Netzwerk-Attacken Glossar Netzwerk

Netzwerk-Attacken
Glossar
Netzwerk-Attacken
1
Index Netzwerk-Attacken
Angreifer
Angriff
Backdoor
Bedrohung
Bootvirus
Broadcaststurm
Brute-Force-Angriff
Crack
Cracker
Crasher
CSRF, cross site request forgery
DDoS, distributed denial of service
DoS, denial of service
Flaming
Fluten
Hacker
Hijacking
Hoax
Honeypot
IP-Spoofing
ITW, in the wild
Mailbombing
Makrovirus
Malware
Man-in-the-Middle-Angriff
Nuke-Attacke
Pharming
Phishing
Ping-Flooding
Polymorpher Virus
Scareware
Scraping
Skimming
Skriptkiddie
Smurf-Attacke
Sniffer
Snooping
Spam
Spear-Phishing
Spim, spam through instant messaging
SPIT, spam over Internet telephony
Spoofing
Spyware
SYN-Flooding
TMTO, time memory trade-off
Trap Door
Trojaner
Verkehrsflussanalyse
Virus
Wurm
XSS, cross site scripting
Impressum
2
Netzwerk-Attacken
Angreifer
attacker
Als Angreifer werden in der Kommunikationstechnik Personen bezeichnet, die versuchen eine
verschlüsselte Nachricht auf dem Übertragungsweg abzufangen und diese zu entschlüsseln.
Nicht zu verwechseln mit den Hackern, die sich unberechtigten Zugang zu Systemen
verschaffen.
Angriff
attack
Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen,
Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen.
Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die
Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte
Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen
werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von
Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes
Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die
Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische
Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese
stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten.
Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des
Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe
kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um
Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und
Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten
bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu
diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern.
3
Netzwerk-Attacken
Backdoor
Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name
sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein
verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im
Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen
Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation
von Hard- und Software.
Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen
Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu
benutzen.
Bedrohung
threat
Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine
Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden
verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den
Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die
unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich
von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch
Fehlbedienungen oder Gewaltanwendung.
In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die
Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und
Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich
gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen
beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus
verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von
Informationen bezieht.
4
Netzwerk-Attacken
Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines
Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie
bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer
entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem
Risikomanagement.
Bootvirus
boot virus
Wie aus der Bezeichnung Bootvirus hervorgeht, handelt es sich Viren, die den Bootsektor von
Disketten oder den Master Boot Record (MBR) von Festplatten infizieren. Sie überschreiben
wichtige Informationen für das Booten, so dass das Betriebssystem nicht mehr gestartet
werden kann.
Bootviren übernehmen die Startfunktion und die Rolle der Bootroutine und ersetzen den Start
im Master Boot Record und früher im Bootsektor auf Disketten. Bootviren waren in den 90er
Jahren die am häufigsten vorkommenden Viren, sie waren insofern besonders hartnäckig, weil
sie auch auf Disketten, die keinen Bootsektor hatten, übertragen werden und auf jede
Diskette unbemerkt kopiert werden konnten.
Broadcaststurm
broadcast storm
Broadcaststürme können zu den DoS-Attacken gezählt werden. Sie entstehen dann, wenn in
einer Netzkonfiguration viele Stationen gleichzeitig eine Antwort übertragen. Jede Antwort
erzeugt wiederum mehr Antworten was sich wie ein Schneeballeffekt auswirkt. In der Regel
hat die sendende Station einen Broadcast gesendet, der gleichzeitig von vielen Stationen
beantwortet wird, was mit Re-Broadcasten bezeichnet werden kann. Da das Re-Broadcasten
einer gewissen Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcasts
von dieser ab. Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine
Nachricht, ist sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding.
5
Netzwerk-Attacken
DoS-Attacken
In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz der
Konstellation, der Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise
topologische Schleifen im Netzwerk Verursacher von Broadcaststürmen sein. Beim
Redundanzproblem können Knoten, die die Nachricht schon haben, diese ein weiteres Mal
empfangen, was zusätzlichen und überflüssigen Traffic verursacht und die Wahrscheinlichkeit
der Kollisionen erhöht. Die Kollisionsproblematik stellt sich bei Mobilfunknetzen, da diese
nicht mit Kollisionserkennung arbeiten.
Broadcaststürme können vorsätzlich ausgelöst werden, indem eine Flut an Broadcast-Paketen
in ein Netzwerk gesendet wird. Der Netzwerktraffic kann dadurch blockiert werden und das
6
Netzwerk-Attacken
Netzwerk zusammenbrechen. Broadcaststürme können einen erheblichen Schaden anrichten,
da sie hinlänglich Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr
beeinträchtigen.
Brute-Force-Angriff
Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen
brute force attack
Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um
den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte
Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden.
Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten
Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier
Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten.
Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-BitSchlüssels, der nur in mehreren tausend Jahren zu knacken wäre.
Crack
Cracks sind illegale Programme, die den Kopierschutz bzw. die Seriennummernverwaltung von
Software knacken und entfernen. Über das Crack-Programm kann dann kostenlos eine
ansonsten kostenpflichtige Software benutzt werden. Das Crack-Programm trennt die für den
Kopierschutz relevanten Programmteile und inaktiviert den Kopierschutz.
Die Crack-Programme setzen bei der Testsoftware an und laden später die fehlenden Dateien
aus dem Internet nach. Sie können auch die Software manipulieren und damit eine ständige
Programmarchivierung verhindern. Cracks werden vorwiegend bei Spielfilmen und Videospielen
eingesetzt, die auf optischen Speichermedienstehen gespeichert werden, und werden auch im
Internet angeboten. Das Cracken wird als Urheberechtsverletzung geahndet; in vielen Fällen
wurde bereits gegen das Downloaden der Cracks vorgegangen.
7
Netzwerk-Attacken
Cracker
Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker
ist es, die Sicherheitssysteme zu knacken, ein Chaos zu schaffen und die gewonnenen
vertraulichen Daten für eigene kommerzielle Interessen zu nutzen. Dabei kann es sich um
Rechenleistung handeln die kostenlos zweckentfremdet wird, oder um die Nutzung der
Ressourcen. Durch Angriffe auf Webserver, die Veränderung von Daten oder DoS-Attacken
richten Cracker Schaden in den Systemen an. Im Gegensatz dazu überwinden Hacker lediglich
die Sicherheitssysteme, zeigen deren Schwachstellen auf und hinterlassen ihre spezifische
Visitenkarte.
Im deutschen Sprachgebrauch versteht man unter einem Cracker auch eine Person die den
Kopierschutz von Systemen knackt.
