docHacker und Viren
download 
Report Transcription
Hacker und Viren
Hacker und Viren Rainer W. Gerling Max-Planck-Gesellschaft Rasterfahndung © 2001 Rainer W. Gerling Alle Rechte Vorbehalten Aktuelles aus der Hacker- und Viren-Szene 1 Merkregel Alle guten Hacker Tools sind kostenlos und im Internet für jedermann verfügbar!! Rasterfahndung GDD Erfakreis Bayern 7.12.2001 2 Seite 1 Hacker und Viren Aktuelle Probleme ❏ SirCam ist ein übler Virus ◆ Muss den Datenschützer interessieren ✦ ✦ © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ❏ ❏ Code Red und Nimda haben zugeschlagen BadTrans (Re:) ◆ ◆ ❏ Verschickt Dateien Adressen aus dem Browser Cache Bis zu 4000/h auf zentralen Virenscanner Installiert Keyboard-Logger W32/Goner (Hi) ◆ Löscht AV-Produkte und Windows Rasterfahndung 3 Viren am Arbeitsplatz Dramatische Zunahme der Viren seit Sommer ❏ Absender in der Regel unbekannt ❏ Keinen für den Empfänger relevanten Inhalt ❏ Gut zentral löschbar ❏ ◆ Mailunterdrückung!! Rasterfahndung GDD Erfakreis Bayern 7.12.2001 4 Seite 2 Hacker und Viren Code Red und Nimda in der X GmbH und Y AG 300000 /24h 250000 Nimda 200000 Code Red/Nimda Code Red © 2001 Rainer W. Gerling Firma/20 100000 50000 0 30 Dat .0 um 7 02 .20 .0 01 8 05 .20 .0 01 8. 08 20 .0 01 8 11 .20 .0 01 8 14 .20 .0 01 8 17 .20 .0 01 8 20 .20 .0 01 8 23 .20 .0 01 8 26 .20 .0 01 8 29 .20 .0 01 8 01 .20 .0 01 9 04 .20 .0 01 9 07 .20 .0 01 9 10 .20 .0 01 9 13 .20 .0 01 9. 16 20 .0 01 9 19 .20 .0 01 9 22 .20 .0 01 9 25 .20 .0 01 9 28 .20 .0 01 9 01 .20 .1 01 0 04 .20 .1 01 0 07 .20 .1 01 0. 10 20 .1 01 0. 20 01 Alle Rechte Vorbehalten 150000 Rasterfahndung 5 TOP 20 Sicherheitslücken I (Quelle: SANS & FBI) ❏ Allgemein: ◆ ◆ ◆ ◆ ◆ ◆ ◆ G1 – Default Installation des Betriebssystems und der Anwendungen G2 – Accounts ohne Passworte oder mit schwachen Passworten G3 – Nicht-existierende oder unvollständige Backups G4 – Eine große Zahl offener Ports G5 – Keine Filterung von Paketen auf korrekte Absender- und Zieladresse G6 – Nicht-existierendes oder unvollständiges Logging G7 – verwundbare CGI Programme Rasterfahndung GDD Erfakreis Bayern 7.12.2001 6 Seite 3 Hacker und Viren TOP 20 Sicherheitslücken II (Quelle: SANS & FBI) ❏ Windows: ◆ ◆ © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ◆ ◆ ◆ ◆ W1 – Unicode Sicherheitslücke (Web Server Folder Traversal) W2 – ISAPI Extension Buffer Overflows W3 – IIS RDS Sicherheitslücke (Microsoft Remote Data Services) W4 – NETBIOS – ungeschützte Windows Netzwerk Freigaben W5 – Informations Preisgabe via Null Session Verbindungen W6 – Schwaches Passworthashing in der SAM (LM hash) Rasterfahndung 7 TOP 20 Sicherheitslücken III (Quelle: SANS & FBI) ❏ UNIX: ◆ U1 – Buffer Overflows in RPC Services ◆ U2 – Sendmail Sicherheitslücken ◆ U3 – Bind Sicherheitslücken ◆ U4 – R Befehle (rlogin, rsh, rcp) ◆ U5 – LPD (remote print protocol daemon) ◆ U6 – sadmind und mountd ◆ U7 – Default SNMP Zeichenketten Rasterfahndung GDD Erfakreis Bayern 7.12.2001 8 Seite 4 Hacker und Viren KeyGhost™ ❏ © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ❏ ❏ ❏ ❏ KeyGhost™ installs even when computer is logged out, password protected or turned off. The actual KeyGhost II is injection molded to look exactly like an EMC Balun. KeyGhost Security Keyboard. It contains an internal KeyGhost completely concealed from view! Speichert bis zu 500.000 Tastaturanschläge Kann einfach ausgelesen werden. Rasterfahndung 9 PC Spion ❏ Zu wissen, was an Ihrem PC passiert: An wen schreibt Ihre Frau Briefe? Was machen Ihre Kinder im Internet? Fragen, die PC Spion mit Leichtigkeit beantwortet! ❏ ACHTUNG: Für die Nutzung der Funktionen "Tastaturmitschnitt" und "BildschirmMitschnitt" ist das Anbringen des beigefügten Aufklebers gut sichtbar am Monitor oder PC vorgeschrieben! Rasterfahndung GDD Erfakreis Bayern 7.12.2001 10 Seite 5 Hacker und Viren Wireless LAN Shared Medium, d.h. Sniffen ist kein Problem! ❏ Wired Equivalent Privacy (WEP) verschlüsselt und schützt?! ❏ Reichweite ist so, daß