Hier möchte einige Möglichkeiten vorstellen, wie "ein Angreifer" sich Zugriff auf Deinem PC verschaffen kann. Ein Angriff der von außerhalb statt findet, wird als Remote Attacke bezeichnet (remote kommt aus dem Englischen und bedeutet soviel wie fern -in dem Fall "entfernt"-).
Trojaner sind Programme, mit denen man Computer "fernsteuern" kann. Dazu muß der (zu-kontrollierende) Pc als Server einrichtet werden. Mit dem Trojaner-Clienten, kann man die vollständige Kontrolle über den Rechner übernehmen. Trojaner werden normalerweise von Administratoren (z.B. in Schulen) verwendet, damit sie die Leute überwachen und (deren Rechner) kontrollieren können. Aber auch privat Personen verwenden Trojaner, um z.B. mobil (mit ihrem Laptop) Daten von ihrem Heimcomputer abzufragen.
Allerdings gibt es auch welche,
die Trojaner verwenden, um sich hinterrücks Zugang zu anderen Rechnern
zu verschaffen. Denn es gibt mitlerweile sehr viele Leute (im Internet), die
sich mit einem Trojaner unwissentlich "infiziert" haben. Denn die
meisten Trojaner-Server-Programme sind so entwickelt wurden, daß man nur
die Serverdatei starten muß, um seinen Rechner als Server einzurichten.
Unter Windows tragen sich die meisten Trojaner in der
Regestrierungsdatei ein, damit sie bei jedem Neustart von Windows
automatisch geladen werden. Wenn das der Fall ist, kann jeder
Hans Wurst z.B. alle Daten auf der Festplatte verwalten (also
auslesen, bearbeiten, löschen...). Meistens sind Trojaner so
programmiert wurden, daß man sie beim normalen Anwenden nicht
bemerkt, weil sie still im Hintergrund laufen (allerdings gibt es
auch Remote Programme, wie z.B. VNC, die man ohne weiteres
bemerkt, weil sie sich z.B. bei Windows in der Task-Leiste
"aufhalten").
Alle unsere Schulrechner, sind als VNC-Server eingerichtet, damit uns die Dozenten (und der Administrator) auspionieren können. Dieses Programm (das man sich von http://www.uk.research.att.com/vnc/download.html herunterladen kann), ist das simpelste Remote-Programm, daß ich bisher gesehen habe. Man braucht sich nur mit dem Computer verbinden, indem man die I.P. Adresse (des Computers, der als Server eingerichtet wurde) eingibt (in diesem Fall 192.168.0.10).
Nachdem sich mein VNC-Client mit dem Server verbunden hat, kann ich ihren Rechner vollkommen kontrollieren, ich brauche dazu nur so zu agieren, als säße ich direkt vor ihrem Computer, da meine "Maus/Tastatur-Befehle" direkt von ihrem Computer interpretiert werden.
In diesem Beispiel hatte ich in meiner Schule (mit dem VNC-Clienten), auf dem "Computer einer Klassenkameradin" zugriffen (die gerade an ihrer Homepage http://www.miolori.de/ bastelte)...
Wie man auf dem oberen Bild unschwer erkennen kann, kann ich auf meinem Bildschirm sehen, an was sie gerade arbeitet. Ihr Bildschirminhalt wird bei mir in dem Rot-markierten Feld wiedergegeben. Das schwarz-aufleuchtende VNC Icon signalisiert ihr, daß gerade jemand auf ihren Rechner zugreift (mein "Symbol" hingegen, daß man in der unteren Taskleiste sehen kann, befindet sich noch im Normalzustand). Bei den meisten Trojanern gibt es aber kein Symbol in der Taskleiste, daß Dir anzeigt, wenn gerade jemand auf Deinen Rechner zugreift, Du merkst es warscheinlich erst an den Auswirkungen *g*.
Es gibt aber eine Vielzahl an Trojanern
(b.z.w. Remote-Programme).
