort, daß leicht erraten werden kann. Hier einige der am häufigsten eingesetzten Username/Password Kombinationen:
asdf/asdf 123456/123456 fuck/me
qwertz/qwertz qwerty/qwerty qlw2e3 abc123
Besonders die großen Pay-Websites, die einige tausend Mitglieder haben, ist es sehr wahrscheinlich, daß solche "schwachen" Passwörter dabei sind. Außerdem muß man sich vorstellen, daß einige Mitglieder in vielen verschiedenen Websites Mitglied sind und sich nicht alle möglichen Passwörter merken wollen.
Daher
wird auch oft der Name der jeweiligen Website von den Mitgliedern als Passwort
gewählt.
Beispiel:
www.hotsex.com:
username: hot, password: sex
www.hotbabes.com:
username: hot, password: babes
Oder
die Mitglieder benutzen einfach nur ihren Namen. Dabei sind natürlich die am häufigsten
vorkommenden Namen besonders interessant:
Im
Amerikanischen zum Beispiel
john/smith john/john miller/miller
rick/rick frank/frank
und
weitere mehr. Im Deutschen sind natürlich andere Namen interessanter.
Der einfach zu merkende Login bestehend aus "username/password", so wie er auch irn Passwort-Dialog gefragt wird, kommt auch häufig vor.
Das
schwächste von allen Passwörtern ist allerdings das sogenannte "ENTER"
- Passwort. Dabei muß beim Erscheinen des Passwort- Dialogs einfach bestätigt
werden, ohne überhaupt etwas einzugeben Hat nämlich der Webmaster beim
Erzeugen neuer Mitglieds-Daten einfach ohne eingabe irgendwelchen Daten aus
versehen einmal unbemerkt sein Toot gestartet, so befindet sich im Passwort-File
ein eben solcher"leerer" Eintrag.
An
den engagierten Webmaster richten sich folgende Sicherheitstips:
Direktes
Hacken der Passwort-Datei
Normalerweise sollte es nicht möglich
sein, an das Passwort-File zu gelangen.
In
einigen Fallen ist es jedoch möglich, daran zu kommen, und zwar in folgenden
Fallen:
Die
Passwort-Datei liegt im public html-Bereich des Webservers, also in den
Verzeichnissen, in denen auch die via WWW zugänglichen HTML-Dokumente liegen.
Auf
dem Webserver haben viele User einen eigenen virtuellen Webserver
Der
zweite Fall tritt dann auf, wenn der Website-Betreiber seinen Webserver bei
einem großen Webspaceprovider mietet, der auf einem Rechner viele weitere
Webserver betreibt (z.B. www.webspace- service.de, www.webspace-discount.de,
www.simplenet.com etc.) Dann ist es möglich, an die Passwortdatei zu kommen,
falls man auf dem gleichen Rechner einen Account hat und die Passwortdatei öffentlich
lesbar ist. Dann kann man mittels FTP oder TELNET in das Verzeichnis wechseln,
indem derjenige seine Passwortdatei aufbewahrt und diese lesen. Mittels eines
Brute-Foree-Passwort- Crackers wie "Crack V5.O" lassen sich dann die
Passwörter zurückberechnen. Das Programm braucht allerdings oft viele Stunden
dazu und es fährt nicht immer zum Erfolg.
Für einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf einem Webserver betreiben, den er sich mit anderen Websites teilen muß.
Die
Admin-Tools
Viele
Webmaster der Paysites haben einen sogenannten "Admin- Bereich", der
nur für sie selber gedacht ist. Dort erzeugen Sie neue Passwörter oder löschen
alte Passwörter etc. Oft liegen diese Admin-Bereiche jedoch nicht in einem
Passwortgeschützten Bereich. Die Webmaster denken nämlich, es würde ja keiner
die URL ihres Admin-Tools kennen. Aber die URL ist manchmal einfach zu erraten.
Oft heißt die URL
oder
Man
sollte auch weitere Namensmöglichkeiten austesten. Denn gelingt es, an die
Admin-Seite zu kommen, so ist man natürlich am allerbesten bedient: Man kann
selber so viele neue Passwörter hinzufugen, wie man möchte!
Phreaken
Unter
"Phreaken" versteht man den einsatz von falschen Informationen, um
sich bei einer Paysite als neues Mitglied zu registrieren. Das ist natürlich
verboten und diese Hinweise hier sollen in erster Linie den Webmastem dienen,
damit sie sich vor solchem Mißbrauch schützen können.
