Böse_Tools_Die_dunkle_Seite_von_Open_Source

Transcription

Tools: Die dunkle Seite von Open Source
Passwörter cracken, Kopierschutz umgehen, pes ausspionieren, Forensik:
Die Open-Source-Szene bringt etliche Lösungen zutage, die nicht immer
nur für gute, legale Zwecke eingesetzt werden. Existiert neben den
quietschbunten familientauglichen Pinguinen und Feuerfüchsen eine
dunkle Parallelwelt? Wir beleuchten die Szene und zeigen, was die
"Sicherheitstools" (auf Heft-DVD) alles können (Mireolang)
Copyrighted Material
I
m Star-Wars-Universum ist die
dunkle Seite der Macht verfuhreri eh
und punktet mit spektakulären Aktionen, und in den Bits- und Byte -WeIten der PCs ieht es im Grunde nicht
anders aus: 1st die neueste SpielfilmDVD tatsächlich (wirkungsvoll) kopiergeschützt? I t das Netzwerk meine
Nachbarn vielleicht offen? Wie knacke
ich mein verge enes Windows-/PDF-I
ZIP-Pa wort? Alles spannende Fragen, die beantwortet werden wollen
und mit den entsprechenden Werkzeu-
gen auch können. Aber natürlich geht
es nicht nur um interessante Frage teIlungen, sondern auch darum, konkrete
Probleme zu lösen - ein typischer Fall
für die Open-Source-Community. So
wundeli es auch nicht, das e etliche
freie Tool gibt, die - nicht nur, aber
insbesondere von öffentlichen Stellen
- in Grauzonen eingeordnet werden
oder gar gerne verboten werden würden. Und das nur, weil sie Ihnen helfen, Schwachstellen in Ihrem Sicherheit konzept zu finden oder vergesse-
Die wichtigsten Fragen zu bösen Tools
Sind die Tools illegal. könnte ich Probleme bekommen?
Nein. Die vorge teilten Tool sind nicht verboten, sie ermöglichen jedoch verbotene Aktionen, für die
Sie unter Umständen belangt werden können. Auch sollten Sie die Programme nicht auf Rechnern im
Netzwerk Ihres Arbeitgebers installieren - gleich zu welchem Zweck!
Wie sieht es mit der viel diskutierten Privatkopie aus?
Im Detail mag Spielraum für juristische Interpretationen zu finden sein, letztlich ist der Sachverhalt für
Sie als Endnutzer aber recht simpel: Der Gesetzgeber gestattet Privatkopien, untersagt das Umgehen eines Kopierschutzes, stellt dies aber, so lange es zu privaten, nicht kommerziellen Zwecken geschieht,
nicht unter Strafe. Nichtsdestoweniger kann der Rechteinhaber (also zum Beispiel Film tudios) Sie belangen. Mit anderen Worten: Ist auf einem Datenträger ein Kopierschutz angegeben. dürfen Sie ihn
nicht kopieren.
28
ne Passwörter zu rekonstruieren. Das
Spektrum quelloffener Programme
reicht dabei von recht simplen Tool
zum automatischen Ausprobieren von
Passwörtern
(Bruteforce-Attacken)
über die vollautomatische Umgehung
von Kopierschutzsystemen bis hin zu
peziellen Live-Linux-Distributionen,
mit denen Admini trataren Sicherheit lücken in komplexen Netzwerken
aufspüren können. Auf den folgenden
Seiten möchten wir Ihnen zum einen
die Schnittstelle Hacking I Open Source etwas näher bringen und zum anderen anhand von Beispielen zeigen, wie
diese "bösen" Tools eingesetzt werden
können.
Was heißt hier böse?
Im Grunde sind die meisten Programme
nicht bö er als ein ordinärer Zimmermannshammer: Natürlich können Sie
damit den Banker an der Krawatte Fe tnageln und da Gcld aus der Kas e
klauen, aber eigentlich soll da Teil
Metallstifte ins Holz jagen. Genau 0
können Sie mit einem Netzwerk-Sniffer
einen Angriff auf das schlecht gesicherte WLAN Ihres ungeliebten achbarn
planen oder eben einfach prüFen, ob
l!r.tt3M'@lJll
ich in Ihr eigene Netzwerk ein unbefugtes Programm eingeschlichen hat.
Selb t der Ge etzgeber spricht nur ehr
vage und vorsichtig von bösen im Sinne von illegalen Tool und konzentriert
ich lieber auf die Intentionen der Nutzer (mehr dazu unter "Verbotene
Tools"). Die hicr behandelten Programme sind natürlich allesamt legal, ber-
heitsmechanismen wie etwa Verschlüselung algorithmen mit offenliegendem Code im Allgemeinen als sicherer.
Auch finden Sie bei beiden Gruppen
immer wieder Di kus ionen und Beiträge zu soften Themen wie Ethik: Hacker
etzen sich dafür ein, dass HackingKnow-how nur für "gute Zwecke" eingesetzt wird, Fans freier Software pro-
"Die erste (die zentralste und traditionellste)
[Tätigkeit eines Hackers] ist es, Programme zu
schreiben, die andere Hacker für spaßig oder
nützlich erachten und die Programmqu lien
der gesamte Hacker-Szene zur Nutzung zur
Verfügung zu stellen."
Erie s.. Raymond, How To BetQme A Hacker, Quelle: Wikipedia (http://('(1mmons.wiki
med i3.orgJwi k.i/File:Eric_Sleven_lYymond..QJtpng). Auloe: jerone2.lizenz: CC:-BY-SA
(http://creattveCDmmDns.org/l;censes/bv-,a/2.0n
gen aber alle das Potenzial, misbraucht zu werden, und sind teils auch
in der Praxis Standard werkzeuge böswilliger Hacker (meist al Cracker bezeichnet). Letztlich teilen ich also Sicherheit experten und ihre Gegenspieler wie Cyberterroristen oder Spammer
die gleichen Waffen und dank Open
Source haben auch Sie vollen Zugriff
auf da digitale Arsenal - der verantwortungsvolle Umgang mit diesen
Werkzeugen liegt bei Ihnen! Übrigens:
Wenn Sie denken, der Vcrglekh mit
Waffen sei übertrieben, sollten Sie wi sen, dass etwa Verschlüsselung in den
USA unter das Waffenrecht fallt und
PGP-Erfinder Phil Zimmermann A nfang der Neunziger gar eine Anklage
drohte; und auch Hollywood zeigt so
eindruck - wie fanta ievoll die Macht
der Einsen und Nullen in neuen Streifen
wie Stirb Langsam 4 oder Klassikern
wie War Game.
pagieren da Recht auf Informationsfreiheit - Brüder im Geiste. Allerdings
beschäftigen sich Open SoureeIer auch
chon mal mit Multimedia und Hacker
mit Windows; umgekehrt ist das eher
Abaul Hdndbrake
Hanclbral<e
0.9.2
BOlid:
2008021900
HandBrake is an open-source. GPl-!icensed, multiplatform.
multlthreaded DVD fike sourre to MPEG--4 mnverter.
CIOM.!
die Ausnahme. Jedenfalls lässt ich so
erklären, warum so viele Sicherheitsprogramme, die oft vereinfacht als
Hacker-Tool bezeichnet werden, quelloffen sind. Aber auch Programme, die
eher den bö willigen Hackern zuzuordnen sind - etwa zur Umgehung von
DVD-Kopierschutzmechani men
-,
ind häufig Open Source und werden
durchaus akzeptiert, da sich die ethiche Sichtweise auf das Umgehen von
DRM-Maßnahmen derart darstellt, dass
dem User damit schlichtweg das Recht
auf freie Nutzung der Daten, de Films
oder de' Programms wieder eingeräu mt
wird, das jenes DRM ihm eben nimmt.
Weitere Vorteile freier Lizenzen für böse Tools: Es ist kaum möglich, einen
Versionsnummern spielen
bei freien lools häufig eine
größere Rolle als bei ihren
zugeknöpften Pendants, da
auch ältere Programmversionen nahezu zu 100
Prozent verfügbar bleiben.
Und falls ein .Feature". wie
etwa das Ignorieren von
Kopierschutzmechanismen
in Handbrake. herausoptimiert wird. kann der
geneigte User schlicht auf
Vorversionen zurückgreifen
Open Source und Cracking
Die Open-Source- und Hacker-Szenen
haben eine riesige Schnittmenge,
chließlich haben sie sich letztlich beide
aus den Computerfreaks der ersten
Stunden entwickelt und dürften zeitweise gar nicht auseinanderzuhalten
gewesen sein. Im Grunde basieren beide
Gruppen auf eugier und dem Wunsch/
Versuch, Probleme zu lösen - und dass
da Lösen eine Softwareproblems im
Allgellleinen Einsicht in den Quelleode
erfordert, ist klar. Auch haben Hacker
zum größten Teil mit Sicherheitsbelangen zu tun - eine Thematik, die untrennbar mit Open Source verbunden
i t, denn einerseits ba ieren nun einmal
etliche Netze, etwa das Internet, mas iv
auf freien Produkten (Li nu x-Server
u. a.) und andererseits gelten Sicher-
Sicherheits-Tools zum Testen und Optimieren (auf Heft-DVD)
John the Ripper
Bruteforce-/Wörterbuch-Cracker für System passwörter
fgdump
Erstellt Textdateien von Windows-Passwort-Hashes
Nikto
Scannt Webserver und dortige Software auf bekannte Schwachstellen
PDFCraek
Bruteforce-/Wörterbuch-Cracker für PDF-Dateien
RARCrack
Bruteforce-/Wörterbuch-Cracker für Archive
GoogleHacker
Findet via Google-Suche .interessante" Informationen/Dateien
Tor-Proxy.NET
Firefox-Plug-in für anonymes Surfen
Handbrake
DVD-Ripper
VLC Player
Player/Ripper/Konverter/Streaming-Lösung für Video/Audio
Ophcrack
Cracker für System-Passwörter via Rainbow Tables
VbootKit
Bootbarer Cracker für Windows 7-Aceounts
Aircrack-ng
Toolsammlung zum Testen/Cracken von WLANs
Kismet
Standard-WLAN-Detektor für Linux
hping
Erweitertes PING, Port-Scanner und mehr
Net Stumbler
Hervorragender WLAN-Detektor für Windows (nur Freeware)
PyKeylogger
Monitoring-Programm für den Desktop mit Reports via E-Mail
Sieuth Kit /Autopsy
Forensisches Data Recovery mit grafischer Oberfläche (Autopsy)
eMule Toxic
Leecher-Version (v. a. keine Uploads) des P2P-Clients eMule
Vuze Extreme Mod
Leecher-Version von Vuze (ehem. A2ureus). www.sb-innovation.de
Frostwire
Freier Filesharing-Client im Limewire-Stil
Xampp
Serverumgebung für lokale Tests
Wireshark
Umfassende Analyse von aufgezeichnetem oder Live-Netzwerk-Traffic
GoogleMail PHP- Hack-Skript Bruteforce-Tests für Ihr Google Mail-Konto
pidgin
Instant Messenger mit interner Verschlüsselung
GNUPG/Enigmail
Sicherer E-Mail-Verkehr mit öffentlichen/privaten Schlüsseln
Zenmap
GUI für den Netzwerkscanner Nmap
Nirsoft
Diverse Crack-Tools unter Freeware-Lizenz (oft aber mit Quellcode)
29
Anonymität ist das A und 0
beim Besuch zweifelhafter
Seiten: aber auch redlichen
Angeboten können Sie mit
Diensten wie TOR und JonDoe
Ihre Surfgewohnheiten
vorenthalten (links)
Welcome Humans!
, _"0.
Hacker sind ein äußerst
humorvoller Menschentyp mit
einer Vorliebe für SciFi und
Roboter, wie der Web erverScanner Nikto und auch
Firefox 3 zeigen, aber wir
wollen nicht zu viel
verraten ... (rechts)
..~.
_
.".~,~".
r
I
SPIEGELl)NIIi'-t
I~.
h.._ _....... I .....".
~ <)'.
~
Eu,m:."~
IJIIQ.lStI
Olllii5-lIlKa
114_~ \'i!l:.-d,.tt
IInt!Plr
We have come to Wlt you In peec:e end wlth
• Rcboti rnay not
comelOl'Iamt.
AIO
g~l'
~I!' iiI human beng or, dlfougtl hilttion, aIcMo iiI num
• RQtxJu hilVE! SE!@l'lU'w1gl 'r'OV p~ WO'tI1t1\ bE~e
1CtIlIIS'
• Rabau are Your P\l5tIc pa) 'Mlo"s Fun 10 Be Wttl
• Robots hBW
~~
metlll
~s
iI'It1trtl !hol/tl not be bitU!n..
'HUtO'"
einzelnen Urheber für da Programm
verantwortlich zu machen, dem Entwickler wäre im Zweifelsfall selten eine
kommerzielle Absieht nachzuweisen,
wenn er das Tool al Open Source vertreibt und last but not least kann die
Nutzerschaft sieher sein, dass ein Programm nicht aus dem Verkehr gezogen
werden kann. Bei dem Gedanken, da
alle Informationen, im Zweifelsfall
auch Hollywood-Filme, für jedermann