der Parkplatz meistens mit abgedeckt wird. ❏ Viele Artikel und Berichte über Unsicherheiten. © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ❏ Rasterfahndung 11 Werkzeuge ❏ Netstumbler (http://www.netstumbler.com) ◆ ◆ ❏ ❏ AirSnort (http://airsnort.sourceforge.net/) WEPCarck (http://wepcrack.sourceforge.net) ◆ ❏ ❏ Win 2K, ME, 9x Analysiert das Vorhandensein von Funknetzen Knacken WEP-Schlüssel AiroPeek .. Rasterfahndung GDD Erfakreis Bayern 7.12.2001 12 Seite 6 Hacker und Viren WLAN © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ❏ laptop + wireless + GPS + car = War Driving Rasterfahndung LANguard Network Scanner Rasterfahndung GDD Erfakreis Bayern 7.12.2001 13 14 Seite 7 Hacker und Viren Unicode Sicherheitslücke ❏ © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ❏ ❏ ❏ ❏ Browser als universelle Kommandoshell Patches verfügbar PWS und IIS besser vermeiden ip/scripts/..%c0%af../winnt/system32/cmd.exe?+/c%20+del+/? ip/scripts/../../winnt/.... Rasterfahndung 15 Internet Explorer ❏ Anstelle von http://134.76.24.1 kann auch http://2253133825 ◆ Die 4 mal 8 Bit werden als 32 Bit Zahl aufgefaßt. ◆ Hebelt eventuelle URL-Filter aus ◆ IE 4.01, 5.01 und 5.5 ohne Patches stellen Seite die Sicehrheitszone wie „Lokales Netz“ dar. ✦ Im „Lokalen Netz“ sind typisch Skriptsprachen und anderes aktiviert. Rasterfahndung GDD Erfakreis Bayern 7.12.2001 16 Seite 8 Hacker und Viren ARP/RARP (Reverse) Address Resolution Protocol ❏ ❏ Verbindung IP-Adresse <==> MAC-Adresse Cache hat nur kurze Lebenszeit (Minuten) © 2001 Rainer W. Gerling Alle Rechte Vorbehalten C:\>arp -a Schnittstelle: 192.168.0.2 on Interface 2 Internet-Adresse Physische Adresse 192.168.0.1 00-80-ad-78-c3-f2 192.168.0.5 00-e0-7d-82-f5-06 192.168.0.9 00-4f-49-04-1a-83 Typ dynamisch dynamisch dynamisch C:\>arp -a Keine ARP-Einträge gefunden. Rasterfahndung 17 ARP ❏ ❏ Broadcast Protokoll auf MAC-Ebene Antwort als Unicast ◆ ◆ ❏ ❏ ARP: suche MAC-Adresse zu IP-Adresse RARP: suche IP-Adresse zu MAC-Adresse (bootp) Vorübergehende Speicherung im ARP-Cache auf beiden „Seiten“. Mittels Manipulationen des ARP-Caches sind „interessante“ Spoofing-Angriffe möglich. Rasterfahndung GDD Erfakreis Bayern 7.12.2001 18 Seite 9 Hacker und Viren Angriff I © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ❏ Mit arpspoof kann Netzwerkverkehr umgeleitet werden Router Switch Rasterfahndung 19 Angriff II ❏ ❏ Sshmitm: SSH monkey-in-the-middle. proxies and sniffs SSH traffic redirected by dnsspoof, capturing SSH password logins, and optionally hijacking interactive sessions. ❏ Schlüssel ❏ überprüfen! Angriffstool für SSL (SSLmitm) existiert auch Rasterfahndung GDD Erfakreis Bayern 7.12.2001 20 Seite 10 Hacker und Viren © 2001 Rainer W. Gerling Alle Rechte Vorbehalten Restrisiko „Whatever goes through your firewall, be it telnet, HTTP or other TCP/IP connections, or something real weird like DNS queries, ICMP packets, e-mail (see mailtunnel, icmptunnel), or whatelse, you can always write a tunnel client/daemon combination, and run a ssh and/or PPP connection through it.“ Firewall Piercing mini-HOWTO, François-René Rideau Rasterfahndung 21 Risiken ❏ Jedes „Loch“ in der Firewall ist ein Sicherheitsrisiko ✦ http-Tunnel • http://www.nocrew.org/software/httptunnel.html ✦ Mailtunnel • http://www.detached.net/mailtunnel/ ✦ ICMP-Tunnel • http://www.detached.net/icmptunnel/ ✦ DNS-Tunnel (NSTX) • http://nstx.dereference.de/ • c‘t, Heft 19/2000, Seite 244 ✦ Firewall-Piercing Tool Kit • http://fare.tunes.org/files/fwprc/ Rasterfahndung GDD Erfakreis Bayern 7.12.2001 22 Seite 11 Hacker und Viren NSTX ❏ [daten].[daten].[daten].nstx.xyz.de Feld maximal 63 Bytes ◆ Gesamtname 256 Bytes ◆ nur A-Z, a-z, 0-9, -, _ ◆ ca. 167 Byte Nutzdaten pro Anfrage ◆ Anfrage nicht nach IP-Adresse sondern TXTResource (TXT-RR, RFC 1035) ◆ Durchsatz ca. 4 KByte/sec (ISDN: 7 KByte/sec) Rasterfahndung 23 Rasterfahndung 24 © 2001 Rainer W. Gerling Alle Rechte Vorbehalten ◆ jedes GDD Erfakreis Bayern 7.12.2001 Seite 12