Wir
wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die
Mitgliedschaft online via Kreditkarte bezahlt wird und danach sofortiger Zugang
erteilt wird.
Phreaker
benutzen dazu einen anonymen lnternetzugang. Dazu wird oft der Test-Zugang von
AOL mißbraucht. Test-Mitgliedschaften finden sich nahezu in jeder
Computerzeitung. Aber auch okay.net bietet sofortigen Zugang nach Angabe aller
Daten. Dabei meldet man sich mit Phantasienamen und irgendeiner Kontoverbindung
an, die man aus irgendeiner Rechnung oder sonstwo her kennt. Schon ist man einen
Monat lang anonym via AOL oder okay.net im Internet unterwegs.
Desweiteren
benötigt man eine "gültige" Kreditkarten-Nummer (vorzugsweise VISA
oder Mastercard - in Deutschland Eurocard). An diese zu kommen, ist schon etwas
schwieriger. Eine gängige Methode ist es, einen sogenannten "Credit-Card-Generator"
wie z.b. "Credit Wizard" oder"Cardpro"
oder"Creditmaster" einzusetzen. Ein Suchen mittels "metacrawler.com"
und den Begriffen "Credit Card Generator" o.ä. bringt oft schon die
gewünschten Programme.
Dazu
sollte man wissen, daß die Online-Transaktionszentren nicht genau überprüfen
können, ob eine Kreditkartennummer wirklich existiert und wem sie gehört. Es
gibt lediglich bestimmte Algorithmen, um die Nummer und die Gültigkeitsdaten
einer Kreditkarte auf eine gültige Struktur hin zu überprüfen. Daher kann man
bei der Anmeldung beliebige Namen und Adresse angeben und eine der generierten
Nummern. Allerdings liefern die Generatoren nicht das dazugehörige Gültigkeitsdatum.
Jedoch
gibt es einen einfachen aber recht wirksamen Trick, um Kartennummern mit
richtigem Gültigkeitsdatum zu erhalten: Die meisten der obengenannten Programme
bieten die Möglichkeit, aus einer real existierenden Kreditkarten-Nummer neue
Nummern zu generieren. Dieses Verfahren wird"Extrapolation" genannant.
Die generierten Nummern unterscheiden sich meist nur in den letzten Stellen und
da die Kartennummern bei den Kreditkarten- Herausgebern in der Regel in
aufsteigender Reihenfolge vergeben werden, haben die so generierten
Kartennumrnern meistens das Gültigkeitsdatum der Karte, von der aus
extrapoliert wurde. Folgendei Bildschirmauszug zeig den Extrapolationsvorgang:
Dabei
kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer Nummer
neue Kartennummern berechnen. Das Gültigkeitsdaturn ist dann mit größter
Wahrscheinlichkeit bei den extrapolierten Nummern identisch mit dem Gültigkeitsdatum
der eigenen, realen Kreditkarte.
Dabei
braucht der Benutzer dieser Techniken keine Angst zu haben, daß man ihn zurückverfolgen
kann. Der Zugang mittels anonymer AOL-Testzugänge bietet maximalen Schutz.
Steht kein solcher Zugang zur Verfügung' sollte ein "Anonymizer"
benutzt werden. Einen solchen findet man beispielsweise unter www.anonymizer.com.
Surf man über den Anonymizer, ist die IP-Adresse nicht zurückverfolgbar. Eine
etwas schwächere Variante, seine IP-Adresse zu verstecken ist die, einen
Proxy-Server zu benutzen. Die meisten lnternet-Zugangsprovider bieten die Möglichkeit
an, Ober einen Proxy zu surfen.
Aber
Achtung: Benutzen man seinen eigenen lnternet-Zugang, also keinen anonymen
AOL-Zugang oder Anonymizer oder Proxy, so kann der Betreiber der Website, bei
dem man sich mittels der falschen Kreditkartendaten anmeldet, mittels der
IP-Adresse, die der Server protokolliert, herausfinden, wer ihn betrogen hat
bzw. es versucht hat. Dazu braucht er lediglich Ihren Zugangsprovider zu
kontaktieren und ihm die IP-Adresse mitzuteilen. Die Provider führen i.d.R. über
die letzten 80 Tage ein Protokoll, wann wer mit welcher IP-Adresse online war.
Manche
Pay-Sites geben möglichen neuen Mitgliedern während der Anmeldeprozedur
bereits vor der eigentlichen Zahlung die Möglichkeit, einen Mitgliedsnamen zu wählen.