frei sein sollten oder gar müssten, spaltet ich aber auch die Gemeinde rund
um Freie Software / Open Source in Lager auf, Generell ließen sich Hackerund Free-Software-Szene noch lange
weiter in einzelne Bereiche aufteilen,
aber das würde hier zu weit führen, Ein
guter Ein tieg punkt in die Thematik
ist, wie immer bei derartigen Themen,
die Wikipedia.
Dunkle Szene?
Ja, es gibt offensichtlich eine dunkle
Seite der Open-Source-Szene. Allerdings sollten Sie ich von der eher romantischen Vorstellung kleinerer jugendlicher Hacker-Cliquen verabschieden, die ihr Genie einsetzen, um bö 'en
Großunternehmen auf die Finger zu
klopfen, wie es etwa Johnny Lee Miller
und Angelina Jolie im Film Hackers
tun. Derartige Anleihen finden Sie eher
in der Filesharing-Szene, in der es
durchaus noch Gruppen gibt, die um
des Prestiges willen versuchen, neue
Filme als Erste in Netz zu stellen. Einzelpersonen, die nachts um vier im
vollge topften Arbeitszimmer versuchen, das lokale Rathaus, die Ex-Schule
oder das Netz des Arbeitgebers zu hacken, wird es freilich immer geben, aber
auch diese Gruppe ließe sieh nicht wirklich als Szene betiteln. Im Malware-Bereich gibt c hingegen eine klare Tendenz hin zur Weiterverwendung der
Quellcodes von Viren, Würmern und
Verwandten. Aber auch Methoden und
Gepflogenheiten der Free SoftwareWeIt werden übernommen, wie etwa in
MeAfees Analyse globaler Sicherheitsbedrohungen 2006 nach zu lesen ist:
"Bot-Autoren greifen ver tärkt auf
Open-Source- ntwieklungstechniken
zurück, so z. B. auf mehrere Beiträge,
VerötTentlichungen unmittelbar nach
Fehlerbehebungen, bezahlte Funktionsänderungen und Wiederverwendu ng von Modulen. Die e Form der Kooperation wird Botnets vorau ichtlieh
zu größerer Robustheit verhelfen, was
für Botnct-Kunden eine solidere Investitionsrendite bedeutet." Aus dieser Äufkrung wird auch klar, das es sieh um
weltweit organisiertes Verbrechen handelt - das schlicht auf den Erfolgszug
Open Source aufgesprungen ist und den
quelloffenen Ansatz als effizientes Entwicklungs- und Business-Modell sicht.
Die in diesem Artikel behandelten Tools
ind, wie bereits erwähnt, vor allem
(oder zumindest auch) für legale Zwekke gedacht und tammen wie Firefox,
Linux oder Joomla! von ganz normalen
Programmierern, Hochschulen und Unternehmen, die in der Regel keine Mitglieder irgendeiner Cyber-Matia sind.
Neben der Software sollten übrigens
auch frei verfügbare Dokumentationen
und Anleitungen, etwa für spezielle
Angriffe auf Web ervcr, mit betrachtet
werden, denn auch derlei Dokumente
werden, häutIg zu ammen mit der Malware, frei getauscht und verteilt. Wenn
Sie nun geneigt sind, zu sagen, dass
Malware eindeutig bö e verbotene
Software ist, müssen wie Sie trotz einleuchtender Logik noch kurz bremsen,
da auch hier die Grenzen fließend sind.
Dazu ein Beispiel: Der Wurm W32/De-
Vorsicht Vi ruswa rn ung !
\';) Norton AntiV.-us
Sie haben eine Firewall
..und ein Anti-Virus-ProSIcherheitsverlauf
0 '
gramm installiert? Falls
D
Wamu~'~'UiII ..
nicht, sollten Sie das
NIIIRI"" lbilQ,dringend nachholen!
Rc!I.llMlIll3Hko!'nprlr'r.IiHl Dael
,.,l'"
Wenn Sie allerdings
Tools aus diesem Artikel
ausprobieren möchten,
"-" .
müssen Sie mit etlichen
Meldungen rechnen, da
diese häufig als Mallmpk>hJ_.. ,u,1Illi&:
'0112.20IHHl4.2i.9
e'~t4n-~t,/,i;W1II
ware erkannt/verkannt
werden. Natürlich können Sie Anti-Virus Et
MU..2OD"iI2l:1Bll
Co, kurzzeitig deaktivieren, sinnvoller ist es
aber sicherlich, für Tests
eine virtuelle Maschine
zu benutzen. Allerdings bringt die Virtualisierung bei Tools, die Verbindungen ins oder über das Internet
aufbauen, oft nicht viel, da diese natürlich über den Host-Rechner, also auch Ihre normale Firewall, laufen. Wenn Sie derartige Applikationen dennoch ohne Risiko nutzen wollen, können Sie das nur über ein
Live-Linux-System beziehungsweise eine separate Windows-Installation (vorzugsweise auf einer eigenen Festplatte) bewerkstelligen. Übrigens wird auch die Heft-DVD aller Wahrscheinlichkeit nach Meldungen auslösen, aber echte Malware müssen Sie natürlich nicht befürchten! Tipp: Wenn Sie Tools ausprobieren und Ihrer Sicherheitssoftware mitteilen, dass der Zugriff doch erlaubt werden soll, erlauben
Sie es nur einmalig, setzen Sie also kein Häkchen bei Optionen wie .Einstellung merken" - schließlich
möchten Sie nicht irgendwann von den Log-Dateien eines Keyloggers oder Ähnlichem überrascht werden, den Sie vielleicht vergessen haben zu deinstaliieren!
'=
·1:.n~lIlblvl,moncn
···...............
··..........
30
."
l!r.tt3M'@lJll
loder.worm (erschien 2003) enthältTeile der populären Fernwartung oftware
TightVNC, und omit besteht die Chance, da s Sie sieh mit TightVNC absichtlich Software in talliert haben, die vom
Viren-Scanner als Malware erkannt
wird. Stellt ich die Frage, wie Software-Verbote überhaupt aussehen ollen.
Verbotene Tools
Die Regel: Es gibt keine bösen Tools!
Der Gesetzgeber konfrontiert PC-User
vor allem an zwei Punkten mit Verboten: der Umgehung eines Kopierchutze im Urheberrechtsge etz (§ 95a
UrhG) und der Nutzung!Verbreitung so
genannter Hacker-Tools zum Ausspähen und Abfangen von Daten im Strafgesetz (§ 202a,b,c StGB). In den UrhGParagrafen ist geregelt, dass Sie keine
Kopien von Film-DVDs oder MusikCDs erstellen dürfen, sofern diese einen
wirksamen Schutz zur Verhinderung
solcher vorweisen - auch nicht für private Zwecke, auch nicht, wenn der
Schutz faktisch unwirksam ist. lmjuritischen Sinne reicht e , wenn der Her-
steiler einen Kopierschutz implementiert und darauf hingewiesen hat gleichgültig, ob er etwas taugt oder
nicht. Dcr im Volksmund Hackcr-Paragraf genannte § 202c StGB untersagt
Besitz!Vertcilung/Herstellung von Programmen, die zur Begehung einer
Straftat nach § 202 a und b dienen, also
das Ausspähen von Daten (etwa Knacken verschlüsselter Passwörter) beziehungsweise das Abfangen von Daten
(etwa Mitschneiden fremden Netzwerkverkehrs) zum Ziel haben. Wichtig:
Nicht die Iools selbst sind verboten,
vielmehr ist deren Nutzung zu illegalen
Zwecken unter Strafe gestellt. Dies betrifft besonders die Hacker-Tools, da
diese auch von Sicherhcitsfirmen und
Systemadministratoren eingesetzt werden, um Sicherhcitslücken in Netzen
und Produkten aufzuspüren. Nach Einführung des Paragrafen gab es (und gibt
e noch) viel Verun icherung bei den
redlichen Nutzern derartiger Iools, ob
sie sich nun nicht strafbar machen würden, wa
mehrere Akteure durch
(Selbst-)Anzeigen zu klären versuch-
zel:
Ihoditli»te.
-.::J
9
Jlfdll:
ItntlCflK
J
n
8tfd1J: InmJP·H <A·v.flE .fS22..2S,OO ·PA21,23,90,3399 h~6th::S5lte.OfO
NM:!lp-Ausg,ib~ 1Pl:lrt:t I RKh-lE:1 ~J:tl$b\ll:bJf
I
Red"Ll'l'Zlbeltradtet Fl:i cbctJ9'l
I
1Rathner-Det.ak
Sl$Jettlh120
."..0
ten. Ergebnis: Die Iools selbst sind
nicht illegal, erst die Nutzung für illegale Aktivitäten bringt Sie in die Bredouille. So musste sich etwa das Bundesministerium für Sicherheit in der Informationstechnik (BSI) mit einer Anzeige auseinandersetzen, da mit der
15 ~ I
I
localhost
Zenmap ist eine sehr schöne
Oberfläche für Nmap. mit
der Sie Netzwerke auf
offene Ports, vorhandene
Rechner und so weiler
untersuchen können
Hacking-Komplettlösu ngen: Live-CDs
Hacking, Sicherheitstechnologie und auch Cracking sind Themen, die
unweigerlich zu Linux führen, für das sich die meist n Tools finden.
S Ibst Tool5, die sowohl für linux als auch rur Windows existieren, etwa
Aircrack-ng, funktionieren unt r UNIX-ähnlichen Systemen meist besser. Dennoch müssen Sie sich nicht unbedingt um die (teils komplizierte) Einrichtung Dutzender Tools kümmern, da es viele linux-Distributionen gibt, die sp zi 11 rur Aufgaben in der IT-Sich rh it konzipiert
sind.
INSERT
INSERT (auf Heft-DVD) ist ein Live-Linux der Inside Security GmbH
(www.inside-security.de) auf Basis von Knoppix mit gerade einmal 60
Megabyte. Sie finden hier Tools für Datenrettung, Netzwerkanalyse
und Malware-Erkennung. haben Zugriff auf alle gängigen Dateisysteme lokaler und entfernter Rechner und können somit vor allem bei
gecrashten Rechnern schnell Erste Hilfe leisten. Die Distribution läuft
mit einer einfachen schnellen grafischen Benutzeroberfläche und
startet eigentlich immer ohne jegliche Probleme. Selbst wenn Sie gerade keinen Bedarf haben, empfehlen wir dringend, sich eine Version
auf eine CD oder einen alten USB-Stick zu spielen - ist der Bedarf tatsächlich da, ist es meist schon zu spät!
BackTrack
Die vermu tlich meistzitierte Software in diesem
Bereich ist die Verschmelzung von WHax
und Auditor Security
Collection: BackTrack
(www.remote-exploit.
org/backtrack.html) basiert auf Slackware Linux
und bietet über 300 Tools
für Penetrationstests, al-
so simulierte Cracker-Angriffe zur Identifikation von Schwachstellen.
Besonders hervorzuheben ist dabei das Metasploit Framework
(www.metasploit.com). das eine Umgebung zur Entwicklung und Ausführung von Exploits bietet und Hunderte bereits fertige Module beinhaltet, die Sie unter www.metasploit.com/framework/modules nachschlagen können. Hier aber schon mal ein paar Beispiele von Sicherheitslücken, die Sie ausmachen können: Standard-Logins aufTomcatServern, PHPMyAdmin-Dateien. die die Ausführung fremden Codes
ermöglichen, Buffer-Overflow-Risiken in Sicherheitsprodukten von
Trend Micro, McAfee und Symantec oder Möglichkeiten, die Firewalls
eines (zum Beispiel Firmen-) Netzwerks zu umgehen. Die Liste der
Module ist lang und dank weiterführender Informationen ein hervorragender Startpunkt in die Welt des Penetration Testings - Englischund etwas mehr als nur grundlegendes IT-Wissen vorausgesetzt. Übrigen ist BackTrack dank verhältnismäßig einfacher Oberfläche einerseits und Professionalität und Individualisierbarkeit andererseits sowohl für Einsteiger als auch für langjährige Tester interessant.
DEFT linux
DEFT (www.deftlinux.net) ~_~_~_~~~~,~~~===::==-~~::='JI
ist im Gegensatz zu
~
BackTrack nicht auf Penetrationstests. sondern
auf foren ische Arbeiten
ausgelegt, also das Un•••.,.__ •._
tersuchen lokaler oder
~~
entfernter Dateisysterne 1':1.:=,_:::",._-J>~:.:::.::,:,
....
):Q:--.....- auf Malware, verlorene
:::.;:v~- :::.::) .._.1'1I ""
Dateien, Logs oder
... ".......
schlicht die Tätigkeiten
liCiijllI!!!!!_:"~'7
des (vorigen) Nutzers.
Natürlich finden Sie dennoch auch die üblichen Netzwerkprogramme
Wireshark und Kismet und so weiter. Die Distribution aus Italien ist ein
Ubuntu-Derivat und ist auch als USB-Version verfügbar.
•