Crasher
Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem
Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese
zum Absturz bringt und vorsätzlich Schaden anrichtet.
CSRF, cross site request
Cross Site Request Forgery (CSRF) ist eine Angriffsart, bei der der Hacker die Kontrolle über
forgery
den Browser seines Opfers übernimmt. Sobald sich dieser bei einer Website eingeloggt hat,
agiert er in dessen Namen indem er beispielsweise bösartige Anfragen an die Web-Applikation
stellt. Die CSRF-Attacken werden auch als „Session Riding“ oder „One Click Attacks“
bezeichnet.
Durch diese Angriffe sind Web-Seiten relativ stark angreifbar. Verhindern lassen sich CSRFAttacken dadurch, dass die Web-Browser nicht die automatisch übermittelten Daten benutzen,
sondern nutzerspezifischen Token verwenden.
8
Netzwerk-Attacken
DDoS, distributed denial
of service
Ein Distributed Denial of Service (DDoS) ist eine DoS-Attacke, die im Verbund von vielen
Computern aus erfolgt. Die DDoS-Attacke wird zum gleichen Zeitpunkt von verschiedenen
DDoS-Attacke
Computern ausgelöst und ist dadurch nur schwer zu orten und noch schwieriger zu
unterbinden. Wie bei der DoS-Attacke wird der attackierte Computer bei der DDoS-Attacke mit
fehlerhaften und vorsätzlich falsch adressierten IP-Paketen bombardiert, und zwar so intensiv,
bis der angegriffene Server seinen Dienst einstellen muss oder abstürzt. Die Koordination der
DDoS-Attacken erfolgt vom Angreifer, der in vielen Fällen als Client bezeichnet wird, zentral
über so genannte Handler, die gleichzeitig auf anderen Servern oder Agents vorher abgelegte
DoS-Attacken
9
Netzwerk-Attacken
Hilfsprogramme oder Dämonprozesse aktivieren. Da die eigentlichen Attacken über die
Hilfsprogramme ablaufen, ist der Verursacher schwer zu ermitteln.
Vor der DDoS-Attacke platziert der Angreifer auf verschiedenen Rechnern im Internet
Hilfsprogramme oder Dämonprozesse als Trojaner. Wenn die Attacke gestartet wird, werden
die Hilfsprogramme gleichzeitig auf allen Agents aktiviert und starten eine DoS-Attacke auf
den Ziel-Server. Eine DDoS-Attacke kann ein SYN-Flooding oder eine andere DoS-Attacke sein.
DoS, denial of service
DoS-Attacke
Denial of Service (DoS) sind Dienstverweigerungen, die im Internet zur Beeinträchtigung von
Webservices führen, und die, als DoS-Attacke ausgeführt, einen angegriffenen Server oder
eine Website außer Betrieb setzen können. DoS-Angriffe werden durch Überlastung von
Servern ausgelöst, so beispielsweise durch die Bombardierung eines Mail-Servers mit einer
Flut an Mails, durch millionenfache Anfragen an einen Server oder durch Überflutung eines
Netzwerks mit Datenpaketen. In allen Fällen können die Funktionen wegen Überlastung der
Server oder Netze nicht mehr hinreichend ausgeführt werden. Die Server sind nicht mehr
erreichbar, die Netze können zusammenbrechen.
DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den
Datenbeständen, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder
unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder
Netzwerk-Ressourcen außerordentlich überbelastet, manchmal auch kollektiv von tausenden
Nutzern. Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu
eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine
DoS-Attacke auszuführen. Neben dem Mailbombing und dem Broadcaststurm, gibt es als
weitere DoS-Attacken das SYN-Flooding, Ping-Flooding, die Smurf-Attacke, Nuke-Attacke und
die DDoS-Attacken.
10
Netzwerk-Attacken
Flaming
Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende
Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch
beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette
verstoßen und unterbleiben sollten.
Fluten
flooding
Bei DoS-Attacken und DDoS-Attacken werden für die Angriffe auf die Netzdienste
verschiedene Flooding-Techniken benutzt. Alle Flooding-Techniken überlasten die zur
Verfügung stehende Übertragungskapazität des Angegriffenen, damit der angegriffene Server
die Anfragen nicht mehr bearbeiten kann. Man unterscheidet dabei zwischen dem PINGFlooding und dem SYN-Flooding. Beim Ping-Flooding oder beim Ping of Death (PoD) werden
lange Requests oder überlange Fragmente an eine IP-Adresse generiert, die die gesamte
Systemperformance benötigen. Beim SYN-Flooding werden fortlaufend Requests für die
Synchronisation an einen TCP-Port gesendet. Auch hierbei wird das System überlastet und
kann abstürzen.
Hacker
Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze
unberechtigten Zugang zu anderen Systemen verschaffen. Der unberechtigte Zugang erfolgt in
der Regel unter Umgehung der Sicherheitssysteme. Hacker haben sicherheitsrelevante
Kenntnisse, ihr Ziel ist die Überwindung der Sicherheitsmechanismen um Schwachstellen
aufzudecken. Nach Überwindung der Sicherheitseinrichtungen haben sie Zugriff auf Netzwerke,
virtuelle Maschinen und Datenbestände, die sie aber nicht aufrufen oder verändern. Ihr Ziel
bleibt einzig die Aufdeckung von Schwachstellen in der Sicherheitsinfrastruktur.
Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von
Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht
11
Netzwerk-Attacken
genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von
Service-Eingängen und der Einsatz von IDS-Systemen.
Hijacking
Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt,
in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer
schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IPVerbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht
verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die
Sequenznummer erraten muss.
Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher
kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um ContentHijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim ContentHijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich
aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu
dienen den PageRank von der Website, von der der Content entnommen wurde, zu
verschlechtern und gleichzeitig den eigenen zu erhöhen.
Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind
dann von besonderem Interesse, wenn viele Hyperlinks auf die Website hinweisen und sie
einen höheren PageRank besitzt. Der Angreifer bestückt die besetzte Domain mit eigenen
Inhalten und profitiert von dem vorhandenen PageRank.
Hoax
Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet
werden. Die Hoaxes enthalten Text, der in die Irre führen soll. Wie eine Zeitungsente oder ein
Aprilscherz richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden,
12
Netzwerk-Attacken
werden sie als Kettenbrief gehandhabt.
Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmensund Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie
verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden
sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten.