Ist der gewünschte Name bereits vergeben, wird dies mitgeteilt und man soll
einen anderen Namen wählen. Gibt man beispielsweise "John" als
Mitgliedsnamen ein, so sagt der Server meistens, daß der Name bereits vergeben
ist. Das ist natürlich eine prima Voraussetzung für die oben genannten Tricks
zum Erraten von Passwörtern. Denn nun weiß man, daß es zumindest den Namen
"John" schon gibt, somit muß nur noch das entsprechende Passwort
erraten werden. Das ist eine wesentliche bessere Ausgangslage, als wenn man
Passwörter zu Useramen erraten muß, von denen man gar nicht weiß, ob sie Überhaupt
existieren!
Als
Webmaster einer Paysite sollte man also darauf achten, daß das Neumitglied erst
nach verifizierter Zahlung seinen Usernamen wählen kann!
Login-Generator nicht sicher
Oftmals ist es so, daß das Neumitglied zur Zahlung von der Paysite zu einem Kreditkarten-Service geschickt wird (z.b. www.ibill.com). Nach Verifizierung der Zahlung kommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort entsprechend weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu einem Formular geschickt, mit dem die Login-Daten erzeugt werden. Das Neumitglied kann einen Usernamen und ein Passwort wählen und erhält nach wahl derer sofortigen Zugang. Das Formular fügt die Daten automatisch in die Passwort-Datei ein. Hier liegt jedoch ein oft gemachter Fehler: Geht man nach Erzeugung
eines
Usemame/Passwort-Paares einfach mittels des "Back"-Buttons des
Browsers zurück zum Formular, so kann man auf einfache und legale Weise ein
weiteres Username/Passwort-Paar erzeugen und das immer wieder.
Als
Webmaster sollte man folgende zwei Schutzmechanismen einsetzen:
Das
Kreditkarten-Unternehmen sollte nach erfolgreicher Prüfung einen einmaligen
PIN-Code übermitteln, den man dann aus der liste der noch gültigen PIN-Codes
streicht und so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung
nur genau EINMAL eingesetzt werden kann. Dieses Verfahren wird von den meisten
Kreditkarten-Unternehmen auch als "One-Time PIN- Hardcoding"
bezeichnet. Das Script, daß die Usemamen/Passwörter erzeugt, sollte auch
mittels der HTTP-REFERRF-R-Servervariablen überprüfen, ob der User auch vom
Kreditkartenuntemehmen kommt. Sonst kann ein gewiefter Hacker ein Script
schreiben, das von seinem Rechner aus einfach solange verschiedene PIN-Nurninern
ausprobiert, bis es eine noch gültige findet. Sind die PIN z.B. siebenstellig,
so dauert es im statistischen Mittel nur 5000 Sekunden, bis man eine gültige
PIN findet, wenn das Scriptjede Sekunde eine PIN testct. Bei einer schnellen
lnternelverbindung sind jedoch auch mehrere Tests pro Sekunde möglich!
Bilder nicht in geschützten
Verzeichnissen
Dieser Fehler ist einer der häufigsten, da er leicht übersehen wird: Wie bereits erwähnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis und alle Unterverzeichnisse geschützt. Befinden sich die Bilder der Mitgliederseiten jedoch in einem Verzeichnis, das nicht in dieser geschützten"Baumstruk-tur" enthalten ist, so kann dieses Verzeichnis und die Bilder darin ohne Eingabe von Username/Passwort angesehen werden. Besonders einfach ist es dann, wenn das Bilder-Verzeichnis auch nicht gegen auflisten geschützt ist. Dann genügt das Eingeben des Pfades um alle Bilder aufzulisten. Diese Bilderverzeichnisse haben oft den Namen "images" oder"gfx", "pic", "pix", "pictures ... .. pie ... .. graphics". Ein einfaches Durchprobieren mit etwas Phantasie führt hier bereits oft zum Erfolg.
Das.htaccess-File
liegt im Geschützten Verzeichnis "members". Dort liegen auch die
HTML-Dokumente für die Mitglieder. Die dazugehörigen Bilder liegen jedoch in
diesem Beispiel im Verzeichnis "images," welches nicht in der
members-Hierarchie ist und somit nicht passwortgeschützt ist. Handelt es sich
beispielsweise um www.pornsite.com als root dieser Paysite, so kann im Browser
einfach die URL www.pornsite.com/image eingegeben werden, und man erhält eine
Liste der gesammelten Bilder (vorrausgesetzt, das Directory-Browsing ist nicht
serverseitig ausgeschaltet).