I,
~.
......·,
Ir..
_,Iio'~
31
MMMAMAAMAAAAMMMMAAAO ............... 660AAAMMMMAAA4AAAAMM"'MMAAA,.,,., ...... "' ... "66AAAMMMMMAMAAAAAMAAA
MMMMMMAMAMMMMA
°
",,0, '" 6,0,,0,
[00044511 0 12.2OOS 23.20 4U "000 Iogg'd ")[1270 01 I> 331 P."v""d 'OQuled I"
~:lOO~OOO~::.l!lo"'":Jeoo~ooo~eoo~oooM:looo~oeo~:Ioo~:Ieo~:Ioo~oeooM:laO~OOOM:laOOM:lOOO~OOO~OOO~O
<Ma;lao.saaaaaaMi!laa~aaaMaaaaMaaaaMaaaaoMaaaaM&aaaoMaaaaMaaaaoMaOaa<SMaaa.saaaaaa.MaaaaMaaaaMaaOOMelaaao»aoaaoMaa
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa~aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaailaaaaaoaa~aaaaaaaa~aa~aaMaaClClöSOClCl
aaaaaaaööaa aaaaaaaaaaa
aaaaaa~
[00044511 0.12.2OOS 23:20:4U "000 Iogg,d ,,)[127.0 Oll> Ö><onnecled.
(000446) I0.12.200S 23:20:4U "000 Iogg,d "18 27.0.01 I> Ca1neet'd. "nding we~om,
[0004461 I0.12.2OOS 23:2OAO "000 Ioog,d ,,) ~ 27.0 01 I> 22Of'lezillo Serv" v.r"", 0 S 32 bel.
....,.09'...
(OOOU6J 10.' 2.2009 23:20:40 • (trl logged r1J 1127.0 () 1» 22O'ft'iIten by , m Kcme (1 ImKoue@gmllde)
1000"61 I0.122OOS 23-20'4U . '000 Iogg,d "Jl127 0 0 1I> 220 Aeo...., h'~ 11""001",,, nellp~e<:l./lr~,,1aI
1000446] 10.12.200S 23:20:40 . '000 Ioog,d"W27.0 Oll> USER
MMMMAMMMMMAAAAAAA,O,,O,
,., ... ,., ...... 6AAAMMMMMMMMMAAAAAAAAAAAAAAAAAAAI'JI'JI'JMAMMMMMAMMMAA
AMMMMMAMMAMMMAA666
/\/\/\/\/\/\IIIII'JMMMMMMAMAMMMMAAA ... A/\/\/\/\/\/\/\IIIIIII'JI'JAMMMMMAMAMAAMA
MM44444MMAAAAAAMAMAAAA" /\
A /\ /\ A11 11 I'J I'JMAM44444MMAAAAAAMAMA 6"''' 6" A A /\ /\ A11 11 I'JI'JAMMAA44MMAAAAAAMAA
MMAMAAAAAAAAAAAMAMM b'" b b b b A A'" 6 6 6 6 AAAMAMAMAAAAMAAAMMAM"'''' b b b b b A'" 6 A A A A AAMAMAMAAAAAAAAAMAM
M4MMMMMMMMMMMI'.t./\/\/\/\ ... /\
[000<46] 10 12 200S 23:204U .,,,,, Iooll'd "111270 01 I> 331 P..."",d
,,,,,,,'ed I"
~~~~~MMtJ~~~~MMtJ~~~~~~~~~-»M~~~~~-»M~~~~~~~~~MoMtl~a.MM~~~~~fJ~~~~~
~Ol!ll!l~l!Io!ll!lMOl!ll!l~l!Il!Il!I~!ll!ld<MO!lo!ld~!ldd~!:Io!ld&M!:Idd~!:Io!ld~o!ld~o!ll!l~o!ld~!ld~1!Io!ld<MOl!lo!ldoM!lo!lo!ll!l-»ol!ll!ld~!:Io!ld~!:I
~l!IaaaaaaaaMl!ll!la~aa~l!Iaa~ao!~aaa~aaaaaaaaMaaaa~aaaaaaaa~l!Iaaaaal!laa~aaaaal!laa~l!Iaa~l!Il!Ia~aa~
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa~aaaaaaaa~aa
IOOOU6] 10.12.2009 23:20:4U "000 Iogg'd ~W 27.0 01» doconne<led
(000447) I0.12.200S 23:2O:4U "000 Iogg,d "j ~ 27.0.01 I> Ca1nect'd. ,.nding .... ~m'
Das Penetration Testing Tool
... hier als Gegenstück die ankom(0 F
Accoynt
W Transfer
Metasploit Framework erlaubt
menden Login-Anfragen mit
-C"OOOi51
(notbggerJl"i)
121.0,0,1
dank simpler Eingaben auch
extrem langen Nutzernamen
Einsteigern. erste Erfahrungen mit
protokolliert
professionellen Sicherheitstests
w sammeln; hier wird etwa ein
hauseigenen Sicherheits-Linux-Distri- Grunde nur den Zweck haben, geDoS-Angriff (Denial of Servicel
auf die Administrationsoberfläche bution BOSS (BSI Open Souree Security
schützte DVDs zu rippen, sind durchaus
des lokalen Filelilla-Servers
Suite) eine Version des Passwort-Knak- verboten, aber auch hier mit der Begefahren. die.
kers John the Ripper mit verbreitet wurde - natürlich gab es keine Verurteilung. Die Ausnahme: Tools, die ..hauptsächlich entworfen, hergestellt, angepasst oder erbracht werden, um die Umgehung wirk amer technischer Maßnahmen zu ermöglichen oder zu erleichtern" (§ 95a Ab atz 3 UrhG). Mit
anderen Worten: Programme, die im
chränkung auf ..gewerblichen Zwecken dienende!n] Besitz" (§ 95a Absatz
3 UrhG). Das bekannte te Bei piel ist
wohl das Programm AnyDVD, das zwar
in Deutschland nicht verkauft, aber
durchaus be essen werden darf. un
kümmern wir uns um Open-Source-Lösungen, und die lassen sich nun einmal
nicht so einfach vom Markt nehmen,
""".age...
oder um genau zu sein: gar nicht. Was
bedeutet das alles für Sie? Besitzen dürfen Sie alles, verwenden dürfen Sie alles wiederum nur für legale Zwecke,
denn egal, ob Sie ein Open-Source-Tool
oder einen käuflich erworbenen Passwort-Knacker nutzen: Wenn Sie die
Codes Dritter angreifen, ist es illegal.
PDFs mit PDFCrack entschlüsseln
Das Portable Document Format (PDF) hat sich längst als Austauschformat für Dokumente durchgesetzt
und verfUgt über entsprechende Sicherheitsmechanismen. Die meisten Nutzer setzen auf simple Zugriffsbeschränkung via Passwort und dieses kann durchaus gecrackt werd n.
Dazu benötigen Sie lediglich das freie Kommandozeilenprogramm PDFCrack (http://pdfcrack.source
forge.net) von der Heft-DVD. Unter Windows wird dieses Linux-Tool mit Cygwin eingebunden, was Sie
an der entsprechenden DLL-Datei erkennen; kümmern müssen Sie sich darum nicht weiter. Kopieren Sie
einfach die zu öffnenden PDFs in den gleichen Ordner wie die PDFCrack-Dateien und starten Sie das
Tool etwa mit folgender Anweisung:
c:\pdfcrack> pdfcrack -f test.pdf -n 3 -c abc123
In diesem Fall würde PDFCrack versuchen, eine Bruteforce-Attacke auf die
Datei Test.pdf zu starten; der Parameter
.-n 3" legt dabei fest, dass Pa swörter
mindestens drei Zeichen haben müssen
(mit ,,-m" könnten Sie auch eine Maximallänge festlegen) und mit ,,_c" könnten Sie einen Zeichensatz übergeben, der
verwendet werden soll. In diesem Beispiel
würde PDFCrack also so lange mindesDas Ergebnis eines erfolgreichen Cracks: Das Passwort .test" ist
tens dreisteIlige Kombinationen der Zeidenkbar schlecht und selbst ohne die Einschränkung auf einen
chen a, b, c, I, 2 und 3 bilden, bis das
limitierten Zeichensatz schnell entschlüsselt
Passwort gefunden ist. Eine derartige
Begrenzung ergibt in der Praxis natürlich keinen Sinn, aber um zu testen, ob PDFCrack korrekt funktioniert, können Sie die Zeit für den Crack so auf ein paar Sekunden begrenzen (sofern das Passwort etwa
.abc" ist). Alternativ zum Bruteforcing können Sie per Wörterbuch Ihr Glück versuchen und mit dem
Parameter ,,-w" eine Liste mit per Umbruch getrennten Begriffen übergeben.
32
Einsatzgebiete
Kommen wir nun zum praktischen
Aspekt und dcr Frage, wo unsere Tool
mit Unheilpotenzial denn überhaupt
eingesetzt werden und welche Produkte
welche Lösungen versprechen. Für den
Heimanwender sind die wichtigsten
Szenarien sicherlich die Rekonstruktion vergessener Passwörter und die Anfertigung von Sicherhcitskopien von
Multimediadatenträgern; aber auch die
bisher unerwähnten Filesharing-Produkte erfreuen sich nach wie vor grolkr
Beliebtheit. Klassische Hacking-Ansätze zeigen wir Ihnen in den Ab chnitten
Netzwerke, Kommunikation und Google Hacking; die e Bereiche sind auf
Daten pionage au gelegt und somit
tendcnziell ein Problem für jeden PCNutzer, aber: Wenn Sie die grundsätzlichen Methoden und Tools böswilliger
Hacker kennen, ist das bereit ein großer Schritt in Richtung Sicherheit. Abchließen werdcn wir dann mit einem
Thema, das die komplette Aufmerkamkeit Ihrer Ethik-Einheit erfordert:
Desktop-Tools zum Überwachen von
Nutzern, zum Au spionieren von Passwörtern, zum Wiederher teilen gelöschter Dokumente oder auch zum
Umgehen beschränkter Tc tzeiträume
bei Sharcware .
Kopierschutz
Beim Thema Kopierschutz geht es mittlerweile fa t nur noch um Video-DVDs:
l!r.tt3M' 1lC41/11
Audio-CDs sind häufig nicht geschützt
RAR-Format ge peichert. Freilich sollpiel ASCII oder die Menge {abcoder derart schlecht, da der Schutz
ten Sie Ihre Steuererklärungen, medizidefgI23}) zu ein-, zwei-, drei- usw.überhaupt nicht auffallt, wenn Sie einni che Unterlagen, berufliche Interna
telligen Passwörtern und te tet diese
fach cincn Standard-CD-Rippcr wic das und so wcitcr immcr mit Passwörtcrn
ctwa gcgcn dcn Login-Prompt cincr
versehen, jedoch passiert e dann enthervorragende CDex nutzen. SoftwarePDF-Datei. Auch wenn PDFCrack (siehe
prechend
häufig,
Titel hingegen sind immer häufiger mit
Kasten) schon auf einem Standardrechda seinzeIne
Online-Aktivierungen und ähnlichen
ner mit Intel Core2 6400 über 30.000
Schlü cl verlorengehen oder s hlicht
Wörter pro Sekunde chafft, kann dieMechanismen ver ehen, diedic Herstelvergessen werden. Noch schlimmer: Sie
e Vorg hen unter Umständen Jahrlung lauffahiger Sicherheit kopien für
vergessen Ihr Systempasswort für Winhunderte dauern. Moderne Systeme
normale Heimanwender fast unmögdows, Linux oder Mac. Nu n gibt es grob
können zwar mittel' nVidias CUDAlich machen.
Film-DVDs,
Technologie (Grafikkarten-GPUs wer"Seinen eigenen Bot zu kreieren
gleich ob geden für eigentliche CPU-Aufgaben abund ein Botnetz aufzusetzen, ist
kaufte oder
gestellt; mathematische Berechnungen
elbst er teIlwie die Ent chlüsselung führen die
heute relativ einfach. Man benötigt
te,
lassen
GPUs zudem deutlich schneller aus al
kein Spezialistenwissen, sondern
ich besonCPUs) die Rechenkraft von Grafikkarkann einfach verfügbare Tools oder
ders komforten nutzen, dennoch bleibt d I' zeitliche
gar den Quellcode herunterladen."
tabel mit der
Aufwand bei guten Passwörtern enorm.
OECO..Hintefgrundinformationen fDr Minister 07,
freien SoftDie zweite Spielart nutzt Wörterbücher,
www.D«d.orgldataoecd!SJ/34!4Q724457.pdr
ware Handderen Einträge als Logins durchprobiert
werden. Dabei kommt es natürlich ma brake kopieren - zuminiv auf die Qualität und Quantität die er
dest, solange sie keinen Kopierschutz gesehen zwei grundlegende MöglichLi ten an. Ein sehr gute Beispiel für ein
olche Wörterbuch tammt vom Inforhaben. Das war nicht immer so: Vor der keiten, Passwörter zurückzuerlangen:
Entweder Sie versuchen etliche mögliim November 2008 er chienenen Versimation Warfare Consultant Sebastien
che Schlüssel oder greifen aufTools zuReveau, über dessen Blog (http://blog.
on 0.9.3 beinhaltete Handbrake die Bibliothek libdvdcss aus dem VideoLANrück, die gecrackte Verschlüsselungsebastien. raveau.n ame/2009/03/cra
cking-passwords-with-wikipedia.html)
Projekt (u. a. VLC Player), die Videoalgorithm n einzelner Programme zu
Sie eine Wortliste, generiert aus den
DVDs chlicht als Abfolge von DatenRate ziehen. In ersterem Fall können Sie
Datenbanken mehrerer Wikipediablöcken liest und sich entsprechend
wiederum zwei Spielarten verwenden:
Eine Bruteforce-Attaeke kombiniert die
nicht um Kopier chutz, DRM oder ÄhnAusgaben, herunterladen können. Der
Elemente eines Zeichensatze (zum Beigroße Vorteil der Liste ist, dass auch
liches kümmert. Das Problem dabei ergibt ich aus den oben zitierten UrhGTexten: Handbrake war in früheren
Versionen eindeutig ein Tool, das
hauptsächlich für das Rippen geschützHandbrake (auf H ft-DVD) z igt
ter DVDs gedacht und somit zumindest
Tot'ib Pteet!l tteilnah an der Illegalität war. Natürlich fineinmal mehr eine Besonderheit
•
JIt
AddtoQuMI ~~Qul:uc