Einer der am leichtesten zu bedienenden Trojaner, ist Netbus 1.70.
Du kannst es Dir direkt von Nnttoolbox.com herunterladen.
Trojanern müssen aber auch nicht immer verwendet werden, um Systeme zu
penetrieren... auf Grund der vielseitigen Funktionen, kann man ihn auch anderweitig
einsetzen (z.B.um seine Arbeitskollegen ärgern, indem man das Cdromlaufwerk
immer auf und zu macht, oder die Kontrolle über die Tastatur und die Maus
an sich reist...)
Am besten Du probierst es einfach mal aus...
Hier ist ein Bild von Netbus (Version 1,70)
In den Textfenster "Host name/Ip" mußt Du die I.P. Adresse eingeben, und dann auf "Connect" klicken. Wenn unten steht "Connected to Server" hast Du es geschaft. Bei Port mußt Du den Port angeben, überdem der Netbus-Server angesprochen werden soll, normalerweise wird der Port "12345" verwendet.
Bei "Server admin" kannst Du den Server manipulieren, dort kannst Du eingeben welche I.P. Adresse verbindung mit dem Server aufnehmen dürfen, und den Server entfernen.
Mit "Open Cd" kannst Du sein Cdromlaufwerk auf und zu machen.
Mit "Show Image" kannst Du Bilder anzeigen (ich würde Dir empfehlen, vorher z.B. ein Bild mit `ner nackten Frau auf seiner Platte zu kopieren :-) Das coole daran ist die Tatsache, daß er (oder sie) das Bild nicht schließen kann, erst wenn Du nocheinmal auf "Show Image" klickst verschwindet das Bild wieder.
Mit "Swap Mouse" kannst Du seine Maustasten vertauschen.
Mit "Start Program" kannst Du irgendein Programm starten. z.B. könntest Du Wordpad starten ...
Mit "Msg Manager" kannst Du deinen Opfer kleine Nachrichten (z.B. Fehlermeldungen) schicken.
Oder mit ihm chatten...
Nun kommen wir zu einem Interessanten Teil, mit "Screendump" kannst Du sehen, was er gerade an seinen Computer macht, z.B. Wenn dein Opfer gerade surft kannst Du zusehen welche Seiten er gerade besucht, daß ist sinnvoll, wenn Dein Opfer z.B. gerade auf der Playboyseite ist.
Mit einem Klick auf "Get Info" kannst Du Informationen über "Deinen Opferpc" herausbekommen.
Wenn Du dein Opfer nerven willst, kannst Du ja auf "Play Sound" klicken und irgendeine Schnulze laufen lassen :-)
Was "Exit Windows" bedeutet, konnte ihc immer noch nicht herausfinden.*g*
"Send Text", wenn Du jemanden nur ein bißchen ärgern willst, ist das die beste Funktion. Wenn dein Opfer z.B. gerade `ne eMail schreibt, kannst Du einfach direkt in der eMail irgendeinen Text einfügen.
"Listen" ist eher dazu gut um Passwörter u.s.w. herauszubekommen, da somit alle eingegebenen Tastaturbefehle von ihm bei Dir angezeigt werden.
"Sound System", hier kannst Du ein bißchen an der Lautstärke rumspielen oder über sein Microphone irgendetwas aufnehmen.
Mit "Goto to Url" kannst Du ihn irgentwelche Internett seiten besuchen lassen, z.B. www.netbuster.com oder www.shadowmax.de .
Falls Du nicht gescheckt hast was "Control Maus" zu bedeuten hat, frag mich auch ja nicht *g*.
Mit "Server Setup" kannst Du den Netbuserver verändern, z.B. ein Passwortabfrage einfügen, den Port verändern, oder einstellen das Du ne eMail bekommst wenn dein Opferpc online ist.
Wenn Du auf "Filemanager" klickst, kannst Du ein Dateien klauen raufkopieren oder löschen.