Honeypot
Die exakte Übersetzung des Wortes Honeypot ist Honigtopf. In der IT-Sicherheit handelt es
sich um einen im Netzwerk installierten Dienst, der für den Angreifer ein interessantes Ziel
darstellen soll und Angriffe auf das Netzwerk protokolliert. Honeypots sind im Netzwerk
installiert, werden aber von den berechtigten Netzwerkbenutzern nicht angesprochen, weil sie
ihnen unbekannt sind und die darauf installierten Dienste nicht dem eigentlichen
Geschäftszweck dienen. Sie stellen lediglich für Angreifer ein vermeintlich interessantes Ziel
dar.
Wird der Honeypot angesprochen, werden alle Vorgänge von diesem protokolliert und je nach
Interessenlage kann ein Alarm ausgelöst werden. Aus dem protokollierten Dokument können
Rückschlüsse über die Vorgehensweise der Angreifer und über eventuelle neue
Angriffstechniken gezogen werden. Mit diesen Erkenntnissen können dann solche oder
ähnliche Angriffen abgewehrt werden.
Honeypots sind flexible Security-Einrichtungen mit verschiedenen Sicherheitsanwendungen.
Sie sind nicht auf ein spezielles Problem fixiert, sondern können vielfach für die
Informationssammlung, das Entdecken von Angriffen und die Prävention eingesetzt werden.
Man unterscheidet bei den Honeypots zwischen den Produktions-Honeypots, die einfach zu
benutzen sind und einen begrenzten Informationsumfang erfassen können, und den
Forschungs-Honeypots, die komplex sind hinreichend Informationen erfassen und analysieren
13
Netzwerk-Attacken
können. Während die erstgenannten in Firmen eingesetzt werden, findet man die anderen in
Forschungs-, Verwaltungs- und Militäreinrichtungen.
IP-Spoofing
Adressen-Spoofing oder IP-Spoofing nennt man im Internet das Vortäuschen einer falschen
oder das Fälschen einer IP-Adresse zum Zwecke der Vorteilsnahme. Beim Angriff über das IPSpoofing verwendet der Angreifende die Netzwerkadresse eines autorisierten Benutzers und
erhält, weil er als vertrauenswürdig angesehen wird, den Zugriff auf bestimmte Ressourcen
eines Netzwerks oder eines Systems. Ein solches Vorgehen wird durch die Nutzung von
bekannten Quelladressen unterstützt oder dadurch, dass der richtige Absender nur schwer
ermittelt werden kann.
Gelingt es dem Angreifer beim Spoofing die Routingtabellen dahingehend zu manipulieren,
dass die gespoofte Adresse bedient wird, wird er wie ein autorisierter Benutzer behandelt.
Gegenmaßnahmen gegen das IP-Spoofing zielen primär auf die Konfiguration der
Zugriffskontrolle ab. So lässt beispielsweise ein IP-Source-Guard nur die IP-Adressen zu, die
mittels DHCP-Snooping an einem bestimmten Port eingehen. Andere Methoden konzentrieren
sich auf bessere Authentifizierungen wie beim Einmalpasswort (OTP).
ITW, in the wild
ITW-Virus
Die Bekämpfung von Viren setzt voraus, dass deren Struktur bekannt ist. Aus diesem Grund
werden alle bekannten und jemals vorgekommenen Viren, die in freiem Umlauf sind oder
waren, als ITW-Viren (In The Wild) bezeichnet. Es gibt eine Auflistung von allen ITW-Viren,
die in Datenbanken der WildList Organization International erfasst sind und dem Anwender
auf der Wildlist-Website zur Verfügung gestellt werden. Insgesamt gibt es über 80.000
bekannte ITW-Viren, von denen allerdings nur etwa ein Prozent stärker verbreitet war.
Die Wildlist-Organisation, die bereits 1996 gegründet wurde, erhält ihre Informationen über
14
Netzwerk-Attacken
Viren von qualifizierten Beobachtern, die weltweit agieren und aktuelle Bedrohungen durch
Viren an die WildList melden. Die Wildlist-Liste wird monatlich aktualisiert.
http://www.wildlist.org
Mailbombing
Mailbombing gehört zu den DoS-Attacken um Mail-Konten und Mail-Server in ihrer Funktion so
mail bombing
zu beeinträchtigen, dass die E-Mail-Adresse nicht mehr erreicht werden kann. Das
Mailbombing kann auf verschiedenen Ansätzen zu Blockierung der Mail-Konten basieren.
Beim klassischen Mailbombing wird der Mail-Empfänger mit einer Mailbombe regelrecht
bombardiert. Dabei kann es sich um tausende oder zehntausende E-Mails handeln, die an die
E-Mail-Adresse geschickt werden. Das Herunterladen nimmt so viel Zeit in Anspruch, dass der
Mail-Empfänger überlastet ist und korrekte Mails nicht mehr öffnen kann.
Ein anderes Mailbombing-Konzept zielt auf den SMTP-Server, der die Mail versendet. Durch
Einkopieren von vielen hunderten identischen Mail-Adressen als Carbon Copy (CC) oder Blind
Carbon Copy (BCC) wird der Mail-Server durch die Generierung der Mails stark belastet. Diese
Art des Mailbombing wird allerdings von den meisten Mail-Servern unterbunden.
Die dritte Variante zielt wiederum auf den Mail-Empfänger und arbeitet mit großen DateiAnhängen, die je nach Anschluss mehr oder weniger Zeit für das Download benötigen.
Makrovirus
macro virus
Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und
befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros
wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können
Computerviren über Makroprogramme erstellt und reproduziert werden.
Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien
verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen,
15
Netzwerk-Attacken
beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation.
Malware
Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die ITSicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu
zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware,
Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer
nicht erwünscht sind.
Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf
einem hohen technischen Niveau. Gängige Antivirenprogramme, das sind Virenscanner, und
Anti-Malware-Programme sind auf nicht in der Lage die Angriffe zu erkennen oder
aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne,
Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme
ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann
rekonstruiert werden, wenn der Privatmann oder das Unternehmen bereits geschädigt wurde.
Man-in-the-Middle-
Man-in-the-Middle (MITM) ist ein Angriff auf den Kommunikationskanal zwischen zwei
Angriff
MITM, man-in-the-middle
attack
Partnern. Der Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu
bringen, und zwar in der Art und Weise, dass die Kommunikationspartner nicht feststellen
können ob sie miteinander oder mit dem Angreifer kommunizieren.
Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung PublicKey-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS.
Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der
Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben.