det sich libdvd s aber auch im freien
freier Software auf: Mit der Version 0.9.3 wurde dem DVD-Ripper
Vorzeige-Player VLC, der DVDs und
e:O'~Wl~O<~O:-~lS~ _ _
I flrowlll'" I
'felder ("'ne
Filme nicht nur auf die lokale Anzeige
die Fähigkeit genommen, sich über
'"
treamen (also auf dem Mon itor abspieKopiersehutzmeehanismen hinwegO.....rtle;
F\,IJ&f!f'&\JC'aIkJt5(,...l\Oe&k.tOO\lrM!lld& I'l' ha~bl'ilkf;.l"lk.V
I~
len), sondern als Streaming-Ziel auch
zusetzen. Aber da sich Open-SourOul".., Sdting.. (1)r0ld1 'rdir.vioIion)
das Netz oder eben eine Datei haben
ce-Produkte nun einmal nicht einr Itrrp oplll"lilb!d M....
•
Ent:0d8:
A.N:.
r ltliert Fod AUlM
f fAUl~ H 264
fach einziehen oder aus dem "Hankann. So lässt ich also ein Film gleichdel" nehmen lassen, können auch
zeitig ansehen und im Hintergrund
wahlweise in Netz treamen (zu andeältere Versionen heruntergeladen
r;;: 2-PIU lni:odlng
I:JOO
Avg ßfmlIl" (kbps)'
P" TilJl1Io~&ttlPass
ren Rechnern, Kon oien etc.) oder in
werden - auch wenn Sie dann naTo!IfOd S.n CM8):
c:::==:::J
i 6"
M~
türlich auf einige Vorzüge der
etlichen verschiedenen Formaten als
I
r OIll'r'MaleEncodl"'il
neueren
Versionen
(aktuell
ist
lokale Kopie speichern. Übrigens: Zwar
0.9.4), wie bessere Profile, verzichhaben die Handbrake-Macher den
ten müssen.
DVD-Decrypter entfernt, jedoch geben
Wenn Sie mit Ihrer
ie auf der Homepage [http://handbra
Version von Hand..!. H~~~"..,=l~,:-
kc.fr) gleich auch den Hinweis, dass
So oder so ist Handbrake ein sehr guter, ein~1Gf!Mt~IPelfCJ'1\WU1
brake zufrieden sind.
o.St4I'tUIIP
fachst zu bedienender Helfer, um Ihre DVDs auf
Handbrake unter Mac automatisch die
könn n Sie über den
ro.kf\l''''''''''''
libdvdc s de VLC lädt und unter Linux
dem pe zu archivieren. Sie müs en lediglich ei" 'fI~bk' Ot.c
ItIpl
Button .Options· die
Pu..dntyr:ld.ultlll~
automatische Suche
ne VOB-Datei oder den VIDEO_TS-Ordner einer
r lJI)dUt fI"'$fflI
eine manuell installierte Version der
nach Updates
Bibliothek akzeptiert - Copyright-SauDVD als Quelle angeben, einen Speicherort
unterbinden
wählen und sich dann für eines der Presets entbermänner ehen anders aus.
c
:=J
cheiden - empfehlenswert sind Einstellungen
Passwörter
mit H.264 und AAe als Video-/Audio-Encoder
sowie ,,2-Pass-Encoding" unter dem Register "Video': Besonders praktisch: Statt die Konvertierung diImmer mehr wichtige Daten werden
auch aufHeim-PCs digital abgelegt und
rekt zu starten, können Sie Aufträge per "Add to Queu" in die Warteschlange einreichen und die äuvorzugsweise als verschlüsseltes PDFßerst zeitaufwändige Verarbeitung auf die Nacht auslagern.
Dokument oder Archiv im ZIP- oder
((
OECD
Das kann nur Open Source: rippen mit Handbrake
..
--======--_-=:::J
l
AudJ()
""-
J
33
~_e
o FtJ shanllQ
o Share only pzwtia fies
o "''-,lwno
o 0;'- fil. ,",1<11 to net"",k
. . UploM
~-
D
~ o"'y to errule dients
Lll/Md
\'f_ 0Queuell.,
er""""
o I"bmalqueue
o QUeue for comolete files
o Queue for partial files
o ~queue
o QueI.e onv rar fll.nd,
•
..
.".
,
Hat'd Leeeher Settings
Comtnunity Nitk Thief
o
Credll: Hack: Off
o
oOthe<F8.el ••_e<:Mnblllrd
COmfl"lJnly
Setbno>
g ~~r.ri
ExteOOed Modlbef
.
lt
S
I
I
Visil:our fOf"um
G?"'..;;:;:;:J
'tOJer't~OlW'Iet!.U1l'1hlrea&wtftlll~'"
Nur Open Source erlaubt,
dass .böse· Programme wie
der Filesharing-Client eMule
modifiziert und damit, je
nach Betrachtu ngsweise.
böser oder eben .Iieber"
gemacht werden ... (links)
.. ' indem Uploads komplett
blockiert werden. was das
eigentliche Sha ring außer
Kraft setzt. Die meisten
Mods, hier im Bild eMule
ToXIC. fügen aber sinnvolle
Modifikationen neben dem
Upload-Verbot hinzu (rechts)
5t:H6 M" &gH:fi-=
tfW'IJ!2,I!i~
flC..t..I'OM)M ,.., ""*"'=I "*Oe_dl
sehr viel Umgangssprachliches zu finden ist, etwa Verballhornungen von Begriffen. Und da User (unvorsichtigerwei cl dazu neigen, echte Wörter statt
wirrer Zeichenketten als Zugangscodes
zu verwenden, lassen sich mit diesem
Datenbestand etliche Passwörter wiederherstellen. Sie sehen, nicht nur die
Technik, auch die (potenziellen) Passwörter selbst stammen aus dem OpenSource-Bereich! So oder so handelt es
sich bei bei den Spielalien mehr oder
!.MI
weniger um "gutes Raten". Die zweite
grundlegende Herangehensweise nutzt
in der Regel die Tatsache aus, das die
Verschlüsselung eines Herstellers etwa
für Office-Dokumente selbst gecrackt
wurde. Alternativ werden Verschlü selungen mithilfe von Hilfstabellen gecrackt; deren Berechnung ist zwar ehr
zeitintensiv, sie können aber immer
wieder genutzt werden, um einzelne
Passwörter verhältnismäl3ig schnell
wiederzuerlangen. Iools dieser Art
11
Abb,..hen
11 lt>emelmen 11
IiIfe
finden Sie allerdings vor allem im
kommerziellen Bereich, zum Beispiel
bei Elcomsoft (www.elcomsoft.com).
die teils die umgehende Wiederherstellung garantieren (zum Bei piel bei Lotus Office-Dokumenten) beziehungsweise zumindest einen maximalen
Zeitraum, sichergestellt durch Varianten erwähnter Tabellen. In der OpenSource-Prax is kommen vor allem Kommandozeilenprogramme zum Einsatz,
denen meist lediglich ein Wörterbuch
oder Zeichensatz sowie die zu entchlüsselnde Datei beziehungswei e
deren Passwort-Hash (die verschlüsselte Variante des Passworts) al Parameter übergeben werden müssen. Im Kasten "Tools zum Artikel" finden Sie Programme für die üblicherwei e anfallenden Passwortwiederherstellungen für
Archive, Betriebssysteme und OfficeDokumente - eine Garantie für das
(zeitlich akzeptable) Funktionieren gibt
es aber freilich nicht, gute Passwörter
lassen sich eben nicht so schnell entschlü ein.
Anonymisierung im Netz
Egal, ob Hacker, Cracker, Sicherheitsspezialist oder Skriptkiddie: In einem Punkt dürft n sich alle einig
sein: Anonymität ist wichtig. Schon wenn Sie einfach ganz normal im Netz surfen, schadet es nicht, Ihre
Wcge zu v rschl iern, abcr spät st ns, wenn j mand ein Vorhaben mit nicht allzu heeren Motiven angeht,
ist der Schutz der Privatsphäre ein absolutes Muss - und dabei einfachst umgesetzt.
Die übliche Methode, sich anonym im Internet zu bewegen, ist der Weg über Proxy-Server, das heißt,
dass Sie sich beispielsweise nicht direkt mit der Seite www.google.de verbinden, sondern der Seite
www.beispiel-proxy.net mitteilen, dass Sie die Google-Homepage sehen wollen; daraufhin ruft der
Proxy die Seite ab und zeigt sie Ihnen, soda s Sie zwar die Google-Seite sehen, aber nach wie vor nur
mit dem Beispiel-Proxy verbunden sind - was im Endeffekt dazu führt, dass Google eben nur einen Besuch von beispiel-proxy.net protokolliert. In der Praxis wird der Verkehr oft noch über mehrere Proxys
geleitet, Protokolle werden gelöscht, Streams verschlüsselt und der User letztlich ziemlich gut geschützt. Die einfachste Art. diese Technik selbst zu verwenden, ist wohl das Firefox-Plug-in TorProxy.NET-Toolbar (https:lltor-proxy.net). Hier können Sie die gewünschte Webseite einfach in das
Adressfeld eingeben und per Klick via JAP/JonDoe- (https:/ljondos,de) oder TOR-Netzwerk
(http://tor.eff.org) anonym aufrufen. Hundertprozentig sicher können Sie zwar auch hier nicht sein, da
die Proxy-Betreiber freilich fröhlich mitloggen könnten, was Sie so treiben, allerdings darf man durchaus davon ausgehen, dass dem nicht so
Usel'" Agent P)
ist - vor allem, weil derartige Projekte
häufig einem universitären Umfeld entIOp.ra/9.50 (Mac,ntosh.lnt.1 Mac OS X. U. 90)
stammen und gerne von eher ideologisch
denn monetär geprägten Beteiligten beRcferre-- (?)
treut werden. Schade ist lediglich, dass
Send real referrer:
Ir
diese Technik zwar schon seit Jahren in
Customreferrer:
Iltrttp:J/WWN·volikommenharmJos.org
dieser Form verfügbar ist, aber immer
noch unter massiven Performance-Problemen zu leiden hat, was einen DauerMit Tor-Proxy.NET können Sie sogar manuell bestimmen, für weieinsatz unmöglich macht - oder sind
chen Browser externe Software Ihren Firefox halten soll und was
Sie bereit, eine halbe Minute auf den
Server annehmen sollen, woher Sie kommen, indem Sie über den
Aufbau der Spiegel-Website zu warten?
"Options"-BulIon einfach User Agent und Referrer manipulieren
34
OK
Netzwerke
Bei Netzwerken geht es hauptsächlich
darum, Schwachstellen im eigenen
LAN oder im Firmennetz au zumachen
- worüber sich ganze Enzyklopädien
chreiben liel3en; wir wollen es bei ein
paar grundlegenden Tools bela sen. Die
für viele Heimnutzer vermutlich erste
wichtigste Frage: Ist mein eigenes
WLAN sicher? Traurigerweise t1nden
ich noch immer viele schlecht per WEP
oder gar komplett unge icherte Netze,
die entsprechend einfach von Dritten
mitgenutzt werden können. Unter Umständen ist das nicht nur kostspielig,
ondern auch fahrlä sig, sollte jemand
Ihr Netz zu illegalen Zwecken nutzen.
Und auch wenn es längst kein neuer
Trend mehr ist, Wardriving wird immer
noch praktiziert und scheint etlichen
l!r.tt3MI@lJll
Nutzern nicht bekannt zu sein. Wardriving meint das Herumfahren und Au fIndigmachen von Wirelcss Access
Points (WAPs), dic nicht oder schlecht
gesichert sind, um sich anschließend
dort einhacken zu können. Auch für
diese "Aufgabe" bietet die Open-Source-Community alles Nötige: Der Netzwerk-Sniffer Kismet [www.kismetwire
less.net) beispielsweise findet WAPs
und liefert allerhand Informationen
über das Netz, unter anderem natürlich
auch über die Verschlü selung. Ist nun
ein WEP-gesicherter WAP ausgemacht,
kommt die kleine Toolsammlung Aircrack-ng (www.aircrack-ng.org) ins
Spiel, die 802.ll-WEP- und WPA-PSKSchlü eI crackt, wozu einfach nur einige Datenpakete empfangen und analysiert werden mü en - natürlich vollautomatisch. Auf der anderen Seite des
WLANs - an Ihrem Rechner - können
Sie wicderum quasi den umgekehrten
Weg gehen und mit dem beliebten
Wireshark (www.wireshark.org) die
Protokolle Ihre Netzwerk bis ins
kleinste Detail aufzeichnen und analyieren. Da Tool ist einfach und auch für
Laien bedien bar, schwierig wird es allerdings bei der Auswertung der erhaltenen Daten. Im günstigsten Fall können Sie zwar einfach erkennen, dass irgendein unerwünschtes Programm auf
Ihrem Rechner Verbindungen ins Internet aufbaut (zum Beispiel ein Virus),
ganz allgemein werden Sie aber mit
sehr vielcnlnformationen überschüttet,
die für detailliertes Verständnis einiges
an Wissen über TCP/IP und so weiter
erfordern. Dennoch: Einen Blick ollten
Sie darauf werfen; Sie werden erstaunt
ein, wie aktiv Ihr pe ist, selbst wenn
Sie gerade nicht surfen. Übrigens kann
Kismet die ersehnüffclten Daten in einem Wireshark-kompatiblen Format