Wenn Du es mal an Deinem eigenen Rechner ausprobieren willst, mußt Du Deinen Rechner als Netbusserver einrichten (indem Du die Serversoftware startest) und dann die I.P. Adresse 127.0.0.1 angibst. Allerdings solltest Du das, sobald Du ins Internet gehst, wieder rückgängig machen! Sonst könnten ja andere auf Deinen Rechner zugriefen. Deshalb solltest Du über Server Admin, mit Remove Server, die Serversoftware entfernen.
Um wirklich sicherzugehen, solltest Du Dir Netbuster besorgen (Netbuster ist ein Programm, daß geschrieben wurde, um Netbus auf dem Computer zu finden und zu entfernen und außerdem kann man mit Netbuster bestehende Verbindungen überwachen und z.B. dem "Angreifer" nette Nachrichten schicken).
Um sich vor dem versehentlichen Einrichten als Trojaner Server zu schützen, gibt es mehrere Möglichkeiten. Zum einem gibt es Programme die extra entwickelt wurden, um Trojaner zu finden und zu entfernen. Außerdem sind die meisten Virenscanner imstande, Trojaner zu erkennen...
Diese Maßnahmen sind allerdings nicht immer erfolgreich, da die Trojaner und Virenscanner nur die Trojaner erkennen, die ihnen "bekannt" sind (und somit würde z.B. eine veraltete Version vom Norton Antivirus den neuen Netbus gar nicht mehr erkennen).
Deshalb wäre es sinnvoll, den Computer direkt zu schützen. Fortgeschrittene User können ihre Netzwerkkommunikation mit Hilfe einer Firewall sichern, so daß der Angreifer mit seinen Client erst gar keine Verbindung aufbauen kann.
Man kann auf die Lokalen Netzwerkressourcen auch im Internet auch zugreifen!
Wenn man ein "Privates Netzwerk" (LAN - Lokal Area Network) eingerichtet hat, muß man Protokolle (z.B. IP/TCP) installieren, damit die Rechner untereinander "kommunizieren" können.
Man kann dann seinen Rechner als Netzwerkserver einrichten, damit die (Anwender der) Netzwerkclienten auf den Server zugreifen können, um sich z.B. Datein herunterzuladen.
Jedenfalls geben
die meisten gleich ihre gesamten Festplatten frei, damit die
anderen dann auf diese -über das Netzwerk- zugreifen können
(z.B. bei LAN Partys). Die meisten geben grundsätzlich alle
Daten frei, weil sie gar nicht wissen, was das für Auswirkungen
haben kann. Man kann z.B. Passwörter aus Regestrations-Dateien
klauen u.s.w.
Es gibt einige die sich dessen durchaus bewusst sind (und die es
auch nicht weiter stört, weil ja eh nur Freunde oder
Familien-Mitglieder ihre Rechner an das Hauseigene Netzwerk
anschließen).
Sobald man im Internet ist, können auch andere auf diese Ressourcen zugreifen!
Leider wissen das die meisten nicht! Wenn man zwar das erste mal ins Internet
geht (sollte so eine Warnung kommen) das ist aber nicht immer der Fall!
Jedenfalls kann jeder Hans Wurst einen somit vollständig auspionieren und mit den richtigen Rechten, kann er ohne weiteres auch noch alle Datein löschen.
Die erste Stufe ist ja schon schlimm genug, weil man somit Passwörter und persönliche Daten herausfinden kann.
Z.B. könnte man
Cookies herunterladen.
Wenn Du Dich noch an die erste Lektion erinnerst, weißt Du, daß
in manchen Cookies auch Passwörter stehen.
Nehmen wir mal an, Du wärst jetzt der Angreifer und hättest Dir diese Cookies besorgt.
Wenn sie unverschlüsselt sind, könntest Du sie ganz einfach mit einem Text Editor (z.B. Notepad) auslesen (wie bei diesen Beispiel).