16
Netzwerk-Attacken
Nuke-Attacke
Nuke-Attacken zählen zu den DoS-Attacken gegen Computer-Netzwerke. Nuke-Attacken
benutzen falsch fragmentierte oder ungültige ICMP-Datenpakete, Internet Control Message
Protocol (ICMP), die zu einer Zieladresse gesendet werden. Diese Datenpakete werden
zurückgewiesen und gelangen wieder zur Quelladresse, die sie erneut an die Zieladresse
sendet.
Pharming
Das Pharming ist eine Spoofing-Technik, die in Betrugsabsicht eingesetzt wird. Wie beim
DNS- oder IP-Spoofing wird der Benutzer durch die vorgetäuschte IP-Adresse auf eine falsche
Website geführt und landet auf dem Server eines Angreifers.
Pharming setzt bei der Adress-Umsetzung von der Domain-Adresse, beispielsweise
www.itwissen.info, auf die Dotted Decimal Notation der IP-Adresse mit gepunkteter
Schreibweise 213.133.101.238, an, die im DNS-System verwaltet werden. Dazu werden beim
Pharming die Einträge im DNS-Server durch gefälschte Antworten „vergiftet“. Daher spricht
man auch vom DNS-Cache-Poisoning. Bei Anfragen an den DNS-Server liefert dieser dem
Anfragenden die gefälschte IP-Adresse. Da der Anfragende den Domainnamen eingibt, wird er
über die gefälschte IP-Adresse auf die falsche Webseite des Angreifers geleitet.
Das Pharming wird ebenso wie das Phishing im Online-Banking angewendet um vertrauliche
Daten für Finanztransaktionen abzufragen. Beim Pharming landen Kunden trotz richtiger
Eingabe der Domainnamen auf den gefälschten Webseiten und geben dort vertrauliche Daten
wie die Kontonummer, die persönliche Identifikationsnummer (PIN) und die
Transaktionsnummer (TAN) preis, die dann missbraucht werden.
Der Einsatz von Sicherheitszertifikaten ist eine Möglichkeit diesen Missbrauch zu verhindern.
Phishing
Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist
17
Netzwerk-Attacken
ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche
Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das
Internet abzufragen und damit Finanztransaktionen durchzuführen.
Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab.
Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt.
Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt.
In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem
Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen
persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen
den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage
zur Verfügung.
Da das Phishing wegen dessen Vorgehensweise nicht mehr den erhofften Erfolg zeitigt, wurde
es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt
angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose
Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die
Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software geladen
wird.
Ping-Flooding
Ping-Flooding ist eine DoS-Attacke. Es ist ein gezielter Angriff mit dem die
Systemperformance von Servern stark beeinträchtigt wird oder der Server abstürzen kann. Das
Ping-Flooding arbeitet wie das Ping-Pong-Verfahren. Wobei beim Ping-Flooding der Server mit
unzähligen ICMP-Echo-Requests bombardiert wird. Durch die hohe Pingzahl sinkt das
Antwortverhalten des Servers und die Netzverbindung wird stark belastet.
Besonders erfolgreich sind Ping-Attacken wenn dem Angreifer eine hohe oder höhere
18
Netzwerk-Attacken
Bandbreite zur Verfügung steht als dem Attackierten. Bei ICMP-Datenpaketen belasten die
Datenpakete mit den ICMP Echo-Antworten die Bandbreite, wodurch das System abstürzen
kann.
Eine Variante des Ping-Flooding ist die Smurf-Attacke, die sich auf die Broadcast-Adresse
eines Netzwerks zielt.
Polymorpher Virus
polymorphic virus
Viren arbeiten nach bestimmten Code-Sequenzen und sind an wiederkehrenden Bytefolgen zu
Die verschiedenen Viren und deren Auswirkungen
19
Netzwerk-Attacken
erkennen. Es gibt aber auch Viren, die ihren eigenen Programmcode ständig verändern, indem
sie Kopien von sich selbst erstellen, die durch Permutation verändert wurden.
Solche Viren nennt man polymorphe Viren. Sie können mit sich verändernden Signaturen
arbeiten, die allerdings bestimmten Algorithmen unterliegen. Die Hersteller von Virenscannern
und Anti-Virensoftware analysieren dieses Regelwerk und können dadurch entsprechende AntiVirensoftware entwickeln. Die ersten polymorphen Viren sind aus den 80er Jahren bekannt.
Scareware
Scareware ist ein reales Bedrohungspotential im Cyberspace. Beim Einsatz von Scareware wird
dem Nutzer vorgegaukelt, dass sein Personal Computer defekt oder anderweitig
fehlerbehaftet ist. Dabei wird die Funktionsweise des Computers durch ein Schadprogramm
der Cyber-Kriminellen beeinträchtigt. Der Nutzer selbst lädt sich das entsprechende
Schadprogramme von der Webseite der Cyber-Kriminellen herunter.
Die Vorgehensweise der Online-Kriminellen ist folgende: Sie versenden Spam-Mails mit einem
interessanten Hinweis auf eine Webseite, auf der kostenlos etwas betrachtet oder
downgeloaded werden kann. Die entsprechende Webseite ist so präpariert, dass der Besucher
der Webseite sich das Schadprogramm runterlädt. So gelangt das Schadprogramm auf den
Computer des Nutzers wo es Betriebsstörungen verursacht. Dies kann sich in der Performance
des Computers oder in merkwürdigen Fehlermeldungen niederschlagen.
Dies ist der Ansatz für die Online-Kriminellen, die dem betroffenen Nutzer ein Anti-VirenProgramm verkaufen, das die Performance wieder verbessert und dem Nutzer vortäuschen,
dass er mit dem gekauften Programm die richtige Hilfe erhalten hat.
Scraping
Persönliche Daten und Informationen stellen eine kostbare Ware dar mit der viele
Unternehmen Geschäfte machen. So auch im Internet. Das Zusammenkratzen persönlicher
20
Netzwerk-Attacken
Informationen bedeutet im Deutschen Scraping. Es ist eine zweifelhafte Methode der
Datensammlung. Beim Scraping oder Web-Scraping werden Daten aus den verschiedensten
Informationsquellen und über eigene Cookies gesammelt und miteinander verknüpft. Aus den
Unmengen an Daten werden dann Digitalprofile der Internetnutzer erstellt.
Im Internet gibt es viele soziale Netzwerke in denen die Benutzer bestimmte persönliche
Daten einstellen: Name, Anschrift, Mail-Adresse. Darüber hinaus existieren unendlich viele
Diskussionsforen und Chats, in denen Einzelne aktiv sind und ihre ganz persönliche Meinung
äußern oder Detailinformationen publizieren. Forenteilnehmer können Fragen über
Gesundheits- oder Geldprobleme diskutieren über Wohnungs- und Sozialprobleme. Kein
Lebensbereich wird ausgespart. Solche Informationen, wenn sie denn personenbezogen sind,
sind für viele Unternehmen bares Geld wert. Man denke nur an Versicherungen und
Arbeitnehmer-suchende Unternehmen.