peiehern, sodass Sie päter genauere
Analysen durchführen können. Über
diese WLAN-Problematik hinaus lassen
ich natürlich auch Sicherheitstests gegen regulär über da Internet erreichbare Netzwerke fahren. Dabei geht es
meist darum, Informationen über das
System zu sammeln, die eventuelle
Schwachstellen offenbaren, al 0 beispielsweise offene Ports oder veraltete
Serversoftware. Kennt man etwa einmal die Versionsnummern von Serverprogrammen, muss man sich nur noch
über eine Malware-Datenbank Informationen über Sicherheit lücken dieser
speziellen Ver ion besorgen, und einen
Download später könnte chon ein Angriff gestartet werden. Gebräuchliche
Tool sind zum Beispiel die in den meisten Systemen enthaltenen ping, traceroute, dig oder whois, die Sie in erwei-
Des Crackers bester Freund:
unachtsame Nutzer. PC-Systeme. Software und Peripheriegeräte werden meist mit
Standardkonten installiert, um
den Erstzugriff zu ermöglichen. Diese werden jedoch
häufig nach der Installation
nicht gelöscht. Öffentliche
Listen solcher Standardpasswörter und -nutzernamen
helfen bei der Bekämpfung
dieser Risiken
Webserver mit Nikto scannen
Wer eine Website betreibt. weiß, dass Angriffe Alltag sind. Viele davon sind harmlos und laufen automatisiert ab, dennoch kommen Sie nicht darum herum, sich zumindest grundlegend mit dem Thema
Sicherheit zu beschäftigen.
Ein bei diesem Thema viel besprochenes Tool ist Nikto (http://cirt.net/nikt02], das Sie als Kommandozeilenprogramm oder Live-CD nutzen können. Einzige Voraussetzung: eine Perl-Installation, beispielsweise
von ActiveState für Windows (http://www.activestate.com). Mit dem einfachen Befehl
nikto.pl -host ziel-seruer.de
können Sie nach der Installation einen automatisierten, sehr umfangreichen Test auf Hunderte angreifbare Dateien und Einstellungen durchführen. Nikto findet veraltete Dateiversionen, Skripte oder Programme, die für Angriffe anfällig sind, scannt auf offene Ports. versucht User-Namen zu erraten, gibt
verschiedene Typen von Reports aus und, und, und. Besonders praktisch ist, dass Nikto nicht nur die riskanten Dateien meldet, sondern direkt in der Shell auch angibt, was genau das Risiko bedeutet, also
beispielsweise, dass ein Skript für Buffer-Overflows oder eine Apache-Einstellung für Xross Site Tracing
anfällig ist. Mit ein wenig Recherche können auch mäßig talentierte Cracker viel Unheil anrichten - Sie
hingegen können mit dem gleichen geringen Aufwand entsprechende Sicherheitsmaßnahmen ergreifen, denn die meisten Dokumentationen möglicher Attacken enthalten auch die zugehörigen Gegenmaßnahmen. Übrigens: Wenn Sie einen Faible für nerdigen Humor haben, sollten Sie mal den Namen
Nikto nachschlagen; Sie werden auf Filme wie "Der Tag, an dem die Erde still stand", .star Wars" oder
.Army 01' Darkness" treffen und auch die Eingabe "about:robots" in der Adresszeile von Firefox 3 dürfte
für einige Lacher sorgen ... Aber bei allem Spaß: Nikto ist ein sehr mächtiges Security-Tool, das bei unserer gescann ten Website
(bei einem professionellen
Anbieter via Shared Hosting betrieben) bi nnen
kurzer Zeit etliche Angriffspunkte aufzeigt. die
im Zweifelsfall binnen
kurzer Zeit eine Übernahme der Server-Kontrolle
ermöglichen. Auch das
installierte Content Management System offenbart eine Schwäche, da
dessen Installationsdatei
noch vorhanden ist. deren
Aufruf unter Umständen
massiven Datenverlust
bewirken kann - Nikto
beschränkt sich also nicht
nur auf den Server!
35
S
OpenPGP Ass&ent
Unterschrelben
Di;ll<lles Unterschreiben Ihrer aU'Qehenden Nachrt:hten
openPGP ermogltht Ihnl'll das digitale Unter5Chret>en Ihrer Nachrt:hten. DIes 1St c
e1eklroniOChe version Ihrer untersehllt unter eklem BtEf, und es erlllOgldlt Ihrl'll
Empfangern SICher zu gehen, d ss Nachrthtl'll tatsaehlch von Ihnen <Illmmen un
niCht ver:;ndertwurden.
Ihre Empfiinger benöl:lQen Ihnen öffenti:hen SChlüsse! und ein OpenPGP-lcompatb
E-Mai-Ptogramm, um die Untersdlrilt überprüfen Zu können. Ande<nlati können
Empfänger zwar die NachriChten lesen. ö'NJnterschrift wird aber nur als kryptiOChe
ober- und unterhalb der Nad>nchten bZl"'ilS Anhang angezeigt DIes könnte eng.
Empfänger stören, dilher soIten Sie st:h überlegen, ob aIe ausgehenden Nachrt:ht
untersch~ben werden solen oder ob ,;ni;le Empfänger aU'Qenommen werden so
n
MOChten Sie, dass standardrna~ aIe aU'Qehenden Nachrthten unterschrieben Wt
r Ja. iCh möchte aIe Nachrt:hten unterschreiben
r. rNei~:_K!'_~h~~:~iiiif.i_"9.-e!!!1!@~~::::viinn~6I:~~~_~~en"
-I
üpenPGP in Verbindung mit
Enigmail ermöglicht sichere
Kommunikation mit Thunder-
terter Form auch im Open-Source-Programm hping (www.hping.org) finden.
Dieses dient zu ätzlieh als Port-Seanner, um "offene Türen" im System zu
entdecken, es ermöglicht Firewall-Tests
und einiges mehr. Schon mit dicscn
einfachen Tools gelangen Sie an Informationen über Serverbetreiber (dig,
whois), Standort (traceroute) oder natürlich überhaupt vorhandene Server
(ping). Für au gefeilte Netzwerktests
gibt es speziell präparierte Systeme in
Form von Livc-CDs, dic etwa auch Pcnetrationstests ermöglichen, wie das
hervorragende BackTrack (www.remo
tc-cxploit.org/backtrack.html), das allein über 300 Sicherheitstools beinhaltet, oder bekannte Schwach teilen konkretcr Sy tcmc entblößen, wie es Nikto
(http://cirt.net/nikto2) mit über 2.500
gefährlichen Dateien auf über 900 Server-Versionen leistet. Weitere Informa-
tionen finden Sic im Kasten "HaekingKomplettlösungen". An dieser Stelle
möchten wir es bei den Verweisen auf
Live-Systeme belassen; im Netz finden
Sie aber überall ordentliches Grundlagenwissen zum Thema Netzwerk. Einen neue ren interessanten Aspekt
möchten wir Ihnen aber noch kurz vorstellen: Haeking via Google.
Google-Hacking
Beim Googlc-Hacking geht e darum,
mittels kreativer Anfragen über die
GoogIc-Suche geheime oder nicht öffentliche Informationen oder Dateien
zu entdecken. Google-Hacker (www.
computec.ch/download.php?vicw.483)
etwa basiert auf diesem Prinzip und
teilt chlichtweg vorbereitete GoogleAnfragen zur Verfügung, die beispiels-
bird
DVDs mit VLC rippen
Der VLC Player (auf Heft-DVD) ist eindeutig eines der verkanntesten Multitalente im Software-Universum: Das Programm kann nicht nur Dateien abspielen, sondern ins Netz streamen, Videos mit etlichen Effekten und Optimierungen versehen und eben rippen und konvertieren. Im VLC-Jargon werden Dateien grundsätzlich gestreamt, nur eben wahlweise in eine Datei. ins
Netz od r ins ig n Wi d rgab f nster. Ab r Vorsicht: VLC enthält die Bibliothek libdvdcss und behandelt DVDs daher schlicht als Ansammlung von
Datenblöcken (siehe auch den Abschnitt "Kopierschutz" im Haupttext) und
nimmt entsprechend keine Rücksicht auf etwaige Kopierschutzmechanismen das überlässt die Software Ihnen!
ehe Optionen manuell über das Profil "Eigenes" fest. Klicken Sie nun auf
"Sav ': Tipp: Wenn Sie den Clip, den Sie rippen, gleichzeitig anschauen
wollen, setzen Sie ein Häkchen bei "Lokal wiedergeben':
4. Nun erscheint das gewohn-
.JQJ2!.J
te Player-Fenster und nach der Modlen Audb Vkloo "'-gabe Wled<rllolbcl5l. Ex.... ...
J .
regulären Abspielzeit finden Sie •
14 11'11.'1
die fertig gerippte/konvertierte
~ .:d..!d.!!!J dJ
~~~
Datei im gewählten Verzeich1SIr
~J .~:OI/l:03:0?
nis.
.!!l
1. Um eine DVD auf den Desktop zu rippen, legen Sie sie ein
und wählen den Punkt "Konvertieren/Speichern" im Menü
.Medien':
.JQJ2!.J
_
Audb Vkloo "'-gilbe Woed"'lIolbcl5lr Ex....
• 0.11 dfOOl._
CtrhO
1-
_
• AdVilllCrd Oprn Fe...
L. O<d... oll.......
Cb1·F
MedUm öI1non...
CtT\<0.oox
.... N""""'k oIfnrn...
,jlt
I 00:00/00:00
ctJlo.N
Offntn..,
ctrt.C
2. Wechseln Sie im nächsten
_ .. -,1 .............. .-...·1
Fenster zum Register .Volume"
und setzen Sie vorzugsweise
ein Häkchen bei "Keine DVD
Menü benutzen", da Sie diese
bei einem gerippten Film in der
Regel nicht benötigen. Gegebenenfalls sollten Sie noch Starttitel und -kapitel angeben. Klicken Sie nun unten auf .Konvertieren/
Speichern':
3. Im Fenster .Streamausgabe"
müssen Sie nun festlegen. in
welchem Format der Clip später vorliegen soll. Wählen Sie
dazu etwa das Profil .H264",
um ein gutes Resultat im gängigen Qualitätsstandard zu erhalten, oder legen Sie sämtli36
-I
'"
Ophcrack (auf Hcft-DVD) erledigt im Grund den gleichen Job wie John the
Rippcr, ist aber komfortabler und als Liv -CD verfügbar, dafür aber weniger
schlank. Außerdem nutzt Ophcrack Rainbow Tabl s (vorberechnet Hilfstabellen zur Entschlüsselung, siehe auch Abschnitt Passwörter im Haupttext), die
gerade bei komplexeren Passwörtern einen enormen Performance-Schub geben, ohn den der Crack-Versuch unter Umständen scheitern würde. D r große Unterschied ist also. dass John the Ripper via Bruteforcing (ausprobieren
aller möglichen Zeichenkombinationen) oder Wörterbuch (ausprobieren aller
Einträge einer Wortliste) attackiert und Ophcrack die Sache mittels komplexer Berechnungen angeht. (Allerdings verfugt auch Ophcrack über ein Bruteforce-Modul für einfache Passwörter.)
1. Installieren Sie zunächst die
Windows-Version und laden Sie
sich die Rainbow Tables "XP
Free Fast" von der Website in
den Ordner ,'/ophcrack/tables"
herunter.
~'"
:;J~
~t:-·
..,
...,.,"'"
_ _ _ _ _ _ _ _ 1 .... 1.......1
,,-'"
""'"
. '"
,,,,
>S...
...
........
2UI:
,'!I
I't'k...... ~t.
< ..,
Systempasswörter mit Ophcrack entschlüsseln
2. Starten Sie nun das
Hauptprogramm und
wählen Sie das Register
.Preferences". Hier sollten
Sie die Anzahl der Threads
mit dem ersten Schieberegler an Ihre CPU anpassen; fü r zwei Kerne empfehlen sich drei, für vier
Kerne fünf Threads.
l!r.tt3M'@lJll
wei e nach Standardnamen von Passwortdateien oder üblichen Bezeichnungen von Finanzunterlagen fahnden wobei Sie derartige Anfragen vor allem
als Anregung für eigene Ideen nutzen
ollten. Im Anschluss an diesen Artikel
finden Sie einen Beitrag zu un erer exklusiven Version de beliebten Tools
Googlc Hacks, mit dem Sie Mu ik- und
Audiodateien, Programme oder auch
Patches für Spiele finden können; dort
finden Sie au h weitere Informationen
zum Prinzip Googlc-Hacking. Übrigens: Die Google-Suche ist ein weitere Bei piel dafür, da
es darauf
ankommt, wie genau ein Programm
genutzt wird, schließlich würde Googlc
niemand unterstellen, da größte illegale Cracking-Too! aller Zeiten zu betreiben ...
,.,
NirSoft-_re_:~
MalnPage
~
.....
Sürch
FAQ
TOP 10
Unk.
Awards
PMt File.
Contect
o
About. ..
fDll--l.s
~
I
Kommunikation