Diese
Möglichkeit ist etwas komplizierter als die anderen beschriebenen, denn es müssen
einige Vorraussetzungen getroffen werden: Sie müssen in einem LAN (Ethernet-Netwerk)
an einem Rechner sitzen und Root-Access haben. Dann kann man einen sogenannten
"Packet-Sniffer" wie beispielsweise "SNOOP" einsetzen.
Packet-Sniffer findet man meist als C-Sourcecode im Internet. Diese kurzen
Sourcecodes muss man dann nur noch mittels gcc auf der UNIX-Shell compilieren
und schon ist es möglich, die Pakete, die zu und von anderen Rechner im LAN
gesendet werden, abzuhören. Denn Ethemet-Netzwerke setzen die sogenannte "Broadcast"-Technologie
ein. Ein Paket, daß für einen Rechner in einem LAN bestimmt ist, wird im
Prinzip an alle Rechner im LAN ausgesandt. Packet-Sniffing ist also wiederum
besonders in den Fallen gefährlich, bei denen man bei einem Webspace-Provider
seinen Webserver mietet und sich dort naturgemäß mit vielen anderen Kunden in
einem LAN befindet. Ein Beispiel ist www.pair.com, einer der größten
kommerziellen Webspace-Provider in den USA. Dort befinden sich über 70
Webserver in einem LAN, auf dem z.Zt. Ober 30.000 Kunden einen virtuellen
Webserver betreiben!
Als
Schutz gegen Packet-Sniffing bietet sich der Einsatz eines "Segrnenied
Networks" an. Bei einem solchen Netzwerk wird nicht die
Boradcast-Technologie benutzt, sondem die Pakete werden direkt mittels
Rouling-Tabellen zu dem Ziel-Rechner geroutet. Eine besonders für Web-Smer
geeignete Lösung ist der Einsatz von SSL (Secure Sockets Layer). Dies Protokoll
ve@schlüsselt alle Pakete, die somit zwar noch abgefangen werden können, aber
nicht mehr gelesen werden können. SSL wird von den meisten
Webhosting-Unternehmen gegen geringen Aufpreis angeboten. SSL-Verschlüsselte
Webinhalte sind am Protokoll-Prefix"hnps:/P'zu erkennen. Zum Betrieb einer
SSL-geschützten Wcbsite muß man eine SSL-ID haben, die es beispielsweise bei
www.verisipn.co gibt. Ein kleiner Nachteil ist jedoch, daß HTTPS-Verbindungen
etwas langsamer sind als gewöhnliche HTTP-Verbindungen, da ein relativ hoher
Verschlüsselungs-Overhead existiert.
Trojanische Pferde Back Orifice
und NetBus
Back Orifice:
Die amerikanische Hackergruppe Cult Of The Dead Cow (http://www.cultdeadcow.com) veröffentlichte ein Programm mit dem Namen "Back Orifice", das sie als "Fernwartungswerkzeug für Netzwerke" bezeichnet. Daß die Intention eine andere ist, ergibt sich schon aus dem Namen: Back Orifice (hintere Öffnung) übersetzt man hier am besten mit "Hintertür", denn das Programm macht es fast zum Kinderspiel, Schindluder mit Windows-PCs zu treiben. Witzig die Anspielung auf MicroSoft's "Back Office"-System.
Das
nur 124 KByte große "Server-Modul" läßt sich nämlich an ein
beliebiges Windows-EXE-Programm koppeln, um es nichtsahnenden Anwendern
unterzuschieben. Wird die Datei unter Windows 95 oder 98 ausgeführt, klinkt
sich der Server quasi unsichtbar im System ein. Von diesem Moment an wartet das
trojanische Pferd nur noch darauf, über das UDP-Protokoll geweckt zu werden.
Mit
dem Client laßt sich bequem auf den befallen Rechner zugreifen. Unter anderem
kann man das Dateisystem manipulieren (Dateien runterladen, hochspielen etc.),
Tasks beenden, uvm. Die Funktionsweise des Back Orifice ist schon aus anderen
Hacker-Tools bekannt; neu ist In erster Linie der Bedienungskomfort der
grafischen "Wartungskomponente" -- wenige Eingaben und Mausklicks genügen,
um Prozesse zu beenden, Tastatureingaben zu protokollieren, die Windows-Registry
zu manipulieren oder IP-Adressen umzuleiten.