Scraping betreibende Unternehmen sammeln solche Daten, indem sie sich unter Scheinnamen
in sozialen Netzwerken und Newsgroups anmelden und so in die geschützten
Informationsbereiche gelangen. Sie durchforsten die Webseiten und sammeln Informationen
über Freundeskreise, Profildaten und Forenbeiträge, die sie auf dem eigenen Server speichern,
strukturieren, korrelieren, in Relation zueinander stellen und analysieren und daraus
Benutzerprofile von Internetnutzern erstellen.
Skimming
Skimming bedeuted abschöpfen. Es ist der englische Begriff für das Ausspähen von
Kreditkarten und EC-Karten. Es gibt mehrere Skimming-Ansätze um an die Kreditkartendaten,
die auf dem Magnetstreifen gespeichert sind, zu gelangen. Generell geht um die Kontendaten
des Ausgespähten und um die persönliche Identifikationsnummer (PIN). Die Technik basiert
auf einem Man-in-the-Middle-Angriff bei dem das Kartenlesegerät manipuliert wird,
21
Netzwerk-Attacken
beispielsweise in dem die Täter einen manipulierten Kartenleser auf den Original-Kartenleser
bauen und die Kartendaten über das manipulierte Kartenlesegerät auslesen.
Bei einer anderen Variante wird der Kartenleser an der Eingangstür zum Geldautomaten
manipuliert. Auch das Ausspähen der Eingabedaten mittels Videokamera wird in vielen Fällen
angewandt.
Sobald man die Daten von der Magnetkarte ausgelesen hat, stellen die Täter mit Blankkarten
neue Kartenduplikate her, die von den Geldautomaten genauso akzeptiert werden, wie die
Original-Kreditkarten.
Skriptkiddie
Skriptkiddie ist eine Wortschöpfung aus Script und Kid, also einem Jugendlichen der
Textdateien benutzt um Sicherheitssysteme von Computern zu umgehen und in
Computersysteme eindringt. Er ist vergleichbar einem Cracker mit dem Unterschied, dass er
unerfahren ist, nicht über ein so hohes technisches Wissen verfügt wie Cracker oder Hacker
und auf gebrauchsfertige Programme, vorgefertigte Textdateien oder automatische Tools
zurückgreift um in fremde Systeme einzudringen und dort Schaden anzurichten.
Skritpkiddies richten ihre Angriffe auf die Sicherheitssysteme mehr zufällig aus, verstehen
meistens nicht die Zusammenhänge und sich der Folgen nicht bewusst. Der von Skriptkiddies
angerichtete Schaden ist für gewöhnlich gering.
Smurf-Attacke
Smurf gehört zu den DoS-Attacken auf ein Netzwerk, die mit Pings arbeiten. Bei der SmurfAttacke sendet der Angreifer ein oder mehrere ICMP-Datenpakete, Internet Control Message
Protocol (ICMP), an die Broadcast-Adresse des Netzwerks.
In den IP-Header wird mittels IP-Spoofing als Source Address (SA) die des Angegriffenen
eingetragen, anders als beim Ping-Flooding, bei dem eine nicht-existente Adresse eingetragen
22
Netzwerk-Attacken
wird. Alle Clients eines Netzwerks, die den ICMP-Broadcast oder einzelne ICMP-Datenpakete
empfangen, richten ihre Antwort an die Adresse des Angegriffenen, der daraufhin, je nach
Anzahl an Netzwerk-Clients tausend oder mehr Antworten erhalten kann. Der Datenstrom
multipliziert sich um die Anzahl an Clients, was zum Überlauf des Pufferspeichers oder zum
Systemabsturz führen kann.
Sniffer
Schnüffler
Sniffer sind Softwareapplikationen, mit denen vertrauliche Daten im Internet abgefangen
werden können. Diese Applikationen können in unberechtigter Weise eingesetzt werden, sie
werden aber auch von Administratoren für die Fehlersuche, die Datenverkehrsadministration
und für das Erkennen von Eindringlingen benutzt.
Ein Sniffer, der sich auf das Ausspähen von Datenpaketen spezialisiert hat, nennt man Packet
Sniffer. Ein solcher Packet Sniffer späht alle Datenpakete aus, die über eine bestimmte
Kollisionsdomäne gesendet werden. Es handelt sich um eine Software, die sich der
Netzwerkkarte bedient und Datenpakete von Anwendungsprotokollen ausspäht, die
unverschlüsselt übertragen werden, wie das Telnet-Protokoll, das FTP-Protokoll, das SMTPProtokoll und einige mehr.
Sniffer können durch verschiedene Maßnahmen abgewehrt werden, so durch eine konsequente
Authentifizierung unter Verwendung eines kombinierten, einmalig und zufällig vergebenden
Passwortes (OTP), das sich aus zwei Faktoren zusammensetzt: der PIN und einem zufällig
vergebenden Kennwort.
Weitere Methoden um Sniffer abzuwehren bestehen in einer hierarchisch aufgebauten
Switching-Architektur und in Verschlüsselung des Übertragungskanals, beispielsweise mittels
IPsec.
23
Netzwerk-Attacken
Snooping
Unter Snooping versteht man das Abhören einer Verbindung auf einem Broadcast-Medium,
einem Chat oder der Internettelefonie. Der Mithörende, beispielsweise ein Hacker, kann
dadurch in den Besitz von vertraulichen Daten wie Passwörter kommen.
Neben dem genannten Snooping gibt es noch das Bus-Snooping bei dem jeder Teilnehmer auf
dem Hostbus Adressen anderer Teilnehmer mitlesen kann.
Spam
spam mail
1. Spams, Spam-Mails oder auch Junk-Mails, sind unverlangt zugesendete E-Mails und SMS.
Das können auch Newsartikel sein, die an viele Newsgroups verteilt werden. Im normalen
Sprachgebrauch sind damit unerwünschte Nachrichten gemeint, an denen man kein Interesse
hat. Eine Spam-Mail ist vergleichbar einer nicht angeforderten postalischen Wurfsendung. Die
unerwünschten elektronischen Massenaussendungen werden auch als Unsolicited Bulk E-Mail
(UBE) bezeichnet, die kommerziellen E-Mails als Unsolicited Commercial E-Mail (UCE).