Dic grör3te Sorgen machen sich PC-
3. Klicken Sie nun im Hauptfenster auf .Tables':
I'OtA:JolIIl
I'Ol:IV::.!I<l
.lCI'~ffivt
l'a:nlollc
.lC'~M~l
ra:nI~~
::::;:<1""
Ml:flI~~
-~.-.!
~
~
• "'.t.-/t
........
r..e
• IIIIll.a...-
."'''101~',,"
t.l~
Bruteforce-Attacken mit John the Ripper durchführen
5. Suchen Sie nun das Verzeichnis, in das Sie
die heruntergeladenen Tabellen extrahiert haben, und bestätigen Sie den Dialog.
'"'--
-' "r
6. Wieder im Hauptfenster, wählen Sie "Load/
Local SAM", um die lokalen Nutzerkonten auszulesen. (Alternativ könnten Sie mit der Option
•PWDUMP file" auch wieder eine Textdatei erstellen, wie es fgdump bei John the Ripper
macht, oder sich auch an den Konten eines anderen Rechners im Netz versuchen.)
lood
I1'cqleS$
A)
l.I
Dd~91j
I 5b3tisb:s I
111·lr~l,
~
LI
<:.""
Tobles
Sove
Hdl
P,eference::; ,
;.fr.-.j.-r . 4 --r
l,,,,r,
CI.(JF-r r-
-A.
.t'd...
~~ ...
. :):de_':.~)€'
'~::ct
Hl'"v~l",pn'
..
ft'r.Test
OIFC5A6BE79C6
test2
~02D6B7EA1S.
_l
IllL 1 l
>'
l:-;l ';.l-.'
Es gibt viele Tools und Möglichkeiten, Systempasswörter - sei es für UNIX
oder Window - zu cracken. Das wohl bekannteste freie Produkt ist John the
Ripper (www.op nwall.eom/john). das Ihnen bei verlorenen Systemzugängen
beste Dienste leistet. Neben John benötigen Sie noch das Programm fgdump ,
um das Windows-Passwort zunächst aus der SAM-Datenbank (SAM a
S urity Aceount Manag r) in ein Textdatei zu extrahier n. Der Einfachheit
halber entpacken Sie fgdump einfach in das Verzeichnis ./john/run", in dem
sich auch die ausführbaren John-Dateien befinden. John the Ripper (auf
Heft-DVD) ist ein Bruteforce-Tool, probiert also alle möglichen Kombinationen von Zeichen eines bestimmten Zeichensatzes aus, und kann alternativ eine Wörterbuch-Attacke durchführen.
1. Öffnen Sie die
Kommandozeile,
wechseln Sie in das
Verzeichnis ./john/run"
und starten Sie
fgdump per Eingabe
von .fgdump': Sie sollten eine ähnliche Erfolgsmeldung wie im
Bild bekommen.
SA'i0365DAffiBf...
2. Wenn Sie nun den Ordner
.run" im Explorer öffnen, sehen
==~.~,....:..~_>w_~
Sie drei von fgdump generierte
<A<>=H'
Dateien, von denen die
.127.0.0.l.pwdump" das ge""'~
wünschte Passwort enthält.
(127.0.0.1 steht immer für den lokalen Rechner.)
__._....
8. Ist die Auswahl reduziert,
starten Sie per Klick auf
.Crack" die Entschlüsselung.
9. Nach nur wenigen Minuten "'9"''' I "'t"" I P,"",,,,,, I
sollten Sie wieder den Klartext
LMfll.AA:I l
T T
der Passwörter sehen. Hier im
t23PASS
Bild sehen Sie auch, dass nicht
nur das extrem simple Passwort
test, sondern auch das schon deutlich komplexere 123Passwort gefunden
wurde. Während test noch mit dem normalen Bruteforeing in kurzer Zeit
gecrackt werden könnte, muss 123Passwort schon mithilfe der Rainbow
Tables berechnet werden - bei Versuchen ohne Tabellen bleibt der Schlüssel
im Test verdeckt.
__
Copyrighted
Material
.xPf,,,ulIl
• lCt'i~o:d
• \I.~",,",
7. Ansch ließend sehen Sie
wieder die lokalen Nutzerkonten, hier sollten Sie allerdings
die nicht relevanten User markieren und löschen, schließlich
dauert der Crack auch so schon
lange genug.
Eine gute Quelle für Passwortund Netzwerk-Tools ist Nirsofl
(leider unfrei. teils aber mit
Sourcel
Nutzer meist über Angriffe auf ihre
Kommunikation, also im Wesentlichen
U~,
4. Wählen Sie im folgenden
Fenster den ersten Eintrag "XP
free fast" und klicken Sie auf
Install.
....;.....,~~_......__...Lo_"'::::;;
• irSoll web sire pro\idcs • uniquc colle<jion of small 8Ild useful
, all of Ulcm dcvclopcd by .'
If)'ou are 1ookiD8 fOT pa sv..ord-recovE"ry tool t c:lick
l".
Ifyou are looking far ..twork tool click h.f'.
To view your 1P address ancl other information,~.
Ta view 811 major IP address blocks BSsip1ed to YOUI" country. dick h~re. To read Ibe 13log of 'rSoft, click h.r•.
Ifyou baye 0 sofiware-Ii' Web si e, ancl you wan 10 odd tbe !Teewore utilitie provided by irSoll, ilid.llm
If you can'l fmd whol you need in my entire utilities colleclion. you can check my ft"
I page, whieb conlaias
shareware urilities offered by other vendors, some ofthem \,,;tb special discounL
BIog
• suchen:
Fertil
..
LI
..,...,,1-1 .......... 1
"'''''',
. ""',
~
'W,(If"Iol~~
'Glll»FoI..OG.o.~1
--
;.",,;~
li5 t1,12oZ0090
IfEi
~.1~,~1XI\l"
IlI!I
l:7.!2.=lJD'jI:J
:»!,tlI16.~1
;U7ill 16.12.2Ot!St
37
E-Mails, aber auch Instant Messaging
odcr VolP. Die schlechtc achricht: Wer
sich im gleichen Netzwerk aufhält wic
Sie, kann Passwörter für Mailaccounts
und Ähnliches häufig aus dem etzwerkverkehr heraussnitl'cn (schnüffeln), beispielsweise mit den Werkzeugen dcr Livc-Distri BackTrack, wozu c
ein entsprechendcs Video auf Metacafe gibt: www.metacafe.com/watch/
317920/hacking_email_passwords. Die
gute Nachricht: In Ihr privates Konto
von Anbietern wie GoogleMail oder
GMX kann sich ein Cracker in der Regel nicht 0 einfach ohne Ihre Hilfe
einhacken - Sie müssten schon Einladungen (unbekannter Quellen) annehmen, auf Phishing-Sites hereinfallen, Malware auf Ihrer lokalen Maschine installieren oder natürlich ein zu
einfaches Passwort wählen, das per
Bruteforce-Attacke geknackt werden
kann. Ein extrem simple PHP-Skript,
um per Wörterbuch oder Brutcforee ein
Google Mail-Konto zu knaeken - natürlich bitte nur Ihr eigenes - finden Sie
unter http://forum.logicalgamers.com/
ource-code 12198-gmail-brutcforcerphp-script.html; für das Skript benötigen Sie einen lokalen Webserver,
etwa Xampp (www.apachefriends.org),
mit aktivierter Curl-Funktion in der
"php.ini"-Datei. Das Skript ist langam und fehleranfällig, demonstriert
aber, wie einfach Bruteforcing auch
im Netz ist. Tests auf Sicherheitslücken
bei IM, VoJP und Ähnlichem laufen
meist auf das Abfangen, Analysieren
und gegebenenfalls Manipulieren von
Paketen des Netzwerkverkehrs hinaus.
3. Sie können die Datei mit einem Texteditor öffnen und sehen dann die lokalen Nutzerkonten und falls vorhanden den Hash des User-Passworts, hier
blau markiert (genau genommen handelt es sich hierbei um zwei verschiedene Hashes, was hier aber nicht weiter interessiert).
[;)tri ~;\~ ~~
f.n".6tn
~:t
!.
ol~lgl~~~~.
Das i t zwar mit Tools wie BackTrack,
Wireshark oder dem - leider nicht
quelloffenen - Cain8:Abel machbar,
erfordert letztlich aber eine Menge
etze, Protokolle,
Know-how über
Unix und Standardsoftware, das wir
elbst im gesamten Heft nicht unterbringen könnten. Die Gegenseite, dic
Absicherung, ist schneller erklärt:
Verwenden Sie gute Passwörter und
Verschlüsselung. E-Mails können Sie
im Grunde recht impel mit der freien
PGP-Implementation GNUPG (www.
gnupg.org) und dem zugehörigen
Thunderbird-Plug-in EnigmaiJ (http://
enigmail.mozdev.org)
verschlüsseln.
Für VolP stehen allerhand Clicnts,
Server und sonstige freie Tools zur
Verfügung (www.voip-info.org/wiki/
vicw/Opcn+Sourcc+ VOJP+Software)
rauf hinweist. dass das Ausführen von Software auf Ihrem System Änderungen hervorruft (im Arbeitsspeicher, temporären Ordnern etc.), wie bei jeder
anderen Anwendung auch, nur dass dies bei forcnsi ehen Analysen nicht erwünscht ist; daher ist der Live-Modus (siehe nächster Workshop) zu bevorzugen. Akzeptieren Sie die Warnung.
2. Wählen Sie im Startfenster
das Register .Forensics".
DEFT
';.l,rm~:,Jt",;::.J.
P
l,~,J,'!1
4. Wechseln Sie wieder in die
Kommandozeile und starten Sie
den Ripper mit der Eingabe
.john-386.exe 127.0.0.1.
pwdump", um den CrackProzess im Standardmodus
zu starten.
Datenrettung mit Deft/Recuva
Die live-CD Deft haben wir Ihnen bereits im Kasten zu live-Systemen nähergebracht, nun möchten wir Ihnen in den nächsten beiden Workshops Beispiele
rur den Umgang damit näherbringen. Eine Besonderheit des Linux-Systems
ist dass es auch einen Bereich gibt, der unter Windows läuft und eine ausgefeilte Toolsammlung bietet. Binden Sie dazu einfach das ISO-Image, zum
Beispiel mit dem sehr guten Gizmo Drive (leider nur Freeware). Anschließend
können Sie wie folgt bei pielsweise gelöschte Daten retten. Ein Hinweis noch:
Wenn Sie Daten von einer Festplatte retten wollen, sollten Sie die entsprechende Software nicht auf dieser installieren oder überhaupt Veränderungen
an der Platte/Partition vornehmen.
dem Windows-Part, begrüßt
Sie zunächst eine gewaltige
Warn meldung, die lediglich da-
38
Ic
I~I,""'I"
1"",',.,1'1
3. Hier finden Sie einige praktische Tools
inklusive Kurzbeschreibung; starten
Sie .Recuva".
5. Wenn Sie ein einfaches Passwort gewählt haben, in unserem Fall TEST,
sehen Sie meist schon nach wenigen Minuten/Sekunden den zum Hash passenden Klartext. Für weitere Optionen zum Cracken geben Sie einfach
.john-486.exe" ohne weitere Parameter ein.
1. Beim Start von Deft Extra,
. -
~P""l~'
....,,"tu./'!.....
~-"
• 'iO.'
Oh'Ll
W""
,
lOD'
,..,.". """..__.."'
.. ~- ,~...
, ..
" .. ' •••• n."'
'l_""th.. ,.''''I,.,..'''I.tn'
n.,. .. ".. ".....
.. ~ ~~ ~'''_j 'h.,
o~
."'" ..
1'\""<'.'•• , •• ,...... '.
..
U"',t • .-..p.ol;j
~
'''01,''1,,, ~ •• ,.'
,.••
"'~
n
y
'''h.Plo''',~llO'
..-'b
U' ..."..
I
II',,~
~h.... ,... ~IJ'-'. ~. ,... ~"""~"'- ,I
"rl 111•• ,,_1..,. I'Jfn r.". ~"'" "l'
. . , ""••. ,,"'~,~.,
-
I
4. Recuva möchte per Wizard
starten, wir bevorzugen hier
aber den regulären Modus und
beenden mit ,Cancel':
welo:....c! lo lila RcclNEII wi2tln1
1.., ... "d"''''Ip.,tt.l~'P"ddMlldflll!l;ull
~.l... IIIJ(otrA9:(l"lI~It«lI4lX41;tTI't!il:
ll'1'l'Udlr\-«IIIl~t:!"iaH;~...Pr;oo_c
.....
=~yofJ""""~lt:Ml:l!Id\o:oId.r~od'e.ow.relfli
5. Klicken Sie
in der Hauptoberfläche zunächst auf
"Options':
.Prt.1.,,,I"il.. ,,U<I
-J
Recuvaum
1.
"
•••
--<
,
,
I
~
rl-i..
"_ J '
"
~
-.
l!r.tt3M'@lJll
und Instant Me senger wie pidgin
(http://pidgin.im) bieten oft interne
Verschlüsselung. Und wenn Sie Angst
haben, gute (lange, komplexe) Passwörter zu verge en, legen Sie
ieh einfach einen Pa wort-Safe mit
KeePa an (www.keepas .org), den Sie
via Internet oder mobilem Gerät immer
dabei haben könn n; alternativ geht
auch KeePa X für Mac.
Filesharing
Viele (profes ionelle) Open-Soureder
werden sich von der Filesharing-Szene,
in der e mas iv um den Tausch kopiergeschützter Erzeugnisse geht, distanzieren, da im Allgemeinen durehau die
Meinung vorherrscht, Lizenzen ollten
beachtet werden - schließlich gilt das
ganz besonders auch für Open-Souree-
6. Interessant ist hier der
Punkt "Scan for non-deleted
..." im Register "Actions". Mit
dieser Einstellung können Sie
Dateien auf formatierten oder
beschädigten Datenträgern
wiederherstellen, ansonsten
werden lediglich regulär gelöschte Daten gefunden.
7. Wieder im Hauptfenster,
