Das Thema Risiken und Gefahren im IT-Bereich ist äußerst vielfältig: Einerseits gibt es natürlichen Gefahren, wie Feuer oder Hochwasser. Diese sind jedoch nicht unbedingt IT-spezifisch und werden daher in dieser Arbeit nur in einem kurzen Abschnitt behandelt. Schwerpunkt sind vielmehr die Risiken, die von Personen in böswilliger und krimineller Absicht ausgehen. Diese Risiken gewinnen heutzutage immer mehr an Bedeutung: Eine Studie des Computer Security Insitut (CSI) und des Federal Bureau of Investigation (FBI) [4] beziffert den wirtschaftlichen Schaden durch Hackerangriffe und dem daraus entstehenden Informationsverlust im Jahre 2002 auf über 455 Millionen US-Dollar.
Der Oberbegriff des Hackers bezeichnet allgemein IT-Experten, die ihr Wissen dazu nutzen, in fremde Computersysteme einzudringen. Schenkt man jedoch dem Jargon der Szene Beachtung, teilt sich die Gruppe der Hacker in
unterschiedliche Richtungen auf. Hier wird der bösartige Hacker als ”Black
Hat Hacker“ oder als Cracker bezeichnet. Auch der Begriff ”Cyber Vandale“
ist in diesem Kontext zu finden.
Wer ohne das Hintergrundwissen eines Hackers dessen Vorgehen nur mit
Hilfe fertiger Programme bewerkstelligt wird im Jargon als ”Script-Kiddie“
bezeichnet. Im Gegensatz zu den ”Black Hat Hackern“ gibt es die ”White
Hat Hacker“. Diese dringen in Systeme ein, nicht um Schaden anzurichten,
sondern um die Schwachstellen des betroffenen Systems aufzuzeigen. Es sollte in Erinnerung bleiben, dass die Motivation der Hacker sehr vielfältig sein kann, auch wenn im folgenden diese Abgrenzung nicht mehr vorgenommen wird.
Inhaltsverzeichnis
1 Themenübersicht
2 Allgemeine Gefahren
3 Anatomie eines Hackerangriffes
3.1 Footprinting
3.2 Scanning
3.3 Zugriff zum Zielsystem verschaffen
3.4 Zugriffsrechte ausbauen
3.5 Exploiting the System
3.6 Zugriff auf das System aufrecht erhalten
3.7 Spuren vernichten
4 Methoden der Ausnutzung von Schwachstellen
4.1 Denial of Service Attacks
4.2 Man in the Middle Attacks
4.3 Session Hijacking
4.4 Spoofing
4.4.1 IP-Spoofing
4.4.2 DNS-Spoofing
4.4.3 RIP-Spoofing
4.4.4 ARP-Spoofing
4.4.5 Mail-Spoofing
4.5 Social Engineering
4.6 Physikalisches Eindringen
5. Malware
5.1 Viren
5.2 W¨urmer
5.3 Trojaner
5.4 Spyware
6 Computer Forensic
7 Res¨umee
8 Ausblick
Literatur
1 Themenübersicht
Das Thema Risiken und Gefahren im IT-Bereich ist äußerst vielfältig: Einerseits gibt es natärlichen Gefahren, wie Feuer oder Hochwasser. Diese sind jedoch nicht unbedingt IT-spezifisch und werden daher in dieser Arbeit nur in einem kurzen Abschnitt behandelt. Schwerpunkt sind vielmehr die Risiken, die von Personen in bäswilliger und krimineller Absicht ausgehen. Diese Risiken gewinnen heutzutage immer mehr an Bedeutung: Eine Studie des Computer Security Insitut (CSI) und des Federal Bureau of Investigation (FBI) [4] beziffert den wirtschaftlichen Schaden durch Hackerangriffe und dem daraus entstehenden Informationsverlust im Jahre 2002 auf äber 455 Millionen US-Dollar1.
Der Oberbegriff des Hackers2 bezeichnet allgemein IT-Experten, die ihr Wissen dazu nutzen, in fremde Computersysteme einzudringen. Schenkt man jedoch dem Jargon der Szene Beachtung, teilt sich die Gruppe der Hacker in unterschiedliche Richtungen auf. Hier wird der boäsartige Hacker als Black Hat Hacker“3 oder als Cracker4 bezeichnet. Auch der Begriff „Cyber Vandale“ 5 ist in diesem Kontext zu finden.