Einen
interessanten Praxisbericht findet man unter der deutschen Adresse
http://www.puk.de/Back
Orifice/default.html
oder
http://www.bubis.com/glaser/backorifice.htm
Um Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es Programme wie BoDetect , (hitp://www.spiritone.coni/-cbenson/current_projects/backorificefbaekorifice.htm) oder das Programm BORF-D (http://www.st-andrews.ac.uk/-sjs/boredfbored.html)
Es
ist aber auch manuell sehr einfach, Back Orifice zu entfernen: Öffnen Sie die
Registry (regedit.exe ausführen) und schauen unter dem Schlüssel
HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
nach
einem Eintrag mit dem Namen ".exe" (Default- Filename) bzw. mit einem
Eintrag der Lange 124,928 (+/- 30 Bytes). Löschen Sie diesen Eintrag; er
bewirkt, daß der "Back Orifice"-Server .bei jedem Windows-Start
automatisch aktiviert wird.
Das
Programm selbst liegt im allgemeinen im Verzeichnis "\Windows\System"
und ist daran erkennbar, daß es kein Programm- Icon hat und eine Größe von
122 KByte (oder geringfügig mehr) besitzt. Sollten Sie die Datei aus
irgendwelchen Gründen nicht finden, kann es Ihnen helfen, daß verschiedene
Informationen als ASCII-String im Prgramrn-Code zu finden sind; so ist mit großer
Wahrscheinlichkeit die Zeichenkette "bofilernappingcon" enthalten, die
Sie über Suche im Explorer finden werden.
Zusätzlich
zur "Back Orifice-Prgramm-Datel" wird im selben Verzeichnis noch die
"WINE)LL.DLL" zum rnitloggen von Tastatureingaben installiert, die Sie
auch sinnvoller Weise löschen, die aber alleine keinen Schaden anrichten kann.
Das
Problem bei Back-Orifice ist, daß es schwierig ist, die IP-Adresse des Hosts zu
erkunden, da diese sich ja bei jedem Einwählen des befallenen Rechners ändert.
Dieses Problem gelöst, und eine noch mächtigere Lösung geschaffen hat
Carl-Fredrik Neikter mit seinem Programm "Netßus", welches recht ähnlich
ist. Es bietet noch weitgehendere Funktionen und ist einfacher zu installieren.
NetBus:
Nachdem
Sie sich die entsprechende Datei hemngergeladen haben, sollten Sie diese
entpacken. Nun erhalten Sie drei Dateien: NETBUS.EXE, NETBUS.RTF und PATCH.EXE
Bei
PATCH.EXE handelt es sich um das gefährliche lnfizierungsprogramrn, das
eigentliche Trojanische Pferd. Starten Sie diese Datei also nicht! D ie Datei
NETBUS.RTF enthält eine kurze englische Anleitung des Authors. Die Datei
NETBUS.EXE ist der "Client" mit dem Sie auf infizierte Server
zugreifen können. Diese können Sie ohne Sorgen starten. Starten Sie zum Testen
den Server auf Ihrem eigenen Rechner, indem Sie eine DOS- Eingabeaufforderung öffnen
und im Verzeichnis von NetBus den Server mit dem Parameter,Jnoadd" starten,
also
PATCH.EXE /noadd [RETURN]
Nun
läuft der Server. Jetzt können Sie den Client starten (NETBUS.EXE
doppelelicken) und auf Ihren eigenen Rechner' zugreifen. Wählen Sie dazu als
Adresse "localhost" oder " 127.0.0. 1 " Wenn Sie den Server
beenden wohlen, wählen Sie irn Client"Server Admin" und dann "Close
Server".
Außerdem
kann das Infizierungsprogramm so geändert werden, daß es die IP- Adresse
automatisch an eine von ihnen gewählt Email-Adresse schickt, sobald jemand mit
einem von NetBus infizierten Rechner in das Internet geht. Dies ist der
gewaltige Vorteil gegenübe r Back Orifice. Dazu wählt man im NetBus-Client den
Button "Server Setup" und gibt die entsprechenden Informationen ein.
Schwierig ist es lediglich, einen freien Mail-Server zu finden, der Mails von
jeder IP- Adresse akzeptiert. Dann wählt man "Patch Srvr" und wählt
die zu patchende Infiziemngsdatei (standardmaßig "patch.exe").