Lizenzen! Dennoch gibt e klare Berührungspunkte: Zum einen ist der Austau eh von Informationen, Dokumenten, Software und so weiter die Grundlage freier Software und eMule Et Co.
dienen eben auch als hervorragende
Distributionskanäle für legale Inhalte;
Linux-Abbilder etwa werden regdmäßig nicht nur über FrP- und HTIPDownloads, sondern auch via eD2Koder Torrent-Link angeboten. Zum anderen sind viele Tools au diesem Bereich Open Source. EMule, Ares Galaxy,
Free Download Manager, FrostWire
Die bekannte ten
oder Sharaza:
P2P-Clients sind allesamt freie Software. Interessanterweise bietet gerade
diese Offenheit auch Möglichkeiten, die
im Grunde sehr soziale Idee solcher
Tau ehnetze zu boykottieren: Mit den
...
,
H
.
, I
.. ,.
.:1QJB
~
I Service ...
XAMPP Control Panel
SCM ...
11
Modules
o
o
o
o
Status
SV(
Apache
Running
Stop
1 I Admin· ..
SV(
MySql
Runn,ng
Stop
11 Admin· .. 1
SV(
FileZilia
Start
SV(
Mercury
Start
11
1
1
Rerresh
Explore ...
dmln
I Admln, .
Help
Exit
XA."!PP Co.ncrol Panel Version 2.5 C~1. M.ay,. 2001)
iIo"i.ndoViS 0.0 Build 6002 P1,;;;:cform :2 Sen.-ice
.
itacl :2
Cur-ren-e Oir.c:eory: e:\x&%q)p
Inscall
Direc~ory:
c::\xu=pp
S'C.ilI;US Check OK
meisten Clients laden Sie zwangsläufig
nicht nur Inhalte herunter, sondern
stellen sie auch anderen Nutzern zur
Verfügung, damit nicht ein paar wenige
Mit Xampp önnen Sie in
kürzester Zeit und ohne
Vorwissen Web-. MySQLund FTP-Server aufsetzen.
an denen Sie gefahrlos mit
Hacker-Tools herumprobieren können
Forensische Analyse mit dd, Deft und Autopsy
-"~""----------"'"
r
r
r
r
Nach CSI Miami, New York und Buxtehude, warum nicht auch CSI Ihr Zuhaus ? Hier all rdings können Si Blutspur n aus d m Weg gehen und sich stattdessen mit unbedenklicheren Beweismitteln beschäftigen: Datenspuren. Im
Folgenden zeigen wir Ihnen, wie Sie mit dem Deft-live-System ein Image in
den Authopsy Browser laden - in Management-System und Werkz ugkasten
flir di prof ion 11 n Analysedaten.
s;.i~Ti~]M~~}i1i1~;i~--d~t';~(&"i=-~
S\1Q1f~Etob\'tefl~s
0Jf1ecllfdyolJowll:tmflcs
QeepSr.an(inQ't!I!SUR;51trneo)
pStanfCfno~let'9dfl\os(fCfr&'..cwEfyfrom
~edor
r~ttedd.sbl
I:!
.' ,I.
~
~.
wählen Sie die zu rettende Dateiart, hier Pictures, um Fotos
1_,
0,
::J ~I a::J--'=--.J
und sonstige Grafiken zu finn;D~::!L.:;::;::====i~~.:--~~
..:::;;,::",:;_;;"",,~,- -I" I-I
den. Tipp: Klicken Sie mit der
g ::::;;:
~:--:;'=
Maus auf den Text üPictures·'j
-:::;:"111
~=
können Sie eigene Dateiendun~~
'Windows'l'
gen hinzufügen. Starten Sie
~S'"
nun den Scan, um eine Liste
0 ~-'-.-~
«----von Dateien wie hier im Bild zu erhalten.
•
RClCl,IVQ..-
g
g .:::i:::-:
g
•
r==
1. Zu nächst müssen Sie aber
ein Image erstellen. Das Standardwerkzeug zum Erstellen
von Bit-genauen Images ist unter linux dd, das auch durch
defekte Bereiche der Partition
nicht gestoppt wird. Das Programm finden Sie unter auch
für Windows. Starten Sie das
Programm mit dem Befehl "dd
--list", um eine Auflistung der
verfügbaren Geräte mitsamt der zugehörigen Namen zu erhalten.
8. Setzen Sie Häkchen bei den
Einträgen, die Sie wiederherstellen wollen, und klicken
Sie auf "Recover':
9. Wählen Sie aus dem Standard dialog
den Ordner zum Speichern der wiederhergestellten Daten.
2. In unserem Beispiel
erstellen wir ein Image
von dem 2-GB-USBStick (hier nicht im Bild). der als Laufwerk Feingebunden ist. Geben Sie
dazu den (angepassten) Befehl
dd if=\\?\Device\HarddiskVoJume4 of=c:\speicherordner\usb-image.img
--progress
ein; "ir" und "of" stehen dabei einfach für Quelle und Ziel und per Parameter
.--progress" sehen Sie später den Fortschritt, was ganz praktisch ist, da der
Kopiervorgang einige Zeit in Anspruch nimmt.
1O. Sollten Sie auf
dem gleichen Laufwerk
sichern, von dem auch
die restaurierten Dateien stammen, müssen Sie zu guter Letzt noch einmal eine Warn meldung bestätigen; anschließend beginnt die Verarbeitung.
3. Nun können Sie Deft
von CD oder Image (in
einer virtuellen Maschine) booten. Sollte es bei
Ihnen ebenfalls zu den
Darstellungsfehlern hier
im Bild kommen, warten
Sie einfach einen Augenblick, bis sich nichts mehr tut und drücken Sie
mehrmals .Enter", bis Sie folgendes Bild sehen.
39
das Risiko auf ich nehmen, Dateien zu
po tcn, und die breite Ma e lediglich
herunterlädt, was nach wic vor weniger kritisch ist. Da aber die Quellcodes
offenliegen und auch User, die auschließlich augen wollen (so genannte
Leeeher) nieht alle auf den Kopf gefallen sind, gibt es für die C1ients entprechende Leecher-Mods, also Modifikationen, die den Zwangs-Upload
unterbinden. Und wenn das Attribut
"böse· für Tool jemals angebracht
war, dann wohl hier, denn diese Leecher-Iools beeinflussen die Quantität
und vor allem Performance der
P2P-Netze nachhaltig; ein guter Anlaufpunkt für Mods ist die Seite www.
eba 14.org. Sie sehen also eine gewisse
Zwiespältigkeit: Einerseits wären Filcsharing- etze ohne Open Source kaum
4. Nachdem der
Sta rtbildschirm weggescrollt ist, sehen
Sie den Prompt.
Starten Sie die grafische Oberfläche
einfach mit dem
Kommando .startx':
Desktops
denkbar (welches Unternehmen wäre
wohl gerne der eMule-Hersteller?!),
andererseits wären "a ozialc" Mods
ohne Quelleode nicht möglich - es
kommt also wieder einmal eher auf die
Gesinnung der Nutzer denn auf die
Tools elbst an. Paranoiker können übrigen auch auf Filcsharing auf dem eigenen System verzichten und stattdessen eine Live-CD, die zum sieheren
Surfen ausgelegt ist, verwenden und falls nieht schon vorhanden - einen
P2P-Client nachinstallieren; unter anderem bietet da Bunde amt für Sicherheit in der Informationstechnik eine
olche CD, die sich mit zusätzlichen
Tools
auch
remastern
lässt
(https:{{www.bsi.bund.de/cln_136/DE/
Themen/ProdukteTool ISecuritySurf
CD/securitysurfcd_node.html).
7. Klicken Sie im nächs-
Zum Schluss nochmal ein spannendes
Sammelsurium für den Desktop, denn
auch hier können Sie allerlei Tool anwenden, die nicht nur für ehrbare Aufgaben geeignet ind ... Fangen wir doch
einfach mit der umfangreichen Überwachung eines Rechners an: Das mächtige Tool PyKeylogger i t ein in Python
geschriebenes
Überwachungswerkzeug, das, einmal installiert, unauffallig
im Hintergrund läuft und fortan sämtliche PC-Aktivitäten protokolliert. PyKeylogger zeichnet alle Ta taturanschläge aufund speichert diese in einer Text- og-Datei erstellt in festgelegten Intervallen Screenshots des
gesamten Bildschirms und zusätzlich
noch Detail-Screen hots zu jedem einzelnen Mausklick, hält fest, welche Pro-
Creatlng Case: USBl
ten Fenster auf .Add
Host", um einen Rechner
hinzuzufügen.
esse directory (I root/evidence/USBI/) erealed
Configuralion file (I root! evidence/USBI/c ase. aut) erealed
We musl now ereale a host for Ihm ca...
Please select your name from the llst: Invy ~
AcoHOST
5. Starten Sie
nun Autopsy
Forensic
Browser über
das Startmenü und erstellen Sie einen neuen
Fall über den
Button "New
Case':
Elill fdlt ~'"' "~I-=-'I 11.
o
m~lk
~
~1._JJ'lO('11I
6A:utopl.yfonMll:Bn::IlI:w:r
8. Nun dürfen Sie
l:!o1Ip
!'1T.I'lIlIl/tOpIy
1. Hoal "'me: The name olIM amlpUl
number" .nd tymboll.
wieder Namen und
Beschreibungen vergeben; die restlichen
Felder können Sie in
unserem Beispiel
ignorieren. Fahren
Sie fo rt mit "Add
Host".
•
beng IMlIitQaled.
ncan oonlar1 only latters"
11.0··,
2. o..crtptJon: An optlonal ooe-
I
• dexripbon or nole about Ihll computer.
aler~chne
.. ,,,
~~:~~":o~~:C~;~:a1::~~I~~:S~~:'c~": .:~
compe1lSlte,
fC)
~t"':t'klt.Org./ful(1I!!iV
5. Path
r
o'
Alert .....h DItIb...: M
~bO
hash dallbase of
own blKI tl;el.
~
6. P.th ollgno.. twah OlIt.be..: An aptaru. I1l11ih database 01 known good f;181io..
hqlg,QCI'I"",.~'allX:F5Y:rmod=05o~iew=l
!i [~"'-"M~n;;=r~(GigQlocr.UC'·,..Ml
-:;
~
6. Vergeben
CR~~ANI!:WCA2
Sie möglichst
,. Ca.. NI...: TtM! "Ulme at' Ih. wMJglltoR.. tM CD..l\lLn cmJy JetI4rI., t1LahtM!rs, II!Id
aussagekräfti.,.-..
ge Namen
USilI
und Beschrei2. DltctlpUon: An oaIIol'l*l. ~ IN ~lG!'I cf .... tIlIle
bungen für
U'5B-SUdc_wifl'~
Ihren ersten
J. Inw"'plor PU.,..: TlNI ap:ton.-J rwnll!ll fwth no '~OQ) af 0. lfI~sIi;.lDl"lla~n...
Fall, also bei~,
spielsweise
111, 11'rII~
';;;iiiiiiiiiiiiiiiiii==.
"Verbrannter
c, -==-==o:=:~
Rechner", und
e"';;;;;====-i
9,
fügen Sie eih'r=====~-'
====~
J.I
nen Investigator, also einen Untersuchenden, hinzu. Sie sehen schon, das Programm ist durchaus für professionelle Einsätze konzipiert.
9. Nun ist es Zeit.
das per .dd" erstellte Image zur
Analyse bereitzustellen; klicken Sie
auf "Add Image':
Adcllng host: Lokal. to case USBl
Hosl Oirectory (lroot/evidence/USBI/Lokal/l erealed
Configurafion file (lroot/evidence/USBl/Lokallhost. autl erealed
We musl oow import an Image file for lhls hast
-,
..
;=,
.....
40
10. Da dies Ihr
erster AutopsyStart ist, klicken
Sie noch einmal
auf "Add Image
File':
No images have been added 10 th;s hosl yel
Select the Md Image File button below 10 edd one
ADD IMAGE FIL~
Ca..c.KHOST
H .....
i
LMTYnMl:~U
V1cwNaTa
IMAGE INTEGIUrv
HASHDAT.......
EvllENT S&QUlENCER
l!r.tt3M'@lJll
gramme und Webseiten geöffnet wurden, und läuft sowohl unter Linux als
auch unter Windows. Sie bekommen
also einen sehr detaillierten Bericht
darüber, was der U er macht, schreibt.
besucht und, freilich, welche Passwörter er benutzt! Zum Ein atz kommen
derartig perfide Mechanismen etwa
auch in kommerziellen Kinderschutz-,
oder sagen wir -überwachungsprogrammen. Damit Sie nicht jedes Mal an
den infiltrierten Rechner müssen, um
die Logs einzusehen, kann PyKeylogger
diese automatisch per Mai! an Sie senden - ebenfalls in Fe tgelegten Zeitintervallen. Die gen aue Einrichtung
zeigen wir unten im Workshop. Was
aber nun, wenn Sie an Daten eines
nicht derart präparierten Rechners herankommen müssen? Nun, dann dürfen
Kein schöner Anblick:
Kommandozeilenprogramme
sind im Security-SeklOr nicht
zu umgehen. sodass sich auch
Window$-Nutzer mit der unter
Linux völlig normalen Shdl
anfreunden müssen
Sie sich zunäch t mit der Mutter aller
Hacks beschäftigen: dem "Einbruch"
ins System. Windows- und Linux-Passwörter finden sich in verschlü selter
Form auf der Festplatte und Tools wie
das bereit erwähnte John the Ripper
können die e versuchen zu entschlüsseln. Unter Windows liegen Passwörter
allerdings nicht oFort al Datei parat,
11. Kleiner Exkurs: Der Datenträger, auf dem das USB-Image liegt. muss
zunächst eingebunden werden. Starten Sie dazu aus dem Startmenü den
MountManager und binden Sie die betreffende Festplatte mit dem Mount