Wer ohne das Hintergrundwissen eines Hackers dessen Vorgehen nur mit Hilfe fertiger Programme bewerkstelligt wird im Jargon als „Script-Kiddie“6 bezeichnet. Im Gegensatz zu den „Black Hat Hackern“ gibt es die „White Hat Hacker“7. Diese dringen in Systeme ein, nicht um Schaden anzurichten, sondern um die Schwachstellen des betroffenen Systems aufzuzeigen. Es sollte in Erinnerung bleiben, dass die Motivation der Hacker sehr vielfaältig sein kann, auch wenn im folgenden diese Abgrenzung nicht mehr vorgenommen wird.
Um aufzuzeigen, wie die Anatomie eines Hacker-Angriffes aussehen kann, wird in Kapitel 3 der chronologische Ablauf vom Footprinting bis zur Vernichtung der Spuren eines Angriffes beschrieben.
Man in the Middle“ Attacken oder Social Engineering“ sind Methoden, derer sich Hacker bedienen, indem sie Schwachstellen ausnutzen. Diese und weitere Angriffsszenarien sollen die weitreichenden Mäglichkeiten von Hackern ins Bewusstsein räcken und zeigen, dass selbst vermeintlich sichere Systeme mit einfachen Mitteln zu umgehen sind.
Der Abschnitt Malware“ stellt kleine Programme vor, die einem Hacker entweder beim Eindringen in ein Computersystem helfen oder nur geschrieben wurden, um aus Böswilligkeit, Spaß o.ä. Schaden zu verursachen.
Zum Abschluss soll das Thema „Computer Forensic“ behandelt werden. Dieses Gebiet umfasst die elektronische Beweisführung, um gegen Angreifer vorzugehen. Bei den meisten Methoden hinterlüsst ein Hacker Spuren, die gesichert werden müssen, um den Angreifer zuerst zu identifizieren und dann zu überführen.
2 Allgemeine Gefahren
Allgemeine Gefahren8können nicht verhindert werden, ein Unternehmen kann lediglich Vorkehrungen treffen, um die Folgen von eingetretenen Gefahren zu mildern oder gar abzuwehren. Eine exemplarische Auflistung einiger Gefahren soll diese in verschiende Kategorien einordnen:
- Naturkatastrophen wie Blitzeinschlage, Feuer, Hochwasser, Sturm oder Erdbeben
- infrastrukturelle und technische Gefahren wie Stromausfall, Überspannungen, Ausfall der Klimaanlage, Wasserrohrbruch oder der Ausfall von Hardwarekomponenten
- Gefahren durch Personen, entstanden durch Unwissenheit oder menschliches Versagen
- politische Gefahren wie Terroranschlage oder kriegerische Auseinandersetzungen
Welche Maßnahmen zum Schutz vor den Auswirkungen dieser Gefahren ergriffen werden können, wird im Thema 3: „Business Continuity Planning“ dieses Seminars vorgestellt. Neben diesen allgemeinen Gefahren setzt sich ein Unternehmen durch den Einsatz von IT dem Risiko aus, der Computer- kriminalitöt zum Opfer zu fallen.
3 Anatomie eines Hackerangriffes
Angriffe auf ein System erfolgen in der Regel nach einem bestimmten Muster. Grob betrachtet versucht ein Hacker zunächst, an Informationen über das Zielsystem zu gelangen. Die Methoden dazu sind in den nachsten Unterkapiteln „Footprinting“ und „Scanning“ erläutert. Mit müglichst gutem Wissen über das Ziel kann es gelingen, sich Zugriff darauf zu verschaffen. Danach sind zunächst die Zugriffsrechte noch sehr gering und werden daher ausgebaut. Wer so weit gekommen ist hat normalerweise keine Probleme mehr, dass System für seine Zwecke zu nutzen oder es zu schädigen. Um dies auch dauerhaft tun zu können werden jetzt Mittel benötigt, um den Zugriff aufrecht zu erhalten. Sehr wichtig ist auch der letzte Schritt: Jeder Angriff hinterlässt Spuren, zum Beispiel in Log-Dateien. Damit der Angriff bestenfalls gar nicht bemerkt wird, mässen diese Spuren beseitigt werden. Spätestens jetzt hat der Hacker gewonnen. Es wird fär ihn leicht sein, nach Belieben das Angriffsmuster zu wiederholen - nur ist der Aufwand viel geringer geworden.