Wer versucht, einen anderen Rechner zu infizieren, kann die Datei PATCH.EXE nun einfach per Email an einen anderen lnternetnutzer schicken und die Datei als "Windows-Update" oder als irgendeine tolle lustige Anirnation bezeichnen. Die Datei kann dazu beliebig umbenannt werden (z.b. Win98update.exe oder siedler2_patch.exe etc.). Wird die Datei nun gestartet, passiert optisch garnichts. Jedoch hat sich der NeiBus-Server bereits auf dem Rechner versteckt installiert und wird von nun an jedesmal automatisc 'gestartet, wenn der Rechner gebootet wird.
Hat
man obige Veränderungen am lnfizierungsprogramm vorgenommen, bekommt man nun
immer automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald
dieser online ins Internet geht. Diese IP-Adresse können Sie nun im Netßus-Client
eingeben und den Rechner manipulieren.
Hacker
benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei
holmail.com oder maii.com gibt.
Um
Ihr System zu schützen, empfiehlt sich Norton Antivirus http://www.symantec.de/region/de/avcenter/
welches neben NetBus auch Back Orifice erkennt. Sie können auch wiederum
manuell arbeiten. Der automatische NetBus-Start ist in der Registry unter
"\liKEY-LOCAL-MACHINESOFTWARF,\Microsoft\Windows\CurrentVersion\Run"
eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren
(patch.exe, sysedit.exe oder explore.exe sind einige bekannte Namen)
Weiterführende
lnfo finden Sie unter
http://www.bubis.com/glaser/netbus.htm
Tip
des Autors
Sollten Sie beabsichtigen, einen Passwortgeschützten internetservice zu betreiben, so kommen Sie nie auf die Idee, einen Microsoft NT- Webserver einzusetzen! Windows NT hat ein Sicherheitssystem, das mehr Löcher hat, als ein Schweizer Käse. Statt dessen sollten Sie ein Unix-Systein wählen. Leider bieten deutsche Webspacc-Provider größtenteils NT-Lösungen an. Hier heißt es also, Ausschau halten und ggf konkret bei einem Webspace-Provider nach einem Unix-Server fragen! Ein wesentlicher Vorteil eines Unix-Servers ist neben der Sicherheit der Vorteil, daß man sich dort auch per TELNET einloggen kann und so wesentlich mehr Kontroller über den Server hat. Bei NT- Servem ist dies nicht möglich! Empfehlenswert und preiswert sind besonders unter BSDI oder Linux laufende Webserver. Wie jeder weiß, ist Linux sogar kostenlos und Apache, einer der besten Webserver, ist ebenfalls kostenlos erhältlich. Außerdem sollte man auch die Performance-Vorteile eines Unix-Systems nicht unterschätzen. Besonders im Bereich Traffic-starker Webangebote wird fast ausschließlich Unix eingesetzt. Sollten Sie also beispielsweise ein Erwachsenen-Angebot mit vielen tausend Bildern etc. planen, so lege ich Ihnen den Einsatz eines Unix-Server wftmstens ans Herz. Eine interessante Website zum Thema"Unix vs. NT" findet sich unter
http://www.lat-mermany.com/maRazin/unix-nt.htm
§202a
Ausspähen von Daten: 1. Wer unbefugt Daten, die
nicht für ihn bestimmt und gegen unberechtigten Zugang besonders
gesichert sind, sich oder einem anderen verschafft, wird mit
Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. |
§263 Computerbetrug: 1. Wer
in der Absicht, sich oder einem Dritten einen rechtswiedrigen Vermögensvorteil
zu verschaffen, das Vermögen eines Anderen dadurch beschädigt, daß er
das Ergebnis eines Datenverarbeitungsvorgangs durch Verwendung unrichtiger
Einwirkungen auf den Ablauf beinflusst, wird mit Freiheitsstrafe bis zu fünf
Jahren oder mit Geldstrafe bestraft. |
§303a Datenveranderung: 2.
Wer sich rechtswiedrig Daten (§ 202a Abs. 2) löscht, unterdrückt,
unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei
Jahren oder mit Geldstrafe bestraft. 3. Der Versuch ist strafbar. |
§'303b Computersabotage: 1
.Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes
Unternehmen oder eine Behörde von wesentlicher bedeutung ist, dadurch stöhrt,
daß er ... a) eine Tat nach $ 303a Abs. , 1 begeht oder b) eine
Datenverarbeitungsanlage oder einen Datenträger zerstöhrt, beschädigt,
unbrauchbar macht, beseitigt oder verändert, wird mit einer
Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. 2. Der
Versuch ist strafbar. |
1.Eine Pemn, die gerne die Details von programmierbaren Systemen erforscht und versucht, deren Möglichkeiten auszudehnen.
2.