Für die Aussendung von Spams gibt es spezielle Programme für das Internet. So können
Spam-Mails über Chats ebenso verbreitet werden wie über I Seek You (ICQ).
Die Kreativität der Spam-Autoren kennt kaum Grenzen. So sind Spam-Mails zu komplexen und
spezialisierten Anwendungen mutiert. Sie sind mit Flash-Animationen, versteckten Inhalten
oder Spyware bestückt. Zur Verhinderung von Spams gibt es Spam-Filter gegen unerwünschte
Massen-E-Mails, E-Mail-Filter zur inhaltlichen Filterung von E-Mails nach Text- und Anhängen
sowie Web-Filter zur Blockierung von unerwünschten E-Mail-Adressen.
Die Organisationen MAPS und CAUCE haben sich speziell mit der Verhinderung von Spam-Mails
auseinander gesetzt und bieten verschiedene Listen mit den Server-Adressen, von denen
regelmäßig Spams versandt werden.
2. Neben den Spam-Mails gibt es auch Spamming-Verfahren, die in der
Suchmaschinenoptimierung zur Verbesserung des Suchmaschinen-Rankings einer Webseite
24
Netzwerk-Attacken
eingesetzt werden. Diese Verfahren werden auch als Spamdexing bezeichnet und zielen durch
Verletzung der Suchmaschinen-Richtlinien auf eine Verbesserung des Ranking. Bei den SpamTechniken kann es sich um die irreführende Nutzung von Keywords auf Themen-irrelevanten
Webseiten, um den Einsatz von Black Hat SEO oder um Verlinkungen auf Doorwaypages oder
andere fiktive Websites sein.
Da Spamming gegen die Richtlinien der Suchmaschinenbetreiber verstößt, werden Websites,
die Spamming betreiben, von den Suchmaschinen abgestraft und bei schweren Verstößen
mittels Delisting aus dem Suchmaschinen-Index entfernt.
Spear-Phishing
Spear-Phishing ist ein verfeinertes Phishing mit einem gezielteren persönlichen Ansatz. Daher
auch die Bezeichnung Spear Phishing, wobei das englische Wort Spear für Speer steht. Bei
diesem Phishing-Ansatz kann der Spear-Phisher das Vertrauen zu seiner Zielperson über
Informationen aus sozialen Netzwerken aufbauen. Über die Ausbildungsstätte oder das
Unternehmen in dem das potentielle Opfer mal gearbeitet hat oder über Sportaktivitäten,
soziale Einstellungen, die gleiche Bank usw. Der E-Mail-Verkehr kommt anscheinend vom
Arbeitgeber oder von einem Kollegen.
Mit den Mails sollen starke Motivationen ausgelöst werden. Die Gier nach besseren Renditen,
hohen Zinsen oder Erbschaften, die Angst vor finanziellen und gesundheitlichen Einbrüchen,
oder das Mitleid mit einem Schwererkrankten und dessen Angehörigen.
Die Vorgehensweise ist immer ähnlich. Zuerst versuchen die Spear-Phisher Vertrauen
aufzubauen und nutzen dafür Insider-Informationen der sozialen Netzwerke, aus Blogs, von
Webseiten oder gehackte Informationen, so dass das Opfer keinen unmittelbaren Verdacht
schöpft. In der folgenden Phase senden sie dem Opfer E-Mails und entwickeln dabei alle
erdenklichen Szenarien, mit der Bitte, ihnen kurzfristig persönliche Daten zu übermitteln. Und
25
Netzwerk-Attacken
in der letzten Phase werden die potentiellen Opfer gebeten einen Link in einer E-Mail
anzuklicken mit dem sie auf einer realistischen erscheinenden Webseite landen. Dort werden
bestimmte persönliche Daten wie der Bankverbindung, der Identifikationsnummer,
Zugangscodes und anderen sicherheitsrelevanten Angaben abgefragt.
Es gibt andere Spear-Phishing-Ansätze wie das Hacken von Adressbüchern und das
Anschreiben der darin aufgeführten Personen unter der Authentizität dessen, dem die MailAdressen gehörten.
Die Betrugs-Kreativität der Spear-Phisher entwickelt ständig verfeinerte Modelle.
Spim, spam through
instant messaging
Spams through Instant Messaging werden als Spims bezeichnet. Die Spammer haben sich
damit einen weiteren Anwendungsbereich für ihre unerwünschten Werbebotschaften oder nicht
angeforderten Mitteilungen erschlossen. Neben den Spams und Spam-Telefonaten, den Spits,
gibt es auch die Instant Message Spams (Spim).
Wenn Unternehmen ein einheitliches Instant Messaging (IM) auf Server und Clients einsetzen,
kann die Gefahr der Spims ausgeschlossen werden, da die Hersteller sichere
Konfigurationsmechanismen vorsehen.
Die Spimmer besorgen sich ihre Informationen aus Benutzer-Verzeichnissen, die von vielen
Instant-Messaging-Programmen angelegt werden. Es daher wichtig, dass keine rein privaten
Angaben in diesen Verzeichnissen abgelegt werden und dass man auch darauf achtet, dass
keine Benutzernamen für Instant Messaging auf Websites publiziert werden.
SPIT, spam over
Internet telephony
Spam over Internet Telephony (SPIT) sind Telefon-Spams über Internet-Telefonie. Es handelt
sich dabei um unerwünschte und unseriöse Anrufe mit Werbebotschaften. Das Akronym SPIT
ist angelehnt an das englische Wort für spucken.
26
Netzwerk-Attacken
Dadurch, dass die Kosten für die Internettelefonie äußerst gering sind, bietet sich dieser
Markt für Telefon-Spams an, vor allem automatisierte Spits mit aufgezeichneten Angeboten.
Die Kontakt- resp. die IP-Telefonadressen können Telefon-Spammer aus dem globalen OnlineVerzeichnis Telephone Number Mapping (ENUM) gewinnen. In diesem Verzeichnis werden die
Adressen der verschiedensten Kommunikationsdienste vereinheitlicht. ENUM verknüpft die
Ressourcen aus den Telekommunikationsnetzen und dem Internet miteinander und bindet die
Telefonnummern in das Domain Name System (DNS) ein. ENUM definiert wie eine
Telefonnummer auf einer Domain abgebildet wird.
Spoofing
1. In der Internet-Terminologie hat Spoofing eine eigene Bedeutung, und zwar die Angabe
einer falschen Adresse. Durch die falsche Internetadresse täuscht jemand vor, ein
autorisierter Benutzer zu sein. Maßnahmen gegen das Spoofing, die den Missbrauch von IPAdressen verhindert, nennt man Anti-Spoofing.