Point ,,/mnt" ein. Fortan können Sie auf die Dateien der Partition, hier im
Beispiel sdat (Festplatte a, Partition 1), zugreifen.
ondern müssen zunächst aus der Regi try-Datenbank ausgelesen und gedumpt, d. h. als Textformat gespeichert,
werden; eines von vielen Kommandozeilenprogrammen dafür ist fgdump
(wwwJoofus.net/fizzgig/fgdumpl, das
auch auf entfernte Rechner angewandt
werden kann. Komfortabler und sy temübergreiFend geht das Ganze mal
13. Im nächsten
Fenster sollten Sie
L0C81 .....: lmegeWusbJmg
CMlI In'-grity: An IADS hain n bIt ustCI kl W'lfV lhO ln:lOQrfY d Ihl
im un teren Bereich
""... tl.l'lIIIh.torhlUllimlQll ,
• IgI'1ll·oIhClP'lUhvllAJoJclfth.lrMgo..
unter .File System
CICJlIIfI thfI hes"l ....lI/e Ior t!'I~ 1mlgO,
Detail' Angaben
!2!!: 1M folk7w1ng UDS haIh v ~. tor fI. 11l'1J':
zur gefundenen
Partition finden. Ist
FIle System lloIIIll.
dieser Bereich leer,
Anatrs/S ofN l1'lrIOe f11e thO'ws 'f;.1OI~no j)IIlUbM
versuchen Sie im
vorigen Schritt statt '&11.Ilon 1 (Type: tIII16)
McuttPm1t~
"Partition" die Einstellung .Disk" beziehungswei e umgekehrt. Den oberen MDS-Bereich können Sie ignorieren.
"ft&gO
MounUng of p.utlon ldevl5d.l
Oto~moun[ptwM:,p1~r.[_==-,- - - - - - - - - - ,
.....
PO
'" SIIIIJ M9660
Mount p(lInrlIse tne P"OQriIn "Oump"
ViIlJ@'oIlheprogram 'Fsd:'.
'01' sy5tem n&CIrdt:KH'1
ro-l:
~
r"Sko.6vI;lUIq;llJonl,
Option&;
..
LAll op:ions.a~ dehult
Gernl,.1
U
------
11
l Advanu!CI
Upd.ll~
IMlM IIIl[CMS
_
~I!' tM I!li!Idlo au::ti5
1
r
12. Im nächsten
Autopsy-Fenster
I.loc.llon
Enter the full path (starting with I) t<l Ihe image file.
geben Sie nun
"the image is sprit (either raw or EnCase), Ihen enter '•• forthe extension.
genau diesen
Immt/usb.im
Pfad bis zu Ihrem
2. Typ.
Image ein. In unPIeSSEI selOCllf Ihls Imago f1Io 1s tClr a dlsk C1r a s,lngle parlillan.
serem Beispiel
!- Disk
Partilion
haben wir die
~
3. l"1>Ort Molhod
Datei "usb.img"
Ta anatyze the Image file. it must be kx:ated In the evidence locker, It can be Importi
current Iocation using a svrnbo Ic link. bV copying it. Qt by moving it. Note that if a sV'
im Wurzelverfallure occurs during lhe move. then the Image could become CC1IrupL
zeichnis der Par• Symli.nk
Copy
MQve
tition sdat gespeichert, der
Pfad ist hier also
./mnt/usb.img': Wichtig: Geben Sie unter .2. Type" unbedingt korrekt an, ob
das Image eine Partition oder eine komplette Disk abbildet. In unserm Beispiel funktioniert Autopsy nur mit der Einstellung .Partition", obwohl eigentlich der gesamte Stick gespeichert wurde.
14. Falls Sie Ihrem Fall keine
weitere Partition hinzufügen
wollen, bestätigen Sie das nächste Fenster mit "OK':
TeRng~rtllgnl
Ul'Wl'lOlm.(t~II'IIO.wstn::.1odo.er
Im.ll'IlO::ItJlIWlhIDlI'Ql
Yakrnclm.ga(OIoO ... 1011 C:Ia:kMldw
15. In der Übersicht sehen Sie
nun die eben geladene Partition und können die Analyse per
Klick auf ,.Analyze" starten.
"....... e-.
1)\10\1
....
..MI
16. Nun dürfen Sie endlich,
etwa per Klick auf ,File Analy-..,sis", mit der Untersuchung anfangen und die Daten erfor-~ !:.!ll
schen, gelöschte Dateien über
~,
.AII Deletet Files" einsehen und
(0'."'
1.
..,_.101' .
so weiter. Selb terklärend i t
I
der Umgang mit dem Tool
nicht wirklich, aber sowohl der
Autopsy Browser als auch das
Sieuth Kit sind an vielen Stellen im Netz dokumentiert. Wichtiger: Die Themen Dateisystem und Forensik sind im Netz gut abgedeckt und ohne Hintergrundwissen lässt sich keine professionelle Arbeit verrichten. Dennoch: Die
größten Hürden haben Sie genommen - die (weniger spannenden) Vorarbeiten -, alles, was jetzt noch kommt, ist spannende Polizeiarbeit der Mattscheiben-Heiden von CSI Et Co. oder zumindest von deren IT-Kollegen ...
I"
---_ ..
..-
41
Auch hilrmlose Tools wie Sun
VirtuillBox werden für "böse"
Zwecke missbriluchl - etwa.
um Limitierungen von Demoversionen zu umgehen
0 ....,
11il .........."'•• IO-""''ll1
§-
""',
_""-
GaSlbet:r,f"
9p'Un'I:
,.....
."st_
_...
...vr ...,....,.,
f'r0lftJl0r..,:
Jl/AM)
1
0Ii:Ikettt. CD(DvtHtOM.. pqne
~
Hegd~P'J'U;
wieder mit einer Live-CD; im Workshop
..Systempasswörter mit Opherack wicderherstellen" zeigen wir Ihnen, wie.
Wenn Sie einmal Zugriff haben, können Sie natürlich auf die regulären Datcn zugreifen, aber auch gelö chte Daten, Dateien auf teilweise defekten
Disks, formatierten oder gar gelöschten
Partitionen sind mit den richtigen Tools
nur ein paar Klicks entfernt. Die LiveCD INSERT (www.inside-security.de/
INSERT.html) beinhaltet eine ganze
Reihe nützlicher Tools, um Partitionen
und Dateien wiederherzustellen (Tc tDisk), Ruutkits zu entlarven (Ruutkit
Hunter), defekte Platten/Partitionen
fehlcrtolcrant Sektor für Sektor zu kopieren (dd_rescue) oder auch gleich
Windows-Passwörter zurückzuerlangen (chntpw). Wa an Dateiwiederherteilung böse ein könnte, fragen Sie?
Ganzeinfach: Menschen löschen Dateien, die niemand sehen soll, aber die wenigsten über chreiben sie mit einem
Schredder! Und was nicht geschreddel1
wurde, ist noch lesbar; nicht einmal das
Formatieren einer Festplatte zer tört
die Daten tat ächlich! In den Anfangstagen von eBay war es daher eine beliebte Tätigkeit von Hobby-Hackern,
Daten-Voyeuren und natürlich ITJournalisten, gebrauchte Festplatten zu
kaufen und den Datenbestand des Vorbesitzers wiederherzustellen. Da gilt
OiIllbYltrt
natürl ich auch fUr Passwörter, gerade
auch fUr solche, die in Firefox oder im
Internet Explorer gespeichert ind und
im schlimmsten Fall Zugang zu Konten
und Mailaccounts ermöglichen. Unter
www.nirsoft.net/password_recovery_
tool .html finden Sie allerhand Tools,
um Browser- und andere hinter Sternchen (Asterisks) verborgene Pas wörter
im Klartext zu ehen - teils mit Soureecode, aber leider nur unter FreewareLizenz.
zen der einzelnen Szenen. Schwarzweiß-Denken ist da nicht angebracht,
wohl aber eine generelle Unterscheidung von Hackern und Crackern owie
ernsthaften Tools und solchen, die sich
ausschließlich für kriminelle oder unmoralische Zwecke nutzen lassen. Statt
uns aber mit einem moralischen Appell
zu verab chieden, wollen wir noch ein
letztes Beispiel dafür anfUhren, dass
beinahe alle Open-Source-Tools kombiniert mit Neugierde zu grobem Schabernack verführen können: Sie kennen
Trialversionen
kommerzieller Programme? Früher wurden die üblichen
zeitlichen Beschränkungen, meist 30
Tage Laufzeit, einfach durch Umstellung des Systemdatums überwunden
(ob die Datierung einiger Word-95-Dateien des Autors dieser Zeilen auf Mitte
der Siebziger der Beweis daflir ind, lasen wir mal offen). So einfach geht es
heutzutage zwar in der Regel nicht
"Der zunehmenden VerbreiAlle in allem lä t
tu ng von Bots liegen zwei
ich also feststelFaktoren zugrunde: finanziellen, dass es durchaus einige Prole Motivation und die Verfüggramme gibt, die
barkeit von Quelleode."
sich mit der fal01. 190r Muttik, $eniol Research Architect bei McAfee
A... elt Labs, 'Www.mcafee.C'CIrn/usnocaU:ontent}whi
ehen Attitüde als
te....papers,llhreaU:~enter'mcafee_9u_vll_de.pdf.
Waffen einsetzen
Quelle~ McAfee
lassen - teils sogar,
ohne wirklich tiefgreifende Spezialkenntnisse zu benötigen. Allerdings,
mehr, aber was meinen Sie, was paswer nun glaubt, mit den richtigen Tools
iert, wenn eine solche Demoversion in
einer Windows-Installation unter Suns
umgehend zum rfolgreichen Cybergangster oder Sicherheit peziali ten
freier Virtualisierungslö ung Virtualzu werden, der liegt gründlich daneben:
Box installiert und die Maschine nach
Tools schaffen lediglich Scriptkiddies,
31 Tagen wieder zurückgesetzt wird?
erst Hintergrundwissen Spezial i ten.
Genau! Wie häufig die SicherheitsGenauso tließend wie die Grenzen zwimechanismen der DemoherstelIer veragen, ist schon, sagen wir, überschen Malware, Sicherheitssoftware
raschend!
und Hacker-Tools sind auch die Gren-
Kommentar: Verboten! Verboten? Na ja
Die vielen Diskussionen um den so genannten Hacker-Paragrafen (der den Zielpersonen angemessen eher CrackerParagraf heißen müsste), "wirksamen" Kopierschutz und so
weiter sind schon nervig - vor allem dank schwammiger
Formulierungen und Ungereimtheiten. So wird kurzerhand
.wirksam" weitgehend mit "existent" gleichgesetzt oder es
werden Tools illegalisiert, deren Hauptzweck etwa das Umgehen eines Kopierschutzes ist. Nur, wenn ein Tool wie VLC
so etwas via libdvdcss-Bibliothek ermöglicht, ist es zweifellos kein Hauptzweck, sondern nur eine von Dutzenden
Funktionen - und auch noch eine der unbekannteren. Ist
das Programm hingegen ein reiner Ripper wie Handbrake,
kommt das Tool gleich in Verruf. Stellen Sie sich vor, man würde einzelne Handfeuerwaffen verbieten, sie aber erlauben, wenn sie nur eines von vielen Tools eines Schweizer Taschenmessers wären - absurd!
42
Bei den "Hacker-Tools" sieht's ähnlich aus: Tools sollen verboten sein, sofern sie für Straftaten eingesetzt werden
(obwohl die Taten selbst sowieso schon strafbar sind)?
Würde das in der realen Welt bedeuten, dass Automobile,
die etwa einen Bankräuber zur nächsten Sparkasse bringen
ebenfalls verboten sind? Oder: Die Gestattung einer Privatkopie plus das Verbot des Umgehens eines (egal wie unwirksamen) Kopierschutzes plus der Verweis, dass dieses
Umgehen zu privaten Zwecken nicht strafbar ist - Klarheit
schafft das auch nicht sofort, oder? Irgendwie scheinen
Gesetzgeber, Industrie und Diskutanten nicht das Ziel zu
verfolgen, klare Verhältnisse zu schaffen, zumal: Den wahren Cracker interessiert das Ganze owieso nicht die Bohne! Und auch
Sie sollten Ihre legitime, nicht destruktive Neugier nicht mit moralisch
zweifelhaften Bedenken ersticken lassen. Mirco Lang, Freier Journalist
l!r.tt3MI@lJll

Böse_Tools_Die_dunkle_Seite_von_Open_Source

Transcription

Similar documents

Touren - Red Raid - Motorcycle tours in Cambodia

Chronisch thromboembolische pulmonale Hypertonie (CTEPH) 2014 Ein

china tibet hongkong macau taiwan

Burghof Magazin Dezember 2013

Chrysanthemum 18

Wichtig: Ihr braucht nicht alles lesen, was in dieser Anleitung steht

kaspersky security bulletin 2013 / 2014

Print-Ausgabe - BARMER GEK Online

Stadtmagazin 5/2009 - Stadtgemeinde Deutschlandsberg

Wer die Mauer untergräbt, der wird unter ihr begraben.

Encrypting File System unter Windows

Kreisblatt150603

- ZEITUNG AM SAMSTAG

zum - Fotoespresso

EB Ausgabe mar14 - Exklusives Berlin

Kaspersky Security Bulletin 2011/2012

Buch-Download - Alexander Rutz

fluessiggas kombitherme

Pocket DAB 2000

Dezember 2013 - Papenteicher Nachrichten