Jemand, der enthusiastisch (sogar obsessiv) programmiert oder lieber
programmiert, als nur über Programme zu theoretisieren.
3.
Eine Person, die hack values zu schätzen weiß
4.
Eine Person, die gut darin ist, schnell zu programmieren
5.
(missbilligend) Jemand, der sich hemmungslos überall einmischt und versucht
Informationen aufzudecken, indem er herumschnüffelt. Daher Password Hacker,
Networt Hacker.
Der
korrekte Begriff ist Cracker (Aufbrecher),
Der
Begriff Hacker'beinhaltel oft auch die Mitgliedschaft in der weltweiten
Netz-Gemeinschaft (z.B. lnternet). Er impliziert, daß die beschriebene Person
sich an die Hackerethik hält (hacker ethic). Es ist besser, von anderen als
Hacker bezeichnet zu werden, als sich selbst so zu bezeichnen. Hacker betrachten
sich selbst als eine Art Elite (eine Leistungsgesellschaft, die sich durch ihre
Fähigkeiten definiert), allerdings eine, in der neue Mitglieder sehr willkommen
sind. Daher verleiht es einem Menschen eine gewisse Beftiedigung, sich als
Hacker bezeichnen zu können (wenn man sich allerdings als Hacker ausgibt und
keiner ist, wird man schnell als Schwindler - bogus - abgestempelt).
Der
Begriff hacken kann die freie intellektuelle Erforschung des höchsten und
tiefsten Potentials von Computersystemen bezeichnen. Hacken kann die
Entschlossenheit beschreiben, den Zugang zu Computern und damit Information so
frei und offen wie möglich zu halten. Hacken kann die von ganzem Herzen
empfundene Überzeugung einschließen, dass in Computern Schönheit existiert,
dass die Ästhetik eines perfekten Programms die Gedanken und den Geist befreien
kann... ...davon ausgehend, dass Elektronik und Telekommunikation noch immer zu
großen Teil unerforschte Gebiete sind, kann überhaupt nicht vorhergesagt
werden, was Hacker alles aufdecken können. Für einige ist diese Freiheit wie
das Atmen von Sauerstoff, die erfindungsreiche Spontanität, die das Leben
lebens- wehrt macht und die Türen zu wunderbaren Möglichkei- ten und
individueller Macht öffnet. Aber für viele - und es werden immer mehr - ist
der Hacker eine ominöse Figur, ein besserwisserischer Soziopahl, der bereit
ist, aus seiner individuellen Wildnis auszubrechen und in anderer Menschen Leben
einzudringen, nur um seines eigenen, anarchischen Wohlergehens willen. Jede Form
der Macht ohne Verantwortung, ohne direkte und förmliche Überprüfungen und
ohne Ausgleich macht den Menschen Angst - und das mit Recht.
Anonymes Arbeiten
Du solltest niemanden die Möglichkeit geben, ein Profil von dir anzufertigen, dazu ist folgendes zu beachten:
o
Halte
nur zu sehr gut befreundeten Hackern Kontakt, wenn du mit ihnen Emails
austauschst, dann sollten sie natürlich mit PGP encrypted sein, zu einem
anonymen Account gehen (benutze keinen gehackten Account, besser www.hotmail.com,
www.yahoo.com, ...) unter Verwendung eines speziellen Handles, den du für
nichts anderes verwendest - du solltest den Handle/Account unregelmaessig ändern
und natuerlich auch ein neues PGP seckey-pubkey Paar erstellen (auch die
Passphrase aendern!).
o
Achte darauf, dass dein
pgp key mit mindestens 2048 bit Schlüssellänge generiert wird, ausserdem
solltest du aus Sicherheitsgemeinden nicht die 5.x Version benutzen, sondern bei
der alten 2.6.x Version!!
o
Wenn du dich unbedingt
auf den einschlägigen IRC Channels rumtreiben willst, dann ändere immer deinen
Nick und wechsel auch deinen Host (da viele Rechner im Internet keine
irc-Clients installiert haben, solltest du Relays benutzen (oder auch IP'Source
Routing und IP Spoofing, probier's aus)
o
ich weiß, daß das Ändern
des Nicks nicht so schön ist, weil man dadurch keine Reputation bei der breiten
Masse bekommt; aber Reputation ist so tödlich wie nützlich (andere Hacker
akzeptieren dich sofort und sind etwas geschwätziger dir gegenüber - um sich
zu profilieren - aber wenn du erstmal so weit bist'daß du deine eigenen
Exploits schreibst, dann bist du auf den größten Teil der Hacker sowieso nicht
mehr angewiesen, und die restlichen triffst du nicht so einfach im IRC)
o
Nützlich sind hier
sogenannte ReRouter, die eine TCP Verbindung weiterleiten, was auch schon in der
Hinsicht interessant ist, wenn man sich vor Attacken von anderen Hacker
schuetzten will, wenn man auf dem IRC zuviel Ärger verursacht hat ;-
o
Auch hier könntest du
natürlich einen speziellen Account für's IRC benutzen
Meine Arbeitsumgebung
Als
Einwahlpunkt dient mir eine große Uni mit vielen Usern oder ein großer Isp.