Die aufgefuährten Schritte sind in einer logischen Reihenfolge angeordnet. Je nach Ziel des Hackers kann es aber durchaus sein, dass der Ablauf der Attacke etwas variiert, oder dass ein Schritt nicht benoätigt wird. Beispielsweise koännte jemand nur einmalig in ein System eindringen wollen - dann braucht er natuärlich nicht den Zugriff dauerhaft aufrecht erhalten und hat es auch leichter, seine Spuren zu vernichten. In der Realitaät verschwimmen die Grenzen der im folgenden aufgefuährten Angriffsstufen natuärlich sehr stark. Viele äbliche Methoden und Hilfsmittel sind äußerst vielseitig einsetzbar. Trotzdem kann die Kategorisierung das grundsatzliche Verständnis erleichtern und einen guten Uberblick verschaffen.
3.1 Footprinting
Bevor Überlegungen zum Angriff getätigt werden, findet zunächst das Footprinting statt. Das bedeutet, es werden systematisch Informationen äber die Ziel-Organisation gesammelt, die den Aufbau der genutzten Informationstechnologie betreffen.
Einen wesentlichen Teil stellt heute die Nutzung des Internets dar. Einfach herauszufinden sind zum Beispiel die Webseiten der Organisation mittels Anfragen an die InterNIC Datenbank oder Suchmaschienen wie Google. Auf ihnen koännen schon jede Menge interessante Details zu finden sein. Weitergehend lassen sich auch einige Informationen äber die registrierten Domainnamen per WhoIs-Anfragen“ beim Registrar herausfinden, zum Beispiel Name, Adresse und Telefonnummer des angegebenen Administrators.
Mit diesem Wissen lässt sich weiterforschen: DNS-Server kännen Aufschluss äber verwendete IP-Adressen geben. Wenn vorhanden erhält man hier auch die Adresse des Mailservers, der sich meist an zentraler Stelle im Netzwerk befindet und somit ein potenzielles Ziel darstellt.
Um näheres zur Netzwerk-Topologie zu erfahren bietet sich Tracerouting zu gefundenen Rechnern an. Aus den zuräckkommenden Antworten lässt sich auf existierende Router und Firewalls schließen.
Mit etwas Gläck bietet das Internet noch mehr Möglichkeiten: Weitere angebotene Dienste (z.B. FTP) und Informationen äber das lokale Netzwerk (Intranet) sind oftmals nicht schwierig herauszufinden. Interessant fär das Footprinting kännen aber auch ganz andere, eher untechnischere, Dinge sein, die auf den ersten Blick als unwichtig erscheinen. Telefonnummern, Namen von Mitarbeitern, Wissen äber die ärtlichen Begebenheiten, usw. kännen aber später doch eine enorme Bedeutung erlangen, wie in 4.5 auf Seite 13 „Social Engineering und 4.6 auf Seite 14 Physikalisches Eindringen klar werden wird. Zur IT-Sicherheit gehärt eben nicht nur die verwendete Hard- und Software.
Das Ergebnis am Ende des Footprintings ist ein mäglichst vollständiges Profil, das die IT-Struktur der Organisation detailliert wiedergibt. Das Footprinting an sich stellt noch keinen Angriff dar und ist normalerweise vollkommen legal. Daher lässt es sich auch nicht verhindern - ein Unternehmen sollte jedoch sehr achtsam darauf sein, welche Informationen äffentlich verfügbar sind und vielleicht Angriffspunkte darstellen konnten.[10]
3.2 Scanning
Mit den im Footprinting gewonnenen oäffentlichen IP-Adressen sind bereits potenzielle Angriffsziele bekannt geworden. Beim Scanning werden diese Ziele genauer untersucht. Zunächst lassen sich durch sogenannte Ping Sweeps91010 auf ganze Adressbereiche die Zielrechner der Organisation ausfindig machen, die zur Zeit im Internet verfägbar sind. Die Menge der Ziele wird dadurch konkreter.
Jetzt kann ein gezieltes Port Scanning erfolgen11, das heißt es wird versucht, auf bestimmten TCP und UDP Ports Verbindungen aufzubauen. Dadurch laässt sich herausfinden, welche Dienste auf einem Rechner laufen, welche Anwendungen diese Dienste bereitstellen und welches Betriebssystem installiert ist.