Es gibt das IP-Spoofing, DNS-Spoofing, WWW-Spoofing, Address Spoofing und ARP-Spoofing,
die mit simulierter IP-Adresse anhand der Host-Adresse oder des Domainnamen oder mit der
Zuordnung zwischen IP- und Hardwareadresse fungieren.
2. Das Spoofing, die Verschleierung oder Manipulation der eigenen Identität, wird auch in der
Mobilkommunikation angewandt, und zwar als SMS-Spoofing. Dabei werden die eigenen
Absenderdaten durch vorgetäuschte Namen, Jokes, Zahlen oder eigenwillige Imitate wie
„Bundeskanzlerin“ oder „Papst“, ersetzt. Die Ziele von SMS-Spoofing können vielfältig sein, so
geht es den Einen um den Spaß, anderen um Betrug und die Ermittlung von geheimen Kontenoder Identitätsnummern, und wieder anderen um den Versand von Viren.
Die Nutzung des Kurnachrichtendienstes (SMS) mit vorgetäuschten Identitäten ist in einigen
Ländern strafbar.
27
Netzwerk-Attacken
Spyware
Der Begriff Spyware ist eine Wortschöpfung aus Spy (Spionieren) und Ware. Es handelt sich
dabei um eine Software, die das Online-Verhalten von Webnutzern, das sich im Surfen
ausdrückt, ausspioniert und dieses Wissen an andere weitergibt. Aus den Ergebnissen, die in
der Regel in Tabellen gespeichert und über E-Mails an den Urheber gesendet werden, können
Rückschlüsse auf das Werbeverhalten gezogen und die Werbewirksamkeit durch gezielten
Einsatz von abgestimmten Methoden gesteigert werden.
Spyware wird als unerwünschte Software auf Workstations installiert, sie verhält sich
penetrant und ist potenziell gefährlich. Der Zweck ist die Bereicherung des Urhebers. Sie wird
durch Trojaner und mit E-Mails auf den Anwender-PC heruntergeladen.
Spyware kann dann zu einer ernsthaften Gefahr werden, wenn vertrauliche Informationen des
angemeldeten Nutzers weitergegeben werden. Dazu gehören u.a. die Abfolge der
Tastatureingaben, der Benutzername, der Hashwert des Administrator-Passwortes, E-MailAdressen, Kontaktdaten sowie Anmelde- und Nutzungsinformationen zu Instant-Messaging.
SYN-Flooding
SYN-Flooding ist eine DoS-Attacke. Es ist ein gezielter Angriff auf einen Server, um diesen zu
überlasten und zum Absturz zu bringen. Beim SYN-Flooding wird der Verbindungsmechanismus
vom TCP-Protokoll geflutet, um den Server mit falsch beschrifteten TCP-Datenpaketen zu
überlasten. Generell sendet beim Aufbau einer TCP-Verbindung ein Rechner ein
Synchronisations-Flag an den Zielrechner. Der Zielrechner sendet daraufhin eine
Empfangsbestätigung an den initiierenden Rechner, woraufhin dieser mit einem BestätigungsFlag (ACK) antwortet.
Beim SYN-Flooding wird das Internet von einem Host mit TCP-Paketen mit SynchronisationsFlags geflutet, und zwar unter Benutzung einer nicht-existenten Quelladresse. Jedes einzelne
Datenpaket wird von dem anwählten Server wie eine Verbindungsanfrage, ein Connection
28
Netzwerk-Attacken
DoS-Attacken
Request, behandelt. Der entsprechende Server bestätigt die Anfrage mit einer
Empfangsbestätigung mit gesetzten Bestätigungsflag und wartet anschließend auf die
Antwort der sendenden Datenstation.
Da die Quelladresse aber falsch ist, wird den Server keine Antwort erreichen. Da der
Zielrechner keine Antwort erhält, sendet er nach einiger Zeit erneut eine
Empfangsbestätigung und später wieder eine usw. Die Verbindung bleibt daher für einige Zeit
halb geöffnet und begrenzt dadurch die Anzahl an Verbindungen, die der Server handeln kann.
Der Server wird überlastet und kann dadurch auch korrekte Anfragen nicht weiter bearbeiten,
und zwar solange, bis die Attacke mit dem SYN-Flooding beendet ist.
29
Netzwerk-Attacken
TMTO, time memory
trade-off
Es gibt verschiedene Techniken für Kryptoangriffe, eine ist der Brute-Force-Angriff, eine andere
Technik arbeitet mit vorgefertigten Wörterbüchern. Beide Verfahren haben Nachteile, die sich
in der Rechenzeit zeigen. Beim Brute-Force-Angriff ist es die Schlüssellänge, die die
Rechenzeit exorbitant in die Höhe treibt, beim Wörterbuch-Verfahren ist es die Generierung
desselben und die dafür benötigte Speicherkapazität.
Hellman, nach dem der Diffie-Hellman-Algorithmus benannt ist, hat zwischen den zwei
Extremen - der Rechenzeit und dem benötigten Speicherplatz - mit dem Time Memory TradeOff (TMTO) einen Kompromiss vorgeschlagen. Bei diesem Verfahren wird das Wörterbuch nur
teilweise oder komprimiert gespeichert und bei der Kryptoanalyse werden die fehlenden
Schlüsselteile berechnet.
Trap Door
Trap Doors gehören zu den potentiellen Gefahren von IT-Systemen. Dabei handelt es sich um
Falltür
eine versteckte Funktionalität mit der versucht wird die Sicherheitsfunktionen eines ITSystems zu Durchdringen oder zu Umgehen. Die Trap Door oder auch Backdoor ist eine
implementierte Befehlsfolge für einen Angriff auf ein IT-System. Trap Doors werden auch zum
Testen von Programmen benutzt oder bewusst von Entwicklern eingebaut um sich einen
späteren unberechtigten Zugang zu dem System zu verschaffen. Aktiviert werden solche
Falltüren durch eine bestimmte Zeichen- oder Ereignisfolge eines Client oder Servers.
Trap-Door-Funktionen sind relativ leicht zu berechnen, allerdings ist es ohne die Kenntnis des
Geheimschlüssels nicht möglich aus dem funktionalen Wert (y) das entsprechende Argument
(x) zu berechnen.