Ich verwende PPP statt normale Terminalprogramme um eine größere Kontrolle über
meine Verbindung zu haben und weil es von Vorteil ist, über eine Leitung
mehrere Sessions -Telnet, FTP- laufen zu lassen.
Ein
kleiner Rechner dient mir als Firewall und Router, ich baue die PPP-Verbindung
zu meinem Einwahlpunkt auf und überwache alle eingehenden Pakete. Desweiteren
stelle ich mit SSH eine Connection zum Einwahlrechner her, um periodisch alle
eingeloggten User und Netzwerkverbindungen zu verfolgen (was natürlich nur
funktioniert, wenn der Einwahlrechner eine Unix-Maschine ist und kein
Terminalserver o.ä.). Es ist sehr interessant zu sehen, was ein Administrator
alles macht, wenn er merkt, daß etwas nicht mit rechten Dingen auf seiner
Maschine vorgeht. Sobald mir solche Sondierungen/Untersuchungen auffallen,
breche ich die Verbindung sofort ab, falls ich mich aber gerade in einer
kritischen Lage befinde, muß ich DoS-Attacken benutzen oder den Admin
aussperren, um seine Arbeit zu verlangsamen, bzw. zu verhindern.
Auf dem Einwahlrechner ist es nicht nötig, seine Gegenwart zu verschleiern, es ist besser, unauffällig in der Masse unterzutauchen als irgendwelche Logs zu manipulieren.
Der
zweite, größere Rechner ist meine Workstation, von hier aus baue ich eine
SSH-Verbindung zum ersten Anti-Trace Rechner auf Dieser Anti-Trace Rechner
wechselt regelmaessig, liegt im Ausland und ich habe volle Kontrolle über ihn.
Von hier aus gehe ich ueber ein weiteren Anti-Trace Rechner zu meinem
Hacking-Rechner; auch hier habe ich natürlich 'root'-Rechte, der zweite
AT-Rechner ist nur ein einfacher TCP-Relay, damit erspare ich mir den Stress mit
den Logfiles eic. Vorn Hacking-Rechner gehe ich in sehr sichere Domains oder
hacke von hier aus neue Net@erke (es existieren selbstverständlich mehrere
dieser Rechner, die zudem unregelmäßig gewechselt werden), Zum Scannen benutze
ich einen eigens dafuer gehackten Rechner, die Scanner sind hier alle gut
versteckt und zusätzlich mit 3DES verschlüsselt.
Die
verschlüsselten SSH Verbindung sind nötig, damit die Admins/Politessen nicht
meine Aktivitäten am Einwahlpunkt (oder sonstwo) mitschneiden können.
Falls
du nur einen Rechner zur Verfügung hast, dann kannst du dich natürlich auch
mit der Firewall von Linux/FreeBSD/OpenBSD schützen. Es istjedoch komfortabler,
die Verbindung über einen speziellen Computer zu beobachten (ich weiss nicht,
inwiefern Linux und Co. einen zweiten Monitor an einem Rechner unterstützt).
Zusätzlich
solltest du noch deinen Kemel patchen, damit er dir mehr infonnationen über
eingehende Pakete liefert, somit bist du in der Lage, DoS Attacken,
Source-Routing Angriffe, Traceroutes etc. und ihre Herkunft zu erkennen.
Wichtige Links
Weiterführende
Informationen finden sich unter anderem hier
http://www.insecurity.org/nmap
http://www.sparc.com/charles/seeurity.html
http://command.com.inter.net/-sod/
http://www.cs.purdue.edu/coast/
http://www.pilot.net/security-guide.html
http://www.infonexus.corn/-deamon9
ftp://ftp.blib.pp.se/pub/cracking
so Leute das ist doch relativ lehrreich oder? ich wollte das als Vorgeschmack benutzen damit ihr Lust bekommt mein FAQ zu lesen um es zu bekommen klickt auf
oder