Wenn sie verschlüsselt sind, brauchst Du sie nur in Deinen eigenen Cookie Ordner kopieren und die Webseite besuchen (z.B. www.gmx.de). Wenn Du dann mit den geklauten Cookies die Webseite besuchst, wirst Du als User identifiziert. Dazu mußt Du nur auf das Feld mit dem Account-Namen (-bei GMX z.B. Kennung-) gehen und dann die "Pfeiltaste runter" drücken.
Nachdem Du den Account-Namen ausgewählt hast, wird aus dem Cookie das Passwort "ausgelesen". Wenn alles erfolgreich ist, werden im Passwortfeld solche Sterne "*****" angezeigt.
Du mußt dann nur noch diese Angaben mit "Enter" bestätigen und schon kannst Du Anhand des "geklauten Accounts", z.B. chatten oder seine eMails lesen und verschicken...
Dazu muß aber der Angreifer Deine I.P. Adresse kennen (deshalb ist es ja auch so sinnvoll, daß Du den Angreifern von vornherein schon erschwerst, Deine I.P. Adresse herauszubekommen. Allerdings kann es auch sein, daß ein Angreifer zufällig auf Deine I.P. Nummer stößt. Z.B. mit einem Scanner, der das Subnetz nach offenen Netzwerkprotokollen abscannt.
Wie man oben erkennen kann, habe ich mal ein T-Online Subnetz (von 62.224.84.1 bis 62.224.84.255) abgescannt, dort bin ich auch gleich fündig geworden (auf dem Rechner mit der I.P. Adresse 62.224.84.8 sind die Laufwerke "E" und "C" freigegeben, auf dem Rechner mit der I.P. Adresse 62.224.84.22 wurden sogar noch viel mehr Ressourcen freigegeben).
Wenn man die I.P. Adresse hat, muß man diese nur noch im Browser eintragen und ein"\\" davor
setzen wie z.B. \\62.224.84.8
und dahinter den freigegebenen Laufwerksbuchstaben (oder das
Verzeichnis) z.B. \\62.224.84.1\c und schon kannst Du ganz normal
auf die freigegeben Netzwerk-Ressourcen zugreifen.
Es gibt viele Wege, wie Du an die I.P. Adresse der Opfer herankommen könntest... wenn Du Dich z.B. in ein Schulnetzwerk einloggen möchtest, geht das am einfachsten ist es, wenn man jemanden aus der Schule kennt. Eigendlich ist es egal, ob Du den Schüler persönlich kennt oder im Internet kennengelernt hat, wichtig ist nur, daß er (oder sie) Dir z.B. eine eMail schickt. Denn dann brauchst Du Dir nur den eMail-Quelltext anzusehen, und schon hast Du die I.P. Adresse.
Wenn Du jemanden aus dem Internet kennst, der z.B. übers Netzwerk zockt, kannst Du mit etwas Glück auch auf seinen Rechner zugreifen. Wenn Du mit deinem Opfer z.B. über Aim oder ICQ chattest, kannst Du ganz einfach mit Deiner Firewall seine I.P. Adresse herausbekommen (Lektion 1.2).
Wenn Du soetwas ähnliches siehst, wurde ein Passwort für die Freigegebene Ressourcen eingerichtet.
Allerdings kann heutzutage jeder dieses Problemchen mit dem richtigen Passwort Cracker-Tool (wie z.B. PQwak), in kürzester Zeit beseitigen.
Hierzu muß der Angreifer nur die Ressourcen angeben, die er "erscannt" hat.
...Hier kannst Du sehen, wie ich meinen Rechner als Netzwerk Server (Microsoft Netswerk) eingerichtet habe und wie ich darauf zugreife (vorher habe ich unter "Systemsteuerung/Netzwerke/Hinzufügen/Client/Microsoft" den Microsoft Network Client installiert).
Fortsetzung folgt !