Trojaner
trojan
Unter einem Trojaner, auch als trojanischen Pferd bezeichnet, versteht man ein Programm, das
neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist. Bei seiner
30
Netzwerk-Attacken
Ausführung richtet ein trojanisches Pferd Schaden »von innen« an. Dabei werden
Datenbestände und Passwörter ausspioniert und über das Internet versendet, ebenso aber
auch Systemkonfigurationen verändert oder gelöscht. Trojaner missbrauchen Computer und
rüsten in diesen zusätzliche Funktionen nach, mit denen sie Zugangsdaten, Passwörter und
Seriennummern erfassen oder die Remote-Eigenschaften und die Systemadministration
beeinträchtigen, so beispielsweise als Spyware, zur Aussendung von Spams oder für Angriffe
auf Server.
Trojaner verbreiten sich über Anhänge von E-Mails, aber auch über Tauschbörsen.
Trojaner kann man dadurch verhindern, indem man keine Software aus unbekannten Quellen
auf seinen Computer lädt oder diese vorher durch einen Virenscanner checkt.
Verkehrsflussanalyse
Die Verkehrsflussanalyse ist eine Technik des passiven Angriffs, mit dem Rückschlüsse auf
traffic analysis
den Informationsinhalt einer Nachricht gezogen werden. Sie kann bei unverschlüsselten und
verschlüsselten Nachrichten eingesetzt werden und zielt auf die Vermittlungs- und
Benutzerinformationen. Aus der Analyse des Verkehrsflusses kann der Angreifer den Umfang,
die Struktur und den Zeitpunkt der Kommunikation feststellen und daraus seine Rückschlüsse
auf den Nachrichteninhalt ziehen.
Eine Verhinderung der Verkehrsflussanalyse ist ein probates Mittel gegen diese passiven
Angriffe.
Virus
In den 90er Jahren hat sich in kurzer Zeit das Virus-Problem von einer theoretischen zu einer
realen Bedrohung für Computer und Datennetze entwickelt. Viren sind Schadprogramme, die
alle Rechner, Programme und Dateien angreifen und schädigen. Daher unterscheidet man bei
den Viren zwischen Computerviren, Dateiviren, Systemviren und Bootviren.
31
Netzwerk-Attacken
32
Netzwerk-Attacken
Ein typisches Computervirus ist ein
einfaches Programm, das sich
selbst reproduziert, sich in
normalen Programmen versteckt
und dessen Zweck es ist, durch
Infizierung andere Soft- und
Hardware zu behindern oder zu
zerstören. Wenn infizierte
Programme ablaufen, stecken sie
auch andere Programme und andere
Computer an, mit denen sie in
Kontakt kommen. Wenn ein
Computervirus einmal ein Programm
befallen hat, dann kann er
Programme zerstören, Daten
Programmablauf ohne und mit Virenprogramm
vernichten, Zahlenwerte in einer
Tabellenkalkulation verändern, Festplatten neu formatieren und damit ihren gesamten
Datenbestand vollständig vernichten oder jeden nur möglichen Schaden anrichten, den der
Programmierer des Virus eingeplant hat.
In fast allen Fällen bleibt der Virus unbemerkt, während er sein Zerstörungswerk vollbringt.
Auch die Virenerkennung mittels Virenscannern gestaltet sich zunehmend schwieriger, da sich
Viren verändern können, wie polymorphe Viren, und neuere Viren Tarnfunktionen besitzen, wie
der Stealth Virus, und sich vor Virenscannern verbergen können.
Viren werden über das Internet verbreitet, und zwar über die Dateianhänge von E-Mails und
33
Netzwerk-Attacken
Software-Downloads. Sie werden in Datenbanken von Wildlist als ITW-Viren erfasst und
stehen Anwendern unter http://www.wildlist.org zur Verfügung.
Wurm
worm
Ein Wurm ist ein infizierter Programmcode, der sich normalerweise über die vorhandene
Infrastruktur, über Netzwerkverbindungen oder den Anhang von E-Mails ausbreitet und auf
anderen Systemen Schaden anrichtet. Würmer können auch das Adressbuch des Benutzers für
die Verbreitung benutzen.
Würmer sind schädliche, autonome Programmroutinen, die sich, sobald sie codiert und
freigesetzt werden, automatisch vervielfältigen um möglichst viele Rechner zu befallen. Sie
dringen über Sicherheitslücken in die Systeme ein und richten dort Schaden an, indem sie
unerwünschte Aktionen auslösen. Das können Nachrichten sein, die plötzlich auf dem
Bildschirm erscheine; sie können aber auch Dateien löschen, Festplatten formatieren oder den
Prozessor mit sinnlosen Aufgaben eindecken.
XSS, cross site scripting
Cross Site Scripting (XSS) sind Angriffe auf Webservices über das HTTP-Protokoll. Bei diesen
Angriffen wird ein XSS-Loch bei der Eingabe von Benutzerdaten genutzt. Ein solches XSS-Loch
entsteht, wenn eine Applikation Daten eines Nutzers an einen Web-Browser sendet, ohne
vorher die Inhalte zu überprüfen oder diese zu verschlüsseln. Die Benutzereingaben werden
nicht überprüft und gelangen ungefiltert an den Browser.
Mit den XSS-Angriffen können Hacker beeinträchtigende Skripte im Browser des Angegriffenen
ausführen und darüber Angriffe mittels Phishing oder Malware zu initiieren. Jede in Browsern
unterstützte Scriptsprache ist anfällig auf diese Attacken.
Schutz gegen das Cross Site Scripting kann erreicht werden, wenn alle eingehenden Daten
anhand einer Überprüfungsliste, einer sogenannten Whitelist, überprüft werden.
34
Impressum
Netzwerk-Attacken
Urheber
Klaus Lipinski
Datacom-Buchverlag GmbH
84378 Dietersburg
ISBN: 978-3-89238-236-2
Titel: Netzwerk-Attacken
E-Book, Copyright 2012
Trotz sorgfältiger Recherche wird für die
angegebenen Informationen keine Haftung
übernommen.
Dieses Werk ist unter einem Creative Commons Namensnennung-Keine
kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland Lizenzvertrag
lizenziert.
Erlaubt ist die nichtkommerzielle Verbreitung und Vervielfältigung ohne das Werk
zu verändern und unter Nennung des Herausgebers. Sie dürfen dieses
E-Book auf Ihrer Website einbinden, wenn ein Backlink auf www.itwissen.info
gesetzt ist. Sie dürfen es nicht kopieren und ins Netz stellen.
Layout & Gestaltung: Sebastian Schreiber
Titel: Fotolia - © ivan kmit
Produktion: www.media-schmid.de
Weitere Informationen unter www.itwissen.info
35