Das Scanning ist schon ein erstes vorsichtiges Herantasten an das Zielsystem, um moägliche Schwachstellen ausfindig zu machen. Ein wirklicher Zugriff findet zwar noch nicht statt, aber die Scans koännten durchaus bemerkt werden. Doch die äblich verwendeten Tools bieten eine Vielzahl von Optionen, so dass es einige Varianten zu dem „normalen“ Ping bzw. Portscan gibt, die fast immer zum Ziel fähren und deren Erkennen nicht einfach ist .[10]
3.3 Zugriff zum Zielsystem verschaffen
Abhängig von den bisher gewonnen Ergebnissen bieten sich einem Hacker verschiedene Mäglichkeiten, sich Zugriff zum Zielsystem zu verschaffen. Er geht vom Sammelns allgemein zugänglicher Informationen dazu äber, aktiv in das System einzudringen. Es wird versucht, mägliche Schwachstellen auszunutzen, die oft in Mangeln der Software und deren Konfiguration bestehen.
Ein Hacker wird sich dabei zunaächst weniger an einem Server oder anderen zentralen Rechnern versuchen, die in der Regel gut geschätzt sind. Viel einfacher und unauffälliger ist es, Zugriff auf eine normale Workstation zu erhalten.
Zunächst werden Benutzernamen und Netzwerkfreigaben untersucht. Je nach Betriebssystem und laufenden Diensten ist die Vorgehensweise etwas anders. Typische Angriffspunkte sind beispielsweise NetBIOS Freigaben, NIS und NFS. Auf manchen schlecht geschützten UNIX/Linux-Rechnern kann auch versucht werden, die zentrale Datei /etc/passwd herunterzuladen. Schlecht gewählte Passwärter sind oft zu finden und stellen ein gutes Ziel fär Brute Force - Attacken12dar. Mit der wachsenden Rechnerleistung ist es umso leichter, Passwärter durch vielfaches Ausprobieren herauszufinden13. Weitere beliebte Methoden sind außerdem in 4 auf Seite 10, „Methoden der Ausnutzung von Schwachstellen“, dargestellt.
3.4 Zugriffsrechte ausbauen
Normalerweise ist es nicht moäglich, sofort den vollen Zugriff auf das Zielsystem zu erhalten. Der Administrator- bzw. root -Account ist meistens gut geschätzt. Hat man jedoch Benutzernamen und Kennwort eines normalen Benutzers, der zumindest eingeschraänkte Rechte besitzt, so wird ein Hacker versuchen, diese Rechte weiter auszubauen. Im Erfolgsfall hat er dann die gleichen Rechte wie ein Administrator und somit die volle Kontrolle äber das System.
Auch mit Administratorrechten ausgestattet kann es nuätzlich sein, weitere Passwoärter ausfindig zu machen, um in Zukunft wieder eindringen zu koännen und mäoglichst unauffaällig zu agieren. Daraufhin hat ein Angreifer zwar die Kontrolle äber einen Rechner, wahrscheinlich eine Workstation, auf der nicht viele interessante Daten zu finden sind. Er wird daher versuchen, Zugriff auch auf andere, viel wichtigere Systeme zu erlangen, wie beispielsweise einen Fileserver. Oft genug kommt es vor, dass solche Rechner prinzipiell zwar besser geschätzt sind, aber das Administrator-Kennwort genau das gleiche ist.
[...]
1 Die Höhe des Schadens entstammt nur der Angabe von 40% der Befragten, die in der Lage oder Willens waren diesen zu quantifizieren
2 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=hacker
3 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=BlackHatHacker
4 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=cracker
5 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=cybervandal
6 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=ScriptKiddies
7 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=WhiteHatHacker
8 Definition des Begriffes „Gefahr“ und eine Abgrenzung zum Begriff „Risiko“ findet sich im Thema „Grundlagen des IT-Risk-Managements“
9 http://whatis.techtarget.com/definition/0, ,sid9_gci802721,00.html
10 Tools hierfür sind z.B. fping und gping
11 das müchtigste Tool hierfür ist nmap
12 http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key= bruteforceattack
13 bekannte Tools sind etwa LOphtcrack oder John the Ripper
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.